Комментарии 55
Как страшно жить
Как у этих программно-аппаратных комплексов обстоят дела с работой с шифрованными дисками и шифрованными телефонами? Какие операционные системы поддерживаются?
Частично, ответ на этот вопрос будет дан в последующий статьях. Следите за нашими публикациями. Если же вас интересует конкретная ситуация, напишите об этом (с указанием производителя устройства, модели, версии ОС и т.д.).
Типичные комбинации для корпоративных ноутбуков и телефонов:
- Windows + BitLocker
- Windows + Check Point Full Disk Encryption
- Windows + MacAfee Complete Data Protection
- Windows + Sophos SafeGuard
- Windows + Symantec Endpoint Encryption
- Linux + LUKS 2
- Apple OS X + FileVault 2 (с чипом T2, и старые модели без него)
- шифрование iPhone iOS
Ничего не описали, одна вода. Главный же вопрос — каким образом chain of custody поддерживается? Как гарантируется, что на устройстве не появилось новых данных в процессе исследования?
Вопросы о том, что мы рекомендуем купить из криминалистического софта и какие продукты (в определенной категории, например, для исследования мобильных устройств) лучше других и почему, нам задают постоянно. Как минимум раз в неделю. Собственно, это и послужило стимулом для написания этой статьи.
Chain of custody представляет собой бланк, в котором описывается движение вещественного доказательства с момента изъятия до момента поступления в суд. В действующем российском законодательстве наличие такого бланка не регламентировано. Обычно в России вещественные доказательства передаются по правилам, установленным ведомственными (межведомственными) приказами по документообороту (передаче вещественных доказательств). В ряде случаев, при передаче вещественных доказательств может быть задействована фельдъегерская служба.
Если же вас интересуют системы менеджмента, применяемые в криминалистических лабораториях, напишите об этом. Мы осветим эту тему в одной из последующих статей.
Для того чтобы случайно или намеренно не изменить данные на исследуемом носителе информации применяются аппаратные (программные) блокираторы записи или автономные дубликаторы. Часть подобных устройств описана в нашей статье.
Неизменность цифровых доказательств, в классическом случае, обеспечивается сравнением хеш- суммы созданной копии исследуемого носителя информации с хеш-суммой данных, находящихся на носителе.
Иногда, подсчитать подобную хеш-сумму для носителя информации невозможно. Например, если подсчитывается хеш-сумма жесткого диска на котором «сыпется» поверхность. Для такого диска хеш-сумма каждый раз будет разная. В этом случае, применяются другие криминалистические техники.
Как бы это не прозвучало банально, подброшенные цифровые доказательства часто просто видно. Если у вас (ваших друзей, знакомых и т.д.) случилась подобная беда, вы можете обратиться в нашу компанию. Мы постараемся помочь.
Chain of custody представляет собой бланк, в котором описывается движение вещественного доказательства с момента изъятия до момента поступления в суд. В действующем российском законодательстве наличие такого бланка не регламентировано. Обычно в России вещественные доказательства передаются по правилам, установленным ведомственными (межведомственными) приказами по документообороту (передаче вещественных доказательств). В ряде случаев, при передаче вещественных доказательств может быть задействована фельдъегерская служба.
Если же вас интересуют системы менеджмента, применяемые в криминалистических лабораториях, напишите об этом. Мы осветим эту тему в одной из последующих статей.
Для того чтобы случайно или намеренно не изменить данные на исследуемом носителе информации применяются аппаратные (программные) блокираторы записи или автономные дубликаторы. Часть подобных устройств описана в нашей статье.
Неизменность цифровых доказательств, в классическом случае, обеспечивается сравнением хеш- суммы созданной копии исследуемого носителя информации с хеш-суммой данных, находящихся на носителе.
Иногда, подсчитать подобную хеш-сумму для носителя информации невозможно. Например, если подсчитывается хеш-сумма жесткого диска на котором «сыпется» поверхность. Для такого диска хеш-сумма каждый раз будет разная. В этом случае, применяются другие криминалистические техники.
