LINUX.ORG.RU

МВД РФ рассматривает вопросы проведения экспертизы компьютеров с Linux

 mvd


0

2

ФКУ НПО «СТиС» МВД России разместило заказ на выполнение ОКР «Автоматизированное рабочее место эксперта для исследования операционных систем семейства Linux», шифр темы: «Узорчик».

В проекте технического задания из конкурсной документации цель работы определяется как «Разработка программно-аппаратных средств для проведения судебных компьютерных экспертиз и исследований Unix-подобных операционных систем в пассивном режиме (исследование информации на компьютерных носителях информации (КНИ), содержащих наиболее распространенные файловые системы: Ext, Ext2, Ext3, Ext4, ReiserFS, Reiser4, Ufs)».

Данная новость косвенно свидетельствует о том, что компьютеры с Linux перестали быть экзотикой для органов внутренних дел.

>>> Подробности

★★★★★

Проверено: anonymous_incognito ()
Последнее исправление: pekmop1024 (всего исправлений: 3)
Ответ на: комментарий от silw

Дистр на базе Windows 7 и MS Office? ;) Причем без эквивалентов...

yaleks
()
Ответ на: комментарий от Quasar

Quasar

И еще есть технологии защиты информации, которые они не раскусят без паяльника.

есть и такие, где и паяльник бессилен...

drBatty ★★
()
Ответ на: комментарий от vio42

vio42

Походу в МВД все кто считает себя специалистами виндузятники )

не все, а только те, что в отделе по связям с общественностью (или как оно сейчас называется).

drBatty ★★
()

компьютеры с Linux перестали быть экзотикой для органов внутренних дел.

До них наконец-то дошло, что это не просто система для гиков, а для гиков-нацпольщиков-качальщиков?

dogbert ★★★★★
()

Всё сделано очень грамотно, исследовать носители следует на гетерогенной ОС. То есть, носитель от компа с Windows - исследовать на Linux, носитель от компа с Linux - исследовать на Windows. Дабы избежать даже гипотетической возможности заражения (кто не в курсе - для Linux вирусы тоже есть).

anonymous
()

3.2.2 Должны быть реализованы следующие функции: подключение КНИ к АРМ эксперта; осуществление копирования файлов без внесения изменения в структуру данных НЖМД, представленного на исследование; осуществление копирования файлов по сетевому кабелю «витая пара»; создание точной копии данных, считанных из КНИ; поиск и описание метаданных документов; поиск и описание монтированных носителей информации; поиск и представление журнала программ обмена сообщениями; поиск и представление журнала программ-браузеров; поиск и представление базы данных почтовых программ; исследование функций настроек почтовых серверов; исследование настроек и журналов работы веб-серверов; исследование настроек и журналов работы ftp-серверов; исследование настроек серверов, управляющих распределенными сетями; исследование настроек серверов баз данных; поиск и анализ файлов, созданных в других операционных системах.

anonymous
()
Ответ на: комментарий от anonymous

4.4.1 Технические средства АРМ эксперта для исследования операционных систем семейства Linux должна удовлетворять следующим минимальным требованиям:

модуль автономного дублирования жестких дисков с поддержкой копирования через сетевой кабель «витая пара», скорость дублирования 100 Гб/час (для SAS НЖМД);

процессор – 4 ядра, частота не менее 3 ГГц;

оперативная память - от 4 Гб;

накопитель на DVD/RW;

накопитель на жестком магнитном диске (НЖМД) - 1 Тб, 2 шт;

устройство типа Mobile Rack - 2 шт;

жидкокристаллический монитор – не менее 21”;

контроллер Serial Attached SCSI;

внешний блок Serial Attached SCSI;

внешняя система хранения данных, USB, под НЖМД SATA;

универсальный интерфейс USB для подключения НЖМД;

источник бесперебойного питания (ИБП);

принтер лазерный цветной формата А4, 600х600 dpi;

фильтр сетевого питания.

anonymous
()
Ответ на: комментарий от drBatty

И кстати свой линух у них уже очень давно

Это не у МВД, а у Министерства обороны. Имеется некоторая разница :)

Там ядро 2.4, но работает как-то...

