Форум ''Интернет и Право''
09 Ноября 2024, 10:18:59 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 ... 7 8 [9] 10 11 ... 20   Вниз
  Печать  
Автор Тема: Шифрование диска, поможет ли?  (Прочитано 163333 раз)
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #80 : 08 Августа 2009, 17:46:17 »

И приведут к осуждению по ст.273 не только в случае невозможности расшифровать содержимое диска, но даже в том случае, если у обвиняемого вообще компьютера не нашли.
В контексте ботнетов: вспомните дело балаковских хакеров. Доказательством виновности одного из них являлся... винтик от компьютера, найденный в ходе обыска.
« Последнее редактирование: 08 Августа 2009, 17:47:44 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
grimaz
Посетитель
*
Офлайн Офлайн

Сообщений: 1


С любовью к ближнему


« Ответ #81 : 18 Августа 2009, 14:13:38 »

Господа эксперты, прочитав всю тему я так и не понял как вы собираетесь добывать или восстанавливать информацию с полностью криптованных дисков?
Типовой случай:
TrueCrypt 6.1a (AES), пароль ~20 символов (буквы, цифры, знаки), зашифрован весь диск (Encrypt System Partition/Drive).

Кроме показания свидетелей есть какие-нибудь пути?
Записан
Антон Серго
Администратор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7029


Юридическая фирма "Интернет и Право"


WWW E-mail
« Ответ #82 : 18 Августа 2009, 20:38:50 »

Господа эксперты, прочитав всю тему я так и не понял как вы собираетесь добывать или восстанавливать информацию с полностью криптованных дисков?
Вы удивитесь, но в половине случаев это не требуется/делается для привлечения к ответственности.
Порой достаточно косвенных улик, что ТАМ есть нечто противозаконное...
Записан
Николай Николаевич Федотов
Ведущий
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #83 : 20 Августа 2009, 08:56:49 »

Вы удивитесь, но в половине случаев это не требуется/делается для привлечения к ответственности.
В остальных случаях подозреваемый сам называет пароль.

Ну и всегда остаётся козырный туз в виде статьи 273 УК. Отсутствие у работников милиции ума либо чести либо совести легко превращает ваш TrueCrypt во вредоносную программу. Она приводит к блокированию информации? Приводит. Это блокирование санкционировано господами в серых погонах? Нет. Значит, оно несанкционированное. Вуаля!
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #84 : 20 Августа 2009, 16:23:49 »

Вы удивитесь, но в половине случаев это не требуется/делается для привлечения к ответственности.
В остальных случаях подозреваемый сам называет пароль.

Ну и всегда остаётся козырный туз в виде статьи 273 УК. Отсутствие у работников милиции ума либо чести либо совести легко превращает ваш TrueCrypt во вредоносную программу. Она приводит к блокированию информации? Приводит. Это блокирование санкционировано господами в серых погонах? Нет. Значит, оно несанкционированное. Вуаля!

Хорошо, ну а если исключить из этой Вашей логической цепочки начальное звено - наличие TrueCrypt`а (точнее, всякую возможность его обнаружения) Непонимающий

Один вариант - системный раздел не шифруется, чувствительная инфа располагается в криптоконтейнере (со скромным именем... ну, например, "videocapture.dat") или на крипторазделе (в дискменеджере виден как Unknown partition, может быть объявлен старым разделом от линуха или просто сбойнувшим и до сих пор не восстановленным).
В отличие от PGP, Трукриптовские контейнеры и разделы не имеют явной сигнатуры, т.ч. "подсказать" о том, что "здесь был Вася"... т.е., Truecrypt, не смогут.

Truecrypt будет использоваться с загрузочной флешки BartPE в traveler-mode (см.FAQ по Truecrypt) и в основной системе нет никаких следов его установки и использования. Флешка (например microSD - величиной с ноготь мизинца) может быть спрятана где угодна или уничтожена лёгким движением пальцев.
//В принципе, можно и не грузиться с флешки, а только запускать с неё traveler-инсталляцию Truecrypt, но тогда нужно заранее подготовить Вашу систему - переназначить пути TEMP/TMP-каталогов на RAM-диск и отключить pagefile.//
 
Другой вариант -  в компе два харда, на первом стоИт... ну, например, лицензионная Винда (а ещё лучше - линух) с кошерным набором программ (free); на втором - наша рабочая ОС с инфой, подлежащей сокрытию. Truecrypt ставится на рабочую ОС на второй диск и шифрует его ВЕСЬ. Тогда "снаружи" ни сам Truecrypt, ни другое содержимое второго харда не видно (диск может быть объявлен просто запасным на случай "когда/если не будет хватать места на первом харде - см. вар.1). По умолчанию в БИОСе компьютера стоит загрузка с первого харда (кошерной системы), для обычной работы с Вашими секретными данными при старте компьютера нужно вручную выбрать загрузку со второго харда и ввести пароль на PBA. Ручной выбор загрузочного носителя не влияет на предустановку в БИОС, поэтому после изъятия компа первое же включение опять пойдёт с "мирного" первого харда...

