[Опрос] Компьютерная криминалистика

Discussion in 'Безопасность и Анонимность' started by ettee, 25 Jul 2009.

  1. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    69
    Likes Received:
    23
    Reputations:
    13
    Дайте ка я свои 5 копеек вставлю =)

    Так… Уведомления на ветку почему то не пришли, давайте по пунктам…

    Не торопись. Допустим (!), что есть некое заявление, на основании которого лицо, которое в чем то подозревается, что называется «приняли»… Изъяли все носители и все оборудование. Далее, если следовать стандартным формулировкам, вроде «не знаю», «не помню» и «баз адвоката говорить не буду», и не прогибаться под психологическое и, возможно, физическое давление — в этом случае вы с точки зрения полезности для правоохранитель органов нифига не ценны. Остается уповать лишь на доказательную базу, т.е. на те самые улики, которые удастся (?) найти на тех самых изъятых носителях и железе. И вот тут я повторяю свой вопрос — каким образом данные носители будут расшифрованы? По сути, т.к. никто так мне и не дал вменяемого ответа относительно аппаратно-программной части такого вот «вскрытия», то считаю, что остается лишь пресловутый паяльник. Но вы не забывайте одну интересную вещь — любые улики, полученные с нарушением действующего процессуального права (читай с нарушением УПК и исполнительного производства по делу) не могут считаться законными. Поэтому возвращаемся к исходной точке :) И потом, это что надо сделать, чтобы тебе засунули паяльник в задницу? :) Пентагон поломать, не иначе :-D

    Провайдер, логи, железо… Сказки венского леса… Причем тут провайдер с его железом? Причем тут логи? Еще раз — есть шифрованный канал связи между точкой А (абонент) и точкой Б (сервер в Панаме). Канал шифрован 2048 битным ключом (OpenVPN), в идеале еще с Панамы идет еще куда то, и выходит допустим в Швеции ;) Комплект софта, организующего такой канал связи, находится в зашифрованном крипто-контейнере, т.е. при выключении железа, контейнер отваливается и становится бесполезной железкой (в случае если это флэшка), либо файлом (если это файл). Ну будет в логах у провайдера, что такого то числа, в такое то время, начался шифрованный сеанс связи между абонентом провайдера и неким IP адресом, физически расположенным в Панаме. Дальше что? Что касается системы СОРМ-2, то это просто зеркалирование трафика на оборудование соответствующих служб. Еще раз подчеркиваю, я ни разу не встречал доказательств того, что такой канал связи либо зашифрованные носители информации могут быть вскрыты, либо в реалтайме расшифрованы. Не важно с помощью кого, или чего — оборудования спецслужб, либо силами провайдера. Единственное, что представляет тут опасность — это тайминги соединений, но извините, для этого надо очень плотно сотрудничать с ДЦ где стоит результирующий сервер, а это не так легко как кажется ;)

    Бессмыссленный вопрос по своей сути.

    Анализирующий — да (СОРМ-2), расшифровывающие — нет. Я по крайней мере таких не встречал. Более того, из ЛИЧНОГО (!) опыта, могу сказать, что Ф** на поверку оказывается совершенно бессильна, при вскрытии криптоконтейнера TrueCrypt, находящегося на флэшке, с паролем длиной в 20 символов, и файлом-ключом, которого на машине нет ;)

    Нет. Кроме тех случаев, когда подозреваемого уже ведут. В таком случае, дополнительно «нарытое» просто плюсуется к тому, что уже было нарыто ;)

    Не понял :) Какой слив? Ты хочешь, чтобы сами сотрудники тебя предупредили, о том, что на тебя появилась заявка? Лучше этого не делать, и не соваться к ним, если не уверен в себе и в своих скиллах. Ибо если ты не спец, то запостановят и будешь работать с ними же, рука об руку, вылавливая своих же «братьев» :(

    «Флаг в руки, барабан на шею, возглавят колонну идущих нах*й» © я :) Почему так — читайте выше.

    Затем, что таких баранов, которые не способны контролировать процессы и подгружаемые библиотеки на собственной машине, а равно способные допустить присутствие на своей машине такого рода софта, можно будет пересчитать по пальцам одной руки (если смотреть на более менее вменяемых специалистов). А если учесть, что таких баранов будет крайне мало, то имеем, что вскрыть подобный контейнер, и получить доступ к тому, что потенциально может являться уликой, становится практически нереально :) Вот такой вот поворот, увы, Спилберг.

