HARD CORE SECURITY LAB

Szyfrowanie całych dysków twardych, za pomocą programów takich jak popularny TrueCrypt, może stanowić bardzo skuteczną ochronę naszych danych. Zaszyfrowanie dysku wraz z zastosowaniem odpowiednio silnego hasła, może również stanowić nie lada wyzwanie dla organów ścigania poszukujących cyfrowych dowodów. Wiele osób wręcz poleca tego typu metody, jako sposób na skuteczną ochronę przed policyjnym przeszukaniem dysków twardych. Czy jednak rzeczywiście służby śledcze są zupełnie bezradne w obliczu silnego szyfrowania? Moim zdaniem nie. Oto przykładowa metoda, za pomocą której można wydobyć wszystkie dane z zaszyfrowanych dysków twardych...

Jeśli chodzi o prawne aspekty szyfrowania dysków oraz prawo do odmowy podania haseł dostępowych, to warto się zapoznać z poświęconym tej kwestii artykułem opublikowanym swego czasu w serwisie VaGla.pl. Warto zwrócić przede wszystkim uwagę na art. 74. § 1. Kodeksu postępowania karnego, zgodnie z którym:

Oskarżony nie ma obowiązku dowodzenia swej niewinności ani obowiązku dostarczania dowodów na swoją niekorzyść.

Wygląda więc na to, że dysponujemy prawem do odmowy dostarczania dowodów mogących nas samych w jakiś sposób obciążać. Załóżmy więc, że korzystając z tegoż prawa odmawiamy służbom śledczym podania jakichkolwiek informacji niezbędnych do odszyfrowania naszych dysków twardych.

Jeden z czytelników serwisu VaGla potwierdza skuteczność takiej linii obrony:

Opisana historia odrobinę zahacza o mój przypadek. Moje komputery zostały zajęte w zw. z podejrzeniem popełnienia art. 278 par. 2 kk (kradzież oprogramowania). Wszystkie dyski twarde były w pełni zaszyfrowane przy pomocy TrueCrypa (tryb system encryption - z bootloaderem). Zostałem przesłuchany w charakterze świadka na okoliczność ujawnienia hasła do TC. Przesłuchanie trwało 6 godzin i w jego toku wielokrotnie przypominano o odpowiedzialności karnej za utrudnianie postępowania. Nie ujawniłem hasła powołując się na art. 183 kpk. Sprzęt został przekazany do biegłego w celu sporządzenia opinii. Wrócił (razem z dyskami) po 5 miesiącach, a postępowanie zostało zamknięte bez przedstawienia zarzutów.

Wydaje się więc, że zastosowanie silnego szyfrowania jest świetnym sposobem na uniknięcie przeszukania naszych dysków przez służby śledcze. Moim zdaniem, istnieje jednak co najmniej kilka sposobów na wydobycie zabezpieczonych w ten sposób danych, które z powodzeniem (zaznaczam jednak, że nie uwzględniam w ogóle kwestii prawnych) mogą zostać zastosowane w przypadku np. szczególnie ważnych śledztw. Oto jedna z takich metod.

Załóżmy więc, że policja lub inne służby przychodzą do podejrzanego z nakazem przeszukania, zależy im jednak przede wszystkim na przeanalizowaniu zawartości twardych dysków podejrzanego. Technicy po pobieżnych oględzinach stwierdzają jednak, że wszystkie dyski twarde należące do podejrzanego zostały zaszyfrowane za pomocą programu TrueCrypt. W celu uzyskania jakiegokolwiek dostępu do danych, wymagane jest podanie hasła jeszcze przed rozruchem systemu operacyjnego. Technicy wiedzą już, że zabranie dysków do laboratorium kryminalistycznego jest bezcelowe. Na chwilę obecną prawdopodobnie nie istnieją służby zdolne do przełamania bardzo silnych algorytmów szyfrujących, takich jak te stosowane między innymi w programie TrueCrypt. Co robią agenci? Pozostawiają wszystko w nienaruszonym stanie, wykonują rutynowe przeszukanie mieszkania i po kilku chwilach opuszczają lokal...

Pora na najciekawszą część całej operacji. Mieszkanie podejrzanego jest cały czas obserwowane. Wreszcie nadarza się jego dłuższa nieobecność. W nocy agenci z różnorakimi trzyliterowymi skrótami na piersi włamują się do lokum podejrzanego, wnosząc ze sobą jedynie uprzednio przygotowaną... klawiaturę. Klawiatura podejrzanego zostaje podmieniona na identyczny model w identycznym stanie (wszystko zostało dokładnie zanotowane oraz sfotografowane w trakcie pierwszego przeszukania). W podrzuconej klawiaturze został jednak zamontowany moduł sprzętowego keyloggera, który od tej pory będzie rejestrował w swej wewnętrznej pamięci każde naciśnięcie każdego z przycisków.

Po kilku dniach służby śledcze zjawiają się u podejrzanego z kolejnym nakazem. Tym razem cały sprzęt komputerowy zostaje zarekwirowany. Oczywiście TrueCrypt nie stanowi już najmniejszego problemu. Hasło pozwalające na odszyfrowanie dysku twardego, wraz ze wszystkimi innymi hasłami podejrzanego (również tymi do wszystkich serwisów internetowych, poczty elektronicznej, itd. itp.), jest przecież zapisane w pamięci keyloggera...

W taki oto niezwykle prosty (pod względem technicznym) sposób zabezpieczenia w postaci silnego szyfrowania dysków twardych mogą zostać przełamane. Warto więc czasem zastanowić się, czy rzeczywiście zaszyfrowanie danych daje nam całkowitą pewność, że nikt nie zdoła ich odczytać... Pamiętajmy, że łamanie algorytmów kryptograficznych to nie jedyna metoda na dotarcie do zaszyfrowanych danych. Zazwyczaj znacznie prostsze okazuje się bowiem znalezienie metody na obejście samego szyfrowania lub też przechwycenie hasła dostępowego!

Artykuł autorski HCSL - Wojciech Smol