LINUX.ORG.RU

Linux для судебных экспертов

 ,


0

0

В статье описаны способы монтирования файловых систем, в том числе и журналируемых, обеспечивающие неизменность данных. Показана недостаточность использования флагов "-o ro" при проведении криминалистического исследования файловых систем.

Описаны результаты тестирования наиболее популярных поддерживаемых судебных дистрибутивов Linux с целью поиска проблем, связанных с автоматическим монтированием файловых систем (с последующим изменением данных) в процессе загрузки.

>>> Подробности (PDF)

Re: Linux для судебных экспертов

> Описаны результаты тестирования наиболее популярных поддерживаемых судебных дистрибутивов Linux

> судебных дистрибутивов

O_o

matimatik ()

Re: Linux для судебных экспертов

жуть то какая. PDF на русском ?

f3ex ★★ ()

Re: Linux для судебных экспертов

А как жену грохнуть чтоб никто не прознал там пишут? А то некоторые разработчики файловых систем до сих пор сидят и грустят на эту тематику.

shutty ()

Re: Linux для судебных экспертов

Где тег "вещества" ?

После прочтения pdf складывается ощущение, что либо аффтар не знает, что всё это можно сделать в любом дистрибе линуха (а не в каком-то сферическом судебном дистрибутиве в вакууме), либо всё-таки скрывает, что к делу причастны вещества.

anonymous ()
Ответ на: Re: Linux для судебных экспертов от shutty

Re: Linux для судебных экспертов

> А как жену грохнуть чтоб никто не прознал там пишут? А то некоторые разработчики файловых систем до сих пор сидят и грустят на эту тематику.

Эти разработчики сами теперь чьи-то жены. Так что статус-кво восстанавливается автоматически.

d_a ★★★★★ ()
Ответ на: Re: Linux для судебных экспертов от matimatik

Re: Linux для судебных экспертов

>> Описаны результаты тестирования наиболее популярных поддерживаемых судебных дистрибутивов Linux

>> судебных дистрибутивов

> O_o

Из pdf:

"Судебный дистрибутив Linux — дистрибутив Linux, предназначенный для решения широкого спектра задач при проведении судебных компьютерных и компьютерно-технических экспертиз. Как правило, данные дистрибутивы используются для решения следующих задач:

– Предварительное исследование носителей данных (например, для определения установленной операционной системы);

- Создание точных копий исследуемых носителей данных;

- Полное исследование носителей данных, включая, например, поиск файлов по ключевым словам и анализ журналов работы операционной системы.

Кроме того, судебные дистрибутивы Linux могут включать в себя программы для исследования сетевого трафика и копирования энергозависимых данных (например, содержимого оперативной памяти) с работающей системы."

paran0id ★★★★★ ()

Re: Linux для судебных экспертов

где же вы такую специфическую документашку откопали то?

Atlant ★★★★★ ()

Re: Linux для судебных экспертов

Судебные эксперты сосут ***. Потому что есть криптографические ФС, или через fuse например, я вот юзаю EncFS для палева, поэтому лучший способ для кримэкспертов - использовать запатентованную методику терморектального криптоанализа !

anonizmus ()
Ответ на: Re: Linux для судебных экспертов от paran0id

Re: Linux для судебных экспертов

>Кроме того, судебные дистрибутивы Linux могут включать в себя программы для исследования сетевого трафика и копирования энергозависимых данных (например, содержимого оперативной памяти) с работающей системы."

Наверное этот волшебный документ был разработан в мегасекретном отделе Р (или К, как там его щас) что бы ловить детей которые воруют пароли диалапных соединений, ну типа круто - ДИСТРИБУТИВ сделали специальный, бабло можно смело пилить, а пресса теперь будет резать фарш на тему того что эксперты ФСБ анально контроллируют каждое наше нажатие на клавишу.

