z3r0trust 개인 정보 보호 뉴스 레터 # 6

이 기사는 여기 에서 스페인어로도 볼 수 있습니다 .

HL Mencken 견적

“미묘하고 실체가없는 전문가는 흔적을 남기지 않습니다. 신성하게 신비한 그는 들리지 않습니다. 따라서 그는 적의 운명의 주인입니다.” ~ 손자

Smith 씨는 1986 년 Jeep CJ-7을 타고 공공 도서관에 도착합니다. 실용적이고 키가 낮은 사람이기 때문에 그는 컴퓨터 칩에 의존하지 않고 오프로드로 갈 수있는 신뢰할 수있는 비 플래시 차량을 선호합니다. 그는 일주일에 두 번 도서관을 방문하여 공용 컴퓨터에서 이메일을 확인하고 이미 읽은 책을 새로운 선택과 교환하는 것을 좋아합니다. 도서관 주차장에는 건물 옥상에 미스터 스미스가 차량에 도착한 모습을 담은 CCTV (Closed Circuit TV) 카메라가 설치되어 있습니다. 그러나 차량 번호판이 정당하게 진흙으로 덮여 있기 때문에 잘 읽을 수 없습니다.

1986 Jeep CJ-7; 이미지 제공 : Cars For Sale

카메라는 또한 도서관 정문으로 걸어가는 스미스 씨를 포착하지만 스미스 씨는 가장자리에 작은 LED 조명이 달린 빨간 공 모자를 쓰고 흰색 글자로 인쇄 된 "미국을 다시 탐욕스럽게 만드세요" 얼굴 윤곽을 부수는 선글라스. 이 슬로건은 2016 년 트럼프 대선 캠페인 슬로건을 언급하는 단어에 대한 유희를 의미하며, 대체 버전은 국가의 대부분의 부를 지배하는 1 % 엘리트 부자에 대한 경미하고 미묘한 비꼬는 성명을 의미합니다. Smith 씨는 자신을 지역, 주 및 연방 정부의 총체적 권력에 대한 저항군의 일부인 외부인이라고 생각합니다. 그는 자신의 사생활을 소중히 여기며 도서관에서 어떤 책을 대출하는지와 같은 자신의 습관에 대한 정보를 수집하는 정부의 팬이 아닙니다. 볼 캡 외에 스미스 씨의 옷은 어떤 식 으로든 눈에 띄지 않도록 설명이 없습니다. 검은 색 벨트가 달린 청바지를 입은 또 다른 남자, 흰색 / 검은 색 컨버스 신발이 달린 평범한 검은 색 티셔츠. Smith 씨는 자신의 책을 반납 카트에 버리고 무료 인터넷 액세스를 제공하는 사용 가능한 공용 컴퓨터 중 하나에 앉아 앉습니다. 이곳은 그가 정기적으로 방문하는 여러 도서관 중 하나이기 때문에 Smith 씨는 이미 모든 CCTV 카메라가있는 위치를 파악하고 카메라의 직접적인 가시선에서 다소 벗어난 사용 가능한 컴퓨터를 선택했습니다.

Smith 씨는 라이브러리 컴퓨터에서 기본 인터넷 브라우저를 엽니 다. 컴퓨터가 여전히 Windows 7을 실행하고 있기 때문에 Internet Explorer 버전 11 (즉, 버전 : 11.285.17134.0)이됩니다. 알다시피 라이브러리는 그렇지 않습니다. 15 대의 공용 컴퓨터를 업그레이드 할 수 있도록 몇 년 동안 도시로부터 필요한 자금을 받았습니다. IE 버전 11은 웹 브라우저의 jalopy car와 같습니다. 버그가 있고 패치되지 않은 여러 익스플로잇에 취약하며 2016 년 1 월 12 일 에 Microsoft에서 지원을 중단했기 때문에 완전히 지원되지 않습니다 .

