12 10.2017

Jak szybko i niezauważalnie skopiować dane z czyjegoś komputera

Z pewnością każdy z Was był w sytuacji, a niektórzy nawet wielokrotnie, w której chciałby być w stanie skopiować dane z czyjegoś komputera bez wiedzy tej osoby. Czy to zdjęcia obecnej/byłej dziewczyny, czy czyjeś dane finansowe, czy też np. projekt nowego, przełomowego urządzenia z komputera szefa konkurencyjnej firmy.

Od teraz będzie to prostsze, niż kiedykolwiek wcześniej!


Intencją autora ani wydawcy artykułu nie jest namawianie bądź zachęcanie do łamania prawa. Art. 267 Kodeksu Karnego: "Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej (...) podlega karze (...)". W dalszej części tego artykułu autor przyjmuje, że działacie w granicach prawa, np. będąc funkcjonariuszem "wywiadu" (niekoniecznie polskiego), bądź mając inną "podkładkę" legalizującą swoje działania.


Zastanówmy się więc nad ryzykami i problemami, jakie wiążą się z takim działaniem:

  • najczęściej nie wiemy, czego dokładnie szukamy (mamy tylko ogólne założenia)
  • nie wiemy, co jeszcze znajduje na tym komputerze (bo np. nigdy wcześniej nie mieliśmy z tym komputerem kontaktu)
  • nie wiemy, ile jest na nim "innych" danych i jak długo potrwa ich ewentualne kopiowanie
  • nie znamy też wydajności tego komputera (więc tym bardziej nie wiemy, ile potrwa kopiowanie danych i jak bardzo widocznie spowolni w tym czasie pracę komputera)
  • nie wiemy, ile mamy czasu na naszą "pracę" i czy nie będziemy musieli jej nagle przerwać
  • nie wiemy, czy na komputerze nie ma zabezpieczeń np. w postaci oprogramowania DLP, chroniącego dane przed wyciekiem
  • działanie to wymaga dość dużej ilości pracy przy atakowanym komputerze - pracy, która z pewnością rzuci się w oczy osobom przebywającym w pobliżu

Wszystkie te problemy prowadzą do bardzo dużego ryzyka "wpadki", czyli zauważenia i przerwania całej operacji przez właściciela komputera, a zarazem do stosunkowo niewielkiej szansy na sukces przy pierwszym podejściu. W szczególności w sytuacjach, gdy mamy na całą akcję tylko kilkadziesiąt sekund, albo np. 2-3 minuty.

Ale można inaczej

Sherlock to narzędzie zaprojektowane od początku do końca właśnie do kopiowania danych z nieznanych komputerów. Jego sercem jest silnik klasyfikujący znalezione katalogi wg potencjalnej wrażliwości i wartości. Dzięki takiemu podejściu, Sherlock kopiuje dane z komputera w kolejności od najbardziej do najmniej wartościowych. Jeśli więc zajdzie konieczność nagłego przerwania procesu kopiowania, możecie zawsze być pewni, że Sherlock zrobił najlepszy możliwy użytkek z każdej dostępnej sekundy.

Ale to nie wszystko. Sama kolejność kopiowania danych nie rozwiązuje jeszcze ostatniego z powyższych problemów, tj. konieczności siedzenia przy atakowanym komputerze i związanego z tym ryzyka bycia zauważonym i zapamiętanym.

Sherlock rozwiązuje to na kilka możliwych sposobów, przede wszystkim poprzez ukrycie swojej funkcjonalności w:

  1. arkuszu Excela - użytkownik może normalnie pracować na dowolnie wybranym przez nas arkuszu, w takiej wersji Excela, jaką ma zainstalowaną na komputerze i bez konieczności włączania makr. Możliwe jest więc połączenie Sherlocka np. z arkuszem wynagrodzeń (prawdziwym lub spreparowanym) lub czymkolwiek innym, co skłoni go do otwarcia tego arkusza.
  2. odtwarzaczu MP3 - w tym przypadku wystarczy, że użytkownik włączy muzykę, która będzie odtwarzana programem, do którego jest on przyzwyczajony.
  3. instalatorze dowolnego programu (Sherlock wyposażony jest w ok. 60 gotowych profili udających różne programy, w tym narzędziowe typu Total Commander, graficzne, ERP i inne) - przy czym instalator ten faktycznie będzie instalował wybrany program.

