Co o Tobie wiadomo dzięki informatyce śledczej?
• Listę odwiedzanych stron można odczytać nie tylko na podstawie ciasteczek czy historii przeglądarki, ale także za pomocą plików tymczasowych. Jeśli używasz Chrome'a możesz użyć programu ChromeCacheView.
• Eksplorator pod Windowsem czasami tworzy miniaturki plików graficznych. Znajdują się one w plikach thumbcache. W sprzyjających okolicznościach można tam znaleźć usunięty obrazek.
• Jeżeli korzystasz z przywracania systemu, to co jakiś czas tworzony jest punkt przywracania. Zawiera on historyczne wersje plików z dysku. W ten sposób można próbować odzyskać zaszyfrowane pliki.
• Windows przechowuje listę urządzeń USB, które były podpięte do komputera. Widać nie tylko nazwę urządzenia, ale także jego numer seryjny oraz czas podpięcia.
• Listy szybkiego dostępu pozwalają określić jakie pliki były niedawno otwierane/edytowane. Część z nich jest widoczna w zakładce "szybki dostęp" w eksploratorze plików. Więcej informacji zobaczysz za pomocą programu JumpListsView.
• Listę uruchamianych programów znajdziesz w rejestrze systemu. Sprawdź gałąź: HKCU\Software\Microsoft\Windows\ CurrentVersion\Explorer\UserAssist. Dane są tam zakodowane algorytmem rot13.
• Podobne informacje znajdują się w plikach z rozszerzeniem .pf w katalogu c:\Windows\Prefetch. Program PECmd pokaże Ci kiedy uruchamiano dany program oraz z jakich plików on korzystał.
• Informacje o poczynaniach użytkownika znajdziesz też w historii aktywności (Windows+Tab). Narzędzie WxTCmd wygeneruje plik CSV z czasem uruchomienia oraz długością trwania danej akcji.
• Listę ostatnich 4096 komend wykonanych z poziomu powershella znajdziesz w pliku: C:\Users*\AppData\Roaming\Microsoft\Windows\ PowerShell\PSReadline\ConsoleHost_history.txt.
• Na stronie Mojej Aktywności Google zobaczysz swoje zapytania do wyszukiwarki a także filmy na YouTube, które oglądałeś będąc zalogowanym na swoje konto.
• Twoja aktywność poza Facebookiem to lista stron, które odwiedziłeś, a które korzystają z integracji z tym serwisem. Ilość witryn zależy w głównej mierze od tego czy korzystasz z Adblocka.
• Niektóre usługi VPN mogą przechowywać logi, na podstawie których można Cię odnaleźć. Różne państwa posiadają różne przepisy odnośnie retencji danych. Retencja danych to rutynowe zatrzymywanie przez operatorów informacji o tym, kto, z kim i kiedy łączył się (lub próbował połączyć) za pomocą środków komunikacji elektronicznej.
• Czasami firma może zostać zobowiązana aby nie informować swoich użytkowników o tym, że jej infrastruktura jest przeszukiwana. Warrant canary to próba obejścia tego problemu. Tworzy się dokument, w którym zapisuje się, że jak na razie wszystko jest w porządku. Jeśli nagle plik przestaje być uaktualniany, to można zastanawiać się - czy coś jest nie tak.
• Sprawdź jak Twój VPN reaguje w przypadku nagłego rozłączenia. Czy Internet jest wtedy odłączany? Czy program posiada tak zwany kill switch? Przez to wpadł jeden z administratorów Wall Street Marketu.
• DNS leak to sytuacja kiedy zapytania do serwera DNS nie są wysyłane przez łącze VPN. Możesz mieć wtedy złudne poczucie anonimowości. Ruch jest zaszyfrowany, ale widać z jakimi stronami próbujesz się połączyć dzięki zapytaniom do serwera DNS.
• Sieć TOR również jest narażona na pewne ataki. Twój usługodawca Internetu nie wie co robisz używając TORa. Ale wie, że korzystasz z tego narzędzia. Tak wpadł Eldo Kim - student Harvardu, który doprowadził do ewakuacji uczelni. Pogróżki wysyłał przy pomocy TORa, będąc równocześnie podłączonym do uczelnianej sieci WIFI. W momencie otrzymania maila, administratorzy sprawdzili, że tylko on korzystał wtedy z anonimowej sieci. Stał się pierwszym podejrzanym. Służby nie miały twardych dowodów, ale student przyznał się do zarzucanych mu czynów podczas przesłuchania.
https://youtu.be/_oMLcOSOq2c