September 4, 2020

Криминалистический анализ активности в социальных сетях

Как-то у меня с одной подругой состоялся очень интересный разговор о социальных сетях. Начался он с нечаянно брошенной ею фразы, что просматриваемые в социальной сети видео не загружаются на ее ноутбук. Меня это убеждение весьма позабавило. Это очень распространенный миф, с которого я хотел бы начать данную главу.

Криминалистический анализ активности в социальных сетях − часть криминалистического анализа браузера, но вынесу я это отдельно, так как не всем пользователям интересен комплексный криминалистический анализ браузеров.

В этой статье я расскажу, какую информацию о вашей активности в социальных сетях могут извлечь недоброжелатели, если они получат физический доступ к вашему компьютеру. Это может быть как легальный визит правоохранительных органов с обыском и изъятием техники, так и нелегальное получение доступа к вашему устройству.

Откуда берется этот миф, понятно: вы авторизуетесь на сайте социальной сети и получаете доступ к информации − перепискам, видео, музыке. Без интернета у вас ничего не загрузится, а значит, на вашем компьютере ничего не хранится, кроме истории посещенных страниц. Логично?

Следуя этой логике, при случайном обрыве интернета в процессе использования социальной сети у вас из браузера должна пропасть вся информация, но она ведь не пропадает? А это может означать только одно: информация все-таки хранится на вашем компьютере.

Давайте в деталях разберем, какая информация, где и зачем хранится, а уже затем перейдем к процессу ее извлечения и анализа.

Первым делом вспомним, как устроено взаимодействие вашего браузера с веб-сайтом. От сервера, на котором размещен сайт, браузер получает набор кода. Затем браузер преобразует этот код в визуальный сайт – то, что вы видите на своем экране. Видео и музыку преобразуют графический и музыкальный обработчики в браузере.

Надеюсь, вы знаете, что на вашем компьютере есть оперативная (=очень быстрая) память, в которой временно хранятся используемые на текущий момент данные, и жесткий диск − место постоянного хранения информации. За редким исключением вся полученная браузером информация сохраняется первоначально в области оперативной памяти, выделенной браузеру, и очищается при закрытии браузера. Но это происходит не всегда.

Конфиденциальная информация из браузера может быть сохранена на жесткий диск в файл гибернации и затем извлечена оттуда.

Если кратко: при режиме гибернации компьютер отключает питание оперативной памяти для экономии энергии. Оперативная память является энергозависимой и не может хранить информацию без питания. Информация из оперативной памяти переносится на жесткий диск, а при выходе из спящего режима снова подгружается в оперативную память.

И, конечно, криминалисты непременно первым делом проверят ваш файл гибернации. Если ваш компьютер перейдет в режим гибернации с открытыми в браузере социальными сетями, ваша переписка и содержание страницы сохранятся на жесткий диск. Мы настоятельно рекомендуем вам отключить файл гибернации.

Как было сказано выше, при открытии веб-страницы браузер получает код и обрабатывает его. Например, вы каждый день открываете Вконтакте или Facebook, скажите: часто ли меняется структура сайта? Логотип? Основные кнопки?

А ведь загрузка и обработка кода занимают время. Если вы уже один раз загрузили код сайта, зачем загружать его второй раз при повторном открытии страницы? Согласитесь, проще сохранить код и только обновлять его при необходимости.

Описанное выше сохранение сайта называется кэшированием. Сайт один раз загружается и сохраняется на жесткий диск, а при повторном открытии загружается уже с вашего жесткого диска. Это дает возможность заметно сократить время загрузки веб-сайта при повторном открытии и снижает общую нагрузку на сеть Интернет.

Согласитесь, не очень правдоподобно звучат слова «Я не пользуюсь Facebook» при наличии на жестком диске недавно закэшированной версии сайта, которая может быть показана только после авторизации. Из этих данных можно извлечь информацию, когда вы пользовались сайтом и что вы точно авторизовались в социальной сети, даже если никакой другой информации и не сохранилось.

Разумеется, ценные данные можно извлечь и напрямую из оперативной памяти − эту тему мы вдоль и поперек разберем в статье, посвященной криминалистическому анализу оперативной памяти. Подобная ситуация опасна, когда недоброжелатели получили доступ ко включенному, но заблокированному устройству.

Многие пользователи сегодня никогда не выключают свои устройства, например, просто закрывают свой ноутбук. Устройства или переносят данные из оперативной памяти на жесткий диск, или поставляют оперативной памяти питание в режиме энергосбережения и хранят данные там (параллельно делая копии на жесткий диск для безопасности). Последнее принято называть гибридным спящим режимом: так работают многие современные ноутбуки, и это используют в своей работе криминалисты.

В процессе своей активности современный браузер со стандартными настройками сохраняет немало технической информации, в основном эта информация призвана сделать работу пользователя более комфортной. К техническим данным относятся история посещенных сайтов, пароли, сессии, кукисы.

Попадание этой информации в третьи руки крайне нежелательно. Например, сохраненные пароли и сессии позволят получить доступ к вашему аккаунту. История посещенных сайтов, сами понимаете, расскажет о просматриваемых вами страницах.

И еще: возможно, вы полагаете, что для профессионального криминалиста ваш пароль к компьютеру станет проблемой? К сожалению, нет. Для защиты своих данных наличия пароля недостаточно. Даже если пароль надежный. Подробнее об этом мы расскажем в рамках нашего курса, а пока посмотрите видео о практическом применении криминалистического анализа активности в социальной сети.