[Опрос] Компьютерная криминалистика

Discussion in 'Безопасность и Анонимность' started by ettee, 25 Jul 2009.

  1. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Тут получается так, что перезапись поверх файлов хорошо изучена на жестких дисках. А по новым SD-дискам и флешкам очень мало информации. Конечно, мы можем сами скачать EnCase 6.0 (экспертная система) и посмотреть будет ли она восстанавливать удаленные на флешке данные. Можно скачать экспертные дистрибутивы Linux для исследования ПК. Я лично их с трекера слил (CAINE, DEFT, HELIX), щас исследую возможности, которыми располагает противник.

    Можно скачать USB Flash Tools, затереть флешки по разным алгоритмам. В старой версии, которая валяется в Сети, EnCase 4.1, есть функция затирания дисков и флешек нулями. Надо полагать, если затереть флешку таким образом, по крайней мере из этой же экспертной системы данные уж точно не удастся восстановить.
     
  2. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Это риторитческий вопрос. Не стоит недооценивать противника, тем более про него в Сети очень мало информации. Можно найти несколько книг по форензике на английском языке, исходить из того, что они были переведены на русский язык и по ним проводили обучение. Лучше рассчитывать "с запасом", чем надеяться на "авось".

    Я писал про "пасхальные яйца" в теме "Схемы шифрования информации". Тема - про противодействие и сокрытие, в моем понимании. Можно скрыть шифровальную программу, привязать пароль к чему угодно (любой текст, файл, событие и т.д.). Можно, как вы сказали, "привязать" пароль или ключ к координатам мышки. Скажем, открывается программа, а курсор находится в правом верхнем положении, нажимается кнопка Enter, после этого открывается секретный раздел с дешифрующей системой.

    Про скринграбберы - опасности нет, если интерфейса у программы вообще не будет. Просто появится какой-нибудь знак, что работает система защиты - черная точка на белом фоне, измененный цвет шрифта, произвольный рисунок и т.д. Потом вводишь пароль, к паролю дописываются символы, сгенерированные по псевдослучайной последовательности, на основе создается другой пароль. Или файл выбираешь, который работает в связке с тем паролем, что впечатываешь. Если не тот файл выберешь - сработает ситуация "под давлением". Тут самому бы не ошибиться... И в нетрезвом состоянии не открывать криптоконтейнеры такой штукой.

    Тут задача не только скрыть факт наличия шифровального ПО, скрыть сам интерфейс этого ПО от программ-шпионов, дописать код для ситуации "под давлением", но и скрыть это в самом программном коде, чтобы при дизассемблироваии было тяжело сказать как все это происходит. Хотя, тут ведь как - сначала решат посмотреть флешку, флешка сотрется, запишется левый файл, дизассемблить начнут - если найдут, то докажут только факт противодействия правосудию. Мы не знаем как у них проходит процедура дешифровки: может они сразу берутся за дизассемблирование ПО, которым шифровали... Может сначала брутом пытаются снять, а потом когда не выходит - начинают спрашивать пароли. А может хакера на "пресс-хату" сажают к уголовникам, которые его около унитаза жить заставляют, пока не "сломается".

    Информация об их методах обрывками, приходится "на ощупь" действовать... Отсюда и вопросы "что надо такого ужасного сделать, чтобы к тебе применяли такие методы". Ответ такой: мы не знаем, что они могут.
     
  3. vvs777

    vvs777 Elder - Старейшина

    Joined:
    16 Nov 2004
    Messages:
    390
    Likes Received:
    204
    Reputations:
    4
    1. не компетентен

    2. OpenVPN безопасен если грамотно организован.

    3. Tor теоретически безопасен, хотя и известны коллизии и прочая гадость. Но можно нарваться на подставные узлы. Скорость работы через тор меня не удовлетворяет, поэтому дальше теста возможностей не юзал.

    4. смотря какое шифрование. Запароленный архив проксоренный и стенографированный в видео с Плейбоя на зашифрованном разделе диска - в самый раз =)

    теперь комментарии.
    допустим OpenVPN. Ты и прямой коннект на сервер. IP сервера засвечен, в ДЦ стучатся дядьки, сливают логи, твой комп в отчете. Зато на твоей стороне виден только зашифрованный коннект на какой-то сервер, т.е. провайдерский сорм не работает.

    схема 2. Дабл ВПН либо впн+сокс.
    Идет запрос в ДЦ исходящего IP - там сообщают предпоследний, идет запрос туда и так до тех пор пока до тебя не доберутся.

