Technology related forensics and anti-forensics Ίχνη που σχετίζονται με τεχνολογία τα οποία μπορεί να αξιοποιήσει η σήμανση

Transcript

1

2 Technology related forensics and anti-forensics Ίχνη που σχετίζονται με τεχνολογία τα οποία μπορεί να αξιοποιήσει η σήμανση Forensics is the preservation, identification, extraction, documentation and interpretation of computer data as evidence Antiforensics attempts to negatively affect the existence, amount and/or quality of evidence from a crime scene, or make the analysis and examination of evidence diffucult or impossible to conduct Αυτά που θα πούμε παρακάτω, σε καμία περίπτωση δεν πρέπει να θεωρηθούν σενάρια επιστημονικής φαντασίας. Πολλά από αυτά που βλέπουμε σε ταινίες και τα θεωρούμε απίστευτα, υπάρχουν στα χέρια του στρατού εδώ και χρόνια. Επειδή σε ότι αφορά θέματα τεχνολογίας, ο στρατός και το κράτος γενικότερα έχουν το πάνω χέρι(μην ξεχνάμε ότι το internet το εφήυρε ο στρατός και μετά από κάποια χρόνια δόθηκε στο κοινό), καλό είναι να γνωρίζουμε πως πρέπει να χρησιμοποιούμε διάφορα τεχνολογικά προϊόντα(όπως κινητά και υπολογιστές) καθώς η άγνοια των μειονεκτημάτων τέτοιων συσκευών, μόνο εναντίον μας μπορεί να στραφεί. Όλα όσα θα ειπωθούν παρακάτω είναι πραγματικά και όχι υποθετικά και είναι τεχνογνωσία η οποία υπάρχει εδώ και χρόνια και όχι κάτι καινούριο. Δε θα μπούμε στη διαδικασία να αναλύσουμε το αν υπάρχει το τεράστιο δίκτυο παρακολούθησης που ακούει στο όνομα echelon. Θα περιγράψουμε πράγματα τα οποία είναι ήδη γνωστά. Σκοπός λοιπόν των παρακάτω, δεν είναι να τρομοκρατηθούμε, αλλά να μεταφερθεί κάποια γνώση, η χρήση της οποίας θα μπορεί να βοηθήσει κάποιον κόσμο στο να κινηθεί ανάλογα, και για κάθε ενέργεια του να γνωρίζει τους κινδύνους και το ρίσκο που ενυπάρχουν σε κάποια θέματα, καθώς και ποιες λύσεις ή κατευθύνσεις μπορεί να ακολουθήσει ώστε να ελαχιστοποιήσει τους κινδύνους αυτούς. Είναι βασικό αν κάποιος θέλει να κάνει κάποια πράγματα να γνωρίζει πως θα μπορέσει να τα υλοποιήσει με τη μέγιστη δυνατή ασφάλεια. Και φυσικά από εκεί και πέρα είναι στην ευχέρεια του καθενός το αν θα ακολουθήσει τις λύσεις και τις συμβουλές που προτείνονται εδώ, οι οποίες σε καμία περίπτωση δεν πρέπει να θεωρηθούν ως απόλυτη λύση. Σκοπός είναι να αναλυθούν κάποια ζητήματα, να αναλυθούν σύντομα τα προβλήματα ασφάλειας, καθώς και το πως μπορούν να αντιμετωπιστούν, και στη συνέχεια ο αναγνώστης να κάνει τις προσωπικές του επιλογές. Οι λύσεις που παρουσιάζονται εδώ σε κάποια σημεία μπορεί να φαίνονται παρανοϊκές. Είναι. Από εκεί και πέρα ο καθένας μπορεί να επιλέξει το πόσο παρανοϊκός θα γίνει. Ας γνωρίζουμε όμως, πως η τεχνολογία καθημερινά προχωρά και ειδικά στον κλάδο της ασφάλειας. Συνεπώς αυτά που προτείνουμε σήμερα σαν λύσεις, μπορεί σε λίγο καιρό να θεωρούνται άχρηστα. Η ενημέρωση για τον συγκεκριμένο τομέα, απαιτεί καθημερινή ενασχόληση και αναζήτηση και πολλές φορές απαιτεί την απόκτηση εξεζητημένης γνώσης για τη σωστή αξιολόγηση των εξελίξεων. Σημείωση: Σε ορισμένα σημεία, είναι πιθανό να γίνουν κάποιες απλοποιήσεις στην εξήγηση ορισμένων εννοιών καθώς η αναλυτική επεξήγηση θα ήταν και κουραστική και ανούσια για το σκοπό του συγκεκριμένου κειμένου. Σε όποιο σημείο γίνεται ανάλυση των τεχνολογιών και των μεθοδολογιών, έχει γίνει προσπάθεια να διατηρηθεί ένα επίπεδο βασικό λαμβάνοντας πάντα υπόψιν να είναι ταυτοχρόνως αρκετό για την κατανόηση. Βασικός στόχος είναι να μη χρειάζεται κάποιος να καταδυθεί στα άδυτα της τεχνολογίας για να κατανοήσει τα παρακάτω, αλλά να γνωρίζει κάποια βασικά πράγματα ώστε να μπορεί να κατανοήσει το πως λειτουργούν οι παρακολουθήσεις σε αυτόν τον τομέα καθώς και με ποιους τρόπους μπορεί να τις αποφύγει. Σε περίπτωση που κάποιος θεωρεί ότι υπάρχουν λάθη ή ανακρίβειες σε αυτά που ακολουθούν ή θεωρεί πως πρέπει να υπάρχει περισσότερη/λιγότερη επεξήγηση σε κάποιο θέμα ή προσθήκες, μπορεί να στείλει mail στο ulysses_@gmx.com ή να αφήσει κάποιο σχόλιο στο το οποίο θα αποτελεί και το επίσημο site της συγκεκριμένης προσπάθειας. Το καθώς και το blog θα ελέγχονται ανά άτακτα χρονικά διαστήματα. Κάθε αναδημοσίευση ολική ή μερική με οποιονδήποτε τρόπο (είτε έντυπα είτε όχι), είναι ευπρόσδεκτη χωρίς να κρίνεται απαραίτητη η αναφορά της πηγής. Λακέδες της εξουσίας και ΜΜΕ θα μας βρουν απέναντί τους.

3 Χρήσιμες Πληροφορίες που θα βοηθήσουν στην κατανόηση των θεμάτων που θα αναπτύξουμε αργότερα. Man In The Middle attack(mitm): Έτσι ονομάζεται το ενδεχόμενο όπου ένας τρίτος υποκλέπτει τις πληροφορίες που ανταλλάσσουμε με κάποιον. Θα δώσουμε ένα συγκεκριμένο και υπαρκτό παράδειγμα, για να γίνει περισσότερο κατανοητή αυτού του είδους η υποκλοπή. Ας πούμε ότι μιλάμε στο κινητό μας τηλέφωνο. Αυτό που συμβαίνει είναι το εξής: Η συσκευή μας, επικοινωνεί με την κεραία για να στείλει δεδομένα και η κεραία επικοινωνεί με τη συσκευή μας για να στείλει με τη σειρά της δεδομένα. MITM attack είναι να μπει κάποιος τρίτος ανάμεσα σαν διαμεσολαβητής και να αναλάβει αυτός την επικοινωνία. Στο συγκεκριμένο παράδειγμα, ο τρίτος θα παίρνει από εμάς τα δεδομένα που προορίζονται για την κεραία και θα τα στέλνει αυτός στην κεραία(κάτι σαν ταχυδρομείο). Το ίδιο θα κάνει και με τα δεδομένα που η κεραία προορίζει για εμάς. Φυσικά, από τη στιγμή που όλα τα δεδομένα πλέον περνάνε μέσω αυτού του διαύλου, αυτός μπορεί να δει και τι δεδομένα ανταλλάσσουμε(όπως το ίδιο μπορεί να κάνει και το ταχυδρομείο με την αλληλογραφία μας). Είναι πολύ δύσκολο να αντιληφθούμε την ύπαρξη μιας τέτοιας υποκλοπής χωρίς συγκεκριμένα εργαλεία ελέγχου καθώς ο υποκλοπέας ξεγελάει και τον δέκτη και τον αποστολέα και υποδύεται τον αποστολέα και τον δέκτη αντίστοιχα. Με λίγα λόγια αν έχουμε τον Bob που επικοινωνεί με την Alice, ο Gordon μπορεί να γίνει ο man in the middle και στον Bob να υποδύεται ότι είναι η Alice και στην Alice ότι είναι ο Bob, με αποτέλεσμα όλη η επικοινωνία να περνάει μέσω αυτού. Μια λύση για αυτό το πρόβλημα, είναι η χρήση της κρυπτογράφησης των δεδομένων που ανταλλάσσουμε. Η χρήση διαμεσολαβητών στις επικοινωνίες μας, δεν είναι πάντα κάτι αρνητικό. Θα δούμε περισσότερα στην περίπτωση της ανωνυμίας στο internet. Κρυπτογραφία: Κάποιες βασικές έννοιες για το τι είναι κρυπτογραφία. Κρυπτογραφία είναι η απόκρυψη του περιεχομένου ενός μηνύματος. Με λίγα λόγια αν έχουμε ένα μήνυμα Γεια, κρυπτογραφημένο αυτό το μήνυμα μπορεί να φαίνεται Όταν κρυπτογραφούμε ένα κείμενο, χρειαζόμαστε έναν αλγόριθμο κρυπτογράφησης και ένα κλειδί. Αλγόριθμος κρυπτογράφησης είναι η περιγραφή της διαδικασίας της κρυπτογράφησης, είναι δηλαδή κάτι σαν συνταγή. Το κλειδί είναι ουσιαστικά τα συστατικά αυτής της συνταγής. Η κρυπτογραφία λύνει το πρόβλημα της απώλειας ή της υποκλοπής μιας πληροφορίας, καθώς αν η πληροφορία αυτή είναι κρυπτογραφημένη, θα πρέπει να αποκρυπτογραφηθεί με τη χρήση του κλειδιού αποκρυπτογράφησης και τον αλγόριθμο αποκρυπτογράφησης. Ο αλγόριθμος αποκρυπτογράφησης περιγράφει την αντίστροφη διαδικασία, δηλαδή είναι συνταγή του πως θα μετατρέψουμε ένα ακαταλαβίστικο κείμενο σε χρήσιμη πληροφορία. Το κλειδί αποκρυπτογράφησης μπορεί είτε να είναι το ίδιο με το κλειδί κρυπτογράφησης(οπότε μιλάμε για συμμετρική κρυπτογραφία), είτε να είναι διαφορετικό(οπότε μιλάμε για ασύμμετρη κρυπτογραφία). Υπάρχουν πάρα πολλοί απλοί και πολύπλοκοι αλγόριθμοι κρυπτογράφησης. Είναι προφανές ότι για να αποκρυπτογραφήσουμε ένα κείμενο που έχει κρυπτογραφηθεί π.χ με τον αλγόριθμο Α, χρειαζόμαστε τον αλγόριθμο αποκρυπτογράφησης Α για να μπορέσουμε να αντιστρέψουμε τη διαδικασία. Δηλαδή: Μήνυμα + αλγόριθμος κρυπτογράφησης + κλειδί = κρυπτογραφημένο μήνυμα αλγόριθμος αποκρυπτογράφησης + κλειδί αποκρυπτογράφησης + κρυπτογραφημένο μήνυμα = Μήνυμα Υπάρχουν κλειστοί(μυστικοί) αλγόριθμοι και ανοιχτοί(ελεύθεροι) οι οποίοι υλοποιούνται από προγράμματα. Για παράδειγμα ο αλγόριθμος που χρησιμοποιούν τώρα τα κινητά για την κρυπτογράφηση των συνομιλιών λέγεται Α5 και είναι κλειστός. Το να είναι ένας αλγόριθμος κλειστός δεν είναι απαραίτητα καλό, γιατί δεν μπορεί να ελεγχθεί ο αλγόριθμος για προβλήματα. Ένας ανοιχτός(open source) κώδικας σημαίνει πως μπορεί να ελεγχθεί από όλους. Αυτό με μια πρώτη ματιά μπορεί από κάποιον να θεωρηθεί κακό. Όμως θα πρέπει να γνωρίζουμε πως υπάρχουν πάρα πολλοί ακαδημαϊκοί οι οποίο ασχολούνται με την αξιολόγηση τέτοιων αλγορίθμων. Συνεπώς, σε περίπτωση που βρεθεί κάποιο λάθος, έχουμε περισσότερες πιθανότητες να το μάθουμε, ενώ μπορεί ταυτόχρονα να παρουσιαστούν και λύσεις. Στην περίπτωση κλειστού κώδικα, η εύρεση ενός λάθους είναι αρκετά πολύπλοκη καθώς απαιτεί συνεχές τεστάρισμα για λάθη. Δηλαδή κάποιος πρέπει να εκτελεί συνέχεια το πρόγραμμα με διαφορετικά δεδομένα για να ανακαλύψει τυχόν λάθη, που στην περίπτωση ανοιχτού κώδικα μπορεί να φαινόντουσαν με την πρώτη ματιά. Πέραν τούτου, πολλές φορές η ανακάλυψη ενός προβλήματος σε ένα πρόγραμμα/αλγόριθμο κλειστού κώδικα, μένει μυστική καθώς λόγω της μυστικότητας του αλγορίθμου υπάρχουν λιγότερες πιθανότητες να ανακαλύψει και άλλος το πρόβλημα, με αποτέλεσμα το άτομο που ανακάλυψε αρχικά το πρόβλημα να το εκμεταλλεύεται για τον εαυτό του. Στο παράδειγμα του Α5, όταν διέρρευσαν