Древнее ядро, подозреваю, тянут из соображения совместимости со старыми проектами. Под МСВС за 10 лет написали много всего.

Однако при всём при том в последних изменениях присутствует, например, Qt 4.6.3. Что позволяет без особого гимора кроссплатформенно писать под МСВС, «обычный» линукс и офтопик.

hobbit ★★★★★
() автор топика
Ответ на: комментарий от vio42

Это что за без предел на лоре, удалили сообщение за то что я написал http://lurkmore.to/Роисся_вперде!, они меня ещё русскому языку учить будут, может ещё расскажите как мне жить, что читать, что смотреть, какой рукой держать ложку?

1) См. правило 5.5.

2) Внезапно, ЛОР - не филиал лурка. Хочешь состязаться в лурчанке - иди на лурк. Хочешь комментировать новости о линуксе - пиши на грамотном русском языке.

...«Без предел» ты наш...

hobbit ★★★★★
() автор топика
Ответ на: комментарий от vio42

Какой рукой тебе передергивать тоже расскажут. А, возможно, даже и покажут.

wheel
()

пора переходить на freebsd

onon ★★★
()
Ответ на: комментарий от I-Love-Microsoft

Если не назовешь пароль, это только усугубит вину.

Gunnerua
()
Ответ на: комментарий от anonymous

То есть, носитель от компа с Windows - исследовать на Linux, носитель от компа с Linux - исследовать на Windows. Дабы избежать даже гипотетической возможности заражения

Гипотетически избежать вероятности заражения таким образом невозможно. Потому что гипотетически автор вируса может предусмотреть такую ситуацию или даже просто нечаяно кто-то кликнет по экзешнику.

Предотвращать заражение следует как раз с использованием систем вроде Linux с настроенной подсистемой типа SELinux и т.п.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

Ну это ж не то =\
Обувок с Буратинами охота =)

GAMer ★★★★★
()

Данная новость косвенно свидетельствует о том, что компьютеры с Linux перестали быть экзотикой для органов внутренних дел.

шёл 2012 год...

darkshvein ☆☆
()
Ответ на: комментарий от hobbit

на виртуалочке диск к ВММваре диски подключать. То, что таким образом вмварь похерила у меня физический раздел оперов видимо, мало волнует.

darkshvein ☆☆
()

Главное, что непонятно:
1. mount -oro /dev/%devicename% /mnt/guest
2. Если я зашифрую трукриптом, например, весь раздел, но не скажу, что криптовал, то этот раздел ну никак не расшифруют. Мало того - и не заподозрят, что там что-то есть.
3. АРМ оператора - это, я так понимаю, на экране должна быть кнопка «Найти криминал»? При наличии более 100500 способов скрыть даже следы присутствия информации подобный подход мне представляется профанацией, сходной со скандальным лозунгом «программирование без программиста».
Или чего-то недопонял?

Pronin ★★★★
()
Ответ на: комментарий от Pronin

АРМ оператора - это, я так понимаю, на экране должна быть кнопка «Найти криминал»? При наличии более 100500 способов скрыть даже следы присутствия информации подобный подход мне представляется профанацией, сходной со скандальным лозунгом «программирование без программиста».

Или чего-то недопонял?

Там же всё написано в конкурсной документации. Из чего следует, что оператор должен иметь примерно теже возможности, что и для дисков из под Windows-систем. То есть, посмотреть, что за софт установлен, информацию из браузеров (историю, пароли, кэш), тоже самое для почтовых программ, восстановить, насколько удастся, удалённые файлы, логи всякие и т.п.

anonymous_incognito ★★★★★
()
Ответ на: ололо от Alukardd

Интересно посмотреть как они будут анализировать диск участвующий в mdraid?) Особенно если туда еще добрался ecryptfs(для корневого и домашнего разделов) и truecrypt(для раздела с данными)...

