Подбрасывание электронных «улик». Как обезопаситься?

Сейчас уже поздно переводить весь бизнес на бездисковые станции. Интересует, как вести себя в данных обстоятельствах

Никогда не поздно и это единственное, что вы можете сделать самостоятельно.

Ну и придется найти денег на хорошую юридическую контору чтобы в случае чего на месте быстро появился человек хорошо владеющий законами и имеющий опыт общения с людьми в форме. Плюс в юридических конторах обычно знают кто именно все эти «услуги» предоставляет.

Надо понимать, что даже самый плохой следователь ни в коем случае не будет наглеть при наличии рядом адвоката. Может от обвинений в пиратчине вас это не спасет, но сотрудников от психологических травм защитит.

Вы наверно забываете где проживаете :)
Опишу как было в одной из моих бывших работ.
Сидим.. тут с сиреной подкатывает 2 «пожарки», нам вышибают двери спецовым тараном, забегают человек 10 очень больших дядь в пожарной форме и красными красивыми топорами. За секунд 5 делают переориентировку, вышибают двери в серверную и превращают 6 стоек в кашу, после чего еще сорвав гидрант - на всякий полили всё водой. Работа вся эта заняла минуты 2. Потом так же быстро ретировались; для выяснений никто не смог никого остановить (да и достаточно ли нам платили, что бы у меня возникло желание препятствовать движению большого дяди в шлеме и с топором? нет).
В итоге даже не смогли выяснить что это было (по документам все пожарные расчёты были на месте). Бизнес очень пострадал и завернулся.

Шифрануть всё трукриптом, включая системный диск. В итоге видны будут разделы диска как не отформатированные без fs. Соответственно, записать на них что-то затруднительно. Но диски нужны новые.

Ах да. Стоит еще сказать, что если вы не драматизируете, и дело связанно с Бизнесом и Деньгами - то вопрос обычно не в «найти у них законные нарушения», а в «так или иначе на них что-то повесить». И поверьте - это печальная ситуация. Нужно перебивать большей суммой.

Соответственно, записать на них что-то затруднительно.

Не бойся, они вставят свой диск. :)

И по чём это поможет от заказа? Поменяют винт и скажут что так и было. Тут нужно юридическое опечатывание серверов (а оснований для этого, как правило, никогда нет, законных) с описью содержимого, включая серийники каждой железки. Но это такой гемор...

Версионность файловой системы позволит хранить журнал изменений и к примеру, разные версии одного и того-же файла.

Т.е. прочитав жулнал можно помотреть когда и кае файлы меняли.

Поменяют винт и скажут что так и было.

При хорошей защите такое не пройдет.

При хорошей защите такое не пройдет.

Если не затруднит, можно примеры такой защиты?

Можно, поищите по лору, я уже писал тут про заказ, про выемку, про суд и т.д. Примеры есть. Хотя и защита была не простая.

ух, жесть-то какая, прям готовый сценарий для голливудского боевика.

Это еще что, в одном случае, когда целью было «забрать» бизнес, а не завернуть, каждые 2-3 дня приходили по стенке строить. Так «ребята в форме» так к этому привыкли, что они раз вышибли двери «по привычке», думая, что их опять туда послали.

Совет: наймите хорошего юриста и чтобы он дежурил постоянно в конторе. Для проведения маски-шоу надо придумать очень вескую причину, куда более вескую чем пиратский фотошоп на компьютерах. Поэтому ловить надо на процессуальных вопросах, если заказали - самим ментам вы ничего не докажите и ни от чего не застрахуетесь. А вот в суде шансы всегда есть, поэтому копать проблему надо не с технической, а с юридической стороны.

Опись не только компов «ПК стоит по адресу ул. Бездельников д.5, каб.404, справа от двери, на полочке являющейся конструкцией стола.». Но и опись компонентов ПК и всех!, всех файлов на НЖМД. Тогда есть протокол о том что есть на компах и чего нет. Может ещё чего придумаете, но у меня пока фантазии не хватило. Ещё можно подёргать штатного юриста, но ему походу точно не до тебя.

