— SATtva (28/10/2008 10:59)   
Надеюсь, комп был полностью выключен, а не в спящем режиме? Если за Вами где-нибудь не подсмотрели набираемый пароль, если Вы не набираете этот пароль по 30 раз в день, отчего затёрли клавиши до дыр, то вероятность исчезающе мала.

— Гость (28/10/2008 12:52)   
комп был отключен.пароль не знают.так что спать можно спокойно?

— Гость (28/10/2008 13:27)   
Есть ещё бэкдоры, вирусы, трояны, кейлоггеры, утечки ключа в своп из-за ошибок программ или из-за руткитов, вирусов, троянов, кейлоггеров. А спать спокойно не следует хотя бы даже поэтому^[link1]. Можете надеяться, что вышеперечисленное – не ваш случай, но помните, что сидя на винде вы полностью доверяете её закрытому коду в котором можно скрыть хоть слона.

— SATtva (28/10/2008 14:28)   
Гость (28/10/2008 12:52), держите в курсе в любом случае. Будет интересно.

— Гость (28/10/2008 19:45)   
А причем винда , ведь программа запрашивала пароль в момент запуска до загрузки системы. Зашифрован был весь винт и загрузчик. А комп кстате на экспертизе уже пятый месяц. Думаю если бы у них был пароль уже давно бы вопросы задавали. А может есчо время просто не дошло.

— SATtva (28/10/2008 19:57)   

А причем винда, ведь программа запрашивала пароль в момент запуска до загрузки системы.

Существует возможность прочитать мастер-ключ из ОЗУ из работающей ОС. Но машину придётся застроянить и ещё руткит посадить, чтобы обойти брандмауэр (при условии, что в принципе есть доступ в Сеть).

Но это всё не методы милиции, это точно.

— Гость (28/10/2008 21:17)   
Понятно.спасибо.если чего то все же нароют обязательно отпишу.

— Мухтар (29/10/2008 11:49)   

А комп кстате на экспертизе уже пятый месяц.

Во какие люди обитают на этом сайте! А я и не знал!

— Гость (08/04/2009 20:50)   
Интересно, какой результат?! Отсосали менты с расшифровкой?

— Гость (08/04/2009 21:13)   
Кстати да. Было бы очень интересно узнать результат...
Хотя если Гость 28/10/2008 10:29 исчез с форума с того времени, то можно предположить что таки нашли на его компе компромат :(

— Гость (08/04/2009 23:36)   

сидя на винде вы полностью доверяете её закрытому коду

так если я перейду на линух то мне придется доверять его дырявому коду? Выходит так. десять миллионов строк проверить все равно не смог бы даже если бы знал как. что говорите его уже проверило "сообщество"? А с каких понтов мне доверять этому сообществу. аргумент в цитате неубедителен. можно правда попробовать перейти на бздю или солярку там хоть нет такой "демократии" в быдлокодерстве как в линухе. но тоже ведь придется кому то другому довериться. нет. не убеждает.

— Гость (09/04/2009 00:18)   
Хотел оставить ссылку на сайт Циммерамана, но там похоже битые ссылки. Короче, там написано: что известно ментам, известно всему миру

— Гость (09/04/2009 00:20)   

но тоже ведь придется кому то другому довериться. нет. не убеждает.

Да, кому-то прийдётся доверяться. И Вы правы, самостоятельно весь код всё равно не перепроверить. Другой вопрос насколько эквивалентно доверие полностью закрытому коду от MS и открытому коду от сообщества разрозненных специалистов. Насчёт демократии в Linux вы опять не правы. Само по себе ядро Linux написано очень качественно, другой вопрос – пользовательский софт, но последний везде один и тот же, будь то Linux, BSD, или, (уже скоро) даже Windows. Неужто вы думаете что если в firefox дыра под виндой, то её нет в портированных его версиях под другие ОС? Здесь самое важное, что дают открытые ОС – возможность грамотно разделить привелегии, нейтрализовать насколько возможно уязвимости в прикладном софте и т.п. Простейший пример – настройка принудительного перенаправления всего трафика от некоторого юзера в Tor с запретом смотреть локлальные сетевые настройки.

