LINUX.ORG.RU

Linux для судебных экспертов: часть 2

 ,


0

0

Данная работа является продолжением цикла статей «Linux для судебных экспертов» и раскрывает проблему «подмены» операционной системы в ходе выполнения скриптов Casper в процессе загрузки с CD.

В работе описаны особенности работы скриптов Casper, приводящие к возможности ошибочного выбора файла-образа корневой файловой системы на исследуемом носителе информации с последующим выполнением произвольного кода. Данная уязвимость может быть использована для успешного противодействия криминалистическому исследованию носителей информации в ходе судебной экспертизы.

>>> Подробности (PDF)

1. Как написано в статье, вероятность такого противодействия крайне мала.
2. В предыдущей статье было сравнение популярных судебных дистрибов на тему монтирование read only ФС. Собственно, использование какого из дистрибов таки исключает возможность такой записи. Что скажете про NTFS и FAT?

pento ★★★★★
()
Ответ на: комментарий от pento

> 2. В предыдущей статье было сравнение популярных судебных дистрибов на тему монтирование read only ФС. Собственно, использование какого из дистрибов таки исключает возможность такой записи. Что скажете про NTFS и FAT?

Ответ дан там же. Могу только добавить, что и CAINE, и DEFT Linux, и некоторые другие дистры уже пропатчили соответствующий скрипт (casper-helpers) и проблема автоматического восстановления ФС Ext3/4 в процессе загрузки исчезла. Кроме того, CAINE начиная с версии 1.0 использует более корректную политику монтирования ;)

Что касается монтирования NTFS/FAT с флагом "-o ro", то каких-либо изменений данных обнаружено не было (и, надеюсь, не будет).

forensics
() автор топика

весь текст статьи можно было поместить в тело новости.

firsttimeuser ★★★★★
()

Что-то я не понял. Нафиг LiveCD вообще знать о файловых системах на жестких дисках? Случай про замонтировать и счрутиться, пофиксить файлы тут не обсуждается.

Как только что-то снаружи пытается прочекить какие-то файлы, можно провести контратаку и запустить зловредный код, который вообще удалит все нафиг. Это к тому, что многие дистрибутивы вообще не имеют никаких средств защиты от этого, sudo тра-ля-ля, ноль вопросов.

gh0stwizard ★★★★★
()

А ведь LOL.

Вот помню, в слакваре было:

bare.i noinitrd

Harliff ★★★★★
()

А мы PDF-ы терь не открываем из-за уязвимости в ридере.
Такшто для Ъ давай копипасте статью!

vada ★★★★★
()

бред какой то. Авторы live диска наркоманы. Для успешного противодействия судэкспертам есть ecryptfs (а в нормальных дистрах при установке предлагается галочка что бы автоматически хомяк заэнкриптить).

По моему в венде (начиная с 2000) тоже штатные средства для шифрования есть. Или это поделие было сделано для откатов ?

anonizmus
()
Ответ на: комментарий от anonizmus

По моему в венде (начиная с 2000) тоже штатные средства для шифрования есть. Или это поделие было сделано для откатов ?

Ты всерьёз думаешь, что «штатные средства для шифрования» в Windows могут что-то защитить от спец. служб? Скорее там всё сделано в помощь их представителям.

Lighting ★★★★★
()
Ответ на: комментарий от anonizmus

> ля успешного противодействия судэкспертам есть ecryptfs (а в нормальных дистрах при установке предлагается галочка что бы автоматически хомяк заэнкриптить).

Т.е. вы считаете, что методики расследования компьютерных преступлений и рекомендации по производству судебных компьютерно-технических экспертиз стоят на месте? Есть масса примеров, когда дисковое шифрование оказывалось полным фейлом (не по причине простого пароля и терморектального криптоанализа), пример: http://nhtcu.ru/news.html («закончена экспертиза по „кардерскому“ делу, в ходе которой были вскрыты два криптоконтейнера программы „PGPdisk“. Миф о защищенности при использовании „PGP“ можно считать разрушенным.»).

forensics
() автор топика
Ответ на: комментарий от forensics

> Есть масса примеров, когда дисковое шифрование оказывалось полным фейлом (не по причине простого пароля и терморектального криптоанализа), пример: http://nhtcu.ru/news.html («закончена экспертиза по „кардерскому“ делу, в ходе которой были вскрыты два криптоконтейнера программы „PGPdisk“. Миф о защищенности при использовании „PGP“ можно считать разрушенным.»).