если хочешь быть реальным борцом с системой, то присоединяйся к Доку Умарову и его бородатым товарищам, которые по горам с автоматами бегают, а всякие голосования-митинги — это фигня :)

Ну это смотря какое самоуничтожение. Если не с помощью rm -rf а с помощью гранаты с чекой, приделаной к дверце системника, то должно спасти

Воткнуть релюшку/пускач с подачей 6 киловольт по линии 12В компа - превратит содержимое любого писюка в кучку пепла за пол-секунды. Требуется мощное заземление корпуса ПК.

Поставить на винты пароли (которые аппаратные, в системе IDE/SATA-команд винта). Их, конечно, можно снять, если погуглить, но вдруг... Переписать серийники винтов.

купить квартиру неподалёку, кинуть туда линк (забетонировать+заасфальтировать всё над ним и непременно - с арматурой). В квартире расположить мощный NAS+tftp_boot+dhcp сервер (не забыть «списать» и «утилизировать»). В системниках выпилить все места возможной установки хардов. Запротоколировать отсутствие хардов. В «серверной» поставить фальшивый NAS+tftp_boot+dhcp сервер с тщательно убитыми хардами, аккуратно приваренными к шасси. В случае умыкания «сервера» можно порассказывать про очень хрупкие ХДД, убитые «сотрудничками» и требовать возмещения ущерба. А выкорчевать приваренное к 0,5 стали не повредив шасси... успехов, чё! Зачем приварены? А чтоб сотрудники не стырили! Если нужно меньше палива - прикручиваем по-максимуму шурупами и убиваем шлицы и стачиваем головки на шурупах... Открутить такое практически невозможно... развечто рассверлить отверстия В шурупах, что есть гемор.

ЗЫ не пил не курил, написал от балды...

Сказано же, диски могут подменить.

О да, сейчас тебе все школьники лора раскажут как они боролись с беспределом фсб.

Сходи в любую адвокатскую контору, пускай тебе расскажут как происходит вся эта процедура и что нужно делать.

При изъятии должны опечатать системный блок. Требуй, чтобы опечатали все дисководы и usb-порты. Если потом окажется, что печать сорвана, то, значит, на компе не то, что было при изъятии и можно смело говорить о том, что подбросили улики. Остаётся вопрос, как проконтролировать, что печать не нарушена.

Решили эту проблему следующим образом. У все офисных обезьянок тонкие клиенты с виндой. Физическое расположение сервера неизвестно. Есть «красная кпопка».

Все линуксовые сервера далеко за пределами офиса. Данные зашифрованы, т.к. важна конфиденциальность.

Вся инфраструктура заточена под удаленную работу. Все важные работники офиса могут работать как в офисе, так и удаленно.

Если будет вброс контрафакта, будут разбираться штатные юристы. При этом компания продолжит полноценную работу.

Прямая провокация танцпола. Не нравится это болото, плыви в другое, зачем все в одну кучу свалил?

По теме: один знакомый рассказывал как реально происходит. Любыми неправдами в помещение попадают полувооруженные люди в форме, всем лежать/сидеть/стоять, ничего не трогать, все системники и ноутбуки *опечатываются* и уносятся. Составляется акт на произвольную причину, подписывается. Техников среди них нет, за слово md5 или отказ от подписи едешь с ними в отдел и сидишь там до послезавтра. Теперь ваш главный пытается вызвонить хоть кого-то, кто может все вернуть, но ничего не получается. Отвечать будет оперативник, по чьей вине произошла эта страшная бюрократическая ошибка, его скорее всего уже уволили или перевели на другую должность. Собственно все. Никаких ЦП с михлаковым, вы и так все просрали в момент выноса компов.

А вообще это как в тебя уже стрельнули, и ты теперь как нео пытаешься раскорячиться, когда умный человек просто под пулю не полезет. С кем-то вы слишком резко разговаривали, не понимая о чем именно. Ну или слишком идейные — таких тоже не вредно подстрелить.

Снимай все самостоятельно в процессе обыска, комментируй. Сними заранее небольшой ролик, подробно показывающий, как у вас организовано все связанное с ИТ. Готовь его к выкладыванию в интернет

Изъятие сопровождается опечатыванием в присутствии понятых. Подбрасывание это опасно и за такое берут очень много денег, потому что если всплывет — подбрасывающие присядут очень серьезно. Обычно на компьютерах хватает компромата и без подбрасывания, поэтому ничего вам побрасывать не будут.

Найти юриста, который вас проконсультирует и после проверки вынесет мозг ментам по поводу незаконной проверки и изъятия.