В свете вышеизложенного наш Truecrypt никоим образом не попадает на глаза "серым", соответственно, инкриминировать Вам его применение им будет проблематично...
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
bormant
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 65



« Ответ #85 : 20 Августа 2009, 18:28:36 »

Хорошо, ну а если исключить из этой Вашей логической цепочки начальное звено - наличие TrueCrypt`а (точнее, всякую возможность его обнаружения) Непонимающий
...
для обычной работы с Вашими секретными данными при старте компьютера нужно вручную выбрать загрузку со второго харда и ввести пароль на PBA.
"Ввести пароль на PBA" свидетельствует о наличии в MBR/boot блоке загрузочного раздела второго харда специфичного загрузчика. С технической точки зрения прочитать загрузочную запись не составит никакого труда. Стоит ли сильно надеяться на его неуникальность и невозможность по нему идентифицировать наличие TC?
Думаю, второй вариант противоречит начальной посылке.
« Последнее редактирование: 20 Августа 2009, 18:30:27 от bormant » Записан
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #86 : 20 Августа 2009, 19:41:34 »

2 bormant
Действительно, Вы правы.
Если уж не уповать на то, что враги не расковыряют MBR второго харда для опознания, а делать всё по-правильному, тогда нужно во вторую схему внести дополнение из первой: MBR второго харда затереть, а начальный этап загрузки (стадию PBA) осуществлять с бутовой resque-флешки, на которую и будет располагаться загрузчик Truecrypt.
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #87 : 20 Августа 2009, 20:33:57 »

Цитировать
Один вариант - системный раздел не шифруется, чувствительная инфа располагается в криптоконтейнере (со скромным именем... ну, например, "videocapture.dat") или на крипторазделе (в дискменеджере виден как Unknown partition, может быть объявлен старым разделом от линуха или просто сбойнувшим и до сих пор не восстановленным).
В отличие от PGP, Трукриптовские контейнеры и разделы не имеют явной сигнатуры, т.ч. "подсказать" о том, что "здесь был Вася"... т.е., Truecrypt, не смогут.

Стоп. Следы запуска и работы с TC есть? Есть. Признаки того, что "videocapture.dat" является контейнером TC есть (энтропия данных, определенный размер контейнера и еще ряд признаков из данных ФС)? Есть. Про отрицание наличия криптораздела вы, конечно, смешно сказали. Определить то, что какой-либо файл или раздел содержит в себе зашифрованные данные, а не (псевдо)случайные, легко. Сложность составляет связать эти данные с определенной криптопрограммой. Вот тут и надо говорить "браво, Майкрософт!", т.к. всему вашему криптосообществу оно и тут свинью подложило.

Цитировать
//В принципе, можно и не грузиться с флешки, а только запускать с неё traveler-инсталляцию Truecrypt, но тогда нужно заранее подготовить Вашу систему - переназначить пути TEMP/TMP-каталогов на RAM-диск и отключить pagefile.//

Ага, и останется еще десяток других каналов утечек данных. Хватит вводить людей в заблуждение (в крайнем случае ставьте "ИМХО").

Цитировать
В свете вышеизложенного наш Truecrypt никоим образом не попадает на глаза "серым", соответственно, инкриминировать Вам его применение им будет проблематично...

В принципе, данную точку зрения вам стоит описать на pgpru. Ибо распространение невежества такого рода среди потенциальных преступников есть хорошо, ИМХО Улыбающийся
« Последнее редактирование: 20 Августа 2009, 20:51:48 от eleron » Записан
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #88 : 21 Августа 2009, 00:35:51 »

Цитировать
Один вариант - системный раздел не шифруется, чувствительная инфа располагается в криптоконтейнере (со скромным именем... ну, например, "videocapture.dat") или на крипторазделе (в дискменеджере виден как Unknown partition, может быть объявлен старым разделом от линуха или просто сбойнувшим и до сих пор не восстановленным).
В отличие от PGP, Трукриптовские контейнеры и разделы не имеют явной сигнатуры, т.ч. "подсказать" о том, что "здесь был Вася"... т.е., Truecrypt, не смогут.

