안티컴퓨터 포렌식

Anti-computer forensics

안티 컴퓨터 포렌식 또는 카운터 포렌식(counter-fornics)은 포렌식 분석을 방해하기 위해 사용되는 기술입니다.

정의.

항조영증은 최근에야 합법적인 연구 분야로 인정되었다.이 연구 분야에는 항조림학의 많은 정의가 있다.퍼듀 대학의 Marc Rogers는 더 널리 알려져 있고 받아들여지고 있는 정의 중 하나이다.Rogers는 안티 포렌식(anti-fornics)을 정의할 때 보다 전통적인 "범죄현장에서 증거의 존재, 양 및/또는 질에 부정적인 영향을 미치거나 증거의 분석과 조사를 [1]어렵게 하거나 불가능하게 하려고 한다.2002년 프락 매거진에 실린 반포레스트에 대한 최초의 상세한 프레젠테이션 중 하나는 반포레스트를 "포렌식 [2]조사의 효과를 완화하기 위한 증거의 제거 또는 은폐"로 정의하고 있다.

Scott Berinato는 "The Rise of Anti-Forensics"라는 제목의 기사에서 더 축약된 정의를 내렸습니다.「안티 포레노믹스는 테크놀로지 그 이상입니다.범죄 해킹에 대한 접근법은 다음과 같이 요약할 수 있습니다. 즉, 그들이 당신을 찾는 것을 어렵게 하고,[3] 그들이 당신을 찾았다는 것을 증명하는 것을 불가능하게 만드는 것입니다."두 저자 모두 개인 데이터의 프라이버시를 보장하기 위해 안티포렌식스 방법을 사용하지 않습니다.

서브 카테고리

안티포렌식스 방법은 다양한 도구와 기법을 쉽게 분류하기 위해 여러 하위 범주로 분류되는 경우가 많습니다.가장 널리 받아들여지고 있는 하위 분류 중 하나는 Marcus Rogers 박사에 의해 개발되었습니다.그는 데이터 숨기기, 아티팩트 삭제, 추적 난독화 및 CF(컴퓨터 포렌식) 프로세스 및 [1]툴에 대한 공격 등의 하위 범주를 제안했습니다.법의학 도구에 대한 직접적인 공격은 또한 대항책이라고 [4]불려왔다.

목적과 목표

디지털 포렌식 분야에서는 항포렌식 방법의 목적과 목표에 대해 많은 논란이 있다.일반적인 개념은[who?] 안티포렌식 툴이 의도나 설계에 있어서 순전히 악의적이라는 것입니다.다른 사람들은 이러한 도구가 디지털 포렌식 절차, 디지털 포렌식 도구 및 포렌식 검사자 교육의 결함을 설명하기 위해 사용되어야 한다고 생각합니다.이러한 감정은 2005년 Blackhat Conference에서 반포렌식 도구 저자 James Foster와 Vinnie [5]Liu에 의해 반영되었습니다.그들은 이러한 문제들을 폭로함으로써, 법의학 수사관들은 수집된 증거들이 정확하고 신뢰할 수 있다는 것을 증명하기 위해 더 열심히 일해야 할 것이라고 말했다.그들은 이것이 법의학 검사관에게 더 나은 도구와 교육을 가져다 줄 것이라고 믿는다.또한, 과학 수사 도구로 정보를 복구하는 것은 수사관뿐만 아니라 스파이들의 목적에도 똑같이 작용하기 때문에, 반포리즘은 스파이로부터 보호하는 데 있어 중요하다.

데이터 숨김

데이터 은닉은 데이터를 찾기 어렵게 하면서 향후 사용할 수 있도록 유지하는 프로세스입니다.데이터해독과 암호화에 의해서, 상대방은 수사관의 식별과 증거 수집을 제한하면서,[6] 스스로 액세스와 사용을 허가할 수 있습니다.」

데이터 은닉의 일반적인 형태로는 암호화, 스테가노그래피 및 기타 다양한 형태의 하드웨어/소프트웨어 기반 데이터 은닉이 있습니다.각각의 다른 데이터 은닉 방법은 디지털 포렌식 검사를 어렵게 합니다.서로 다른 데이터 은닉 방법이 결합되면 성공적인 법의학적 조사가 거의 불가능해질 수 있습니다.

암호화

컴퓨터 포렌식을 물리치기 위해 가장 일반적으로 사용되는 기술 중 하나는 데이터 암호화입니다.시큐어 컴퓨팅의 바이스 프레지던트인 Paul Henry는 암호화와 안티포렌식 방법에 대해 프레젠테이션에서 암호화를 "포렌식 전문가의 악몽"[7]이라고 언급했습니다.