Изъятие сопровождается опечатыванием в присутствии понятых.

Сейчас «понятые» это такие ребята работающие на силовиков. Проплаченная массовка.

Камеру вместе с оператором тоже осторожно опечатают и вынесут.

Кстати вопиющим о священной войне надо бы иметь представление об ощущениях, которые ты будешь испытывать, когда кто-то зайдет, начнет говорить, задавать вопросы, проедемте в отдел, вот здесь подожди, шнурки, часы, телефон, прошло уже наверное часов пять, жарко, воняет, быки в коридоре, а ты чо-то не так прост, умный, мы щас найдем узнаем / я тебе откровенно скажу, не надо строить героя, поссать через два часа только можно, щас закрыто все / будешь еще вякать взвешиваться пойдем / скоро едем в другой отдел с людьми говорить — и тому подобное сильно растянутое во времени и сыром душном сером пространстве. И в любой момент можно выйти — вот тут «с моих слов...», дата, подпись. А ты ведь и правда «ничего не сделал». Немногие способны провести хотя бы ночь в таком режиме, причем тебя и пальцем никто не тронет.

1. Переписать серийные номера оборудования.
2. Временно вытащить все hdd и спрятать, и перевести на LiveUSB. Желательно на минимально-допустимый для работы объём флеш-носителя.
3. Сотрудникам подключаться по VPN или чему-то похожему к удалённому серверу, там и хранить инфу.
4. Проинструктировать сотрудников: „при появлении нежданных гостей флешку вытащить и забрать с собой“, в идеале чтобы и приносили на работу с собой, мало ли, а то ночью гости заявятся. :)

В итоге заберут без носителей информации, что само по себе немного лучше, в след уносящим системные блоки обязательно скажи чтобы ставили жёсткие минимум на 1Тб!
Знакомый предприниматель (в Украине) рассказывал, после того как изъяли оборудование и ничего не нашли, он отказался подписывать бумажку о том что заберёт обратно, мотивируя тем, что значение bios с того момента как они забрали изменилось (ведь так и есть!), и всё уже не так. В итоге получилось что компьютеры до сих пор на проверке (у него их акт есть, предъявляет), а по-новому не могут изъять, по бумаге он без компьютеров справляется что им и повторяет.

Подбрасывание это опасно и за такое берут очень много денег

Насмотрятся люди голливудских сюжетов про демократию, и бредят потом подбрасываниями да подставами. Все куда прозаичнее — компов три дня нет, кредиторы в тебя уже не верят, сотрудники разбегаются, кто-то тебя начинает плавно банкротить, а ты священный воин священной революции :)

Можно только вынести им мозг, вопрос насколько часто и вовремя ты готов за это платить? Может лучше убрать ногу кому наступил, да извиниться? Наверняка ведь какой-то крупный тендер умудрились по-чесноку выиграть, жуки.

Временно вытащить все hdd и спрятать, и перевести на LiveUSB.
при появлении нежданных гостей флешку вытащить и забрать с собой

неужели ты считаешь проверяющих такими идиотами? При таком плане действий проверки будут происходить регулярно.

Кстати, а разве нету контор, которые могут провести некий аудит и выдать какую-нибудь бумажку, что на дату проверки пирацкого ПО не обнаружено?

википедия утверждает, что MD5 устарел и следует приобщиться к семейству SHA-2

При таком плане действий проверки будут происходить регулярно.

Но безуспешно. :)

Камеру вместе с оператором тоже осторожно опечатают и вынесут.

Часто в офисах ставят камеры видеонаблюдения. Так вот, данные с них можно в реальном времени отправлять на удалённый сервер в другой стране.

Ну, пишут, что в Германии примерно так же: http://www.securitylab.ru/news/405699.php

А в США деньги забирают, даже у меня забрали.

Почему безуспешно? Если цель - помешать нормальному функционированию компании - то вполне успешно.

Технику, даже если ты доказал, что ты прав и всё тип-топ, не возвращают

Это серьёзно у вас так? Пруфы будут?

менты такие тупые, что перед изъятием не догадаются обесточить помещение?