4 κάποια κομμάτια του αλγορίθμου βρέθηκαν διάφορα προβλήματα στον αλγόριθμο η εκμετάλλευση των οποίων μπορούσε να οδηγήσει στην αποκρυπτογράφηση μηνυμάτων χωρίς το κλειδί. Με αυτό τον τρόπο είναι εφικτή η υποκλοπή συνομιλιών κινητής τηλεφωνίας χωρίς τη συναίνεση της εταιρίας. Δηλαδή μέσω ενός MITM attack κάποιος τρίτος παρόλο που τα δεδομένα της τηλεφωνίας που υποκλέπτει είναι κρυπτογραφημένα, μπορεί να τα αποκρυπτογραφήσει. Όταν ο αλγόριθμος κρυπτογράφησης έχει πρόβλημα(bug) τότε η διαδικασία εύρεσης του κωδικού(κλειδιού) μπορεί είτε να παρακαμφθεί είτε να μειωθεί αισθητά ο χρόνος ανεύρεσης του κωδικού. Μια μικρή λεπτομέρεια πάνω σε αυτό: οι περισσότερες κρυπτογραφήσεις που είναι ανασφαλείς πλέον, είναι εξαιτίας της λανθασμένης υλοποίησης του αλγορίθμου κρυπτογράφησης. Και εδώ ακριβώς τίθεται το θέμα της εξέλιξης, καθώς κάποια στιγμή στο μέλλον μπορεί να βρεθεί ότι η υλοποίηση ενός αδιαπέραστου αλγορίθμου από προγράμματα που θα αναφέρουμε παρακάτω, είναι προβληματική. Αυτό δε σημαίνει ότι ο αλγόριθμος(π.χ Blowfish) είναι προβληματικός, αλλά ότι το πρόγραμμα δεν τον υλοποιεί σωστά και συνεπώς το να κρυπτογραφούμε τα δεδομένα μας με αυτό το πρόγραμμα, πλέον δεν τα καθιστά ασφαλή. Επίσης μπορεί το πρόγραμμα να χρησιμοποιεί έναν σωστό αλγόριθμο, αλλά κάποια προγραμματιστικά λάθη του προγράμματος να το κάνουν ανασφαλές. Αυτό που πρέπει να κρατήσουμε εδώ, είναι ότι ο αλγόριθμος κρυπτογράφησης, είναι στην ουσία μαθηματικά. Οπότε ο κλάδος των μαθηματικών θα βρει λάθη στον αλγόριθμο. Συνήθως, η εύρεση ενός λάθους σημαίνει συχνά πως το πραγματικό μήνυμα μπορεί να βρεθεί σε λιγότερο χρόνο από ότι θα έπρεπε ενώ πιο σπάνια σημαίνει πως ένα μήνυμα μπορεί να βρεθεί αμέσως. Επειδή όμως ο αλγόριθμος είναι μαθηματικά, με κάποιον τρόπο πρέπει να μεταφερθεί στον υπολογιστή μας. Και εδώ είναι που ξεκινάνε τα πραγματικά λάθη, είτε με λάθος προγραμματιστική υλοποίηση του αλγορίθμου, είτε με άλλα λάθη του προγράμματος. Οπότε επιλέγουμε ανοιχτούς αλγορίθμους και κατά προτίμηση ανοιχτά(open source) προγράμματα υλοποίησης-κρυπτογράφησης. Ένα σύντομο παράδειγμα που αποδεικνύει τα παραπάνω είναι το εξής: Το 2007 η αμερικάνικη κυβέρνηση παρουσίασε 4 νέα στάνταρ κρυπτογράφησης που τα πρότεινε ως ασφαλή και η NSA. Η πρόταση αυτή φυσικά ήταν σε ανοιχτό κώδικα (καθώς κανείς δεν εμπιστεύεται την NSA). Όπως φάνηκε αργότερα και παρουσιάστηκε στο συνέδριο κρυπτογραφίας CRYPTO τον ίδιο χρόνο, ένας από τους αλγορίθμους που προτεινόταν είχε ένα καλά κρυμμένο σφάλμα που ουσιαστικά άνοιγε μια κερκόπορτα (backdoor) στο ασφαλές μήνυμα. Το σφάλμα αυτό ήταν φυσικά μαθηματικό ενώ ήταν αρκετά πολύπλοκη διαδικασία η ανακάλυψή του. Οι ερευνητές που το ανακάλυψαν έμειναν άφωνοι καθώς δεν υπήρχε δικαιολογία για τέτοιο σφάλμα, με λίγα λόγια μόνο εσκεμμένα θα μπορούσε να γίνει κάτι τέτοιο. Σκεφτείτε λοιπόν πόσο δύσκολα θα βρισκόταν ένα τόσο καλά κρυμμένο backdoor σε περίπτωση που ο αλγόριθμος ήταν κρυφός. Επίσης όσο μεγαλύτερο κωδικό(κλειδί) χρησιμοποιούμε, τόσο καλύτερα. Ας πάρουμε ένα υποθετικό σενάριο κρυπτογράφησης. Έστω ότι έχουμε ένα κρυπτογραφημένο μήνυμα τριών(3) χαρακτήρων. Για παράδειγμα Α Β Γ. Ας πούμε ότι κάθε γράμμα αντιστοιχεί σε 1 αληθινό γράμμα(δηλαδή το αποκρυπτογραφημένο μήνυμα είναι και αυτό 3 χαρακτήρες). Ας πούμε επίσης ότι το μήνυμα μας είναι στην πραγματικότητα ένας 3ψηφιος αριθμός και ο υποκλοπέας το γνωρίζει αυτό. Αυτό τι σημαίνει πρακτικά για τον υποκλοπέα ; Ο αριθμός μπορεί να είναι ο 001, ο 123, ο 357, ή ο 999 για παράδειγμα. Άρα, ο υποκλοπέας πρέπει να εξετάσει όλους τους πιθανούς συνδυασμούς(πάντα για να βρούμε την πολυπλοκότητα ενός υπολογισμού παίρνουμε τη χειρότερη περίπτωση, άρα εδώ την περίπτωση ο σωστός αριθμός να είναι ο τελευταίος που θα εξεταστεί, δηλαδή ο 999). Ποιος είναι ο αριθμός των συνδυασμών ; Στη συγκεκριμένη περίπτωση είναι 10 3 (δηλαδή 1000 συνδυασμούς αφού έχουμε από το ). Πως υπολογίζεται γενικά αυτός ο αριθμός; Ο τύπος είναι ο εξής: πόσα ψηφία είναι ο κωδικός μου (πλήθος ψηφίων από τα οποία μπορώ να διαλέξω για κωδικό) Στο παράδειγμα μας η βάση είναι 10(αφού διαλέγω χαρακτήρες από το 0 έως το 9) και ο εκθέτης 3(αφού ο κωδικός μου είναι ΑΒΓ άρα 3 χαρακτήρες). Πως λειτουργεί η εύρεση κωδικών Στην περίπτωση που ο αλγόριθμος κρυπτογράφησης που χρησιμοποιούμε δεν έχει προβλήματα, κάποιος για να βρει τον κωδικό μας πρέπει να μαντέψει ποιος είναι ψάχνοντας τον σε ένα πλήθος συνδυασμών. Οι περισσότεροι αλγόριθμοι υποστηρίζουν τη χρήση όλων των χαρακτήρων του πληκτρολογίου(δηλαδή τους αριθμούς, τα αγγλικά γράμματα, τα κόμματα τις τελείες κλπ). Όλοι αυτοί οι χαρακτήρες συνολικά είναι 94 καθώς παίζει ρόλο και αν ένα γράμμα είναι κεφαλαίο ή όχι. Στην περίπτωση ενός τριψήφιου κωδικού με βάση το παραπάνω ο αριθμός των συνδυασμών είναι 94 3 = Δηλαδή ακόμα και σε αυτή την περίπτωση του μικρού κωδικού ο αριθμός ειναι σχετικά μεγάλος. Αν είχαμε ένα 30ψήφιο κωδικό οι συνδυασμοί που υπάρχουν είναι περίπου 1,5x Ακόμα και ένας υπερυπολογιστής είναι αδύνατο να ψάξει όλο αυτό το πλήθος των συνδυασμών σε λίγο χρόνο. Σκεφτείτε ότι ο πιο γρήγορος υπερυπολογιστής για να υπολογίσει συνδυασμούς θα κάνει 1 χρόνο. Με λίγα λόγια, θα κάνει 1 χρόνο για να υπολογίσει 1 κωδικό 13 ψηφίων(62 13 =2*10 23 ο οποίος αποτελείται από γράμματα (μικρά ή μεγάλα) και αριθμούς (δηλαδή χωρίς σύμβολα). Με αυτό το δεδομένο, για να βρεθεί ένας κωδικός, πρέπει να γίνουν κάποιες υποθέσεις και με βάση αυτές τις υποθέσεις να υπολογιστεί συγκεκριμένο πληθος συνδυασμών. Έχουμε τις παρακάτω διαδικασίες: Bruteforcing: Είναι η διαδικασία όπου ψάχνουμε όλους τους πιθανούς συνδυασμούς. Dictionary attack: Είναι η διαδικασία όπου θεωρούμε ότι ο κωδικός είναι μια λέξη κάποιας γλώσσας. Οπότε

5 εξετάζουμε ένα λεξικό(ένα αρχείο με λέξεις) αυτής της γλώσσας να δούμε αν είναι κάποια από αυτές ο κωδικός. Common passwords: Είναι η διαδικασία όπου ψάχνουμε να βρούμε τον κωδικό μέσα σε ένα πλήθος απλών κοινών κωδικών. Οι κωδικοι και qwerty είναι τέτοιοι κοινοί κωδικοί. Πολλοί άνθρωποι χρησιμοποιούν τέτοιους κωδικούς στην καθημερινότητα τους. Η διαδικασία λοιπόν που ακολουθεί κάποιος(και η αστυνομία) είναι η εξής: Πρώτα προσπαθούν να δουν αν ο κωδικός είναι κάποιος από τους κοινούς κωδικούς. Ύστερα ελέγχουν αν είναι κάποιος αριθμός(αριθμός τηλεφώνου π.χ). Μετά από αυτό ελέγχουν αν ο κωδικός είναι μια λέξη κάποιας γλώσσας. Εδώ δημιουργείται ένα πρόβλημα υπέρ μας, καθώς σε πολλά προγράμματα δεν επιτρέπεται η χρήση ελληνικών χαρακτήρων. Οπότε μπορούμε να χρησιμοποιήσουμε greeklish(ελληνικά με λατινικούς χαρακτήρες). Η δημιουργία ενός λεξικού σε greeklish είναι αρκετά δύσκολη διαδικασία καθώς στην περίπτωση των greeklish ένας ελληνικός χαρακτήρας μπορεί να αντιπροσωπεύεται από παραπάνω από έναν λατινικούς χαρακτήρες. Για παράδειγμα το γράμμα Θ κάποιοι το γράφουν ως th και κάποιοι ως 8. Υπάρχουν πολλοί τέτοιοι χαρακτήρες που σημαίνει ότι ένα λεξικό ελληνικών λέξεων με ελληνικούς χαρακτήρες, θα είναι πολλαπλάσιο σε πλήθος αν το μετατρέψουμε σε greeklish. Αν τίποτα από τα παραπάνω δεν έχει αποδώσει μέχρι στιγμής, είναι πιθανό να χρησιμοποιηθεί η μέθοδος bruteforce αλλά δεν είναι σίγουρο, καθώς μια τέτοια μέθοδος για να είναι όσο το δυνατόν γρηγορότερη απαιτεί την πλήρη δέσμευση του υπολογιστή(υπερυπολογιστή για μεγαλύτερη ταχύτητα). Οπότε το να δεσμευθεί ένας υπερυπολογιστής για να βρεθεί ένας κωδικός του οποίου η εύρεση θα αποκαλύψει αμφιβόλου ποιότητας δεδομένα(καθώς κάποιος δεν μπορεί να ξέρει το κατά πόσο αξίζει τις προσπάθειες αποκρυπτογράφησης το αποτέλεσμα) είναι αρκετά απίθανο. Με λίγα λόγια, υπάρχει πιθανότητα αν έχουμε ενα 13ψήφιο κωδικό(όπως αναφέραμε πιο πάνω), η αστυνομία να δεσμεύσει για 1 χρόνο έναν υπερυπολογιστή; Συνεπώς: Χρησιμοποιούμε όσο το δυνατόν μεγαλύτερους κωδικούς γίνεται. Επίσης να χρησιμοποιούμε όσο γίνεται περισσότερους χαρακτήρες του πληκτρολογίου. Δηλαδή κεφαλαία γράμματα, μικρά, αριθμούς και ειδικούς χαρακτήρες όπως (!,.{; ] ). Επειδή η απομνημόνευση κωδικών με πολλά ψηφία είναι κάτι δύσκολο, αν θέλουμε να χρησιμοποιήσουμε λέξεις, είναι καλύτερο να χρησιμοποιήσουμε ελληνικές λέξεις σε greeklish(αντί για αγγλικές π.χ) Παρακολουθήσεις κινητών τηλεφώνων Τα κινητά πλέον είναι ένα από τα πιο ανασφαλή και επικίνδυνα μέσα επικοινωνίας. Και το χειρότερο είναι ότι δεν υπάρχει τρόπος να λύσουμε τα όποια προβλήματα και να χρησιμοποιούμε το κινητό μας(όπως μπορεί να γίνει με τον υπολογιστή μας). Ο τρόπος που λειτουργούν τα κινητά είναι να στέλνουν ένα σήμα στην κοντινότερη κεραία με πληροφορίες για τη σύνδεση(όπως αριθμός της sim) και η κεραία ελέγχει αν ο χρήστης δικαιούται να συνδεθεί(και αν δικαιούται, αν μπορεί να κάνει κλήσεις ή απλώς να λάβει). Ένα άλλο στοιχείο που στέλνεται στην κεραία, είναι ο αριθμός IMEI (International Mobile Equipment Identity) του κινητού μας τον οποίο ελέγχει η κεραία για να διαπιστώσει την εγκυ-

6 ρότητά του. Αυτός ο αριθμός είναι μοναδικός παγκοσμίως, δηλαδή δεν υπάρχει άλλη συσκευή που να αντιστοιχεί σε αυτήν ο ίδιος IMEI*. Αυτές οι πληροφορίες καταγράφονται σε αρχεία(logs) και μπορούν να ελεγχθούν ανά πάσα στιγμή. Μετά από πόσο χρόνο σβήνονται αυτά τα αρχεία, δεν είναι γνωστό. Σίγουρα όμως δεν καταλαμβάνουν μεγάλο όγκο δεδομένων όπως για παράδειγμα καταλαμβάνουν βίντεο από κάμερες. *το imei ενος κινητού μπορεί να βρεθεί ακόμα και αν δεν γνωρίζουμε τον αριθμό pin της sim. Ανοίγοντας ένα κλειστό κινητό(ισχύει για μερικά μοντέλα), στο μενού που μας ζητάει κωδικό pin, αν πατήσουμε *#06# μπορούμε να δούμε το imei της συσκευής. Με λίγα λόγια, μπορεί να μη χρειάζεται κάποιος να ανοίξει μια συσκευή για να μάθει πληροφορίες για αυτήν. Λίγα λόγια για το IMEI: Το ότι το IMEI είναι μοναδικό, αρχικά μπορεί σε κάποιον να φαίνεται ασήμαντο. Τι σημαίνει αυτό όμως πρακτικά; 1. Σημαίνει ότι η εταιρία της συσκευής μας μπορεί να μπλοκάρει τον αριθμό IMEI. Όλες οι εταιρίες κινητής τηλεφωνίας παγκοσμίως, ελέγχουν σε κάθε σύνδεση τον αριθμό IMEI για να διαπιστωθεί αν είναι καθαρός. Αν η εταιρία(π.χ NOKIA) μπλοκάρει τον αριθμό IMEI, τότε θα είναι αδύνατον για εμάς να πάρουμε οποιοδήποτε τηλέφωνο από αυτή τη συσκευή παγκοσμίως. 2. Σημαίνει ότι μια παρακολούθηση μπορεί να γίνει με βάση αυτό το IMEI. Δηλαδή να παρακολουθείται οποιαδήποτε συνομιλία γίνεται από αυτή τη συσκευή ανεξαρτήτως κάρτας sim που εισέρχεται. 3. Σημαίνει ότι ακόμα και αν χρησιμοποιήσουμε μια ανώνυμη σύνδεση από τη συσκευή μας(καρτοκινητό), αν στην ίδια συσκευή έχουμε χρησιμοποιήσει στο παρελθόν ή χρησιμοποιήσουμε στο μέλλον κάποια προσωπική μας σύνδεση, μπορούν να μας εντοπίσουν. Θα αναφερθούμε παρακάτω σε συγκεκριμένο παράδειγμα που συνέβη στην ελλάδα. Πως λειτουργούν οι παρακολουθήσεις: Υπάρχουν τριών (3) ειδών παρακολουθήσεις. 1. Αυτές που μπορεί να κάνει η εταιρία κινητής τηλεφωνίας βάσει εντολών 2. Αυτές που μπορεί να κάνει η αστυνομία και η ΕΥΠ από το κτήριό τους 3. Αυτές που μπορεί να κάνει η αστυνομία, η ΕΥΠ και οποιοσδήποτε έχει λεφτά αρκεί να είναι κοντά στο σημείο στο οποίο χρησιμοποιούμε το κινητό μας(αυτή η μέθοδος ίσως σε κάποιους να είναι γνωστή ως βαλιτσάκι της ΕΥΠ) Σημείωση: Όταν λέμε παρακολουθήσεις, εννοούμε παρακολούθηση και καταγραφή του περιεχομένου των συνομιλιών/sms. Πληροφορίες όπως ώρες κλήσης, ποιοι αριθμοί κλήθηκαν από ένα συγκεκριμένο νούμερο, πόση ώρα διήρκησαν οι συνομιλίες κλπ είναι στοιχεία τα οποία έτσι κι αλλιώς καταγράφονται από κάθε εταιρία κινητής τηλεφωνίας και δε χρειάζεται ούτε κάποιος ειδικός εξοπλισμός ούτε κάποια ειδική εντολή(εισαγγελική εντολή π.χ) για να ξεκινήσει μια τέτοια διαδικασία. Με λίγα λόγια, για κάθε αριθμό που ανήκει σε μια εταιρία κινητής, είτε αυτός είναι ανώνυμος είτε επώνυμος, η εταιρία κρατά αρχείο με κλήσεις, διάρκεια καθώς και στίγμα(σε ποια περιοχή είναι) του αριθμού αυτού. Οποιοδήποτε αίτημα(κλήση, σύνδεση με το δίκτυο) κάνει η συσκευή μας προς την κεραία, καταγράφεται μαζί με τον αριθμό IMEI που κάνει το αίτημα. Παράδειγμα: Ο αριθμός 693******* αιτείται μέσω της συσκευής με ΙΜΕΙ τάδε, να συνδεθεί στο δίκτυο. Δίνεται άδεια σύνδεσης στο δίκτυο. Ο συγκεκριμένος χρήστης έχει άδεια να πραγματοποιήσει κλήσεις. Ο χρήστης ζητάει να συνδεθεί με τον αριθμό 697*******. Εντοπίζεται ο συγκεκριμένος συνδρομητής, και εντοπίζεται ότι η SIM που αντιστοιχεί σε αυτόν τον αριθμό, υπάρχει στη συσκευή με αριθμό IMEI τάδε. Πραγματοποιείται κλήση την ώρα ΧΧ:ΥΥ:ΤΤ μέχρι την ώρα ΧΧ:ΥΥ:ΤΤ. Παρόμοιο αρχείο διατηρείται και για τη σταθερή τηλεφωνία καθώς και για το internet. Δεν καταγράφονται συνομιλίες αν δεν υπάρχει συγκεκριμένη εντολή. Αναλυτικότερα: 1. Σε αυτού του είδους την παρακολούθηση πρέπει να δοθεί μια εντολή από τον εισαγγελέα στην εταιρία κινητής τηλεφωνίας η οποία θα διατάζει μια παρακολούθηση. Αυτή η παρακολούθηση μπορεί να κινηθεί: Είτε με βάση τα στοιχεία του κατόχου της σύνδεσης(δηλαδή να παρακολουθείται οποιαδήποτε σύνδεση είναι σε ένα(ή περισσότερα) συγκεκριμένο όνομα). Είτε με βάση τον αριθμό IMEI της συσκευής. Δηλαδή να παρακολουθείται οποιοσδήποτε αριθμός(κάρτα SIM) χρησιμοποιεί τη συγκεκριμένη συσκευή. Είτε με βάση τον αριθμό(κάρτα SIM).Δηλαδή να εντοπιστεί ένας αριθμός ύποπτος, του οποίου ο κάτοχος είναι

