På hackersamlingen Black Hat i Las Vegas i forrige uke presenterte en gruppe forskere og sikkerhetseksperter fra Stanford University og IT-sikkerhetsselskapet Cassidian et nytt verktøy for dataetterforskere, kalt Owade, for «Offline Windows Analyzer and Data Extractor».
Poenget med Owade er å gi etterforskere en anledning til å knekke alle passord til alle brukerens tjenester på pc-en og i nettskyen, gjenvinne alle lokalt lagrede filer – også de som er slettet – og rekonstruere all bruk av pc-en på nettet, utelukkende med utgangspunkt i en kopi av harddisken og uten kontakt med nettet.
I visse tilfeller greier Owade til og med å kartlegge hvilke nettsteder brukeren har vært innom under surfing i såkalt sikker modus.
Owade er foreløpig i alpha-utgave. Verktøyet er programmert i Python og kjøres på Ubuntu. Det er beregnet på brukere i politi, tollvesen og etterretning. Siden det utelukkende anvender programvare under den frie lisensen GPL, er kildekoden fritt tilgjengelig for alle.
Foredraget og presentasjonen som ble holdt på Black Hat, «Beyond files undeleting», er tilgjengelig fra det personlige nettstedet til Elie Bursztein, Stanford-forskeren som sto for selve foredraget: Doing forensics in the cloud age (pdf, 23 sider).
Bursztein peker på at stadig mer pc-aktivitet dreier seg om tjenester i nettskyen, og at stadig mer brukerdata lagres der: Hvert 20. minutt lastes 2,7 millioner fotografier til Facebook. Hver lagres 100 millioner nye filer på Dropbox. E-post, meldinger og kontakter lagres i stadig større utstrekning i nettskyen. Følgelig kan ikke dataetterforskere nøye seg med å rekonstruere det som er lagret på en harddisk. De må kunne rekonstruere brukerens spor og filer i nettskyen.
Utfordringen er stor. Bare det å gjenvinne passord og brukernavn til Facebook med utgangspunkt i en harddisk krever at man knekker fire lag med kryptering. I sin presentasjon (pdf, 171 sider), illustrerer Bursztein dette slik:
Nettlesere har forskjellige metoder for å lagre passord. Owade har verktøy for å knekke passordlagringen til Internet Explorer, Firefox, Safari og Chrome. Ifølge Bursztein er Firefox den enkleste å knekke, Internet Explorer den suverent vanskeligste. Men selv med Internet Explorer lar det seg gjøre å rekonstruere også noe surfing i «privat» modus.
Owade lar også etterforskere dekryptere data om hvordan pc-en er blitt brukt i trådløse nettverk, både WLAN og mobil. Verktøyet gir en oversikt over hvilke aksesspunkter som er brukt, og hvor disse aksesspunktene befinner seg.
Egne moduler knekker krypteringen til lynmeldingsprogramvare som Windows Live Messenger og Skype. Owade kan til og med utføre en sårbarhetsanalyse av maskinen som harddisken har vært i, og avsløre piratkopierte applikasjoner.
Informasjonen som etterforskere kan skaffe seg gjennom Owade, er langt mer omfattende enn det som kan hentes gjennom for eksempel analyse av trafikkdata oppbevart i henhold til EUs datalagringsdirektiv, og analysen kan antakelig gjøres langt raskere.
Et sikkerhetstiltak som ikke nevnes av forskerne bak Owade, er Microsoft Bitlocker, som gjør det mulig å kryptere absolutt hele harddisken. Antakelig skyldes det at Owade står maktesløs overfor Bitlocker.
En anbefaling gjenstår: Skulle du komme i skade for å miste din pc, få den beslaglagt eller oppleve at uvedkommende kan ha hatt anledning til å kopiere hele disken – og disken ikke er kryptert – bør du snarest sørge for å endre absolutt alle dine brukernavn og passord i nettskyen.
Og så kan Opera-brukere for en gangs skyld glede seg over at noen har oversett deres nettleser.