[Опрос] Компьютерная криминалистика

Discussion in 'Безопасность и Анонимность' started by ettee, 25 Jul 2009.

  1. nullik

    nullik Member

    Joined:
    26 Feb 2010
    Messages:
    116
    Likes Received:
    44
    Reputations:
    1
    Как художник художникам скажу, что то, что я видел лично поразило меня до глубины души - это вскрытие несложного ВПА2 за 10 минут коробкой размером с небольшой телевизор. Аппаратная срань на однокристальных микрухах - военная штука. Предположить, что может быть у наших даже военных еще в загашнике мне сложно. Но я так понимаю, что отрасль эта весьма неслабо финансируется и вычислительная мощность у них (usa) должна быть соответствующей.
    +Достаточно одного прокола - например глянуть свою неправильную почту с домашнего ипа - и опа. Тот же гугль, насколько известно, логирует всё и ничего не стирает.
    Хотя в спецслужбах тоже не боги работают, и если вы покуситесь на большой кусочек - то и люди вами займутся рангом повыше и с полномочиями поболе. А если вы ICQ вскроете - нахер вы кому нужны. Везде решает цена вопроса - ущерб принесенный вами и есть тот уровень спецов который вами будет или не будет заниматься.
    ИМХО самая большая проблема - это длинный язык и группа товарищей, ибо что знают двое - знает свинья.
    P.S. Доказательства в виде логов и прочего можно засунуть в жопу - нихера это не доказательства, только в суде на это насрать - раз мент принес, печать стоит - значит улика и песец. Советую меньше пиздеть и больше зарабатывать - как правильно заметил автор предыдущих постов - пока в этой стране столько коррупции взятка будет решать всё. Тут убийц из тюрьмы вытягивают, а вы про сраный кардинг или ботнет. Если уж надо будет кого посадить за что-то - посадят того у кого бабла меньше.
     
    #81 nullik, 6 Aug 2010
    Last edited: 6 Aug 2010
    1 person likes this.
  2. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Моя точка зрения: часть правда, часть нет. Промывание мозгов, психологическое давление на потенциальных киберпреступников методом запугивания + черный пиар конкретных сервисов по предоставления ВПНов, конкретных криптозащитных средств. По существу дела ни слова не сказано того, что подтверждало бы правдивость истории, зато "пугачей" масса. Пугают тем, что крутится на уровне сплетен в Интернете - "милицейские ВПНы", "вскрыть AES как два пальца об асфальт", "вас ничего не спасет" и т.д. Авторы этой статьи не учли другого - некоторые люди может быть и уйдут с TrueCrypt'а, но займутся разработкой своих систем защиты на основе исходников. А используют там обычные методики: вешают все подряд, а потом говорят "Или ты пароль говоришь от криптоконтейнера, чтобы мы увидели что ты вот этого, вот этого и этого не совершал, или по всем пойдешь и еще на пресс-хату отправишься". Чуваку видимо так навешали сильно, что он признался даже в том чего вообще не делал никогда. Теоретически мог бы подать в прокуратуру на неправомерные действия сотрудников, получение доказательств незаконным путем, в суде надо было давить на это как раз. Но тут ведь как - доказательства, полученные незаконным путем таковыми не являются. А получается что ломая ребра человеку, получают не доказательства, а информацию (пароль), приводящую к получению доказательств.
     
  3. shadow333

    shadow333 New Member

    Joined:
    4 Aug 2010
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    А вот против этого надо читать документацию к TC ;)
    Там этот момент не плохо продуман.
     
  4. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Если ты решил засунуть в ложный контейнер че-нить несущественное, может сработать в том случае если у тебя есть своя собственная проприетарная технология и нет fed-ware. Компьютеры на экспертизе могут быть до 1 года. Там тоже не дураки работают, он могут попробовать определить использовал ли ты эту функцию ТруКрипта или нет. А если же ты создашь свою технологию исключительно для себя, проприетарную, может сработать и потом уничтожишь исходники. Тогда у них не будет точки, от чего отталкиваться. Но если у тебя fed-ware, двойное дно не спасет. Я много раз предполагал, что на любой компьютер подключенный к Интернету, можно залить этот самый fed-ware удаленно, поэтому твой вариант сработает если тот компьтер, на котором у тебя криптоконтейнер, никогда не был подключен к внешним сетям, используется в режиме загрузки с LiveCD, и где есть всего 1 диск, который полностью зашифрован программой TrueCrypt, запущенной с этого LiveCD. Тогда ты обеспечен уровнем безопасности выше среднего, но ты не можешь использовать этот компьютер нигде в сетях. Просто как хранилище.
     