Ты им сам всё расскажешь. Достаточно всего одного 100 Ватт паяльника. :)

tmplsr
()
Ответ на: комментарий от bernd

статья за использования криптосредств

Для личного использования — ЕМНИП, нет. Нельзя разработать и _продать_ свои криптосредства без сертификации Фатально Суровых.

tmplsr
()

Теперь дело будут не шить, а вышиват по узорчику.

Orfeo
()
Ответ на: комментарий от gray

Но вообще-то интересный список, потому что странно, что об xfs забыли, но включили jfs и reiser4.

Но как я уже говорил, интересно глянуть на того, кто за 15 миллионов сделает драйвера, хотя бы в виде отдельных пользовательских программ для работы с этими файловыми системами в винде.

По-моему, это стоит дороже.

Правда, учитывая, что задача записи на исследуемый диск (образ) не стоит, всё несколько проще, но всё-равно, требует команды действительно квалифицированных системных программистов. Обычные мальчики со знанием .NET или Java здесь не подойдут. Вообще, у меня впечатление, что специалистов такого уровня в РФ сейчас немного.

Поэтому могу предположить, что никто не станет писать драйвера этих систем под винду, выкрутятся как-то в итоге с линуксом же.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

А кто сказал, что надо написать драйвера для винды? Тема работы называется: «Автоматизированное рабочее место эксперта для исследования операционных систем семейства Linux» — нужно просто собрать это автоматизированое рабочее место, на базе того же Линукс и железа, стола и стула и пропатченых шрифтов. Оно должно быть простым в использовании, чтоб всякий опер мог с ним работать, типа подключил исследуемый винт, и вся инфа, как на ладони.

Orfeo
()
Ответ на: комментарий от anonymous

на тех компах, которые к кабине подключены, а на том, который в самой кабине.

На тех компах тоже линукс под названием ОС «Атликс-2» производства ФГУП НТЦ Атлас, с удалённой загрузкой с сервера.

Lothlorien ★★★
()
Ответ на: комментарий от gods-little-toy

Ext, Ext2, Ext3, Ext4, ReiserFS, Reiser4, Ufs)

Что осталось? xfs, zfs, btrfs

На деле ничего не осталось, кроме шифрования. Нормальному эксперту-криминалисту для исследований такой специальный АРМ хоть и в помощь, но необязателен, ибо неразрушающее (неинвазивное) чтение структур данных можно осуществить в любой операционной системе, загружающейся с компакт-диска и умеющей dd. Дальше просто разбирается скопированный образ в той системе, которая знает данную фс. Как-то так.

Lothlorien ★★★
()
Ответ на: комментарий от anonymous_incognito

Поэтому могу предположить, что никто не станет писать драйвера этих систем под винду, выкрутятся как-то в итоге с линуксом же.

Например, поставят мелкий компьютер (ну или плату) с линуксом и скриптами, управляемый с другого компьютера с Windows.

Lothlorien ★★★
()
Ответ на: комментарий от anonymous_incognito

Там уточняется, что место это должно работать под Windows 7 и иметь установленный мс офис.

А какие проблемы-то? Делаем отдельную железку с линуксом и стыкуем с РМ оператора, которое хоть под ДОС'ом может работать.

Macil ★★★★★
()
Ответ на: комментарий от Lothlorien

Дальше просто разбирается скопированный образ

Это ключевое положение. С точки зрения суда, копия!=оригинал.
Соответственно, любой судья пошлет таких «экспертов» подальше, когда они скажут, что «мы тут над копией поизголялись».

По той же причине стоит и требование НЕ изменять данные на исходном носителе.

wheel
()
Ответ на: комментарий от wheel

Кстати, насчет «копия!=оригинал» - тоже можно попробовать потроллить в случае наличия суперадвоката-ЕРЖ с очень подвешенным языком.
Что-нибудь типа: КОПИЯ - в оперативной памяти при любом считывании. А, значит, не считается.

wheel
()
Ответ на: комментарий от wheel

Это ключевое положение. С точки зрения суда, копия!=оригинал.