Неинтересно это всё. Вот лучше бы запостили статью про промышленный шпионаж нормальную. Как то снятие информации с излучения ЭЛТ, индивидуального щелканья кнопок клавиатуры, и удаленного чтения мозга пользователя/зомбирование используя торсионные поля %-)

anonizmus ()

Re: Linux для судебных экспертов

схоронил!

anonymous ()

Re: Linux для судебных экспертов

О сколько нам лулзОв прекрасных...

anonymous ()

Re: Linux для судебных экспертов

В общем, из этой статьи следует, что единственный нормальный дистр — grml (остальные либо платные, либо могут что-нибудь изменить)

Только вот что-то я не нашел на его сайте никаких упоминаний о том, что он судебный.
И тогда уж им надо было system rescue cd проверить, он тоже для восстановления. Судя по тому, что я видел, очень мощный. Или есть ещё круче дистры для восстановления?

Xenius ★★★★★ ()

Re: Linux для судебных экспертов

Казалось-бы, какая связь между Райзером и уголовным делом? 0_o)

epsilon1024 ()

Re: Linux для судебных экспертов

Переливание из пустого в порожнее. Полторы полезные мысли, для которых пять страниц - явно перебор.

const86 ★★★★★ ()

Re: Linux для судебных экспертов

"– Возможность успешной загрузки практически на любом аппаратном обеспечении;"

дальше читать не стал...

GOD ★★★ ()
Ответ на: Re: Linux для судебных экспертов от epsilon1024

Re: Linux для судебных экспертов

Статья пипец. В выводе - ниодин дистрибутив не гарантирует неизменяемость файловой системы потомучто в fstab может быть всё что угодно..

Sergogo ()

Re: Linux для судебных экспертов

Есть же отличная книжка Брайана Кэрриэ "Криминалистический анализ файловых систем". Зачем эта хрень?

DELIRIUM ★★★★★ ()

Re: Linux для судебных экспертов

Хочу, чтобы Линукс для судмедэкспертов.

one_more_hokum ★★★ ()

Re: Linux для судебных экспертов

Проблема неизменности программной среды и доверия к ней для криминалистических (например) исследований сама по себе интересна. См. например, тьюринговскую лекцию Кена Томсона.

А новость -- нет.

Явно был опубликован технический отчет о заказных работах по тестированию дистрибутивов. Следуеть еще добавить, что неплохо бы огбеспечить неизменность самих дистрибутивов (типа загрузка с live-cd) или (как минимум) монтирования /usr с cd-rom. Ну про проверку контрольных сумм я не говорю.

А вцелом -- штатная задача, возникающая на сертификации чего-либо для каких-нибуть военных и прочих федералов :)

gns ★★★★ ()
Ответ на: Re: Linux для судебных экспертов от Zerg324

Re: Linux для судебных экспертов

>чтой-то я не понял, что из вышеперечисленного нельзя сделать, используя тот же Дебиан.

Можно, а то просто для людей которые M$ видно изпользовали.

Boy_from_Jungle ★★★★ ()
Ответ на: Re: Linux для судебных экспертов от one_more_hokum

Re: Linux для судебных экспертов

Желаете написать руководство "анализ краш-дампов или gdb для паталогоанатомов"? :))

gns ★★★★ ()
Ответ на: Re: Linux для судебных экспертов от anonizmus

Re: Linux для судебных экспертов

> ну типа круто - ДИСТРИБУТИВ сделали специальный

не типа круто, а типа удобно. или универсальная винда, где неделю нужно пилить, чтобы всё работало, или универсальный дистрибутив, где всё готово через 45 секунд, как при пожаре, можно даже LiveCD с собой таскать на точку.

Woffice ()

Re: Linux для судебных экспертов

А примеры практического применения данных рекомендаций из жизни есть?

ist76 ★★★★★ ()

Re: Linux для судебных экспертов

>> Кроме того, судебные дистрибутивы Linux могут включать в себя программы для ... копирования энергозависимых данных (например, содержимого оперативной памяти) с работающей системы.

Как это?

ниче монтировать не надо - dd решит все проблемы http://www.intuit.ru/department/security/issec/21/ http://www.intuit.ru/department/security/secopen/11/7.html

а вообще все в сад

SnoWLight ()
Ответ на: Re: Linux для судебных экспертов от const86

Re: Linux для судебных экспертов

> Полторы полезные мысли

окромя переведения устройства в режим ro какие еще полмысли там были?

azure ★★ ()
Ответ на: Re: Linux для судебных экспертов от one_more_hokum

Re: Linux для судебных экспертов

> Хочу, чтобы Линукс для судмедэкспертов.

