А почему эксперт должен быть 1? Если их будет штук 10-20?
Организация технико-криминалистической экспертизы компьютерных систем
|
11.11.2003 20:23:36
|
|
|
|
|
|
12.11.2003 06:58:11
ага а если я аппаратный пароль на жесткий диск поставлю, пусть потом вынимают его из компа (половина горе экспертов подумает что винт угробили [IMG][/IMG] )
|
|
|
|
|
|
12.11.2003 08:32:21
и вообще надо выбросить привычку пользоваться компьютером
в нашей стране любое дело пришьют, и паяльник за что угодно засунут |
|
|
|
|
|
12.11.2003 10:23:54
и кто же будет держать свои "секретные" файлы в компе?
у меня они в i-net'e в зашифрованном виде  ))хотя они еще не очень секретные |
|
|
|
|
|
12.11.2003 10:47:31
Вопрос 1 Какая имеется ввиду аппаратная защита жёсткого диска? Насколько мне известно только три отечественных СЗИ осуществляют аппаратную защиту жёсткого диска: SecretNet (НИП "Информзащита"), Accord (НТЦ "Атлас")и DallasLock ("Конфидент"). У всех этих средств есть один существенный минус: после извлечения устройства из PCI слота, загрузки в безопасном режиме имеется возможность устранить и программную защиту данных. SecretNet вообще этим не страдает-там достаточно просто выдернуть железку. Я уж не говорю о том, что винт изымут физически, поставят вторым на другой машине, загрузятся с носителя с доверенной операцонкой? Всё-таки мне кажется, что для этих целей криптография больше подходит нежели аппаратно-программные СЗИ
Вопрос 2 Что делать эксперту, если админ всё-таки успел нажать тревожную кнопку, и по винту всё-таки отработать электро-магнитный излучатель |
|
|
|
|
|
12.11.2003 11:54:23
Под QEMM я имел в виду именно QEMM - менеджер памяти от компании Quarterdeck, ныне слившейся с Symantec. Этот менеджер расширяет доступную системе оперативную память в том числе и за счёт собственного своп-файла (см. например ссылку на ). Использование такого или аналогичного менеджера памяти при загрузке операционной системы на исследуемом компьютере приведет к записи на его жесткий диск и тем самым к "существенному изменению свойств исследуемого объекта". К драйверам NTFSDOS менеджер памяти никакого отношения не имеет. И последнее. В этой статье я лишь осветил некоторые частные вопросы, а не ставил своей целью ликвидацию компьютерной малограмотности всех желающих. Поэтому, если уважаемый автор цитаты не владеет информацией в достаточной мере, я могу только посоветовать ему немного заняться самообразованием. В свободное от пионерских наездов время [IMG][/IMG] |
|||||
|
|
|
|
12.11.2003 12:07:39
ага! и ещё - сходить на курсы Информзащиты! Я знаю, я знаю, мне уже советовали! Pig Killer - помнишь ты обещал за статейки на курсы записать. Второй раз советуют, пора идти. Все, записывай. Хочу БТ11. |
|||
|
|
|
|
12.11.2003 12:10:48
Что характерно, не только не имеют, но и не применяют. Вместо силы применяются методы, детально перечисленные в Законе РФ "Об оперативно-розыскной деятельности". Конкретная реализация этих мер по понятным причинам не может публично обсуждаться, однако результат я пару раз получал в виде приписки к постановлению о назначении экспертизы. Там говорилось, в частности, так: "Проверить, возможно ли расшифрение архива [орфография оригинала - И.С.] с помощью паролей krendel453 и gbplfceifvb". То есть на всякую защиту находится свой метод взлома. Сам владелец архивов тем временем находился у себя дома в добром здравии. Результатами экспертизы он был неприятно удивлён.
На моей памяти в следственный изолятор во компьютерным преступлениям человека помещали всего два раза. И оба раза отнюдь не для добывания показаний. Первый страдалец зачем-то держал у себя дома пистолет и начал им невежливо размахивать перед носом у приехавших оперов. А второй решил стать сам себе адвокатом и всё объяснить следователю прокуратуры. С этой целью страдалец поймал следователя (девочку 20 лет) на улице, схватил за капюшон и долго с жаром что-то объяснял, пока мимо не прошёл патруль. Итогом в обоих случаях явилось заточение в узилище. Во всех остальных случаях насилием никаких фактических данных (типа паролей) ни у кого не получали.
