Вполне уместный вопрос, я и сам начал ощущать, что мы беседуем несколько в разных плоскостях. Уточню — есть уголовное дело, в рамках производства которого есть необходимость добыть некие улики (допустим файлы), которые будут рассмотрены судом, и с большой степенью вероятности будут им учтены как доказывающие вину подозреваемого в преступлении, которое ему вменяется. Это раз. Далее, есть лицо, или лица, которые расследуют дело, либо являются экспертами, т.е. в компетенции которых находится непосредственно оборудование, знания/умения/навыки и т.д., а также правовые основания для выполнения конкретных действий по нахождению тех самых улик на машине/другом оборудовании, конфискованном у подозреваемого. Это два. Далее вариантов два. Если подозреваемый успел активировать функцию уничтожения АБС, то исследовать будет уже нечего и паяльник в данном случае не поможет, т.к. даже если он и скажет что то под принуждением, то это будет квалифицировано судом как незаконно полученные док-ва. Если же не успел, то в Ваше распоряжение попадает работоспособный носитель, который по совместительству, является криптоконтейнером (несет на борту зашифрованную FS). И тут все зависит от того, насколько Вы халтурщики-палочники или реальные специалисты, как Вы сами красноречиво заметили. Вопрос лишь в том, что пока на данный момент времени у меня нет ни единого обснованного подтверждения о том, что тот же TrueCrypt может быть скомпрометирован (речь идет о вскрытии контейнера без пароля и ключа, про паяльник не говорим). И вот это самое подтверждение я и хочу получить. Я конечно, горд за свою страну, что в ней есть специалисты, которые изобрели некий хек для ТС-контейнеров и не хотят по понятным причинам его отдавать "на тест драйв" человеку с улицы, но при этом мне это кажется попыткой самопиара, в противном случае почему весь остальной мир об этом не в курсе, с учетом того, что софт является достаточно популярным?

Спасибо большое, с радостью ознакомлюсь, интересно.

Хорошо, буду искать еще лучше. Хотя и не совсем понимаю, что ж вы свой софт так скрываете то… Прям тайна какая то нереальная =) В целом, по поводу создания более менее идеальной защиты могу сказать вот что — если рассматривать надежность какого то отдельно взятого метода от 0% до 100%, то понятно, что 100% не даст ни один метод. Но не стоит забывать о дублировании, о том, что методы могут "перекрывать" друг друга, давая в итоге гораздо больше тех самых 100%. И сюда включены угрозы физического воздействия на подозреваемого. Так что даже если ему два паяльника в задницу засунуть — раскрытию дела это не поможет. При этом, я открыто говорю о методах, принципах AF, т.е. противодействия. И единственное, что я скрыл, это возможности собственного софта, работающего в связке с ТС, и обеспечивающего тот функционал, которого ТС лишен. А вот Вы, уважаемый, темните слегка

В любом случае, большое Вам спасибо за дискуссию
Продолжим?

UPDATE:

Вода. Нет конкретики. Данный текст следует понимать так: эксперты Центра разработали софт, который позволяет оперативным сотрудникам отдела "К" (квалификацию которых мы знаем))) нажать две кнопки и на экране высветится вся потенциально интересная инфа, которую горе-хакер забыл потереть. Еще раз подчеркиваю, что такой софт не способен вскрыть при обозначенных мною условиях тот же ТС. Иначе об этом бы уже орали везде и на каждом углу.

Знаете, сколько компаний в РФ (т.н. негосударственных экспертных учреждений) готово сделать экспертизу, связанную с использованием криптоконтейнеров (не формально, т.е. без НПВ [не представляется возможным] по всем вопросам)? Или оказывать консультации по расследованиям дел, связанных с использованием стойкого крипто (включая участие специалиста в следственных действиях)? Боюсь, половины пальцев одной руки для их перечисления хватит. Именно половины, т.к. по одной организации у меня инфы очень мало.

Это одно из направлений исследований проекта, ссылку на который я попиарил выше (это был единственный случай пиара в этой теме ). Если точнее, исследуется противодействие противодействию.

Можете еще это поглядеть:
http://guidancesoftware.ru/_docs/FIM.pdf

Цитата с английской версии сайта:
Вообще, компьютерная криминалистика в некоторой степени похожа на иллюзионизм - все знают, что езда на автомобиле с закрытыми глазами - фокус, но лишь единицы знают секрет подобной езды без "надувательства" вроде GPS и наушника в ухе.