7 άγνωστος(ανώνυμος) και να διαταχθεί παρακολούθηση του συγκεκριμένου αριθμού της SIM σε οποιοδήποτε τηλέφωνο συσκευή χρησιμοποιηθεί. Σε αυτή την κατηγορία εμπίπτει η υπόθεση των παρακολουθήσεων της vodafone 2. Σε αυτού του είδους την παρακολούθηση είναι πιθανό να ζητηθεί εισαγγελική άδεια αλλά όχι απαραίτητο καθώς από τη στιγμή που η αστυνομία και η ΕΥΠ κατέχουν τον εξοπλισμό παρακολούθησης, αρκεί να επικαλεστούν λόγους εθνικής ασφάλειας για να μπορούν να παρακολουθήσουν οποιονδήποτε αριθμό θέλουν. Αυτού του είδους η παρακολούθηση, γίνεται με την εγκατάσταση συσκευών στα δίκτυα της κινητής τηλεφωνίας. Δηλαδή η συσκευή ουσιαστικά είναι μέσα στις γραμμές της κινητής τηλεφωνίας και απλά επιλέγει πότε θα καταγράψει. Ίδιες συσκευές χρησιμοποιούνται πλέον για την παρακολούθηση της σταθερής τηλεφωνίας καθώς και για την παρακολούθηση του internet. Σκεφτείτε κάτι σαν μόνιμο man in the middle στο κέντρο της vodafone για παράδειγμα, από όπου περνάνε όλες οι συνομιλίες. 3. Αυτού του είδους η παρακολούθηση είναι η πιο απλή και μπορεί να πραγματοποιηθεί και από κάποιον που μπορεί να δαπανήσει το ποσό των χρημάτων που απαιτείται για μια τέτοια συσκευή. Αυτή η μέθοδος πλέον σπάνια χρησιμοποιείται καθώς απαιτεί από τον χειριστή να βρίσκεται κοντά στο σημείο που γίνεται η συνομιλία. Η μόνη χρησιμότητα που μπορεί να έχει στα χέρια της ΕΥΠ(η οποία κατέχει και αυτή τη συσκευή), είναι σε περίπτωση που παρακολουθείται κάποιος αλλά δεν είναι γνωστός ούτε ο αριθμός του κινητού του(προφανώς μιλάμε για ανώνυμο), ούτε γνωστός ο αριθμός IMEI, ή σε περίπτωση που παρακολουθείται κάποιος του οποίου τα στοιχεία δεν είναι ακόμη γνωστά. Αυτή η συσκευή λειτουργεί ως man in the middle μέσω αέρα και για αυτό το λόγο πρέπει να είναι κοντά στο τηλέφωνο που θέλουμε να παρακολουθήσουμε. Ουσιαστικά λοιπόν μπαίνει σαν διαμεσολαβητής στο τηλέφωνο και την κεραία και υποκλέπτει τα πάντα(συνομιλία, αριθμό τηλεφώνου του χρήστη, αριθμό τηλεφώνου που γίνεται η κλήση, αριθμό IMEI κλπ). Εντοπισμός και στίγμα συσκευής: Όταν μιλάμε στο τηλέφωνο και είμαστε π.χ στο αυτοκίνητο δεν συνδεόμαστε μόνο με μια κεραία. Υπάρχουν πολλές κεραίες στις οποίες συνδεόμαστε. Αυτό που συμβαίνει, είναι η κεραία να εντοπίζει το στίγμα μας καθώς και την ισχύ του σήματός μας και όταν έχουμε χαμηλό σήμα, ελέγχει αν υπάρχει κάποια άλλη κεραία η οποία είναι πιο κοντά σε εμάς και μας στέλνει εκεί. Υπάρχει η φήμη που λέει πως το στίγμα της συσκευής μπορεί να δοθεί στα καινούρια κινητά ακόμα και αν η συσκευή δεν έχει μπαταρία(καθώς κρατάνε εφεδρικά ένα μικρό ποσό ρεύματος). Αυτό είναι θεωρητικά σωστό αλλά δεν είναι γνωστό το αν όντως ισχύει κάτι τέτοιο. Στην περίπτωση όμως που η συσκευή έχει μπαταρία, είναι πολύ πιθανό να συμβαίνει κάτι τέτοιο καθώς πολλές συσκευές δεν κλείνουν πλήρως όταν τις απενεργοποιούμε(το ξυπνητήρι για παράδειγμα λειτουργεί). Αυτό λοιπόν που μπορεί να βρει κάποιος πολύ εύκολα χωρίς προσπάθεια(από τη στιγμή που αυτό καταγράφεται έτσι κι αλλιώς) είναι σε ποια περιοχή(κυψέλη) είναι η συσκευή μας αυτή τη στιγμή αν είναι ανοιχτή(αν είναι κλειστή πρέπει να δοθεί ειδικό σήμα εντοπισμού από τον πύργο αλλά αυτό δεν είναι σίγουρο). Αυτό που μπορεί να δει ουσιαστικά, είναι σε πια κεραία είμαστε συνδεδεμένοι. Εδώ έρχεται το αρνητικό των πολλών κεραιών μέσα στην πόλη. Αν υπάρχουν πάρα πολλές κεραίες μέσα στην πόλη, τότε η ακτίνα εντοπισμού μειώνεται καθώς στην περίπτωση των πολλών κεραιών μιλάμε και για μικρότερη εμβέλεια. Υπάρχουν συσκευές οι οποίες λειτουργώντας σαν ψεύτικες κεραίες μπορούν να εντοπίσουν με μεγάλη ακρίβεια την τοποθεσία ενός κινητού αλλά δεν είναι γνωστό αν στην ελλάδα χρησιμοποιούνται τέτοιες συσκευές. Στην αμερική τέτοια συσκευή(λεγόταν triggerfish) είχε χρησιμοποιηθεί τη δεκαετία του '90 για τον εντοπισμό του hacker Mitnick. Οπότε λογικά μετά από τόσα χρόνια η τεχνολογία πάνω σε αυτόν τον τομέα θα έχει αναπτυχθεί. Το γεγονός όμως ότι τέτοιες συσκευές αναπτύσσονται μόνο για κυβερνήσεις και όχι για κοινό εμπόριο μας εμποδίζει από το να γνωρίζουμε περισσότερες πληροφορίες. Η ελληνική κυβέρνηση πάντως, δεν έχει ανακοινώσει την απόκτηση τέτοιας συσκευής, χωρίς αυτό να σημαίνει κάτι φυσικά. Προφανώς αναφερόμαστε σε συσκευές που δεν υποστηρίζουν τεχνολογία GPS. Αν μια συσκευή υποστηρίζει GPS είναι πολύ εύκολο να εντοπιστεί η ακριβής τοποθεσία(με απόκλιση ελάχιστων μέτρων) της συσκευής. Άλλοι τρόποι παρακολούθησης: Κάθε συσκευή που είναι δέκτης μπορεί να γίνει και πομπός και αντίστροφα. Υπάρχουν προγράμματα που μπορούν να εγκατασταθούν στη συσκευή μας τα οποία μπορούν να παρακολουθήσουν σε μεγαλύτερο βαθμό τη συσκευή μας ως εξής: 1. Αν η συσκευή μας διαθέτει GPS, θα δίνει διαρκώς το ακριβές στίγμα μας στο χειριστή του προγράμματος 2. Υπάρχουν ρυθμίσεις σε τέτοια προγράμματα, που ορίζουν ότι αν γίνει κλήση από ένα συγκεκριμένο νούμερο(του χειριστή του προγράμματος) να θέτουν τη συσκευή σε παρακολούθηση 3. Η παρακολούθηση στη συγκεκριμένη περίπτωση δεν είναι μόνο στις συνομιλίες. Το πρόγραμμα μπορεί να θέσει και τη συσκευή σε κατάσταση κοριού. Εμείς δηλαδή να νομίζουμε ότι η συσκευή μας δεν κάνει κλήση(σε ορι-

8 σμένες περιπτώσεις το κινητό μπορεί να φαίνεται και κλειστό), και η συσκευή μας μέσω του προγράμματος να έχει συνδεθεί με κάποιον αριθμό και να λειτουργεί σαν κοριός. Στη συγκεκριμένη περίπτωση μπορεί να γίνει και χρήση της φωτογραφικής λειτουργίας της συσκευής. Για να επιτευχθεί κάτι τέτοιο πρέπει το κινητό μας να υποστηρίζει την εγκατάσταση τέτοιου είδους προγραμμάτων. Αυτό σημαίνει ότι σε παλιές συσκευές δε μπορούν να εγκατασταθούν τέτοια προγράμματα και για να γίνει εφικτή μια τέτοιου είδους παρακολούθηση, θα πρέπει η συσκευή μας να αλλαχθεί με μια ειδικά διαμορφωμένη συσκευή η οποία θα είναι εμφανισιακά πανομοιότυπη με τη δική μας. Για να μπορεί να τεθεί σε κατάσταση κοριού ένα κινητό στο οποίο δεν υπάρχει εγκατεστημένο κάποιο πρόγραμμα, θα πρέπει να έχει αλλαχθεί το γνήσιο κινητό με κάποιο πανομοιότυπο που θα περιέχει και ένα κοριό. Υπάρχει μια έντονη φημολογία στο κατά πόσο μπορεί ένα οποιοδήποτε κινητό τηλέφωνο να τεθεί σε κατάσταση κοριού χωρίς κάποιος να το πάρει στα χέρια του. Αυτή η φήμη πήρε φωτιά όταν κάποιες δημοσιεύσεις για μια επιχείρηση παρακολούθησης του FBI ανέφεραν ότι ο εισαγγελέας που έδωσε τα εντάλματα στο FBI, έδωσε και ένταλμα για έναν περιπλανώμενο κοριό (roving bug) σε κινητό τηλέφωνο. Επειδή δεν ξεκαθαριζόταν ακριβώς τι είδους κοριός ήταν (αν ήταν πρόγραμμα ή κάποια συσκευή), καθώς επίσης δεν ξεκαθαριζόταν ο τρόπος με τον οποίο τοποθετήθηκε, ξεκίνησε μια φημολογία που έλεγε πως οποιοδήποτε κινητό μπορεί εξ αποστάσεως να γίνει κοριός. Θα προσπαθήσουμε να αναλύσουμε αυτή τη φήμη γιατί έχει έως ένα σήμειο βάση υπό ορισμένες προϋποθέσεις. Roving Bug Οι δυο δημοσιεύσεις που σχετίζονται με το θέμα μπορούν να βρεθούν στα παρακάτω links: Καταρχάς πρέπει να αναφέρουμε κάποια βασικά στοιχεία σχετικά με τη συγκεκριμένη υπόθεση. Η συγκεκριμένη παρακολούθηση είχε κριθεί αρκετά δύσκολη καθώς τα μέλη της μαφίας θεωρούνταν αρκετά προσεκτικά στις κινήσεις τους. Συνεπώς θα ήταν αρκετά δύσκολο να βρεθεί η ευκαιρία να αντικατασταθεί το κινητό τους ή να κλαπεί για λίγα λεπτά, ώστε να εγκατασταθεί ένα τέτοιο πρόγραμμα. Επίσης τα κινητά που χρησιμοποιούσαν ήταν πιθανότατα smartphones. Αυτό σημαίνει πως μπορούσε είτε με κάποιο MMS το οποίο θα περιείχε κάποιο πρόγραμμα, είτε μέσω επιθέσεων στο ασύρματο δίκτυο internet (αν χρησιμοποιούσαν), να εγκατασταθεί ένα τέτοιο πρόγραμμα παρακολουθήσεων το οποίο ανά πάσα στιγμή θα μπορούσε θέσει τη συσκευή σε κατάσταση κοριού. Η χρήση των smartphones είναι ένα μεγάλο πλεονέκτημα για κάποιον που θέλει να διεξάγει μια παρακολούθηση, καθώς τέτοιας τεχνολογίας κινητά τηλέφωνα λειτουργούν σαν μικροί υπολογιστές και είναι ευάλωτα σε πολλών ειδών επιθέσεις. Δε θα ασχοληθούμε λοιπόν σε αυτό το σημείο με αυτή την περίπτωση. Υπάρχει η δυνατότητα σε καινούρια κινητά, να γίνεται αναβάθμιση προγραμμάτων και firmware (το firmware είναι το πρόγραμμα που κάνει μια συσκευή να λειτουργεί) χωρίς να χρειάζεται κάποιος να συνδεθεί στο internet ή να πάει τη συσκευή του για αναβάθμιση. Αυτή η δυνατότητα ονομάζεται προγραμματισμός Over The Air (OTA ή FOTA για firmware) και είναι πιθανό κάποιος να έχει παρατηρήσει πως αναφέρεται αυτό το ακρωνύμιο στα χαρακτηριστικά ορισμένων συσκευών. Συνήθως αυτού του τύπου οι αναβαθμίσεις γίνονται μέσω ενός μηνύματος όπου όταν το ανοίξει κάποιος, εγκαθίστανται τα προγράμματα. Αυτό σημαίνει πως μπορεί όντως να δημιουργηθεί ένα πρόγραμμα παρακολούθησης το οποίο θα εγκατασταθεί μέσω FOTA και θα λειτουργεί όπως αναφέραμε παραπάνω. Αυτή η αναβάθμιση πάντα απαιτεί τη συναίνεση του χρήστη του τηλεφώνου, χωρίς φυσικά αυτό να σημαίνει πως αυτό δεν μπορεί να παρακαμφθεί. Σε συσκευές που δεν υποστηρίζουν τέτοιου είδους αναβαθμίσεις δεν μπορεί να γίνει τέτοιου είδους απομακρυσμένη εγκατάσταση προγράμματος καθώς η ίδια η συσκευή δεν υποστηρίζει τέτοιου είδους λειτουργίες. Φήμες που έχουν κυκλοφορήσει κατά καιρούς και λένε πως κάθε συσκευή είναι ευάλωτη μέσω ενός προβλήματος στα SMS είναι αναληθείς. Συγκεκριμένα, είχε κυκλοφορήσει ένα άρθρο από κάποιον που έδειχνε και σε video πως μπορεί να γίνει κάτι τέτοιο σε παλιά συσκευή. Συμπτωματικά, η εταιρία του ίδιου πουλούσε ένα πρόγραμμα που υποτίθεται πως διόρθωνε το πρόβλημα, ενώ επίσης ο συγκεκριμένος κύριος δεχόταν να κάνει παρουσίαση αυτής της μεθόδου μόνο με δικές του συσκευές κάτι που μας οδηγεί στο συμπέρασμα του χαρακτηρισμού ως διαφημιστικο τρικ. Παρά το γεγονός πως μια παρακολούθηση μέσω FOTA δεν είναι αδύνατη θεωρητικά, υπάρχουν κάποια πράγματα που πρέπει να γνωρίζουμε. Οποιοδήποτε πρόγραμμα μετατρέπει το κινητό μας σε κοριό σημαίνει πως συνδέεται με ένα άλλο τηλέφωνο τηλεφωνικά (εκτός και αν προσφέρεται η λύση ασύρματου internet). Αυτό πρακτικά σημαίνει πως: 1. Η εταιρία που είναι υπεύθυνη για τη σύνδεση μας, θα πρέπει να γνωρίζει για την παρακολούθηση. Ειδάλλως θα δούμε φουσκωμένο λογαριασμό και κλήσεις σε νούμερα που δεν γνωρίζουμε 2. Θα παρατηρήσουμε γρήγορη πτώση της μπαταρίας στις περισσότερες περιπτώσεις. Για να αποφευχθεί κάτι τέτοιο θα πρέπει να τροποποιηθεί ο τρόπος που χρησιμοποιεί η συσκευή μας την μπαταρία όταν λειτουργεί το πρόγραμμα, κάτι που δεν είναι εύκολο 3. Σε περίπτωση που δεν έχουμε ενεργοποιημένες υπηρεσίες ταυτόχρονων συνομιλιών, αν κάποιος μας τηλεφωνεί εκείνη την ώρα, είτε θα βρίσκει τον αριθμό μας κατειλημμένο, είτε θα είναι σε αναμονή γεγονός που μπορεί εύκολα να προδώσει τέτοιου είδους παρακολουθήσεις 4. Θα ζεσταθεί η συσκευή αν η παρακολούθηση λειτουργεί για κάποια ώρα. Σίγουρα όλοι έχουμε παρατηρήσει πως