Стоп. Следы запуска и работы с TC есть? Есть.

"Есть" где? Если бы Вы читали внимательнее, то увидели бы, что я говорил о запуске Truecrypt`а, установленного в traveler-mode на загрузочном носителе с BartPE. Вот выдержка из FAQ Truecrypt:
---
Q: Возможно ли использовать TrueCrypt не оставляя никаких следов на незашифрованном Windows?

A: Да. Это может быть достигнуто путем запуска TrueCrypt в traveler mode под BartPE. BartPE расшифровывается как "Bart's Preinstalled Environment", которое является операционной системой Windows приготовленной для того, чтобы она могла работать с загрузочного CD/DVD (реестр, временные файлы и т.д. хранятся в ОЗУ - жесткий диск вообще не используется и его даже может не быть). Бесплатный Bart's PE Builder может переделать Windows XP installation CD в BartPE. Просто загрузите BartPE, скачайте TrueCrypt на RAM-диск (который создает BartPE) и используйте!
---

Насчёт запуска в traveler-mode, но из-под винды, стоЯщей на харде... Для этого действительно нужна достаточно основательная подготовка системы. И если использование рам-диска для каталогов временных файлов не представляет проблемы, то отключение своп-файла (даже при большом объёме ОЗУ) может со временем приводить к жалобам винды на отсутствие виртуальной памяти, когда она попытается вытеснить в своп неиспользуемые страницы памяти. Как вариант, можно попробовать парировать такое поведение, расположив умеренно большой своп-файл (мег на 500) на рам-диске, но это потребует некоторой возни.
Ну и остаётся реестр системы - TC даже в t-m оставляет в нём запись о монтировании тома (см. тот же FAQ). Можно, конечно, завязать на процедуру шатдауна скрипт, удаляющий из реестра эту информацию, но всегда есть риск, что захват сервера произойдёт путём "вырубания рубильника" (выключения UPSa и пр.). В таком случае лучше запускать TC t-m внутри программ-"песочниц" (Sandboxie, ShadowUser) с опорой на рам-драйв - тогда все изменения не будут сохранены в реестр и каталоги базовой системы, а исчезнут с выключением (любым способом). Наличие же на компе "песочницы" менее вызывающе, бо всегда можно отговориться, что она используется для проверки разного рода нового софта (фришного, из инета) и/или для сёрфинга из-под неё.
//Если "ближе к телу", то вот линк на EWF - в нашем случае тоже может помочь: http://www.flashboot.ru/News-article-25.html //


Признаки того, что "videocapture.dat" является контейнером TC есть (энтропия данных, определенный размер контейнера и еще ряд признаков из данных ФС)? Есть.

Будьте добры, приведите пример про "ряд признаков из данных ФС", которые могут точно показать, что данный файл является файлом-контейнером TC? В конце концов, если уж я некогда забыл про МАС-адрес, в определённых случаях (при использовании DLTS) остающийся в UUID, то, возможно, Вам удастся удивить меня и ещё раз? Улыбающийся
//Кстати, ещё раз спасибо за ту ссылку на документ...//

Насчёт "размера контейнера"... А что, есть какие-то критерии на этот счёт? Какой, по-Вашему, размер файла должен/может однозначно свидетельствовать о том, что это точно контейнер?

Про энтропию... Ну да, есть такое дело...
Хорошо, в таком случае назовём наш контейнер "whitenoise_test03.dat", рядом положим ещё несколько файлов с номерами *01, *02, *04 - разного размера.
"Да, было дело, купил на радиорынке (спаял) генератор белого шума и попробовал писАть его сигнал через аудиовход... Зачем? А, говорят, согласно теории с красивым названием «Феномен электрического голоса» (ФЭГ), в так называемом «белом шуме», а проще говоря, помехах, которыми наполнен незаполненный радиостанциями эфир, можно обнаружить послания с того света... Что значит - "дурак"? Я здоров... а это шутка была - на самом деле я на таких файлах архиваторы испытывал - как жмут... "

Про отрицание наличия криптораздела вы, конечно, смешно сказали.

Вам нужна более правдоподобная версия наличия у меня в сервере неиспользуемого харда, сплошь заполненного высокоэнтропийными данными? Улыбающийся ОК, тогда я наклею на хард наклеечку с напечатанной надписью "refurbished".
"Да, нужен был именно диск данной модели, а в городе тогда их не было новых - взял на рынке (с рук) какой был... Угу, ждёт своего часа - пока основной накроется... Что значит - "не успеешь"? Успею! (небрежный взмах рукой)..."

