Менты забрали ноут
На компе есть два раздела, основной и дополнительный.Зашифровал весь диск с doot PGPdisk, Whole Disk v 9.5 .Комп изъяли.Ка кова вероятность того, что инфу смогут извлечь?
Ссылки
[link1] https://www.pgpru.com/novosti/2008/vzlomgrubojjsilojjparoljvypytanizpodozrevaemogopoliciejj
[link2] http://www.i2r.ru/static/452/out_9868.shtml
[link3] http://ru.wikipedia.org/wiki/Chroot
[link4] http://ru.wikipedia.org/wiki/Sandbox
[link5] http://ru.wikipedia.org/wiki/Jail
[link6] http://ru.wikipedia.org/wiki/SELinux
[link7] http://www.linux.org.ru/view-message.jsp?msgid=392747
[link8] https://www.pgpru.com/novosti/2008/xorvmestoaesapparatnoeshifrovanievinchesterovokazalosjpoddelkojj
[link9] https://citp.princeton.edu/research/memory/code/
[link10] https://citp.princeton.edu/research/memory/media/
[link11] https://www.pgpru.com/proekt/udalennye
[link12] http://www.e-notebook.by/vybor-noutbuka/otlichie-noutbuka-ot-kompyutera.html
[link13] http://www.tech.lg.ua/article/CHto-luchshe-vybrat-noutbuk-ili-kompyuter.html
[link14] http://www.my-comp.by/index.php/-fujitsu-siemens/31-2010-06-28-09-33-51.html
Надеюсь, комп был полностью выключен, а не в спящем режиме? Если за Вами где-нибудь не подсмотрели набираемый пароль, если Вы не набираете этот пароль по 30 раз в день, отчего затёрли клавиши до дыр, то вероятность исчезающе мала.
комп был отключен.пароль не знают.так что спать можно спокойно?
Есть ещё бэкдоры, вирусы, трояны, кейлоггеры, утечки ключа в своп из-за ошибок программ или из-за руткитов, вирусов, троянов, кейлоггеров. А спать спокойно не следует хотя бы даже поэтому[link1]. Можете надеяться, что вышеперечисленное – не ваш случай, но помните, что сидя на винде вы полностью доверяете её закрытому коду в котором можно скрыть хоть слона.
Гость (28/10/2008 12:52), держите в курсе в любом случае. Будет интересно.
А причем винда , ведь программа запрашивала пароль в момент запуска до загрузки системы. Зашифрован был весь винт и загрузчик. А комп кстате на экспертизе уже пятый месяц. Думаю если бы у них был пароль уже давно бы вопросы задавали. А может есчо время просто не дошло.
Существует возможность прочитать мастер-ключ из ОЗУ из работающей ОС. Но машину придётся застроянить и ещё руткит посадить, чтобы обойти брандмауэр (при условии, что в принципе есть доступ в Сеть).
Но это всё не методы милиции, это точно.
Понятно.спасибо.если чего то все же нароют обязательно отпишу.
Во какие люди обитают на этом сайте! А я и не знал!
Интересно, какой результат?! Отсосали менты с расшифровкой?
Кстати да. Было бы очень интересно узнать результат...
Хотя если Гость 28/10/2008 10:29 исчез с форума с того времени, то можно предположить что таки нашли на его компе компромат :(
так если я перейду на линух то мне придется доверять его дырявому коду? Выходит так. десять миллионов строк проверить все равно не смог бы даже если бы знал как. что говорите его уже проверило "сообщество"? А с каких понтов мне доверять этому сообществу. аргумент в цитате неубедителен. можно правда попробовать перейти на бздю или солярку там хоть нет такой "демократии" в быдлокодерстве как в линухе. но тоже ведь придется кому то другому довериться. нет. не убеждает.
Хотел оставить ссылку на сайт Циммерамана, но там похоже битые ссылки. Короче, там написано: что известно ментам, известно всему миру
Да, кому-то прийдётся доверяться. И Вы правы, самостоятельно весь код всё равно не перепроверить. Другой вопрос насколько эквивалентно доверие полностью закрытому коду от MS и открытому коду от сообщества разрозненных специалистов. Насчёт демократии в Linux вы опять не правы. Само по себе ядро Linux написано очень качественно, другой вопрос – пользовательский софт, но последний везде один и тот же, будь то Linux, BSD, или, (уже скоро) даже Windows. Неужто вы думаете что если в firefox дыра под виндой, то её нет в портированных его версиях под другие ОС? Здесь самое важное, что дают открытые ОС – возможность грамотно разделить привелегии, нейтрализовать насколько возможно уязвимости в прикладном софте и т.п. Простейший пример – настройка принудительного перенаправления всего трафика от некоторого юзера в Tor с запретом смотреть локлальные сетевые настройки.
