Очень долго искал у себя на винчестере файл win386.swp... Нету Это из windows 3.11? Не ясно чем отсутсвие QEMM поможет читать NTFS раздел из DOS 6.22. Поискал в гугле и не помог найти описание файловых систем " Linux, UNIX, Macintosh ", с которыми умеет работать могучая программа EnCase.
offtopic пишет: Поискал в гугле и не помог найти описание файловых систем " Linux, UNIX, Macintosh ", с которыми умеет работать могучая программа EnCase.
В общем-то можно согласиться что "эксперт обязан обеспечить неизменность содержимого жестких дисков". Но вот вам конкретный пример: файл сервер - Network Appliance Filer R100 80 x 160Gb HDD полезный обьем - 12TB файловая система - WAFL операционная система - DataONTAP 6.4.2 RAID4 - программный средствами ОС
Вашему гипотетическому эксперту остается только застрелиться т.к. излечь хоть какую то информацию с такого сервера без его загрузки стандартными средствами невозможно.
В экспертизе главная квалификация эксперта ))) Которая обычно желает лучшего, похоже увы и в данном случае( . А тулсов вполне достаточно фриварных.) http://www.sleuthkit.org/about.php. И если покапаться их тысячи . На самом деле это очень свежий вид экспертиз , и проблем там сотни , и юридических и технических , так может пусть пишут специалисты и о серьезном проблемном . Оставить это им и не писать о том что знаеш поверхностно .
Статья не плохая - много хороших выводов и полезных примеров. Но к сожалению у автора сложилось стойкое мнение, что никто кроме него не разбирается в компьютерных экспертизах,а в гос.органах просто одни лохи сидят ;(
Space07 пишет: Статья не плохая - много хороших выводов и полезных примеров. Но к сожалению у автора сложилось стойкое мнение, что никто кроме него не разбирается в компьютерных экспертизах,а в гос.органах просто одни лохи сидят ;(
У меня сложилось впечатление, что те, кто разбирается, хорошо спрятались. Особенно в некоторых госорганах. Все приведённые "перлы" - горькая реальность. Просто если есть возможность за одну и ту же работу получать 200 у.е. или 1000 у.е. - <font color=RED>некоторое совершенно незначительное</font> количество экспертов склонно выбирать 1000 у.е.
2offtopic - win386.swp усебя поищи после того, как win9х поставишь А вообще такой пример - ASP Linux 9.0, под которым стоит PGP 6.0.2. Разделы только swap и ext2, на котором нету практически ничего кроме системы и огро-о-омного PGP-диска. ключ 256-бит, passphrase - 211 символов. Особо секретные файлы шифруем по алгоритму DEC с ключом в 4096 бит и ставим passphrase в 472 символа. Ну и хто ж у мя чего рискнет поискати? P.S. а passsphrase в 211 символов каждый раз вводить - поверьте, совершенно не в лом. ))
Насчет неизменности винта: ежели кто захочет поковыряться - PQ и Symantec предлагают много хрени. А насчет шифрования: 2 суток ласточкой убедят почти всех в правоте милиции. (правда если очень захотят с вами возиться).
А вообще такой пример - ASP Linux 9.0, под которым стоит PGP 6.0.2. Разделы только swap и ext2, на котором нету практически ничего кроме системы и огро-о-омного PGP-диска. ключ 256-бит, passphrase - 211 символов. Особо секретные файлы шифруем по алгоритму DEC с ключом в 4096 бит и ставим passphrase в 472 символа. Ну и хто ж у мя чего рискнет поискати? P.S. а passsphrase в 211 символов каждый раз вводить - поверьте, совершенно не в лом. ))
Какова будет криптозащита твоего огро-о-омного PGP-диска, если тебе в ж...пу всунут паяльник?
Без сомнения полезная статья, тема актуальна, но не нова. Slab как сайт посвященный информационной безопасности должен публиковать больше подобных статей. Хотелось бы как можно больше знать: правовых аспектов законодательства (хотя бы стран СНГ), связанных с компьютерными преступлениями, методы доказания и опровержения виновности, публиковать судебные дела и ход судебного процесса. Это полезно всем как комп. преступникам так и экспертам.
Статья хорошая, и кстати автор разбирается в компьютерах на уровне, на мой взгляд, ему достаточном, а некоторые "умники" могут посмотреть в словаре слово "подразумевать"! И поймут, что когда автор говорил о "файловых системах " Linux, UNIX, Macintosh "" он всего лишь имел в виду файловые системы, используемые в этих операционных системах. Или это слишком сложно для понимания некоторых читателей? Скорее всего им важнее наехать как обычно "вот, автор ламер, ничего не понимает в компах а туда же".... А магнитный носитель с файловой системой CD-ROM и DVD-R - это диски с файловыми системами ISO9660 and UDF Bridge Format.