Почитал тред, долго думал... Это что-же теперь дистрибутивы клепаются для каждой профессии отдельно и специально?
Тагда хачу для слесарей тоже!

valich ★★★ ()

Re: Linux для судебных экспертов

>RIPLinux на основе дистрибутива Slackware

Чудесно!

anonymous ()

Re: Linux для судебных экспертов

Интересно, если шифруемые данные попадают в swap, их возможно восстановить?

jeremiah ()

Re: Linux для судебных экспертов

>Показана недостаточность использования флагов "-o ro"

Ну ладно ro недостаточно, а dd?

tesla ()
Ответ на: Re: Linux для судебных экспертов от tesla

Re: Linux для судебных экспертов

>>Ну ладно ro недостаточно, а dd?

Для dd монтировать не надо. Дистрибутив должен загрузиться гарантировано без автомонтирования дисков, потом выполняется копирование утилитой dd образа диска целиком, и дальнейшие действия выполняются уже с образом.

SnoWLight ()
Ответ на: Re: Linux для судебных экспертов от Woffice

Re: Linux для судебных экспертов

> можно даже LiveCD с собой таскать на точку.

В России уже практикуется создание образов "на месте". Поэтому необходимость в использовании аппаратных средств для клонирования НЖМД, либо соответствующих дистрибутивов возрастает с каждым, кхм, годом :)

forensics ()
Ответ на: Re: Linux для судебных экспертов от SnoWLight

Re: Linux для судебных экспертов

> ниче монтировать не надо - dd решит все проблемы

Нет, не решит. Клонирование занимает время, количество исследуемых носителей растет, а в сутках все еще 24 часа.

Да и по ссылкам приведена весьма устаревшая информация: между "Live Response" и "Forensic Duplication" можно смело вставить "Forensic Preview", который требует монтирования (TSK ведь не все ФС поддерживает).

forensics ()

Re: Linux для судебных экспертов

Все-таки сдала же какая-то мразь наши интернеты.

Лишь бы это не было дезой, чтобы ввести противника в заблуждение относительно уровня квалификации отдела К и иже с ними.

gkrellm ()
Ответ на: Re: Linux для судебных экспертов от gkrellm

Re: Linux для судебных экспертов

>> Лишь бы это не было дезой, чтобы ввести противника в заблуждение относительно уровня квалификации отдела К и иже с ними.

Вово. я тож об этом подумал. Я уже сталкивался с софтиной реального анализа файловых систем - проговина восстанавливает файлы (часто канеш битые, но вполне служащие доказательством) после четырехкратной переразбивки диска на разделы, и много, даже МНООГОкратных форматирований диска в разные файловые системы.

А за grml тому чувачку кто писал статью - спасибо. качаю, буду щупать что за зверь.

fooser ()

Re: Linux для судебных экспертов

Байда какая-то

rht ★★★★★ ()

Re: Linux для судебных экспертов

Вот черт, они уже все знают

Osmos ★★ ()

Re: Linux для судебных экспертов

they're wathching over us...

кагстрашнажыть

dhameoelin ★★★★★ ()

Re: Linux для судебных экспертов

Для тех, кто не в теме:

http://www.samara-hub.net/

"Эксперт", проводивший экспертизу, нарушил всё, что только можно было нарушить, в итоге областной суд назначил повторную экспертизу (сам присутствовал в зале суда при этом). Подобного рода системы - нужный инструмент, ещё бы законодательно его закрепить как обязательный для экспертов...

tim2k ()

Re: Linux для судебных экспертов

А возможно RIP Linux поставить на жесткий? http://www.tux.org/pub/people/kent-robotti/looplinux/rip/docs/RIPLinuX.txt

grub> root (hd0,1) grub> kernel /boot/kernel root=/dev/sda2 ro grub> boot

следуя документации нифига не получается и диск используешь 5 Гб чтобы grub не ругался на максимальное число цилиндров, а один фиг не грузится он сам с харда...

pavelr ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.