Так… Уведомления на ветку почему то не пришли, давайте по пунктам…

Не торопись. Допустим (!), что есть некое заявление, на основании которого лицо, которое в чем то подозревается, что называется «приняли»… Изъяли все носители и все оборудование. Далее, если следовать стандартным формулировкам, вроде «не знаю», «не помню» и «баз адвоката говорить не буду», и не прогибаться под психологическое и, возможно, физическое давление — в этом случае вы с точки зрения полезности для правоохранитель органов нифига не ценны. Остается уповать лишь на доказательную базу, т.е. на те самые улики, которые удастся (?) найти на тех самых изъятых носителях и железе. И вот тут я повторяю свой вопрос — каким образом данные носители будут расшифрованы? По сути, т.к. никто так мне и не дал вменяемого ответа относительно аппаратно-программной части такого вот «вскрытия», то считаю, что остается лишь пресловутый паяльник. Но вы не забывайте одну интересную вещь — любые улики, полученные с нарушением действующего процессуального права (читай с нарушением УПК и исполнительного производства по делу) не могут считаться законными. Поэтому возвращаемся к исходной точке И потом, это что надо сделать, чтобы тебе засунули паяльник в задницу? Пентагон поломать, не иначе :-D

Провайдер, логи, железо… Сказки венского леса… Причем тут провайдер с его железом? Причем тут логи? Еще раз — есть шифрованный канал связи между точкой А (абонент) и точкой Б (сервер в Панаме). Канал шифрован 2048 битным ключом (OpenVPN), в идеале еще с Панамы идет еще куда то, и выходит допустим в Швеции Комплект софта, организующего такой канал связи, находится в зашифрованном крипто-контейнере, т.е. при выключении железа, контейнер отваливается и становится бесполезной железкой (в случае если это флэшка), либо файлом (если это файл). Ну будет в логах у провайдера, что такого то числа, в такое то время, начался шифрованный сеанс связи между абонентом провайдера и неким IP адресом, физически расположенным в Панаме. Дальше что? Что касается системы СОРМ-2, то это просто зеркалирование трафика на оборудование соответствующих служб. Еще раз подчеркиваю, я ни разу не встречал доказательств того, что такой канал связи либо зашифрованные носители информации могут быть вскрыты, либо в реалтайме расшифрованы. Не важно с помощью кого, или чего — оборудования спецслужб, либо силами провайдера. Единственное, что представляет тут опасность — это тайминги соединений, но извините, для этого надо очень плотно сотрудничать с ДЦ где стоит результирующий сервер, а это не так легко как кажется

Бессмыссленный вопрос по своей сути.

Анализирующий — да (СОРМ-2), расшифровывающие — нет. Я по крайней мере таких не встречал. Более того, из ЛИЧНОГО (!) опыта, могу сказать, что Ф** на поверку оказывается совершенно бессильна, при вскрытии криптоконтейнера TrueCrypt, находящегося на флэшке, с паролем длиной в 20 символов, и файлом-ключом, которого на машине нет

Нет. Кроме тех случаев, когда подозреваемого уже ведут. В таком случае, дополнительно «нарытое» просто плюсуется к тому, что уже было нарыто

Не понял Какой слив? Ты хочешь, чтобы сами сотрудники тебя предупредили, о том, что на тебя появилась заявка? Лучше этого не делать, и не соваться к ним, если не уверен в себе и в своих скиллах. Ибо если ты не спец, то запостановят и будешь работать с ними же, рука об руку, вылавливая своих же «братьев»

«Флаг в руки, барабан на шею, возглавят колонну идущих нах*й» © я Почему так — читайте выше.

Затем, что таких баранов, которые не способны контролировать процессы и подгружаемые библиотеки на собственной машине, а равно способные допустить присутствие на своей машине такого рода софта, можно будет пересчитать по пальцам одной руки (если смотреть на более менее вменяемых специалистов). А если учесть, что таких баранов будет крайне мало, то имеем, что вскрыть подобный контейнер, и получить доступ к тому, что потенциально может являться уликой, становится практически нереально Вот такой вот поворот, увы, Спилберг.

Короче, резюмирую:

1. Данные в шифрованном контейнере получить крайне сложно, а при грамотном использовании и поведении — нереально.

2. Данные передаваемые по каналам связи находящимся «под контролем», перехватить реально, но расшифровать (опять же при условии грамотности человека, использующего такой канал) нереально

Если кто то мне может доказать обратное — милости прошу в ПМ.

