Уж извините за офтоп. У Вас должно быть чёткое понятие "Мы живём в самом центре европы и все страны нам завидуют..." Наши адвокаты не вытворяют чудеса, в суде. Как в голливудских фильмах. Для Вас адвокат это человек который должен вытащить Вашу жопу как можно быстрее от опера, который вас допрашивает. Ну и собирать инфу у следователя\развалить дело.
P.S. Говорила мне мама. Поступать в ИКСИ АФСБ.

Аналогично извиняюсь за оффтоп. Не могу не ответить.
Достаточно хорошо знаю правоохранительную систему.
По поводу наших адвокатов - они вытворяют такие чудеса, что их западным коллегам и не снились. Профессиональный адвокат - это как правило бывший следователь/прокурор (прокурор- криминалист) у которого остались связи практически на всех уровнях и во всех ветвях власти своего региона, который
прекрастно знает все минусы в работе следователя, знает на
каких проколах,недочетах и ошибках подловить следователя, тем самым создать препятсвия на определенных стадиях уголовного процесса и максимально затянуть сроки (как вариант). По поводу взяток - я не хочу углубляться в подробности, одно скажу - хорошо, что мы живем именно там, где живем, поскольку
на Западе - НЕВОЗМОЖНО ДАТЬ ВЗЯТКУ, в случае с "киберпреступностью" - тем более, хакерам там дают минимал
25-ку в лучшем случае. Если вы попали в плен на западе или в какой-то другой стране, где вас взяли агенты ФБР- то вам вафли, мысленно прощайтесь с Родиной. А вот если вас задержали в своей Родине, всвязи с "кибер" преступлениями против стран Запада - то ваши шансы при любых раскаладах избежать, либо в крайнем случае уменьшить сроки вашего отбывания в местах заключения свободы - гораздо выше (по
понятным причинам,которые я бы не хотел здесь подробно излагать),чем если бы вас взяли где-то на курорте в Тайланде или Индии.
По поводу вашего непоступления в ИКСИ АФСБ - вы даже не
представляете даже какую вы ошибку НЕ СОВЕРШИЛИ.
Никаких гарантий того, что вы бы не стали преступником-
перевертышом если бы пошли в правоохранительную систему
АБСОЛЮТНО НЕТ,от сумы да от тюрьмы зарекаться не будем. Это раз. Поборолись бы с преступностью, потом бы вас задолбала низкая зарплата, скотское обращение начальства с вами и т.д. Более того, знаю не по наслышке - а видел сам и знаю что у таких людей НЕТ почти личной жизни, распадаются, как правило, семьи, и что самое удивительное - их дети часто вырастают преступниками. А финал жизни - это как правило церроз печени, отказ почек, пуля, красная зона, самоубийство. НЕ У ВСЕХ далеко так, но у очень многих, сам видел. Так что вы молодец что не пошли в систему - искренне поздравляю вас!

1. Отличная идея, но нужно понимать, что для таких программных продуктов появятся свои 'враги'
2. Нет
3. Нет
4. Проблема да, но не серьезная, у тех кто имеет права на расследования компьютерных преступлений свои методы 'декриптинга'

P.S. 'Высшие органы' имеют полный доступ к физическим каналам

1. Идея хороша для правоохранительных органов, поскольку программы такого класса идеальны для удаленного наблюдения за подозреваемым, использующим средства контр-форензики
2. Нет.
3. Нет.
4. Нет.

ЗЫ: Зачем вскрывать зашифрованный раздел, если с помощью п. 1 все пароли и так будут в руках кого надо? То же самое касается OpenVPN\VPN. Если возникает проблема в промежуточном звене (криптография), гораздо легче загрузить программу из п. 1 и посмотреть минут 20 пока кто-то будет получать доступ к своим же данным.

Так… Уведомления на ветку почему то не пришли, давайте по пунктам…

Не торопись. Допустим (!), что есть некое заявление, на основании которого лицо, которое в чем то подозревается, что называется «приняли»… Изъяли все носители и все оборудование. Далее, если следовать стандартным формулировкам, вроде «не знаю», «не помню» и «баз адвоката говорить не буду», и не прогибаться под психологическое и, возможно, физическое давление — в этом случае вы с точки зрения полезности для правоохранитель органов нифига не ценны. Остается уповать лишь на доказательную базу, т.е. на те самые улики, которые удастся (?) найти на тех самых изъятых носителях и железе. И вот тут я повторяю свой вопрос — каким образом данные носители будут расшифрованы? По сути, т.к. никто так мне и не дал вменяемого ответа относительно аппаратно-программной части такого вот «вскрытия», то считаю, что остается лишь пресловутый паяльник. Но вы не забывайте одну интересную вещь — любые улики, полученные с нарушением действующего процессуального права (читай с нарушением УПК и исполнительного производства по делу) не могут считаться законными. Поэтому возвращаемся к исходной точке И потом, это что надо сделать, чтобы тебе засунули паяльник в задницу? Пентагон поломать, не иначе :-D