일반적으로 이용 가능한 암호화 프로그램의 대부분은 지정된 키로만 열 수 있는 가상 암호화 디스크를 만들 수 있습니다.이러한 프로그램은 최신 암호화 알고리즘과 다양한 암호화 기술을 사용하여 지정된 키가 없으면 데이터를 읽을 수 없습니다.

파일 수준 암호화는 파일 내용만 암호화합니다.이것에 의해, 파일명, 사이즈, 타임스탬프등의 중요한 정보가 암호화되지 않은 채로 남습니다.임시 파일, 스왑 파일, 삭제한 암호화되지 않은 복사본 등 파일 내용의 일부를 다른 위치에서 재구성할 수 있습니다.

대부분의 암호화 프로그램에는 디지털 포렌식 작업을 더욱 어렵게 만드는 여러 가지 추가 기능을 수행할 수 있는 기능이 있습니다.이러한 기능에는 키 파일 사용, 전체 볼륨 암호화 및 신뢰할 수 있는 거부 기능이 있습니다.이러한 기능을 갖춘 소프트웨어가 널리 보급됨에 따라 디지털 포렌식 분야는 크게 불리하게 되었습니다.

스테가노그래피

Steganography는 다른 파일 안에 정보나 파일을 숨겨 데이터를 숨김으로써 데이터를 가리는 기술입니다."스테가노그래피는 일반적으로 빛 데이터(예: 디지털 사진에 내장된 비감지 디지털 워터마크)[8]에 묻혀 있는 어두운 데이터를 생성합니다."일부 전문가들은 스테가노그래피 기술의 사용이 매우 광범위하지 않기 때문에 많은 생각을 하지 말아야 한다고 주장해왔다.대부분의 전문가들은 스테가노그래피가 올바르게 [3]사용될 경우 법의학 과정을 방해할 수 있다는 데 동의할 것이다.

제프리 카에 따르면, 테크니컬 무자히드 2007년판은 무자헤딘의 비밀이라고 불리는 스테가노그래피 프로그램을 사용하는 것의 중요성을 요약했다.Carr에 따르면, 이 프로그램은 현재 스테가날리스 프로그램에 의해 탐지되지 않는 기능을 사용자에게 제공한다고 선전되었다.이것은 [9]파일 압축과 함께 스테가노그래피를 사용함으로써 실현되었습니다.

다른 형태의 데이터 숨김

다른 형태의 데이터 은닉에는 컴퓨터 시스템의 다양한 위치에 걸쳐 데이터를 숨기기 위한 도구와 기술을 사용하는 것이 포함됩니다.이러한 장소에는 "메모리, 여유 공간, 숨겨진 디렉토리, 잘못된 블록, 대체 데이터 스트림 및 숨겨진 파티션"[1]이 포함될 수 있습니다.

데이터를 숨기는 데 자주 사용되는 가장 잘 알려진 도구 중 하나는 Slacker(Metasploit [10]프레임워크의 일부)입니다.Slacker는 파일을 분할하여 해당 파일의 각 조각을 다른 파일의 여유 공간에 저장하여 법의학 검사 소프트웨어에서 [8]숨깁니다.또 다른 데이터 은폐 기법으로는 불량 섹터를 사용하는 방법이 있습니다.이 기술을 수행하기 위해 사용자는 특정 섹터를 정상에서 불량으로 변경한 후 해당 클러스터에 데이터를 배치합니다.법의학 검사 도구가 이러한 클러스터를 나쁘게 보고 내용을 [8]검사하지 않고 계속 진행할 것으로 믿고 있습니다.

아티팩트 와이핑

참고 항목: 데이터 삭제

아티팩트 삭제에 사용되는 방법은 특정 파일 또는 전체 파일 시스템을 영구적으로 제거하는 것입니다.디스크 클리닝 유틸리티, 파일 삭제 유틸리티, 디스크 디가우스/파괴 [1]기술 등 다양한 방법을 사용하여 이를 실현할 수 있습니다.

