Linux для судебных экспертов

> Описаны результаты тестирования наиболее популярных поддерживаемых судебных дистрибутивов Linux

> судебных дистрибутивов

O_o

жуть то какая. PDF на русском ?

> жуть то какая. PDF на русском ?

Да.

А как жену грохнуть чтоб никто не прознал там пишут? А то некоторые разработчики файловых систем до сих пор сидят и грустят на эту тематику.

Где тег "вещества" ?

После прочтения pdf складывается ощущение, что либо аффтар не знает, что всё это можно сделать в любом дистрибе линуха (а не в каком-то сферическом судебном дистрибутиве в вакууме), либо всё-таки скрывает, что к делу причастны вещества.

> А как жену грохнуть чтоб никто не прознал там пишут? А то некоторые разработчики файловых систем до сих пор сидят и грустят на эту тематику.

Эти разработчики сами теперь чьи-то жены. Так что статус-кво восстанавливается автоматически.

>> Описаны результаты тестирования наиболее популярных поддерживаемых судебных дистрибутивов Linux

>> судебных дистрибутивов

> O_o

Из pdf:

"Судебный дистрибутив Linux — дистрибутив Linux, предназначенный для решения широкого спектра задач при проведении судебных компьютерных и компьютерно-технических экспертиз. Как правило, данные дистрибутивы используются для решения следующих задач:

– Предварительное исследование носителей данных (например, для определения установленной операционной системы);

- Создание точных копий исследуемых носителей данных;

- Полное исследование носителей данных, включая, например, поиск файлов по ключевым словам и анализ журналов работы операционной системы.

Кроме того, судебные дистрибутивы Linux могут включать в себя программы для исследования сетевого трафика и копирования энергозависимых данных (например, содержимого оперативной памяти) с работающей системы."

чтой-то я не понял, что из вышеперечисленного нельзя сделать, используя тот же Дебиан.

http://www.sleuthkit.org/sleuthkit/

где же вы такую специфическую документашку откопали то?

Судебные эксперты сосут ***. Потому что есть криптографические ФС, или через fuse например, я вот юзаю EncFS для палева, поэтому лучший способ для кримэкспертов - использовать запатентованную методику терморектального криптоанализа !

>Кроме того, судебные дистрибутивы Linux могут включать в себя программы для исследования сетевого трафика и копирования энергозависимых данных (например, содержимого оперативной памяти) с работающей системы."

Наверное этот волшебный документ был разработан в мегасекретном отделе Р (или К, как там его щас) что бы ловить детей которые воруют пароли диалапных соединений, ну типа круто - ДИСТРИБУТИВ сделали специальный, бабло можно смело пилить, а пресса теперь будет резать фарш на тему того что эксперты ФСБ анально контроллируют каждое наше нажатие на клавишу.

Неинтересно это всё. Вот лучше бы запостили статью про промышленный шпионаж нормальную. Как то снятие информации с излучения ЭЛТ, индивидуального щелканья кнопок клавиатуры, и удаленного чтения мозга пользователя/зомбирование используя торсионные поля %-)

схоронил!

О сколько нам лулзОв прекрасных...

В общем, из этой статьи следует, что единственный нормальный дистр — grml (остальные либо платные, либо могут что-нибудь изменить)

Только вот что-то я не нашел на его сайте никаких упоминаний о том, что он судебный.
И тогда уж им надо было system rescue cd проверить, он тоже для восстановления. Судя по тому, что я видел, очень мощный. Или есть ещё круче дистры для восстановления?

Казалось-бы, какая связь между Райзером и уголовным делом? 0_o)

Переливание из пустого в порожнее. Полторы полезные мысли, для которых пять страниц - явно перебор.

"– Возможность успешной загрузки практически на любом аппаратном обеспечении;"

дальше читать не стал...

Статья пипец. В выводе - ниодин дистрибутив не гарантирует неизменяемость файловой системы потомучто в fstab может быть всё что угодно..

Есть же отличная книжка Брайана Кэрриэ "Криминалистический анализ файловых систем". Зачем эта хрень?

эта пять, хоть и тухло :-)

Хочу, чтобы Линукс для судмедэкспертов.

Проблема неизменности программной среды и доверия к ней для криминалистических (например) исследований сама по себе интересна. См. например, тьюринговскую лекцию Кена Томсона.

А новость -- нет.

Явно был опубликован технический отчет о заказных работах по тестированию дистрибутивов. Следуеть еще добавить, что неплохо бы огбеспечить неизменность самих дистрибутивов (типа загрузка с live-cd) или (как минимум) монтирования /usr с cd-rom. Ну про проверку контрольных сумм я не говорю.

