МВД РФ рассматривает вопросы проведения экспертизы компьютеров с Linux

да, они с другой планеты))

Дистр на базе Windows 7 и MS Office? ;) Причем без эквивалентов...

Quasar

И еще есть технологии защиты информации, которые они не раскусят без паяльника.

есть и такие, где и паяльник бессилен...

vio42

Походу в МВД все кто считает себя специалистами виндузятники )

не все, а только те, что в отделе по связям с общественностью (или как оно сейчас называется).

компьютеры с Linux перестали быть экзотикой для органов внутренних дел.

До них наконец-то дошло, что это не просто система для гиков, а для гиков-нацпольщиков-качальщиков?

Всё сделано очень грамотно, исследовать носители следует на гетерогенной ОС. То есть, носитель от компа с Windows - исследовать на Linux, носитель от компа с Linux - исследовать на Windows. Дабы избежать даже гипотетической возможности заражения (кто не в курсе - для Linux вирусы тоже есть).

anonymous

кто не в курсе - для Linux вирусы тоже есть

пруф или небыло.

3.2.2 Должны быть реализованы следующие функции: подключение КНИ к АРМ эксперта; осуществление копирования файлов без внесения изменения в структуру данных НЖМД, представленного на исследование; осуществление копирования файлов по сетевому кабелю «витая пара»; создание точной копии данных, считанных из КНИ; поиск и описание метаданных документов; поиск и описание монтированных носителей информации; поиск и представление журнала программ обмена сообщениями; поиск и представление журнала программ-браузеров; поиск и представление базы данных почтовых программ; исследование функций настроек почтовых серверов; исследование настроек и журналов работы веб-серверов; исследование настроек и журналов работы ftp-серверов; исследование настроек серверов, управляющих распределенными сетями; исследование настроек серверов баз данных; поиск и анализ файлов, созданных в других операционных системах.

4.4.1 Технические средства АРМ эксперта для исследования операционных систем семейства Linux должна удовлетворять следующим минимальным требованиям:

модуль автономного дублирования жестких дисков с поддержкой копирования через сетевой кабель «витая пара», скорость дублирования 100 Гб/час (для SAS НЖМД);

процессор – 4 ядра, частота не менее 3 ГГц;

оперативная память - от 4 Гб;

накопитель на DVD/RW;

накопитель на жестком магнитном диске (НЖМД) - 1 Тб, 2 шт;

устройство типа Mobile Rack - 2 шт;

жидкокристаллический монитор – не менее 21”;

контроллер Serial Attached SCSI;

внешний блок Serial Attached SCSI;

внешняя система хранения данных, USB, под НЖМД SATA;

универсальный интерфейс USB для подключения НЖМД;

источник бесперебойного питания (ИБП);

принтер лазерный цветной формата А4, 600х600 dpi;

фильтр сетевого питания.

И кстати свой линух у них уже очень давно

Это не у МВД, а у Министерства обороны. Имеется некоторая разница :)

Там ядро 2.4, но работает как-то...

Древнее ядро, подозреваю, тянут из соображения совместимости со старыми проектами. Под МСВС за 10 лет написали много всего.

Однако при всём при том в последних изменениях присутствует, например, Qt 4.6.3. Что позволяет без особого гимора кроссплатформенно писать под МСВС, «обычный» линукс и офтопик.

Это что за без предел на лоре, удалили сообщение за то что я написал http://lurkmore.to/Роисся_вперде!, они меня ещё русскому языку учить будут, может ещё расскажите как мне жить, что читать, что смотреть, какой рукой держать ложку?

1) См. правило 5.5.

2) Внезапно, ЛОР - не филиал лурка. Хочешь состязаться в лурчанке - иди на лурк. Хочешь комментировать новости о линуксе - пиши на грамотном русском языке.

...«Без предел» ты наш...

Какой рукой тебе передергивать тоже расскажут. А, возможно, даже и покажут.

пора переходить на freebsd

И так далее по алфавиту.

Интересно, а где полный список посмотреть?

Если не назовешь пароль, это только усугубит вину.

То есть, носитель от компа с Windows - исследовать на Linux, носитель от компа с Linux - исследовать на Windows. Дабы избежать даже гипотетической возможности заражения

Гипотетически избежать вероятности заражения таким образом невозможно. Потому что гипотетически автор вируса может предусмотреть такую ситуацию или даже просто нечаяно кто-то кликнет по экзешнику.