디스크 클리닝 유틸리티

디스크 클리닝 유틸리티는 다양한 방법을 사용하여 디스크의 기존 데이터를 덮어씁니다(데이터 잔량 참조).디스크 클리닝 유틸리티가 포렌식 방지 도구로서 효과적인지 여부에 대한 의문이 제기되는 경우가 많습니다.디스크 클리닝 유틸리티가 디스크 삭제에 적합하지 않다고 생각하는 전문가들은 현재의 DOD 정책에 대한 의견을 바탕으로 합니다.DOD 정책에서는 디스크 삭제가 유일한 형식입니다(National Industrial Security Program 참조).디스크 클리닝 유틸리티는 파일 시스템이 삭제되었음을 나타내는 시그니처를 남기 때문에 비판을 받기도 합니다.이것은 경우에 따라서는 받아들일 수 없습니다.널리 사용되는 디스크 클리닝 유틸리티에는 DBAN, srm, BCWipe Total Weep Out, KillDisk, PC Inspector 및 CyberScrubs cyberCide 등이 있습니다.NISTNSA가 승인한 또 다른 옵션은 CMR Secure Erase로, ATA 사양에 내장된 Secure Erase 명령을 사용합니다.

파일 삭제 유틸리티

파일 삭제 유틸리티는 운영 체제에서 개별 파일을 삭제하는 데 사용됩니다.파일 삭제 유틸리티의 장점은 디스크 클리닝 유틸리티에 비해 비교적 짧은 시간에 작업을 완료할 수 있다는 것입니다.파일 삭제 유틸리티의 또 다른 장점은 일반적으로 디스크 클리닝 유틸리티보다 훨씬 작은 시그니처를 남긴다는 것입니다.파일 삭제 유틸리티에는 두 가지 주요 단점이 있습니다.첫 번째 단점은 사용자가 프로세스에 관여해야 한다는 것입니다.두 번째 단점은 파일 삭제 프로그램이 항상 올바르게 파일 [11][12]정보를 완전히 삭제하지는 않는다는 것입니다.널리 사용되는 파일 삭제 유틸리티에는 BCWipe, R-Wipe & Clean, 지우개, Aevita Weep & Delete 및 CyberScrubs Privacy Suite 등이 있습니다.Linux 에서는 shredge srm 등의 도구를 사용하여 단일 [13][14]파일을 삭제할 수도 있습니다.SSD는 펌웨어가 다른 셀에 쓸 수 있기 때문에 데이터 복구가 가능하기 때문에 삭제하기가 더 어렵습니다.이러한 경우 ATA Secure Erase를 [15]지원하는 hdparm과 같은 도구를 사용하여 전체 드라이브에서 사용해야 합니다.

디스크 디가우스화/파괴 기술

디스크 디가우징은 디지털 미디어 디바이스에 자기장이 인가되는 프로세스입니다.그 결과 이전에 저장된 데이터가 완전히 지워집니다.데이터 소거가 효과적인 데이터 소거 방법임에도 불구하고 소거 방법은 거의 사용되지 않습니다.이는 일반 소비자가 구입하기 어려운 디가우스 기계 비용이 높기 때문으로 풀이된다.

데이터 삭제를 보장하기 위해 더 일반적으로 사용되는 기술은 장치를 물리적으로 파괴하는 것입니다.NIST는 "물리적 파괴는 분해, 소각, 분쇄, 분쇄 및 [16]용융을 포함한 다양한 방법을 사용하여 수행할 수 있다"고 권고하고 있다.

트레일 난독화

추적 난독화의 목적은 법의학적 검사 과정을 혼란스럽게 하고 방향을 흐트러뜨리는 것이다.추적 난독화에는 "로그 클리너, 스푸핑, 잘못된 정보, 백본 호핑, 좀비 계정, 트로이 목마 명령"[1]을 포함한 다양한 기술과 도구가 포함됩니다.

가장 널리 알려진 추적 난독화 도구 중 하나는 Timesomp(Metasploit [10]Framework의 일부)입니다.Timeomp는 사용자가 액세스, 작성 및 수정 시간과 [3]날짜에 관련된 파일 메타데이터를 수정할 수 있는 기능을 제공합니다.Timeomp 등의 프로그램을 사용함으로써 사용자는 파일의 [citation needed]신뢰성에 대해 직접 의문을 제기함으로써 법적 환경에서 파일을 몇 개라도 사용할 수 없게 할 수 있습니다.

또 다른 잘 알려진 추적 해독 프로그램은 Transogrify(Metasploit [10]Framework의 일부이기도 함)입니다.대부분의 파일 형식에서 파일의 헤더에는 식별 정보가 포함되어 있습니다.A(.jpg)는 자신을 (.jpg)로 식별하는 헤더 정보를 가지며, A(.doc)는 자신을 (.doc)로 식별하는 정보를 가집니다.transogrify를 사용하면 파일의 헤더 정보를 변경할 수 있으므로 (.jpg) 헤더를 (.doc) 헤더로 변경할 수 있습니다.법의학 검사 프로그램 또는 운영 체제가 기계에서 이미지 검색을 수행할 경우, 단순히 (.doc)[3] 파일을 보고 건너뜁니다.

