LINUX.ORG.RU
ФорумTalks

Подбрасывание электронных «улик». Как обезопаситься?


5

6

Привет, ЛОР. На днях поступил сигнал, что нашу контору «заказали».

Не сказать, чтобы источник был настолько серьёзный, чтобы там сворачивать бизнес, срочно вывозить компы и так далее. Тем не менее, есть вероятность, что в ближайшем будущем у нас ожидается маски-шоу с изъятием оборудования.

Собственно, господа в масках могут ограничиться одним изъятием. К такому часто прибегают, чтобы просто нарушить бизнес. Но, в зависимости от серьёзности заказа, может быть установка на юридические последствия. Бизнес абсолютно белый и пушистый, на компах в основном линукс и Mac OS X, немногочисленная винда - лицензионная. Но надо ли говорить, что, попав в руки волшебников в погонах, на компах могут «нечаянно» появиться пиратский Компас 3D, гигабайты детского порно, пиратка последней ленты Михалкова и трактат Рихарда Вагнера «О еврействе в музыке».

ЛОР, предлагаю отбросить все эти «да это блеф, вас просто пугают», «если решили посадить, то посадят и без изъятия компов», «в российском суде вы ничего не докажете» и так далее. Давайте сосредоточимся на одном use case: как гарантированно обезопасить себя от подбрасывания вышеописанных подарочков после изъятия компов? Мне в голову пришла идея: что если в присутствии понятых и адвоката загрузиться с LiveCD и снять MD5 с дисков? Технически это даст возможность доказать в суде, что данные были изменены. Но насколько юридически значимыми будут такие доказательства, то есть примет ли их суд? И как вести себя при изъятии, чтобы позволили снять MD5, ведь это может занять значительное время.

Кастую в тред всех юридически подкованных товарищей.

Ответ на: комментарий от Ignatik

Сейчас уже поздно переводить весь бизнес на бездисковые станции. Интересует, как вести себя в данных обстоятельствах

Никогда не поздно и это единственное, что вы можете сделать самостоятельно.

Ну и придется найти денег на хорошую юридическую контору чтобы в случае чего на месте быстро появился человек хорошо владеющий законами и имеющий опыт общения с людьми в форме. Плюс в юридических конторах обычно знают кто именно все эти «услуги» предоставляет.

Надо понимать, что даже самый плохой следователь ни в коем случае не будет наглеть при наличии рядом адвоката. Может от обвинений в пиратчине вас это не спасет, но сотрудников от психологических травм защитит.

winddos ★★★
()

Вы наверно забываете где проживаете :)
Опишу как было в одной из моих бывших работ.
Сидим.. тут с сиреной подкатывает 2 «пожарки», нам вышибают двери спецовым тараном, забегают человек 10 очень больших дядь в пожарной форме и красными красивыми топорами. За секунд 5 делают переориентировку, вышибают двери в серверную и превращают 6 стоек в кашу, после чего еще сорвав гидрант - на всякий полили всё водой. Работа вся эта заняла минуты 2. Потом так же быстро ретировались; для выяснений никто не смог никого остановить (да и достаточно ли нам платили, что бы у меня возникло желание препятствовать движению большого дяди в шлеме и с топором? нет).
В итоге даже не смогли выяснить что это было (по документам все пожарные расчёты были на месте). Бизнес очень пострадал и завернулся.

Spirit_of_Stallman ★★★
()

Шифрануть всё трукриптом, включая системный диск. В итоге видны будут разделы диска как не отформатированные без fs. Соответственно, записать на них что-то затруднительно. Но диски нужны новые.

record ★★★★★
()
Последнее исправление: record (всего исправлений: 1)

Ах да. Стоит еще сказать, что если вы не драматизируете, и дело связанно с Бизнесом и Деньгами - то вопрос обычно не в «найти у них законные нарушения», а в «так или иначе на них что-то повесить». И поверьте - это печальная ситуация. Нужно перебивать большей суммой.

Spirit_of_Stallman ★★★
()
Ответ на: комментарий от record

Соответственно, записать на них что-то затруднительно.