Был на изъятии техники у наркоторговцев в офисе. Ничерта не пломбировали. Жесткие диски (те, что в столе, а не в системниках) бросали в сумку с высоты в метр, по звукам было понятно, что дискам капец.

btw, а может, опечатать тонкий килент заранее, в присутствии нотариуса и техэксперта, и все такое?

за слово md5 или отказ от подписи едешь с ними в отдел и сидишь там до послезавтра

и почему бы не поехать, да не посидеть? Зато подписи не будет

Снимай все самостоятельно в процессе обыска, комментируй.

место преступления, на котором проводятся мероприятия, нельзя снимать

Ну, есть системы экстренного уничтожения данных на НЖМД, при помощи мощных электромагнитов. Но смысл в этом?

Вот поэтому вам и посоветовали прикрутить гранату. После нее ставить новый ЖД будет просто некуда. И некому =). Только после такой «инсталляции» нужно будет быстро валить из страны.

тонкие клиенты - серваки в Брунее, бухи на мальдивах.

Какого размера бизнес ты сможешь создать при такой схеме IT?

Каковы будут затраты на IT?

Как обезопасишь себя от того, что «бухи на мальдивах» не уведут бабки или не подомнут бизнес под себя?

Что будешь делать, когда «серваки в Брунее» лягут по причине аварии в тамошнем датацентре? Что будешь делать, когда канал до них будет тормозить по вине промежуточного провайдера?

Если не с помощью rm -rf а с помощью гранаты с чекой, приделаной к дверце системника, то должно спасти

Статья экстремизм или терроризм, конечно гораздо лучше, чем простое экономическое преступление.

О да, сейчас тебе все школьники лора раскажут как они боролись с беспределом фсб.

Хорошо подметил)

Пруфы можешь найти сам, даже оппозиционерам тоже не возрващают , статьи в прессе есть.

моё дело помочь настроить - всё остальное дело начальства

1. все харды зашифровать.
2. все корпуса опломбировать и на замок.
на видео заснять процесс второго пункта, и чтоб в кадр попало количество хардов и их серийники, да и вообще, чтоб в кадр попало вообще всё железо.

сделать много копий записи и хранить в разных зданиях

«Кучка пепла и пара берцев пытались обесточить линию 6 киловольт» == ССЗБ

ЗЫ А кто им ключ от РП даст? Пока найдут ключ и человека с 4 или 5 группой допуска по э.б. - все уже давно будут на измене.

Три принципа:
1. Сделай заранее все проверки, которые могут сделать они, сильными третьими сторонами.
2. Не сопротивляйся там, где они ждут наибольшего сопротивления
3. Предоставляй им как можно меньше информации. То есть отвечай на все вопросы, но ничего дополнительно не поясняй. Так и проинструктировать всех сотрудников.

Найми сторонний аудит, который проверит у нас наличие контрафактного ПО, и другого того, что вы боитесь что вам подбросят. Желательно чтобы это было большая контора, чтобы потом ее не поломали. Результат - в бумажном виде, заверенный печатями, положить в сейф за пределами конторы (банковская ячейка). В идеале сделать аудит еще и теми же службами, если есть основания не бояться. Никому об этом отчете не говорить, но и не скрывать, если зададут вопрос.
Поставь видеокамеры, запитай от луча, который они не смогут отключить, или который будет на UPS, которые будут не на виду и не будут пищать при отключении питания. Складывать запись будут в какой-то левый датацентр (то есть не в помещении).

Далее, сделать так, чтобы им было тяжело правильно подбросить информацию. Сделайте политики компании, например: шифрование дисков (я хочу посмотреть как ихний спец поставит контрафактную винду на зашифрованный раздел), политика отделения раздела данных от раздела с системой, должен быть установлен специфический софт (начиная от лицензионного антивируса нужной версии, заканчивая какой-то спец. тулзовиной). Опять же, нужны будут какие-то акты удостоверяющие то, что это было выполнено. В идеале - если эти акты заверенные третьей стороной. Если есть бекапы - отлично. Пусть их даже забирают: если захотят что-то установить, придется подправить бекапы.

Ну и т. п. Принцип - чтобы им было сложнее подбросить. Ну, а эти факты нужно выкатывать только на суде. Естественно, если не получится решить вопрос до суда. Да, кстати, если привлечь на суд прессу, то даже подкупленный судья будет ёрзать на стуле. Естественно, если вы 100% уверены что вашу правоту можно подкрепить фактами.