[Опрос] Компьютерная криминалистика

Discussion in 'Безопасность и Анонимность' started by ettee, 25 Jul 2009.

  1. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,036
    Reputations:
    1,065
    1. Как вы оцениваете появление вредоносных программ, не записывающих какую-либо информацию на жесткие диски скомпрометированного компьютера с целью обеспечения максимальной скрытности?

    (Пример ответа: идея хорошая, но пока только в теории; плохо, подобная технология обеспечения скрытности сегодня не является необходимой)

    2. Считаете ли вы, что технология VPN (реализация: OpenVPN) является безопасной и достаточной с точки зрения организации анонимного обмена данными (модель угрозы: против правоохранительных органов)?

    3. Считаете ли вы, что сеть Tor является безопасной и достаточной для организации анонимного веб-серфинга (протоколы HTTP и HTTPS)?

    4. Считаете ли вы, что развитие средств дискового шифрования является серьезной проблемой в процессе расследования компьютерных преступлений?
     
    _________________________
    6 people like this.
  2. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    732
    Likes Received:
    646
    Reputations:
    251
    1.Надо ли это или я непонял суть.
    2. Считаю, но везде есть свои подводные камни, и пару багов для раскрытия есть у отдела K
    3. х.з. чо енто извините уж)
    4.Те дяди которые сидят тма, недумаю что на расшифровку много времени уходит.

    Извините что не на все ответил :)
     
  3. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,569
    Likes Received:
    466
    Reputations:
    108
    1. Все зависит от цели которую преследует вирусописатель, как по мне имеет смысл только в случае с целенаправленной атакой.

    2. Доверия к продуктам с открытым исходником всегда будет выше, хотя с другой стороны - технология шифрования базируется на математических методах а математика - дело тонкое и вполне можно получить дыру в том месте где даже и не ожидаеш её..

    3. есть несколько публикаций на тему - использования ТОR сетей спец службами для передачи собранных развет данных и т.д. но всеже как всегда остается сомнение что они использовали публичные алгоритмы.

    4. Смотря какой алгоритм используется для этой задачи и какой уровень у специалистов проводящих экспертизу. к сожалению еще ни разу не видел адекватного эксперта в экспертных комиссиях , как правило пароли/ключи добывались по средствам воздействия чебурашек и других особо отмороженных сотрудников.
     
    2 people like this.
  4. :::frag:::

    :::frag::: Banned

    Joined:
    1 Jan 2009
    Messages:
    0
    Likes Received:
    7
    Reputations:
    0
    1. Поддержу POS_troi. Смотря какие цели.

    2. Свой ВПН обеспечивает довольно таки хорошую анонимность. Но если Вы пользуетесь сервисами - то это не означает что Ваши логи не попадут куда Вам не нужно...

    3. Тор? - Нет, без вариантов - нет!

    4. Да, но если Вас словят но не смогут розшифровать алгоритм шифрования Вашего диска, то метод узнать его у вас в СНГ точно найдут =)
     
  5. bons

    bons Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    286
    Likes Received:
    121
    Reputations:
    21
    1. Понятно, что такой софт будет жить только до перезагрузки. Следовательно он применим в таких случаях(пусть даже в одном из них)
    а) высокий аптайм
    б) необходимость присутствия этого софта не является долговременной
    в) уязвимость, через которую данный софт может быть внедрен не будет закрыта длительное время плюс эта уязвимость может быть эксплуатирована с минимумом следов.

    2. Только в сочетании с другими средствами обеспечения анонимности(на случай компрометации любого из двух узлов (клиента или сервера)

    3. Опять же только в сочетании с чем-нибудь другим

    4. Полагаю, наличие не шифрованных следов преступления есть как бы большая улика чем наличие зашифрованных ;)

    есть еще особое мнение, что ценность такого опроса стремится к нулю(хе, это всё равно что решать уравнение голосованием). По трем последним вопросам как бы нужно мнение эксперта, который подобные преступления раскрывает.
     
    #5 bons, 26 Jul 2009
    Last edited: 26 Jul 2009
    2 people like this.
  6. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,378
    Likes Received:
    1,095
    Reputations:
    356
    1) простой украл мой комментарий. я раз словил такого, накайфовался вычислять. бонс, вирус записывается на диск перед выключение, а при включении поселяется в оперативку и стирает себя с диска. и так по кругу.
    2) не считаю
    3) был холивар примерно год назад когда администрация тора сдала йапишники ответ - не является.
    4) да, считаю.
     
    _________________________
    2 people like this.
  7. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,036
    Reputations:
    1,065
    Ценность стремится к нулю только в случае, если интересует истина, а не мнение. В данный момент меня интересует мнение людей по вышеуказанным вопросам исходя из _их_ знаний. Лично я "правильные ответы" знаю, которые, кстати, будут неутешительными для большинства участников данного форума.
     