  5. shadow333

    shadow333 New Member

    Joined:
    4 Aug 2010
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Читай документацию, при соблюдении определенных условий не возможно доказать существование скрытого тома. Какой fed-ware? Я не террорист, и даже не кардер. Я не настолько серьезен, чтобы мной так интересловались спецслужбы разных стран :)
     
    #85 shadow333, 7 Aug 2010
    Last edited: 7 Aug 2010
  6. shadow333

    shadow333 New Member

    Joined:
    4 Aug 2010
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    В теории ты конечно же прав, но теория часто расходится с практикой. Имхо большую угрозу представляют финансовые операции (обнал)
     
    #86 shadow333, 7 Aug 2010
    Last edited: 7 Aug 2010
  7. r3df0x

    r3df0x Member

    Joined:
    26 May 2010
    Messages:
    150
    Likes Received:
    6
    Reputations:
    -3
    думаю сдесь не только те кто сидит за счет соседа в нете, но и которые мутят $ так что коменты полезно почитать не только тебе!
     
  8. shadow333

    shadow333 New Member

    Joined:
    4 Aug 2010
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Ну я тоже мучу $, но деньги не ворую и угрозу никакому государству не представляю)
    А вообще согласен.
    Я просто о чем, уровень паранои должен быть все таки соответсвующим тому, чем человек занимается))
    Смешно, когда люди брутят аськи, но параноя астраномическая))
     
    #88 shadow333, 7 Aug 2010
    Last edited: 7 Aug 2010
  9. rebus2

    rebus2 Member

    Joined:
    26 Nov 2009
    Messages:
    31
    Likes Received:
    10
    Reputations:
    0
    (К сожалению последние пару недель не следил за новостями.. может тут и проскакивало.. если боян снесите пост)
    но раз тему реанимировали отпишусь..
    -------------------------------------------

    10 дней назад на хабре выложили http://habrahabr.ru/blogs/infosecurity/100043/

    объем большой.. но есть несколько интересных моментов по тематике именно для тех кто интересуется
     
    #89 rebus2, 10 Aug 2010
    Last edited: 10 Aug 2010
  10. Mercy

    Mercy New Member

    Joined:
    10 Mar 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Убрана в черновики, остался у кого-то оригинал этой статьи?
     
  11. ДобрЧел

    ДобрЧел New Member

    Joined:
    16 Oct 2010
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Прочитав всю тему пришел к интересной идее защиты криптованных контейнеров от терморектального анализа.
    Многие советуют ставить "пароль на уничтожение", т.е. пароль введя который контейнер будет уничтожен. В свою очередь другие говорят, что аналитики сперва сделают копию образа вашего hdd и будут её запускать каким-то образом в режиме схожим с read only, чтоб засечь попытку уничтожения данных.

    Собственно идея - а что если "алгоритм уничтожения" встроить в аутозагрузку флешки с ключом? Чтоб при подключении флешки пользователь должен был подать какой не будь тайный знак, скажем отвести курсор мышки в определённые координаты и набрать пароль, после чего флешка даст ему доступ к файлу-ключу, в противном же случае ключ будет уничтожен.
     
  12. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,709
    Likes Received:
    580
    Reputations:
    403
    Насчет флэшки не знаю. Попадалась мне значит утилита под винду, там если во время запуска системы, не нажать определенную комбинацию клавиш, то заранее указанная папка само удалялась.
     
  13. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Перейдите из технической плоскости в юридическую - если противник знает, что информация зашифрована, он будет воспринимать эти действия как сопротивление правосудию, что косвенно указывает на вину. Если судья узнает или увидит, что человек, скажем, съел флешку, засунул ее себе в задницу, бросил в кислоту, будут отталкиваться от уничтожения важных для дела доказательств. Хотя, можно попробовать сказать, что засунуть флешку в жопу велел Бог, Дьявол, инопланетяне воздействовали на флешку лазерным лучом, записали туда вирус который калечит организм ну и т.д. (в зависимости от фантазии). Могут отправить в больничку на экспертизу.

    Технически предложенный способ возможен в одноразовом варианте со специальной флешкой, где ключ шифрования привязан к аппаратной части. Таким образом, при введении "пароля на уничтожение" дешифрующий чип будет автоматически самоуничтожен, останутся только зашифрованные данные.

    На обычных флешках этот вариант не прокатит. Почему: противник создает образы (резевные копии) контейнеров и устройств целиком, и если один из них будет уничтожен при попытке ввести неверный пароль, запишут это в дело и начнут брутить другую копию.
     
