[Опрос] Компьютерная криминалистика
 

1. Как вы оцениваете появление вредоносных программ, не записывающих какую-либо информацию на жесткие диски скомпрометированного компьютера с целью обеспечения максимальной скрытности?

(Пример ответа: идея хорошая, но пока только в теории; плохо, подобная технология обеспечения скрытности сегодня не является необходимой)

2. Считаете ли вы, что технология VPN (реализация: OpenVPN) является безопасной и достаточной с точки зрения организации анонимного обмена данными (модель угрозы: против правоохранительных органов)?

3. Считаете ли вы, что сеть Tor является безопасной и достаточной для организации анонимного веб-серфинга (протоколы HTTP и HTTPS)?

4. Считаете ли вы, что развитие средств дискового шифрования является серьезной проблемой в процессе расследования компьютерных преступлений?

1.Надо ли это или я непонял суть.
2. Считаю, но везде есть свои подводные камни, и пару багов для раскрытия есть у отдела K
3. х.з. чо енто извините уж)
4.Те дяди которые сидят тма, недумаю что на расшифровку много времени уходит.

Извините что не на все ответил :)

1. Все зависит от цели которую преследует вирусописатель, как по мне имеет смысл только в случае с целенаправленной атакой.

2. Доверия к продуктам с открытым исходником всегда будет выше, хотя с другой стороны - технология шифрования базируется на математических методах а математика - дело тонкое и вполне можно получить дыру в том месте где даже и не ожидаеш её..

3. есть несколько публикаций на тему - использования ТОR сетей спец службами для передачи собранных развет данных и т.д. но всеже как всегда остается сомнение что они использовали публичные алгоритмы.

4. Смотря какой алгоритм используется для этой задачи и какой уровень у специалистов проводящих экспертизу. к сожалению еще ни разу не видел адекватного эксперта в экспертных комиссиях , как правило пароли/ключи добывались по средствам воздействия чебурашек и других особо отмороженных сотрудников.

1. Поддержу POS_troi. Смотря какие цели.

2. Свой ВПН обеспечивает довольно таки хорошую анонимность. Но если Вы пользуетесь сервисами - то это не означает что Ваши логи не попадут куда Вам не нужно...

3. Тор? - Нет, без вариантов - нет!

4. Да, но если Вас словят но не смогут розшифровать алгоритм шифрования Вашего диска, то метод узнать его у вас в СНГ точно найдут =)

1. Понятно, что такой софт будет жить только до перезагрузки. Следовательно он применим в таких случаях(пусть даже в одном из них)
а) высокий аптайм
б) необходимость присутствия этого софта не является долговременной
в) уязвимость, через которую данный софт может быть внедрен не будет закрыта длительное время плюс эта уязвимость может быть эксплуатирована с минимумом следов.

2. Только в сочетании с другими средствами обеспечения анонимности(на случай компрометации любого из двух узлов (клиента или сервера)

3. Опять же только в сочетании с чем-нибудь другим

4. Полагаю, наличие не шифрованных следов преступления есть как бы большая улика чем наличие зашифрованных ;)

есть еще особое мнение, что ценность такого опроса стремится к нулю(хе, это всё равно что решать уравнение голосованием). По трем последним вопросам как бы нужно мнение эксперта, который подобные преступления раскрывает.

1) простой украл мой комментарий. я раз словил такого, накайфовался вычислять. бонс, вирус записывается на диск перед выключение, а при включении поселяется в оперативку и стирает себя с диска. и так по кругу.
2) не считаю
3) был холивар примерно год назад когда администрация тора сдала йапишники ответ - не является.
4) да, считаю.

Ценность стремится к нулю только в случае, если интересует истина, а не мнение. В данный момент меня интересует мнение людей по вышеуказанным вопросам исходя из _их_ знаний. Лично я "правильные ответы" знаю, которые, кстати, будут неутешительными для большинства участников данного форума.

хотелось бы увидеть ответы

1. Идея не новая и о «появлении» говорить не приходится. Скорее о более широком распространении этого способа в комбинации с другими техниками сокрытия в скомпрометированной системе.

2. Нет, не считаю (в пределах рассматриваемой модели).
При рассмотрении степени защищенности VPN не следует забывать о наличии систем оперативно-розыскных мероприятий у каждого провайдера. Обязательно есть финансово дорогие для правоохранительных органов причины, если установка систем подобного типа является обязательной процедурой для получения лицензии на предоставление Интернет-услуг. Не стоит списывать со счетов и открытые алгоритмы шифрования, используемые средствами организации VPN (см. 4-й пункт).

3. Нет, не считаю. Дело не в слухах, а в реальных примерах компрометации проходящего трафика на так называемых «нодах». Другое дело, если пользователю Tor требуется скрыть свой трафик не от спецслужб, а от (например) соседа. В таком случае анонимность имеет место быть, но только в той степени, которая требуется пользователю.

4. Нет, не считаю. Любая система шифрования базируется на криптографических алгоритмах, которые, в свою очередь, проходили сертификацию гос. структурами, цели которой остаются за кадром и рождают поколения параноиков.

1. Лишней живучести у вредоносных программ не бывает. Хорошая технология.
Или же плохая - смотря с какой стороны смотреть.

2. Если использовать VPN исключительно для передачи данных напрямую от одной машины к другой - считаю это вполне надежным. Особенно если при этом использовать алгоритм для шифрования пакетов AES-256.
Если же использовать вторую машину как гейт для выхода в сеть - то нет.
Даже при условии, что будет использоваться дабл-VPN, сервера в разных странах и там гарантированно не ведутся логи... - все равно вопрос анонимности в данном случае - исключительно вопрос масштаба и желания у органов.