Предотвращать заражение следует как раз с использованием систем вроде Linux с настроенной подсистемой типа SELinux и т.п.

Ext, Ext2, Ext3, Ext4, ReiserFS, Reiser4, Ufs)

Что осталось? xfs, zfs, btrfs

Ну это ж не то =\
Обувок с Буратинами охота =)

Данная новость косвенно свидетельствует о том, что компьютеры с Linux перестали быть экзотикой для органов внутренних дел.

шёл 2012 год...

на виртуалочке диск к ВММваре диски подключать. То, что таким образом вмварь похерила у меня физический раздел оперов видимо, мало волнует.

Главное, что непонятно:
1. mount -oro /dev/%devicename% /mnt/guest
2. Если я зашифрую трукриптом, например, весь раздел, но не скажу, что криптовал, то этот раздел ну никак не расшифруют. Мало того - и не заподозрят, что там что-то есть.
3. АРМ оператора - это, я так понимаю, на экране должна быть кнопка «Найти криминал»? При наличии более 100500 способов скрыть даже следы присутствия информации подобный подход мне представляется профанацией, сходной со скандальным лозунгом «программирование без программиста».
Или чего-то недопонял?

Я дал ссылку же.

JFS еще.

проглядел, спс.

АРМ оператора - это, я так понимаю, на экране должна быть кнопка «Найти криминал»? При наличии более 100500 способов скрыть даже следы присутствия информации подобный подход мне представляется профанацией, сходной со скандальным лозунгом «программирование без программиста».

Или чего-то недопонял?

Там же всё написано в конкурсной документации. Из чего следует, что оператор должен иметь примерно теже возможности, что и для дисков из под Windows-систем. То есть, посмотреть, что за софт установлен, информацию из браузеров (историю, пароли, кэш), тоже самое для почтовых программ, восстановить, насколько удастся, удалённые файлы, логи всякие и т.п.

Интересно посмотреть как они будут анализировать диск участвующий в mdraid?) Особенно если туда еще добрался ecryptfs(для корневого и домашнего разделов) и truecrypt(для раздела с данными)...

Ты им сам всё расскажешь. Достаточно всего одного 100 Ватт паяльника. :)

статья за использования криптосредств

Для личного использования — ЕМНИП, нет. Нельзя разработать и _продать_ свои криптосредства без сертификации Фатально Суровых.

Теперь дело будут не шить, а вышиват по узорчику.

Но вообще-то интересный список, потому что странно, что об xfs забыли, но включили jfs и reiser4.

Но как я уже говорил, интересно глянуть на того, кто за 15 миллионов сделает драйвера, хотя бы в виде отдельных пользовательских программ для работы с этими файловыми системами в винде.

По-моему, это стоит дороже.

Правда, учитывая, что задача записи на исследуемый диск (образ) не стоит, всё несколько проще, но всё-равно, требует команды действительно квалифицированных системных программистов. Обычные мальчики со знанием .NET или Java здесь не подойдут. Вообще, у меня впечатление, что специалистов такого уровня в РФ сейчас немного.

Поэтому могу предположить, что никто не станет писать драйвера этих систем под винду, выкрутятся как-то в итоге с линуксом же.

А кто сказал, что надо написать драйвера для винды? Тема работы называется: «Автоматизированное рабочее место эксперта для исследования операционных систем семейства Linux» — нужно просто собрать это автоматизированое рабочее место, на базе того же Линукс и железа, стола и стула и пропатченых шрифтов. Оно должно быть простым в использовании, чтоб всякий опер мог с ним работать, типа подключил исследуемый винт, и вся инфа, как на ладони.

Там уточняется, что место это должно работать под Windows 7 и иметь установленный мс офис.

на тех компах, которые к кабине подключены, а на том, который в самой кабине.

На тех компах тоже линукс под названием ОС «Атликс-2» производства ФГУП НТЦ Атлас, с удалённой загрузкой с сервера.

Эпичненько…

Ext, Ext2, Ext3, Ext4, ReiserFS, Reiser4, Ufs)

Что осталось? xfs, zfs, btrfs

На деле ничего не осталось, кроме шифрования. Нормальному эксперту-криминалисту для исследований такой специальный АРМ хоть и в помощь, но необязателен, ибо неразрушающее (неинвазивное) чтение структур данных можно осуществить в любой операционной системе, загружающейся с компакт-диска и умеющей dd. Дальше просто разбирается скопированный образ в той системе, которая знает данную фс. Как-то так.

