Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Data verbergen op je eigen pc doe je zo

Door: Ignace de Groot | 12 november 2015 19:18

How To

Inhoudsopgave

  1. Inleiding
  2. pagina 2

Iedereen heeft recht op privacy. Sommigen denken die te kunnen verzekeren door allerlei privacygevoelige data op hun pc te verbergen. In dit artikel bekijken we verschillende methodes om gegevens af te schermen, maar ook forensische technieken die allerlei 'verborgen' informatie weten op te vissen.

1 - Toestemming!

In dit artikel stellen we je een hele reeks bekende en minder bekende technieken voor waarmee je je eigen data naar anderen toe kunt afschermen of verbergen. De focus ligt echter net zo zeer op technieken waarmee jij - of erger nog: iemand anders op jouw pc - dergelijke informatie alsnog kunt bovenhalen. Zulke operaties horen tot het domein van forensisch onderzoek. In principe houden alleen politie-instanties zich met dergelijke analyses bezig, denk aan de Groep Digitale Recherche van de KLPD in Nederland of de Federal Computer Crime Unit (FCCU) in België, maar niemand weerhoudt je om dergelijke technieken zelf uit te proberen.

Uiteraard doe je dat uitsluitend op je eigen pc of op het systeem van iemand die je daartoe expliciet de toestemming heeft gegeven. In andere gevallen zijn zulke operaties wettelijk verboden en dus strafbaar. Dit soort onderzoek kan namelijk vanuit technisch oogpunt best wel leerzaam zijn en het laat je bovendien toe vergeten of verloren gewaande gegevens te herstellen. Enkele technieken uit het forensische domein zijn immers nauw verwant aan dat van dataherstel, zie daarom ook de Masterclass Dataherstel uit Computer!Totaal 10/2015.

Ook tools als Secret Disk bieden weinig meer dan schijnveiligheid.

'Security through obscurity'

We zijn zelf geen voorstander van zogenaamd geheime technieken waarmee je tracht je gegevens ontoegankelijk voor anderen te maken. In vakjargon heet deze aanpak 'security through obscurity', waarbij men dus beveiligingsrisico's tracht te beperken door (de werking van) de genomen beveiligingsmaatregelen geheim te houden. In de praktijk blijkt zo'n aanpak namelijk zelden een betrouwbaar resultaat op te leveren. We kennen zelf bijvoorbeeld verschillende (gratis) tools die elk op hun manier beloven je data stevig af te schermen, maar die zonder veel problemen toch te omzeilen zijn. Schijnveiligheid dus. Voorbeelden van zulke tools, die overigens nog altijd vlot verkrijgbaar zijn, zijn Granite Portable, Secret Disk en Wise Folder Hider Free.

Zowat de enige degelijke manier om je data ontoegankelijk te maken voor anderen is het gebruik van stevige encryptie (minimaal AES 256 bit). Let wel: een aantal aanbieders van opslag in de cloud beschermt ook je data met zo'n encryptie-algoritme, maar ze vertellen je er niet bij dat zij ook over de gebruikte encryptiesleutel beschikken. De NSA en andere instanties hoeven in zo'n geval nog weinig moeite te doen om tot bij je gegevens te komen.

2 - Profielmappen

Een van de meest voor de hand liggende en dus veelgebruikte methode om eigen data af te schermen zit stevig ingebakken in Windows: de profielmappen van een Windows-account met wachtwoord. De inhoud van deze mappen is in principe alleen zichtbaar voor wie zich met dat account aanmeldt, aangezien het ingebouwde ACL-beleid (Access Control Lists) uitsluitend toegang verleent aan de geautoriseerde gebruiker.

Ook met een live Linux-medium, bijvoorbeeld gecreëerd met YUMI, prik je zo door de ACL-beveiligingen heen.

Deze methode is echter lang niet waterdicht. Iemand hoeft zich alleen maar met een administrator-account aan te melden om deze beveiliging te omzeilen. Hij hoeft slechts naar jouw map te navigeren (C:\Users\), het contextmenu te openen en door met rechts te klikken te kiezen voor Eigenschappen \ Beveiliging \ Geavanceerd \ Eigenaar \ Bewerken (of Wijzigen) om de controle van je map aan zijn account toe te wijzen. Denk overigens niet dat je safe zit wanneer jij de enige administrator van dat systeem bent! In dat geval hoeft iemand het systeem slechts op te starten van een live bootmedium (bijvoorbeeld Ubuntu, samengesteld met behulp van de gratis tool YUMI en via de bestandsbrowser naar die map te navigeren. Aangezien Windows niet is opgestart, zijn de ACL-machtigingen langs deze weg niet langer geldig en liggen je data voor het grijpen.