— Гость (09/04/2009 15:29)   

возможность грамотно разделить привелегии

Говоря так, Вы как бы подразумеваете, что в Windows все это отсутствует?^[link2]

нейтрализовать насколько возможно уязвимости

Сервис паки 1, 2, 3; автоматическое (и навязчивое) оперативное обновление безопасности системы, браузера, медиаплеера, элементов управления ActiveX, среды . NET Framework, PowerShell, смарт-карт, корневых сертификатов, групповых политик, драйверов устройств и т.д. и т.п.

Ну, зачем же сразу утверждать, что система "X" плоха только потому, что Вы работаете в системе "Y"?

«Молчи! Устал я слушать,
Досуг мне разбирать вины твои, щенок!
Ты виноват уж тем, что хочется мне кушать».-
Сказал и в темный лес Ягненка поволок.

© И. А. Крылов

Полностью согласен с тем, что в отношении работы с операционной системой Вы употребляете слово «грамотно». Добавлю лишь, что грамотно нужно работать в любой ОС, тогда полезный эффект от конечного результата будет одинаков в любой системе.

— Гость (09/04/2009 18:34)   

Говоря так, Вы как бы подразумеваете, что в Windows все это отсутствует?

Ну, в общем-то, да. Я имел в виду технологии chroot^[link3], sandbox^[link4], Jail^[link5] и SeLinux^[link6]. Ну или хотя бы возможность запускать некоторую команду от имени специального пользователя (системного) с ограниченными привелегиями (это не обычный пользователь).

Ну, зачем же сразу утверждать, что система "X" плоха только потому, что Вы работаете в системе "Y"?

Я в системе X тоже работал, лет 5 назад :)

Добавлю лишь, что грамотно нужно работать в любой ОС, тогда полезный эффект от конечного результата будет одинаков в любой системе.

Безусловно, вы правы. Только когда слышно подобное от пользователя, знающего внутренности винды как свои пять пальцев, и могущего под неё писать драйвера – это одно (в таком случае можно закрыть глаза на закрытость кода), а когда от обычного юзера – совсем другое.

— SATtva (09/04/2009 19:29)   

Ну или хотя бы возможность запускать некоторую команду от имени специального пользователя (системного) с ограниченными привелегиями (это не обычный пользователь).

Справедливости ради стоит отметить, что в винде есть функция RunAs, предназначенная именно для этой цели.

— Гость (09/04/2009 23:58)   
Еще есть программа Secunia PSI, которая каждый день показывает вам уязвимости в вашем виндовом софте и предоставляет кликабельную ссылку на обновление.

— Гость (10/04/2009 00:01)   

в винде есть функция RunAs

я свой браузер так и запускаю – аналогом runas на vbscript. Один клик – и я в интернете.

— Гость (10/04/2009 23:10)   
Ваш пост был бы безукоризненным по стилю если бы Вы добавили в него текст скрипта для товарищей по борьбе!

Это конечно шутка, но может поделитесь?

— DDRTL (12/04/2009 15:36)   
КГБ Республики Беларусь вообще похвасталось что взломало диск(и) DiskCryptor с 9-значным паролем (!)

— Гость (12/04/2009 18:01)   
а ссылку можно? Откуда такая информация?

— Гость (12/04/2009 18:31)   
И что? Я 9тизначные пароли к программа сам ломал, особенно если они слабые были. Для такой вещи как дисковое шифрование 9ти явно не достаточно, там нужны десятки (даже слово-то какое: парольная фраза а не пароль), и + соль. Соль закрывается ещё одним паролем, другим :) Так что даже если иметь все компоненты, надо сломать 2 пароля брутом, и фэйл брута любого из них означает фэйл глобальный.

— Гость (12/04/2009 20:21)   

КГБ Республики Беларусь вообще похвасталось что взломало диск(и) DiskCryptor с 9-значным паролем (!)

Тоже хотелось бы ссылку. Впрочем, DiskCryptor для таких паролей показывает уровень стойкости "Trivially Breakable" в окне ввода пароля.

