LINUX.ORG.RU

Доверенная загрузка grml 2010.04

 , ,


0

0

Вышел очередной релиз дистрибутива grml (2010.04). В данной версии дистрибутива было представлено решение проблемы загрузки доверенной системы (с криминалистической точки зрения), которая обсуждалась чуть ранее.

В небольшой заметке, представленной в рамках сообщества RISSPA, содержится информация о том, как работает код, отвечающий за противодействие подмене корневой файловой системы в процессе загрузки с Live CD.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)

Чуваааак.... Чееее этооо, ааааа ?

vasya_pupkin ★★★★★
()

Да, тут пользователи подобных систем косяками ходят.

markevichus ★★★
()

Любопытная штука, пригодится.

pekmop1024 ★★★★★
()
Ответ на: комментарий от snoopcat

Кому оно и правда нужно, тем не до ЛОРа. Их служба и лпасна и трудна, а на первый взгляд как будто не видна ибо.

Gukl ★★★
()
Ответ на: комментарий от Gukl

Отечественные спецы явно не доросли. Не знаю, насколько Чичваркин 4.2дит о нынешних временах, но сам с подобным отношением сталкивался не раз - лет пять назад.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Велиеколепная новость! Теперь моя рбота станет проще! Берегись, анонимус, теперь экспертиза ЦП-материалов будет проходить быстрее!

anonymous
()

> В данной версии дистрибутива было представлено решение проблемы загрузки доверенной системы

похоже на костыль

n01r ★★
()
Ответ на: комментарий от LightDiver

Только вот первая версия grml вышла еще в 2004 году.

forensics
() автор топика

Это обычный дистр livecd основанный на Debian, с массой консольных программ и утилит, для администраторов, это для тех кто не в теме.

trinimak
()
Ответ на: комментарий от pekmop1024

Меня всегда веселили неудачники, чьи криптодиски вскрывали без паяльника и без брута паролей :-)

forensics
() автор топика
Ответ на: комментарий от pekmop1024

Зачем это накоплятсво нужно? Посмотрел, удолил. Алсо сейчас такие «эксперты», что могут линукс с нелицензионной виндой спутать, куда уж им до поиска ЦП.

trinimak
()
Ответ на: комментарий от trinimak

Кому надо, не спутают, так что лучше удаляй :)

Gukl ★★★
()
Ответ на: комментарий от trinimak

Да это-то понятно, но заказ и эксперты - понятия несовместимые.

pekmop1024 ★★★★★
()

Довольно тупое неработоспособное решение несуществующей при правильном подходе проблемы.

Давайте разберемся.

Судебные эксперты утверждают, что необходимо гарантировать неизменность данных на исследуемых носителях. Однако очевидно, что выполнить данное условие можно только исключив выполнение постороннего неконтролируемого кода и работая с «сырой» копией данных. Учитывая тот факт, что неконтролируемый код может быть в биосе и в контроллере винчестера, это означает, что мы обязаны, как минимум, использовать свою машину (а тогда зачем live-cd?).

загрузив на своей машине систему, мы не должны ее монтировать ибо процедура монтирования сама по себе изменяет данные!. Вместо этого мы должны скопировать посредством dd блочное устройство и работать с копией, с тем чтобы затем сравнив побитно образ и оригинал, убедиться, что изменения не повлияли на экспертизу!

Конечно, копирование блочного устройства в файл тоже не панацея ибо возможны изменения в оригинале на уровне устройства. Меняется статистика smart, счетчики и все такое, но тут уж без разбора винчестера никуда.

А что вместо этого предлагает автор? он предлагает загрузиться на компе жертвы, попав в гостевую виртуалку управляемую гипервайзером из биос, затем подключить винт, который предоставит публичную половину диска и радоваться, что он всех обманул.

Клошарно, ничего не скажешь...

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

И что наш умник может предложить взамен? Ничего? Ну с этого бы и начинали :)

Судебные эксперты утверждают, что необходимо гарантировать неизменность данных на исследуемых носителях. Однако очевидно, что выполнить данное условие можно только исключив выполнение постороннего неконтролируемого кода и работая с «сырой» копией данных.