9 αν μιλάμε για αρκετή ώρα στο κινητό, ζεσταίνεται η συσκευή (ουσιαστικά η μπαταρία επειδή αδείαζει γρήγορα) 5. Είναι πιθανό να υπάρξουν παρεμβολές σε ηχεία. Πολλές συσκευές όταν πραγματοποιείται κλήση επηρεάζουν διαφόρων ειδών ηχεία. Το ίδιο γίνεται όταν η συσκευή μας επικοινωνεί με την κεραία για να πάρει σήμα ή για να μας έρθει μια κλήση. Τα παραπάνω, σε συνδυασμό με το γεγονός πως δεν έχει υπάρξει μέχρι στιγμής ξεκάθαρη απόδειξη τέτοιας παρακολούθησης, μας αναγκάζουν να συμπεράνουμε πως μια παρακολούθηση μέσω FOTA, είναι μεν εφικτή, αλλά έχει αρκετά αρνητικά στοιχεία οπότε δεν μπορεί να θεωρηθεί αξιόπιστη και άρα πιθανή μέθοδος. Κάποιες συμβουλές: Με βάση τα παραπάνω λοιπόν, καλό είναι κάποιος να εφαρμόζει τους εξής κανόνες: 1. Σε καμία περίπτωση δεν πρέπει να χρησιμοποιούμε τον προσωπικό μας αριθμό για παράνομες/περίεργες συνομιλίες 2. Σε καμία περίπτωση δεν πρέπει να χρησιμοποιούμε την προσωπική μας συσκευή για παράνομες/περίεργες συνομιλίες ακόμα και αν αυτές τις κάνουμε από άλλο αριθμό 3. Μια συσκευή/κάρτα που έχει στοχοποιηθεί, θα συνεχίσει να στοχοποιεί οποιαδήποτε κάρτα/συσκευή αντίστοιχα χρησιμοποιήσουμε σε αυτή. Είναι πολύ πιθανό αν η συσκευή μας ή η κάρτα μας έχει στοχοποιηθεί, τότε αν εισάγουμε μια κάρτα σε αυτή τη στοχοποιημένη συσκευή ή εισάγουμε την στοχοποιημένη κάρτα σε μια καινούρια συσκευή, η παρακολούθηση να ξεκινήσει αμέσως λόγω των ελέγχων που γίνονται από την κεραία στην οποία συνδεόμαστε. Οπότε, αν η κεραία εντοπίσει ένα στοχοποιημένο αριθμό IMEI ή μια στοχοποιημένη SIM, θα δώσει αμέσως σήμα για να ξεκινήσει ο εντοπισμός του κατόχου καθώς και η καταγραφή οποιασδήποτε συνομιλίας πραγματοποιηθεί(παράδειγμα πάνω σε αυτό θα δούμε παρακάτω) 4. Θα πρέπει να προσέχουμε το κινητό μας Γιατί κάποιος μπορεί να μάθει το IMEI μας μέσα σε λίγα δευτερόλεπτα Γιατί μπορεί κάποιος να εγκαταστήσει κάποιο πρόγραμμα παρακολούθησης(όπως αναφέραμε παραπάνω) 5. Δεν πρέπει να κρατάμε στο κινητό μας πληροφορίες που μπορούν να χρησιμοποιηθούν εναντίον μας(φωτογραφίες, σημειώσεις κλπ). Ακόμα και αν τις σβήσουμε από το κινητό μας, είναι εύκολο για την αστυνομία να τις ανακτήσει(θα δούμε παρακάτω πως ακριβώς λειτουργούν οι διαγραφές αρχείων σε ηλεκτρονικές συσκευές). 6. Δεν πρέπει να δίνουμε ούτε τον αριθμό του τηλεφώνου μας, ούτε τη συσκευή μας στην αστυνομία σε περίπτωση που μας τα ζητήσουν σε περίπτωση προσαγωγής. Δεν έχουν δικαίωμα στην προσαγωγή να μας πάρουν τη συσκευή ούτε για λίγα λεπτά. Μέσα σε 5 λεπτά μέσω ειδικών μηχανημάτων και προγραμμάτων(προγράμματα τα οποία υπάρχουν ακόμα και δωρεάν) κάποιος μπορεί να αντιγράψει όλα τα δεδομένα της συσκευής μας καθώς και τον τηλεφωνικό μας κατάλογο. Το ίδιο μπορεί να γίνει ακόμα και αν έχουμε κλειστό το κινητό μας(απλά απαιτεί περισσότερες διαδικασίες αν θέλουν να πάρουν τα περιεχόμενα της SIM). 7. Είναι βασικό να μη κουβαλάμε την προσωπική μας συσκευή/sim μαζί μας σε ενέργειες που δε θέλουμε να γνωρίζει κάποιος ότι συμμετέχουμε. Δεν μπορεί να χρησιμοποιηθεί ως ακράδαντο στοιχείο η παρουσία μας σε μια ευρύτερη περιοχή στην οποία έγινε μια έκνομη ενέργεια, αλλά μπορεί να χρησιμοποιηθεί ως ένδειξη για πιθανή εμπλοκή μας. Οπότε καλό είναι σε τέτοιες ενέργειες να μην έχουμε συσκευές/sim οι οποίες θα μας τοποθετήσουν στον χώρο της ενέργειας, ενώ αν είναι απαραίτητο να έχουμε κινητό, καλό είναι να χρησιμοποιήσουμε κάποια συσκευή και κάρτα sim οι οποίες είναι ανώνυμες. Φυσικά είναι πολύ πιθανό η sim και η συσκευή αυτή να παρακολουθούνται μετά από μια τέτοια ενέργεια, ώστε να γνωρίζει η αστυνομία αν ο κάτοχος αυτής της συσκευής/sim συμμετείχε σε κάποια άλλη ενέργεια. 8. Λύσεις πάνω στο ζήτημα της καταγραφής συνομιλιών, δυστυχώς μέχρι στιγμής δεν υπάρχουν καθώς αυτό θα απαιτούσε την κρυπτογράφηση της συνομιλίας από τη συσκευή και την αποκρυπτογράφηση από τον παραλήπτη. Δηλαδή η συνομιλία, τη στιγμή που μεταδίδεται στον αέρα να είναι ήδη κρυπτογραφημένη(σωστά αυτή τη φορά). Αυτό είναι περισσότερο πολύπλοκο από όσο ακούγεται για να εφαρμοστεί ανεξαρτήτως συσκευής(υπάρχουν προγράμματα για συσκευές smartphones). Για την περίπτωση των γραπτών μηνυμάτων(sms) υπάρχουν μερικά προγράμματα που επιτρέπουν την κρυπτογράφηση μηνυμάτων(φυσικά η εγκατάσταση τέτοιων προγραμμάτων, πρέπει να υποστηρίζεται και από τη συσκευή) 9. Θα πρέπει να αποφεύγουμε τις συνομιλίες μέσω bluetooth handsfree καθώς κάποιος μπορεί πολύ εύκολα να υπο-

10 κλέψει τέτοιου είδους συνομιλίες υποκλέπτοντας την μετάδοση δεδομένων του handsfree και όχι του κινητού μας. Παράδειγμα τέτοια παρακολούθησης υπάρχει εδώ: Μια τελευταία υποσημείωση: Με το νέο νόμο για τα καρτοκινητά δημιουργείται ένα νέο πρόβλημα, καθώς χάνεται το πλεονέκτημα της ανωνυμίας αφού πλέον κάθε κάτοχος κάρτας sim θα πρέπει να είναι επώνυμος. Μια λύση σε αυτό το θέμα, είναι η χρήση πλαστών στοιχείων με μια επιφύλαξη στο θέμα της ταυτοποίησης με αληθινά στοιχεία, καθώς αν τα στοιχεία μια κάρτας sim ελεγχθούν(δεν ξέρουμε κατά πόσο ελέγχονται) για την αυθεντικότητά τους, τότε σίγουρα αυτομάτως θα ο δράστης θα τεθεί υπό επιτήρηση. Παραδείγματα που βασίζονται στα παραπάνω όπως αυτά δημοσιεύθηκαν από τα ΜΜΕ (με κάθε επιφύλαξη για τη αυθεντικότητα τους, λόγω έλλειψης εμπιστοσύνης στα ΜΜΕ ) 1 Οι αξιωματικοί της ΕΛ.ΑΣ. αμέσως μετά τον θάνατο του Φούντα εστίασαν το ενδιαφέρον τους στις κλήσεις που είχε κάνει και είχε δεχθεί στο κινητό τηλέφωνό του τους τελευταίους μήνες και κυρίως την περίοδο που είχαν σημειωθεί ένοπλες επιθέσεις από τον «Επαναστατικό Αγώνα» και άλλες οργανώσεις. Η έρευνα επικεντρώθηκε σε κλήσεις που έγιναν από 13 καρτοτηλέφωνα τα οποία βρίσκονταν σε διάφορες περιοχές της Αττικής. Από τις έρευνες για τρομοκρατικές οργανώσεις κατά το παρελθόν οι αστυνομικοί γνώριζαν ότι τα μέλη τους συνήθως χρησιμοποιούν τηλεκάρτες και καρτοτηλέφωνα, οπότε και εστίασαν εκεί τις έρευνές τους. Οι κάθε είδους παράνομοι θεωρούν ότι έτσι αποφεύγονται οι τηλεφωνικές υποκλοπές αλλά και ο εντοπισμός του στίγματος του κινητού. Οι αξιωματικοί ανέλυσαν τις κλήσεις που έχουν γίνει μέσω των τηλεκαρτών που χρησιμοποιήθηκαν για τις επίμαχες 35 κλήσεις και βρέθηκε η άκρη του νήματος. Ενα από τα επίμαχα καρτοτηλέφωνα βρισκόταν στην περιοχή των Καλυβίων και οι αστυνομικοί, αφού έστησαν καρτέρι, διαπίστωσαν ότι το χρησιμοποιούσε ο Νίκος Μαζιώτης. Επιπλέον στοιχεία συγκεντρώθηκαν από τηλέφωνα που είχε κάνει από δικές του τηλεκάρτες σε κινητά τηλέφωνα ο Λάμπρος Φούντας. Ορισμένα πάντως από τα κινητά ένα από αυτά καλούσε μονίμως από την περιοχή της Νέας Φιλαδέλφειας- έκλεισαν αμέσως μετά τον θάνατο του 35χρονου. Σημειώνεται ότι κάτι ανάλογο συνέβη και στην περίπτωση του Σάββα Ξηρού το 2002, όταν οι αστυνομικοί εντόπισαν τα μέλη της 17Ν από την ανάλυση των τηλεκαρτών. 2 (Το παρακάτω είναι από την υπόθεση δολοφονίας του ειδικού φρουρού Αμανατίδη) Οι αξιωματικοί της Αντιτρομοκρατικής Υπηρεσίας προχώρησαν παράλληλα σε αναλύσεις κλήσεων κινητών τηλεφώνων που πραγματοποιήθηκαν κοντά στο σημείο της δολοφονίας πριν και μετά από αυτήν. Όπως επισημαίνεται στο έγγραφο της Αντιτρομοκρατικής Υπηρεσίας, «από την ως τώρα επεξεργασία ιδιαίτερο ενδιαφέρον παρουσιάζουν τρεις συνδέσεις κινητής τηλεφωνίας οι οποίες είναι ανώνυμες καρτοκινητές από τις εταιρείες Vodafone και Cosmote». Με αυτό το δεδομένο μάλιστα όπως αναφέρεται στο διαβιβαστικό- ερευνήθηκε και το κατάστημα από το οποίο αγοράστηκαν οι κάρτες κινητής τηλεφωνίας και η έρευνα για αυτή την υπόθεση που αφορά ανάλυση περισσοτέρων από κλήσεις συνεχίζεται ακόμη και σήμερα. 3 Το σύστημα της ΕΥΠ έχει τη δυνατότητα να υποκλέπτει συνομιλίες οποιουδήποτε με την επίκληση λόγων «εθνικής ασφαλείας», δίνοντας ένα σημαντικό συγκριτικό πλεονέκτημα στους χρήστες του, αλλά και στους προϊσταμένους των μυστικών υπηρεσιών. Το σύστημα της Αντιτρομοκρατικής Υπηρεσίας για να ενεργοποιηθεί επισήμως θα χρειάζεται περισσότερες δικαστικές «γραφειοκρατικές» διαδικασίες.

11 Οι έρευνες για τη δράση της «Σέχτας Επαναστατών» και του «Επαναστατικού Αγώνα», για τη συμμορία του Παναγιώτη Βλαστού, για το κύκλωμα διαφθοράς στην ΕΛ.ΑΣ., αλλά και για τους φόνους «νονών» των συμμοριών της Αττικής, έρευνες που είναι σε εξέλιξη, έχουν εν πολλοίς βασιστεί στο σύστημα υποκλοπών της ΕΥΠ, με την επίκληση λόγων «εθνικής ασφαλείας», με βάση τον νόμο 2225 του 1994 και ορισμένες νεώτερες τροποποιήσεις του. 4 (το παρακάτω είναι από την υπόθεση απαγωγής του Παναγόπουλου) Η ΕΛ.ΑΣ. στην προσπάθειά της να εντοπίσει τους δράστες της απαγωγής εφαρμόζει κάποια ειδικά «τρικ», τα οποία είχαν χρησιμοποιηθεί και στη διερεύνηση υποθέσεων τρομοκρατίας, όπως στη δολοφονία του βρετανού στρατιωτικού Στίβεν Σόντερς το 2000 από τη 17Ν. Ζήτησαν έτσι να πληροφορηθούν ποιες κλήσεις κινητών τηλεφώνων έγιναν μία ώρα πριν και μία ώρα μετά την παρουσία των απαγωγέων σε 10 διαφορετικά σημεία της Αττικής. Τα σημεία αυτά ήταν στην Εθνική οδό Αθηνών- Πατρών, στο ύψος του Ξυλοκάστρου, όπου άφησαν το πρώτο βίντεο, στο οποίο εμφανιζόταν ο κ. Παναγόπουλος, στην Εθνική οδό Αθηνών- Λαμίας κοντά στην Κηφισιά, όπου άφησαν το δεύτερο βίντεο, σε περιοχές των βορείων προαστίων, του Πειραιά και αλλού, όπου βρίσκονταν όποτε επικοινωνούσαν με την κυρία Παναγοπούλου. Οι αξιωματικοί ερευνούν με ειδικά συστήματα ανάλυσης πληροφοριών- αν ανάμεσα σε αυτές τις πολυσέλιδες λίστες κλήσεων υπάρχουν τηλέφωνα που χρησιμοποιούσαν οι απαγωγείς για να συνομιλούν και μεταξύ τους. Αν εντοπιστεί κάτι τέτοιο είναι δυνατόν να βρεθεί προς τα πού κινήθηκαν- με βάση τις καταγραφές των κεραιών κινητής τηλεφωνίας- μετά την επαφή τους με την κυρία Παναγοπούλου. Ζητούνται ακόμη λίστες κλήσεων που έγιναν σε απομονωμένες περιοχές, όπου μπορεί να βρίσκεται το κρησφύγετο των απαγωγέων. Ταυτοχρόνως αναζητούνται τα καταστήματα από τα οποία αγοράστηκαν οι συσκευές, αλλά και οι κάρτες της κινητής τηλεφωνίας που χρησιμοποίησαν- από μία για κάθε φορά επικοινωνίας- οι δράστες. Οι αξιωματικοί της ΕΛ.ΑΣ. μιλούν για «λάθη των απαγωγέων» τα οποία προσπαθούν να εκμεταλλευτούν. 5 (το παρακάτω είναι από την υπόθεση απαγωγής του Μυλωνά) Σύμφωνα με το έγγραφο της ΕΛ.ΑΣ., οι απαγωγείς από την πρώτη ημέρα της απαγωγής του κ. Μυλωνά ως και την απελευθέρωσή του χρησιμοποίησαν οκτώ καρτοκινητά που ήταν προφανώς «μιας χρήσης» για να μην εντοπισθούν. Η Αστυνομία ζήτησε την άρση απορρήτου επικοινωνιών για 52 τηλέφωνα για τα οποία υπήρχαν κάποιες ενδείξεις ότι σχετίζονταν με αυτά των απαγωγέων χωρίς κάποιο σημαντικό αποτέλεσμα. Το μόνο αξιοσημείωτο που ανακάλυψε η Αστυνομία ήταν ότι πολλές από τις κάρτες SΙΜ των κινητών των απαγωγέων είχαν αγορασθεί στο ίδιο «εμπορικό πακέτο» από μεγάλο κατάστημα γνωστής αλυσίδας ηλεκτρικών ειδών στη Θεσσαλονίκη. Οι αξιωματικοί της Ασφαλείας Θεσσαλονίκης οι οποίοι χειρίστηκαν την υπόθεση εστίασαν το ενδιαφέρον τους στο πρώτο τηλέφωνο που έκαναν οι απαγωγείς προς τη σύζυγο του κ. Μυλωνά το ίδιο βράδυ της απαγωγής- δηλαδή στις 9 Ιουνίου 2008-όταν την ενημέρωναν για το πού είχαν εγκαταλείψει το αυτοκίνητο του επιχειρηματία. Οι αξιωματικοί της ΕΛ.ΑΣ. όπως προκύπτει από το απόρρητο έγγραφο- διαπίστωσαν ότι η κλήση είχε γίνει από ένα κινητό τηλέφωνο (το πρώτο από τα οκτώ που χρησιμοποιήθηκαν συνολικά) με αριθμό που ήταν προφανώς καρτοκινητό και ουδέποτε ξαναχρησιμοποιήθηκε από τους απαγωγείς, προκειμένου να μην εντοπισθούν. Η άρση του απορρήτου των επικοινωνιών του συγκεκριμένου καρτοκινητού τηλεφώνου αποκάλυψε το μοιραίο λάθος των απαγωγέων το οποίο έγινε και... οδηγός των ερευνών της Αστυνομίας. Όπως μνημονεύεται στο έγγραφο της ΕΛ.ΑΣ. «το τηλέφωνο αυτό από το οποίο έγινε η πρώτη κλήση προς την κυρία Μυλωνά είχε ενεργοποιηθεί στις 15 Μαΐου του 2008 και ώρα 20.37,πραγματοποιώντας κλήση σε σταθερό τηλέφωνο το οποίο ανήκε σε πιτσαρία της περιοχής Θέρμης στη Θεσσαλονίκη». Αυτό το στοιχείο προκάλεσε «συναγερμό» στην ΕΛ.ΑΣ. Από την επομένη της απαγωγής του κ. Μυλωνά οι αξιωματικοί με απόλυτη μυστικότητα ξεκίνησαν έρευνες «στην πιτσαρία η οποία ίσως έκρυβε το μυστικό της απαγωγής» για να διαπιστωθεί «τι συνδέει τους απαγωγείς με το κατάστημα της Θέρμης» 6 (το παρακάτω είναι από την υπόθεση απαγωγής του Ζώνα) Έτσι διαπιστώθηκε από την αναλυτική κατάσταση εταιρειών κινητής τηλεφωνίας ότι οι 26 κλήσεις που πραγματοποιήθη-

12 καν στον πατέρα και στη μητέρα του απαχθέντος είχαν γίνει από 26 διαφορετικούς τηλεφωνικούς αριθμούς, αφού οι κακοποιοί αλλάζουν τις κάρτες των κινητών. Στη συγκεκριμένη κατάσταση όμως καταδεικνύεται ότι στις 26 αυτές κλήσεις υπάρχουν μόνο δύο ΙΜΕΙ, δηλαδή πραγματοποιήθηκαν μόνο από δύο συσκευές κινητού τηλεφώνου. Από το ΙΜΕΙ και μόνον δεν μπορούν οι εταιρείες κινητής τηλεφωνίας να διαπιστώσουν ποιος είναι ο κάτοχος, γιατί το ΙΜΕΙ είναι αριθμός της παγκόσμιας εμπορικής αγοράς και το κινητό μπορούσε να είχε αγορασθεί παντού στον κόσμο. Η Ασφάλεια Αττικής όμως προχώρησε στην αντίστροφη διαδικασία μέσω ηλεκτρονικών υπολογιστών των εταιρειών κινητής τηλεφωνίας. Ζήτησε να πληροφορηθεί πλέον με αυτά τα δύο ΙΜΕΙ - δηλαδή από αυτές τις δύο συσκευές - ποιες άλλες κλήσεις πραγματοποιήθηκαν για «προσωπική» χρήση του δράστη, όπου βεβαίως στις δύο συσκευές είχαν τοποθετηθεί άλλες κάρτες. Και έτσι κατέληξαν στο οικογενειακό και επαγγελματικό περιβάλλον του συλληφθέντος Χριστόφορου Λασηθιωτάκη, αφού εκείνοι είχαν κινητά στο όνομά τους. Ακολούθως η Αστυνομία επεξέτεινε αυτή την τακτική και παρακολουθούσε τα ΙΜΕΙ των δεκτών των κλήσεων ώστε να δημιουργήσει το «οργανόγραμμα» της συμμορίας. Μάλιστα με έγγραφο της 17ης Δεκεμβρίου 2001 το Συμβούλιο Πλημμελειοδικών ζητεί από τις εταιρείες κινητής τηλεφωνίας να πληροφορηθεί τις κλήσεις άλλων έξι ΙΜΕΙ που αντιστοιχούν σε συσκευές ισάριθμων υπόπτων για συμμετοχή στην απαγωγή. Ακόμη η ΕΛ.ΑΣ. έχει πλέον τη δυνατότητα στο Εργαστήριο Ανάλυσης Ηχου και Φωνής των Εγκληματολογικών Εργαστηρίων να ταυτίζει φωνές σε μαγνητοφωνημένες συνδιαλέξεις υπόπτων με δείγμα φωνής που δίνουν οι ίδιοι όταν προσαχθούν. Η εξέταση αυτή εφαρμόστηκε για δεύτερη φορά στην υπόθεση απαγωγής του Ιωάννη Ζώνα και οι αξιωματικοί της Ασφαλείας Αττικής αναφέρουν ότι τα περιθώρια λάθους είναι μηδαμινά, αντίστοιχα της εξέτασης DNA. Case study Ας δούμε λοιπόν πως μπορεί να κινηθεί η αστυνομία σε μια περίπτωση έκνομης ενέργειας (εδώ θα εστιάσουμε μόνο σε ότι αφορά την κινητή τηλεφωνία. Συνεπώς δε θα αναφερθούμε σε κάμερες κλπ) Έστω ότι γίνεται μια έκνομη ενέργεια σε μια περιοχή. Η αστυνομία φτιάχνοντας το χρονοδιάγραμμα της υπόθεσης (δηλαδή πότε έγινε τι) θα ορίσει και το χρονικό όριο στο οποίο θα ερευνήσει την περιοχή. Αν στην υπόθεσή μας η ενέργεια έγινε στις 2πμ, η αστυνομία μπορεί να ορίσει για παράδειγμα ως χρονοδιάγραμμα το διάστημα 12:30πμ 2:30πμ. Επίσης θα ορίσει μια ακτίνα στην οποία θα ερευνήσει. Ας υποθέσουμε ότι αυτή είναι μια ακτίνα 6 οικοδομικών τετραγώνων. Θα ερευνηθούν λοιπόν οι κλήσεις που έγιναν αυτό το χρονικό περιθώριο σε αυτή την περιοχή(αυτό θα γίνει βλέποντας ποιες κλήσεις έγιναν από τις κεραίες-κυψέλες που αντιστοιχούν σε αυτή την ακτίνα). Θα μελετηθεί αν οι συσκευές που πραγματοποίησαν αυτές τις κλήσεις έχουν πραγματοποιήσει κλήσεις από αυτή την κυψέλη στο παρελθόν και αν αυτές οι κλήσεις γίνονταν τακτικά, καθώς και αν οι κλήσεις ξεκίνησαν πρόσφατα ή γίνονται εδώ και αρκετό καιρό. Με αυτό τον τρόπο, θα προσπαθήσει η αστυνομία να εντοπίσει ποιες συσκευές/αριθμοί ανήκουν πιθανόν σε μόνιμους κατοίκους της περιοχής και ποιες σε περαστικούς(πέραν των ελέγχων σε αρχεία συνδέσεων τηλεφωνίας όπου θα βρεθεί και η μόνιμη διεύθυνση των κατόχων, καθώς πολλοί αριθμοί μπορεί να είναι καρτοκινητά). Κάνοντας το πρώτο κοσκίνισμα, θα καταλήξει να μειώσει το εύρος των ερευνών. Ύστερα, θα ελεγχθεί αν οι συσκευές/αριθμοί συνδέθηκαν με την κυψέλη μέσα στο χρονοδιάγραμμα που έθεσε η αστυνομία(εδώ 12:30πμ 2:30πμ) ή αν είχαν συνδεθεί εκτός χρονοδιαγράμματος(αν π.χ κάποιος μπήκε στην κυψέλη στις 10πμ).Όταν λέμε σύνδεση, δεν εννοούμε κλήση, εννοούμε ότι μια ανοιχτή συσκευή μετακινήθηκε σε μια άλλη περιοχή, άρα για να συνεχίσει να έχει σήμα, συνδέθηκε με την κυψέλη. Με αυτό τον τρόπο θα μειωθεί ακόμα περισσότερο το εύρος καθώς κάποιος που συνδέθηκε με την κυψέλη στις 10πμ είναι λιγότερο ύποπτος από κάποιον που συνδέθηκε με την κυψέλη στις 12:45πμ. Για να μειωθεί ακόμα περισσότερο το εύρος -αν συνεχίζει να είναι μεγάλος ο αριθμός των ύποπτων- είναι πιθανό να κρατηθούν μόνο όσοι αριθμοί αποσυνδέθηκαν από την κυψέλη, την στιγμή που τελειώνει το χρονοδιάγραμμα. Για παράδειγμα, ποιοι αποσυνδέθηκαν από την κυψέλη στο διάστημα μεταξύ 2πμ 3:30πμ. Εδώ απλά να πούμε ότι αν οι ύποπτοι αριθμοί είναι πολύ λίγοι(δηλαδή αν κατέληξε η έρευνα σε 2 ύποπτους αριθμούς), η εύρεση της κυψέλης που συνδέθηκαν αυτοί οι αριθμοί μετά την αποχώρηση από την ακτίνα του εγκλήματος, φτιάχνει και μια διαδρομή διαφυγής, οπότε δίνει και ένα ακόμα στοιχείο στην αστυνομία. Έστω λοιπόν ότι η έρευνα κατέληξε σε 2 αριθμούς, δηλαδή σε 2 κάρτες SIM και 2 αριθμούς IMEI. Αυτό που θα γίνει στη συνέχεια είναι, πρώτον να ελεγχθεί αν οι αριθμοί αυτοί ή οι συσκευές έχουν στοχοποιηθεί στο παρελθόν σε άλλες υποθέσεις ώστε να συνδεθούν οι δράστες. Στη συνέχεια, θα ελεγχθεί αν οι συσκευές αυτές έχουν φιλοξενήσει στο παρελθόν άλλες κάρτες SIM καθώς και αν οι στοχοποιημένες κάρτες SIM έχουν φιλοξενηθεί από άλλες συσκευές. Αυτό αυτομάτως φτιάχνει και ένα ιστό που θα ερευνήσει η αστυνομία αναδρομικά(αν π.χ βρεθεί μια συσκευή που έχει φιλοξενήσει τη στοχοποιημένη SIM, θα ερευνηθεί ποιες άλλες SIM έχει φιλοξενήσει κλπ κλπ). Επίσης, είναι προφανές πως ότι στοχοποιείται, θα τεθεί υπό παρακολούθηση καθώς είναι πιθανό τα στοιχεία που αποκτήθηκαν να μην αρκούν για να δέσουν την υπόθεση. Στην περίπτωση που έχουμε υπόθεση όπου κάποιος καταζητείται, είναι προφανές ότι η αστυνομία θα παρακολουθήσει τους συγγενείς και φίλους του καταζητούμενου, έτσι ώστε σε περίπτωση που αυτός επικοινωνήσει μαζί τους να εντοπιστεί η κλήση, καθώς επίσης και να ερευνηθεί σε συνομιλίες αν κάποιο από αυτά τα άτομα έχει στοιχεία για τον

13 καταζητούμενο. Επίσης είναι προφανές ό,τι η σύνδεση των κομματιών του παζλ ενώνοντας διαφορετικές συσκευές με κάρτες όπως αναφέραμε παραπάνω, γίνεται από υπολογιστή και όχι από ανθρώπινο χέρι. Αυτό σημαίνει ότι το μόνο που μπορεί να καθυστερήσει την ολοκλήρωση του παζλ, είναι να καθυστερήσει η εύρεση άλλων SIM ή αριθμών IMEI από τις εταιρίες κινητής τηλεφωνίας. PC Related antiforensics The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. Gene Spafford Τα ίχνη που μπορεί να αφήσει ο υπολογιστής μας και μπορεί να αξιοποιήσει η αστυνομία, δεν είναι σε καμία περίπτωση λίγα και σε καμία περίπτωση ασήμαντα. Δεν έχουν όλα τα ίχνη την ίδια βαρύτητα. Κάποια ίχνη μπορούν απλά να αποτελέσουν ενδείξεις και να ενισχύσουν υποψίες, ενώ κάποια άλλα μπορούν να θεωρηθούν είτε ως μεγάλης βαρύτητας στοιχεία, είτε ως ακράδαντα. Συνεπώς καλό είναι αν θέλουμε να χρησιμοποιούμε υπολογιστές σε ύποπτες/έκνομες ενέργειες, να γνωρίζουμε πολύ καλά τι ίχνη μπορούν να αφήσουν. Τα παραδείγματά μας και οι περισσότερες πληροφορίες είναι εστιασμένες στο λειτουργικό σύστημα Windows καθώς αποτελεί το πιο γνωστό λειτουργικό και ίσως το πιο φλύαρο από πλευράς ιχνών. Αυτό δε σημαίνει πως ότι αναφέρουμε ισχύει μόνο στα Windows. Το αντίθετο, τα περισσότερα ισχύουν σε όλα τα λειτουργικά συστήματα. Τα είδη των ιχνών αυτών μπορούμε να τα χωρίσουμε σε 3 κατηγορίες: 1. Metadata(exif info κλπ) Τα ίχνη αυτά μπορούν να βρεθούν σε διάφορους τύπους αρχείων. Στις περισσότερες περιπτώσεις μπορούν απλά να αποτελέσουν ενδείξεις και να ενισχύσουν υποψίες. 2. Ίχνη στο δίσκο: Ίχνη του λειτουργικού συστήματος, ίχνη που αφήνουν διάφορα προγράμματα, ίχνη αρχείων Τα ίχνη αυτά χωρίζονται σε διάφορες κατηγορίες(όπως φαίνεται και από τον τίτλο). Η επικινδυνότητα τους μπορεί να είναι από ελάχιστη έως πολύ μεγάλη. Τα ίχνη αυτής της κατηγορίας μπορούν να αποτελέσουν από ενδείξεις μέχρι και ακράδαντα στοιχεία. 3. Δικτυακά ίχνη Τα ίχνη αυτά τα αφήνει κάθε υπολογιστής όταν συνδέεται στο internet. Η επικινδυνότητα τους μπορεί να είναι από ελάχιστη έως πολύ μεγάλη. Τα ίχνη αυτής της κατηγορίας μπορούν να αποτελέσουν από ενδείξεις μέχρι και ακράδαντα στοιχεία. Metadata Τι είναι: Είναι πληροφορίες σχετικά με δεδομένα. Σαν λέξη χρησιμοποιείται σε πολλούς τομείς ενώ ακόμα και για τους υπολο-

14 γιστές υπάρχουν πολλών ειδών metadata. Τα metadata δεν είναι απαραίτητα κάτι κακό. Τα metadata σε κάποια είδη αρχείων μπορούν να δώσουν παραπάνω πληροφορίες για το αρχείο αυτό. Για παράδειγμα μπορούν να αναφέρουν το όνομα του υπολογιστή αυτού που δημιούργησε το αρχείο(author), πόσες φορές έχει τροποποιηθεί το αρχείο, από ποιον τροποποιήθηκε τελευταία φορά. Επίσης σε μια φωτογραφία μπορεί να είναι πληροφορίες σχετικά με τη μάρκα της φωτογραφικής, το μοντέλο, τη μέρα που τραβήχτηκε και την ακριβή ώρα(όπως είναι ρυθμισμένη από την φωτογραφική). Τα metadata στις φωτογραφίες, ονομάζονται exif. Ποιοι είναι οι πιο γνωστοί τύποι αρχείων με τέτοιου είδους metadata: Οι πιο γνωστοί τύποι αρχείων που προσφέρουν αρκετά στοιχεία είναι(με σειρά από τα περισσότερα σημαντικά στοιχεία στα λιγότερο σημαντικά): αρχεία microsoft/open office(.doc,.odt,.docx,.xls κλπ), αρχεία που έχουν δημιουργηθεί απο φωτογραφική μηχανή(αρχεία τύπου raw, jpg, jpeg), αρχεία εικόνων(jpg, png, gif), αρχεία ήχου και βίντεο(.avi,.mpg,.wmv,.wma,.ogg,.mp3) Αποτελούν αποδεικτικά στοιχεία; Από μόνα τους σε καμία περίπτωση δεν αποτελούν αποδεικτικό στοιχείο. Με λίγα λόγια ένα αρχείο.doc το οποίο έχει στα χέρια της η ΕΛ.ΑΣ και το οποίο στο όνομα του author έχει το όνομα του υπολογιστή μας(π.χ nikos), δεν είναι ακράδαντο στοιχείο σε περίπτωση που παρθεί ο υπολογιστής μας και έχει για όνομα το ίδιο όνομα (nikos). Σε περίπτωση φυσικά που για όνομα υπολογιστή/author, έχουμε το ονοματεπώνυμο μας ή καποιον αριθμό μητρώου π.χ, πάλι δεν μπορεί να θεωρηθεί ακράδαντο στοιχείο αλλά σίγουρα θα έχει μεγαλύτερη βαρύτητα σε σχέση με την 1η περίπτωση. Ο λόγος που δεν μπορεί να θεωρηθεί ακράδαντο στοιχείο, είναι επειδή δεν είναι μοναδικά τα στοιχεία(όπως ένα imei), και εξαρτάται από προσωπικές επιλογές του χρήστη(τι όνομα υπολογιστή θα βάλει, ημερομηνία κλπ). Λύσεις: Το ότι δεν αποτελούν αποδεικτικά στοιχεία που θα χρησιμοποιηθούν εναντίον μας, δε σημαίνει φυσικά ότι πρέπει να τα προσφέρουμε απλόχερα. Όπως και πολλά άλλα στοιχεία(π.χ η παρουσία μας σε κάποιο χώρο, δε είναι στοιχείο ότι ευθυνόμαστε για ότι έγινε στο χώρο αυτό), έτσι και τα metadata, είναι μικρά κομματάκια στο πάζλ που προσπαθεί να φτιάξει η αστυνομία. Είναι πολύ πιθανό να χρησιμοποιηθούν σαν ένδειξη. Ένα πρώτο πράγμα που πρέπει να κάνουμε ανεξαρτήτως των metadata, είναι να μην έχουμε το ονοματεπώνυμο μας ή κάποιο προσωπικό μας στοιχείο για όνομα υπολογιστή(ή author/owner σε προγράμματα που μας το ζητάνε). Πέραν αυτού, υπάρχουν αρκετά προγράμματα που μπορούν να αφαιρέσουν τέτοιες πληροφορίες από κάποια είδη αρχείων. Τα περισσότερα υποστηρίζουν αρχεία microsoft office και αρχεία φωτογραφικών μηχανών. Το microsoft/open office δίνει τη δυνατότητα στο χρήστη μέσω ρυθμίσεων να διαλέξει αυτός τι όνομα author θα υπάρχει. Τα windows 7 υποστηρίζουν την αφαίρεση πληροφοριών ορισμένων αρχείων(όπως jpg). Φυσικά πληροφορίες όπως ημερομηνία δημιουργίας του αρχείου, καθώς και ημερομηνία τροποποιήσης του αρχείου δεν μπορούν να σβηστούν καθώς χρειάζονται από το λειτουργικό μας σύστημα. Αυτό που μπορεί να γίνει όμως, είναι να αλλαχθούν. Θα αναφερθούμε παρακάτω σχετικά με αυτό το θέμα. Σε κάποια αρχεία.doc του Microsoft Office επίσης καταγράφεται η MAC Address του συγγραφέα (στο πεδίο Unique Identifier (GUID)). Θα δούμε παρακάτω ότι η καταγραφή αυτή είναι πολύ σημαντική και μπορεί να αποτελέσει ακράδαντο στοιχείο αν βρεθεί. Κάποια ενδεικτικά προγράμματα για προβολή/διαγραφή των metadata: DocScruber (δωρεάν από εδώ: OOMetaExtractor (δωρεάν από εδώ: Document Trace Remover (trial από εδώ: BatchPurifier (demo από εδώ: Exif tag remover (δωρεάν από εδώ: JPG Cleaner (δωρεάν από εδώ: Cleaner) ExifCleaner (trial από εδώ: Case study: Στην περίπτωση του Ε.Α και στην αποστολή των προκυρήξεων μέσω cd και αρχείο word, η αστυνομία θα προσπάθησε να δει το author πεδίο, την ημερομηνία τροποποίησης, την ημερομηνία δημιουργίας καθώς και το όνομα του author που τροποποίησε τελευταία φορά το αρχείο. Αν η φήμη ότι βρέθηκε ο υπολογιστής σύνταξης της προκύρηξης ισχύει και δεν είναι σενάρια των ΜΜΕ, αυτό μπορεί να βασίζεται πάνω στα ακόλουθα: Author: Αν το πεδίο αυτό ήταν το ίδιο, αυτό αποτελεί μια ένδειξη GUID: Αν υπήρχε το πεδίο αυτό και ταίριαζε στη MAC address του συγκεκριμένου υπολογιστή, αποτελεί ακράδαντο στοιχείο Σε περίπτωση που βρέθηκε αρχείο.doc στον υπολογιστή με το ίδιο περιεχόμενο: Αν η ημερομηνία και ώρα δημιουργίας του αρχείου είναι ίδια με την ημερομηνία και ώρα δημιουργίας του αρχείου στο cd αυτό μπορεί να αποτελέσει σημαντικό επιβαρυντικό στοιχείο και μπορεί να θεωρηθεί μέχρι και ακράδαντο. Φυσικά το

15 να σβήστηκε από τον υπολογιστή το αρχείο με ένα delete και άδεισμα του κάδου ανακύκλωσης δεν μπορεί να αποτρέψει την εύρεση του από την αστυνομία(σε αυτό το θέμα θα αναφερθούμε παρακάτω). Ίχνη στο δίσκο Ίχνη του λειτουργικού συστήματος και ίχνη που αφήνουν διάφορα προγράμματα Θα αναφερθούμε εδώ στα ίχνη που μπορεί να αφήσει πίσω μας το λειτουργικό μας σύστημα. Θα αναφερθούμε κυρίως στο λειτουργικό σύστημα Windows καθώς είναι αυτό που χρησιμοποιείται σε μεγαλύτερο βαθμό και αφήνει και τα περισσότερα ίχνη. Αυτό φυσικά δε σημαίνει ότι λειτουργικά όπως Linux/Apple δεν αφήνουν ίχνη. Τα Windows αφήνουν ένα σωρό ίχνη για πράγματα που κάνουμε. Τα ίχνη αυτά είναι τόσα πολλά που θα χρειαζόμασταν πάρα πολλές σελίδες και προαπαιτούμενες γνώσεις για να αναφερθούμε στο κάθε ένα. Εδώ θα αρκεστούμε σε μερικά από αυτά, αλλά αυτό που πρέπει να γίνει κατανοητό, είναι ότι κάθε λειτουργικό σύστημα κρατάει πληροφορίες για το τι κάνουμε και είναι σχεδόν αδύνατο ειδικά στην περίπτωση των windows να μην αφήσουμε ίχνη. Είναι βασικό να έχουμε έστω ενεργοποιημένη τη ρύθμιση που μας εμφανίζει και τα κρυμμένα αρχεία του λειτουργικού μας για να μπορούμε να δούμε τυχόν κρυφά αρχεία που δημιουργούνται ή υπάρχουν ήδη. Με αυτό τον τρόπο θα δούμε για παράδειγμα τα κρυφά αρχεία που δημιουργούνται όταν ανοίγουμε ένα έγγραφο word. Ας αναφερθούμε όμως πιο συγκεκριμένα στο είδος των ιχνών καθώς κάποια από αυτά είναι λιγότερο επικίνδυνα από τα άλλα και κάποια περισσότερο. 1. Ίχνη των windows 1. Τα windows κρατάνε το όνομα οποιασδήποτε usb συσκευής έχουμε συνδέσει στον υπολογιστή μας, και πολλές φορές καταγράφεται και ο σεριακός αριθμός(serial number είναι μοναδικός) της συσκευής αυτής. Αυτό μπορεί να είναι χρήσιμο στοιχείο καθώς κάποιος μπορεί να γνωρίζει ποιες usb συσκευές έχουμε συνδέσει στον υπολογιστή μας και άρα έχουμε μεταφέρει δεδομένα σε αυτές. 2. Αρχεία thumb.db: Τα αρχεία αυτά δημιουργούνται από τα windows σε φακέλους που ανοίγουμε και χρησιμοποιούνται για να μπορούμε να δούμε περίπου τι δεδομένα έχει ο φάκελος μας. Κλασσικό παράδειγμα είναι οι φάκελοι που περιέχουν φωτογραφίες όπου πριν μπούμε στον φάκελο, βλέπουμε να εμφανίζονται μικρογραφίες των εικόνων. Τα αρχεία thumb.db λοιπόν μπορούν να χρησιμοποιηθούν για να δει κάποιος μικρογραφίες των εικόνων που έχουμε σε ένα φάκελο, ακόμα και αν οι εικόνες έχουν σβηστεί(αρκεί να μην έχει σβηστεί ή ενημερωθεί το αρχείο thumb.db) 3. Πρόσφατα ανοιγμένα αρχεία: Τα windows κρατάνε αρχείο με τα ονόματα των αρχείων που ανοίξαμε πρόσφατα. Αυτό ουσιαστικά μπορεί να δώσει μια κατεύθυνση σε κάποιον ποια αρχεία να ελέγξει πρώτα καθώς και να μάθει αν τα αρχεία αυτά βρίσκονται στο δίσκο ή σε κάποιο usb stick 4. Αρχείο pagefile.sys: Το αρχείο αυτό κρατά πληροφορίες που επεξεργάστηκε πρόσφατα ο υπολογιστής μας. Η απόκτηση του από κάποιον μπορεί να του δώσει από πληροφορίες μέχρι και ολόκληρα αρχεία που ανοίξαμε πρόσφατα. Το αρχείο αυτό είναι βοηθητικό στη μνήμη RAM του υπολογιστή μας. Αντίστοιχο στο λειτουργικό σύστημα Linux είναι το swap file. 5. Αρχείο hiberfil.sys: Το αρχείο αυτό δημιουργείται όταν ο υπολογιστής μας(σύνηθες σε laptop) μπαίνει σε λειτουργία hibernation(αδράνεια). Περιέχει παρόμοιες πληροφορίες με αυτές του pagefile.sys. Ουσιαστικά γράφει σε αρχείο ότι περιέχει η RAM μας εκείνη τη στιγμή(όπως αρχεία, δεδομένα, κωδικοί κλπ). 6. Αρχεία temp: Τα windows αποθηκεύουν οτιδήποτε αντιγράφουμε ή μετακινούμε, πρώτα σε ένα φάκελο temp και μετά στην τοποθεσία που επιθυμούμε. Αφού πραγματοποιηθεί η αντιφραφή/μετακίνηση, το αρχείο μας διαγράφεται από τον φάκελο temp(κάτι που δεν είναι ασφαλές, όπως θα πούμε παρακάτω). 7. Defrag/Ανασυγκρότηση δίσκων: Εξαιτίας του τρόπου λειτουργίας των Windows, πρέπει ανά περιόδους να κάνουμε ανασυγκρότηση δίσκων(defrag) για να λειτουργεί γρηγορότερα ο υπολογιστής μας. Αυτή η ενέργεια δημιουργεί πολλά προβλήματα και θα εξηγήσουμε παρακάτω γιατί.