3. нет. больше я верю в то, что это ханипот.

4. Даже если использовать криптор, в алгоритме которого нет уязвимостей + использовать небрутабельный пароль... наличие закриптованного диска, к которому отказываются предоставить пароль - само по себе - косвенная "улика", которая будет учтена на суде.
И это всё при условии железной воли. Потому как выдержать "обработку" соответствующими специалистами тоже надо еще суметь.

Итог:
1. хорошо.
2. лучше с VPN чем без него, но надежнее - с ноутбука через публичный пункт доступа Wi-Fi + VPN на заднем сиденье машины в черных очках и в кепке.
3. сакс.
4. если использовать метод #2 то метод 4 просто не понадобится. Иначе - лучше с криптованием, чем без.
Хотя разница, если все же "возьмут за жопу" - очень невелика.

1. Зависит от цели самой программы, для выполнения единичных действий (слитие нужной информации не оставляя лишних следов) в самый раз

2. Только если ключи \ сертификаты и прочее не передается по тому же каналу (передавать, например, из рук в руки на болванке)

3. Нет, см. пункт #2

4. Возможно, главное, чтобы разработчики намерянно не оставляли дыры для заинтересованных людей. Впрочем метод терморектального криптоанализа еще не отменяли :D

5. Народ терзают смутные сомнения, чем же етти занимается, когда не рассматривает всякую ***ню в инете?))

1.Отлично.
2.Нет,лишь 1 VPN не оставит информацию в анонимности.Но если нет выхода...
3.Конечно же НЕТ,пользовался им раньше,но после прогугливания онфаормации об этой программе был в шоке.
4.Вот тут есть и да и нет.Да потому что если вы совершили какое нибудь не особо тяжкое преступление (Кинули троян человеку который подал на вас в суд) я думаю правоохранительные органы не будут **ать свой мозг на то чтобы взломать ваш алгоритм шифрования.Нет потому что если вы совершили особо тяжкое преступление (Взломали банковскую сеть и украли миллиарды долларов,заразили своим троянцем большое количество машин) то те же правоохранительные органы всё равно найдут способ взломать вашу систему шифрования,будь этот метод применением физической силы или морального давления на вас.

еттии, ты думаешь про эту тему уже все забыли?)

рассказывай, как оно все есть на самом деле...
хотя, конечно, больше всего терзает именно пункт 5 из первого поста на этой странице... :rolleyes: :D

Работаю в правоохранительных органах.
Да, пока не будут использованы системы легального перехвата, которые из-за особенностей реализации OpenVPN (и др.) могут довольно быстро вычислить реального пользователя.
Кроме того, в Windows существует ряд потенциальных каналов утечки трафика в обход VPN. Сторонний софт (вроде клиентов IM и почтовиков) лишь расширяет уже базовый набор каналов утечек.
PS: речь не идет об обрыве соединения.
Для HTTP: да, если отключить Java Script и прочие "наворочки" браузеров.
В любом случае, для активного атакующего сопоставление сетевого трафика в сети Tor не представляет проблемы, даже при наличии "покрывающего" трафика.
Но данный метод выходит за рамки более-менее реальных угроз.
Нет, на данный момент были разработаны весьма эффективные методы технического противодействия как на стадии следственных действий, так и в процессе экспертизы. Кроме того, в суде наличие зашифрованных данных может сыграть и не в пользу обвиняемого.

Таким образом пользователь может быть вычислен даже в случае если посторонних утечек траффика нет и хотя бы 1 промежуточный (до цели соединеия) VPN сервер находится в стране, которая отказывается сотрудничать с интерпол\не ведет глобального логирования траффика?

Вы все рассуждаете с теоретической точки зрения, или у кого-то есть практический опыт по данному вопросу?

Интересно было бы узнать стоимость средней экспертизы, включая расшифровку данных. Отнюдь не всегда в бюджете РФ хватает средств на прочие экспертизы, были прецеденты когда задержанных просто отпускали за отсутствием признания.
Всегда ли изымаются сменные носители (включая лазерные диски), проводится полный обыск?

Написано хорошо, но по сути это вода. Можно привести конкретные умозаключения относительно того, как именно проводятся такие меры и что они из себя представляют? Реально интересно узнать, как может быть расшифрован крипто контейнер с паролем длиной 20 символов и ключом который еще надо найти. Терморектальный криптоанализ не обсуждаем.

слишком простые варианты, ими никто ничего серьезного прикрывать не будет.
он может быть расшифрован методом анального паяльника, это тебе не демократическая страна, тут все по пути наименьшего того самого.
ну, мы берем в учет логи провайдеров, но ведь и провайдеры не неуязвимы, тем более, для служб. Опять же, в случае мелких дел тебя не будут искать. Да, в другой стране точно так же, есть выходы. А вот провайдер, что не ведет логи - это из разряда мифологии и лучше на это никогда не ставить.
---
У мну тоже есть вопросы :)
1. Каким образом (с помощью какого софта и железа) логируются коннекты на стороне провайдера.
2. Практикуются ли системы, расшифровывающие и анализирующие трафик подозрительных анонимусов в реальном времени?
3. Начинается ли "расследование" без каких-либо фактических заявлений от пострадавших?
4. Как осуществляется слив с ментовок подобных заявлений? В плане, кому взятку давать логичнее?

1. Отличная идея, но нужно понимать, что для таких программных продуктов появятся свои 'враги'
2. Нет
3. Нет
4. Проблема да, но не серьезная, у тех кто имеет права на расследования компьютерных преступлений свои методы 'декриптинга'

P.S. 'Высшие органы' имеют полный доступ к физическим каналам

1. Идея хороша для правоохранительных органов, поскольку программы такого класса идеальны для удаленного наблюдения за подозреваемым, использующим средства контр-форензики
2. Нет.
3. Нет.
4. Нет.