Определить то, что какой-либо файл или раздел содержит в себе зашифрованные данные, а не (псевдо)случайные, легко.

Легко определить, что данные обладают повышенной энтропией - тут я с Вами спорить не буду. Можно даже сделать предположение, что это криптоконтейнер или криптораздел - но именно предположение. Доказать, что это именно так, можно только расшифровкой. Если я обосную наличие этих данных вышеизложенными аргументами, то уже противная сторона будет вынуждена доказывать, что я говорю неправду...
//Про схему с контейнерами-матрёшками и plausible deniability распинаться тут не буду - тут и так всё ясно... Улыбающийся //

Сложность составляет связать эти данные с определенной криптопрограммой. Вот тут и надо говорить "браво, Майкрософт!", т.к. всему вашему криптосообществу оно и тут свинью подложило.

Цитировать
//В принципе, можно и не грузиться с флешки, а только запускать с неё traveler-инсталляцию Truecrypt, но тогда нужно заранее подготовить Вашу систему - переназначить пути TEMP/TMP-каталогов на RAM-диск и отключить pagefile.//

Ага, и останется еще десяток других каналов утечек данных. Хватит вводить людей в заблуждение (в крайнем случае ставьте "ИМХО").

Ну, я и не претендовал на то, чтобы вот так вот взять и нарисовать тут ВСЮ схему подготовки системы... Sapienti sat - тот, кто понимает в компах лучше, может и без меня обеспечить "стерильность" сеанса, а для остальных есть свои варианты (liveCD, например).
По некоторым дополнительным моментам я прошёлся уже в данном ответе, чуть выше (например, "песочницы"). И, кстати, это не "ИМХО", а вполне объективная реальность. Если Вам угодно, Вы можете высказать свои сомнения по поводу каких-либо моментов (как это сделал чуть ранее ув.bormant о формате MBR) - я постараюсь разумно контр-аргументировать... или признАю, что в таком-то моменте решения нет, но можно обойти так-то...
//BTW, в процессе написАния ответа вспомнил про свою копилку линков. Вот, держите: насчёт ТС и "тюнинга" винды от "утечек" - http://bugdoor.narod.ru/crypt/wiki/page01.htm).//

Цитировать
В свете вышеизложенного наш Truecrypt никоим образом не попадает на глаза "серым", соответственно, инкриминировать Вам его применение им будет проблематично...

В принципе, данную точку зрения вам стоит описать на pgpru. Ибо распространение невежества такого рода среди потенциальных преступников есть хорошо, ИМХО Улыбающийся

Во-первых, Вы напрасно называете невежеством то, с чем не согласны - в конце концов, Вы ещё не уложили меня на лопатки. Улыбающийся По крайней мере, на ряд моих вопросов в этой же ветке (от 11 июля с.г.) Вы отвечать не стали...
Да, метод с работой ТС t-m с флешки, но под виндой, стоЯщей на харде, требует некоторых телодвижений - но это не значит, что это невозможно. Тот, кто не сможет их проделать (или не уверен, что сможет или что этим стОит заморачиваться), будет работать с ТС из live-дистрибутива или использует его же в режиме FDE на отдельном разделе или харде.

По поводу pgpru.com... Там подобные моменты действительно обсуждались и обсуждаются -
https://www.pgpru.com/forum/anonimnostjvinternet/putaemsledyilivsevpesochnicu?p=1&show_comments=1#comments
https://www.pgpru.com/forum/kriptografija/plausibledeniabilityvoproskspecialistam
https://www.pgpru.com/forum/prakticheskajabezopasnostj/zaschitashifrovannogokontejjneraotlokaljnogoadmina

Я уже давно с удовольствием и пользой посещаю этот сайт, посему мне не совсем понятно, с какого перепугу Вы как-то очень смело заклеймили сей ресурс как сборище потенциальных преступников?  Улыбающийся
« Последнее редактирование: 21 Августа 2009, 00:42:50 от De Nada » Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
interested face
Посетитель
*
Офлайн Офлайн

Сообщений: 28


С подозрением к дальнему


« Ответ #89 : 21 Августа 2009, 08:06:06 »

De Nada

Да что ж у вас там за данные такие... Непонимающий
Записан
Страниц: 1 ... 7 8 [9] 10 11 ... 20   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines