LINUX.ORG.RU

Linux для судебных экспертов: часть 2

 ,


0

0

Данная работа является продолжением цикла статей «Linux для судебных экспертов» и раскрывает проблему «подмены» операционной системы в ходе выполнения скриптов Casper в процессе загрузки с CD.

В работе описаны особенности работы скриптов Casper, приводящие к возможности ошибочного выбора файла-образа корневой файловой системы на исследуемом носителе информации с последующим выполнением произвольного кода. Данная уязвимость может быть использована для успешного противодействия криминалистическому исследованию носителей информации в ходе судебной экспертизы.

>>> Подробности (PDF)

Ответ на: комментарий от anonymous

Вопрос все таки открыт, если не монтировать разделы, значит на них ничего не запишется?


Мне лень изучать что там в каспере понаворотили, но в обычной системе, которая уже стоит, а не livecd, ничего никуда просто так не запишется, кроме как тебе в журнал о найденном устройстве, разумеется никакие фс на этом диске не будут изменены. Если конечно автомаунт отключен, если включен то наверное изменится счетчик в журнале на примонтированной фс. Вот видишь, судэксперты это считают багом. Наверное кого-то закрыть не смогли из-за этого или денег не получилось разок больше вымогательством взять. Хз, тут вот топикстартер большой в этом спец, он тебе расскажет.

anonizmus
()
Ответ на: комментарий от anonizmus

Я тоже так считаю. Кроме того на каких, интересно, экспертов это рассчитано? На тех кого в тупик поставит отсутствие cd/dvd-привода?

anonymous
()

Вообще-то говоря, при наличии мало-мальских ресурсов, вспоминаем, что написано в Computer Forensics Overview:

  1. NEVER mishandle evidence.
  2. NEVER trust the subject operating system or machine
  3. NEVER work on the original evidence

То есть, вытаскиваем диск из компьютера или ноута, подрубаем к компу, делаем dd if=/dev/sdb of=sdb.img и потом ковыряем его хоть до посинения.

А livecd грузить на компьютерах... Ну, тоже можно, но пока на полного параноика не наткнешься ;)

Harliff ★★★★★
()

Такой возник вопрос
Вот например подключает юзер зашифрованный диск, вводит пароль - расшифровывается симметричный ключ - копируется в память - используется для доступа к зашифрованным данным.
Cобственно вопрос - если своп не зашифрован, есть ли гарантия что этот расшифрованный ключ не попадёт из оперативы в своп в связи например с нехваткой памяти?

af5 ★★★★★
()
Ответ на: комментарий от forensics

> чтобы злоумышленники не знали как обходить зашифрованные ФС и извлекать персональные данные.

И чтобы дыры оставалиь как можно дольше известными только узкому кругу обнаруживших их людей «с благими помыслами» ;)

anonymous
()
Ответ на: комментарий от forensics

> люди со светлой стороны улицы.

- Скажите, а где противоположная сторона? - Там! - А почему же там говорят, что здесь?

Чем больше возможностей обнаружить нарушения копирайта, тем меньше возможности неотслеживаемого обмена информацией и тем ближе общество тотальной слежки - привет «светлосторонним» от Большого Брата.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.