Data verbergen op je eigen pc doe je zo
Iedereen heeft recht op privacy. Sommigen denken die te kunnen verzekeren door allerlei privacygevoelige data op hun pc te verbergen. In dit artikel bekijken we verschillende methodes om gegevens af te schermen, maar ook forensische technieken die allerlei 'verborgen' informatie weten op te vissen.
1 - Toestemming!
In dit artikel stellen we je een hele reeks bekende en minder bekende technieken voor waarmee je je eigen data naar anderen toe kunt afschermen of verbergen. De focus ligt echter net zo zeer op technieken waarmee jij - of erger nog: iemand anders op jouw pc - dergelijke informatie alsnog kunt bovenhalen. Zulke operaties horen tot het domein van forensisch onderzoek. In principe houden alleen politie-instanties zich met dergelijke analyses bezig, denk aan de Groep Digitale Recherche van de KLPD in Nederland of de Federal Computer Crime Unit (FCCU) in België, maar niemand weerhoudt je om dergelijke technieken zelf uit te proberen.
Uiteraard doe je dat uitsluitend op je eigen pc of op het systeem van iemand die je daartoe expliciet de toestemming heeft gegeven. In andere gevallen zijn zulke operaties wettelijk verboden en dus strafbaar. Dit soort onderzoek kan namelijk vanuit technisch oogpunt best wel leerzaam zijn en het laat je bovendien toe vergeten of verloren gewaande gegevens te herstellen. Enkele technieken uit het forensische domein zijn immers nauw verwant aan dat van dataherstel, zie daarom ook de Masterclass Dataherstel uit Computer!Totaal 10/2015.
©PXimport
Ook tools als Secret Disk bieden weinig meer dan schijnveiligheid.
'Security through obscurity'
We zijn zelf geen voorstander van zogenaamd geheime technieken waarmee je tracht je gegevens ontoegankelijk voor anderen te maken. In vakjargon heet deze aanpak 'security through obscurity', waarbij men dus beveiligingsrisico's tracht te beperken door (de werking van) de genomen beveiligingsmaatregelen geheim te houden. In de praktijk blijkt zo'n aanpak namelijk zelden een betrouwbaar resultaat op te leveren. We kennen zelf bijvoorbeeld verschillende (gratis) tools die elk op hun manier beloven je data stevig af te schermen, maar die zonder veel problemen toch te omzeilen zijn. Schijnveiligheid dus. Voorbeelden van zulke tools, die overigens nog altijd vlot verkrijgbaar zijn, zijn Granite Portable, Secret Disk en Wise Folder Hider Free.
Zowat de enige degelijke manier om je data ontoegankelijk te maken voor anderen is het gebruik van stevige encryptie (minimaal AES 256 bit). Let wel: een aantal aanbieders van opslag in de cloud beschermt ook je data met zo'n encryptie-algoritme, maar ze vertellen je er niet bij dat zij ook over de gebruikte encryptiesleutel beschikken. De NSA en andere instanties hoeven in zo'n geval nog weinig moeite te doen om tot bij je gegevens te komen.
2 - Profielmappen
Een van de meest voor de hand liggende en dus veelgebruikte methode om eigen data af te schermen zit stevig ingebakken in Windows: de profielmappen van een Windows-account met wachtwoord. De inhoud van deze mappen is in principe alleen zichtbaar voor wie zich met dat account aanmeldt, aangezien het ingebouwde ACL-beleid (Access Control Lists) uitsluitend toegang verleent aan de geautoriseerde gebruiker.
©PXimport
Ook met een live Linux-medium, bijvoorbeeld gecreëerd met YUMI, prik je zo door de ACL-beveiligingen heen.
Deze methode is echter lang niet waterdicht. Iemand hoeft zich alleen maar met een administrator-account aan te melden om deze beveiliging te omzeilen. Hij hoeft slechts naar jouw map te navigeren (C:\Users\), het contextmenu te openen en door met rechts te klikken te kiezen voor Eigenschappen \ Beveiliging \ Geavanceerd \ Eigenaar \ Bewerken (of Wijzigen) om de controle van je map aan zijn account toe te wijzen. Denk overigens niet dat je safe zit wanneer jij de enige administrator van dat systeem bent! In dat geval hoeft iemand het systeem slechts op te starten van een live bootmedium (bijvoorbeeld Ubuntu, samengesteld met behulp van de gratis tool YUMI en via de bestandsbrowser naar die map te navigeren. Aangezien Windows niet is opgestart, zijn de ACL-machtigingen langs deze weg niet langer geldig en liggen je data voor het grijpen.
3 - Verborgen stations
Er zijn verschillende technieken waarmee je schijfstations aan het oog van de nietsvermoedende gebruiker onttrekt. Sommige tools, zoals Secret Disk (zie ook kader 'Security through obscurity'), maken daarbij gebruik van een virtuele schijf waarvan de bijhorende bestandsnaam niet-toegelaten tekens bevat, zodat Windows dat bestand niet te zien geeft. Je kunt echter ook zelf stations verbergen, bijvoorbeeld vanuit het Windows Schijfbeheer. Druk op Windows-toets+R en voer het commando diskmgmt.msc uit. Klik met de rechtermuisknop op het datavolume in het visuele overzicht, kies Stationsletter en paden wijzigen en druk vervolgens op Verwijderen. Of je regelt zo'n verdwijntruc via een registeringreep. Start Regedit op, navigeer naar HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer en creëer de DWORD-waarde NoDrives. Om het A:-station te verbergen, geef je die waarde het (decimale) getal 1 mee, voor B: vul je 2 in, voor C: 4, voor D: 8, enz. Met het getal 67108863 maak je alle stations in één keer onzichtbaar.
©PXimport
NoDrives met waarde 16: station E: is niet langer zichtbaar in Windows Verkenner.
Echter, deze verdwijntechnieken zijn snel genoeg ongedaan gemaakt. Het volstaat om je met een beheerdersaccount aan te melden en de procedure om te draaien. Of iemand start je systeem op met een live medium als Gparted om alsnog de aanwezigheid van zo'n verborgen volume te detecteren. En voor wie nog dieper wil graven: met een fysieke schijfeditor als het gratis Active@ Disk Editor (beschikbaar voor Windows en Linux) ontmasker je zo alle schijftrucjes en krijg je de data op zowat elke schijf netjes blootgelegd.
4 - Alternate data streams
Elk besturingssysteem bedient zich van een of andere bestandsindeling om je data op een gestructureerde manier te bewaren, zodat ze naderhand altijd snel terug te vinden zijn. Bij Windows is dat op harde schijven standaard NTFS. Dit systeem heeft verschillende extra's die je niet terugvindt in een eenvoudiger systeem zoals FAT32. Een van de minder bekende extra's is de ondersteuning van de zogenoemde bestandsvorken, ook wel alternate data streams (ADS) genoemd. Het komt erop neer dat een bestand uit meerdere delen is opgebouwd: de eigenlijke gegevensvork en een of meer vorken met extra data.
Heb je bijvoorbeeld al gemerkt dat Windows je een uitvoerbaar bestand dat je van het internet hebt gedownload, niet laat installeren zonder een beveiligingswaarschuwing te geven? Ook deze informatie bevindt zich in een bestandsvork. Echter, ook andere software kan data verbergen in zo'n bestandsvork, zelfs malware, zoals de Trojaan Rustock. En wat software kan, kunnen gebruikers ook. Een klein experiment maakt dat duidelijk. Creëer eerst een willekeurig Word-document (privaat.docx) en een onschuldig tekstbestand (saai.txt). Ga daarna naar de opdrachtprompt en voer het volgende commando uit: type privaat.docx > saai.txt:privaat.docx. Het resultaat? Het Word-bestand wordt in een bestandsvork van het tekstbestand geplaatst, ook al is daar in Windows Verkenner (qua bestandsgrootte) niets van te merken. Het originele Word-document mag je nu zelfs verwijderen.
©PXimport
Met een eenvoudig commando hang je stiekem een document aan ander onschuldig ogend bestand.
Het lijkt er wel op dat data die je op deze manier verbergt, grondig aan het oog is onttrokken. Dat is echter maar schijn, want sinds Windows Vista volstaat het opdrachtregelcommando DIR /R om alle ADS-data zichtbaar te maken, inclusief de grootte en de naam. Of beter nog, je installeert een gratis tool als AlternateStreamView. Wanneer je hier de gedetecteerde ADS met de rechtermuisknop aanklikt en de optie Geselecteerde streams exporteren naar selecteert, kun je de verborgen data netjes weer opslaan in een afzonderlijk bestand.
5 - Steganografie
De ADS-methode kun je tot op zekere hoogte rekenen tot de steganografische technieken. Immers, steganografie is het verbergen van informatie in onschuldig ogende objecten. Heel vaak betekent dat het opnemen van een (geheim) bestand in een totaal ander bestand (de zogenoemde 'carrier' of drager) waarbij toevallige ontvangers geen flauw benul hebben van de verstopte inhoud. Gratis steganografische tools zijn bijvoorbeeld StegoStick en SilentEye. We bekijken SilentEye nader: deze tool draait onder Windows, OS X en Linux en ondersteunt onder meer bmp, jpg en wav als dragers.
Je selecteert eerst de drager, waarna je op de knop Encode drukt. Vervolgens tik je de boodschap in of voeg je het bestand toe dat je wilt verbergen. Zolang het getal in de regel ... octets available groen kleurt, kan de carrier de grootte van de boodschap of het bestand op een 'veilige' manier verwerken.
©PXimport
Steganografie: technologie met een zeker James Bond-gehalte.
Op zich is zo'n steganografische techniek wel veilig, althans zolang derde partijen niet weten dat het om een drager gaat en niet zomaar om een onschuldig mediabestand. Ervaren forensisch onderzoekers kunnen echter na grondige analyse van de bytepatronen van zo'n carrier wel vaststellen dat er extra gegevens verborgen zijn. Om die reden doe je er goed aan de data in de carrier niet zomaar te verstoppen, maar die eerst ook te versleutelen. Gelukkig biedt SilentEye zo'n mogelijkheid: zet een vinkje bij de optie Enable encryption, kies het gewenste algoritme (zoals AES256) en tik een goede encryptiesleutel (wachtwoord) in. De bedoelde ontvanger moet hiervan natuurlijk ook wel op de hoogte zijn. Hij hoeft dan maar de knop Decode in te drukken en het bijhorende wachtwoord in te vullen.
6 - Verwijderde bestanden
Met een onderwerp als 'verwijderde bestanden' komen we vanzelfsprekend heel dicht in de buurt van dataherstel. Veel gebruikers zijn er nog altijd van overtuigd dat data effectief verdwenen zijn zodra ze die bijvoorbeeld in de prullenbak hebben gegooid en de prullenbak vervolgens hebben leeggemaakt. Niets is minder waar: zolang het vrijgegeven datagebied niet met andere data is overschreven, zijn die met de juiste tools of de nodige kennis nog terug te halen. Dat geldt overigens ook wanneer je een partitie opnieuw formatteert: ook deze gegevens zijn in principe nog te herstellen. Een degelijk en gratis programma waarmee je verloren gewaande bestanden kunt terughalen is bijvoorbeeld Recuva.
©PXimport
Het wizard-aangestuurde programma Recuva maakt het makkelijk om gewiste bestanden weer boven water te halen.
Bestanden verwijderen geeft dus geen garantie dat die daadwerkelijk ook verdwenen zijn. Wil je (meer) zekerheid dat die gegevens effectief niet meer terug te halen zijn, dan moet je de data digitaal versnipperen: dusdanig overschrijven met een patroon van pseudo-willekeurige data dat de oorspronkelijke data onherstelbaar zijn. Een populair product waarmee je specifieke bestanden en mappen echt veilig kunt wissen, is Eraser. Gebruik overigens tijdens de installatie van Eraser de Custom-optie om te bepalen of je Eraser wilt integreren in je Windows Verkenner-menu's of om de Nederlandse vertaling aan te zetten. Een handige tool (geïnstalleerd op een live-medium) om complete partities en schijven te versnipperen is DBAN.
7 - Snippersporen
Je moet niet uit het oog verliezen dat forensisch onderzoekers met behulp van een fysieke schijfeditor gemakkelijk kunnen aantonen dat bepaalde datagebieden 'versnipperd' zijn, precies omdat daar pseudo-willekeurige datapatronen terug te vinden zijn. Wil iemand plausibel kunnen ontkennen dat er versnippersoftware is gebruikt, voorziet Eraser in de mogelijkheid om die versnipperde schijfclusters naderhand met specifieke (dummy) bestanden te overschrijven.
Het is overigens een misvatting dat je datagebieden absoluut meerdere keren moet overschrijven om te vermijden dat er met gespecialiseerde apparatuur (zoals de NSA en dergelijke die ongetwijfeld bezitten) nog restmagnetisme van je oude data zou op te vissen zijn. Volgens specialisten is dat echter zo goed als onmogelijk gezien de extreem hoge datadensiteit op moderne schijven: er is gewoonweg te weinig ruimte tussen de sporen op zo'n schijf om dat te kunnen doen.
©PXimport
Bij het (standaard) versnipperen laat je 'sporen' na in de vorm van pseudo-willekeurige datapatronen. Dummy-bestanden kunnen dat maskeren.
Anderzijds moet je ervoor opletten dat je bij het grondig wissen juist geen datagebieden overslaat, zoals de zogenoemde 'slack' (letterlijk: overtollige ruimte). Dat is de ruimte tussen het einde van een datacluster (bijvoorbeeld een gebied van 8 sectoren van elk 512 MB) en het einde van een bestand dat in dat cluster is opgeslagen. Het valt namelijk niet uit te sluiten dat er in die ruimte nog gegevens van eerder gewiste bestanden staat die je wellicht ook graag verwijderd had gezien. Eraser kan echter ook deze slack-ruimte wissen: selecteer bij Target Type de optie Unused disk space en plaats een vinkje bij Erase cluster tips. Tijdens deze procedure worden alleen maar oude, reeds 'verwijderde' data gewist. Dat neemt niet weg dat vooraf een back-up maken een verstandige zet is.
8 - OSForensics
We hebben al heel wat technieken en locaties aan bod laten komen waarmee je data kunt verbergen (en vaak ook detecteren), maar er zijn vast nog wel gegevens waarvan je niet meteen had vermoed dat die op je computer te vinden waren of waarvan je in elk geval niet wilt dat iemand met toegang tot je pc die kan inkijken. Met een gratis tool als OSForensics krijg je daar meteen een aardig idee van. Dit forensisch programma heeft bijna dertig categorieën. Een van deze categorieën is Install to USB, waarmee je de tool ook onderweg in kunt zetten.
©PXimport
Het pc-gebruik dag aan dag blootgelegd door OSForensics.
De meeste rubrieken zijn er echter op gericht telkens andersoortige gegevens bloot te leggen, die anders vaak lastig terug te vinden zijn. Er is bijvoorbeeld een reeks 'viewers' waarmee je het actuele geheugen van de pc kunt onderzoeken, of specifieke delen van het Windows-register, of de ruwe data op een harde schijf inclusief bootsectoren. Verder vist deze tool ook heel wat wachtwoorden van programma's en sites op en is het mogelijk zoekopdrachten uit te voeren op eerder verwijderde data. Of wat dacht je van de rubriek Recent activity die je in detail vertelt wat er zoal op de computer is gebeurd binnen een bepaald tijdsframe, zoals geopende documenten, gedownloade bestanden, gebruikte wachtwoorden en cookies. Het is overigens ook mogelijk een image van schijf te maken en die vervolgens ook weer in het programma in te laden voor nadere analyse. Zo'n image zorgt er namelijk voor dat je door je forensisch onderzoek niet ongewild wijzigingen aanbrengt op de onderzochte schijf, wat vooral voor officiële forensische analyses van belang is.
Nog meer forensische tools
OSForensics is slechts één voorbeeld van een forensische tool die ook beginners vlot weten te hanteren. Er zijn er echter meer, zoals het eveneens gratis Win-UFO. Wanneer je bij het opstarten van deze portable tool de opdracht geeft meteen een rapport samen te stellen, krijg je na enige tijd een uitgebreid HTML-rapport te zien, met onder meer de namen van alle gebruikersaccounts, een overzicht van de actieve processen, alle geïnstalleerde programma's en hotfixes enzovoort.
Je kunt vanuit het hoofdvenster echter ook achter specifieke informatie aan gaan, met rubrieken als Browser History, Log Viewers en Password Recovery. Elk van deze rubrieken bevatten dan specifieke tools die (meestal) netjes in Win-UFO zijn geïntegreerd.
Een andere gratis forensische tool is het opensource Autopsy: een grafische schil rond de forensische softwarecollectie The Sleuth Kit. Deze tool installeert zich als een soort webserver die je vanuit je browser kunt benaderen, via poort 9999.
©PXimport
Win-UFO: talrijke rubrieken met telkens een reeks bijhorende tools.
Meer lezen
Van partities tot bestandssystemen - zo werkt een harde schijf