    Задача: 1. не давать повод искать тебя
    2. прервать эту ср**ую цепочку
    3. сделать поиск настолько долгим что логов на определенном этапе уже не будет.

    возможные реализации:
    1. использовать VPN сервер с огромным количеством клиентов одновременно.
    2. использование своих впн и прокси не ведущих логи или самоочистка. А также логи на шлюзах итд.

    самый надежный но не дешевый вариант - беспроводная связь. WifI, 3g ... МАК сменить, модем оформлен на алкаша и вперед.

    PS может я ошибаюсь но по ссылке выше полня ерунда. за продажу ботнета за 4к баксов не будут так искать. Это не слив миллиона со счетов американских налогоплательщиков. Расшифровать что-то брутом за указанное время невозможно либо был короткий пароль либо подстава
     
  4. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Как он должен быть реализован? Какие операционки можно использовать, какие нельзя и т.д. - не могли бы поподробнее написать?

    Есть, особенно если исходящий шлюз в России. Можно сразу исключить российские IP-адреса из цепочек ТОРа.

    Главное не забыть как это все расшифровать потом. :)

    У дядек основания должны быть веские чтобы стучаться и эти основания они должны предъявить владельцу ДЦ. Причем, им могут и отказать.

    Думаешь там все так слаженно и отлаженно, что по первой просьбе все всех "сливают" и еще улыбаются при этом?

    Он и не нужен, если в системе федварь.

    Представляешь если ВПН в Мексике или Бразилии, а сокс например в Индонезии, сколько запрос будет идти и обрабатываться? Не за секунды же это делается, тем более и отказать могут. Сказать, мол, мы ведем лишь технические логи, которые удаляются в течение 3х дней. И вся эта цепочка, о которой ты говорил - прервется. И не суть важно соврали ли они, сказав что логи не ведут - суть в том, что те кто запрос делает нуждается в самом компьютере, физическом сервере, через который сигнал проходил, чтобы проанализировать его на наличие логов с помощью своих специалистов. А пока они ездят из N-ой страны в Индонезию за компьютером, в Индонезии логи магическим образом стираются.

    Потом интересно будет посмотреть на эти запросы, ответы и заключения в официальных документах в УД. Обязательно надо все это сфотографировать на цифровой фотоаппарат, фотографии залить на американский обменник для картинок, а фотки на всех таких же форумах в Ру-Нете выложить. И здесь в том числе. Чтоб все видели, какая схема на самом деле "не надежна".

    Так что бояться не надо. Надо знать что в случае чего материалы по УД просто сольют в Сеть на всеобщее обозрение, вместе со схемами "анонимности".
     
  5. [LeaL_NoFiE]

    [LeaL_NoFiE] New Member

    Joined:
    6 Jul 2010
    Messages:
    17
    Likes Received:
    2
    Reputations:
    0
    1 В таких образцах вредоносного ПО есть смысл когда у системы большой аптайм, или есть возможность постоянно загружать образец и виртуальную память используя експлоит или дроптер
    2 Нет, не надежно, может лишь усложнить поиск человека используюшего VPN
    3 Хех все вокруг кричат что TOR далеко не надежен ^_^ ...
    4 Да, но здесь зависит от алгоритма шифрования и длинны ключа, но опять таки то что можно зашифровать можно и расшифровать, всё зависит от времени и вычеслительных мошьностей
     
  6. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,022
    Likes Received:
    129
    Reputations:
    23
    О, моя любимая тематика.

    А есть-ли тут кто-то, что занимается профессионально форензикой?
    Если да, то дайте узнать мне об этом в ПМ :)
     
  7. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Профессионально форензикой занимаются компьютерные эксперты в ЭКЦ МВД (это куда из "К" поступают жесткие диски на исследование). Я думаю, здесь таких нет. :) Я занимаюсь на уровне любителя, на основе тех материалов что есть в Сети.

    UPD: Если считать скачивание дистрибутивов для исследования и анализа дисков, и мониторинг сайтов экспертов любительским занятием. :)
     
    #107 black_berry, 14 Jan 2011
    Last edited: 14 Jan 2011
  8. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,022
    Likes Received:
    129
    Reputations:
    23
    НУ просто как бы есть желание заниматся более серьезным. думаю этот рынок не так забит :D
    У тебя есть оборудование или все программами делаешь?
    P.S. а что за контора ЭКЦ? Экспертно-криминалистический центр .. там реально знающие люди или очередные клоуны, которые не разбирают где серер а где бесперебойник?
     