ЗЫ: Зачем вскрывать зашифрованный раздел, если с помощью п. 1 все пароли и так будут в руках кого надо? То же самое касается OpenVPN\VPN. Если возникает проблема в промежуточном звене (криптография), гораздо легче загрузить программу из п. 1 и посмотреть минут 20 пока кто-то будет получать доступ к своим же данным.

Дайте ка я свои 5 копеек вставлю =)
 

Так… Уведомления на ветку почему то не пришли, давайте по пунктам…

Не торопись. Допустим (!), что есть некое заявление, на основании которого лицо, которое в чем то подозревается, что называется «приняли»… Изъяли все носители и все оборудование. Далее, если следовать стандартным формулировкам, вроде «не знаю», «не помню» и «баз адвоката говорить не буду», и не прогибаться под психологическое и, возможно, физическое давление — в этом случае вы с точки зрения полезности для правоохранитель органов нифига не ценны. Остается уповать лишь на доказательную базу, т.е. на те самые улики, которые удастся (?) найти на тех самых изъятых носителях и железе. И вот тут я повторяю свой вопрос — каким образом данные носители будут расшифрованы? По сути, т.к. никто так мне и не дал вменяемого ответа относительно аппаратно-программной части такого вот «вскрытия», то считаю, что остается лишь пресловутый паяльник. Но вы не забывайте одну интересную вещь — любые улики, полученные с нарушением действующего процессуального права (читай с нарушением УПК и исполнительного производства по делу) не могут считаться законными. Поэтому возвращаемся к исходной точке :) И потом, это что надо сделать, чтобы тебе засунули паяльник в задницу? :) Пентагон поломать, не иначе :-D

Провайдер, логи, железо… Сказки венского леса… Причем тут провайдер с его железом? Причем тут логи? Еще раз — есть шифрованный канал связи между точкой А (абонент) и точкой Б (сервер в Панаме). Канал шифрован 2048 битным ключом (OpenVPN), в идеале еще с Панамы идет еще куда то, и выходит допустим в Швеции ;) Комплект софта, организующего такой канал связи, находится в зашифрованном крипто-контейнере, т.е. при выключении железа, контейнер отваливается и становится бесполезной железкой (в случае если это флэшка), либо файлом (если это файл). Ну будет в логах у провайдера, что такого то числа, в такое то время, начался шифрованный сеанс связи между абонентом провайдера и неким IP адресом, физически расположенным в Панаме. Дальше что? Что касается системы СОРМ-2, то это просто зеркалирование трафика на оборудование соответствующих служб. Еще раз подчеркиваю, я ни разу не встречал доказательств того, что такой канал связи либо зашифрованные носители информации могут быть вскрыты, либо в реалтайме расшифрованы. Не важно с помощью кого, или чего — оборудования спецслужб, либо силами провайдера. Единственное, что представляет тут опасность — это тайминги соединений, но извините, для этого надо очень плотно сотрудничать с ДЦ где стоит результирующий сервер, а это не так легко как кажется ;)

Бессмыссленный вопрос по своей сути.

Анализирующий — да (СОРМ-2), расшифровывающие — нет. Я по крайней мере таких не встречал. Более того, из ЛИЧНОГО (!) опыта, могу сказать, что Ф** на поверку оказывается совершенно бессильна, при вскрытии криптоконтейнера TrueCrypt, находящегося на флэшке, с паролем длиной в 20 символов, и файлом-ключом, которого на машине нет ;)

Нет. Кроме тех случаев, когда подозреваемого уже ведут. В таком случае, дополнительно «нарытое» просто плюсуется к тому, что уже было нарыто ;)

Не понял :) Какой слив? Ты хочешь, чтобы сами сотрудники тебя предупредили, о том, что на тебя появилась заявка? Лучше этого не делать, и не соваться к ним, если не уверен в себе и в своих скиллах. Ибо если ты не спец, то запостановят и будешь работать с ними же, рука об руку, вылавливая своих же «братьев» :(

«Флаг в руки, барабан на шею, возглавят колонну идущих нах*й» © я :) Почему так — читайте выше.

Затем, что таких баранов, которые не способны контролировать процессы и подгружаемые библиотеки на собственной машине, а равно способные допустить присутствие на своей машине такого рода софта, можно будет пересчитать по пальцам одной руки (если смотреть на более менее вменяемых специалистов). А если учесть, что таких баранов будет крайне мало, то имеем, что вскрыть подобный контейнер, и получить доступ к тому, что потенциально может являться уликой, становится практически нереально :) Вот такой вот поворот, увы, Спилберг.

Короче, резюмирую:

1. Данные в шифрованном контейнере получить крайне сложно, а при грамотном использовании и поведении — нереально.

2. Данные передаваемые по каналам связи находящимся «под контролем», перехватить реально, но расшифровать (опять же при условии грамотности человека, использующего такой канал) нереально :)

Если кто то мне может доказать обратное — милости прошу в ПМ. :)

С уважением,
Вернон.

Повторю слова одного грамотного юриста, специалиста по расследованию компьютерных преступлений:
"Практически во всех странах не имеют силы доказательства, полученные с нарушением закона. А доказательства, полученные при помощи информации, которая получена с нарушением закона - имеют."
Да. Сбор оперативной информации иногда начинается ДО того, как "X" подаст заявление.
Пример - сети открытых прокси, коммерческие организации, расследующими компьютерные преступления.