А как же! Просто в большинстве случаев люди, которые пресекают компьютерные преступления, немножко знают свою работу. Даже оперативнику среднего уровня совсем не надо ничьих прав нарушать для добычи информации. Но это тема уже для другого сайта [IMG][/IMG] |
|||||||
|
|
|
|
12.11.2003 12:51:11
По первому вопросу, тот образец, который я держал в руках изготавливает КБ "КомКон" (вроде так). Данное устройсво представляет собой "карман" для HDD, с окошком - дактилоскопическим датчиком. Палец владельца кармана и есть ключ (кстати отрезанный палец или муляж не позволяют включить устройство). Без кармана к HDD подключить нельзя, с карманом нужен палец. По вопросу 2. Любой _хороший_ админ _должен_ иметь резервные копии _желательно_ на лентах или иных съемных устройствах хранения информации, _желательно_ вдали он сервера, _желательно_ в другом помещении и _желательно_ в сейфе. [IMG][/IMG] Кстати, а резервные копии ведь в незашифрованом виде ... (срочно шифровать !) [IMG][/IMG] |
|||
|
|
|
|
12.11.2003 12:56:08
В управлении К обычно все решается намного проще. Поставили скрытую камеру, которая записывает работу пользователя за компьютером и никакое шифрование не поможет.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
|
|
|
|
|
12.11.2003 13:02:48
НА ТЕМУ защиты винтов
еще в по ATA4 спецификации появилась функция аппаратной блокировки доступа к HDD. реализуется через прямой доступ через порты IDE работает железно для знакомых делал (без ключевого загрузочного CD винт только опознается в биосе) на все команды кроме ID отвечает ERROR [IMG][/IMG] |
|
|
|
|
|
12.11.2003 13:03:19
Оч. мне понравилась. |
|||
|
|
|
|
12.11.2003 13:40:31
|
|||
|
|
|
|
12.11.2003 13:52:17
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
|||
|
|
|
|
12.11.2003 14:14:52
Не, всё это конечно понятно... и палец и карман! Непонятно другое: какой конкретно механизм запрещает вынуть винт из кармана и поставить на другую машину? Аккорд с SecretNet так же работают. Есть замок - есть ключ - есть считыватель ключевой информации. У железки "КомКона" всё тоже самое карман-замок, ключ-палец,дактилоскопический датчик-считыватель. Только железки других фирм используют не биометрическую идентификацию пользователя, а чтение с магнитного носителя (ключ-дискета, тоуч-мемори, смарткарта и т.д.)т.е. принцип работы идентичный. Вы же сам пишете: "кстати отрезанный палец или муляж не позволяют включить устройство " Вот именно-включить устройство..., но если вы вынимаете винт и ставите на другую машину, или загружаетесь в безопасном режиме или в пошаговом режиме без загрузки драйвера данного устройства,предварительно вынув в принципе железку из компьютера, то вы либо в первом случае получаете возможность удалить программную защиту, т.к. сзи скорее всего программно-аппаратное, а после перезагрузки получить доступ ко - всем данным на диске, либо если вы используете пошаговый режим, можно выкинуть драйвер конкретного устройства и получить доступ к данным не убирая программной защиты, а только нейтрализовав аппаратную. Выше указанными способами я обходил СЗИ "Аккорд" - 1 случай, сзи DallasLock - 2 случай. |
|||
|
|
|
|
12.11.2003 14:24:02
Не уверен. Хотя в том, что из нас двоих прав именно я, я уже тоже не уверен. Сходи по ссылкам. Оказывается и управление Р и К занимаются преступлениями в области информационных технологий. Или Р переименовали в К или наоборот... или я чего-то не понимаю. |
|||||
|
|
|
|
12.11.2003 15:25:18
Можно чуть чуть поподробнее? [IMG][/IMG] |
|||
|
|
|
|
12.11.2003 16:33:07
для тех кто в танке
на всех современных винтах есть аппаратная защита по 2м паролям)(НА ВСЕХ) обьяснять не буду, читай инфу на стандарт ATA. если обьяснить как, появится кучя вирусов(а не 3-4 [IMG][/IMG] ) паролящих винты (для установки пароля на винт достаточно 10-20 байт кода) |
|
|
|
|
|
12.11.2003 20:37:07
Спасибо что хоть в танке... |
||||
|
|
|
|||
Читают тему