컴퓨터 포렌식스 공격

과거에는 포렌식 방지 툴이 데이터를 파괴하거나 데이터를 숨기거나 데이터 사용 정보를 변경함으로써 법의학 프로세스를 공격하는 데 초점을 맞췄습니다.안티 포렌식스(Anti-fornesics)는 최근 검사를 수행하는 법의학적 도구를 공격하는 데 도구와 기술이 집중되는 새로운 영역으로 옮겨가고 있습니다.이러한 새로운 포렌식 방지 방법은 잘 문서화된 법의학 검사 절차, 널리 알려진 법의학 도구의 취약성,[1] 디지털 법의학 검사자들의 도구에 대한 높은 의존도를 포함한 많은 요인들로부터 혜택을 받았습니다.

일반적인 법의학 검사 중에 검사자는 컴퓨터 디스크의 이미지를 만듭니다.이렇게 하면 원래 컴퓨터(증거)가 법의학 도구에 의해 오염되는 것을 방지할 수 있습니다.해시는 법의학 검사 소프트웨어에 의해 생성되어 이미지의 무결성을 확인합니다.최신 안티툴 기법 중 하나는 이미지를 검증하기 위해 작성된 해시의 무결성을 대상으로 합니다.해시의 무결성에 영향을 미침으로써 이후 조사 중에 수집된 모든 증거에 [1]이의를 제기할 수 있습니다.

물리적.

컴퓨터의 전원이 들어가 있는 동안 데이터에 물리적으로 액세스 하는 것을 막기 위해서(예를 들면, 절도나 법 집행 기관의 압수 등), 실장할 수 있는 솔루션은 다음과 같습니다.

  • USBGuard 또는 USBKill과 같은 소프트웨어 프레임워크는 USB 인증 정책 및 사용 방법을 구현합니다.소프트웨어가 트리거되면 USB 장치를 삽입 또는 제거하여 특정 작업을 [17]수행할 수 있습니다.Silk Road의 관리자 Ross Ulbricht체포된 후 소유자가 컴퓨터를 셧다운하기 위해 압류한 것을 검출하기 위한 개념 증명 도구가 다수 개발되었습니다.따라서 전체 디스크 암호화를 [18][19]사용하면 데이터에 액세스할 수 없게 됩니다.
  • Kensington 보안 슬롯을 사용하여 하드웨어 케이블을 고정하여 도둑에 의한 도난을 방지합니다.
  • 이젝트 시 데이터를 잠금, 셧다운 또는 삭제하는 하드웨어케이블
  • 컴퓨터 케이스 또는 폭발물이 장착된 센서(광검출기 등)에 섀시 침입 감지 기능을 사용하여 자폭합니다.일부 국가에서는 이 방법이 허가되지 않은 사용자를 심각하게 불구로 만들거나 사망에 이르게 할 수 있고 증거 [20]인멸로 구성될 수 있기 때문에 불법일 수 있다.
  • 배터리를 노트북에서 분리하여 PSU에 접속한 상태에서만 동작시킬 수 있습니다.케이블을 떼어내면, 곧바로 컴퓨터가 셧다운 되어 데이터가 없어집니다.다만, 전력 서지가 발생했을 경우, 같은 현상이 발생합니다.

이러한 방법 중 일부는 컴퓨터의 셧다운에 의존하지만 데이터는 몇 초에서 몇 분까지 RAM에 저장되므로 이론적으로 콜드 부트 [21][22][23]공격이 발생할 수 있습니다.RAM의 저온 동결은 이 시간보다 더 길어질 수 있으며 야생에 대한 공격이 몇 가지 발견되었습니다.[24]이 공격에 대응하는 방법이 있어, 셧다운 하기 전에 메모리를 덮어쓸 수 있습니다.일부 포렌스 방지 툴은 RAM의 온도를 검출하여 특정 임계값 [25][26]미만이면 셧다운을 수행합니다.

변조 방지 데스크톱 컴퓨터를 만들려는 시도가 이루어졌습니다(2020년 현재 ORWL 모델은 가장 좋은 예 중 하나임).그러나 보안 연구원이자 Qubes OS설립자인 Joanna Rutkowska[27]이 특정 모델의 보안에 대해 논의하고 있습니다.