А вцелом -- штатная задача, возникающая на сертификации чего-либо для каких-нибуть военных и прочих федералов :)

>чтой-то я не понял, что из вышеперечисленного нельзя сделать, используя тот же Дебиан.

Можно, а то просто для людей которые M$ видно изпользовали.

Желаете написать руководство "анализ краш-дампов или gdb для паталогоанатомов"? :))

> ну типа круто - ДИСТРИБУТИВ сделали специальный

не типа круто, а типа удобно. или универсальная винда, где неделю нужно пилить, чтобы всё работало, или универсальный дистрибутив, где всё готово через 45 секунд, как при пожаре, можно даже LiveCD с собой таскать на точку.

А примеры практического применения данных рекомендаций из жизни есть?

>Хочу, чтобы Линукс для судмедэкспертов.

патологоанатомы предпочитают BSD

>> Кроме того, судебные дистрибутивы Linux могут включать в себя программы для ... копирования энергозависимых данных (например, содержимого оперативной памяти) с работающей системы.

Как это?

ниче монтировать не надо - dd решит все проблемы http://www.intuit.ru/department/security/issec/21/ http://www.intuit.ru/department/security/secopen/11/7.html

а вообще все в сад

> Полторы полезные мысли

окромя переведения устройства в режим ro какие еще полмысли там были?

> Хочу, чтобы Линукс для судмедэкспертов.

Почитал тред, долго думал... Это что-же теперь дистрибутивы клепаются для каждой профессии отдельно и специально?
Тагда хачу для слесарей тоже!

>RIPLinux на основе дистрибутива Slackware

Чудесно!

Интересно, если шифруемые данные попадают в swap, их возможно восстановить?

>Показана недостаточность использования флагов "-o ro"

Ну ладно ro недостаточно, а dd?

>>Ну ладно ro недостаточно, а dd?

Для dd монтировать не надо. Дистрибутив должен загрузиться гарантировано без автомонтирования дисков, потом выполняется копирование утилитой dd образа диска целиком, и дальнейшие действия выполняются уже с образом.

> Только вот что-то я не нашел на его сайте никаких упоминаний о том, что он судебный.

http://wiki.grml.org/doku.php?id=forensic

> можно даже LiveCD с собой таскать на точку.

В России уже практикуется создание образов "на месте". Поэтому необходимость в использовании аппаратных средств для клонирования НЖМД, либо соответствующих дистрибутивов возрастает с каждым, кхм, годом :)

> ниче монтировать не надо - dd решит все проблемы

Нет, не решит. Клонирование занимает время, количество исследуемых носителей растет, а в сутках все еще 24 часа.

Да и по ссылкам приведена весьма устаревшая информация: между "Live Response" и "Forensic Duplication" можно смело вставить "Forensic Preview", который требует монтирования (TSK ведь не все ФС поддерживает).

Все-таки сдала же какая-то мразь наши интернеты.

Лишь бы это не было дезой, чтобы ввести противника в заблуждение относительно уровня квалификации отдела К и иже с ними.

>> Лишь бы это не было дезой, чтобы ввести противника в заблуждение относительно уровня квалификации отдела К и иже с ними.

Вово. я тож об этом подумал. Я уже сталкивался с софтиной реального анализа файловых систем - проговина восстанавливает файлы (часто канеш битые, но вполне служащие доказательством) после четырехкратной переразбивки диска на разделы, и много, даже МНООГОкратных форматирований диска в разные файловые системы.

А за grml тому чувачку кто писал статью - спасибо. качаю, буду щупать что за зверь.

Байда какая-то

Вот черт, они уже все знают

they're wathching over us...

кагстрашнажыть

Для тех, кто не в теме:

http://www.samara-hub.net/

"Эксперт", проводивший экспертизу, нарушил всё, что только можно было нарушить, в итоге областной суд назначил повторную экспертизу (сам присутствовал в зале суда при этом). Подобного рода системы - нужный инструмент, ещё бы законодательно его закрепить как обязательный для экспертов...

А возможно RIP Linux поставить на жесткий? http://www.tux.org/pub/people/kent-robotti/looplinux/rip/docs/RIPLinuX.txt

grub> root (hd0,1) grub> kernel /boot/kernel root=/dev/sda2 ro grub> boot

следуя документации нифига не получается и диск используешь 5 Гб чтобы grub не ругался на максимальное число цилиндров, а один фиг не грузится он сам с харда...