Пока лично я в Интернет не читал ни одного заявления бывшего подозреваемого, который в подробностях описывал процесс получения у него паролей правоохранительными органами. Может быть потому что подозреваемый уже находится в местах не столь отдаленных, а получить доступ в Интернет там, мягко говоря, проблематично. А может быть ему запретили об этом рассказывать под давлением. В любом случае, пока вы лично не находились под воздействием милиции или других организаций, вы никогда не узнаете какими способами можно получить пароль и никто вам этого не скажет. Каналов утечки данных может быть огромное число. В Интернет на общий доступ представлены системы, противодействующие снятию звуковой информации путем вибраций оконных стекол, создающие электромагнитный "шум", препятствующий отправке информации по скрытому радиоканалу и т.д. Ознакомиться с ценой на эти системы может любой. И если такие системы есть, значит существуют системы, регистрирующие подобную информацию. Пароль на криптоконтейнер - это всего лишь текстовая строка. Что касается программ скрытого наблюдения, фиксирующие активность пользователей - если спросите мое мнение, я думаю что самым безопасным способом было бы загружать их сразу после включения сетевого соединения по локальной сети, реализовать их на уровне обновлений для операционных систем, антивирусов и т.д. Самая надежная система - это система, не предусматривающая сетевое соединение с другими компьютерами.

В «Группу ИБ» задачу отписал, посмотрим, что ответят. Думаю, что врядли смогут что либо сделать, и на один палец станет меньше. Включение же спеца в следственные действия не суть важно, при выполнении условия того, что на изъятой машине не было обнаружено ничего, а гипотетически искомые улики находятся на отдельном целом (!) железном крипто-контейнере. Ждем ответа от них.

Нет, это все понятно… «противодействие противодействию» и т.д. Суть не в этом. Я еще раз Вам повторяю — есть противостояние сторон, вид сверху, в общем. В таком случае да, и та и другая сторона может наделать ошибок, результирующих как победа/поражение. Но (!) мы беседуем не в рамках всего противостояния, а в рамках условной вероятности того, что иных вариантов нет, и следствие уперлось только в наличие шифрованного железа, на котором есть нечто, могущее его (следствие) заинтересовать… Вот от этого давайте плясать. Хотя, чисто гипотетически, я не исключаю вероятность того, что пароль и место нахождения файла-ключа для этого контейнера будет записано на бумажке, которая лежит сразу справа после мышки Но пляшем от тех условий, что я обозначил… Иначе мы просто будем тут еще месяц спорить, если будем принимать во внимание все модели всех угроз для каждой стороны.

Поглядел… Я ранее сталкивался с EnCase Forensic более ранних версий, рад, что этот софт подрос до более интересного уровня… Но тем не менее — в контексте решаемой задачи он полностью бесполезен. Ибо при вычислении хакера он не поможет, а в случае попадания железа, которым пользовался хакер Вам в руки, не поможет тем более (читаем выше, и мыслим в рамках поставленной задачи). Понятно, что я склонен немного идеализировать, но смысл в том, что чем серьезнее человек являющийся Вашим противником, и чем серьезнее дела, которыми он занимается, тем, я уверен, больше внимания он уделит вопросам обеспечения собственной безопасности.

Для младшего поколения — да, но не для тех, с кем Интернет родился и вырос. По крайней мере не для всех.

Зайдите ко мне в профиль, там в истории выставления оценок увидите тему про мой личный опыт, почитайте. Там есть и «эксперт», и то, как они пароли находили, и все остальное…

Бред

Я лично находился под воздействием милиции. Но, во первых это было давно, и тогда модели угроз в мою сторону были несколько иные, чем сейчас. Во вторых, список моделей угроз с тех пор вырос довольно значительно, но однако данный факт никак не мешает все их принять во внимание и противопоставить им свои контр-меры.