Мне известны организации, которые за большие деньги извлекают нужную зашифрованную инфу. И, кстати, их методы тоже известны - ничего сверхестественного, просто некоторые ответы всегда лежат на поверхности, и даже гениальные криптографы их так сразу не видят.

Сразу видно, что Вы не знакомы с современными программами-policeware. Которые мало чем уступают современным руткитам и которые запихиваются на машины кулхацкеров отнюдь не отправкой на электронную почту.

С уважением, специалист по расследованию компьютерных преступлений. Контр-форензика
http://anti-forensics.livejournal.com/1556.html

Хм, интересная фраза. Уже отправил в мыло своим юристам. Интересно, что скажут. Если это так, то это, несомененно, угроза. И я прекрасно понимаю, к чему вы клоните. Засунуть паяльник в задницу — противозаконно. То есть полученный таким образом пароль (насилие, принуждение, незаконные методы), судом учитываться не будет. Но это и не надо, т.к. по вашему другая информация, т.е. улики, добытая при помощи этого пароля, будет считаться добытой законными путями. Фокус интересный, мне аж прямо не терпится узнать мнение юристов. Мне кажется, что цепь не рвется на паролем как таковом, и что все дальнейшее, также будет незаконным. Но я не юрист, и конечно же могу ошибаться. Поэтому жду комментария своего юриста, отпишу потом в ветке. Но тем не менее — для таких действий тоже есть свои противодействия. Например вложенные криптоконтейнеры. Да, я скажу пароль от первого, изобразив жестокое разочарование в своем поступке. Да, там будет что то, не представляющее особой опасности для меня. А внутри будет скрыт второй контейнер, в котором и будет весь сок. А еще хотите финт ушами? Например у меня работает некая система безопасности (собственная разработка, активно использующая TC), там момент принуждения учтен очень просто и еще продублирован. Во первых, если пароль к контейнеру два рада подряд вводится неправильно, контейнер уничтожается к ебеням собачьим и жукам майским. Во вторых, ключ к контейнеру хранится на удаленном сервере, доступ к которому можно получить только в связке с другим человеком и никак более, при соблюдении определенных условий о которых расследующая сторона никогда не узнает. И засовывайте хоть 2 паяльника в задницу, доступ к этому ключу получить даже мне будет абсолютно нереально. Кстати, эта же система продублирована и для безопасности других моментов, таких например, как щифрованных каналов связи ;) Что скажете на это?

Ключевое слово здесь — иногда. Т.к. расследовать ВСЁ и по ВСЕМ направлениям, никаких ресурсов не напасешься. Поэтому приходим к выводу, что моя точка зрения является более корректной. Хотя я и не исключаю, возможность заранних оперативных действий ;)

Во первых, «большие деньги» — понятие растяжимое. Во вторых, большие деньги будут очень сильно коррелировать с серьезностью расследуемого дела, и не всегда будут оправданы. В третьих, пока не будет пруфа (либо линк на сайты/телефоны таких организаций, либо конкретное указание технических мер, используемых для вскрытия криптоконтейнеров) я буду считать это полной чушью, а ваше утверждение несостоятельным, т.к. нет никаких доказательств обратного, но есть опыт, говорящий о том, что это смахивает на бред, иначе я бы наверно не сидел сейчас за компом наверно :D Тем более жду пруф, т.к. вы сами утверждаете, что «ничего сверхъествественного» и «все ответы лежат на поверхности». Вода все это.

С этим спорить на стану — не знаком. И кстати буду благодарен, если дадите возможность ознакомиться :D Но я знаком с принципами работы ОС, и прекрасно знаю базовые принципы работы руткитов, и прочего, что имеет склонность пролазить на машину без ведома пользователя. Проще говоря, я знаю дыры своей машины, и они закрыты. Это раз. Во вторых, т.к. есть zero-day уязвимости и всех дыр я знать не могу в принципе, то для работы используется оборудование, которое используется только для работы (простите за каламбур), и после отключения питания ОС сбрасывается в свое изначальное состояние, что сводит на нет шанс любого руткита, т.к. ОС грузится с носителя, запись на которой запрещена в принципе (технически невозможна). Для шибко умных руткитов, которые чисто гипотетически могут заработать и без релоада машины, есть не паблик проактивное обнаружение, направленное ТОЛЬКО на это, т.к. остальные дыры прикрыты. А если еще учесть, что вы не знаете, какая ОС используется (не веник это ;)), то становится совсем не просто. Я уже молчу о том, что опять же, инфа добытая с нарушениями — не катит. Ну да ладно, ждем ответа юриста. Иными словами, резюмируя, я еще раз повторяю — если человек баран, то ваш софт попадет к нему на машину, а если не баран, то увы, господа, идет ваша форензика в лес…