Поэтому могу предположить, что никто не станет писать драйвера этих систем под винду, выкрутятся как-то в итоге с линуксом же.

Например, поставят мелкий компьютер (ну или плату) с линуксом и скриптами, управляемый с другого компьютера с Windows.

вроде как Альты говорили что это их дистр.

Там уточняется, что место это должно работать под Windows 7 и иметь установленный мс офис.

А какие проблемы-то? Делаем отдельную железку с линуксом и стыкуем с РМ оператора, которое хоть под ДОС'ом может работать.

Скорее всего так и сделают, иначе не осилят.

Дальше просто разбирается скопированный образ

Это ключевое положение. С точки зрения суда, копия!=оригинал.
Соответственно, любой судья пошлет таких «экспертов» подальше, когда они скажут, что «мы тут над копией поизголялись».

По той же причине стоит и требование НЕ изменять данные на исходном носителе.

Кстати, насчет «копия!=оригинал» - тоже можно попробовать потроллить в случае наличия суперадвоката-ЕРЖ с очень подвешенным языком.
Что-нибудь типа: КОПИЯ - в оперативной памяти при любом считывании. А, значит, не считается.

Это ключевое положение. С точки зрения суда, копия!=оригинал.

Копия, конечно, не оригинал, но для неразрушающего исследования копия 1:1 (дубликат) возможна, ибо отвечает требованиям, предъявляемым к доказательству (относимость, допустимость и достоверность). Собственно, «Узорчик», в частности, будет делать такие дубликаты.

BTW, бывают случаи (например, смонтированная криптоФС), когда экспертиза проводится на включенном компьютере «клиента», и полученная информация также признаётся доказательством, а там говорить о неизменности данных на исходном носителе не приходится.

И, потом, мы же говорим о нашем суде...

можно попробовать потроллить в случае наличия суперадвоката-ЕРЖ с очень подвешенным языком

Адвокат не является экспертом и специальными знаниями в области КТЭ не обладает, поэтому максимум, что он сможет — попытаться найти эксперта, который подпишется (под уголовную ответственность, между прочим) под тем, что копия в оперативной памяти не является отражением оригинала, хранящегося на диске.

anonymous, возможно, имел ввиду, что есть такие вирусы и называются они «кривые ручки», вот их действительно много, ведь никто не отменял rm -rf /* :)

шифр темы: «Узорчик»

что? :))

Господа, вы бы немного мат часть изучили, ато устроили тут срач, у кого ФС более редкая. При пассивном анализе будет анализироваться образ диска/винчестера, а не живой диск.

Книга о Форензике (компьютерная криминалистика) - http://forensics.ru/. Дистрибутив для облегчения расследования ИТ-преступлений - http://www.opennet.ru/opennews/art.shtml?num=32957

И да, при определенных обстоятельствах шифрование ФС вам поможет. Но если вас поймали с включенным/примонтированным шифрованным разделом, ничто не помешает квалифицированному (что редкость) специалисту задампить мастер ключи от вашего диска, что сведет преимущества шифрования к нулю.

Плюс ко всему, под Linux существуют отличные кейлогеры и они даже неплохо работают.

В общем если вы действительно хотите защитить свои данные, шифрованной ФС и редкого дистрибутива Linux не достаточно.

hobbit

Это не у МВД, а у Министерства обороны. Имеется некоторая разница :)

угу. логично мвдшникам взять ось у коллег. Хотя... Да, я понимаю...

Пассивный, если я понимаю правильно, это просто анализ снятого жёсткого диска, например.

Ещё один повод пересесть на ssd, там просто жмёшь shift+del на опасной директории и на этом всё, файловая система отправляет TRIM а там уж контроллер сам все данные затрёт нулями гарантированно.

tmplsr

Достаточно всего одного 100 Ватт паяльника. :)

обычно используется 40ватный, и не органами. У органов есть другие методы, намного более жестокие и эффективные.

alexl83u

anonymous, возможно, имел ввиду, что есть такие вирусы и называются они «кривые ручки», вот их действительно много, ведь никто не отменял rm -rf /* :)

ну если только ручки...

пересесть на ssd

И никакое шифрование не нужно. И dd у органов не панацея для суда — при подаче напряжения контроллер начинает мешать сектора по одному ему известной схеме, что исключает возможность снятия точной копии и, как итог, доказательства чего-либо по _точной_ копии либо доказательства по _неизменному_ оригиналу.