Говоря так, Вы как бы подразумеваете, что в Windows все это отсутствует?[link2]
Сервис паки 1, 2, 3; автоматическое (и навязчивое) оперативное обновление безопасности системы, браузера, медиаплеера, элементов управления ActiveX, среды . NET Framework, PowerShell, смарт-карт, корневых сертификатов, групповых политик, драйверов устройств и т.д. и т.п.
Ну, зачем же сразу утверждать, что система "X" плоха только потому, что Вы работаете в системе "Y"?
© И. А. Крылов
Полностью согласен с тем, что в отношении работы с операционной системой Вы употребляете слово «грамотно». Добавлю лишь, что грамотно нужно работать в любой ОС, тогда полезный эффект от конечного результата будет одинаков в любой системе.
Ну, в общем-то, да. Я имел в виду технологии chroot[link3], sandbox[link4], Jail[link5] и SeLinux[link6]. Ну или хотя бы возможность запускать некоторую команду от имени специального пользователя (системного) с ограниченными привелегиями (это не обычный пользователь).
Я в системе X тоже работал, лет 5 назад :)
Безусловно, вы правы. Только когда слышно подобное от пользователя, знающего внутренности винды как свои пять пальцев, и могущего под неё писать драйвера – это одно (в таком случае можно закрыть глаза на закрытость кода), а когда от обычного юзера – совсем другое.
Справедливости ради стоит отметить, что в винде есть функция RunAs, предназначенная именно для этой цели.
Еще есть программа Secunia PSI, которая каждый день показывает вам уязвимости в вашем виндовом софте и предоставляет кликабельную ссылку на обновление.
я свой браузер так и запускаю – аналогом runas на vbscript. Один клик – и я в интернете.
Ваш пост был бы безукоризненным по стилю если бы Вы добавили в него текст скрипта для товарищей по борьбе!
Это конечно шутка, но может поделитесь?
КГБ Республики Беларусь вообще похвасталось что взломало диск(и) DiskCryptor с 9-значным паролем (!)
а ссылку можно? Откуда такая информация?
И что? Я 9тизначные пароли к программа сам ломал, особенно если они слабые были. Для такой вещи как дисковое шифрование 9ти явно не достаточно, там нужны десятки (даже слово-то какое: парольная фраза а не пароль), и + соль. Соль закрывается ещё одним паролем, другим :) Так что даже если иметь все компоненты, надо сломать 2 пароля брутом, и фэйл брута любого из них означает фэйл глобальный.
Тоже хотелось бы ссылку. Впрочем, DiskCryptor для таких паролей показывает уровень стойкости "Trivially Breakable" в окне ввода пароля.
firefox.bat:
pwd.vbs:
Это что Ваш фирменный скрипт? А это часом не аналог "программы из одной строчки на Perl"[link7] чтобы много вопросов не задавали?
Нет, он только автоматизирует ввод пароля. В отличие от перла, здесь вроде бы всё самоочевидно.
Особенно самоочевиден пароль для злоумышленника
Но ведь это пароль от ограниченного аккаунта, под которым запускается браузер. Сам файл скрипта может быть доступен для чтения и исполнения только основному пользователю системы. Там что злоумышленнику всё равно придётся скомпрометировать систему, чтобы его прочитать.
Достаточно положить скрипты в папку C:\Documents and Settings\Administrator\Desktop Можете еще зашифровать этот файл прозрачными средствами Windows :)
http://www.ont.by/projects/projects/doc/
В передаче на телеканале за пятницу 18:20.В ней сотрудник КГБ упомянул что были взломаны зашифрованные диски организованной преступной группировки благодаря отделу информационных технологий КГБ Республики Беларусь. Также сказал что пароль был 9 символьный. Версия DiskCryptor и методы взлома не были раскрыты в передаче, к сожалению.
Также было указано что перехватывались звонки преступников(мобильная связь), трафик аськи(?)(или при обыске хистори смотрели) и скайп(сотрудник КГБ в интервью упомянул что трафик зашифрован). Про взлом скайпа не было указано.
Нда, это вполне мог быть терморектальный :(
скорей всего :)
Касательно наиболее эффективного применения терморектального прибора существует такой диалог:
— А ты хоть знаешь, как правильно паяльник в вставлять?
— Нет, а как?
— Ручкой внутрь, горячим концом наружу.
— ???
— Чтобы вынуть было сложно!
Юридический вопрос в тему:
1) может ли являться вещественным доказательством в судебном разбирательстве информация, полученная путем негласного наблюдения (данные ОЗУ, перехватываемые скрытым кейлоггером символы, данные буфера обмена или любым другим методом негласного съема данных)?
2) может ли являться вещественным доказательством в судебном разбирательстве информация, полученная методом термо-ректального криптоанализа?