    Короче, резюмирую:

    1. Данные в шифрованном контейнере получить крайне сложно, а при грамотном использовании и поведении — нереально.

    2. Данные передаваемые по каналам связи находящимся «под контролем», перехватить реально, но расшифровать (опять же при условии грамотности человека, использующего такой канал) нереально :)

    Если кто то мне может доказать обратное — милости прошу в ПМ. :)

    С уважением,
    Вернон.
     
  2. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,035
    Reputations:
    1,065
    Повторю слова одного грамотного юриста, специалиста по расследованию компьютерных преступлений:
    "Практически во всех странах не имеют силы доказательства, полученные с нарушением закона. А доказательства, полученные при помощи информации, которая получена с нарушением закона - имеют."
    Да. Сбор оперативной информации иногда начинается ДО того, как "X" подаст заявление.
    Пример - сети открытых прокси, коммерческие организации, расследующими компьютерные преступления.

    Мне известны организации, которые за большие деньги извлекают нужную зашифрованную инфу. И, кстати, их методы тоже известны - ничего сверхестественного, просто некоторые ответы всегда лежат на поверхности, и даже гениальные криптографы их так сразу не видят.

    Сразу видно, что Вы не знакомы с современными программами-policeware. Которые мало чем уступают современным руткитам и которые запихиваются на машины кулхацкеров отнюдь не отправкой на электронную почту.

    С уважением, специалист по расследованию компьютерных преступлений. Контр-форензика
    http://anti-forensics.livejournal.com/1556.html
     
    _________________________
  3. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    69
    Likes Received:
    23
    Reputations:
    13
    Хм, интересная фраза. Уже отправил в мыло своим юристам. Интересно, что скажут. Если это так, то это, несомененно, угроза. И я прекрасно понимаю, к чему вы клоните. Засунуть паяльник в задницу — противозаконно. То есть полученный таким образом пароль (насилие, принуждение, незаконные методы), судом учитываться не будет. Но это и не надо, т.к. по вашему другая информация, т.е. улики, добытая при помощи этого пароля, будет считаться добытой законными путями. Фокус интересный, мне аж прямо не терпится узнать мнение юристов. Мне кажется, что цепь не рвется на паролем как таковом, и что все дальнейшее, также будет незаконным. Но я не юрист, и конечно же могу ошибаться. Поэтому жду комментария своего юриста, отпишу потом в ветке. Но тем не менее — для таких действий тоже есть свои противодействия. Например вложенные криптоконтейнеры. Да, я скажу пароль от первого, изобразив жестокое разочарование в своем поступке. Да, там будет что то, не представляющее особой опасности для меня. А внутри будет скрыт второй контейнер, в котором и будет весь сок. А еще хотите финт ушами? Например у меня работает некая система безопасности (собственная разработка, активно использующая TC), там момент принуждения учтен очень просто и еще продублирован. Во первых, если пароль к контейнеру два рада подряд вводится неправильно, контейнер уничтожается к ебеням собачьим и жукам майским. Во вторых, ключ к контейнеру хранится на удаленном сервере, доступ к которому можно получить только в связке с другим человеком и никак более, при соблюдении определенных условий о которых расследующая сторона никогда не узнает. И засовывайте хоть 2 паяльника в задницу, доступ к этому ключу получить даже мне будет абсолютно нереально. Кстати, эта же система продублирована и для безопасности других моментов, таких например, как щифрованных каналов связи ;) Что скажете на это?

    Ключевое слово здесь — иногда. Т.к. расследовать ВСЁ и по ВСЕМ направлениям, никаких ресурсов не напасешься. Поэтому приходим к выводу, что моя точка зрения является более корректной. Хотя я и не исключаю, возможность заранних оперативных действий ;)

    Во первых, «большие деньги» — понятие растяжимое. Во вторых, большие деньги будут очень сильно коррелировать с серьезностью расследуемого дела, и не всегда будут оправданы. В третьих, пока не будет пруфа (либо линк на сайты/телефоны таких организаций, либо конкретное указание технических мер, используемых для вскрытия криптоконтейнеров) я буду считать это полной чушью, а ваше утверждение несостоятельным, т.к. нет никаких доказательств обратного, но есть опыт, говорящий о том, что это смахивает на бред, иначе я бы наверно не сидел сейчас за компом наверно :D Тем более жду пруф, т.к. вы сами утверждаете, что «ничего сверхъествественного» и «все ответы лежат на поверхности». Вода все это.