С уважением,
Обратная Сторона Медали :D

google://блокираторы записи

Все грамотные судебные компьютерные экспертизы проводятся с блокировкой записи - любые попытки перезаписать хоть один байт содержимого диска будут анально огораживаться (и, возможно, писаться в отдельный файл, чтобы потом суду можно было сказать - обвиняемый хотел путем наебалова уничтожить доказательства).
Сомневаюсь в том, что эти "условия" будут с точки зрения терморектального криптоанализа отличаться от паролей.
Терморектальный криптоанализ направлен либо на способ получения данных, либо на сами данные. Отрицаемое шифрование защищает последнее. То, что надо нажать F2, а затем Esc в процессе загрузки для запроса пароля не защищается ничем.
Практика показывает их полную неэффективность.
Иногда = для некоторых видов компьютерных преступлений.
http://nhtcu.ru/news.html
Ищите в тексте слово "PGP"
У меня и у моих коллег есть опыт, говорящий об обратном. Разумеется, кулхацкерам подобные вещи знать немного не положено (по понятным причинам). Рекомендую начать работать в области расследования компьютерных преступлений, вступить в международные ассоциации по борьбе с компьютерными престулпениями, почитать соответствующие закрытые интернет-ресурсы и посмотреть, изменится ли Ваше мнение.
Идеальных компьютерных преступлений история еще не знает (да и про саму концепцию идеального преступления рекомендую смотреть фильм "Убийства в Кембридже" - там дано условие, когда традиционное преступление может стать идеальным, и это отнюдь не пресловутая безопасность через усложнение [работа только с Live CD, регулярный ручной мониторинг MD5 всех секторов жесткого диска и т.п.])
Без средств доставки могу только дать одно название: Aperio.

Нет, Вы меня немного не поняли. Какая перезапись? Это НЕ виртуальный контейнер. Какая судебная экспертиза? Экспертиза чего? Физически уничтоженного носителя? Ну-ну, удачи :) Не уверен, что Вы сможете отсюда что то достать. На экспертизу Вам останется только это:

http://www.nero.ru/photogallery/goods2/chipef3.jpg http://www.nero.ru/photogallery/goods2/chipef2.jpg
Разрушение контроллеров и микросхем памяти в flash носителях

google://АБС EF V 2.0

Эти условия специально созданы для обхода таких вот методов принудительного характера. Они бы никогда не были бы имплементированы, если бы не необходимость их 100% эффективности против таких вот противоправных действий правоохранительных органов. Даже паяльник не заставит вспомнить весь массив данных, который был записан на уничтоженном носителе… Тупиковый путь. F2, Esc — тут вообще не при чем. Другой вопрос в том, что пока Ваши клиенты врядли используют такое железо, т.к. уверен, что 99% тех кого Вы анализируете — детский сад, младшая группа. Я не по наслышке знаком с деятельностью отдела «К» в своем регионе, их профессионализм, с позволения сказать, вызывает лишь усмешку. А те лица, кому не безразлична собственная свобода, уверен, не пренебрегут такими возможностями современных технологий защиты информации ;)

Если это выдрать из контекста — да, согласен. В комплексе с другими обозначенными методами, количество и качество головняка, у расследующей стороны, несомненно повысится.

Бла-бла-бла… Причем здесь PGP? В контексте нашей с Вами беседы, PGP никогда не упоминался. Ибо Циммерман слил бэкдор еще давно. Факт того, что софт уже не тот, каким был изначально известен всем и каждому. И в очередной раз использование этого софта так называемыми кардерами, сильно показывает их скилл))) Можно конкретный линк, либо конкретный номер телефона организации, способной вскрыть криптоконтейнер TC, являющий собой полностью зашифрованную флэшку, с условием, что ключа нет, и пароля тоже? Еще раз — если нет, считаем, что таких организаций/специалистов НЕТ.

Я — не хакер, и закон не нарушаю. Но, я с интересом слежу за подобным противостоянием добра и зла, в сфере высоких компьютерных технологий. Если Вы приведете мне в личку все необходимые адреса, я с радостью ознакомлюсь с представленной там информаций, изучу ее и выдам свое мнение, основанное на достаточно значительном опыте в данной области.

Фильм обязательно посмотрю. Но дело в том, что мы с Вами беседуем в контексте не полностью какого то отдельно взятого уголовного дела, а в контексте получения улик с отдельно взятой машины. Давайте и впредь будем придерживаться установленных беседой рамок, по крайней мере пока не прийдем к какому то результату в этой беседе. После этого, я Вас уверяю, мы сможем подискутировать и на тему идеальности преступления =)

Ну кто б сомневался, что «без средств доставки». Ибо уверен на 100% почти, что средством доставки является связка. Не думаю, что потратить $2K это так уж много, особенно если результатом будет работающий Aperio на машине подозреваемого :) Только кто ж об этом вслух то скажет. Уж не сотрудник правоохранительных органов точно.

Кстати про Aperio, гугл сходу внятного ничего не сказал. Но если это вот это :

http://www-s.tucows.com/new/static/i...ows/aperio.gif

То это просто смешно :)

На какой стадии хотите противодействовать? Следственные действия? Экспертиза? Или, может быть, в зале суда?

Фраза про ввод пароля 2 раза неправильно дает логичное предположение о том, что речь идет об экспертизе (или криптоанализе в присутствии эксперта/специалиста). А любые фразы об эффективности подобных логических бомб - либо заблуждение, либо state-of-art исследования о противодействии криминалистической экспертизе, которые проводят по светлые стороны баррикад.

Противодействие терморектальному криптоанализу возможно либо за счет введения в модель угроз ложных данных (например, отрицаемое шифрование), либо вводом в модель угроз ошибок криптоаналитика (в некоторых криптопродуктах есть пароль под принуждением, который уничтожает криптоключ, т.е. потом паяльником можно махать только для того, чтобы человек вспомнил данные, а не пароль для доступа к ним).
Т.е. математически корректные методы противодействия паяльнику не включают в себя противодействие тому, что криптоаналитик узнает способ получения доступа к данным (к примеру, TC не скрывает своего присутствия на компьютере, а их модель отрицаемого шифрования не предполагает невыдачу каких-либо паролей - пароли выдаются, но немного не те).

Ссылку уже дал - звоните им. Также могу попиарить собственную контору, но, думаю, тест-драйв хека трукрипт вы не получите, ибо "с улицы".

Начните с http://www.htcia.org/
Нет. И если будете искать еще лучше, то запомните - CERT (с ПО с аналогичным названием) тоже никак не связан.

