Vědci využili fragmentaci disku k uschování dat

30. 4. 2011

Sdílet

Nově vydaný článek popisuje způsob, jakým lze skrýt data před zvědavýma očima a to tím, že je možné využít fragmentaci disku v clusterovém systému souborů.

Výzkumníci z University of Southern California a National University of Science and Technology (NUST) v Islámábádu v Pákistánu uvedli, že klasické šifrování jako prostředek pro ukrytí dat je neúčinné před vykonavateli práva, kteří podniknou soudní prošetření počítačového systému.

Je to "především proto, že přítomnost šifrovaných dat může být jednoduše detekována a majitelé disku mohou být nuceni (zákonem či jiným způsobem), aby vydali dešifrovací klíč," píši vědci ve shrnutí jejich dokumentu.

Dokument "Designing a Cluster-based Covert Channel to Evade Disk Investigation and Forensics," podrobně popisuje, jak mohou být informace ukryty v uspořádání skupin souborů, které způsobuje záměrná defragmentace - "fenomén, který není neobvyklé najít v často používaných souborových systémech," uvádí zpráva.

V zájmu ochrany dat před odhalením během soudního vyšetřování vědci navrhují ukládat citlivá data ve skrytých kanálech jako 24bitové fragmenty na poloprázdných discích v clusterovém souborovém systému, což uživateli umožňuje věrohodně uschovat jakoukoliv zmínku o existenci dat.

Algoritmus ukrývající data je vytvořen pomocí disků zformátovaných pod FAT32 a využívá skupinu po sobě jdoucích sektorů na disku. Tyto sektory vytváří clustery, do kterých se dá ukládat obsah.

"Tento přístup dobře funguje, dokud nedojdou po sobě jdoucí neobsazené clustery. Pokud se tak stane, obsah souboru je rozptýlen nebo roztříštěn napříč celým systémem souborů," stojí dále ve zprávě.

Vědci také prezentovali statistiky o výskytu fragmentace v aktuálních systémech souborů z 52 disků patřících různorodým uživatelům. Na základě těchto údajů poskytli pokyny pro výběr dobře pokrytých souborů.

"Je vidět, že i když vyšetřovatel dostane podezření, bude pro něj složité odkrýt uschovaná data," dodávají.