    С этим спорить на стану — не знаком. И кстати буду благодарен, если дадите возможность ознакомиться :D Но я знаком с принципами работы ОС, и прекрасно знаю базовые принципы работы руткитов, и прочего, что имеет склонность пролазить на машину без ведома пользователя. Проще говоря, я знаю дыры своей машины, и они закрыты. Это раз. Во вторых, т.к. есть zero-day уязвимости и всех дыр я знать не могу в принципе, то для работы используется оборудование, которое используется только для работы (простите за каламбур), и после отключения питания ОС сбрасывается в свое изначальное состояние, что сводит на нет шанс любого руткита, т.к. ОС грузится с носителя, запись на которой запрещена в принципе (технически невозможна). Для шибко умных руткитов, которые чисто гипотетически могут заработать и без релоада машины, есть не паблик проактивное обнаружение, направленное ТОЛЬКО на это, т.к. остальные дыры прикрыты. А если еще учесть, что вы не знаете, какая ОС используется (не веник это ;)), то становится совсем не просто. Я уже молчу о том, что опять же, инфа добытая с нарушениями — не катит. Ну да ладно, ждем ответа юриста. Иными словами, резюмируя, я еще раз повторяю — если человек баран, то ваш софт попадет к нему на машину, а если не баран, то увы, господа, идет ваша форензика в лес…

    С уважением,
    Обратная Сторона Медали :D
     
  4. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,035
    Reputations:
    1,065
    google://блокираторы записи

    Все грамотные судебные компьютерные экспертизы проводятся с блокировкой записи - любые попытки перезаписать хоть один байт содержимого диска будут анально огораживаться (и, возможно, писаться в отдельный файл, чтобы потом суду можно было сказать - обвиняемый хотел путем наебалова уничтожить доказательства).
    Сомневаюсь в том, что эти "условия" будут с точки зрения терморектального криптоанализа отличаться от паролей.
    Терморектальный криптоанализ направлен либо на способ получения данных, либо на сами данные. Отрицаемое шифрование защищает последнее. То, что надо нажать F2, а затем Esc в процессе загрузки для запроса пароля не защищается ничем.
    Практика показывает их полную неэффективность.
    Иногда = для некоторых видов компьютерных преступлений.
    http://nhtcu.ru/news.html
    Ищите в тексте слово "PGP"
    У меня и у моих коллег есть опыт, говорящий об обратном. Разумеется, кулхацкерам подобные вещи знать немного не положено (по понятным причинам). Рекомендую начать работать в области расследования компьютерных преступлений, вступить в международные ассоциации по борьбе с компьютерными престулпениями, почитать соответствующие закрытые интернет-ресурсы и посмотреть, изменится ли Ваше мнение.
    Идеальных компьютерных преступлений история еще не знает (да и про саму концепцию идеального преступления рекомендую смотреть фильм "Убийства в Кембридже" - там дано условие, когда традиционное преступление может стать идеальным, и это отнюдь не пресловутая безопасность через усложнение [работа только с Live CD, регулярный ручной мониторинг MD5 всех секторов жесткого диска и т.п.])
    Без средств доставки могу только дать одно название: Aperio.
     
    _________________________
    #24 ettee, 8 May 2010
    Last edited: 8 May 2010
  5. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    69
    Likes Received:
    23
    Reputations:
    13
    Нет, Вы меня немного не поняли. Какая перезапись? Это НЕ виртуальный контейнер. Какая судебная экспертиза? Экспертиза чего? Физически уничтоженного носителя? Ну-ну, удачи :) Не уверен, что Вы сможете отсюда что то достать. На экспертизу Вам останется только это:

    [​IMG] [​IMG]
    Разрушение контроллеров и микросхем памяти в flash носителях

    google://АБС EF V 2.0

    Эти условия специально созданы для обхода таких вот методов принудительного характера. Они бы никогда не были бы имплементированы, если бы не необходимость их 100% эффективности против таких вот противоправных действий правоохранительных органов. Даже паяльник не заставит вспомнить весь массив данных, который был записан на уничтоженном носителе… Тупиковый путь. F2, Esc — тут вообще не при чем. Другой вопрос в том, что пока Ваши клиенты врядли используют такое железо, т.к. уверен, что 99% тех кого Вы анализируете — детский сад, младшая группа. Я не по наслышке знаком с деятельностью отдела «К» в своем регионе, их профессионализм, с позволения сказать, вызывает лишь усмешку. А те лица, кому не безразлична собственная свобода, уверен, не пренебрегут такими возможностями современных технологий защиты информации ;)

    Если это выдрать из контекста — да, согласен. В комплексе с другими обозначенными методами, количество и качество головняка, у расследующей стороны, несомненно повысится.

    Бла-бла-бла… Причем здесь PGP? В контексте нашей с Вами беседы, PGP никогда не упоминался. Ибо Циммерман слил бэкдор еще давно. Факт того, что софт уже не тот, каким был изначально известен всем и каждому. И в очередной раз использование этого софта так называемыми кардерами, сильно показывает их скилл))) Можно конкретный линк, либо конкретный номер телефона организации, способной вскрыть криптоконтейнер TC, являющий собой полностью зашифрованную флэшку, с условием, что ключа нет, и пароля тоже? Еще раз — если нет, считаем, что таких организаций/специалистов НЕТ.

    Я — не хакер, и закон не нарушаю. Но, я с интересом слежу за подобным противостоянием добра и зла, в сфере высоких компьютерных технологий. Если Вы приведете мне в личку все необходимые адреса, я с радостью ознакомлюсь с представленной там информаций, изучу ее и выдам свое мнение, основанное на достаточно значительном опыте в данной области.

    Фильм обязательно посмотрю. Но дело в том, что мы с Вами беседуем в контексте не полностью какого то отдельно взятого уголовного дела, а в контексте получения улик с отдельно взятой машины. Давайте и впредь будем придерживаться установленных беседой рамок, по крайней мере пока не прийдем к какому то результату в этой беседе. После этого, я Вас уверяю, мы сможем подискутировать и на тему идеальности преступления =)

    Ну кто б сомневался, что «без средств доставки». Ибо уверен на 100% почти, что средством доставки является связка. Не думаю, что потратить $2K это так уж много, особенно если результатом будет работающий Aperio на машине подозреваемого :) Только кто ж об этом вслух то скажет. Уж не сотрудник правоохранительных органов точно.

    Кстати про Aperio, гугл сходу внятного ничего не сказал. Но если это вот это :

    [​IMG]

    То это просто смешно :)
     
    #25 VernonCody, 9 May 2010
    Last edited: 9 May 2010
  6. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,035
    Reputations:
    1,065
    На какой стадии хотите противодействовать? Следственные действия? Экспертиза? Или, может быть, в зале суда?

    Фраза про ввод пароля 2 раза неправильно дает логичное предположение о том, что речь идет об экспертизе (или криптоанализе в присутствии эксперта/специалиста). А любые фразы об эффективности подобных логических бомб - либо заблуждение, либо state-of-art исследования о противодействии криминалистической экспертизе, которые проводят по светлые стороны баррикад.

    Противодействие терморектальному криптоанализу возможно либо за счет введения в модель угроз ложных данных (например, отрицаемое шифрование), либо вводом в модель угроз ошибок криптоаналитика (в некоторых криптопродуктах есть пароль под принуждением, который уничтожает криптоключ, т.е. потом паяльником можно махать только для того, чтобы человек вспомнил данные, а не пароль для доступа к ним).
    Т.е. математически корректные методы противодействия паяльнику не включают в себя противодействие тому, что криптоаналитик узнает способ получения доступа к данным (к примеру, TC не скрывает своего присутствия на компьютере, а их модель отрицаемого шифрования не предполагает невыдачу каких-либо паролей - пароли выдаются, но немного не те).

    Ссылку уже дал - звоните им. Также могу попиарить собственную контору, но, думаю, тест-драйв хека трукрипт вы не получите, ибо "с улицы".

    Начните с http://www.htcia.org/
    Нет. И если будете искать еще лучше, то запомните - CERT (с ПО с аналогичным названием) тоже никак не связан.

    Есть халтурщики-палочники, а есть и реальные специалисты. При этом борьбу с преступлениями ведут не только они, но и коммерческие организации (типа Группы ИБ). В первом случае для защиты данных будет достаточно поставить пароль на вход в Windows. Во втором и контейнеры TrueCrypt со сложными паролями спасти не смогут (хотя, безусловно, создать более-менее идеальную защиту можно, но я даже рекомендации по ее созданию не видел - все существующие мануалы написаны без учета реальных технических методов борьбы с крипто и стего).


    http://kommentarii.ru/comment.php?f=3&t=573&p=15489

     
    _________________________
    #26 ettee, 9 May 2010
    Last edited: 9 May 2010
  7. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    69
    Likes Received:
    23
    Reputations:
    13
    Вполне уместный вопрос, я и сам начал ощущать, что мы беседуем несколько в разных плоскостях. Уточню — есть уголовное дело, в рамках производства которого есть необходимость добыть некие улики (допустим файлы), которые будут рассмотрены судом, и с большой степенью вероятности будут им учтены как доказывающие вину подозреваемого в преступлении, которое ему вменяется. Это раз. Далее, есть лицо, или лица, которые расследуют дело, либо являются экспертами, т.е. в компетенции которых находится непосредственно оборудование, знания/умения/навыки и т.д., а также правовые основания для выполнения конкретных действий по нахождению тех самых улик на машине/другом оборудовании, конфискованном у подозреваемого. Это два. Далее вариантов два. Если подозреваемый успел активировать функцию уничтожения АБС, то исследовать будет уже нечего и паяльник в данном случае не поможет, т.к. даже если он и скажет что то под принуждением, то это будет квалифицировано судом как незаконно полученные док-ва. Если же не успел, то в Ваше распоряжение попадает работоспособный носитель, который по совместительству, является криптоконтейнером (несет на борту зашифрованную FS). И тут все зависит от того, насколько Вы халтурщики-палочники или реальные специалисты, как Вы сами красноречиво заметили. Вопрос лишь в том, что пока на данный момент времени у меня нет ни единого обснованного подтверждения о том, что тот же TrueCrypt может быть скомпрометирован (речь идет о вскрытии контейнера без пароля и ключа, про паяльник не говорим). И вот это самое подтверждение я и хочу получить. Я конечно, горд за свою страну, что в ней есть специалисты, которые изобрели некий хек для ТС-контейнеров и не хотят по понятным причинам его отдавать "на тест драйв" человеку с улицы, но при этом мне это кажется попыткой самопиара, в противном случае почему весь остальной мир об этом не в курсе, с учетом того, что софт является достаточно популярным? ;)

    Спасибо большое, с радостью ознакомлюсь, интересно.

    Хорошо, буду искать еще лучше. Хотя и не совсем понимаю, что ж вы свой софт так скрываете то… Прям тайна какая то нереальная =) В целом, по поводу создания более менее идеальной защиты могу сказать вот что — если рассматривать надежность какого то отдельно взятого метода от 0% до 100%, то понятно, что 100% не даст ни один метод. Но не стоит забывать о дублировании, о том, что методы могут "перекрывать" друг друга, давая в итоге гораздо больше тех самых 100%. И сюда включены угрозы физического воздействия на подозреваемого. Так что даже если ему два паяльника в задницу засунуть — раскрытию дела это не поможет. При этом, я открыто говорю о методах, принципах AF, т.е. противодействия. И единственное, что я скрыл, это возможности собственного софта, работающего в связке с ТС, и обеспечивающего тот функционал, которого ТС лишен. А вот Вы, уважаемый, темните слегка :)

    В любом случае, большое Вам спасибо за дискуссию ;)
    Продолжим?

    UPDATE:

    Вода. Нет конкретики. Данный текст следует понимать так: эксперты Центра разработали софт, который позволяет оперативным сотрудникам отдела "К" (квалификацию которых мы знаем))) нажать две кнопки и на экране высветится вся потенциально интересная инфа, которую горе-хакер забыл потереть. Еще раз подчеркиваю, что такой софт не способен вскрыть при обозначенных мною условиях тот же ТС. Иначе об этом бы уже орали везде и на каждом углу.
     
    #27 VernonCody, 9 May 2010
    Last edited: 9 May 2010
  8. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,035
    Reputations:
    1,065
    Знаете, сколько компаний в РФ (т.н. негосударственных экспертных учреждений) готово сделать экспертизу, связанную с использованием криптоконтейнеров (не формально, т.е. без НПВ [не представляется возможным] по всем вопросам)? Или оказывать консультации по расследованиям дел, связанных с использованием стойкого крипто (включая участие специалиста в следственных действиях)? Боюсь, половины пальцев одной руки для их перечисления хватит. Именно половины, т.к. по одной организации у меня инфы очень мало.

    Это одно из направлений исследований проекта, ссылку на который я попиарил выше (это был единственный случай пиара в этой теме :) ). Если точнее, исследуется противодействие противодействию.