16 8. System Restore/Επαναφορά συστήματος: Τα windows κρατάνε αρχείο με αλλαγές που κάνουμε στο δίσκο μας (κυρίως σχετικά με προγράμματα που εγκαθιστούμε) έτσι ώστε αν έχουμε στο μέλλον κάποιο πρόβλημα στο δίσκο μας, να μπορούμε να επιστρέψουμε σε προηγούμενη κατάσταση (δηλαδή π.χ πριν εγκαταστήσουμε κάποιο πρόγραμμα). Η απενεργοποίηση αυτής της επιλογής γίνεται από το control panel/πίνακας ελέγχου -> system/σύστημα -> system protection/προστασία συστήματος 9. Prefetch αρχεία: Τα windows τις περισσότερες φορές που ανοίγουμε κάποιο εκτελέσιμο αρχείο, κρατάνε ένα αντίγραφό του για να μπορούν να το ανοίξουν πιο γρήγορα την επόμενη φορά. Ο φάκελος που περιέχει τέτοια αρχεία, μπορεί να υποδείξει σε κάποιον ποια προγράμματα χρησιμοποιεί ο χρήστης του συγκεκριμένου υπολογιστή 10. UserAssist registry key: Τα windows κρατάνε στη registry αρχείο με οποιοδήποτε εκτελέσιμο έχουμε τρέξει στον υπολογιστή μας ενώ επίσης καταγράφεται και η τοποθεσία του αρχείου. Οι πληροφορίες αυτές είναι κρυπτογραφημένες με έναν απλοϊκό παιδικό αλγόριθμο κρυπτογράφησης ROT13. Λύσεις: 1. Είναι βασικό να μην έχουμε ενεργοποιημένη τη λειτουργία αδράνειας(hibernation) του υπολογιστή μας σε καμία περίπτωση. Είναι ένα πρώτο στοιχείο για να δει κάποιος τι κάναμε τελευταία στιγμή. Αυτό μπορεί να το δει και από τη μνήμη RAM μας, αν καταφέρει και την βγάλει από τον υπολογιστή μας λίγο αφού τον κλείσουμε(προφανώς θεωρούμε βασικό ότι αν μας πάρουν τον υπολογιστή, αυτός θα πρέπει να είναι κλειστός) Για να ανακτήσει κάποιος δεδομένα από τη μνήμη RAM θα πρέπει είτε να αποκτήσει τον υπολογιστή μας ενώ αυτός λειτουργεί ή λίγο αφού τον κλείσαμε να πάρει τις μνήμες RAM και να αντιγράψει τα περιεχόμενά τους σε δίσκο, καθώς η μνήμη RAM χάνει τα δεδομένα της όσο κρυώνει(δηλαδή αφού κλείσουμε τον υπολογιστή). Ένας τρόπος για να είμαστε σίγουροι ότι κατά μεγάλο ποσοστό τα δεδομένα της RAM έχουν χαθεί, είναι να επανεκκινήσουμε τον υπολογιστή μας, να αφήσουμε να φορτώσει το λειτουργικό μας σύστημα και μετά να τον κλείσουμε. 2. Δυστυχώς δε γίνεται να κάνουμε το ίδιο και με το αρχείο pagefile.sys καθώς αν επιλέξουμε να μην υπάρχει τότε τα windows δε θα μπορούν να λειτουργήσουν σωστά. Υπάρχει η επιλογή να διαγράφεται το αρχείο αυτό αυτόματα όταν κλείνουμε τα windows αλλά αυτό μπορεί να καθυστερήσει αρκετά το κλείσιμο του υπολογιστή. (Για όσους ενδιαφέρονται: Επίσης κάποιος μπορεί να ρυθμίσει το αρχείο pagefile/swap να έχει πολύ μικρό μέγεθος, όμως μια τέτοια ενέργεια θα έκανε τον υπολογιστή μας αρκετά αργό. Αυτό γίνεται επειδή ο υπολογιστής μας χρησιμοποιεί το pagefile/swap σαν επέκταση της μνήμης RAM. Οπότε όταν τρέχουμε ένα πρόγραμμα και η RAM μας δεν αρκεί, αποθηκεύονται κάποια δεδομένα σε τέτοια αρχεία. 3. Για να λύσει κάποιος το πρόβλημα των thumbnails πρέπει στα windows να κάνει το εξής: Ανοίγουμε το Ο υπολογιστής μου, επιλέγουμε από την μπάρα tools -> folder options (εργαλεία -> επιλογές φακέλων), πατάμε στην καρτέλα view(προβολή) και επιλέγουμε την επιλογή do not cache thumbnails(χωρίς προσωρινή αποθήκευση μικρογραφιών). Στα windows 7 γίνεται με τον ίδιο τρόπο αλλά στο τέλος επιλέγουμε το always show icons, never thumbnails 4. Υπάρχουν προγράμματα που διαγράφουν αρκετά από τα ίχνη που αφήνει το λειτουργικό μας. Σε καμία περίπτωση αυτό όμως δεν πρέπει να μας επαναπαύει και να θεωρούμε ότι δεν έχουμε αφήσει ίχνη. Είναι σχεδόν αδύνατο σε εγκατεστημένο λειτουργικό να μην αφήσουμε καθόλου ίχνη(θεωρώντας ότι ακόμα και μικρά ίχνη έχουν σημασία). Θα αναφερθούμε στο τέλος σε ολοκληρωμένες λύσεις πάνω σε θέματα ασφάλειας που θα λύνουν τα περισσότερα από τα προβλήματα που θα αναφέρουμε. 5. Για να σβήσουμε το αρχείο των usb συσκευών μας, μπορούμε να χρησιμοποιήσουμε το πρόγραμμα USBDeview το οποίο μας εμφανίζει αυτή τη λίστα και μας επιτρέπει να σβήσουμε ότι θέλουμε από τη λίστα. Φυσικά σε περίπτωση που ξανασυνδέσουμε τη συσκευή μας, θα πρέπει αφού την αποσυνδέσουμε να τη σβήσουμε από το αρχείο αυτό. Το πρόγραμμα αυτό μπορούμε να το κατεβάσουμε δωρεάν από εδώ: Μερικά ενδεικτικά προγράμματα είναι τα παρακάτω: (τα προγράμματα αυτά δεν κάνουν ακριβώς τα ίδια, οπότε καλό είναι να τα χρησιμοποιούμε όλα και όχι μόνο ένα) 4. Ccleaner (δωρεάν από εδώ: Clean After Me (δωρεάν από εδώ:

17 Evidence Eliminator MRU-Blaster (δωρεάν από εδώ: BleachBit (δωρεάν για windows και linux από εδώ: Επικινδυνότητα: Από μικρή έως μεγάλη. Το να βρει η αστυνομία το ποιες συσκευές usb έχουμε συνδέσει παλιότερα στον υπολογιστή μας, μπορεί απλά να τους δώσει μια κατεύθυνση αλλά όχι και στοιχεία. Όμως αρχεία pagefile και hiberfil μπορούν να δώσουν στο πιάτο ολόκληρα αρχεία του υπολογιστή μας. Οπότε η επικινδυνότητα σε αυτό το σημείο εξαρτάται από το είδος και το περιεχόμενο των αρχείων που μπορούν να βρουν μέσω αυτών των μεθόδων. 2. Ίχνη που αφήνουν διάφορα προγράμματα Θα αναφερθούμε εδώ κυρίως στα ίχνη που αφήνουν οι browsers που χρησιμοποιούμε για να περιηγηθούμε στο internet. Αρχικά να πούμε ότι κάθε πρόγραμμα που γράφει κάτι στο δίσκο μας κατά 99.9% θα αφήνει ίχνη. Συγκεκριμένα για τους browsers να πούμε ότι αποθηκεύουν cookies τα οποία μπορούν να αποκαλύψουν πληροφορίες για τις σελίδες που ανοίξαμε. Επίσης διατηρούν μια cache η οποία είναι περίπου σαν το pagefile και το hibernation που αναφέραμε παραπάνω. Η cache χρησιμοποιείται για να αποθηκεύει εικόνες και άλλα στοιχεία από σελίδες που έχουμε ανοίξει, έτσι ώστε την επόμενη φορά που θα την ανοίξουμε να μη χρειάζεται να φορτώσει όλες τις εικόνες από το internet (δηλαδή γίνεται για λόγους ταχύτητας). Επίσης προγράμματα όπως Microsoft Office/Open Office, όταν ανοίγουμε κάποιο αρχείο π.χ.doc, δημιουργούν ένα κρυφό αντίγραφο στον ίδο φάκελο, το οποίο διαγράφεται όταν κλείσουμε το πρωτότυπο αρχείο. Το αρχείο αυτό δημιουργείται για backup, σε περίπτωση που καταστραφεί το πρωτότυπο μας αρχείο ή κολλήσει το πρόγραμμα και χάσουμε τις αλλαγές που έχουμε κάνει. Επίσης δημιουργούν και άλλα προσωρινά αρχεία σε διάφορα σημεία του δίσκου ανάλογα με την έκδοση του προγράμματος. Πάρα πολλά προγράμματα κρατάνε αρχείο backup, το οποίο είτε βρίσκεται στον ίδιο φάκελο με το πρωτότυπο αρχείο είτε σε άλλες τοποθεσίες του δίσκου. Ενεργοποιώντας την εμφάνιση κρυφών αρχείων, μπορούμε να δούμε τέτοια αρχεία. Για παράδειγμα, αν έχουμε ένα αρχείο k.doc, ανοίγοντας το θα παρατηρήσει κάποιος ότι δημιουργείται ένα αρχείο ~$k.doc. Τέλος, αν χρησιμοποιούμε προγράμματα για chat όπως msn messenger, είναι πιθανό να είναι προεπιλεγμένη η καταγραφή των συνομιλιών σε αρχείο. Λύσεις: Το πρόγραμμα Ccleaner που αναφέραμε παραπάνω επιτρέπει την ασφαλή διαγραφή τέτοιων ιχνών καθώς η επιλογή που έχουν οι browsers να διαγράφονται τέτοια ίχνη κατά το κλείσιμο του browser, δεν είναι η πιο ασφαλής αφού με αυτόν τον τρόπο διαγραφής μπορούν να ανακτηθούν τα αρχεία. Επίσης, πλέον, οι περισσότεροι browsers προσφέρουν μια επιλογή που λέγεται private browsing(internet explorer InPrivate, Firefox Private browsing, Chrome Incognito, Safari Private browsing) η οποία ουσιαστικά θέτει τον browser σε ασφαλή λειτουργία όπου καμία πληροφορία δε σώζεται στο δίσκο(cookies, cache κλπ). Επικινδυνότητα: Θεωρητικά αρκετά μικρή εκτός και αν έχουμε πρόσβαση σε παράνομες ιστοσελίδες οπότε το να αφήνουμε τέτοια ίχνη στον υπολογιστή μας είναι αρκετά επικίνδυνο καθώς η διαδικασία ανάκτησης και ανάγνωσης των ιχνών που αναφέραμε παραπάνω είναι μια στάνταρ και εύκολη διαδικασία που είναι από τα πρώτα πράγματα που ελέγχει η δίωξη ηλεκτρονικού εγκλήματος. Φυσικά το να διαγράφουμε τέτοια ίχνη αλλά να έχουμε αποθηκευμένους κωδικούς πρόσβασης σε παράνομες σελίδες είναι σα να μην έχουμε σβήσει τίποτα, καθώς στο δικαστήριο είναι πιθανό να μπορέσουμε να δικαιολογήσουμε την περιήγηση σε μια τέτοια σελίδα αλλά όχι και τους κωδικούς. Αν παρόλα αυτά κάποιος επιθυμεί να αποθηκεύει κωδικούς πρόσβασης του, καλό είναι να χρησιμοποιεί τον browser firefox που προσφέρει τη δυνατότητα προστασίας του αρχείου με τους κωδικούς με ένα master κωδικό. Αυτό θα πρέπει να γίνεται για πολλούς λόγους. Όταν η αστυνομία αποκτήσει τον υπολογιστή μας, θα προσπαθήσει να μάθει τα πάντα για εμάς. Μέσα σε αυτά είναι λογαριασμοί , λογαριασμοί σε άλλες ιστοσελίδες κλπ. Με το να έχουμε απροστάτευτους τους κωδικούς μας το μόνο που καταφέρνουμε είναι να τους δίνουμε γρήγορη πρόσβαση. Φυσικά αν έχουμε σε κάποια μεγάλη εταιρία όπως yahoo, google κλπ τότε ο κωδικός θα ανακτηθεί μέσω επικοινωνίας της δίωξης με την εταιρία η οποία θα είναι πρόθυμη να συνεργαστεί. Το ότι θα βρουν τέτοιους κωδικούς, δε σημαίνει ότι πρέπει να τους τούς δίνουμε από μόνοι μας. Πολλές φορές η καθυστέρηση των διωκτικών αρχών μπορεί να γίνει πλεονέκτημά μας. Στην περίπτωση των backup αρχείων η επικινδυνότητα είναι πάρα πολύ μεγάλη καθώς τα backup αρχεία που σβήνονται, μπορούν πολύ εύκολα να ανακτηθούν. Θα περιγράψουμε παρακάτω, τους τρόπους για ασφαλή διαγραφή αρχείων και τι λύση μπορούμε να εφαρμόσουμε για περιπτώσεις backup αρχείων. Σκεφτείτε μόνο ότι ένα αρχείο.doc που έχετε διαγράψει με ασφάλεια και δεν μπορεί να ανακτηθεί, μπορεί να βρεθεί αυτούσιο μέσω του αρχείου backup.

18 Ίχνη από διεγραμμένα αρχεία Είναι βασικό να κάνουμε μια μικρή εισαγωγή στον τρόπο που αποθηκεύονται οι πληροφορίες στο δίσκο μας, ώστε να γίνουν κατανοητά τα όσα θα πούμε παρακάτω. Ο σκληρός δίσκος του υπολογιστή μας χωρίζεται σε περισσότερα από ένα κομμάτια. Το κάθε κομμάτι έχει το δικό του ρόλο στη λειτουργία του δίσκου. Δυο βασικά κομμάτια θα περιγράψουμε εδώ. Ας σκεφτούμε το σκληρό μας δίσκο σαν ένα βιβλίο. Όπως και το βιβλίο, έτσι και ο δίσκος περιέχει περιεχόμενα στην αρχή και στις σελίδες που αναφέρονται στα περιεχόμενα υπάρχουν δεδομένα. Με λίγα λόγια ο δίσκος έχει ένα κομμάτι όπου είναι ουσιαστικά ο κατάλογος των περιεχομένων του δίσκου(master file table(mft)) και ένα κομμάτι όπου είναι τα πραγματικά δεδομένα. Ο υπολογιστής μας για να καταλάβει που πρέπει να αποθηκεύσει νέα δεδομένα(δηλαδή για να βρει άδειο χώρο) κοιτάει το MFT. Οποιαδήποτε τοποθεσία για την οποία δεν υπάρχει πληροφορία στο MFT, θεωρείται άδειος χώρος. Έτσι: Όταν δημιουργούμε ένα αρχείο στον υπολογιστή μας, γίνονται δύο βασικά πράγματα: 1. Ο υπολογιστής μας βρίσκει ένα άδειο σημείο στο δίσκο να αποθηκεύσει τα δεδομένα 2. Ενημερώνεται το MFT και εισάγεται η τοποθεσία που βρίσκεται το αρχείο Όταν διαγράφουμε ένα αρχείο στον υπολογιστή μας, γίνονται τα παρακάτω(και εδώ δημιουργείται το πρόβλημα): 1. Ενημερώνεται το MFT και πλέον η τοποθεσία που βρισκόταν το αρχείο, θεωρείται άδεια Με λίγα λόγια, αυτό που γίνεται όταν διαγράφουμε ένα αρχείο, είναι να μαρκάρεται η τοποθεσία ως ελεύθερη-άδεια. Αυτό όπως είναι προφανές, δεν διαγράφει τα δεδομένα, απλά αφήνει την τοποθεσία ελεύθερη. Για να διαγραφεί στην πραγματικότητα το αρχείο, πρέπει στο σημείο που ήταν το αρχείο μας να γραφτούν άλλα δεδομένα. Όμως ο τρόπος που επιλέγεται η τοποθεσία που θα γραφτούν νέα δεδομένα δεν μπορεί να ελεγχθεί. Για να γίνει πιο κατανοητή η διαδικασία, σκεφτείτε πως έχετε ένα βιβλίο, του οποίου τα περιεχόμενα είναι γραμμένα με μολύβι. Όταν διαγράφουμε μια σελίδα πχ την 26, ο υπολογιστής ουσιαστικά σβήνει τη συγκεκριμένη σελίδα από τον πίνακα περιεχομένων. Όταν θέλει να προσθέσει μια σελίδα, θα αναζητήσει από τον πίνακα περιεχομένων τις κενές σελίδες και εκτός των άλλων θα του δοθεί ως απάντηση και η σελίδα 26. Αν τύχει και επιλέξει τη σελίδα 26 ο υπολογιστής μας, θα πατήσει από πάνω ότι είναι ήδη γραμμένο σε αυτή τη σελίδα. Αν το αρχείο μας έπιανε όλη τη σελίδα 26 και το νέο αρχείο πιάνει τη μισή, τότε η μισή θα περιέχει το παλιό αρχείο και η άλλη μισή το καινούριο. Η ανάκτηση του παλιού αρχείου διαβάζοντας τη μισή σελίδα, είναι δύσκολη αλλά όχι αδύνατη και εξαρτάται από το είδος του αρχείου. Μετακίνση, Αντιγραφή, Ανασυγκρότηση δίσκου και Format: Μετακίνηση Τι ακριβώς γίνεται όταν μετακινούμε ένα αρχείο από ένα σημείο σε άλλο στον ίδιο δίσκο; Τίποτα απολύτως, απλά ο υπολογιστής μας μάς εμφανίζει ότι το αρχείο είναι στην επιφάνεια εργασίας για παράδειγμα αντί σε κάποιον άλλο φάκελο. Στην πραγματικότητα δε μετακινείται τίποτα απολύτως. Εικονικά μόνο βλέπουμε το αρχείο μας σε άλλο σημείο, ενώ το MFT παραμένει το ίδιο. Σε περίπτωση που μετακινήσουμε το αρχείο μας σε άλλο δίσκο ο υπολογιστής μας αντιγράφει το αρχείο μας σε ένα φάκελο temp, σβήνει εικονικά(delete) το αρχείο από την παλιά τοποθεσία, αντιγράφει το αρχείο μας στη νέα τοποθεσία και σβήνει το αρχείο από το φάκελο temp. Δηλαδή για να μετακινηθεί ένα αρχείο μας από ένα δίσκο σε άλλο, ο υπολογιστής δημιουργεί ένα δεύτερο αντίγραφο του αρχείου μας σε έναν temp φάκελο και στο τέλος διαγράφει εικονικά το 2 φορές υπάρχον αρχείο από το δίσκο. Το αν θα σβηστούν πραγματικά τα αρχεία μας, είναι θέμα τύχης αν στην τοποθεσία αυτή γραφτεί κάποιο άλλο αρχείο ίδιου ή μεγαλύτερου μεγέθους. Με λίγα λόγια, αν κάποιος είχε μια ελπίδα να ανακτήσει το αρχείο μας από τον παλιό δίσκο, τώρα έχει δυο ελπίδες καθώς το αρχείο μας υπάρχει 2 φορές στο δίσκο αυτόν. Αντιγραφή: Στην περίπτωση της αντιγραφής, συμβαίνει αυτό που περιγράψαμε πάνω -δημιουργείται ένα αντίγραφο δηλαδή του αρχείου μας, το οποίο αφού ολοκληρωθεί η αντιγραφή διαγράφεται. Ανασυγκρότηση δίσκου: Όταν επιλέγουμε να κάνουμε ανασυγκρότηση δίσκου, ο υπολογιστής μας ουσιαστικά αντιγράφει και τακτοποιεί τα δεδομένα μας, τα οποία όπως αναφέραμε αποθηκεύει τυχαία όπου βρει χώρο(όχι στη σειρά δηλαδή).