Неизменность данных имеет смысл только тогда, когда для ее достижения не нужно значительно усложнять методы криминалистики (менять контроллеры исследуемых дисков в обязательном порядке и т.п.). Во всех остальных случаях можно получить разрешение на существенное изменение свойств исследуемого объекта.

Вместо этого мы должны скопировать посредством dd блочное устройство и работать с копией, с тем чтобы затем сравнив побитно образ и оригинал, убедиться, что изменения не повлияли на экспертизу!

Кто сказал, что нужно работать только с копией?

А что вместо этого предлагает автор? он предлагает загрузиться на компе жертвы, попав в гостевую виртуалку управляемую гипервайзером из биос, затем подключить винт, который предоставит публичную половину диска и радоваться, что он всех обманул.

Покажите мне хоть одного человека, который обманул грамотного эксперта, сделавшего все в соответствии с рекомендациями по производству экспертиз? Тогда и поговорим, когда будет рабочий код и более-менее реальная модель угроз. А пока угроза аппаратных закладок учитывается экспертами реально, без особой паранойи.

forensics
() автор топика
Ответ на: комментарий от forensics

P.S. Многие эксперты используют Live CD на собственной машине в качестве уже готовой сконфигурированной системы :)

forensics
() автор топика
Ответ на: комментарий от forensics

И что наш умник может предложить взамен? Ничего? Ну с этого бы и начинали :)

по моему, я довольно прозрачно предложил ходить со своим ноутом и коробочкой-переходником с сата или иде на усб.

и подключать исследуемый винт уже после загрузки. и сразу копировать не монтируя.

Неизменность данных имеет смысл только тогда, когда для ее достижения не нужно значительно усложнять методы криминалистики (менять контроллеры исследуемых дисков в обязательном порядке и т.п.). Во всех остальных случаях можно получить разрешение на существенное изменение свойств исследуемого объекта.

Замена контроллера диска, это действительно сложно. А все остальное имхо просто. Выдрать диск и вперед. Правда если надо обследовать сотню компов за еду, то да, даже монтаж-демонтаж винтов станет проблемой.

Покажите мне хоть одного человека, который обманул грамотного эксперта, сделавшего все в соответствии с рекомендациями по производству экспертиз?

я думаю, такие люди не афишируют свои успехи. А возможность записи несложного гипервизора в биос уже давно показана. И комп разбирать не надо.

AVL2 ★★★★★
()
Ответ на: комментарий от forensics

>P.S. Многие эксперты используют Live CD на собственной машине в качестве уже готовой сконфигурированной системы :)

имхо это извращение, которое обуславливается вендузовым содержимым компа эксперта и нежеланием его трогать свою пускалку солитайра и минесвипера.

AVL2 ★★★★★
()
Ответ на: комментарий от forensics

а разве это касается и таких ФС как fat32, ntfs

anonymous
()
Ответ на: комментарий от AVL2

А заразы не хотим?

Загрузка с Live CD своей своей машины обусловлена нежеланием подхватить заразу в стиле gif-эксплойта. (например, эксплойта драйверов файловой системы). Т.е. свой винчестер из машины вынимается в обязательном порядке. И контакт запрета записи BIOS и всех firmware распаивается.

kolk
()
Ответ на: А заразы не хотим? от kolk

>Загрузка с Live CD своей своей машины обусловлена нежеланием подхватить заразу в стиле gif-эксплойта. (например, эксплойта драйверов файловой системы). Т.е. свой винчестер из машины вынимается в обязательном порядке. И контакт запрета записи BIOS и всех firmware распаивается.

ок. уговорил. хотя как я понимаю, вопрос взлома системы эксперта является скорее бытовым ибо не она является предметом исследования. Да и решается он просто и безыскусно с помощью виртуальной машины с запуском без сохранения изменений. А вот взлом системы во время экспертизы и возможность внесения затем изменений в исследуемые данные - это да, это эпик фейл.

Поэтому, с одной стороны, важны своевременные апдейты (минус для ливсд),а с другой стороны, еще раз, вся работа должна производиться с копией исследуемых данных.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

>Каким образом процедура монтирования изменяет данные, если монтируешь с параметром ro?

Проверка и проигрывание журнала могут привести к изменению данных.

AVL2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.