3 - Verborgen stations

Er zijn verschillende technieken waarmee je schijfstations aan het oog van de nietsvermoedende gebruiker onttrekt. Sommige tools, zoals Secret Disk (zie ook kader 'Security through obscurity'), maken daarbij gebruik van een virtuele schijf waarvan de bijhorende bestandsnaam niet-toegelaten tekens bevat, zodat Windows dat bestand niet te zien geeft. Je kunt echter ook zelf stations verbergen, bijvoorbeeld vanuit het Windows Schijfbeheer. Druk op Windows-toets+R en voer het commando diskmgmt.msc uit. Klik met de rechtermuisknop op het datavolume in het visuele overzicht, kies Stationsletter en paden wijzigen en druk vervolgens op Verwijderen. Of je regelt zo'n verdwijntruc via een registeringreep. Start Regedit op, navigeer naar HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer en creëer de DWORD-waarde NoDrives. Om het A:-station te verbergen, geef je die waarde het (decimale) getal 1 mee, voor B: vul je 2 in, voor C: 4, voor D: 8, enz. Met het getal 67108863 maak je alle stations in één keer onzichtbaar.

NoDrives met waarde 16: station E: is niet langer zichtbaar in Windows Verkenner.

Echter, deze verdwijntechnieken zijn snel genoeg ongedaan gemaakt. Het volstaat om je met een beheerdersaccount aan te melden en de procedure om te draaien. Of iemand start je systeem op met een live medium als Gparted om alsnog de aanwezigheid van zo'n verborgen volume te detecteren. En voor wie nog dieper wil graven: met een fysieke schijfeditor als het gratis Active@ Disk Editor (beschikbaar voor Windows en Linux) ontmasker je zo alle schijftrucjes en krijg je de data op zowat elke schijf netjes blootgelegd.

4 - Alternate data streams

Elk besturingssysteem bedient zich van een of andere bestandsindeling om je data op een gestructureerde manier te bewaren, zodat ze naderhand altijd snel terug te vinden zijn. Bij Windows is dat op harde schijven standaard NTFS. Dit systeem heeft verschillende extra's die je niet terugvindt in een eenvoudiger systeem zoals FAT32. Een van de minder bekende extra's is de ondersteuning van de zogenoemde bestandsvorken, ook wel alternate data streams (ADS) genoemd. Het komt erop neer dat een bestand uit meerdere delen is opgebouwd: de eigenlijke gegevensvork en een of meer vorken met extra data.

Heb je bijvoorbeeld al gemerkt dat Windows je een uitvoerbaar bestand dat je van het internet hebt gedownload, niet laat installeren zonder een beveiligingswaarschuwing te geven? Ook deze informatie bevindt zich in een bestandsvork. Echter, ook andere software kan data verbergen in zo'n bestandsvork, zelfs malware, zoals de Trojaan Rustock. En wat software kan, kunnen gebruikers ook. Een klein experiment maakt dat duidelijk. Creëer eerst een willekeurig Word-document (privaat.docx) en een onschuldig tekstbestand (saai.txt). Ga daarna naar de opdrachtprompt en voer het volgende commando uit: type privaat.docx > saai.txt:privaat.docx. Het resultaat? Het Word-bestand wordt in een bestandsvork van het tekstbestand geplaatst, ook al is daar in Windows Verkenner (qua bestandsgrootte) niets van te merken. Het originele Word-document mag je nu zelfs verwijderen.

Met een eenvoudig commando hang je stiekem een document aan ander onschuldig ogend bestand.

Het lijkt er wel op dat data die je op deze manier verbergt, grondig aan het oog is onttrokken. Dat is echter maar schijn, want sinds Windows Vista volstaat het opdrachtregelcommando DIR /R om alle ADS-data zichtbaar te maken, inclusief de grootte en de naam. Of beter nog, je installeert een gratis tool als AlternateStreamView. Wanneer je hier de gedetecteerde ADS met de rechtermuisknop aanklikt en de optie Geselecteerde streams exporteren naar selecteert, kun je de verborgen data netjes weer opslaan in een afzonderlijk bestand.

2 Reacties op: Data verbergen op je eigen pc doe je zo

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 2 jaren, 2 maanden geleden darknessblade
    er is ook nog een andere manier van schijn veiligheid
    via een bepaalde .bat script kan je een folder verbergen/hernoemen tot een hidden file.

    maar dit is helaas niet veilig omdat het pw in de bat-file staat om het terug te draaien.

    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.
  • 2 jaren, 2 maanden geleden Anoniem
    s
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.