19 Ας επιστρέψουμε στο παράδειγμα με το βιβλίο. Ας υποθέσουμε πως έχουμε ένα βιβλίο που είναι γραμμένες(δηλαδή υπάρχουν στον πίνακα περιεχομένων) οι σελίδες 26,37,58,65 και όλες οι υπόλοιπες είναι κενές. Αυτό που κάνει ο υπολογιστής μας με την ανασυγκρότηση είναι το εξής: Αντιγράφει τα περιεχόμενα των σελίδων 26,37,58,65 στις σελίδες 1,2,3,4 που είναι άδειες και ενημερώνει τον πίνακα περιεχομένων για την μετακίνηση, δηλαδή ότι οι σελίδες 26,37,58,65 είναι άδειες και οι σελίδες 1,2,3,4 έχουν στοιχεία. Άρα τα δεδομένα μας τώρα υπάρχουν 2 φορές αλλά ο υπολογιστής μας θεωρεί ότι υπάρχουν μια(αφού αναφέρονται μια φορά στον πίνακα περιεχομένων). Φυσικά το παράδειγμα είναι σχετικό και περιγράφει τη διαδικασία χωρίς να σημαίνει ότι κάθε φορά που κάνουμε ανασυγκρότηση, υπάρχουν όλα τα δεδομένα μας 2 φορές στο δίσκο(το ποια αρχεία και πόσα υπάρχουν 2 φορές στο δίσκο, εξαρτάται από διάφορους παράγοντες). Format: Όλοι γνωρίζουμε τη διαδικασία format ενώ κάποιοι ίσως να έχουν παρατηρήσει ότι τα windows προσφέρουν 2 λειτουργίες format(quick, non quick). Αυτό που συμβαίνει κατά τη διάρκεια ενός format είναι πολύ πιο απλό από όσο κάποιοι μπορεί να φαντάζονται. Το μόνο που συμβαίνει, είναι να σβήνεται το MFT, δηλαδή να σβήνεται ο πίνακας περιεχομένων. Δηλαδή δε σβήνεται πραγματικά κανένα αρχείο, απλά ο υπολογιστής αναγνωρίζει το δίσκο μας σαν άδειο. Για αυτό το λόγο ίσως να έχετε παρατηρήσει πως το quick format είναι πάντα γρήγορο, ανεξαρτήτως χωρητικότητας δίσκου. Το regular format που ίσως να δίνει την αυταπάτη ότι όντως σβήνει τα αρχεία μας, το μόνο παραπάνω που κάνει σε σχέση με το quick format, είναι να ελέγχει το δίσκο μας για bad sectors(κατεστραμμένα σημεία) και για αυτό το λόγο η ταχύτητα του εξαρτάται από το μέγεθος του δίσκου. Με λίγα λόγια, καμία από τις 2 επιλογές format, δεν είναι ασφαλής(το ίδιο ισχύει και για τα λειτουργικά Linux/Mac OS) Πως διαγράφεται πραγματικά ένα αρχείο: Στην περίπτωση που διαγράψουμε ένα αρχείο με delete και αδειάσουμε τον κάδο, ουσιαστικά έχει γίνει αυτό που περιγράψαμε πάνω, δηλαδή ελευθερώθηκε η θέση στα περιεχόμενα μόνο. Για να σιγουρευτούμε ότι τα δεδομένα μας έχουν εξαφανιστεί από το δίσκο, θα πρέπει να γεμίσουμε το δίσκο με αρχεία, μέχρι να γεμίσει τελείως. Οπότε, τότε θα είμαστε σίγουροι ότι και στη θέση που ήταν παλιά το αρχείο μας, τώρα είναι νέα δεδομένα. Δηλαδή αν έχουμε ένα δίσκο 20GB και χρησιμοποιούμε τα 15, στην περίπτωση που σβήσουμε ένα αρχείο, θα πρέπει να γεμίσουμε όλο μας το δίσκο ώστε να σιγουρευτούμε ότι ο υπολογιστής μας έγραψε εκεί που ήταν το αρχείο που σβήσαμε. Άλλος τρόπος διαγραφής: Υπάρχουν προγράμματα που μπορούν να αναλάβουν την ασφαλή διαγραφή ενός αρχείου. Αυτό που κάνουν ουσιαστικά αυτά τα προγράμματα, είναι το εξής: Βλέπουν το ακριβές μέγεθος του αρχείου που επιλέξαμε και πηγαίνουν στην τοποθεσία που αρχίζει το αρχείο μας. Ανοίγουν το αρχείο μας(σαν 0 και 1) και γράφουν μέσα τυχαία δεδομένα πάνω στα άλλα μέχρι να καταλαμβάνει το ίδιο μέγεθος που είχε αρχικά. Ύστερα διαγράφουν απλά το αρχείο. Με λίγα λόγια, το αρχείο δεν διαγράφεται ουσιαστικά(διαγράφεται με τον ίδιο τρόπο όπως όταν πατάμε delete). Όμως δεν μας απασχολεί ιδιαίτερα αφού το αρχείο μας πλέον δεν είναι αυτό που ήταν πριν καθώς τα δεδομένα του έχουν αλλάξει. Ας το φανταστούμε σαν ένα βιβλίο. Λέμε λοιπόν ότι θέλουμε να διαγράψουμε τις σελίδες Το πρόγραμμα πηγαίνει στη σελίδα 30 και αρχίζει και γράφει τυχαία γράμματα μέχρι τη σελίδα 32. Ύστερα μέσω του απλού delete διαγράφει τις σελίδες από τον πίνακα περιεχομένων. Άρα ακόμα και αν βρει κάποιος τις σελίδες θα δει ακαταλαβίστικα πράγματα. Τέτοιου είδους προγράμματα προσφέρουν και μια λειτουργία ασφαλούς διαγραφής ενός ήδη διεγραμμένου αρχείου. Σε αυτή την περίπτωση αυτό που κάνουν είναι αυτό που περιγράψαμε πάνω σαν πραγματικό τρόπο διαγραφής. Η επιλογή λέγεται συνήθως wipe/shred free space και αυτό που κάνει μια τέτοια λειτουργία είναι να γεμίζει το δίσκο μας με τυχαία δεδομένα μέχρι να γεμίσει πλήρως (μετά φυσικά αυτά διαγράφονται από τον πίνακα περιεχομένων). Οπότε είναι καλύτερα να διαγράφουμε τα αρχεία μας με τέτοια προγράμματα που πρώτα τα αχρηστεύουν και όχι με delete καθώς η διαδικασία ασφαλούς διαγραφής σε αυτή την περίπτωση (με wipe free space) μπορεί να διαρκέσει αρκετή ώρα (εξαρτάται από το μέγεθος του ελεύθερου χώρου του δίσκου). Υλική καταστροφή αντί για διαγραφή: Είναι ίσως ο πιο λάθος τρόπος καθώς: 1. Μπορούν να μας κατηγορήσουν για καταστροφή αποδεικτικών στοιχείων 2. Θα πρέπει να κάνουμε ολική καταστροφή. Επειδή ο υπολογιστής μας δεν μπορεί να διαβάσει το σκληρό δίσκο ή το cd, δε σημαίνει ότι καταστράφηκαν πλήρως. Λύσεις: Eraser dban( bootable iso για διαγραφή ολόκληρων δίσκων)

20 Επικινδυνότητα: Μεγάλη. Εδώ θεωρούμε ότι η επικινδυνότητα είναι μεγάλη, καθώς σε συνδυασμό με τα ίχνη που αφήνουν διάφορα προγράμματα, είναι πιθανόν η αστυνομία να μπορέσει να ανακτήσει αρχεία που θεωρούσαμε διεγραμμένα. Για παράδειγμα, όταν γράφουμε κάτι στο microsoft/open office το πρόγραμμα αποθηκεύει ότι κάνουμε και σε ένα κρυφό εφεδρικό αρχείο. Ίσως να έχετε παρατηρήσει σε περιπτώσεις που κολλάει το πρόγραμμα και κλείνει ό,τι όταν το ανοίγουμε καταφέρνει και ανακτά όλα όσα είχαμε κάνει. Αυτό γίνεται επειδή ανοίγει το εφεδρικό αρχείο -το οποίο συνήθως είναι στον ίδιο φάκελο με το πρωτότυπο- ή το ανακτά από άλλη τοποθεσία. Όταν κλείσουμε κανονικά το πρόγραμμα(δηλαδή δεν κλείσει επειδή κόλλησε), το πρόγραμμα σβήνει εικονικά αυτό το εφεδρικό αρχείο και συνήθως τα περισσότερα από τα υπόλοιπα προσωρινά αρχεία. Πως το σβήνει; Με ένα απλό delete(δεν βρίσκεται στο κάδο ανακύκλωσης), άρα δεν σβήνεται με ασφάλεια. Με λίγα λόγια αν εμείς αργότερα σβήσουμε με ασφάλεια το.doc αρχείο μας, κάποιος ίσως καταφέρει να διαβάσει αυτά που είχαμε γράψει, ανακτώντας το εφεδρικό αρχείο που σβήστηκε από το πρόγραμμα. Η μόνη λύση για αυτό το πρόβλημα είναι να γεμίσουμε το δίσκο μας με δεδομένα μέχρι να γεμίσει πλήρως ώστε να σιγουρευτούμε ότι το αρχείο μας διεγράφη. Υπάρχει επίσης πιθανότητα το αρχείο μας να υπάρχει και σαν temp αρχείο στο φάκελο temp. Το ίδιο ισχύει στην περίπτωση που επιλέξουμε μέσω του browser μας να σβήσουμε cookies ή την cache. Για αυτό το λόγο για οτιδήποτε θέλουμε να διαγράψουμε, πρέπει να χρησιμοποιούμε προγράμματα που μας δίνουν την επιλογή της ασφαλούς διαγραφής. Προγράμματα όπως Ccleaner, Evidence Eliminator, Clean After Me, παρέχουν αυτή τη δυνατότητα. Φήμες: Υπάρχει η φήμη που λέει πως ότι και να κάνει κάποιος, πάντα θα υπάρχει τρόπος ανάκτησης των αρχείων ή ότι για να μην υπάρχει τρόπος ανάκτησης του αρχείου μας, θα πρέπει να γραφτούν από πάνω δεδομένα 35 φορές(gutman method). Αυτές οι φήμες είναι πέρα για πέρα αναληθείς, καθώς 1 φορά overwrite είναι αρκετή. Φήμες που λένε για ηλεκτρονικά μικροσκόπια που ελέγχουν τον δίσκο σημείο-σημείο και διαβάζουν τα δεδομένα δεν ισχύουν και δεν θα μπούμε σε αυτό το σημείο στη διαδικασία να αναλύσουμε το γιατί. Συνεπώς στις ρυθμίσεις των άνω προγραμμάτων είναι ασφαλές κάποιος να χρησιμοποιήσει την επιλογή που κάνει 1 pass. Περισσότερες πληροφορίες για τους δύσπιστους: Συμπεράσματα Αυτό που πρέπει κάποιος να συμπεράνει από τα παραπάνω, είναι ότι δεν υπάρχει ουσιαστικός τρόπος να είμαστε 100% σίγουροι ότι δεν έχουμε αφήσει ίχνη πίσω μας. Ακόμα και αν αγνοήσουμε τα ίχνη που αφήνουν τα Windows, δε μπορούμε να τα αγνοήσουμε τα ίχνη που αφήνουν προγράμματα όπως Microsoft Office, καθώς εμπεριέχουν μεγάλους κινδύνους. Για να λύσουμε, για παράδειγμα το πρόβλημα των εφεδρικών αρχείων που δημιουργεί το Office, θα πρέπει κάθε φορά που ανοίγουμε ένα αρχείο στον υπολογιστή μας, μετά να διαγράφουμε ασφαλώς τον άδειο χώρο του δίσκου μας, κάτι που απαιτεί αρκετό χρόνο. Για αυτό το λόγο θα πρέπει ο υπολογιστής μας να λειτουργεί σε ένα πλήρες ελεγχόμενο περιβάλλον ώστε να μην αφήνει ίχνη ή ότι είναι να κάνουμε να το κάνουμε σε internet cafe*. Μια πολύ καλή λύση σε αυτό το πρόβλημα είναι τα bootable live cd/dvd. Υπάρχουν και εκδόσεις σε usb, όμως έχουν το μειονέκτημα ότι τα usb λειτουργούν και σαν σκληροί δίσκοι οπότε υπάρχει η πιθανότητα -ανάλογα με την ασφάλεια του λειτουργικού συστήματος- να γραφτούν δεδομένα). Τα bootable live cd, είναι στην ουσία cd που έχουν εγκατεστημένο ή συμπιεσμένο ένα λειτουργικό σύστημα(συνήθως linux) και αφού κάνουμε επανεκίνηση του υπολογιστή μας, μπορούμε να μπούμε σε ένα λειτουργικό σύστημα το οποίο δε θα γράψει τίποτα στον δίσκο μας καθώς όλα τα δεδομένα θα αποθηκεύονται στη RAM.(η διαδικασία για να μπορέσει ο υπολογιστής να ξεκινήσει από το cd γίνεται από το bios). Ίσως ακούγεται υπερβολική μια τέτοια μέθοδος, αλλά θεωρούμε ότι είναι η πιο ασφαλής με την έννοια ότι αν κάποιος θέλει να γράψει κάτι σε ένα αρχείο.doc και να το περάσει στο usb stick του, ο μόνος τρόπος για να σιγουρευτεί ότι μόνο στο usb stick θα υπάρχουν δεδομένα είναι αυτός, αφού το λειτουργικό σύστημα στην περίπτωση του live cd τρέχει στη RAM. Με λίγα λόγια ακόμα και για το θέμα των εφεδρικών αρχείων, μπορούμε να είμαστε σίγουροι ότι μόνο στο usb stick μας θα υπάρχουν και όχι σε διάφορες τοποθεσίες του δίσκου μας που δεν θέλουμε να είναι. *Στην περίπτωση των internet cafe προκύπτουν άλλα προβλήματα όπως κάμερες ασφαλείας και η αναγνώριση του προσώπου μας από θαμώνες. Ακόμα όμως και αν λύσουμε(ή θεωρήσουμε ασήμαντα) αυτά τα προβλήματα, θα πρέπει να γνωρίζουμε ότι τα περισσότερα internet cafe(αν όχι όλα), έχουν πρόγραμμα παρακολούθησης όλων των υπολογιστών που δίνει τη δυνατότητα στον administrator-ταμία να μπορεί να βλέπει οτιδήποτε κάνουμε στον υπολογιστή μας live. Επίσης καλό θα είναι να γνωρίζουμε ότι η επαναφορά που γίνεται από τους υπολογιστές των internet cafe σε αρχική κατάσταση κατά την επανεκκίνηση του υπολογιστή(και που ουσιαστικά διαγράφει τα όποια αρχεία αποθηκεύσαμε στο δίσκο πριν την επανεκκίνηση), στην πραγματικότητα διαγράφει εικονικά τα αρχεία που αποθηκεύσαμε στο δίσκο. Αυτό που κάνει, είναι να επαναφέρει το MFT(πίνακα περιεχομένων) σε μια προεπιλεγμένη κατάσταση. Με λίγα λόγια τα αρχεία μας συνεχίζουν να