Третий вопрос касается человеческой порядочности
3) дешифрование файлового контейнера или раздела предполагает изменение существующих данных на те, которые осмыслены и могут быть восприняты человеком. Может ли случится, что дешифрованная информация будет совсем не той, которая была зашифрована ранее? Проще говоря, могут ли "подставить" с зашифрованным диском или разделом?
Собранная согласно УПК и ОРМ — да.
Нет (если будет доказан факт применения таких методов).
Ну, если контейнер подменят... В ином случае (скажем, при дешифровании ошибочным ключом, тем более, что реальные СКЗИ обычно имеют защиту от такого события) вероятность стремится к нулю.
Если эксперт КТЭ находит на изъятых НЖМД логи сторонней кейлоггерской программы (установленной системным администратором компании для аудита пользователей), сохранившую информацию о правильном пароле к зашифрованному разделу\контейнеру, является ли данная информация подлежащей к проверке со стороны эксперта, и, если введенный пароль окажется верным, будут ли в данном случае логи кейлоггерской программы и содержимое зашифрованного раздела доказательством в судебном разбирательстве?
Да.
Могут, но подобную подставу очень легко обнаружить в ходе КТЭ.
А если для шифрования используется просто xOR? В этом случае для любого текста той же длины его xOR c шифрованным текстом даст такой "ключ" расшифровки, в результате которой получится этот текст. И даже если вообще шифрование не используется – "эксперт" может взять любой (особенно случайный) кусок данных на моём диске и "расшифровать" его таким образом. ;)
Вы ещё используете диски с аппаратным шифрованием[link8]? Тогда они едут к Вам!
Может он ещё и обоснует свои действия?
Нет, можно в качестве пароля использовать URL ресурса с xOR-ключом, а доступ производить через Tor. Получается правдоподобное отрицание.
С файлом-контейнером все более-менее понятно, вопрос встал по поводу зашифрованных разделов. Предположим, люди со злыми намерениями изымают флеш-карту с зашифрованным разделом и хотят подставить человека. Они форматируют флешку в режиме RAW, затем с использованием той же программы, что была использована жертвой, создают новый зашифрованный раздел, на который записывают компрометирующие данные. Персональный компьютер, на котором осуществляется это – автотомен, отключен от сети, на нем установлена дата и время, когда жертва могла работать за компьютером. Ставят заведомо слабый пароль. Изменяют атрибуты компрометирующих файлов (дата и время создания, последнего изменения, доступа). После этого эта информация записывается на созданный зашифрованный раздел, после чего пароль "сбручивается" и предоставляются доказательства виновности жертвы. В этом случае шифрование не защищает приватность, а компрометирует заведомо невиновного человека, причем довольно сильно. Можно ли как-то доказать что подставной раздел флешки был создан позднее, чем произошло изъятие?
Ну Вы сказочник. Жертве подкинут пачку наркоты в карман и ствол — в ящик стола при обыске. Кому нужны эти пляски с бубнами?
А что мешает точно также подкинуть пару гигов пиратских виндов и детского порно на обычный, незашифрованный накопитель?
+100, посадить человека с наркотой и патронами не просто, а очень просто. И шансов отмазаться никаких, совсем по нулям.
Если сверху пришла команда посадить вас полюбому, то остается только расслабиться и получать удовольствие. Или резко сваливать в другую страну.
Действительно, зачем чего-то подкидывать, когда можно просто убить "оказавшего сопротивление при задержании" или, более классический вариант, "при попытке к бегству". А с современными технологиями можно ещё проще, "от сердечного приступа".
Так все-таки человек не отписал, чем кончилась его история...
... из чего можно сделать вывод о том, что инфа всё-таки была извлечена.
Или не была? Разве ментам сейчас нужны доказательства?! Что следак нафантазирует в обвинительном заключении, то судья и проштампует...
у человека изъяли пару ноутов, он предполагал подобное, поэтому все винчестеры были отформатированы... в результате экспертизы на них не нашли ничего... хватило "свидетельских показаний" (кто-то что-то подписал и пошел ни как обвиняемый, а как свидетель)... судья просто прочитал с бумажки выводы следователя – вот и весь суд...
У меня подобная ситуация. Изъяли ноуты, все – шифродиски в LUKS-формате, в них есть еще криптоконтейнеры для особо серьезных документов. Правда не менты, а гаденыши по-серьезнее.
Но я допустил прокол – вышел на 5 минут, и оставил ноут включенным. Когда ввалились педрилы, пытался его выключить, но не успел, отп*здили и утащили в другую комнату, положив "мордой в пол".
Однако, когда они складывали ноуты, мой рабочий ноут оказался выключенным (да и он сам бы выключился, там очень плохая батарея :-)).
Технических специалистов не было, был опер по "защите кс", следак и три тупых быка из местного ОВД, которые "оказывали содействие" "старшим братьям".