    Можете еще это поглядеть:
    http://guidancesoftware.ru/_docs/FIM.pdf

    Цитата с английской версии сайта:
    Вообще, компьютерная криминалистика в некоторой степени похожа на иллюзионизм - все знают, что езда на автомобиле с закрытыми глазами - фокус, но лишь единицы знают секрет подобной езды без "надувательства" вроде GPS и наушника в ухе.
     
    _________________________
  9. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Пока лично я в Интернет не читал ни одного заявления бывшего подозреваемого, который в подробностях описывал процесс получения у него паролей правоохранительными органами. Может быть потому что подозреваемый уже находится в местах не столь отдаленных, а получить доступ в Интернет там, мягко говоря, проблематично. А может быть ему запретили об этом рассказывать под давлением. В любом случае, пока вы лично не находились под воздействием милиции или других организаций, вы никогда не узнаете какими способами можно получить пароль и никто вам этого не скажет. Каналов утечки данных может быть огромное число. В Интернет на общий доступ представлены системы, противодействующие снятию звуковой информации путем вибраций оконных стекол, создающие электромагнитный "шум", препятствующий отправке информации по скрытому радиоканалу и т.д. Ознакомиться с ценой на эти системы может любой. И если такие системы есть, значит существуют системы, регистрирующие подобную информацию. Пароль на криптоконтейнер - это всего лишь текстовая строка. Что касается программ скрытого наблюдения, фиксирующие активность пользователей - если спросите мое мнение, я думаю что самым безопасным способом было бы загружать их сразу после включения сетевого соединения по локальной сети, реализовать их на уровне обновлений для операционных систем, антивирусов и т.д. Самая надежная система - это система, не предусматривающая сетевое соединение с другими компьютерами.
     
  10. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    69
    Likes Received:
    23
    Reputations:
    13
    В «Группу ИБ» задачу отписал, посмотрим, что ответят. Думаю, что врядли смогут что либо сделать, и на один палец станет меньше. Включение же спеца в следственные действия не суть важно, при выполнении условия того, что на изъятой машине не было обнаружено ничего, а гипотетически искомые улики находятся на отдельном целом (!) железном крипто-контейнере. Ждем ответа от них.

    Нет, это все понятно… «противодействие противодействию» и т.д. Суть не в этом. Я еще раз Вам повторяю — есть противостояние сторон, вид сверху, в общем. В таком случае да, и та и другая сторона может наделать ошибок, результирующих как победа/поражение. Но (!) мы беседуем не в рамках всего противостояния, а в рамках условной вероятности того, что иных вариантов нет, и следствие уперлось только в наличие шифрованного железа, на котором есть нечто, могущее его (следствие) заинтересовать… Вот от этого давайте плясать. Хотя, чисто гипотетически, я не исключаю вероятность того, что пароль и место нахождения файла-ключа для этого контейнера будет записано на бумажке, которая лежит сразу справа после мышки :D Но пляшем от тех условий, что я обозначил… Иначе мы просто будем тут еще месяц спорить, если будем принимать во внимание все модели всех угроз для каждой стороны.

    Поглядел… Я ранее сталкивался с EnCase Forensic более ранних версий, рад, что этот софт подрос до более интересного уровня… Но тем не менее — в контексте решаемой задачи он полностью бесполезен. Ибо при вычислении хакера он не поможет, а в случае попадания железа, которым пользовался хакер Вам в руки, не поможет тем более (читаем выше, и мыслим в рамках поставленной задачи). Понятно, что я склонен немного идеализировать, но смысл в том, что чем серьезнее человек являющийся Вашим противником, и чем серьезнее дела, которыми он занимается, тем, я уверен, больше внимания он уделит вопросам обеспечения собственной безопасности.

    Для младшего поколения — да, но не для тех, с кем Интернет родился и вырос. По крайней мере не для всех.

    Зайдите ко мне в профиль, там в истории выставления оценок увидите тему про мой личный опыт, почитайте. Там есть и «эксперт», и то, как они пароли находили, и все остальное…

    Бред :D

    Я лично находился под воздействием милиции. Но, во первых это было давно, и тогда модели угроз в мою сторону были несколько иные, чем сейчас. Во вторых, список моделей угроз с тех пор вырос довольно значительно, но однако данный факт никак не мешает все их принять во внимание и противопоставить им свои контр-меры.