Копия, конечно, не оригинал, но для неразрушающего исследования копия 1:1 (дубликат) возможна, ибо отвечает требованиям, предъявляемым к доказательству (относимость, допустимость и достоверность). Собственно, «Узорчик», в частности, будет делать такие дубликаты.

BTW, бывают случаи (например, смонтированная криптоФС), когда экспертиза проводится на включенном компьютере «клиента», и полученная информация также признаётся доказательством, а там говорить о неизменности данных на исходном носителе не приходится.

И, потом, мы же говорим о нашем суде...

Lothlorien ★★★
()
Ответ на: комментарий от wheel

можно попробовать потроллить в случае наличия суперадвоката-ЕРЖ с очень подвешенным языком

Адвокат не является экспертом и специальными знаниями в области КТЭ не обладает, поэтому максимум, что он сможет — попытаться найти эксперта, который подпишется (под уголовную ответственность, между прочим) под тем, что копия в оперативной памяти не является отражением оригинала, хранящегося на диске.

Lothlorien ★★★
()
Ответ на: комментарий от drBatty

anonymous, возможно, имел ввиду, что есть такие вирусы и называются они «кривые ручки», вот их действительно много, ведь никто не отменял rm -rf /* :)

alexl83u
()

шифр темы: «Узорчик»

что? :))

tazhate ★★★★★
()

Господа, вы бы немного мат часть изучили, ато устроили тут срач, у кого ФС более редкая. При пассивном анализе будет анализироваться образ диска/винчестера, а не живой диск.

Книга о Форензике (компьютерная криминалистика) - http://forensics.ru/. Дистрибутив для облегчения расследования ИТ-преступлений - http://www.opennet.ru/opennews/art.shtml?num=32957

И да, при определенных обстоятельствах шифрование ФС вам поможет. Но если вас поймали с включенным/примонтированным шифрованным разделом, ничто не помешает квалифицированному (что редкость) специалисту задампить мастер ключи от вашего диска, что сведет преимущества шифрования к нулю.

Плюс ко всему, под Linux существуют отличные кейлогеры и они даже неплохо работают.

В общем если вы действительно хотите защитить свои данные, шифрованной ФС и редкого дистрибутива Linux не достаточно.

A_Hariton
()
Ответ на: комментарий от hobbit

hobbit

Это не у МВД, а у Министерства обороны. Имеется некоторая разница :)

угу. логично мвдшникам взять ось у коллег. Хотя... Да, я понимаю...

drBatty ★★
()
Ответ на: комментарий от Legioner

Пассивный, если я понимаю правильно, это просто анализ снятого жёсткого диска, например.

Ещё один повод пересесть на ssd, там просто жмёшь shift+del на опасной директории и на этом всё, файловая система отправляет TRIM а там уж контроллер сам все данные затрёт нулями гарантированно.

haku ★★★★★
()
Ответ на: комментарий от tmplsr

tmplsr

Достаточно всего одного 100 Ватт паяльника. :)

обычно используется 40ватный, и не органами. У органов есть другие методы, намного более жестокие и эффективные.

drBatty ★★
()
Ответ на: комментарий от alexl83u

alexl83u

anonymous, возможно, имел ввиду, что есть такие вирусы и называются они «кривые ручки», вот их действительно много, ведь никто не отменял rm -rf /* :)

ну если только ручки...

drBatty ★★
()
Ответ на: комментарий от haku

пересесть на ssd

И никакое шифрование не нужно. И dd у органов не панацея для суда — при подаче напряжения контроллер начинает мешать сектора по одному ему известной схеме, что исключает возможность снятия точной копии и, как итог, доказательства чего-либо по _точной_ копии либо доказательства по _неизменному_ оригиналу.

haku ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.