IE 11의 일반적인 취약점 및 노출; MITER Corporation 제공

Smith 씨의 첫 번째 조치는 관리자가이 기능을 비활성화하지 않은 경우 브라우저 기록, 캐시 및 쿠키를 지우는 것입니다. 종종 공공 도서관 컴퓨터는 사람들이 부적절하게 사용하지 못하도록 매우 제한되도록 잠겨 있습니다. 다음으로 Smith 씨는 Gmail로 이동하여 Hide My Ass Virtual Private Network (VPN)의 7 일 무료 평가판에 가입 할 목적으로 일회용 이메일 계정 (garbage2434234@gmail.com)을 만듭니다. 일회용 Gmail 계정이 설정되면 Smith 씨는 HideMyAss VPN 7 일 평가판 웹 페이지 등록에 가짜 정보를 입력하여 이전에 현금으로 구매 한 선불 기프트 카드의 결제 정보를 포함합니다. 카드에는 $ 1.67 잔액 만 남아 있지만 기술적으로는 여전히 유효합니다. 기프트 카드이기 때문에 Smith 씨는 새로 설정 한 일회용 이메일 주소와 함께 가짜 주소를 주소 필드에 입력합니다. 그는 명령 프롬프트를 열려고 시도하고 명령 프롬프트 응용 프로그램을 열 수있는 권한이 없음을 발견합니다. Windows OS에 익숙한 Smith 씨는 대신 PowerShell 응용 프로그램을 검색하고 완전히 액세스 할 수있는 응용 프로그램을 찾습니다. Smith 씨는 "ipconfig / all"을 입력하고 사용중인 라이브러리 컴퓨터의 현재 보호되지 않은 (진정한) 이더넷 어댑터 IPv4 주소를 기록합니다. 그는 PowerShell 창을 열어 둡니다.

"ipconfig / all"명령의 PowerShell 예

한편, 신용 카드 등록이 성공적으로 완료되고 Smith 씨에게 VPN 소프트웨어를 컴퓨터로 다운로드 할 수있는 옵션이 제공됩니다. 그는 그렇게하려고 시도하고 프로그램 파일을 데스크톱에 다운로드 할 수 있지만 프로그램 실행 파일 (.exe)을 실행하는 것이 차단되었음을 금방 알게됩니다. Smith 씨는이 작업에 높은 권한이 필요하다는 오류 메시지를받습니다. IT에 정통한 Smith 씨는 관리자 자격 증명을 추측하기로 결정하고 실행 가능한 프로그램 파일을 마우스 오른쪽 단추로 클릭하고 "관리자 권한으로 실행"옵션을 선택합니다. Smith 씨는 몇 번의 시도만으로 암호를 성공적으로 추측했습니다. P @ ssW0rd123으로 밝혀졌습니다. 그가 스스로 생각하는 농담이었습니다. “계정에 암호가 없을 수도 있습니다…”그런 다음 컴퓨터 바탕 화면에 다운로드 한 HideMyAss VPN 프로그램을 계속 설치합니다. 약 5 분 정도 걸렸고 이제 Smith 씨는 공공 도서관 컴퓨터에서 익명으로 온라인 서핑을 할 수 있습니다.

HideMyAss 가상 사설망 (VPN) 서비스; HideMyAss.com의 이미지 제공

VPN이 작동하고 Smith 씨가 간단한 Cmd 프롬프트를 열고 "ipconfig / all"을 입력하여 새 IP 주소를 확인하면 Smith 씨는 Internet Explorer 11을 다시 시작하고 실제 이메일 계정을 엽니 다. ProtonMail 계정이어야합니다 ( ProtonMail 은 유료로 자체 VPN 서비스를 제공하지만이 예에서는 HideMyAss를 강조 표시하도록 선택했습니다). ProtonMail 계정은 "JackerCrack911@protonmail.com"입니다 (그의 진짜 계정은 이메일 주소의 일부가 아닙니다). 이제 그는 작업이 끝나면 자신의 트랙을 더 쉽게 지울 수있는 관리자 암호도 알고 있습니다. Smith 씨는 자신의 이메일과 개인 뱅킹 사이트는 물론 공공 도서관 컴퓨터에서 VPN을 사용하지 않았다면 일반적으로 탐색 할 수 없었던 몇 가지 다른 사이트를 확인합니다. 약 20 분 동안 웹 서핑을 한 후 Smith 씨는 웹 브라우저를 종료합니다. 그러나 닫기 전에 Smith 씨는 브라우저 검색 기록을 지우고 쿠키와 캐시를 다시 지우도록주의합니다. 그는 한 단계 더 나아가 Pagefile.sys , 스왑 및 썸 파일 콘텐츠를 삭제하여 정당한 이유가없는 한 도시 IT 직원이 사용할 가능성이없는 고급 디지털 포렌식 소프트웨어 도구 및 기술 없이는 검색 기록을 쉽게 복구 할 수 없도록합니다. 범죄가 저질러 질 경우와 같이 외부 법 집행 지원을 가져 오는 것.