Провайдер, логи, железо… Сказки венского леса… Причем тут провайдер с его железом? Причем тут логи? Еще раз — есть шифрованный канал связи между точкой А (абонент) и точкой Б (сервер в Панаме). Канал шифрован 2048 битным ключом (OpenVPN), в идеале еще с Панамы идет еще куда то, и выходит допустим в Швеции Комплект софта, организующего такой канал связи, находится в зашифрованном крипто-контейнере, т.е. при выключении железа, контейнер отваливается и становится бесполезной железкой (в случае если это флэшка), либо файлом (если это файл). Ну будет в логах у провайдера, что такого то числа, в такое то время, начался шифрованный сеанс связи между абонентом провайдера и неким IP адресом, физически расположенным в Панаме. Дальше что? Что касается системы СОРМ-2, то это просто зеркалирование трафика на оборудование соответствующих служб. Еще раз подчеркиваю, я ни разу не встречал доказательств того, что такой канал связи либо зашифрованные носители информации могут быть вскрыты, либо в реалтайме расшифрованы. Не важно с помощью кого, или чего — оборудования спецслужб, либо силами провайдера. Единственное, что представляет тут опасность — это тайминги соединений, но извините, для этого надо очень плотно сотрудничать с ДЦ где стоит результирующий сервер, а это не так легко как кажется

Бессмыссленный вопрос по своей сути.

Анализирующий — да (СОРМ-2), расшифровывающие — нет. Я по крайней мере таких не встречал. Более того, из ЛИЧНОГО (!) опыта, могу сказать, что Ф** на поверку оказывается совершенно бессильна, при вскрытии криптоконтейнера TrueCrypt, находящегося на флэшке, с паролем длиной в 20 символов, и файлом-ключом, которого на машине нет

Нет. Кроме тех случаев, когда подозреваемого уже ведут. В таком случае, дополнительно «нарытое» просто плюсуется к тому, что уже было нарыто

Не понял Какой слив? Ты хочешь, чтобы сами сотрудники тебя предупредили, о том, что на тебя появилась заявка? Лучше этого не делать, и не соваться к ним, если не уверен в себе и в своих скиллах. Ибо если ты не спец, то запостановят и будешь работать с ними же, рука об руку, вылавливая своих же «братьев»

«Флаг в руки, барабан на шею, возглавят колонну идущих нах*й» © я Почему так — читайте выше.

Затем, что таких баранов, которые не способны контролировать процессы и подгружаемые библиотеки на собственной машине, а равно способные допустить присутствие на своей машине такого рода софта, можно будет пересчитать по пальцам одной руки (если смотреть на более менее вменяемых специалистов). А если учесть, что таких баранов будет крайне мало, то имеем, что вскрыть подобный контейнер, и получить доступ к тому, что потенциально может являться уликой, становится практически нереально Вот такой вот поворот, увы, Спилберг.

Короче, резюмирую:

1. Данные в шифрованном контейнере получить крайне сложно, а при грамотном использовании и поведении — нереально.

2. Данные передаваемые по каналам связи находящимся «под контролем», перехватить реально, но расшифровать (опять же при условии грамотности человека, использующего такой канал) нереально

Если кто то мне может доказать обратное — милости прошу в ПМ.

С уважением,
Вернон.

Повторю слова одного грамотного юриста, специалиста по расследованию компьютерных преступлений:
"Практически во всех странах не имеют силы доказательства, полученные с нарушением закона. А доказательства, полученные при помощи информации, которая получена с нарушением закона - имеют."
Да. Сбор оперативной информации иногда начинается ДО того, как "X" подаст заявление.
Пример - сети открытых прокси, коммерческие организации, расследующими компьютерные преступления.

Мне известны организации, которые за большие деньги извлекают нужную зашифрованную инфу. И, кстати, их методы тоже известны - ничего сверхестественного, просто некоторые ответы всегда лежат на поверхности, и даже гениальные криптографы их так сразу не видят.

Сразу видно, что Вы не знакомы с современными программами-policeware. Которые мало чем уступают современным руткитам и которые запихиваются на машины кулхацкеров отнюдь не отправкой на электронную почту.