С уважением,
Вернон.

Повторю слова одного грамотного юриста, специалиста по расследованию компьютерных преступлений:
"Практически во всех странах не имеют силы доказательства, полученные с нарушением закона. А доказательства, полученные при помощи информации, которая получена с нарушением закона - имеют."
Да. Сбор оперативной информации иногда начинается ДО того, как "X" подаст заявление.
Пример - сети открытых прокси, коммерческие организации, расследующими компьютерные преступления.

Мне известны организации, которые за большие деньги извлекают нужную зашифрованную инфу. И, кстати, их методы тоже известны - ничего сверхестественного, просто некоторые ответы всегда лежат на поверхности, и даже гениальные криптографы их так сразу не видят.

Сразу видно, что Вы не знакомы с современными программами-policeware. Которые мало чем уступают современным руткитам и которые запихиваются на машины кулхацкеров отнюдь не отправкой на электронную почту.

С уважением, специалист по расследованию компьютерных преступлений. Контр-форензика
http://anti-forensics.livejournal.com/1556.html

Хм, интересная фраза. Уже отправил в мыло своим юристам. Интересно, что скажут. Если это так, то это, несомененно, угроза. И я прекрасно понимаю, к чему вы клоните. Засунуть паяльник в задницу — противозаконно. То есть полученный таким образом пароль (насилие, принуждение, незаконные методы), судом учитываться не будет. Но это и не надо, т.к. по вашему другая информация, т.е. улики, добытая при помощи этого пароля, будет считаться добытой законными путями. Фокус интересный, мне аж прямо не терпится узнать мнение юристов. Мне кажется, что цепь не рвется на паролем как таковом, и что все дальнейшее, также будет незаконным. Но я не юрист, и конечно же могу ошибаться. Поэтому жду комментария своего юриста, отпишу потом в ветке. Но тем не менее — для таких действий тоже есть свои противодействия. Например вложенные криптоконтейнеры. Да, я скажу пароль от первого, изобразив жестокое разочарование в своем поступке. Да, там будет что то, не представляющее особой опасности для меня. А внутри будет скрыт второй контейнер, в котором и будет весь сок. А еще хотите финт ушами? Например у меня работает некая система безопасности (собственная разработка, активно использующая TC), там момент принуждения учтен очень просто и еще продублирован. Во первых, если пароль к контейнеру два рада подряд вводится неправильно, контейнер уничтожается к ебеням собачьим и жукам майским. Во вторых, ключ к контейнеру хранится на удаленном сервере, доступ к которому можно получить только в связке с другим человеком и никак более, при соблюдении определенных условий о которых расследующая сторона никогда не узнает. И засовывайте хоть 2 паяльника в задницу, доступ к этому ключу получить даже мне будет абсолютно нереально. Кстати, эта же система продублирована и для безопасности других моментов, таких например, как щифрованных каналов связи Что скажете на это?

Ключевое слово здесь — иногда. Т.к. расследовать ВСЁ и по ВСЕМ направлениям, никаких ресурсов не напасешься. Поэтому приходим к выводу, что моя точка зрения является более корректной. Хотя я и не исключаю, возможность заранних оперативных действий

Во первых, «большие деньги» — понятие растяжимое. Во вторых, большие деньги будут очень сильно коррелировать с серьезностью расследуемого дела, и не всегда будут оправданы. В третьих, пока не будет пруфа (либо линк на сайты/телефоны таких организаций, либо конкретное указание технических мер, используемых для вскрытия криптоконтейнеров) я буду считать это полной чушью, а ваше утверждение несостоятельным, т.к. нет никаких доказательств обратного, но есть опыт, говорящий о том, что это смахивает на бред, иначе я бы наверно не сидел сейчас за компом наверно Тем более жду пруф, т.к. вы сами утверждаете, что «ничего сверхъествественного» и «все ответы лежат на поверхности». Вода все это.