Вообще-то из новости не следует, что пароль не был достаточно простым или что владельцем компьютера не были допущены какие-либо ещё ошибки.

askh ★★★★
()
Ответ на: комментарий от forensics

>можно считать разрушенным

Где подробности и пруфлинк? Нету? тогда сами догадайтесь что вам сделать.
А то что кому-то впарили кейлогер или обнаружили файл passwords.txt или провели терморектальный криптоанализ - это ни о чём не говорит.

af5 ★★★★★
()
Ответ на: комментарий от forensics

А какие норкоманы использовали PGP для шифровки больших файлов? PGP невзламываем если по нему передавать короткие сообщения, например ключи для того же RSA

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от DNA_Seq

дык емнип пгп это только пара ключей, сам диск шифруется AES или чем хочешь там еще, а симметричный ключ шифруется открытым ключом, както-так.

af5 ★★★★★
()
Ответ на: комментарий от af5

> Где подробности и пруфлинк? Нету? тогда сами догадайтесь что вам сделать.

Правильно отметили: подробностей нет и, скорее всего, не будет. А всё сделано ради того, чтобы завтра на каком-нибудь SSD (детище EFF) или PGPru не появились подробности того, как и чем правильно шифровать данные, которыми послезавтра воспользуются педофилы и террористы :)

Ну или если говорить немного толще: чтобы злоумышленники не знали как обходить зашифрованные ФС и извлекать персональные данные.

forensics
() автор топика
Ответ на: комментарий от forensics

>...А всё сделано ради того...

просто ахереть какой титанический труд

af5 ★★★★★
()
Ответ на: комментарий от forensics

>чтобы злоумышленники не знали как обходить зашифрованные ФС и извлекать персональные данные.

шифрованые диски в общем случае не взламываются, если пользователь только не совсем децил вывалившийся из 50-летнего криогенного сна, а в остальном всё давным давно известно и общедоступно в интернете.

af5 ★★★★★
()
Ответ на: комментарий от forensics

Есть масса примеров, когда дисковое шифрование оказывалось полным фейлом (не по причине простого пароля и терморектального криптоанализа)


С терморектальным криптоанализом ниче не сделать, с простыми паролями можно бороться достаточно легко (генерируя пароли самим приложением и не давая пользователю возможности использовать свои).

Ничего не знаю про программу PGPdisk, серьезные алгоритмы никто не вскроет без терморектального криптоанализа.

anonizmus
()
Ответ на: комментарий от Lighting

Ты всерьёз думаешь, что «штатные средства для шифрования» в Windows могут что-то защитить от спец. служб?


Смотря от каких, от замкадных скорее всего да. Не выражаю уверенности потому что очень давно видел виндоус %)

Короче эти все линуксы для судэкспертов лажа (а чем они отличаются от обычного дистра где все это можно поставить через пакетный менеджер ?) А бабло уже распилено наверняка, за нанотехнологии.

anonizmus
()
Ответ на: комментарий от anonizmus

> а чем они отличаются от обычного дистра где все это можно поставить через пакетный менеджер ?

Тем, что в репах нужных пакетов либо нет, либо нужные пакеты просто устарели.

Не говоря уже и о том, что «обычные» дистры не обеспечивают возможность работы с исследуемыми носителями информации без записи каких-либо данных на них.

Ну и стоит упомянуть, что для эксперта проще иметь готовый загрузочный CD, чем парить себе мозг, пытаясь этот Live CD сделать самому.

А бабло уже распилено наверняка, за нанотехнологии.

RIPLinux бесплатен. CAINE бесплатен. DEFT Linux бесплатен. Helix3 бесплатен. grml бесплатен. Продолжать?

forensics
() автор топика
Ответ на: комментарий от anonizmus

> Ничего не знаю про программу PGPdisk, серьезные алгоритмы никто не вскроет без терморектального криптоанализа.