Smith 씨는 VPN 연결을 종료하고 HideMyAss VPN 소프트웨어를 제거합니다. C : \ ProgramFiles 디렉터리에서 프로그램 파일을 삭제 한 다음 Windows 검색 창에 "regedit"를 입력하고 "관리자 권한으로 실행"을 선택합니다. 앞서 성공적으로 추측 한 적절한 관리자 계정 로그온 자격 증명을 입력하면 레지스트리 편집기 모듈이 열립니다. 다음으로 Smith 씨는

“컴퓨터 \ HKEY_LOCAL_MACHINE \ SOFTWARE”

여기서 그는“HideMyAssVPN”소프트웨어 레지스트리 키를 찾아서 삭제하고 브라우저 기록을 지우고 메모장에 복사하기 전에 온라인으로 검색 한 아래 나열된 단계를 따릅니다.

InstallExecuteSequence 테이블AdvtExecuteSequence 테이블 에서 RegisterProduct 작업 , RegisterUser 작업 , PublishProduct 작업PublishFeatures 작업 을 제거하여 응용 프로그램 등록을 생략 할 수 있습니다 . 이러한 작업을 모두 제거해야합니다. 그렇지 않으면 응용 프로그램의 일부 흔적이 레지스트리에 남아있을 수 있습니다. 이러한 작업을 모두 제거하면 응용 프로그램이 제어판의 프로그램 추가 / 제거 기능에 나열되지 않고 응용 프로그램 광고도 방지됩니다. 이러한 작업을 모두 제거하면 응용 프로그램이 Windows Installer 구성 데이터에 등록되지 않습니다. 이는 Windows Installer 명령 줄 옵션 또는 Windows Installer API (응용 프로그래밍 인터페이스) 를 사용하여 응용 프로그램을 제거, 복구 또는 다시 설치할 수 없음을 의미합니다 .” ~ Microsoft 문서

그런 다음 Smith 씨는 Windows 검색 표시 줄에 "이벤트 뷰어"를 입력하고 응용 프로그램을 마우스 오른쪽 단추로 클릭 한 다음 "관리자 권한으로 실행"을 선택하여 Windows 이벤트 뷰어를 엽니 다. Smith 씨는 관리자 계정 로그온 자격 증명을 다시 입력하고 "Windows 로그", "응용 프로그램"옵션을 선택합니다. 그런 다음 아래로 스크롤하여 HideMyAssVPN 응용 프로그램을 설치하고 프로그램을 제거하여 생성 된 이벤트를 찾습니다. 다음으로 Smith 씨는 관리자 계정을 사용하여 이러한 작업을 완료했기 때문에 보안 로그를 열고 자신의 작업과 관련된 이벤트 만 삭제합니다. 누군가가 시스템을 해킹하고 로그를 지웠다는 로그를 확인하는 보안 관리자에게 치명적인 선물이되기 때문에 아마추어 만 전체 감사 로그를 삭제합니다.

Windows 이벤트 뷰어 응용 프로그램 로그 예

이 예제는 가상 이벤트의 제작이며 이러한 이벤트를 수행 할 수 있지만 일반 사용자가 관리자 계정 암호를 쉽게 추측하고 자신의 트랙을 지울 수있을 가능성은 거의 없습니다. 빠른 패션. 이 예제가 수행하기에 너무 많거나, 너무 상세하거나, 기술적 인 경우에는 노력을 방해하는 것이 아니라 사실상 추적 할 수 없게되기 위해 가야하는 길이를 충분히 이해하지 못했음을 의미합니다. 앞서 언급했듯이, 사실상 추적이 불가능 해지기는 쉽지 않으며 컴퓨터 시스템과 네트워크를 어느 정도까지 알 수있을만큼 기술적으로 능숙해야합니다. Mac iOS 또는 Linux 변형 운영 체제에서 동일한 작업을 수행 할 수 있습니까? 파일을 찾을 수있는 위치 나 이름이 무엇인지 알고 계십니까? 또한 VPN 서비스로 지불 한 금액을받을 수 있으므로 무료 및 평가판 버전이 생각만큼 안전하지 않을 수 있습니다. 때때로 VPN 서비스 제공 업체가 귀하의 검색 정보수집하기도 합니다.