С этим спорить на стану — не знаком. И кстати буду благодарен, если дадите возможность ознакомиться Но я знаком с принципами работы ОС, и прекрасно знаю базовые принципы работы руткитов, и прочего, что имеет склонность пролазить на машину без ведома пользователя. Проще говоря, я знаю дыры своей машины, и они закрыты. Это раз. Во вторых, т.к. есть zero-day уязвимости и всех дыр я знать не могу в принципе, то для работы используется оборудование, которое используется только для работы (простите за каламбур), и после отключения питания ОС сбрасывается в свое изначальное состояние, что сводит на нет шанс любого руткита, т.к. ОС грузится с носителя, запись на которой запрещена в принципе (технически невозможна). Для шибко умных руткитов, которые чисто гипотетически могут заработать и без релоада машины, есть не паблик проактивное обнаружение, направленное ТОЛЬКО на это, т.к. остальные дыры прикрыты. А если еще учесть, что вы не знаете, какая ОС используется (не веник это ), то становится совсем не просто. Я уже молчу о том, что опять же, инфа добытая с нарушениями — не катит. Ну да ладно, ждем ответа юриста. Иными словами, резюмируя, я еще раз повторяю — если человек баран, то ваш софт попадет к нему на машину, а если не баран, то увы, господа, идет ваша форензика в лес…

С уважением,
Обратная Сторона Медали

google://блокираторы записи

Все грамотные судебные компьютерные экспертизы проводятся с блокировкой записи - любые попытки перезаписать хоть один байт содержимого диска будут анально огораживаться (и, возможно, писаться в отдельный файл, чтобы потом суду можно было сказать - обвиняемый хотел путем наебалова уничтожить доказательства).
Сомневаюсь в том, что эти "условия" будут с точки зрения терморектального криптоанализа отличаться от паролей.
Терморектальный криптоанализ направлен либо на способ получения данных, либо на сами данные. Отрицаемое шифрование защищает последнее. То, что надо нажать F2, а затем Esc в процессе загрузки для запроса пароля не защищается ничем.
Практика показывает их полную неэффективность.
Иногда = для некоторых видов компьютерных преступлений.
http://nhtcu.ru/news.html
Ищите в тексте слово "PGP"
У меня и у моих коллег есть опыт, говорящий об обратном. Разумеется, кулхацкерам подобные вещи знать немного не положено (по понятным причинам). Рекомендую начать работать в области расследования компьютерных преступлений, вступить в международные ассоциации по борьбе с компьютерными престулпениями, почитать соответствующие закрытые интернет-ресурсы и посмотреть, изменится ли Ваше мнение.
Идеальных компьютерных преступлений история еще не знает (да и про саму концепцию идеального преступления рекомендую смотреть фильм "Убийства в Кембридже" - там дано условие, когда традиционное преступление может стать идеальным, и это отнюдь не пресловутая безопасность через усложнение [работа только с Live CD, регулярный ручной мониторинг MD5 всех секторов жесткого диска и т.п.])
Без средств доставки могу только дать одно название: Aperio.

Нет, Вы меня немного не поняли. Какая перезапись? Это НЕ виртуальный контейнер. Какая судебная экспертиза? Экспертиза чего? Физически уничтоженного носителя? Ну-ну, удачи Не уверен, что Вы сможете отсюда что то достать. На экспертизу Вам останется только это:


Разрушение контроллеров и микросхем памяти в flash носителях

google://АБС EF V 2.0

Эти условия специально созданы для обхода таких вот методов принудительного характера. Они бы никогда не были бы имплементированы, если бы не необходимость их 100% эффективности против таких вот противоправных действий правоохранительных органов. Даже паяльник не заставит вспомнить весь массив данных, который был записан на уничтоженном носителе… Тупиковый путь. F2, Esc — тут вообще не при чем. Другой вопрос в том, что пока Ваши клиенты врядли используют такое железо, т.к. уверен, что 99% тех кого Вы анализируете — детский сад, младшая группа. Я не по наслышке знаком с деятельностью отдела «К» в своем регионе, их профессионализм, с позволения сказать, вызывает лишь усмешку. А те лица, кому не безразлична собственная свобода, уверен, не пренебрегут такими возможностями современных технологий защиты информации

Если это выдрать из контекста — да, согласен. В комплексе с другими обозначенными методами, количество и качество головняка, у расследующей стороны, несомненно повысится.

Бла-бла-бла… Причем здесь PGP? В контексте нашей с Вами беседы, PGP никогда не упоминался. Ибо Циммерман слил бэкдор еще давно. Факт того, что софт уже не тот, каким был изначально известен всем и каждому. И в очередной раз использование этого софта так называемыми кардерами, сильно показывает их скилл))) Можно конкретный линк, либо конкретный номер телефона организации, способной вскрыть криптоконтейнер TC, являющий собой полностью зашифрованную флэшку, с условием, что ключа нет, и пароля тоже? Еще раз — если нет, считаем, что таких организаций/специалистов НЕТ.