Не бойся, они вставят свой диск. :)

winddos ★★★
()
Ответ на: комментарий от record

И по чём это поможет от заказа? Поменяют винт и скажут что так и было. Тут нужно юридическое опечатывание серверов (а оснований для этого, как правило, никогда нет, законных) с описью содержимого, включая серийники каждой железки. Но это такой гемор...

Spirit_of_Stallman ★★★
()
Последнее исправление: Spirit_of_Stallman (всего исправлений: 1)

Версионность файловой системы позволит хранить журнал изменений и к примеру, разные версии одного и того-же файла.

Т.е. прочитав жулнал можно помотреть когда и кае файлы меняли.

grim ★★☆☆
()
Последнее исправление: grim (всего исправлений: 1)
Ответ на: комментарий от Spirit_of_Stallman

Можно, поищите по лору, я уже писал тут про заказ, про выемку, про суд и т.д. Примеры есть. Хотя и защита была не простая.

record ★★★★★
()
Последнее исправление: record (всего исправлений: 1)
Ответ на: комментарий от Spirit_of_Stallman

ух, жесть-то какая, прям готовый сценарий для голливудского боевика.

kelavr
()
Ответ на: комментарий от Spirit_of_Stallman

Это еще что, в одном случае, когда целью было «забрать» бизнес, а не завернуть, каждые 2-3 дня приходили по стенке строить. Так «ребята в форме» так к этому привыкли, что они раз вышибли двери «по привычке», думая, что их опять туда послали.

nerfur ★★★
()

Совет: наймите хорошего юриста и чтобы он дежурил постоянно в конторе. Для проведения маски-шоу надо придумать очень вескую причину, куда более вескую чем пиратский фотошоп на компьютерах. Поэтому ловить надо на процессуальных вопросах, если заказали - самим ментам вы ничего не докажите и ни от чего не застрахуетесь. А вот в суде шансы всегда есть, поэтому копать проблему надо не с технической, а с юридической стороны.

Polugnom ★★★★★
()

Опись не только компов «ПК стоит по адресу ул. Бездельников д.5, каб.404, справа от двери, на полочке являющейся конструкцией стола.». Но и опись компонентов ПК и всех!, всех файлов на НЖМД. Тогда есть протокол о том что есть на компах и чего нет. Может ещё чего придумаете, но у меня пока фантазии не хватило. Ещё можно подёргать штатного юриста, но ему походу точно не до тебя.

leonidko ★★★★
()
Ответ на: комментарий от Ignatik

если хочешь быть реальным борцом с системой, то присоединяйся к Доку Умарову и его бородатым товарищам, которые по горам с автоматами бегают, а всякие голосования-митинги — это фигня :)

Harald ★★★★★
()
Ответ на: комментарий от goingUp

Ну это смотря какое самоуничтожение. Если не с помощью rm -rf а с помощью гранаты с чекой, приделаной к дверце системника, то должно спасти

Воткнуть релюшку/пускач с подачей 6 киловольт по линии 12В компа - превратит содержимое любого писюка в кучку пепла за пол-секунды. Требуется мощное заземление корпуса ПК.

nekosargot ★★★
()

Поставить на винты пароли (которые аппаратные, в системе IDE/SATA-команд винта). Их, конечно, можно снять, если погуглить, но вдруг... Переписать серийники винтов.

Suigintou ★★★★★
()

купить квартиру неподалёку, кинуть туда линк (забетонировать+заасфальтировать всё над ним и непременно - с арматурой). В квартире расположить мощный NAS+tftp_boot+dhcp сервер (не забыть «списать» и «утилизировать»). В системниках выпилить все места возможной установки хардов. Запротоколировать отсутствие хардов. В «серверной» поставить фальшивый NAS+tftp_boot+dhcp сервер с тщательно убитыми хардами, аккуратно приваренными к шасси. В случае умыкания «сервера» можно порассказывать про очень хрупкие ХДД, убитые «сотрудничками» и требовать возмещения ущерба. А выкорчевать приваренное к 0,5 стали не повредив шасси... успехов, чё! Зачем приварены? А чтоб сотрудники не стырили! Если нужно меньше палива - прикручиваем по-максимуму шурупами и убиваем шлицы и стачиваем головки на шурупах... Открутить такое практически невозможно... развечто рассверлить отверстия В шурупах, что есть гемор.