항조림제의 효과

포렌식 방지 방법은 법의학 과정에서 인적 요소, 도구에 대한 의존성,[28] 컴퓨터의 물리적/논리적 한계 등 몇 가지 약점에 의존합니다.이러한 취약점에 대한 법의학 과정의 민감성을 줄임으로써 검사자는 항포렌식 방법이 [28]조사에 성공적으로 영향을 미칠 가능성을 줄일 수 있습니다.이는 조사관에게 더 많은 교육을 제공하고 여러 도구를 사용하여 결과를 확인함으로써 달성할 수 있습니다.

「 」를 참조해 주세요.

주 및 참고 자료

  1. ^ a b c d e f g 로저스, D. M. (2005)반포렌식 프레젠테이션이 록히드 마틴에게 주어졌습니다.샌디에이고.
  2. ^ The Grugq (2002년). "Defeating Forensic Analysis on Unix". Retrieved 2019-09-06. 프락 매거진
  3. ^ a b c d Berinato, S. (2007)안티 포렌식스의 부상.CSO Online에서 2008년 4월 19일 취득:http://www.csoonline.com/article/221208/The_Rise_of_Anti_Forensics
  4. ^ 하틀리, W. 매튜(2007).디지털 포렌식에 대한 현재 및 미래의 위협: CS1 유지 보수: 타이틀로서의 아카이브된 복사(링크)
  5. ^ "Black Hat USA 2005 – Catch Me If You Can – 27July2005". Foster, J. C., & Liu, V. (2005). Retrieved 11 January 2016.
  6. ^ 페론, C.S.J. (N.A.)디지털 안티 포레노시스:데이터 변환 기법의 새로운 경향.Seccuris에서 : http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf Wayback Machine에서 2008-08-19 아카이브 완료
  7. ^ 헨리, P. A. (2006)Anti-Fornsics를 통한 안전한 컴퓨팅 [Layer One 비디오 파일]https://www.youtube.com/watch?v=q9VUbiFdx7w&t=2m18s 에서 취득했습니다.
  8. ^ a b c Berghel, H. (2007 / 제50권, 제4호)데이터 숨김, 법의학 및 안티 포렌식스ACM 통신, 15-20.
  9. ^ Carr, J. (2007)지하드 웹사이트에서 사용되는 반포렌식 방법.2008년 4월 21일 eSecurity Planet에서 취득: http://www.esecurityplanet.com/prevention/article.php/3694711 아카이브 2012-07-30
  10. ^ a b c "Metasploit Anti-Forensics Project (MAFIA) - Bishop Fox". Vincent Liu. Retrieved 11 January 2016.
  11. ^ "Myths about Disk Wiping and Solid State Drives". 3 December 2012.
  12. ^ "What is Data Destruction, the Best Ways to Erase Your Data Securely". 13 January 2020.
  13. ^ "Shred(1) - Linux man page".
  14. ^ "Archived copy". Archived from the original on 2017-08-29. Retrieved 2020-05-15.{{cite web}}: CS1 maint: 제목으로 아카이브된 복사(링크)
  15. ^ "Secure Erase and wipe your SSD, will it work?". 23 March 2017.
  16. ^ 키셀, R., 숄, M., 스콜로첸코, S., & Li, X. (2006)미디어 삭제에 관한 가이드라인Gaithersburg: 미국 국립표준기술연구소 컴퓨터보안부문
  17. ^ "USBGuard". GitHub. 12 February 2022.
  18. ^ "Hephaest0s/Usbkill". GitHub. 12 February 2022.
  19. ^ "Silk-guardian". GitHub. 19 January 2022.
  20. ^ "Destruction of Evidence Law and Legal Definition USLegal, Inc".
  21. ^ https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderman.pdf[베어 URL PDF]
  22. ^ 기사 제목 2020-07-22 Wayback[bare URL PDF] Machine에서 보관
  23. ^ "Archived copy" (PDF). Archived from the original (PDF) on 2020-09-18. Retrieved 2020-05-15.{{cite web}}: CS1 maint: 제목으로 아카이브된 복사(링크)
  24. ^ "Cold boot".
  25. ^ "Protect Linux from cold boot attacks with TRESOR Linuxaria".
  26. ^ "Tails - Protection against cold boot attacks".
  27. ^ "Thoughts on the "physically secure" ORWL computer the Invisible Things".
  28. ^ a b Harris, R. (2006)조림 방지 합의 도출: 조림 방지 문제를 정의하고 제어하는 방법을 검토한다.2010년 12월 9일 취득처:http://www.dfrws.org/2006/proceedings/6-Harris.pdf Wayback Machine에서 2012-03-14 아카이브 완료

외부 링크