  9. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,709
    Likes Received:
    580
    Reputations:
    403
    В ближайшее время возможно выложу набор утилит для форензики, а так же контр-форензики [мера противодействие методам поиска, обнаружения, закрепления и исследования цифровых доказательств]
     
  10. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Оборудования нет, в России почти никто не производит подобную технику, все зарубежное. Есть приватные программные разработки. А у них продаются и дорогостоящие комплекты, для снятия образов в "полевых условиях". Чемоданчик небольшой, там диски на 2-3 террабайта, дистрибутив Линукса с необходим ПО и шлейфы для подключения.

    А вообще экспертом может стать любой, далеко не обязательно в ЭКЦ работать. Почитай на форуме "Интернет и Право", там есть инфа по экспертизам, которые проводили и кафедры институтов, и какие-то сторонние организации и фирмы. Я думаю, любой частник может им стать, главное чтоб деятельность лицензирована была.
     
  11. rebus2

    rebus2 Member

    Joined:
    26 Nov 2009
    Messages:
    31
    Likes Received:
    10
    Reputations:
    0
    Дело было лет 5-6 назад.
    Кто-то из клиентов не большого интернет провайдера где-то накосячил.
    Этот инет провайдер брал инет у другого такого же инет провайдера тот у прова по крупнее.

    Я не знаю всю длину цепочки которую прошел "противник", но те последние провы о которых знаю я были пройдены буквально за день по телефонным звонкам, без предоставления каких бы то не было официальных бумаг и прочей лабуды.

    Провы и не сопротивлялись, а зачем ? Они добропорядочные, бизнес честный, надо дружить мало ли что понадобится, чем палки в колеса вставлять из за какого то одного клиента.
    Поэтому сами с удовольствием шли на контакт. И в словесных беседах информацию кому принадлежит данный ip выдали очень быстро.

    Это потом уже если дело слать в суд они подкрепят это бумажками (как я понимаю).
    Но для того чтоб изначально взять на контроль комп время много не надо. (как я понимаю)

    --------------------------------------

    Может у провов покрупней побольше официальности.. но сомневаюсь..
    Везде есть СБ
    у СБ достаточно широкие полномочия
    Все они из бывших
    с кучей связей потому что "бывших не бывает" и готовы помочь друг другу
    также они там обо всем договариваются, работают группами на результат, в том числе меж ведомственно
    думаю не надо думать что неофициальная работа есть тока на темной стороне
    ---------------------------------------
    это все "в нутри одной страны"
    думается в международном плане дела несколько хуже
    но все равно не кто не спит, время идет а вместе с ним и работа, всякие документы о взаимопонимании подписываются, связи налаживаются.
     
    #111 rebus2, 17 Jan 2011
    Last edited: 17 Jan 2011
  12. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Даже не сколько надо дружить, а приходится, поскольку в случае отказа предоставить информацию у провайдера потом могут появиться проблемы с чиновниками, налоговой инспекцией и прочим. Другой вопрос, если в этом варианте хакер бы пользовался спутниковым провайдером, зарегистированным на несуществующую личность, затем создал бы цепочку прокси и работал уже через них. Исходящий канал - OpenVPN + Globax\Slonax, например. Или работал через сеть 3G и модем, купленный и зарегистированный на территории другого государства, скажем, рядом с гос. границей где есть покрытие. Представляю себе цинизм ситуации, когда хакер пересекает границу в автомобиле, с ноутбука ломает банк на территории одной страны, и через считанные минуты оказывается в другой.

    Вот такая интересная параллель: ЖЖ принадлежит российской компании, но хостится в США. Судя по той информации, которую я часто читаю про суды из-за сообщения в ЖЖ (яркий пример - дело Терентьева), это значит в ЖЖ действуют законы России?
    И другой вариант: VPN-компания имеет серверы в Люксембурге, Голландии, США, Великобритании, но владельцы ее - граждане России, проживающие в стране. Значит ли это, что VPN-компания подчиняется законам России просто потому что ее создатели - граждане России?
     
