Linux для судебных экспертов: часть 2

0

0

Данная работа является продолжением цикла статей «Linux для судебных экспертов» и раскрывает проблему «подмены» операционной системы в ходе выполнения скриптов Casper в процессе загрузки с CD.

В работе описаны особенности работы скриптов Casper, приводящие к возможности ошибочного выбора файла-образа корневой файловой системы на исследуемом носителе информации с последующим выполнением произвольного кода. Данная уязвимость может быть использована для успешного противодействия криминалистическому исследованию носителей информации в ходе судебной экспертизы.

>>> Подробности (PDF)

Ссылка

←	Parted Magic 4.7. Google Chrome вместо Firefox.

Red Hat отказывается от поддержки Intel Itanium в Enterprise Linux 6

→

← 1 2 →

Ответ на: комментарий от anonymous 23.12.09 00:04:26 MSK

Вопрос все таки открыт, если не монтировать разделы, значит на них ничего не запишется?

Мне лень изучать что там в каспере понаворотили, но в обычной системе, которая уже стоит, а не livecd, ничего никуда просто так не запишется, кроме как тебе в журнал о найденном устройстве, разумеется никакие фс на этом диске не будут изменены. Если конечно автомаунт отключен, если включен то наверное изменится счетчик в журнале на примонтированной фс. Вот видишь, судэксперты это считают багом. Наверное кого-то закрыть не смогли из-за этого или денег не получилось разок больше вымогательством взять. Хз, тут вот топикстартер большой в этом спец, он тебе расскажет.

anonizmus ★
(23.12.09 00:08:53 MSK)

Ответ на: комментарий от anonizmus 23.12.09 00:08:53 MSK

Я тоже так считаю. Кроме того на каких, интересно, экспертов это рассчитано? На тех кого в тупик поставит отсутствие cd/dvd-привода?

anonymous
(23.12.09 00:18:04 MSK)

Ссылка

Вообще-то говоря, при наличии мало-мальских ресурсов, вспоминаем, что написано в Computer Forensics Overview:

NEVER mishandle evidence.
NEVER trust the subject operating system or machine
NEVER work on the original evidence

То есть, вытаскиваем диск из компьютера или ноута, подрубаем к компу, делаем dd if=/dev/sdb of=sdb.img и потом ковыряем его хоть до посинения.

А livecd грузить на компьютерах... Ну, тоже можно, но пока на полного параноика не наткнешься ;)

Harliff ★★★★★
(23.12.09 01:42:44 MSK)

Ссылка

Такой возник вопрос
Вот например подключает юзер зашифрованный диск, вводит пароль - расшифровывается симметричный ключ - копируется в память - используется для доступа к зашифрованным данным.
Cобственно вопрос - если своп не зашифрован, есть ли гарантия что этот расшифрованный ключ не попадёт из оперативы в своп в связи например с нехваткой памяти?

af5 ★★★★★
(23.12.09 06:59:10 MSK)

Ссылка

Ответ на: комментарий от anonizmus 22.12.09 23:23:20 MSK

Hail Marilyn Manson!

anonymous
(23.12.09 15:09:55 MSK)

Ссылка

Ответ на: комментарий от forensics 22.12.09 16:51:01 MSK

> чтобы злоумышленники не знали как обходить зашифрованные ФС и извлекать персональные данные.

И чтобы дыры оставалиь как можно дольше известными только узкому кругу обнаруживших их людей «с благими помыслами» ;)

anonymous
(10.01.10 05:17:42 MSK)

Ссылка

Ответ на: комментарий от forensics 22.12.09 19:46:27 MSK

> люди со светлой стороны улицы.

- Скажите, а где противоположная сторона? - Там! - А почему же там говорят, что здесь?

Чем больше возможностей обнаружить нарушения копирайта, тем меньше возможности неотслеживаемого обмена информацией и тем ближе общество тотальной слежки - привет «светлосторонним» от Большого Брата.

anonymous
(10.01.10 05:52:16 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Parted Magic 4.7. Google Chrome вместо Firefox.

Документация

Red Hat отказывается от поддержки Intel Itanium в Enterprise Linux 6

→

Похожие темы