Маленький секрет: кроме алгоритма в модель угроз входят еще и реализация, и окружение. Последние очень уязвимы :)

forensics
() автор топика
Ответ на: комментарий от forensics

Я так понимаю вы имеете отношение к сабжевой профессии, раскройте тайну, что делают чекисты обнаружив шифрованный файл/раздел/диск? Выбивают пароль или тупо подбрасывают контрофакт или факт наличия зашифрованного и не желание выдать ключ уже приравнивают к преступлению?

af5 ★★★★★
()
Ответ на: комментарий от af5

> раскройте тайну, что делают чекисты обнаружив шифрованный файл/раздел/диск?

Вариантов много и для их описания потребуется отдельная книга. Иногда зашифрованные данные можно не трогать - свидетельских показаний достаточно (http://internet-law.ru/intlaw/crime/faq.htm#Q04), иногда удается подобрать пароль, а иногда появляются те самые «особенности реализации и окружения». Пока что подобная информация по мелким частицам появляется в инете, но наиболее исчерпывающий ответ могут получить лишь люди со светлой стороны улицы.

forensics
() автор топика
Ответ на: комментарий от af5

> родные?

Ну для таких и подобных случаев уже придумали отрицаемое шифрование. И без мозгов (но с опциональным наличием физической силы) доказать факт наличия еще одних зашифрованных данных нельзя.

forensics
() автор топика
Ответ на: комментарий от forensics

я имелл в виду «давление» на родственников, ну в общем не важно.

af5 ★★★★★
()
Ответ на: комментарий от forensics

Не говоря уже и о том, что «обычные» дистры не обеспечивают возможность работы с исследуемыми носителями информации без записи каких-либо данных на них.


Внимательно жду развернутой телеги на эту тему. Что это мне запрещает в любом дистрибутиве линукса работать с носителем без записи каких-либо данных.

anonizmus
()
Ответ на: комментарий от forensics

RIPLinux бесплатен. CAINE бесплатен. DEFT Linux бесплатен. Helix3 бесплатен. grml бесплатен. Продолжать?


Бесплатен для кого ? Для конечных потебителей - наших серых братьев, или для бюджета, в который я плачу налоги на содержание таких как ты ?

anonizmus
()
Ответ на: комментарий от anonizmus

> Что это мне запрещает в любом дистрибутиве линукса работать с носителем без записи каких-либо данных.

Об этом, собственно, и идет речь в сабжевой серии статей. Создать Live CD, который не изменяет какие-либо данные на исследуемых носителях во всех случаях (кроме случаев работы с неисправными носителями, случаев работы с «шибко умными» SSD, а также случаев, когда пользователь явно разрешает изменять данные), удается весьма малому числу людей. Все еще распространен миф, что опция "-o ro" позволяет монтировать ФС без изменения данных (подобное заблуждение есть в книге Н. Н. Федотова «Форензика - компьютерная криминалистика» и ряде других работ); многие дистрибутивы все еще используют ванильный Casper для загрузки с CD и в результате... кхм, читайте-читайте часть 1.

А если не хотите, то ответ таков: создать Live CD, удовлетворяющий вышесказанным требованиям, мешает отсутствие специальных знаний. И практика это доказывает: например, посмотрите в чейнджлог Helix3:

Fixed Helix Mount code for journaled file systems. Helix will NO longer change the journal mount count when you mount a journaled file system.

Баг был пофиксен спустя 2 года после первого релиза.

Спустя еще некоторое время (более года) было обнаружено, что выбранное разработчиками решение все равно провальное: http://tech.dir.groups.yahoo.com/group/linux_forensics/message/2804

В итоге, спустя почти 6 лет с первого публичного релиза Helix, главный разработчик решил изменить политику монтирования и покончить с подобными багами (в последнем релизе коммерческой версии не исправлены только баги с записью на XFS и автомонтированием в режиме «чтение-запись» MMC из-за идиотских правил HAL).

Аналогичная ситуация и с дистрибутивом CAINE - они сперли политику монтирования из Helix3 и баги залатали лишь спустя много релизов.

forensics
() автор топика
Ответ на: комментарий от forensics

> в последнем релизе коммерческой версии не исправлены

Забыл-забыл. Еще восстановление Ext3/4 в процессе загрузки.

forensics
() автор топика
Ответ на: комментарий от forensics

Я читал тебя как будто из какой то перпендикулярной вселенной...