— Гость (13/04/2009 13:20, исправлен 13/04/2009 17:09)   
firefox.bat:

start cscript "C:\Documents and Settings\Guest\Desktop\pwd.vbs" C:\WINDOWS\system32\cmd.exe /c runas /user:WORK\Guest "C:\Program Files\Mozilla Firefox\firefox.exe"

pwd.vbs:

Set WshShell = CreateObject("WScript.Shell") WScript.Sleep(250) WshShell.SendKeys("%{TAB}{p}{a}{s}{s}{w}{o}{r}{d}{ENTER}")

— Гость (13/04/2009 16:17)   
Это что Ваш фирменный скрипт? А это часом не аналог "программы из одной строчки на Perl"^[link7] чтобы много вопросов не задавали?

— SATtva (13/04/2009 17:11)   
Нет, он только автоматизирует ввод пароля. В отличие от перла, здесь вроде бы всё самоочевидно.

— unknown (13/04/2009 17:28)   
Особенно самоочевиден пароль для злоумышленника

— SATtva (13/04/2009 17:53)   
Но ведь это пароль от ограниченного аккаунта, под которым запускается браузер. Сам файл скрипта может быть доступен для чтения и исполнения только основному пользователю системы. Там что злоумышленнику всё равно придётся скомпрометировать систему, чтобы его прочитать.

— Гость (13/04/2009 18:24)   
Достаточно положить скрипты в папку C:\Documents and Settings\Administrator\Desktop Можете еще зашифровать этот файл прозрачными средствами Windows :)

— DDRTL (13/04/2009 21:18)   

а ссылку можно? Откуда такая информация?

http://www.ont.by/projects/projects/doc/
В передаче на телеканале за пятницу 18:20.В ней сотрудник КГБ упомянул что были взломаны зашифрованные диски организованной преступной группировки благодаря отделу информационных технологий КГБ Республики Беларусь. Также сказал что пароль был 9 символьный. Версия DiskCryptor и методы взлома не были раскрыты в передаче, к сожалению.
Также было указано что перехватывались звонки преступников(мобильная связь), трафик аськи(?)(или при обыске хистори смотрели) и скайп(сотрудник КГБ в интервью упомянул что трафик зашифрован). Про взлом скайпа не было указано.

— Гость (13/04/2009 21:55)   

методы взлома не были раскрыты в передаче, к сожалению.

Нда, это вполне мог быть терморектальный :(

— DDRTL (14/04/2009 20:04)   
скорей всего :)
Касательно наиболее эффективного применения терморектального прибора существует такой диалог:
— А ты хоть знаешь, как правильно паяльник в вставлять?
— Нет, а как?
— Ручкой внутрь, горячим концом наружу.
— ???
— Чтобы вынуть было сложно!

— quickfix (27/02/2010 12:31)   
Юридический вопрос в тему:

1) может ли являться вещественным доказательством в судебном разбирательстве информация, полученная путем негласного наблюдения (данные ОЗУ, перехватываемые скрытым кейлоггером символы, данные буфера обмена или любым другим методом негласного съема данных)?

2) может ли являться вещественным доказательством в судебном разбирательстве информация, полученная методом термо-ректального криптоанализа?

Третий вопрос касается человеческой порядочности

3) дешифрование файлового контейнера или раздела предполагает изменение существующих данных на те, которые осмыслены и могут быть восприняты человеком. Может ли случится, что дешифрованная информация будет совсем не той, которая была зашифрована ранее? Проще говоря, могут ли "подставить" с зашифрованным диском или разделом?

— SATtva (27/02/2010 12:43, исправлен 27/02/2010 12:45)   

может ли являться вещественным доказательством в судебном разбирательстве информация, полученная путем негласного наблюдения

Собранная согласно УПК и ОРМ — да.

может ли являться вещественным доказательством в судебном разбирательстве информация, полученная методом термо-ректального криптоанализа?

Нет (если будет доказан факт применения таких методов).

Проще говоря, могут ли "подставить" с зашифрованным диском или разделом?

Ну, если контейнер подменят... В ином случае (скажем, при дешифровании ошибочным ключом, тем более, что реальные СКЗИ обычно имеют защиту от такого события) вероятность стремится к нулю.

— quickfix (27/02/2010 14:05)   
Если эксперт КТЭ находит на изъятых НЖМД логи сторонней кейлоггерской программы (установленной системным администратором компании для аудита пользователей), сохранившую информацию о правильном пароле к зашифрованному разделу\контейнеру, является ли данная информация подлежащей к проверке со стороны эксперта, и, если введенный пароль окажется верным, будут ли в данном случае логи кейлоггерской программы и содержимое зашифрованного раздела доказательством в судебном разбирательстве?