В контексте обсуждаемой модели (т.е. шифрованного канала связи), угрозу могут предоставлять только каналы утечки данных из ОС в обход шифрованного туннеля. Однако, они все известны, легко закрываются и в принципе, никакой угрозы не предоставляют (для тех, кто о них знает). По поводу лазерных микрофонов, снимающих звук с окон — это к чему вообще? Для этого, стороне противника надо знать, где находится хакер, а если он не осел, то этим микрофоном они будут слушать кого угодно, но не его. Тем более, если они будут знать, где он, то его скорее примут, чем будут слушать. Ведь в руках у них есть EnCase FIM, круто да? Если интересна модель защиты, которая идет в плюс к VPN — пишите в ПМ, расскажу

Дааа, батенька, вот вы даете… Если б это было так, то отдел «К» вместе с УФСБ наверно вскрыли бы мой тогдашний криптоконтейнер, нашли бы в нем компрометирующие меня материалы, и отправили бы дело на доследование, в связи с тем, что экспертиза выявила новые улики. Хрен там. Не вышло. Не все так просто, поверьте мне. И напоследок — почитайте про криптосистемы с открытым ключом, здесь.

Как вы себе представляете то, что я выделил жирным в Вашей цитате? Я — никак. Производители ОС и антивирусов никогда на это не пойдут, потому что активность подобного приложения вычисляется и это будет epic fail для такого вендора.

Если рассматривать модель угроз со стороны сети — то да, надежна. Против всего остального она будет так же уязвима.

Прочитал вашу статью, заинтересовало. Отправил вам личное сообщение по этой теме.

Например так: высокопоставленные люди получают исходный код Windows, определяются условия, при которых возможна удаленная загрузка информации при подключении к локальной сети оператора связи, под эти нужды затачивается клиент-сервер система. Мы получаем обновления от антивирусных компаний в закрытом режиме, обновления имеют закрытые коды и мы не знаем что может впихнуть нам Kaspersky или ESET точно также, как не знаем что именно в дополнении к официальным обновлениям мы получаем при обновлении Windows. Я лично не доверяю ни одному из российских антивирусных продуктов, т.к. полагаю (и это лично мое мнение, не более того) - что производители антивирусов и вирусов косвенно имеют общие задачи. И естественно шпионящий софт, отсылающий информацию нужным людям, не должен детектироваться ни одним из антивирусов, а это возможно только при условии что шпионящий софт работает на уровне BIOS или на уровне ядра ОС.

Я Вам ответил в ПМ, но впредь прошу писать мне на электронку — mail at vernoncody dot ru.

Скажу так — Майкрософт никому из высокопоставленных людей во первых не отдаст исходники, никогда и ни при каких условиях. Это раз. Во вторых, это какие должны быть люди, чтобы им дали эти исходники, не верю в это, это два. В третьих, это кем должен быть хакер, и что он должен сделать, чтобы им такие люди заинтересовались. Это три. В четвертых, что касается антивирей — я думаю, что конкуренты реверсят софт друг друга по любому. И если бы, не дай бог, выяснилось, что у кого то что то куда то отсылается не дай бог или воруется, то это все, хана такому вендору, как я уже писал. До кучи, все четыре пункта доказывают полную несостоятельность этой теории. Поэтому даже обсуждать наверно не стоит.

Вопрос к ettee, это как раз связано с его работой. После прочтения этой статьи многим людям захотелось перейти на ОС с открытым исходным кодом и никогда не использовать антивирусы. И дело даже не в том качают они что-то или нет - дело в принципе, когда против них настроены: 1) правоохранительные органы 2) интернет-провайдеры 3) производители антивирусов, может вообще стоит подумать о том пользоваться Интернетом дальше или нет. Там сказано, что милиция хотела бы применять тюремное заключение к пользователям торрентов также, как его применяют к убийцам и насильникам. Не перегиб ли это, с лично вашей точки зрения?

Во первых — это оффтопик. Во вторых — на дату статьи посмотрите.

Параноидальный бред. Любая ОС уязвима, в той или иной степени. Пока MacOS была не сильно распространена, она была более менее безопасной, Вы наверно помните, как был слоган, что мол «вирусов под эту ОС нет, бла-бла-бла»… А теперь что? Уже все, поезд ушел. Открытый исходный код ≠ защищенность. Отсутствие антивируса тем более ее не гарантирует.

Мир всегда был, есть и будет враждебным. И прыгать с ОС на ОС из-за этого — глупо

P.S. ettee, жду ответа в личку.

http://www.microsoft.com/resources/sharedsource/gsp.mspx

Большинство реальных преступников до сих пор на свободе, а ловят лишь студентов, устанавливающих пиратские виндовсы. Не нужно смотреть на ситуацию однобоко.
Стоить отметить что на данный момент в сети достаточно много материала по данному вопросу, в том числе и дискуссий.