    _________________________
  8. BrainDeaD

    BrainDeaD Elder - Старейшина

    Joined:
    9 Jun 2005
    Messages:
    774
    Likes Received:
    292
    Reputations:
    214
    хотелось бы увидеть ответы
     
  9. c0n Difesa

    c0n Difesa Member

    Joined:
    1 Jan 2009
    Messages:
    133
    Likes Received:
    66
    Reputations:
    18
    1. Идея не новая и о «появлении» говорить не приходится. Скорее о более широком распространении этого способа в комбинации с другими техниками сокрытия в скомпрометированной системе.

    2. Нет, не считаю (в пределах рассматриваемой модели).
    При рассмотрении степени защищенности VPN не следует забывать о наличии систем оперативно-розыскных мероприятий у каждого провайдера. Обязательно есть финансово дорогие для правоохранительных органов причины, если установка систем подобного типа является обязательной процедурой для получения лицензии на предоставление Интернет-услуг. Не стоит списывать со счетов и открытые алгоритмы шифрования, используемые средствами организации VPN (см. 4-й пункт).

    3. Нет, не считаю. Дело не в слухах, а в реальных примерах компрометации проходящего трафика на так называемых «нодах». Другое дело, если пользователю Tor требуется скрыть свой трафик не от спецслужб, а от (например) соседа. В таком случае анонимность имеет место быть, но только в той степени, которая требуется пользователю.

    4. Нет, не считаю. Любая система шифрования базируется на криптографических алгоритмах, которые, в свою очередь, проходили сертификацию гос. структурами, цели которой остаются за кадром и рождают поколения параноиков.
     
  10. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    1. Лишней живучести у вредоносных программ не бывает. Хорошая технология.
    Или же плохая - смотря с какой стороны смотреть.

    2. Если использовать VPN исключительно для передачи данных напрямую от одной машины к другой - считаю это вполне надежным. Особенно если при этом использовать алгоритм для шифрования пакетов AES-256.
    Если же использовать вторую машину как гейт для выхода в сеть - то нет.
    Даже при условии, что будет использоваться дабл-VPN, сервера в разных странах и там гарантированно не ведутся логи... - все равно вопрос анонимности в данном случае - исключительно вопрос масштаба и желания у органов.

    3. нет. больше я верю в то, что это ханипот.

    4. Даже если использовать криптор, в алгоритме которого нет уязвимостей + использовать небрутабельный пароль... наличие закриптованного диска, к которому отказываются предоставить пароль - само по себе - косвенная "улика", которая будет учтена на суде.
    И это всё при условии железной воли. Потому как выдержать "обработку" соответствующими специалистами тоже надо еще суметь.

    Итог:
    1. хорошо.
    2. лучше с VPN чем без него, но надежнее - с ноутбука через публичный пункт доступа Wi-Fi + VPN на заднем сиденье машины в черных очках и в кепке.
    3. сакс.
    4. если использовать метод #2 то метод 4 просто не понадобится. Иначе - лучше с криптованием, чем без.
    Хотя разница, если все же "возьмут за жопу" - очень невелика.
     
    #10 ErrorNeo, 9 Aug 2009
    Last edited: 9 Aug 2009
    2 people like this.
  11. BlackSun

    BlackSun Banned

    Joined:
    1 Apr 2007
    Messages:
    989
    Likes Received:
    1,168
    Reputations:
    446
    1. Зависит от цели самой программы, для выполнения единичных действий (слитие нужной информации не оставляя лишних следов) в самый раз

    2. Только если ключи \ сертификаты и прочее не передается по тому же каналу (передавать, например, из рук в руки на болванке)

    3. Нет, см. пункт #2

    4. Возможно, главное, чтобы разработчики намерянно не оставляли дыры для заинтересованных людей. Впрочем метод терморектального криптоанализа еще не отменяли :D

    5. Народ терзают смутные сомнения, чем же етти занимается, когда не рассматривает всякую ***ню в инете?))
     
  12. 5rap

    5rap Banned

    Joined:
    27 Jun 2009
    Messages:
    63
    Likes Received:
    48
    Reputations:
    0
    1.Отлично.
    2.Нет,лишь 1 VPN не оставит информацию в анонимности.Но если нет выхода...
    3.Конечно же НЕТ,пользовался им раньше,но после прогугливания онфаормации об этой программе был в шоке.
    4.Вот тут есть и да и нет.Да потому что если вы совершили какое нибудь не особо тяжкое преступление (Кинули троян человеку который подал на вас в суд) я думаю правоохранительные органы не будут **ать свой мозг на то чтобы взломать ваш алгоритм шифрования.Нет потому что если вы совершили особо тяжкое преступление (Взломали банковскую сеть и украли миллиарды долларов,заразили своим троянцем большое количество машин) то те же правоохранительные органы всё равно найдут способ взломать вашу систему шифрования,будь этот метод применением физической силы или морального давления на вас.
     