— Гость (27/02/2010 14:21)   

сохранившую информацию о правильном пароле к зашифрованному разделу\контейнеру, является ли данная информация подлежащей к проверке со стороны эксперта, и, если введенный пароль окажется верным, будут ли в данном случае логи кейлоггерской программы и содержимое зашифрованного раздела доказательством в судебном разбирательстве?

Да.

— Гость (27/02/2010 14:24)   

Проще говоря, могут ли "подставить" с зашифрованным диском или разделом?

Могут, но подобную подставу очень легко обнаружить в ходе КТЭ.

— Гость (27/02/2010 20:00)   
А если для шифрования используется просто xOR? В этом случае для любого текста той же длины его xOR c шифрованным текстом даст такой "ключ" расшифровки, в результате которой получится этот текст. И даже если вообще шифрование не используется – "эксперт" может взять любой (особенно случайный) кусок данных на моём диске и "расшифровать" его таким образом. ;)

— SATtva (27/02/2010 20:19)   

А если для шифрования используется просто xOR?

Вы ещё используете диски с аппаратным шифрованием^[link8]? Тогда они едут к Вам!

И даже если вообще шифрование не используется – "эксперт" может взять любой (особенно случайный) кусок данных на моём диске и "расшифровать" его таким образом. ;)

Может он ещё и обоснует свои действия?

— Гость (27/02/2010 20:37)   

Вы ещё используете диски с аппаратным шифрованием?

Нет, можно в качестве пароля использовать URL ресурса с xOR-ключом, а доступ производить через Tor. Получается правдоподобное отрицание.

— quickfix (06/04/2010 14:20)   
С файлом-контейнером все более-менее понятно, вопрос встал по поводу зашифрованных разделов. Предположим, люди со злыми намерениями изымают флеш-карту с зашифрованным разделом и хотят подставить человека. Они форматируют флешку в режиме RAW, затем с использованием той же программы, что была использована жертвой, создают новый зашифрованный раздел, на который записывают компрометирующие данные. Персональный компьютер, на котором осуществляется это – автотомен, отключен от сети, на нем установлена дата и время, когда жертва могла работать за компьютером. Ставят заведомо слабый пароль. Изменяют атрибуты компрометирующих файлов (дата и время создания, последнего изменения, доступа). После этого эта информация записывается на созданный зашифрованный раздел, после чего пароль "сбручивается" и предоставляются доказательства виновности жертвы. В этом случае шифрование не защищает приватность, а компрометирует заведомо невиновного человека, причем довольно сильно. Можно ли как-то доказать что подставной раздел флешки был создан позднее, чем произошло изъятие?

— SATtva (06/04/2010 14:27)   
Ну Вы сказочник. Жертве подкинут пачку наркоты в карман и ствол — в ящик стола при обыске. Кому нужны эти пляски с бубнами?

— Гость (06/04/2010 14:54)   

В этом случае шифрование не защищает приватность, а компрометирует заведомо невиновного человека, причем довольно сильно

А что мешает точно также подкинуть пару гигов пиратских виндов и детского порно на обычный, незашифрованный накопитель?

Жертве подкинут пачку наркоты в карман и ствол — в ящик стола при обыске.

+100, посадить человека с наркотой и патронами не просто, а очень просто. И шансов отмазаться никаких, совсем по нулям.
Если сверху пришла команда посадить вас полюбому, то остается только расслабиться и получать удовольствие. Или резко сваливать в другую страну.

— Гость (06/04/2010 15:37)   

Кому нужны эти пляски с бубнами?.

Действительно, зачем чего-то подкидывать, когда можно просто убить "оказавшего сопротивление при задержании" или, более классический вариант, "при попытке к бегству". А с современными технологиями можно ещё проще, "от сердечного приступа".

— Гость (07/04/2010 07:16)   
Так все-таки человек не отписал, чем кончилась его история...

— Гость (07/04/2010 08:33)   
... из чего можно сделать вывод о том, что инфа всё-таки была извлечена.

— Гость (07/04/2010 09:05)   
Или не была? Разве ментам сейчас нужны доказательства?! Что следак нафантазирует в обвинительном заключении, то судья и проштампует...