  14. ДобрЧел

    ДобрЧел New Member

    Joined:
    16 Oct 2010
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Если я правильно понимаю, это верно по отношению к "глупым" хдд, которые можно подключить как slave и снимать копии. А поскольку у флешки есть "мозги", очевидно можно настроить их таким образом, чтоб при подачи питания и не введении пароля они "съедали" ключ. С такой флешки уже копию не снимешь, да и не поймёшь толком, что там вообще что-то было.
     
  15. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Это возможно в том случае, если человек использует собственную разработку для шифрования разделов, где исходники шифров взяты из открытых источников, например, с сайта DiskCryptor'а. В этой разработке может быть элемент случайной замены ключа, когда противником введен пароль "под давлением". При этом, если просто порассуждать, сначала противник опрашивает человека на предмет того, какой программой была зашифрована флешка. Человек при этом не отрицает, что флешка зашифрована. После выяснения, что программа - собственная разработка, противник спрашивает пароль. Человек говорит заведомо "пароль на уничтожение", при котором происходит следующее:

    1) появляется сообщение "Пароль верный. Пожалуйста, подождите, пока раздел будет дешифрован..."
    2) на самом деле у зашифрованного раздела меняется пароль на произвольный, происходит перезапись зашифрованного раздела псевдопроизвольными данными для затирания истинных зашифрованных данных, а затем флешка форматируется под FAT32 и на нее записывается файл, условно, 123.txt с безобидным содержимым
    3) затем появляется сообщение "Раздел успешно дешифрован."

    Дальше все зависит исключительно от навыков программирования, когда человек сможет зашить в программу шифрования разделов такой код и защитить его. Для обнаружения этого понадобится проведение программно-технической экспертизы, причем, в том случае если противник вообще сообразит, что его обманули.
     
  16. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,709
    Likes Received:
    580
    Reputations:
    403
    В качестве противодействия рекомендую ознакомится с закрепленной темой:

    Обзор софта: Шифрование, Стеганография, Безопасное удаление данных

    ...но там сборная солянка. Нас же интересует Стеганография (http://ru.wikipedia.org/wiki/Стеганография).
    [в отличие от криптографии, которая скрывает содержимое секретного сообщения, стеганография скрывает само его существование]

    https://forum.antichat.ru/thread239752.html
     
    #96 HIMIKAT, 10 Dec 2010
    Last edited: 10 Dec 2010
  17. ДобрЧел

    ДобрЧел New Member

    Joined:
    16 Oct 2010
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Или еще проще, не надо даже делать вид, что флешка шифрована, просто если в течении, скажем, 10 секунд после подключения флешки пользователь набрал пароль то он получает доступ к скрытой информации, если нет, то скрытая информация уничтожается и на флешке остаётся какой-то madagascar.avi :)

     
  18. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    В этом случае на аппаратном уровне должен быть прошит таймер, который отсчитывал бы 10 секунд с момента начала подключения флешки и в случае достижения значения 10, сбрасывал ключ до 0...(0). Вопрос только в том, успеет ли сам владелец флешки за такое время ввести пароль. Я не думаю, что это можно реализовать на программном уровне, только на чипе посредством программирования контроллера, где уже вшит шифр. Во всяком случае, теоретически ваша модель может существовать, но практическая реализация будет сложна даже для профессионального программиста. Я думаю, это будет уникальная флешка, создание которых нельзя будет поставить на поток даже для своих целей.
     
  19. ДобрЧел

    ДобрЧел New Member

    Joined:
    16 Oct 2010
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    а зачем таймер прошивать на аппаратном уровне? чем программный хуже? :)
    если в вашем варианте autoloader открывает окно с запросом пароля, то в моём тот-же autoloader просто не показывает окно а запускает таймер.

    с другой стороны, минусы такой модели в том, что можно флешку засунуть в аппарат с другой ОС, где autoloader не сможет запустится и сделать копию.

    так что в теории реализовать таймер аппаратно конечно лучше... но реально, это же что надо сотворить, чтоб с ваших флешек снимали копии хитрыми тулзами, а не просто засунули в комп? :)

    10 секунд это же условно. тем более даже лучше не вводить пароль на прямую, во избежания кейлогеров, а к примеру требуется подвинуть курсов на заданные координаты и нажать какую-то комбинацию клавиш, после чего выскочит окно для ввода пароля и виртуальная клавиатура. От кейлогеров это убережет, но вот скринграберы... :D
     
    #99 ДобрЧел, 10 Dec 2010
    Last edited: 10 Dec 2010
  20. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,709
    Likes Received:
    580
    Reputations:
    403
    Так же не стоит забывать про такой момент, как перезапись поверх удаленных файлов. Поскольку восстановление данных еще никто не отменял. Вобщем много подводных камней.
     
Loading...