Есть халтурщики-палочники, а есть и реальные специалисты. При этом борьбу с преступлениями ведут не только они, но и коммерческие организации (типа Группы ИБ). В первом случае для защиты данных будет достаточно поставить пароль на вход в Windows. Во втором и контейнеры TrueCrypt со сложными паролями спасти не смогут (хотя, безусловно, создать более-менее идеальную защиту можно, но я даже рекомендации по ее созданию не видел - все существующие мануалы написаны без учета реальных технических методов борьбы с крипто и стего).


http://kommentarii.ru/comment.php?f=3&t=573&p=15489

Вполне уместный вопрос, я и сам начал ощущать, что мы беседуем несколько в разных плоскостях. Уточню — есть уголовное дело, в рамках производства которого есть необходимость добыть некие улики (допустим файлы), которые будут рассмотрены судом, и с большой степенью вероятности будут им учтены как доказывающие вину подозреваемого в преступлении, которое ему вменяется. Это раз. Далее, есть лицо, или лица, которые расследуют дело, либо являются экспертами, т.е. в компетенции которых находится непосредственно оборудование, знания/умения/навыки и т.д., а также правовые основания для выполнения конкретных действий по нахождению тех самых улик на машине/другом оборудовании, конфискованном у подозреваемого. Это два. Далее вариантов два. Если подозреваемый успел активировать функцию уничтожения АБС, то исследовать будет уже нечего и паяльник в данном случае не поможет, т.к. даже если он и скажет что то под принуждением, то это будет квалифицировано судом как незаконно полученные док-ва. Если же не успел, то в Ваше распоряжение попадает работоспособный носитель, который по совместительству, является криптоконтейнером (несет на борту зашифрованную FS). И тут все зависит от того, насколько Вы халтурщики-палочники или реальные специалисты, как Вы сами красноречиво заметили. Вопрос лишь в том, что пока на данный момент времени у меня нет ни единого обснованного подтверждения о том, что тот же TrueCrypt может быть скомпрометирован (речь идет о вскрытии контейнера без пароля и ключа, про паяльник не говорим). И вот это самое подтверждение я и хочу получить. Я конечно, горд за свою страну, что в ней есть специалисты, которые изобрели некий хек для ТС-контейнеров и не хотят по понятным причинам его отдавать "на тест драйв" человеку с улицы, но при этом мне это кажется попыткой самопиара, в противном случае почему весь остальной мир об этом не в курсе, с учетом того, что софт является достаточно популярным? ;)

Спасибо большое, с радостью ознакомлюсь, интересно.

Хорошо, буду искать еще лучше. Хотя и не совсем понимаю, что ж вы свой софт так скрываете то… Прям тайна какая то нереальная =) В целом, по поводу создания более менее идеальной защиты могу сказать вот что — если рассматривать надежность какого то отдельно взятого метода от 0% до 100%, то понятно, что 100% не даст ни один метод. Но не стоит забывать о дублировании, о том, что методы могут "перекрывать" друг друга, давая в итоге гораздо больше тех самых 100%. И сюда включены угрозы физического воздействия на подозреваемого. Так что даже если ему два паяльника в задницу засунуть — раскрытию дела это не поможет. При этом, я открыто говорю о методах, принципах AF, т.е. противодействия. И единственное, что я скрыл, это возможности собственного софта, работающего в связке с ТС, и обеспечивающего тот функционал, которого ТС лишен. А вот Вы, уважаемый, темните слегка :)

В любом случае, большое Вам спасибо за дискуссию ;)
Продолжим?

UPDATE:

Вода. Нет конкретики. Данный текст следует понимать так: эксперты Центра разработали софт, который позволяет оперативным сотрудникам отдела "К" (квалификацию которых мы знаем))) нажать две кнопки и на экране высветится вся потенциально интересная инфа, которую горе-хакер забыл потереть. Еще раз подчеркиваю, что такой софт не способен вскрыть при обозначенных мною условиях тот же ТС. Иначе об этом бы уже орали везде и на каждом углу.

Знаете, сколько компаний в РФ (т.н. негосударственных экспертных учреждений) готово сделать экспертизу, связанную с использованием криптоконтейнеров (не формально, т.е. без НПВ [не представляется возможным] по всем вопросам)? Или оказывать консультации по расследованиям дел, связанных с использованием стойкого крипто (включая участие специалиста в следственных действиях)? Боюсь, половины пальцев одной руки для их перечисления хватит. Именно половины, т.к. по одной организации у меня инфы очень мало.

Это одно из направлений исследований проекта, ссылку на который я попиарил выше (это был единственный случай пиара в этой теме :) ). Если точнее, исследуется противодействие противодействию.

Можете еще это поглядеть:
http://guidancesoftware.ru/_docs/FIM.pdf

Цитата с английской версии сайта:
Вообще, компьютерная криминалистика в некоторой степени похожа на иллюзионизм - все знают, что езда на автомобиле с закрытыми глазами - фокус, но лишь единицы знают секрет подобной езды без "надувательства" вроде GPS и наушника в ухе.