    В контексте обсуждаемой модели (т.е. шифрованного канала связи), угрозу могут предоставлять только каналы утечки данных из ОС в обход шифрованного туннеля. Однако, они все известны, легко закрываются и в принципе, никакой угрозы не предоставляют (для тех, кто о них знает). По поводу лазерных микрофонов, снимающих звук с окон — это к чему вообще? Для этого, стороне противника надо знать, где находится хакер, а если он не осел, то этим микрофоном они будут слушать кого угодно, но не его. Тем более, если они будут знать, где он, то его скорее примут, чем будут слушать. Ведь в руках у них есть EnCase FIM, круто да? :) Если интересна модель защиты, которая идет в плюс к VPN — пишите в ПМ, расскажу ;)

    Дааа, батенька, вот вы даете… Если б это было так, то отдел «К» вместе с УФСБ наверно вскрыли бы мой тогдашний криптоконтейнер, нашли бы в нем компрометирующие меня материалы, и отправили бы дело на доследование, в связи с тем, что экспертиза выявила новые улики. Хрен там. Не вышло. Не все так просто, поверьте мне. И напоследок — почитайте про криптосистемы с открытым ключом, здесь.

    Как вы себе представляете то, что я выделил жирным в Вашей цитате? Я — никак. Производители ОС и антивирусов никогда на это не пойдут, потому что активность подобного приложения вычисляется и это будет epic fail для такого вендора.

    Если рассматривать модель угроз со стороны сети — то да, надежна. Против всего остального она будет так же уязвима.
     
  11. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,035
    Reputations:
    1,065
    Посмотрите внимательно на то, к чему я это сказал, и на то, к чему относятся по цепочке предыдущие цитаты - в данной дискуссии есть некоторые параллельные поддискуссии (если точнее, заброс хацкеру нужных программ, которые соберут все нужные доказательства в криптоконтейнер и отправят его к нужным людям)
    Тогда наиболее общий ответ: бекдоров в TrueCrypt и AES нет, но их отмонтированные криптоконтейнеры вскрываются при использовании стойких паролей, даже при условии утраты дополнительных файлов ключей (но не во всех случаях).
    У моего коллеги вышло что-то вроде этого: http://cryptanalysis.ru/cryptonet.png
    И то, модель угроз не включает в себя некоторые важные моменты (ошибки пользователя, скомпрометированные VPN-серверы анонимных сервисов и др.)
    При этом некоторые подпункты синих прямоугольничков еще ни разу не были найдены на различных приватных и публичных форумах, FAQ, How-To и т.п.
     
    _________________________
  12. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    69
    Likes Received:
    23
    Reputations:
    13
    Тут два варианта: первый — если такой бэкдор на машине работает, то толку от контейнера ноль, т.к. он являет собой примонтированный диск, открытый для чтения, и увы, это epic fail для хацкера. Второй вариант — связка не сработала, залив на машину не удался. И что тогда? Давайте склоняться к версии, что «забросить» хакеру на машину ничего не выйдет.

    В нашей с Вами дискуссии, Вы упоминали «Группу ИБ», справедливо считая ее авторитетной структурой, работающей в аспекте обсуждаемой нами проблемы. И вот результаты моей переписки с ними:

    Так что я склонен полагать, что тут Вы ошиблись. В противном случае, если Вы не согласны ни с моим мнением, ни с мнением г-на Каткова — я был бы рад послушать Ваши соображения, относительно того, как такой контейнер может быть вскрыт.

    Схема, которую изобразил Ваш коллега достойна уважения. Нет, правда, он молодец — работа проделана вполне достойная. Однако, все те модели угроз, которые изображены в его работе, не являются сколь бы то ни было существенными.

    РЕЗЮМИРУЯ:
    Я готов написать пошаговый мануал, являющий собой детальное руководство по обеспечению создания системы безопасности для отдельно взятого пользователя, исходя из аспектов его деятельности. Если же аспекты деятельности указаны не будут, я готов дать общие рекомендации, способные отработать «на отлично» в большинстве требуемых случаев и исходя из большинства моделируемых угроз. Данный документ будет охватывать все возможные потенциальные угрозы, могущие в той или иной степени повлиять на безопасность пользователя такой системы. Также, как автор данного документа, я могу в том числе указать на потенциальные слабые места данной системы, указать на то, как ее можно преодолеть и с технической точки зрения, и, в том числе с использованием методов СИ. Однако, просто так писать мне это скучно, поэтому в личку отписал, что хотелось бы получить взамен.