Вообще было бы интересно почаще узнавать об изменениях и новых подходах в области расследования компьютерных преступлений. Я думаю, что малолетним (и не только)хакерам, посещающим этот сайт, будет тоже интересно узнавать о достижениях следственных органов =)
Кстати, поводу негосударственных экспертных организаций автор почему-то не упоминает возможность лицензирования. Ведь это бы решило вопрос контроля государства за кваликацией таких экспертов (периодическими проверками), а возможно и адресной государственной оплаты.
ЗЫ. меня всегда прикалывают фразы типа "незаконное распространение наркотиков", они сразу предполагают вопрос "а что есть законное?" =)) хотя законное есть, это лекарства в аптеки, но вот "незаконное распространение порнографических материалов" тоже хорошо звучит , не подскажите а где можно подписаться на "законное распространение" ?
А вообще такой пример - ASP Linux 9.0, под которым стоит PGP 6.0.2. Разделы только swap и ext2, на котором нету практически ничего кроме системы и огро-о-омного PGP-диска. ключ 256-бит, passphrase - 211 символов. Особо секретные файлы шифруем по алгоритму DEC с ключом в 4096 бит и ставим passphrase в 472 символа. Ну и хто ж у мя чего рискнет поискати? P.S. а passsphrase в 211 символов каждый раз вводить - поверьте, совершенно не в лом. ))
Какова будет криптозащита твоего огро-о-омного PGP-диска, если тебе в ж...пу всунут паяльник?
JtHermit пишет: 2offtopic - win386.swp усебя поищи после того, как win9х поставишь А вообще такой пример - ASP Linux 9.0, под которым стоит PGP 6.0.2. Разделы только swap и ext2, на котором нету практически ничего кроме системы и огро-о-омного PGP-диска. ключ 256-бит, passphrase - 211 символов. Особо секретные файлы шифруем по алгоритму DEC с ключом в 4096 бит и ставим passphrase в 472 символа. Ну и хто ж у мя чего рискнет поискати? P.S. а passsphrase в 211 символов каждый раз вводить - поверьте, совершенно не в лом. ))
Так же абсолютно не влом те будет их ввести с зажатыми дверью яйцами.. в присутсвии экспертов
А вообще такой пример - ASP Linux 9.0, под которым стоит PGP 6.0.2. Разделы только swap и ext2, на котором нету практически ничего кроме системы и огро-о-омного PGP-диска. ключ 256-бит, passphrase - 211 символов. Особо секретные файлы шифруем по алгоритму DEC с ключом в 4096 бит и ставим passphrase в 472 символа. Ну и хто ж у мя чего рискнет поискати? P.S. а passsphrase в 211 символов каждый раз вводить - поверьте, совершенно не в лом. ))
Какова будет криптозащита твоего огро-о-омного PGP-диска, если тебе в ж...пу всунут паяльник?
Гость пишет: И поймут, что когда автор говорил о "файловых системах " Linux, UNIX, Macintosh "" он всего лишь имел в виду файловые системы, используемые в этих операционных системах
А под QEMM он имел ввиду что? NTFSDOS? Я не могу сказать ничего по организационным и юридическим вопросам, описанным в данной статье, однако в технической части автор допускает ряд грубейших ляпов, которые подрывают мое доверие к нему как к эксперту.
Так что может ему только юридическими вопросами и ограничится?
вермут пишет: В Англии такие эксперты уже обкакались с хьстонским хакером. Пишите статьи и дальше о том, чего нельзя доказать.
Почему-то все громкие публикации о задержании хакеров на западе имеют одну общую особенность: 15-ти или 17-ти летний подросток задерживается и предстает перед судом. Затем его пугают [IMG]http://www.securitylab.ru/forum/smileys/smiley19.gif[/IMG] (штрафуют родителей на небольшую сумму) и суд освобождает юного хакера... Не помню ни одного сообщения об аресте и осуждении западных хакеров старше 21 года (дело Склярова и других российских программистов - тема отдельного обсуждения).
Автор достаточно подробно описал известную ему область при этом учел сопутствующие юридические документы. Это несомненный плюс. Однако, ИМХО информация изложенная в этом материале несколько устарела, так как большей частью изложенных способов лично я пользовался в последний раз около 7 лет назад. С тех пор появилось достаточно много более эффективных средств как программной так и аппаратной защиты информации на жестких дисках и получить ключ к таким средствам можно только сотрудничая с "подозреваемым". А применять силу права не имеют.
ИМХО: без доказательств задержать с мерой пресечения "заключение в следственном изоляторе" - это нарушение прав человека. А если доказательства на винчестере, то получается замкнутый круг. Опять же если я не прав, то пожалуйста поправьте.