  13. кот леопольд

    Joined:
    11 Dec 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    1- для органов хорошо точно,так многие даже не задумываются о существовании таковых(если я правельно понял то это на подобии http://guidancesoftware.ru/EnCase_FIM/EnCase_FIM.html)
    2-нет,http://cryptanalysis.ru/cryptonet.png
    3-нет и об этом знают уже все
    4-да если реализаванно правельно,во всяком случае будет выиграно время-иногда за это время можно найти денег и дать взятку(можно задуматься-http://www.risspa.ru/node/173)
     
    #113 кот леопольд, 16 Feb 2011
    Last edited: 16 Feb 2011
  14. ENeRGY[of]Light

    ENeRGY[of]Light New Member

    Joined:
    8 Jan 2009
    Messages:
    43
    Likes Received:
    1
    Reputations:
    0
    1)идея неплохая , но вроде не нова.
    2)не уверен
    3)да
    4)нет , потому что суть преступления в наших условиях выявляется уже не с помощью данных на пк ( это косвенные улики) так как сам пк является скорее субьектом а преступник обьектом , поэтому зашифрованные файлы могут и не расшифровывать если доказано , что сам преступник был за этим компьютером во время преступления .
     
  15. supercat

    supercat Member

    Joined:
    26 Mar 2011
    Messages:
    13
    Likes Received:
    5
    Reputations:
    4
    По поводу использования Thor / Onion routing и аналогичных сетей, мне известно, что данные сети содержат клиентское ПО с закладками. Вы не можете их использовать, если не загрузите из сети их клиентское ПО, которое поставляется или уже в скомпилированном виде, или с закрытыми кодами. Большая часть этих сетей создана на деньги ЦРУ или правительств разных других стран, эти сети изначально скомпрометированы, более того, если шпионское ПО на маршрутизаторах операторов связи выявляет факт использования данных систем, то IP адрес ставится на длительное время под наблюдение, то есть отмечается флагом, все поступающие и исходящие данные начинают записываться.

    Поэтому надо писать такое ПО самостоятельно, по книгам алгоритмов шифрования, это не затратно и не сложно (до 10 тыс. операторов, не считая реализацию стека).
     
  16. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,022
    Likes Received:
    129
    Reputations:
    23
    народ, подскажите полезную книгу по этому делу. На русском языке нашел только книгу Н.Н.Федотова "Форензика – компьютерная криминалистика" , и все. нет больше ничего :(
    Может что то посоветуйте из общей криминалистике (может там обсуждается IT сфера тоже) или что то т.п., а то только на eng есть хороший выбор по киберкриминалистике.
     
  17. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Перевод немного кривоват и встречаются ошибки при распознании текста.

    [​IMG]

    "Защита от вторжений. Расследование компьютерных преступлений".


    Название книги: Защита от вторжений. Расследование компьютерных преступлений
    Автор: Кевин Мандиа, Крис Просис при участии М. Пипа
    Издательство: Лори
    ISBN: 5-85582-229-Х, 0-07-213282-9
    Год: 2005
    Страниц: 476
    Формат: djvu
    Размер: 9 Mb

    От издателя:
    Правильно реагируйте на нарушения безопасности и атаки хакеров с помощью этого содержательного и практического руководства. Вы подробно познакомитесь со всем процессом компьютерной судебной экспертизы и узнаете о важности следования специальным процедурам сразу после совершения компьютерного преступления. Здесь исследуется различное программное обеспечение, включая UNIX, Windows NT, Windows 2000 и сервера приложений. В книге содержится множество технических примеров и практических сценариев. В ней показано, как распознать неавторизованный доступ, обнаружить необычные или скрытые файлы и контролировать Web-трафик. "Защита от вторжений" - книга, которая вам необходима.

    Скачать: [прямая ссылка]
     
  18. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    608
    Reputations:
    1,101
  19. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,022
    Likes Received:
    129
    Reputations:
    23
    black_berry

    Спасибо. но как бе хотел в бумажном виде :))) нет ничего свежего,чтоб купить как книга. в эл.виде немогу читать много.
    да и слишком староват будет... 2005г.
    ... сейчас уже даже Windows 7 призирают ))) ждут Windows 8.
     
    #119 B1t.exe, 21 May 2011
    Last edited: 21 May 2011
  20. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,709
    Likes Received:
    580
    Reputations:
    403
    Многие методы остаются неизменны многие годы, разве что немного усовершенствуются и дополняются. Взять ту же книгу Дэвида Кана <<Взломщики кодов>>, там описывается история криптоанализа. Она написана очень давно, но методы используемые в ней актуальны и по сей день.

    А если хочешь в печатном издании, это значит идешь на озон и заказываешь.
     
Loading...