Пока лично я в Интернет не читал ни одного заявления бывшего подозреваемого, который в подробностях описывал процесс получения у него паролей правоохранительными органами. Может быть потому что подозреваемый уже находится в местах не столь отдаленных, а получить доступ в Интернет там, мягко говоря, проблематично. А может быть ему запретили об этом рассказывать под давлением. В любом случае, пока вы лично не находились под воздействием милиции или других организаций, вы никогда не узнаете какими способами можно получить пароль и никто вам этого не скажет. Каналов утечки данных может быть огромное число. В Интернет на общий доступ представлены системы, противодействующие снятию звуковой информации путем вибраций оконных стекол, создающие электромагнитный "шум", препятствующий отправке информации по скрытому радиоканалу и т.д. Ознакомиться с ценой на эти системы может любой. И если такие системы есть, значит существуют системы, регистрирующие подобную информацию. Пароль на криптоконтейнер - это всего лишь текстовая строка. Что касается программ скрытого наблюдения, фиксирующие активность пользователей - если спросите мое мнение, я думаю что самым безопасным способом было бы загружать их сразу после включения сетевого соединения по локальной сети, реализовать их на уровне обновлений для операционных систем, антивирусов и т.д. Самая надежная система - это система, не предусматривающая сетевое соединение с другими компьютерами.

В «Группу ИБ» задачу отписал, посмотрим, что ответят. Думаю, что врядли смогут что либо сделать, и на один палец станет меньше. Включение же спеца в следственные действия не суть важно, при выполнении условия того, что на изъятой машине не было обнаружено ничего, а гипотетически искомые улики находятся на отдельном целом (!) железном крипто-контейнере. Ждем ответа от них.

Нет, это все понятно… «противодействие противодействию» и т.д. Суть не в этом. Я еще раз Вам повторяю — есть противостояние сторон, вид сверху, в общем. В таком случае да, и та и другая сторона может наделать ошибок, результирующих как победа/поражение. Но (!) мы беседуем не в рамках всего противостояния, а в рамках условной вероятности того, что иных вариантов нет, и следствие уперлось только в наличие шифрованного железа, на котором есть нечто, могущее его (следствие) заинтересовать… Вот от этого давайте плясать. Хотя, чисто гипотетически, я не исключаю вероятность того, что пароль и место нахождения файла-ключа для этого контейнера будет записано на бумажке, которая лежит сразу справа после мышки :D Но пляшем от тех условий, что я обозначил… Иначе мы просто будем тут еще месяц спорить, если будем принимать во внимание все модели всех угроз для каждой стороны.

Поглядел… Я ранее сталкивался с EnCase Forensic более ранних версий, рад, что этот софт подрос до более интересного уровня… Но тем не менее — в контексте решаемой задачи он полностью бесполезен. Ибо при вычислении хакера он не поможет, а в случае попадания железа, которым пользовался хакер Вам в руки, не поможет тем более (читаем выше, и мыслим в рамках поставленной задачи). Понятно, что я склонен немного идеализировать, но смысл в том, что чем серьезнее человек являющийся Вашим противником, и чем серьезнее дела, которыми он занимается, тем, я уверен, больше внимания он уделит вопросам обеспечения собственной безопасности.

Для младшего поколения — да, но не для тех, с кем Интернет родился и вырос. По крайней мере не для всех.

Зайдите ко мне в профиль, там в истории выставления оценок увидите тему про мой личный опыт, почитайте. Там есть и «эксперт», и то, как они пароли находили, и все остальное…

Бред :D

Я лично находился под воздействием милиции. Но, во первых это было давно, и тогда модели угроз в мою сторону были несколько иные, чем сейчас. Во вторых, список моделей угроз с тех пор вырос довольно значительно, но однако данный факт никак не мешает все их принять во внимание и противопоставить им свои контр-меры.

В контексте обсуждаемой модели (т.е. шифрованного канала связи), угрозу могут предоставлять только каналы утечки данных из ОС в обход шифрованного туннеля. Однако, они все известны, легко закрываются и в принципе, никакой угрозы не предоставляют (для тех, кто о них знает). По поводу лазерных микрофонов, снимающих звук с окон — это к чему вообще? Для этого, стороне противника надо знать, где находится хакер, а если он не осел, то этим микрофоном они будут слушать кого угодно, но не его. Тем более, если они будут знать, где он, то его скорее примут, чем будут слушать. Ведь в руках у них есть EnCase FIM, круто да? :) Если интересна модель защиты, которая идет в плюс к VPN — пишите в ПМ, расскажу ;)

Дааа, батенька, вот вы даете… Если б это было так, то отдел «К» вместе с УФСБ наверно вскрыли бы мой тогдашний криптоконтейнер, нашли бы в нем компрометирующие меня материалы, и отправили бы дело на доследование, в связи с тем, что экспертиза выявила новые улики. Хрен там. Не вышло. Не все так просто, поверьте мне. И напоследок — почитайте про криптосистемы с открытым ключом, здесь.

Как вы себе представляете то, что я выделил жирным в Вашей цитате? Я — никак. Производители ОС и антивирусов никогда на это не пойдут, потому что активность подобного приложения вычисляется и это будет epic fail для такого вендора.

Если рассматривать модель угроз со стороны сети — то да, надежна. Против всего остального она будет так же уязвима.

Посмотрите внимательно на то, к чему я это сказал, и на то, к чему относятся по цепочке предыдущие цитаты - в данной дискуссии есть некоторые параллельные поддискуссии (если точнее, заброс хацкеру нужных программ, которые соберут все нужные доказательства в криптоконтейнер и отправят его к нужным людям)
Тогда наиболее общий ответ: бекдоров в TrueCrypt и AES нет, но их отмонтированные криптоконтейнеры вскрываются при использовании стойких паролей, даже при условии утраты дополнительных файлов ключей (но не во всех случаях).
У моего коллеги вышло что-то вроде этого: http://cryptanalysis.ru/cryptonet.png
И то, модель угроз не включает в себя некоторые важные моменты (ошибки пользователя, скомпрометированные VPN-серверы анонимных сервисов и др.)
При этом некоторые подпункты синих прямоугольничков еще ни разу не были найдены на различных приватных и публичных форумах, FAQ, How-To и т.п.