ЗЫ не пил не курил, написал от балды...

nekosargot ★★★
()

О да, сейчас тебе все школьники лора раскажут как они боролись с беспределом фсб.

Сходи в любую адвокатскую контору, пускай тебе расскажут как происходит вся эта процедура и что нужно делать.

TDrive ★★★★★
()

При изъятии должны опечатать системный блок. Требуй, чтобы опечатали все дисководы и usb-порты. Если потом окажется, что печать сорвана, то, значит, на компе не то, что было при изъятии и можно смело говорить о том, что подбросили улики. Остаётся вопрос, как проконтролировать, что печать не нарушена.

ma1uta ★★★
()

Решили эту проблему следующим образом. У все офисных обезьянок тонкие клиенты с виндой. Физическое расположение сервера неизвестно. Есть «красная кпопка».

Все линуксовые сервера далеко за пределами офиса. Данные зашифрованы, т.к. важна конфиденциальность.

Вся инфраструктура заточена под удаленную работу. Все важные работники офиса могут работать как в офисе, так и удаленно.

Если будет вброс контрафакта, будут разбираться штатные юристы. При этом компания продолжит полноценную работу.

outtaspace ★★★
()
Ответ на: комментарий от Ignatik

Прямая провокация танцпола. Не нравится это болото, плыви в другое, зачем все в одну кучу свалил?

По теме: один знакомый рассказывал как реально происходит. Любыми неправдами в помещение попадают полувооруженные люди в форме, всем лежать/сидеть/стоять, ничего не трогать, все системники и ноутбуки *опечатываются* и уносятся. Составляется акт на произвольную причину, подписывается. Техников среди них нет, за слово md5 или отказ от подписи едешь с ними в отдел и сидишь там до послезавтра. Теперь ваш главный пытается вызвонить хоть кого-то, кто может все вернуть, но ничего не получается. Отвечать будет оперативник, по чьей вине произошла эта страшная бюрократическая ошибка, его скорее всего уже уволили или перевели на другую должность. Собственно все. Никаких ЦП с михлаковым, вы и так все просрали в момент выноса компов.

А вообще это как в тебя уже стрельнули, и ты теперь как нео пытаешься раскорячиться, когда умный человек просто под пулю не полезет. С кем-то вы слишком резко разговаривали, не понимая о чем именно. Ну или слишком идейные — таких тоже не вредно подстрелить.

arturpub ★★
()

Снимай все самостоятельно в процессе обыска, комментируй. Сними заранее небольшой ролик, подробно показывающий, как у вас организовано все связанное с ИТ. Готовь его к выкладыванию в интернет

QIQuJIunn ★★
()
Последнее исправление: QIQuJIunn (всего исправлений: 1)

Изъятие сопровождается опечатыванием в присутствии понятых. Подбрасывание это опасно и за такое берут очень много денег, потому что если всплывет — подбрасывающие присядут очень серьезно. Обычно на компьютерах хватает компромата и без подбрасывания, поэтому ничего вам побрасывать не будут.

Найти юриста, который вас проконсультирует и после проверки вынесет мозг ментам по поводу незаконной проверки и изъятия.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Изъятие сопровождается опечатыванием в присутствии понятых.

Сейчас «понятые» это такие ребята работающие на силовиков. Проплаченная массовка.

outtaspace ★★★
()
Ответ на: комментарий от QIQuJIunn

Камеру вместе с оператором тоже осторожно опечатают и вынесут.

Кстати вопиющим о священной войне надо бы иметь представление об ощущениях, которые ты будешь испытывать, когда кто-то зайдет, начнет говорить, задавать вопросы, проедемте в отдел, вот здесь подожди, шнурки, часы, телефон, прошло уже наверное часов пять, жарко, воняет, быки в коридоре, а ты чо-то не так прост, умный, мы щас найдем узнаем / я тебе откровенно скажу, не надо строить героя, поссать через два часа только можно, щас закрыто все / будешь еще вякать взвешиваться пойдем / скоро едем в другой отдел с людьми говорить — и тому подобное сильно растянутое во времени и сыром душном сером пространстве. И в любой момент можно выйти — вот тут «с моих слов...», дата, подпись. А ты ведь и правда «ничего не сделал». Немногие способны провести хотя бы ночь в таком режиме, причем тебя и пальцем никто не тронет.