— Гость (07/04/2010 14:12)   
у человека изъяли пару ноутов, он предполагал подобное, поэтому все винчестеры были отформатированы... в результате экспертизы на них не нашли ничего... хватило "свидетельских показаний" (кто-то что-то подписал и пошел ни как обвиняемый, а как свидетель)... судья просто прочитал с бумажки выводы следователя – вот и весь суд...

— Гость (18/07/2012 07:59)   
У меня подобная ситуация. Изъяли ноуты, все – шифродиски в LUKS-формате, в них есть еще криптоконтейнеры для особо серьезных документов. Правда не менты, а гаденыши по-серьезнее.
Но я допустил прокол – вышел на 5 минут, и оставил ноут включенным. Когда ввалились педрилы, пытался его выключить, но не успел, отп*здили и утащили в другую комнату, положив "мордой в пол".
Однако, когда они складывали ноуты, мой рабочий ноут оказался выключенным (да и он сам бы выключился, там очень плохая батарея :-)).
Технических специалистов не было, был опер по "защите кс", следак и три тупых быка из местного ОВД, которые "оказывали содействие" "старшим братьям".
Вроде бы техники с собой у них тоже не было, даже своего ноута, есть только протокол обыска, что изъята компьютерная техника и носители. Такое ощущение, что они вели себя как полные лохи.
Интересно, а что нужно, чтобы снять дамп памяти с ОЗУ? Т.к. если он снят не был, значит, они не смогут ничего раскриптовать, как я полагаю.

— Гость (19/07/2012 18:05)   
Последнему оратору: какова была причина (формальная и реальная) того, что менты так себя вели? Это бизнес, "заказ", "политика" или просто "для галочки" ?

— Гость (19/07/2012 19:03)   
Политика. И не менты, а ФСБ, менты были "на подхвате".

— Гость (19/07/2012 23:42)   

Насколько я понимаю, это нужно делать либо сразу на месте, либо выдирать память и класть её (условно) в жидкий азот, чтобы дожила до лаборатории.

— Гость (23/07/2012 00:28)   

Насколько я понимаю, это нужно делать либо сразу на месте, либо выдирать память и класть её (условно) в жидкий азот, чтобы дожила до лаборатории.

А что для этого нужно (железо, софт), чтобы делать сразу на месте?

— Гость (23/07/2012 01:02)   
MEMORY RESEARCH PROJECT SOURCE CODE^[link9]
VIDEO AND IMAGES^[link10]

— Гость (24/07/2012 13:04)   
Это что же такое нужно "натворить" чтобы пришли лично из ФСБ? В интернете на политических форумах ругают власть, оппозиционеры курируют свои акции и т.д., а тут... и куда они вламывались в квартиру или в офис? прямо как в кино в окна и взорвав металлическую дверь или как? и что потом было? арест был? уголовное дело? надеюсь вопросы не провокационные? просто хочу знать что бывает сегодня в реале, а не в СМИ и пугаськах

— Гость (24/07/2012 14:17)   
Не поделился, понятное дело.

— Гость (25/07/2012 00:05)   

Ничего сложного. https://en.wikipedia.org/wiki/Cold_boot_attack

— Гость (28/08/2012 09:53)   
— Гость (24/07/2012 13:04)

1) Агитация за вооруженное сопротивление власти, вестимо. Вообще-то раньше не обращали внимание, но в июле, похоже, произошла "массированная зачистка" оппозиции. Многие люди, как оказывается, просто исчезли (например, один мой знакомый блоггер – на днях мне сообщили, что его "закрыли" в психушку, выяснилось недавно).
2) Нет, никто не вламывался, на это все было продумано, просто подкатили на улице, заломили руки, утащили в отдел полиции, а там фейсы уже сидят и ждут :-)

— Гость (28/08/2012 10:52)   

Многие люди, как оказывается, просто исчезли (например, один мой знакомый блоггер – на днях мне сообщили, что его "закрыли" в психушку, выяснилось недавно).

Можно ссылку на блог этого блогера?

— unknown (28/08/2012 10:59)   
Провоцируете распространение экстремистских с точки зрения властей материалов? :) Может вам лучше приватно обменяться такой информацией?

— WestTrade (03/11/2012 14:17)   
Каков ход ситуации? Что нового?