Dzięki tym opcjom wystarczy skłonić użytkownika do podłączenia pen drive'a i puszczenia z niego muzyki - a potem tego pen drive'a dyskretnie odłączyć (i w razie potrzeby podmienić na identycznego, z samą muzyką).

Jest również możliwe uruchomienie całkowicie automatyczne, bez potrzeby jakiejkolwiek ręcznej interakcji ze strony naszej lub użytkownika, za pomocą narzędzi USB Rubber Ducky lub Bash Bunny.

Całkowita niewidzialność

Głównym priorytetem podczas rozwoju Sherlocka jest utrzymanie jego całkowitej niewidzialności dla użytkownika. Jest on w stanie wykrywać i omijać programy DLP i antywirusowe, a przede wszystkim nie prowokuje on żadnych dziwnych i niepotrzebnych komunikatów błędów, pytań UAC o elewację uprawnień itp. Minimalizuje to ryzyko przerwania przez użytkownika całego procesu.

Ale czy to się opłaca? Istnieją darmowe narzędzia...

Istnieją dziesiątki różnych darmowych narzędzi służących do ukrytego kopiowania danych, w tym spoza część dostępna jest razem z kodem źródłowym.

Sherlock jest narzędziem płatnym i jak na polskie warunki, relatywnie drogim, a z racji potężnych możliwości, jego dostępność jest ograniczona do funkcjonariuszy różnych służb (również zagranicznych), prywatnych detektywów, ekspertów z zakresu informatyki śledczej, audytorów, pracowników "red teamów" w korporacjach i innych osób związanych zawodowo z bezpieczeństwem informatycznym o uznanej reputacji. Natomiast na pytanie, czy w Twoim przypadku zakup Sherlocka się opłaci, musisz odpowiedzieć sobie sam.

A co z USB Rubber Ducky i Bash Bunny?

USB Rubber Ducky to miniaturowe urządzenie wizualnie przypominające zwykłego pen drive'a, w istocie będące specyficznym emulatorem klawiatury USB. Specyficznym, ponieważ jego zadaniem jest "wciskanie" wcześniej zaprogramowanych sekwencji klawiszy i uruchamianie w ten sposób różnych poleceń.

Bash Bunny to nieco bardziej zaawansowana platforma, łącząca w jednym urządzeniu emulację klawiatury z dyskiem SSD, na który można kopiować dane z komputera. Dla obu tych narzędzi powstały dziesiątki tzw. payloadów, czyli przykładowych skryptów realizujących (a raczej demonstrujących) konkretne techniki naruszeń bezpieczeństwa komputera.

Celem Sherlocka nie jest konkurowanie z tego typu platformami, jest on raczej ich uzupełnieniem (pierwsze wersje Sherlocka powstały właśnie w formie payloadu dla Bash Bunny). Obecne wersje Sherlocka współpracują z USB Rubber Ducky, Bash Bunny, oraz wieloma innymi platformami tego typu: dana platforma jest odpowiedzialna za uruchomienie Sherlocka, zaś Sherlock dostarcza silnik o dużo większych możliwościach, niż dostępne w Internecie przykładowe payloady.

Wspierane wersje Windows

  • Windows XP SP3 Home/Professional
  • Windows Vista Home/Business
  • Windows 7 Starter do Ultimate
  • Windows 8 Standard do Enterprise
  • Windows 8.1 Standard do Enterprise
  • Windows 10 Home do Enterprise
  • Windows Server 2003, 2003 R2
  • Windows Server 2008, 2008 R2
  • Windows Server 2012, 2012 R2
  • Windows Server 2016
  • Windows Server Core 2008 R2
  • Windows Embedded Standard 7
  • Windows Embedded 8.1 Industry (Pro)

Rozpoznawane i omijane systemy DLP

  • Safetica
  • ObserveIT
  • DeviceLock
  • McAfee DLP


Tomasz Klim
Administrator serwerów i baz danych, specjalista w zakresie bezpieczeństwa, architekt IT, przedsiębiorca. Prawie 20 lat w branży IT. Pracował dla największych i najbardziej wymagających firm, jak Grupa Allegro czy Wikia. Obecnie zajmuje się doradztwem dla klientów Fajne.IT, a w wolnych chwilach pisze artykuły. Chętnie podejmuje się ciekawych zleceń.


Wzbudziliśmy Twoje zainteresowanie?

Szukasz pomocy? formularz kontaktowy