Тут два варианта: первый — если такой бэкдор на машине работает, то толку от контейнера ноль, т.к. он являет собой примонтированный диск, открытый для чтения, и увы, это epic fail для хацкера. Второй вариант — связка не сработала, залив на машину не удался. И что тогда? Давайте склоняться к версии, что «забросить» хакеру на машину ничего не выйдет.

В нашей с Вами дискуссии, Вы упоминали «Группу ИБ», справедливо считая ее авторитетной структурой, работающей в аспекте обсуждаемой нами проблемы. И вот результаты моей переписки с ними:

Так что я склонен полагать, что тут Вы ошиблись. В противном случае, если Вы не согласны ни с моим мнением, ни с мнением г-на Каткова — я был бы рад послушать Ваши соображения, относительно того, как такой контейнер может быть вскрыт.

Схема, которую изобразил Ваш коллега достойна уважения. Нет, правда, он молодец — работа проделана вполне достойная. Однако, все те модели угроз, которые изображены в его работе, не являются сколь бы то ни было существенными.

РЕЗЮМИРУЯ:
Я готов написать пошаговый мануал, являющий собой детальное руководство по обеспечению создания системы безопасности для отдельно взятого пользователя, исходя из аспектов его деятельности. Если же аспекты деятельности указаны не будут, я готов дать общие рекомендации, способные отработать «на отлично» в большинстве требуемых случаев и исходя из большинства моделируемых угроз. Данный документ будет охватывать все возможные потенциальные угрозы, могущие в той или иной степени повлиять на безопасность пользователя такой системы. Также, как автор данного документа, я могу в том числе указать на потенциальные слабые места данной системы, указать на то, как ее можно преодолеть и с технической точки зрения, и, в том числе с использованием методов СИ. Однако, просто так писать мне это скучно, поэтому в личку отписал, что хотелось бы получить взамен.

Благодарю за интересную дискуссию!

Прочитал вашу статью, заинтересовало. Отправил вам личное сообщение по этой теме.

Например так: высокопоставленные люди получают исходный код Windows, определяются условия, при которых возможна удаленная загрузка информации при подключении к локальной сети оператора связи, под эти нужды затачивается клиент-сервер система. Мы получаем обновления от антивирусных компаний в закрытом режиме, обновления имеют закрытые коды и мы не знаем что может впихнуть нам Kaspersky или ESET точно также, как не знаем что именно в дополнении к официальным обновлениям мы получаем при обновлении Windows. Я лично не доверяю ни одному из российских антивирусных продуктов, т.к. полагаю (и это лично мое мнение, не более того) - что производители антивирусов и вирусов косвенно имеют общие задачи. И естественно шпионящий софт, отсылающий информацию нужным людям, не должен детектироваться ни одним из антивирусов, а это возможно только при условии что шпионящий софт работает на уровне BIOS или на уровне ядра ОС.

Я Вам ответил в ПМ, но впредь прошу писать мне на электронку — mail at vernoncody dot ru.

Скажу так — Майкрософт никому из высокопоставленных людей во первых не отдаст исходники, никогда и ни при каких условиях. Это раз. Во вторых, это какие должны быть люди, чтобы им дали эти исходники, не верю в это, это два. В третьих, это кем должен быть хакер, и что он должен сделать, чтобы им такие люди заинтересовались. Это три. В четвертых, что касается антивирей — я думаю, что конкуренты реверсят софт друг друга по любому. И если бы, не дай бог, выяснилось, что у кого то что то куда то отсылается не дай бог или воруется, то это все, хана такому вендору, как я уже писал. До кучи, все четыре пункта доказывают полную несостоятельность этой теории. Поэтому даже обсуждать наверно не стоит.

Вопрос к ettee, это как раз связано с его работой. После прочтения этой статьи многим людям захотелось перейти на ОС с открытым исходным кодом и никогда не использовать антивирусы. И дело даже не в том качают они что-то или нет - дело в принципе, когда против них настроены: 1) правоохранительные органы 2) интернет-провайдеры 3) производители антивирусов, может вообще стоит подумать о том пользоваться Интернетом дальше или нет. Там сказано, что милиция хотела бы применять тюремное заключение к пользователям торрентов также, как его применяют к убийцам и насильникам. Не перегиб ли это, с лично вашей точки зрения?

Во первых — это оффтопик. Во вторых — на дату статьи посмотрите.

Параноидальный бред. Любая ОС уязвима, в той или иной степени. Пока MacOS была не сильно распространена, она была более менее безопасной, Вы наверно помните, как был слоган, что мол «вирусов под эту ОС нет, бла-бла-бла»… А теперь что? Уже все, поезд ушел. Открытый исходный код ≠ защищенность. Отсутствие антивируса тем более ее не гарантирует.

Мир всегда был, есть и будет враждебным. И прыгать с ОС на ОС из-за этого — глупо ;)

P.S. ettee, жду ответа в личку.

http://www.microsoft.com/resources/sharedsource/gsp.mspx

Большинство реальных преступников до сих пор на свободе, а ловят лишь студентов, устанавливающих пиратские виндовсы. Не нужно смотреть на ситуацию однобоко.
Стоить отметить что на данный момент в сети достаточно много материала по данному вопросу, в том числе и дискуссий.

Был не прав, каюсь :p

В точку.

Если передавать и хранить информацию можно в зашифрованном виде, то на монитор все и всегда будет выводиться открыто.
Изображение с ЭЛТ-мониторов можно считать на расстоянии. Возможно ли сделать это с ЖК?