Журнал "Information Security/ Информационная безопасность" #5, 2022

Изъятие серверов зло- умышленников и надлежа- щее восстановление инфор- мации помогают обеспечить значительную степень рас- крытия анонимности этих транзакций. В 2021 г. сотрудники Эдинбургского университета Нейпира опубликовали исследование, описываю- щее инструментарий и мето- дологию для анализа серви- сов смешивания биткойнов. По состоянию на 2022 г. в России запрещено исполь- зование криптовалют в качестве средства платежа, но при этом по-прежнему растут криптофинансовые потоки и незаконные финан- совые сервисы на теневом рынке. нием денежных средств. В июле 2022 г. около 10% всех крипто- валют, принадлежащих неза- конным сервисам, были отмыты именно через миксеры. Биткойн-криминалистика Для биткойн-криминалистики важно, что координатор CoinJoin имеет представление о пользо- вательской информации, кото- рая может позволить cвязать входные данные с пользовате- лем. Это открывает возмож- ность обнаружения значимых артефактов (свидетельств), если инфраструктура крипто- сервиса будет подвергнута кри- миналистическому анализу. В мае 2019 г. голландская служба финансовой информа- ции и расследований (FIOD) в тесном сотрудничестве с Европолом и властями Люк- сембурга конфисковала шесть серверов Bestmixer.io, контро- лирующих потоки Bitcoin, Bitcoin Cash и Litecoin. Изъятие серверов злоумыш- ленников и надлежащее вос- становление информации помо- гают обеспечить значительную степень раскрытия анонимности этих транзакций. Если иссле- дователям известны биткойн- адреса, принадлежащие как интересующему лицу, так и сто- роннему сервису микширова- ния, они могут идентифициро- вать транзакции между ними. В 2021 г. сотрудники Эдин- бургского университета Нейпи- ра опубликовали исследова- ние 3 , описывающее инструмен- тарий и методологию для ана- лиза сервисов смешивания бит- койнов, доступ к которым был получен после судебного изъя- тия. Они изучили, какие реаль- ные, общедоступные инстру- менты и методы раскрываются криминалистически, а также проанализировали источники артефактов, которые потребуют дальнейшего академического внимания. Тестовая среда упомянутых кошельков была развернута на виртуальных машинах, затем использовался ряд инструмен- тов компьютерно-технической экспертизы для исследования созданных виртуальных обра- зов на наличие значимых арте- фактов. Задействованные инструменты смогли восстано- вить широкий спектр кримина- листических свидетельств и позволили обнаружить, что сетевые активности и файлы системных журналов являются полезными источниками свиде- тельств для деанонимизации служб микширования. Наиболее эффективные методы защиты от криминали- стической экспертизы, исполь- зуемые службами микширова- ния, включали шифрование данных при передаче и в состоя- нии покоя. Obscuro микшировал в защищенном анклаве, но последующая запись этих дан- ных на диск в зашифрованных артефактах сделала это мик- ширование избыточным и при- вело к компрометации данных. Инструменты анализа транзакций Исследователи использовали различные наборы криминали- стических инструментов, а затем по результатам их рабо- ты выполнялся поиск конкрет- ных криминалистических арте- фактов. Преимущество в том, что для поиска значимых дока- зательств можно применять множество инструментов, пре- доставляющих расширенные возможности: захват файлов и потоков данных, анализ сиг- натур и более глубокий синтак- сический анализ конкретных приложений. 1. Autopsy, один из основных инструментов цифровой крими- налистики с открытым исход- ным кодом, позволяющий ана- лизировать жесткие диски, смартфоны, флеш-карты и т.д. 2. FTK Imager, программное обеспечение с открытым исход- ным кодом, которое было выбрано за его мощную спо- собность монтировать и анали- зировать файлы образов. 3. AXIOM, платный комплекс- ный набор инструментов, поз- воляющий захватывать снеп- шоты устройств, обрабатывать образы для восстановления данных, он предоставляет ана- литические инструменты. 4. Для анализа и исследова- ния сетевого трафика исполь- зовался инструмент Wireshark, а для исследования снепшотов памяти – LIME и Volatility. На сегодняшний день доступ- ны экспертные инструменты для анализа транзакций и класте- ризации адресов, которые пре- вращают криптотранзакции в простую визуализацию, под- крепленную точными данными об атрибуции адресов. Заключение По состоянию на 2022 г. в России запрещено использова- ние криптовалют в качестве средства платежа, но при этом по-прежнему растут криптофи- нансовые потоки и незаконные финансовые сервисы на тене- вом рынке, в том числе и мик- серы криптовалют. Между тем в Евросоюзе уже создан регу- лирующий орган AMLA, кото- рому поручен прямой надзор за криптобизнесом. При столкновении с биткойн- миксером, разработанным для сокрытия источника биткойнов и личности пользователей, пра- воохранительным органам тре- буется специфический набор навыков и инструментов для отслеживания средств, совер- шенно отличный от соответ- ствующего комплекта для сбора криминалистических доказа- тельств в случае более тради- ционных форм отмывания денежных средств. Кроме того, пока еще проведено мало исследований, направленных на рассмотрение и изучение кри- миналистического анализа сер- висов смешивания биткойнов. Аналитические платформы уже достаточно развиты для того, чтобы видеть все криптотран- закции. Примером является программное обеспечение Chai- nalysis для обеспечения соот- ветствия требованиям в сфере оборота криптовалют. В России для этих целей работает плат- форма КОСАтка. Не следует забывать, что использование Tor в Wasabi, как правило, помогает в реше- нии проблем конфиденциаль- ности и безопасности, но субъ- екты угроз, ищущие биткойн- трафик, могут и действительно нацеливаются на узлы Tor в попытках украсть средства или раскрыть пользователей. В ближайшем будущем стоит ожидать появления криминали- стических инструментов с при- менением поддельных нод Tor и дистанционным сбором сви- детельств с хостов и облачных ресурсов для нужд криминали- стической экспертизы. l • 45 КРИПТОГРАФИЯ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 3 https://www.napier.ac.uk/~/media/worktribe/output-2817546/a- blockchain-framework-in-post-quantum-decentralization-accepted-ver- sion.pdf