arturpub ★★
()

1. Переписать серийные номера оборудования.
2. Временно вытащить все hdd и спрятать, и перевести на LiveUSB. Желательно на минимально-допустимый для работы объём флеш-носителя.
3. Сотрудникам подключаться по VPN или чему-то похожему к удалённому серверу, там и хранить инфу.
4. Проинструктировать сотрудников: „при появлении нежданных гостей флешку вытащить и забрать с собой“, в идеале чтобы и приносили на работу с собой, мало ли, а то ночью гости заявятся. :)

В итоге заберут без носителей информации, что само по себе немного лучше, в след уносящим системные блоки обязательно скажи чтобы ставили жёсткие минимум на 1Тб!
Знакомый предприниматель (в Украине) рассказывал, после того как изъяли оборудование и ничего не нашли, он отказался подписывать бумажку о том что заберёт обратно, мотивируя тем, что значение bios с того момента как они забрали изменилось (ведь так и есть!), и всё уже не так. В итоге получилось что компьютеры до сих пор на проверке (у него их акт есть, предъявляет), а по-новому не могут изъять, по бумаге он без компьютеров справляется что им и повторяет.

NaiLi ★★
()
Ответ на: комментарий от Legioner

Подбрасывание это опасно и за такое берут очень много денег

Насмотрятся люди голливудских сюжетов про демократию, и бредят потом подбрасываниями да подставами. Все куда прозаичнее — компов три дня нет, кредиторы в тебя уже не верят, сотрудники разбегаются, кто-то тебя начинает плавно банкротить, а ты священный воин священной революции :)

Можно только вынести им мозг, вопрос насколько часто и вовремя ты готов за это платить? Может лучше убрать ногу кому наступил, да извиниться? Наверняка ведь какой-то крупный тендер умудрились по-чесноку выиграть, жуки.

arturpub ★★
()
Ответ на: комментарий от NaiLi

Временно вытащить все hdd и спрятать, и перевести на LiveUSB.
при появлении нежданных гостей флешку вытащить и забрать с собой

неужели ты считаешь проверяющих такими идиотами? При таком плане действий проверки будут происходить регулярно.

Deleted
()

Кстати, а разве нету контор, которые могут провести некий аудит и выдать какую-нибудь бумажку, что на дату проверки пирацкого ПО не обнаружено?

drakmail ★★★★
()

википедия утверждает, что MD5 устарел и следует приобщиться к семейству SHA-2

BambarbiyaKirgudu
()
Ответ на: комментарий от arturpub

Камеру вместе с оператором тоже осторожно опечатают и вынесут.

Часто в офисах ставят камеры видеонаблюдения. Так вот, данные с них можно в реальном времени отправлять на удалённый сервер в другой стране.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от NaiLi

Почему безуспешно? Если цель - помешать нормальному функционированию компании - то вполне успешно.

wisp ★★
()
Ответ на: комментарий от visual

Технику, даже если ты доказал, что ты прав и всё тип-топ, не возвращают

Это серьёзно у вас так? Пруфы будут?

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от ma1uta

Был на изъятии техники у наркоторговцев в офисе. Ничерта не пломбировали. Жесткие диски (те, что в столе, а не в системниках) бросали в сумку с высоты в метр, по звукам было понятно, что дискам капец.

btw, а может, опечатать тонкий килент заранее, в присутствии нотариуса и техэксперта, и все такое?

stevejobs ★★★★☆
()
Ответ на: комментарий от arturpub

за слово md5 или отказ от подписи едешь с ними в отдел и сидишь там до послезавтра

и почему бы не поехать, да не посидеть? Зато подписи не будет

stevejobs ★★★★☆
()
Ответ на: комментарий от QIQuJIunn

Снимай все самостоятельно в процессе обыска, комментируй.

место преступления, на котором проводятся мероприятия, нельзя снимать

stevejobs ★★★★☆
()
Ответ на: комментарий от Ignatik

Ну, есть системы экстренного уничтожения данных на НЖМД, при помощи мощных электромагнитов. Но смысл в этом?