Я — не хакер, и закон не нарушаю. Но, я с интересом слежу за подобным противостоянием добра и зла, в сфере высоких компьютерных технологий. Если Вы приведете мне в личку все необходимые адреса, я с радостью ознакомлюсь с представленной там информаций, изучу ее и выдам свое мнение, основанное на достаточно значительном опыте в данной области.

Фильм обязательно посмотрю. Но дело в том, что мы с Вами беседуем в контексте не полностью какого то отдельно взятого уголовного дела, а в контексте получения улик с отдельно взятой машины. Давайте и впредь будем придерживаться установленных беседой рамок, по крайней мере пока не прийдем к какому то результату в этой беседе. После этого, я Вас уверяю, мы сможем подискутировать и на тему идеальности преступления =)

Ну кто б сомневался, что «без средств доставки». Ибо уверен на 100% почти, что средством доставки является связка. Не думаю, что потратить $2K это так уж много, особенно если результатом будет работающий Aperio на машине подозреваемого Только кто ж об этом вслух то скажет. Уж не сотрудник правоохранительных органов точно.

Кстати про Aperio, гугл сходу внятного ничего не сказал. Но если это вот это :



То это просто смешно

На какой стадии хотите противодействовать? Следственные действия? Экспертиза? Или, может быть, в зале суда?

Фраза про ввод пароля 2 раза неправильно дает логичное предположение о том, что речь идет об экспертизе (или криптоанализе в присутствии эксперта/специалиста). А любые фразы об эффективности подобных логических бомб - либо заблуждение, либо state-of-art исследования о противодействии криминалистической экспертизе, которые проводят по светлые стороны баррикад.

Противодействие терморектальному криптоанализу возможно либо за счет введения в модель угроз ложных данных (например, отрицаемое шифрование), либо вводом в модель угроз ошибок криптоаналитика (в некоторых криптопродуктах есть пароль под принуждением, который уничтожает криптоключ, т.е. потом паяльником можно махать только для того, чтобы человек вспомнил данные, а не пароль для доступа к ним).
Т.е. математически корректные методы противодействия паяльнику не включают в себя противодействие тому, что криптоаналитик узнает способ получения доступа к данным (к примеру, TC не скрывает своего присутствия на компьютере, а их модель отрицаемого шифрования не предполагает невыдачу каких-либо паролей - пароли выдаются, но немного не те).

Ссылку уже дал - звоните им. Также могу попиарить собственную контору, но, думаю, тест-драйв хека трукрипт вы не получите, ибо "с улицы".

Начните с http://www.htcia.org/
Нет. И если будете искать еще лучше, то запомните - CERT (с ПО с аналогичным названием) тоже никак не связан.

Есть халтурщики-палочники, а есть и реальные специалисты. При этом борьбу с преступлениями ведут не только они, но и коммерческие организации (типа Группы ИБ). В первом случае для защиты данных будет достаточно поставить пароль на вход в Windows. Во втором и контейнеры TrueCrypt со сложными паролями спасти не смогут (хотя, безусловно, создать более-менее идеальную защиту можно, но я даже рекомендации по ее созданию не видел - все существующие мануалы написаны без учета реальных технических методов борьбы с крипто и стего).


http://kommentarii.ru/comment.php?f=3&t=573&p=15489

Вполне уместный вопрос, я и сам начал ощущать, что мы беседуем несколько в разных плоскостях. Уточню — есть уголовное дело, в рамках производства которого есть необходимость добыть некие улики (допустим файлы), которые будут рассмотрены судом, и с большой степенью вероятности будут им учтены как доказывающие вину подозреваемого в преступлении, которое ему вменяется. Это раз. Далее, есть лицо, или лица, которые расследуют дело, либо являются экспертами, т.е. в компетенции которых находится непосредственно оборудование, знания/умения/навыки и т.д., а также правовые основания для выполнения конкретных действий по нахождению тех самых улик на машине/другом оборудовании, конфискованном у подозреваемого. Это два. Далее вариантов два. Если подозреваемый успел активировать функцию уничтожения АБС, то исследовать будет уже нечего и паяльник в данном случае не поможет, т.к. даже если он и скажет что то под принуждением, то это будет квалифицировано судом как незаконно полученные док-ва. Если же не успел, то в Ваше распоряжение попадает работоспособный носитель, который по совместительству, является криптоконтейнером (несет на борту зашифрованную FS). И тут все зависит от того, насколько Вы халтурщики-палочники или реальные специалисты, как Вы сами красноречиво заметили. Вопрос лишь в том, что пока на данный момент времени у меня нет ни единого обснованного подтверждения о том, что тот же TrueCrypt может быть скомпрометирован (речь идет о вскрытии контейнера без пароля и ключа, про паяльник не говорим). И вот это самое подтверждение я и хочу получить. Я конечно, горд за свою страну, что в ней есть специалисты, которые изобрели некий хек для ТС-контейнеров и не хотят по понятным причинам его отдавать "на тест драйв" человеку с улицы, но при этом мне это кажется попыткой самопиара, в противном случае почему весь остальной мир об этом не в курсе, с учетом того, что софт является достаточно популярным?