Вроде бы техники с собой у них тоже не было, даже своего ноута, есть только протокол обыска, что изъята компьютерная техника и носители. Такое ощущение, что они вели себя как полные лохи.
Интересно, а что нужно, чтобы снять дамп памяти с ОЗУ? Т.к. если он снят не был, значит, они не смогут ничего раскриптовать, как я полагаю.
Последнему оратору: какова была причина (формальная и реальная) того, что менты так себя вели? Это бизнес, "заказ", "политика" или просто "для галочки" ?
Политика. И не менты, а ФСБ, менты были "на подхвате".
Насколько я понимаю, это нужно делать либо сразу на месте, либо выдирать память и класть её (условно) в жидкий азот, чтобы дожила до лаборатории.
А что для этого нужно (железо, софт), чтобы делать сразу на месте?
MEMORY RESEARCH PROJECT SOURCE CODE[link9]
VIDEO AND IMAGES[link10]
Это что же такое нужно "натворить" чтобы пришли лично из ФСБ? В интернете на политических форумах ругают власть, оппозиционеры курируют свои акции и т.д., а тут... и куда они вламывались в квартиру или в офис? прямо как в кино в окна и взорвав металлическую дверь или как? и что потом было? арест был? уголовное дело? надеюсь вопросы не провокационные? просто хочу знать что бывает сегодня в реале, а не в СМИ и пугаськах
Не поделился, понятное дело.
Ничего сложного. https://en.wikipedia.org/wiki/Cold_boot_attack
— Гость (24/07/2012 13:04)
1) Агитация за вооруженное сопротивление власти, вестимо. Вообще-то раньше не обращали внимание, но в июле, похоже, произошла "массированная зачистка" оппозиции. Многие люди, как оказывается, просто исчезли (например, один мой знакомый блоггер – на днях мне сообщили, что его "закрыли" в психушку, выяснилось недавно).
2) Нет, никто не вламывался, на это все было продумано, просто подкатили на улице, заломили руки, утащили в отдел полиции, а там фейсы уже сидят и ждут :-)
Можно ссылку на блог этого блогера?
Провоцируете распространение экстремистских с точки зрения властей материалов? :) Может вам лучше приватно обменяться такой информацией?
Каков ход ситуации? Что нового?
Не пойму, куда-то мой комментарий делся, вроде бы запостился. Или не запостился? Замодерили чтоли за чрезмерную эмоциональность?
В общем, краткое резюме: ФСБ вернуло носители, не признав их вещдоками. Это значит, что они не смогли вскрыть шифр (иначе бы признали).
Полнодисковое LUKS-шифрование под Debian из-под дефолтного установщика показало свою эффективность.
OpenSource рулит, ведущие спецслужбы мира
сосутотдыхают!Подозрительно всё это.
Не боитесь, что ФСБ прочитает этот пост и возбудит дело повторно? Дел-то с Debian-шифрованными дисками не много, найти не трудно.
После успехов с паролями из трафика к шифрованному Тополь
М, КГБ готово читать шифртексты со всех носителей страны.Скопировать данные, а носитель расплавить!!!
Что найти не трудно? Выражайтесь вразумительно.
Не могут. Три богатыря с Анонимуса сейчас в отпуске.
Админы, закройте тему, пожалуйста.
Нет, за мат[link11].
Как же вы задрали со своим сленгом для интернет-идиотов. Взрослеть не планируется? Ни хрена не смешно набрасываете.
Вас найти не трудно. Узнаём, какие недавно уголовные дела были закрыты, находим среди них вас, сопоставляем с вашим постом на форуме и открываем дело вновь, раз вы пытаетесь подразнить гэбню.
Вы разве топикстартер, чтобы об этом просить?
А вот топик-пастер похоже с момента пейстинга не объявился... Ему не так повезло, как комментатору с фейсами?! Отбывает?
Потому что ТС-пост – это
примитивная фантазиямоделирование возможной ситуации, вероятность которой при соблюдении основ ИБ крайне незначительна, если вообще реальна.И часто кто-то путает в одном посте ноут и комп?
Угнали мое авто. есть пикап, его угнали... какова вероятность, что мой седан найдут?
Расстреляли. На месте. При попытке.
Гость (30/06/2013 21:13)
Насколько больщую разницу вы видете между ноутбуком и компьютером?
Ноут vs ПК ≈ Ивановец vs Башенный кран.
© Какая разница? Большая разница.
Уно[link12], дос[link13], трес[link14].
Это далеко не полный перечень отличий, но для ознакомления достаточно.
Извиняюсь, что влезаю в ваш интеллектуальный спор, но здесь ключевое слово "компьютер". А потом уже портативный и настольный.
Кратко: ноут это комп!
Но не всякий комп – ноут.