Вот поэтому вам и посоветовали прикрутить гранату. После нее ставить новый ЖД будет просто некуда. И некому =). Только после такой «инсталляции» нужно будет быстро валить из страны.

segfault ★★★★★
()
Ответ на: комментарий от visual

тонкие клиенты - серваки в Брунее, бухи на мальдивах.

Какого размера бизнес ты сможешь создать при такой схеме IT?

Каковы будут затраты на IT?

Как обезопасишь себя от того, что «бухи на мальдивах» не уведут бабки или не подомнут бизнес под себя?

Что будешь делать, когда «серваки в Брунее» лягут по причине аварии в тамошнем датацентре? Что будешь делать, когда канал до них будет тормозить по вине промежуточного провайдера?

x_hash
()
Ответ на: комментарий от goingUp

Если не с помощью rm -rf а с помощью гранаты с чекой, приделаной к дверце системника, то должно спасти

Статья экстремизм или терроризм, конечно гораздо лучше, чем простое экономическое преступление.

x_hash
()
Ответ на: комментарий от TDrive

О да, сейчас тебе все школьники лора раскажут как они боролись с беспределом фсб.

Хорошо подметил)

ArturK
()
Ответ на: комментарий от Ttt

Пруфы можешь найти сам, даже оппозиционерам тоже не возрващают , статьи в прессе есть.

visual ★★★
()
Ответ на: комментарий от x_hash

моё дело помочь настроить - всё остальное дело начальства

visual ★★★
()

1. все харды зашифровать.
2. все корпуса опломбировать и на замок.
на видео заснять процесс второго пункта, и чтоб в кадр попало количество хардов и их серийники, да и вообще, чтоб в кадр попало вообще всё железо.

сделать много копий записи и хранить в разных зданиях

teod0r ★★★★★
()
Ответ на: комментарий от stevejobs

«Кучка пепла и пара берцев пытались обесточить линию 6 киловольт» == ССЗБ

ЗЫ А кто им ключ от РП даст? Пока найдут ключ и человека с 4 или 5 группой допуска по э.б. - все уже давно будут на измене.

nekosargot ★★★
()

Три принципа:
1. Сделай заранее все проверки, которые могут сделать они, сильными третьими сторонами.
2. Не сопротивляйся там, где они ждут наибольшего сопротивления
3. Предоставляй им как можно меньше информации. То есть отвечай на все вопросы, но ничего дополнительно не поясняй. Так и проинструктировать всех сотрудников.

Найми сторонний аудит, который проверит у нас наличие контрафактного ПО, и другого того, что вы боитесь что вам подбросят. Желательно чтобы это было большая контора, чтобы потом ее не поломали. Результат - в бумажном виде, заверенный печатями, положить в сейф за пределами конторы (банковская ячейка). В идеале сделать аудит еще и теми же службами, если есть основания не бояться. Никому об этом отчете не говорить, но и не скрывать, если зададут вопрос.
Поставь видеокамеры, запитай от луча, который они не смогут отключить, или который будет на UPS, которые будут не на виду и не будут пищать при отключении питания. Складывать запись будут в какой-то левый датацентр (то есть не в помещении).

Далее, сделать так, чтобы им было тяжело правильно подбросить информацию. Сделайте политики компании, например: шифрование дисков (я хочу посмотреть как ихний спец поставит контрафактную винду на зашифрованный раздел), политика отделения раздела данных от раздела с системой, должен быть установлен специфический софт (начиная от лицензионного антивируса нужной версии, заканчивая какой-то спец. тулзовиной). Опять же, нужны будут какие-то акты удостоверяющие то, что это было выполнено. В идеале - если эти акты заверенные третьей стороной. Если есть бекапы - отлично. Пусть их даже забирают: если захотят что-то установить, придется подправить бекапы.

Ну и т. п. Принцип - чтобы им было сложнее подбросить. Ну, а эти факты нужно выкатывать только на суде. Естественно, если не получится решить вопрос до суда. Да, кстати, если привлечь на суд прессу, то даже подкупленный судья будет ёрзать на стуле. Естественно, если вы 100% уверены что вашу правоту можно подкрепить фактами.

Kroz ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.