디지털 포렌식

16 진 편집; 이미지 제공 : SANS DFIR

디지털 포렌식 은 종종 컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료의 복구 및 조사를 포함하는 포렌식 과학의 한 분야입니다. ~ 위키 백과

디지털 포렌식 수사관이 네트워크 포렌식을 수행하는 경우 이러한 조치의 증거를 찾기 위해 사용할 수있는 방법이 있습니다. 디지털 포렌식이 포함하는 내용에 대한 전체 소개는이 기사의 범위를 벗어나지 만, 삭제 된 파일을 복구하고 컴퓨터 시스템 및 하드웨어에서 주요 정보를 추출하는 데 사용할 수있는 방법과 도구가 있음을 지적하고 싶습니다. 수사관이 Smith 씨가 HideMyAss VPN을 다운로드하고 설치했음을 확인할 수 있다면, 그에 대한 소송을 제기하기위한 법의학 조사의 일환으로 VPN 서비스가 로그 사본을 제공하도록하는 영장을받을 수도 있습니다. 온라인에서 완전히 추적 할 수 없다고 생각하는 경우에도 로컬 컴퓨터, 네트워크 또는 Google과 같은 먼 인터넷 서비스 제공 업체 (ISP)에서 활동의 흔적을 찾기 위해 뒤집힐 수있는 돌이 있습니다. Facebook 또는 Comcast. 이러한 이유로 사람은 완전히 추적 불가능해질 수 없습니다. 그러나 그것이 당신이 실제로 추적 할 수 없다는 것을 의미하지는 않습니다. 현실에서 이러한 유형의 시나리오가 발생할 가능성은 얼마나됩니까? 최소한의 말은 의심 스럽다. 디지털 포렌식 조사의 주요 목표는 범죄 용의자를 키보드 뒤에 두는 것이며, 그렇게하려면 검찰은 디지털 증거가 범죄 용의자가 사용했다고 주장하는 컴퓨터에서 나 왔으며 데이터가 다음과 같음을 입증 할 수 있어야합니다. 정확한 비트 스트림 사본. 즉, 추적 할 수없는 상태를 유지하려는 사람은 필요한 모든 수단을 통해 해당 목표를 무너 뜨리려고 할 것입니다. 안티 포렌식 분야를 입력하십시오.

법의학 방지 기술 및 대책

Anti-Forensics Extended Taxonomy; M. Rogers 및 16 차 연례 미국 디지털 포렌식 연구 컨퍼런스

사실상 추적 불가능하다는 것은 숙련되고 지식이 풍부하며 경험이 풍부한 IT 전문가, 특히 법 집행 디지털 포렌식 수사관 및 정보 기관 사이버 분석가가 삭제 된 파일을 복구 할 수있는 다양한 방법, 기술 및 도구를 보유하고 있음을 인식하는 것입니다. 귀하의 온라인 활동 및 귀하의 진정한 정체성을 밝히는 데 도움이됩니다. 이 사실을 인식하고 그에 따라 운영하십시오. 법 집행 기관 및 기업 "eDiscovery"조사관이 사용하는 디지털 포렌식 소프트웨어 애플리케이션을 제조하는 데 전념하는 산업 전체가있는 것처럼, 포렌식 도구를 무력화하도록 특별히 설계된 안티 포렌식 도구 전용 산업도 있습니다. 가상 추적 불가능 성을 달성하는 데 사용할 수있는 몇 가지 기술과 도구를 살펴 보겠습니다.

데이터 숨기기

디지털 포렌식 수사관; 이미지 제공 : Ali Hadi

디지털 스테 가노 그래피는 이전에이 시리즈에서 다루었으며 이미지, 텍스트, 비디오 및 오디오 파일과 같은 다른 캐리어 파일에 비밀 데이터를 포함하고 암호화하여 데이터를 숨기는 데 사용할 수 있습니다. 거의 모든 유형의 파일을 지원하는 스테 가노 그래피 애플리케이션을 찾은 경우 데이터를 숨기는 데 사용할 수 있으며 1,100 개가 넘는 파일을 찾는 것이 그리 어렵지 않습니다. 암호화는 이전에 다루었던 데이터를 숨기는 또 다른 수단입니다. 물론 HDD와 휴대폰 (SD 카드 포함)에서 FDE (Full Disk Encryption)를 사용하는 것이 좋습니다. 그러나 데이터를 숨기는 방법에는 여러 가지가 있습니다. 예를 들어 파일 헤더를 변경하거나 하드 드라이브 파티션 사이의 여유 공간에 파일을 저장하는 것도 고려해야 할 다른 옵션입니다. 실행 파일을 다른 유형의 파일로 압축하고 함께 묶는 아래 차트에 나열된 것과 같은 패커 및 바인더 프로그램 은 또한 실행 파일을 포렌식으로 리버스 엔지니어링하기 어렵게 만듭니다.

실행 가능한 패커 목록; Wikipedia 제공

루트킷은 이런 방식으로 형성됩니다. 루트킷은 기본적으로 멀웨어로 구성됩니다. "… 컴퓨터에서 영구적이거나 일관되고 탐지 불가능한 존재 [루트 수준 액세스]를 허용하는 일련의 프로그램 및 코드 " ( Donzal, 2005 ). 루트킷은 키트 내의 다양한 도구를 사용하여 관리자 수준에서 백도어 (즉, 멀웨어가 원격 액세스 트로이 목마 또는 RAT와 유사 함)를 통해 지속적인 시스템 액세스를 가능하게한다는 점에서 APT (Advanced Persistent Threat) 멀웨어의 정의입니다. 청취 및 시청 (예 : 마이크 및 웹캠 원격 활성화), 숨겨진 데이터 유출 등과 같은 기타 원격 관리 기능을 허용합니다.

루트킷은 때때로 법 집행 기관이나 기업 IT 부서의 원격 액세스 / 모니터링 목적으로도 사용됩니다. 안티 바이러스 / 악성 프로그램 소프트웨어가 스캔 할 수없는 위치에있는 컴퓨터 운영 체제 파일 내부에 숨겨져 있다는 사실과 루트킷이 실제로 자체 코드를 수정하여 탐지를 수행하는 다형성으로 인해 탐지하기 어려운 경우가 많습니다. 어려운. 일반적으로 루트킷은 웜처럼 자체적으로 전파되지 않습니다. 보고자하는 링크를 여는 동안 동시에 '드로퍼'파일로 알려진 파일을 조용히 다운로드하기 시작하는 이메일이나 웹 사이트에서 악성 링크를 클릭하여 컴퓨터에 루트킷을 다운로드 할 수 있습니다. 드롭퍼는 일반적으로 설치가 완료된 후 삭제 되는 루트킷을 설치하는 악성 코드 '실행기'프로그램을로드합니다 .

유물 삭제

다른 사람이 찾을 수없는 민감한 정보가 컴퓨터에있는 경우 지정된 순서대로 부팅되지 않거나 올바른 암호로 부팅되지 않으면 전체 운영 체제를 자동으로 지우도록 컴퓨터를 프로그래밍 할 수 있습니다. 이렇게하면 조사자가 USB 장치를 컴퓨터에 연결하여 Linux 또는 EnCase / FTK를 실행하고 직접 부팅하여 전체 드라이브 암호화를 우회하려고하면 자동으로 파일 삭제를 시작하여 법의학 조사자의 작업을 더 어렵게 만듭니다. , 불가능하지 않은 경우. 적절한 부팅 순서를 잊어 버린 경우에도 문제가 발생할 수 있습니다. 백업이 더 좋습니다! 조사자가주의를 기울이고 무슨 일이 일어나고 있는지 알아 차리면 시스템을 빨리 종료 할 수 있지만 최대 데이터로 가득 찬 부분 드라이브를 갖게됩니다. SRM, Wipe, Overwrite, DBAN, BCWipe, Eraser, R-Wipe, DiskZapper, Cryptomite 또는 Evidence Eliminator 와 같은 Kali 또는 Black Arch Linux OS 배포에서 발견되는 것과 같은 안티 포렌식 와이퍼 도구 는 효과적으로 삭제하고 덮어 씁니다. 아티팩트의 메모리는 복구 불가능하게 만듭니다.