Сначала долго думал что такое Helix и CAINE, после пользования яндексом остались многие неприятные ощущения, включая то что CAINE это оказывается дистрибутив для судебных приставов, ладно, это не самое страшное...

Самое страшное ниже, где мне приводят какие то ченджлоги Helix3, наверное это тоже какой то невнятный неясно кем и для какого распила бабла слепленный из чего-то древнего и кривого дистр «судебноприставный». В этих ченджлогах есть какое то нытье что кто-то там ниасилил монтирование без изменения данных. Ну бывает. Ок.


Но каким образом эта вся пропаганда веществ относится к человеческим дистрам типа редхата, дебиана и (господи меня прости) к слесу ? А то обычно когда заявляют «большинство дистрибутивов» имеют ввиду именно их, а не какие то поделия кривые коими кроме разработчиков никто не пользуется, нет разве ?

anonizmus
()
Ответ на: комментарий от anonizmus

> Но каким образом эта вся пропаганда веществ относится к человеческим дистрам типа редхата, дебиана и (господи меня прости) к слесу ? А то обычно когда заявляют «большинство дистрибутивов» имеют ввиду именно их, а не какие то поделия кривые коими кроме разработчиков никто не пользуется, нет разве ?

Уточняю: Helix3 раньше был на основе Knoppix, теперь на основе Ubuntu. Но им так и не удалось заставить свой дистрибутив сохранять неизменность данных (вот уже около 6 лет прошло активной разработки). Если вы с первой попытки сможете заставить _свой_любимый_«человеческий»_дистрибутив_ это делать, то честь вам и хвала. Но пока еще никто (!) не смог. Теперь ясно?

forensics
() автор топика
Ответ на: комментарий от forensics

Но им так и не удалось заставить свой дистрибутив сохранять неизменность данных (вот уже около 6 лет прошло активной разработки)


1. подключается устройство (например жесткий диск)
2. делается дамп с него (с нужного раздела или всего) с помощью программы dd на носитель какой нить
3. ставим ридонли на дамп этого устройства (это исошник)
4. монтируем исошник с помощью опции -o loop
5. отсылаем мне на wm кошелек 25% с прибыли с этой «идеи» (лол)

anonizmus
()
Ответ на: комментарий от forensics

да и вообще, между нами, признайся уже наконец что этот «баг» вовсе и не баг а просто всем остальным глубоко на это пох %) Да и экспертным системам тоже кстати нахрен не вздалось.

anonizmus
()
Ответ на: комментарий от anonizmus

> 1. подключается устройство (например жесткий диск)

1.5. ОС в процессе загрузки монтирует файловые системы и изменяет данные на этом жестком диске

forensics
() автор топика
Ответ на: комментарий от forensics

1.5. ОС в процессе загрузки монтирует файловые системы и изменяет данные на этом жестком диске


автомаунт конечно отключить запрещает религия ? %)
Или руками прописать даже для нужного диска-раздела-ууид ручное монтирование только ? %) да ?

Во с другой стороны классно - вон и выросло поколение которое думает что операционная система сама монтирует при подключении жесткие диски ) так что прогресс есть, линукс идет в массы ! %)

anonizmus
()
Ответ на: комментарий от anonizmus

> да и вообще, между нами, признайся уже наконец что этот «баг» вовсе и не баг а просто всем остальным глубоко на это пох %) Да и экспертным системам тоже кстати нахрен не вздалось.

Могу только признать то, что вы своим предыдущим постом показали, что не знаете о такой вещи как «forensic preview», которая с каждым днем все актуальнее и актуальнее (основная причина - увеличение количества носителей, требующих исследования, в единицу доступного для проведения исследований времени) ;)

Вообщем, если вам есть о чем со мной, то буду ждать вас в закрытых форумах судебных экспертов.

Да и экспертным системам тоже кстати нахрен не вздалось.