    Благодарю за интересную дискуссию!
     
  13. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Прочитал вашу статью, заинтересовало. Отправил вам личное сообщение по этой теме.

    Например так: высокопоставленные люди получают исходный код Windows, определяются условия, при которых возможна удаленная загрузка информации при подключении к локальной сети оператора связи, под эти нужды затачивается клиент-сервер система. Мы получаем обновления от антивирусных компаний в закрытом режиме, обновления имеют закрытые коды и мы не знаем что может впихнуть нам Kaspersky или ESET точно также, как не знаем что именно в дополнении к официальным обновлениям мы получаем при обновлении Windows. Я лично не доверяю ни одному из российских антивирусных продуктов, т.к. полагаю (и это лично мое мнение, не более того) - что производители антивирусов и вирусов косвенно имеют общие задачи. И естественно шпионящий софт, отсылающий информацию нужным людям, не должен детектироваться ни одним из антивирусов, а это возможно только при условии что шпионящий софт работает на уровне BIOS или на уровне ядра ОС.
     
  14. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    69
    Likes Received:
    23
    Reputations:
    13
    Я Вам ответил в ПМ, но впредь прошу писать мне на электронку — mail at vernoncody dot ru.

    Скажу так — Майкрософт никому из высокопоставленных людей во первых не отдаст исходники, никогда и ни при каких условиях. Это раз. Во вторых, это какие должны быть люди, чтобы им дали эти исходники, не верю в это, это два. В третьих, это кем должен быть хакер, и что он должен сделать, чтобы им такие люди заинтересовались. Это три. В четвертых, что касается антивирей — я думаю, что конкуренты реверсят софт друг друга по любому. И если бы, не дай бог, выяснилось, что у кого то что то куда то отсылается не дай бог или воруется, то это все, хана такому вендору, как я уже писал. До кучи, все четыре пункта доказывают полную несостоятельность этой теории. Поэтому даже обсуждать наверно не стоит.
     
  15. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Вопрос к ettee, это как раз связано с его работой. После прочтения этой статьи многим людям захотелось перейти на ОС с открытым исходным кодом и никогда не использовать антивирусы. И дело даже не в том качают они что-то или нет - дело в принципе, когда против них настроены: 1) правоохранительные органы 2) интернет-провайдеры 3) производители антивирусов, может вообще стоит подумать о том пользоваться Интернетом дальше или нет. Там сказано, что милиция хотела бы применять тюремное заключение к пользователям торрентов также, как его применяют к убийцам и насильникам. Не перегиб ли это, с лично вашей точки зрения?
     
  16. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    69
    Likes Received:
    23
    Reputations:
    13
    Во первых — это оффтопик. Во вторых — на дату статьи посмотрите.

    Параноидальный бред. Любая ОС уязвима, в той или иной степени. Пока MacOS была не сильно распространена, она была более менее безопасной, Вы наверно помните, как был слоган, что мол «вирусов под эту ОС нет, бла-бла-бла»… А теперь что? Уже все, поезд ушел. Открытый исходный код ≠ защищенность. Отсутствие антивируса тем более ее не гарантирует.

    Мир всегда был, есть и будет враждебным. И прыгать с ОС на ОС из-за этого — глупо ;)

    P.S. ettee, жду ответа в личку.
     
    1 person likes this.
  17. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,035
    Reputations:
    1,065
    http://www.microsoft.com/resources/sharedsource/gsp.mspx

    Большинство реальных преступников до сих пор на свободе, а ловят лишь студентов, устанавливающих пиратские виндовсы. Не нужно смотреть на ситуацию однобоко.
    Стоить отметить что на данный момент в сети достаточно много материала по данному вопросу, в том числе и дискуссий.
     
    _________________________
  18. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    69
    Likes Received:
    23
    Reputations:
    13
    Был не прав, каюсь :p

    В точку.
     
  19. Meecript_

    Meecript_ Banned

    Joined:
    29 Oct 2008
    Messages:
    194
    Likes Received:
    62
    Reputations:
    32
    Если передавать и хранить информацию можно в зашифрованном виде, то на монитор все и всегда будет выводиться открыто.
    Изображение с ЭЛТ-мониторов можно считать на расстоянии. Возможно ли сделать это с ЖК?
     
  20. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,035
    Reputations:
    1,065
    Да, что Вы сейчас и делаете.
     
    _________________________
Loading...