— Гость (26/06/2013 18:10)   

Каков ход ситуации? Что нового?

Не пойму, куда-то мой комментарий делся, вроде бы запостился. Или не запостился? Замодерили чтоли за чрезмерную эмоциональность?
В общем, краткое резюме: ФСБ вернуло носители, не признав их вещдоками. Это значит, что они не смогли вскрыть шифр (иначе бы признали).
Полнодисковое LUKS-шифрование под Debian из-под дефолтного установщика показало свою эффективность.
OpenSource рулит, ведущие спецслужбы мира сосут отдыхают!

— Гость (26/06/2013 18:31)   

Полнодисковое LUKS-шифрование под Debian из-под дефолтного установщика показало свою эффективность.
OpenSource рулит, ведущие спецслужбы мира сосут

Подозрительно всё это.

— Гость (26/06/2013 18:58)   

ФСБ вернуло носители, не признав их вещдоками. Это значит, что они не смогли вскрыть шифр (иначе бы признали).

Не боитесь, что ФСБ прочитает этот пост и возбудит дело повторно? Дел-то с Debian-шифрованными дисками не много, найти не трудно.

— Гость (26/06/2013 21:03)   
После успехов с паролями из трафика к шифрованному ТопольМ, КГБ готово читать шифртексты со всех носителей страны.

— Гость (26/06/2013 21:23)   
Скопировать данные, а носитель расплавить!!!

— Гость (26/06/2013 21:26)   

найти не трудно.

Что найти не трудно? Выражайтесь вразумительно.

— Гость (26/06/2013 21:28)   

КГБ готово читать

Не могут. Три богатыря с Анонимуса сейчас в отпуске.

— Гость (26/06/2013 23:08)   
Админы, закройте тему, пожалуйста.

— Гость (26/06/2013 23:09)   

Замодерили чтоли за чрезмерную эмоциональность?

Нет, за мат^[link11].

После успехов с паролями из трафика к шифрованному ТопольМ, КГБ готово читать шифртексты со всех носителей страны.

Три богатыря с Анонимуса сейчас в отпуске.

Как же вы задрали со своим сленгом для интернет-идиотов. Взрослеть не планируется? Ни хрена не смешно набрасываете.

Что найти не трудно? Выражайтесь вразумительно.

Вас найти не трудно. Узнаём, какие недавно уголовные дела были закрыты, находим среди них вас, сопоставляем с вашим постом на форуме и открываем дело вновь, раз вы пытаетесь подразнить гэбню.

— SATtva (27/06/2013 07:27)   

Админы, закройте тему, пожалуйста.

Вы разве топикстартер, чтобы об этом просить?

— Гость (30/06/2013 14:30)   
А вот топик-пастер похоже с момента пейстинга не объявился... Ему не так повезло, как комментатору с фейсами?! Отбывает?

— Гость (30/06/2013 21:13)   

Потому что ТС-пост – это примитивная фантазия моделирование возможной ситуации, вероятность которой при соблюдении основ ИБ крайне незначительна, если вообще реальна.


И часто кто-то путает в одном посте ноут и комп?

Угнали мое авто. есть пикап, его угнали... какова вероятность, что мой седан найдут?

— Гость (30/06/2013 21:14)   

Расстреляли. На месте. При попытке.

— Гость (03/07/2013 17:25)   
Гость (30/06/2013 21:13)
Насколько больщую разницу вы видете между ноутбуком и компьютером?

— Гость (03/07/2013 22:42)   

Ноут vs ПК ≈ Ивановец vs Башенный кран.

© Какая разница? Большая разница.

Уно^[link12], дос^[link13], трес^[link14].
Это далеко не полный перечень отличий, но для ознакомления достаточно.

Но и сказанного, я думаю, будет достаточно, чтобы убедить любого сомневающегося в том, что портативный и настольный компьютеры — вещи разные. Не лучше или хуже, а именно "разные".

— Гость (03/07/2013 23:39)   

портативный и настольный компьютеры

Извиняюсь, что влезаю в ваш интеллектуальный спор, но здесь ключевое слово "компьютер". А потом уже портативный и настольный.

— Гость (04/07/2013 00:04)   
Кратко: ноут это комп!
Но не всякий комп – ноут.