К сожалению, востребованность некачественных экспертиз растет (c). Поэтому да, эксперты порой кладут на неизменность данных и используют очередной пиратский Windows Live CD :)

forensics
() автор топика
Ответ на: комментарий от anonizmus

> автомаунт конечно отключить запрещает религия ? %)

Так, идиот детектед. Casper перед монтированием файловых систем на жестких дисках никуда не смотрит и никого не спрашивает. И без ручной правки скриптов никакое отключение автомонтирование не поможет.

forensics
() автор топика
Ответ на: комментарий от forensics

Я правда себя начинаю чувствовать идиотом, когда люди ради изменения нескольки настроек в автозагрузке LiveCD начинают делать дистрибутивы и называют их «линукс для судэкспертов».

У кого-то тут мания величия. Во, слушай, ты мне идею подал, возьму свои скрипты к iptables+конфиги сквида, апача, мыла и sql, сделаю свой дистр и назову его «супер пупер мега дистр для защищенных военных промышленных серверов»

anonizmus
()
Ответ на: комментарий от forensics

а я вообще к чему, не, я вот подумал тут что я что-то бычу, но я вовсе не по злобе.

Вы лучше бы отдельную программу сделали бы. Под винду и линукс например. А то получается очень по дебильному - уже у людей система стоит, а тут им нужно с диска грузиться, а данные все у них там, в других винтах, тут все неудобно, и проч, короче я к этому. Вот это было бы наверное востребованнее.

anonizmus
()
Ответ на: комментарий от anonizmus

> когда люди ради изменения нескольки настроек в автозагрузке LiveCD начинают делать дистрибутивы и называют их «линукс для судэкспертов».

А вы уверены, что дело ограничивается изменением нескольких настроек? ИМХО, вы просто ниасилили прочитать обе статьи и посмотреть хотя бы на один подобный дистр. Это, кстати, то, о чем я говорил: человек считает что для отключения автомонтирования не нужно перепаковывать скрипты initrd, а достаточно лишь поправить конфиг / убрать галочку в GUI => уровень знаний этого человека недостаточен для создания (изменения уже существующих) дистров для обеспечения возможности их применения в судебной экспертизе.

forensics
() автор топика
Ответ на: комментарий от forensics

Это, кстати, то, о чем я говорил: человек считает что для отключения автомонтирования не нужно перепаковывать скрипты initrd


Во первых речь обо мне не идет. Я например не читаю от скуки скрипты каспера, для ливсд, поскольку мне это нахрен не нужно, но логично что если бы я по каким то причинам начал делать ливсд на основе убунты то я бы мануалы почитал (иначе как делать).

Во вторых я про то что этот ваш ливсд нахрен никому не нужен, поскольку он livecd. Это неудобно, для повседневной работы просто, лучше человеческий юсб стик с установленной нормально системой,во первых на нее можно писать, соотв. настройки сохранять, доустановленный софт, апдейты и проч.

anonizmus
()
Ответ на: комментарий от anonizmus

> начал делать ливсд на основе убунты то я бы мануалы почитал

В манах подобные особенности не описаны. Как их исправлять - тем более. Некоторые вещи, описанные в двух статьях, невозможно найти где-либо еще (хотя о некоторых особенностях знают некоторые вендоры, но молчат).

forensics
() автор топика
Ответ на: комментарий от anonymous

Пардон за невежество, но что такое Casper


это такая хренотень которая стоит в livecd дисках убунтовских и может еще каких, и которая монтирует сжатый образ в память, и все такое, скрипты вон там выполняет (виртуальную фс организовывает наверна) как то так. Короче нахрен ненужная вещь, ваще, так если %)

anonizmus
()
Ответ на: комментарий от anonizmus

Ага, значит если я просто подключу винт через юсб то никакой каспер ничего на нем не изменит? %)

anonymous
()
Ответ на: комментарий от anonymous

Ага, значит если я просто подключу винт через юсб то никакой каспер ничего на нем не изменит? %)


Он ничего там раньше и не менял, если верить этому:

Fixed Helix Mount code for journaled file systems. Helix will NO longer change the journal mount count when you mount a journaled file system.


т.е. в XELIX для неких судэкспертов просто отключили инкремент счетчика кол-ва монтирования фс журналируемых. (вполне адекватное кстати поведение, его, ващет, для того и сделали если кто не в курсе)

anonizmus
()
Ответ на: комментарий от anonizmus

А Хеликс это просто лив-цд. Вопрос все таки открыт, если не монтировать разделы, значит на них ничего не запишется? Тогда нам на помощ приходят дд и луп :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.