Спасибо большое, с радостью ознакомлюсь, интересно.

Хорошо, буду искать еще лучше. Хотя и не совсем понимаю, что ж вы свой софт так скрываете то… Прям тайна какая то нереальная =) В целом, по поводу создания более менее идеальной защиты могу сказать вот что — если рассматривать надежность какого то отдельно взятого метода от 0% до 100%, то понятно, что 100% не даст ни один метод. Но не стоит забывать о дублировании, о том, что методы могут "перекрывать" друг друга, давая в итоге гораздо больше тех самых 100%. И сюда включены угрозы физического воздействия на подозреваемого. Так что даже если ему два паяльника в задницу засунуть — раскрытию дела это не поможет. При этом, я открыто говорю о методах, принципах AF, т.е. противодействия. И единственное, что я скрыл, это возможности собственного софта, работающего в связке с ТС, и обеспечивающего тот функционал, которого ТС лишен. А вот Вы, уважаемый, темните слегка

В любом случае, большое Вам спасибо за дискуссию
Продолжим?

UPDATE:

Вода. Нет конкретики. Данный текст следует понимать так: эксперты Центра разработали софт, который позволяет оперативным сотрудникам отдела "К" (квалификацию которых мы знаем))) нажать две кнопки и на экране высветится вся потенциально интересная инфа, которую горе-хакер забыл потереть. Еще раз подчеркиваю, что такой софт не способен вскрыть при обозначенных мною условиях тот же ТС. Иначе об этом бы уже орали везде и на каждом углу.

Знаете, сколько компаний в РФ (т.н. негосударственных экспертных учреждений) готово сделать экспертизу, связанную с использованием криптоконтейнеров (не формально, т.е. без НПВ [не представляется возможным] по всем вопросам)? Или оказывать консультации по расследованиям дел, связанных с использованием стойкого крипто (включая участие специалиста в следственных действиях)? Боюсь, половины пальцев одной руки для их перечисления хватит. Именно половины, т.к. по одной организации у меня инфы очень мало.

Это одно из направлений исследований проекта, ссылку на который я попиарил выше (это был единственный случай пиара в этой теме ). Если точнее, исследуется противодействие противодействию.

Можете еще это поглядеть:
http://guidancesoftware.ru/_docs/FIM.pdf

Цитата с английской версии сайта:
Вообще, компьютерная криминалистика в некоторой степени похожа на иллюзионизм - все знают, что езда на автомобиле с закрытыми глазами - фокус, но лишь единицы знают секрет подобной езды без "надувательства" вроде GPS и наушника в ухе.

Пока лично я в Интернет не читал ни одного заявления бывшего подозреваемого, который в подробностях описывал процесс получения у него паролей правоохранительными органами. Может быть потому что подозреваемый уже находится в местах не столь отдаленных, а получить доступ в Интернет там, мягко говоря, проблематично. А может быть ему запретили об этом рассказывать под давлением. В любом случае, пока вы лично не находились под воздействием милиции или других организаций, вы никогда не узнаете какими способами можно получить пароль и никто вам этого не скажет. Каналов утечки данных может быть огромное число. В Интернет на общий доступ представлены системы, противодействующие снятию звуковой информации путем вибраций оконных стекол, создающие электромагнитный "шум", препятствующий отправке информации по скрытому радиоканалу и т.д. Ознакомиться с ценой на эти системы может любой. И если такие системы есть, значит существуют системы, регистрирующие подобную информацию. Пароль на криптоконтейнер - это всего лишь текстовая строка. Что касается программ скрытого наблюдения, фиксирующие активность пользователей - если спросите мое мнение, я думаю что самым безопасным способом было бы загружать их сразу после включения сетевого соединения по локальной сети, реализовать их на уровне обновлений для операционных систем, антивирусов и т.д. Самая надежная система - это система, не предусматривающая сетевое соединение с другими компьютерами.