С уважением, специалист по расследованию компьютерных преступлений. Контр-форензика
http://anti-forensics.livejournal.com/1556.html

Хм, интересная фраза. Уже отправил в мыло своим юристам. Интересно, что скажут. Если это так, то это, несомененно, угроза. И я прекрасно понимаю, к чему вы клоните. Засунуть паяльник в задницу — противозаконно. То есть полученный таким образом пароль (насилие, принуждение, незаконные методы), судом учитываться не будет. Но это и не надо, т.к. по вашему другая информация, т.е. улики, добытая при помощи этого пароля, будет считаться добытой законными путями. Фокус интересный, мне аж прямо не терпится узнать мнение юристов. Мне кажется, что цепь не рвется на паролем как таковом, и что все дальнейшее, также будет незаконным. Но я не юрист, и конечно же могу ошибаться. Поэтому жду комментария своего юриста, отпишу потом в ветке. Но тем не менее — для таких действий тоже есть свои противодействия. Например вложенные криптоконтейнеры. Да, я скажу пароль от первого, изобразив жестокое разочарование в своем поступке. Да, там будет что то, не представляющее особой опасности для меня. А внутри будет скрыт второй контейнер, в котором и будет весь сок. А еще хотите финт ушами? Например у меня работает некая система безопасности (собственная разработка, активно использующая TC), там момент принуждения учтен очень просто и еще продублирован. Во первых, если пароль к контейнеру два рада подряд вводится неправильно, контейнер уничтожается к ебеням собачьим и жукам майским. Во вторых, ключ к контейнеру хранится на удаленном сервере, доступ к которому можно получить только в связке с другим человеком и никак более, при соблюдении определенных условий о которых расследующая сторона никогда не узнает. И засовывайте хоть 2 паяльника в задницу, доступ к этому ключу получить даже мне будет абсолютно нереально. Кстати, эта же система продублирована и для безопасности других моментов, таких например, как щифрованных каналов связи Что скажете на это?

Ключевое слово здесь — иногда. Т.к. расследовать ВСЁ и по ВСЕМ направлениям, никаких ресурсов не напасешься. Поэтому приходим к выводу, что моя точка зрения является более корректной. Хотя я и не исключаю, возможность заранних оперативных действий

Во первых, «большие деньги» — понятие растяжимое. Во вторых, большие деньги будут очень сильно коррелировать с серьезностью расследуемого дела, и не всегда будут оправданы. В третьих, пока не будет пруфа (либо линк на сайты/телефоны таких организаций, либо конкретное указание технических мер, используемых для вскрытия криптоконтейнеров) я буду считать это полной чушью, а ваше утверждение несостоятельным, т.к. нет никаких доказательств обратного, но есть опыт, говорящий о том, что это смахивает на бред, иначе я бы наверно не сидел сейчас за компом наверно Тем более жду пруф, т.к. вы сами утверждаете, что «ничего сверхъествественного» и «все ответы лежат на поверхности». Вода все это.

С этим спорить на стану — не знаком. И кстати буду благодарен, если дадите возможность ознакомиться Но я знаком с принципами работы ОС, и прекрасно знаю базовые принципы работы руткитов, и прочего, что имеет склонность пролазить на машину без ведома пользователя. Проще говоря, я знаю дыры своей машины, и они закрыты. Это раз. Во вторых, т.к. есть zero-day уязвимости и всех дыр я знать не могу в принципе, то для работы используется оборудование, которое используется только для работы (простите за каламбур), и после отключения питания ОС сбрасывается в свое изначальное состояние, что сводит на нет шанс любого руткита, т.к. ОС грузится с носителя, запись на которой запрещена в принципе (технически невозможна). Для шибко умных руткитов, которые чисто гипотетически могут заработать и без релоада машины, есть не паблик проактивное обнаружение, направленное ТОЛЬКО на это, т.к. остальные дыры прикрыты. А если еще учесть, что вы не знаете, какая ОС используется (не веник это ), то становится совсем не просто. Я уже молчу о том, что опять же, инфа добытая с нарушениями — не катит. Ну да ладно, ждем ответа юриста. Иными словами, резюмируя, я еще раз повторяю — если человек баран, то ваш софт попадет к нему на машину, а если не баран, то увы, господа, идет ваша форензика в лес…

С уважением,
Обратная Сторона Медали

google://блокираторы записи

Все грамотные судебные компьютерные экспертизы проводятся с блокировкой записи - любые попытки перезаписать хоть один байт содержимого диска будут анально огораживаться (и, возможно, писаться в отдельный файл, чтобы потом суду можно было сказать - обвиняемый хотел путем наебалова уничтожить доказательства).
Сомневаюсь в том, что эти "условия" будут с точки зрения терморектального криптоанализа отличаться от паролей.
Терморектальный криптоанализ направлен либо на способ получения данных, либо на сами данные. Отрицаемое шифрование защищает последнее. То, что надо нажать F2, а затем Esc в процессе загрузки для запроса пароля не защищается ничем.
Практика показывает их полную неэффективность.
Иногда = для некоторых видов компьютерных преступлений.
http://nhtcu.ru/news.html
Ищите в тексте слово "PGP"
У меня и у моих коллег есть опыт, говорящий об обратном. Разумеется, кулхацкерам подобные вещи знать немного не положено (по понятным причинам). Рекомендую начать работать в области расследования компьютерных преступлений, вступить в международные ассоциации по борьбе с компьютерными престулпениями, почитать соответствующие закрытые интернет-ресурсы и посмотреть, изменится ли Ваше мнение.
Идеальных компьютерных преступлений история еще не знает (да и про саму концепцию идеального преступления рекомендую смотреть фильм "Убийства в Кембридже" - там дано условие, когда традиционное преступление может стать идеальным, и это отнюдь не пресловутая безопасность через усложнение [работа только с Live CD, регулярный ручной мониторинг MD5 всех секторов жесткого диска и т.п.])
Без средств доставки могу только дать одно название: Aperio.

Нет, Вы меня немного не поняли. Какая перезапись? Это НЕ виртуальный контейнер. Какая судебная экспертиза? Экспертиза чего? Физически уничтоженного носителя? Ну-ну, удачи Не уверен, что Вы сможете отсюда что то достать. На экспертизу Вам останется только это:


Разрушение контроллеров и микросхем памяти в flash носителях

google://АБС EF V 2.0

Эти условия специально созданы для обхода таких вот методов принудительного характера. Они бы никогда не были бы имплементированы, если бы не необходимость их 100% эффективности против таких вот противоправных действий правоохранительных органов. Даже паяльник не заставит вспомнить весь массив данных, который был записан на уничтоженном носителе… Тупиковый путь. F2, Esc — тут вообще не при чем. Другой вопрос в том, что пока Ваши клиенты врядли используют такое железо, т.к. уверен, что 99% тех кого Вы анализируете — детский сад, младшая группа. Я не по наслышке знаком с деятельностью отдела «К» в своем регионе, их профессионализм, с позволения сказать, вызывает лишь усмешку. А те лица, кому не безразлична собственная свобода, уверен, не пренебрегут такими возможностями современных технологий защиты информации

Если это выдрать из контекста — да, согласен. В комплексе с другими обозначенными методами, количество и качество головняка, у расследующей стороны, несомненно повысится.

Бла-бла-бла… Причем здесь PGP? В контексте нашей с Вами беседы, PGP никогда не упоминался. Ибо Циммерман слил бэкдор еще давно. Факт того, что софт уже не тот, каким был изначально известен всем и каждому. И в очередной раз использование этого софта так называемыми кардерами, сильно показывает их скилл))) Можно конкретный линк, либо конкретный номер телефона организации, способной вскрыть криптоконтейнер TC, являющий собой полностью зашифрованную флэшку, с условием, что ключа нет, и пароля тоже? Еще раз — если нет, считаем, что таких организаций/специалистов НЕТ.

Я — не хакер, и закон не нарушаю. Но, я с интересом слежу за подобным противостоянием добра и зла, в сфере высоких компьютерных технологий. Если Вы приведете мне в личку все необходимые адреса, я с радостью ознакомлюсь с представленной там информаций, изучу ее и выдам свое мнение, основанное на достаточно значительном опыте в данной области.

Фильм обязательно посмотрю. Но дело в том, что мы с Вами беседуем в контексте не полностью какого то отдельно взятого уголовного дела, а в контексте получения улик с отдельно взятой машины. Давайте и впредь будем придерживаться установленных беседой рамок, по крайней мере пока не прийдем к какому то результату в этой беседе. После этого, я Вас уверяю, мы сможем подискутировать и на тему идеальности преступления =)

Ну кто б сомневался, что «без средств доставки». Ибо уверен на 100% почти, что средством доставки является связка. Не думаю, что потратить $2K это так уж много, особенно если результатом будет работающий Aperio на машине подозреваемого Только кто ж об этом вслух то скажет. Уж не сотрудник правоохранительных органов точно.

Кстати про Aperio, гугл сходу внятного ничего не сказал. Но если это вот это :



То это просто смешно