이러한 기술이 SSD (Solid State Drive)에서 작동하지 않는 이유를 이해하려면 먼저 SSD가 일회성 메모리 할당 프로세스에서 데이터를 메모리에 쓰는 방법을 이해해야합니다. 하드 디스크 드라이브 (HDD)를 완전히 닦아야하는 경우 자기 소자 제거를 통해 살균을 수행 할 수 있습니다. NIST (National Institute of Standards and Technology)는 분해, 소각, 분쇄, 파쇄 및 용해를 권장합니다. Linux에서 dd 명령은 드라이브도 포렌식으로 지 웁니다. 소자는 SSD에서 작동하지 않지만, 드라이브를 작은 조각이나 화재로 실제로 물리적으로 파괴해야합니다. 인공물을 지우는 데 사용할 수있는 다른 기술이 있으므로 스스로 실험하는 것을 두려워하지 마십시오. 섀시가 특정 방식으로 조심스럽게 열리지 않으면 컴퓨터를 파열시키는 것도 가능합니다 (Mr. Robot의 시즌 2, 에피소드 3에서 보셨을 것입니다). 이 작업을 수행하는 방법을 정확하게 설명하지 못합니다.

트레일 난독 화

트레일 난독 화를 웹에 자신에 대한 잘못된 정보를 심어 누군가의 향기를 떨쳐 버리는 것과 같이 생각할 수 있지만, 이런 의미에서는 정교한 도구를 사용하여 활동에 대한 데이터를 수정해야합니다. 예를 들어, 감사 로그 삭제, 시스템 또는 웹 사이트에 액세스 할 때 신원 스푸핑, 의도적으로 잘못된 정보 제공, IP 주소 호핑 (Tor, I2P, FreeNet), 일회용 ( "좀비") 계정 사용 및 Timestomp 또는 Transmogrify 와 같은 도구 를 사용하여 수정 타임 스탬프 메타 데이터 및 파일 헤더 정보.

이 모든 포렌식 / 반 포렌식 강연에서 기억해야 할 점은 사실상 추적 불가능 해지는 것이 처음에 생각했던 것보다 훨씬 더 어렵다는 것입니다. 이 노력에서 기술은 당신 편이 아닙니다. 기술이 나쁘다고 말하는 것은 아니지만 대부분의 기술에는 보안에 많은 구멍이 있지만 아직 채우는 방법을 찾지 못했습니다. 사실상 추적 할 수 없게되는 물리적 요소, 사람이 세상을 생각하고 보는 방식의 정신적 요소, 그리고 매우 기술적이지만 방법을 안다면 쉽게 난독 화되는 가상 또는 사이버 공간 요소가 있습니다. 그러면 다음 에피소드까지 계속할 수있을 것입니다. 낮은 키를 유지하고 계속해서 요새 호스트가되어보세요.

제로 트러스트, 항상 확인합니다.

추가 디지털 개인 정보 보호 리소스 :

z3r0trust 개인 정보 보호 뉴스 레터 : 1 , 2 , 3 , 4 , 5 , 6 , 7 , 8 , 9 , 10 , 11 , 12 , 13 , 14 , 15 , # 4–20 , # 5–20 , # 6–20 , # 32–20 , # 33–20 , # 8–20 , 16 , 17 , 45–20 , 46–20

웹 익명화 기법 101 | 이펙터 | 감시지도 책 | https://www.privacytools.io/

Suggested posts

백신 여권을 받았습니다

백신 여권을 받았습니다

Biden 행정부는 백신 여권을 피하고 있습니다. 그것은 실수입니다. 그것은 우리를 같은 상태로 남겨 둘 것입니다.

사회 공학 공격을 위해 경찰을 가장

사회 공학 공격을 위해 경찰을 가장

사회 공학은 항상 저를 매료 시켰습니다. 저를 매료시키는 것은 사이버 범죄자들이 사람들을 속여 개인 정보 나 개인 정보를 포기하도록 속이기 위해 고안하는 끊임없이 진화하는 방법과 속임수입니다.