  13. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    еттии, ты думаешь про эту тему уже все забыли?)

    рассказывай, как оно все есть на самом деле...
    хотя, конечно, больше всего терзает именно пункт 5 из первого поста на этой странице... :rolleyes: :D
     
    1 person likes this.
  14. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,036
    Reputations:
    1,065
    Работаю в правоохранительных органах.
    Да, пока не будут использованы системы легального перехвата, которые из-за особенностей реализации OpenVPN (и др.) могут довольно быстро вычислить реального пользователя.
    Кроме того, в Windows существует ряд потенциальных каналов утечки трафика в обход VPN. Сторонний софт (вроде клиентов IM и почтовиков) лишь расширяет уже базовый набор каналов утечек.
    PS: речь не идет об обрыве соединения.
    Для HTTP: да, если отключить Java Script и прочие "наворочки" браузеров.
    В любом случае, для активного атакующего сопоставление сетевого трафика в сети Tor не представляет проблемы, даже при наличии "покрывающего" трафика.
    Но данный метод выходит за рамки более-менее реальных угроз.
    Нет, на данный момент были разработаны весьма эффективные методы технического противодействия как на стадии следственных действий, так и в процессе экспертизы. Кроме того, в суде наличие зашифрованных данных может сыграть и не в пользу обвиняемого.
     
    _________________________
  15. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    Таким образом пользователь может быть вычислен даже в случае если посторонних утечек траффика нет и хотя бы 1 промежуточный (до цели соединеия) VPN сервер находится в стране, которая отказывается сотрудничать с интерпол\не ведет глобального логирования траффика?
     
    #15 ErrorNeo, 28 Aug 2009
    Last edited: 28 Aug 2009
  16. imgreen

    imgreen New Member

    Joined:
    15 Nov 2008
    Messages:
    12
    Likes Received:
    3
    Reputations:
    -5
    Вы все рассуждаете с теоретической точки зрения, или у кого-то есть практический опыт по данному вопросу?
     
  17. .Varius

    .Varius Elder - Старейшина

    Joined:
    5 May 2009
    Messages:
    558
    Likes Received:
    289
    Reputations:
    42
    Интересно было бы узнать стоимость средней экспертизы, включая расшифровку данных. Отнюдь не всегда в бюджете РФ хватает средств на прочие экспертизы, были прецеденты когда задержанных просто отпускали за отсутствием признания.
    Всегда ли изымаются сменные носители (включая лазерные диски), проводится полный обыск?
     
    #17 .Varius, 26 Apr 2010
    Last edited: 26 Apr 2010
    1 person likes this.
  18. VernonCody

    VernonCody Banned

    Joined:
    30 Jul 2009
    Messages:
    68
    Likes Received:
    23
    Reputations:
    13
    Написано хорошо, но по сути это вода. Можно привести конкретные умозаключения относительно того, как именно проводятся такие меры и что они из себя представляют? Реально интересно узнать, как может быть расшифрован крипто контейнер с паролем длиной 20 символов и ключом который еще надо найти. Терморектальный криптоанализ не обсуждаем.
     
    2 people like this.
  19. ichechen

    ichechen New Member

    Joined:
    16 Oct 2009
    Messages:
    33
    Likes Received:
    4
    Reputations:
    8
    1. Отличная идея, но нужно понимать, что для таких программных продуктов появятся свои 'враги'
    2. Нет
    3. Нет
    4. Проблема да, но не серьезная, у тех кто имеет права на расследования компьютерных преступлений свои методы 'декриптинга'

    P.S. 'Высшие органы' имеют полный доступ к физическим каналам
     
    #19 ichechen, 30 Apr 2010
    Last edited: 30 Apr 2010
  20. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    1. Идея хороша для правоохранительных органов, поскольку программы такого класса идеальны для удаленного наблюдения за подозреваемым, использующим средства контр-форензики
    2. Нет.
    3. Нет.
    4. Нет.

    ЗЫ: Зачем вскрывать зашифрованный раздел, если с помощью п. 1 все пароли и так будут в руках кого надо? То же самое касается OpenVPN\VPN. Если возникает проблема в промежуточном звене (криптография), гораздо легче загрузить программу из п. 1 и посмотреть минут 20 пока кто-то будет получать доступ к своим же данным.