Как бы это не прозвучало банально, подброшенные цифровые доказательства часто просто видно. Если у вас (ваших друзей, знакомых и т.д.) случилась подобная беда, вы можете обратиться в нашу компанию. Мы постараемся помочь.
Вот, расскажите, каким образом "видно" подложенные доказательства? Допустим, мы обсуждаем кражу Главного Секрета. Есть жёсткий диск, изъятый из компьютера подозреваемого.
Кто и каким образом гарантирует, что в процессе передачи диска от следователя к forensic'у следователь не подвоткнёт диск в первый попавшийся компьютер с смещённой датой и не подложит файл "Главный Секрет (2).rar" на рабочий стол профиля?
Подобный случай произошел с одним из наших коллег несколько лет назад. Все было точь-в-точь как вы написали. Файл «Главный Секрет.rar» неожиданным образом появился на рабочем столе профиля владельца компьютера. Доказательство того, что файл был подброшен было построено экспертом на анализе временных штампов, хранящихся в метафайлах файловой системы NTFS.
О, а теперь, цитата:
"первый попавшийся компьютер с смещённой датой".
- Выставить кривую дату на компьютере.
- Подключить диск
- Положить файл
- Вынуть диск.
Похоже, это что-то из серии «вредных советов».
Стоит ли это понимать как то, что ваши специалисты не смогут доказать подлог в этом случае?
А расскажите, почему? Я не знаю, пишет ли винда в файловую систему id последнего монтировавшего хоста, но если нет — то как обнаружить подлог?
Ещё интереснее, если монтируют из линуксов.
В NTFS есть набор характерных признаков, позволяющих определить факт «подкидывания» данных с компьютера (с Windows), на котором системное время установлено «задним числом». Есть еще ряд косвенных признаков (например, можно показать, что следов работы с искомым файлом нет или что файл записывали как на внешний накопитель).
А если кто-то пишет данные с помощью ntfs-3g, то, извините, каждый созданный файл будет иметь весьма кричащий «флаг» «я был записан не с помощью ntfs.sys».
А если кто-то пишет данные с помощью ntfs-3g, то, извините, каждый созданный файл будет иметь весьма кричащий «флаг» «я был записан не с помощью ntfs.sys».
Ок, с линуском понятно. А вот как винда на уровне файловой системы может определить, что ей время назад отмотали?
- Выставить время вручную, на T -1ч от времени изъятия PC.
- Загрузить систему с подключенным диском.
- Записать файл.
- Выключить PC.
Мне это реально интересно.
Могу ошибаться, но проблема может быть в журнале FS.
То есть, последние записи будут с временными метками T, а следующая за ними транзакция будет с временной меткой T-1.
То есть, последние записи будут с временными метками T, а следующая за ними транзакция будет с временной меткой T-1.
А журнал сохраняется после flush'а? Он же перезаписывается.
Опять же, какова глубина журнала? Возможно, операции записи одного нового файла не хватит, чтобы перезаписать предыдущие операции.
В смысле журнала, идеальное решение — откатываем время на T-1, включаем машину и выполняем целый час (до времени T) разные операции на файловой системе. Но тут появляется другой риск — что, если эти операции будут нетипичными, тогда можно будет доказать, что они выполнялись на другой машине.
В смысле журнала, идеальное решение — откатываем время на T-1, включаем машину и выполняем целый час (до времени T) разные операции на файловой системе. Но тут появляется другой риск — что, если эти операции будут нетипичными, тогда можно будет доказать, что они выполнялись на другой машине.
можно показать, что следов работы с искомым файлом нетДа уж, как будто это снимает все обвинения, если эксперт скажет, что «Главный секрет.rar» обвиняемый не открывал программами WinRAR или Microsoft Word, а только скопировал и хранил на рабочем столе с неизвестной целью (и неизвестно куда ещё мог скопировать).
или что файл записывали как на внешний накопительМожно ли отличить подброс от сценария, когда сам пользователь вставил флешку и скопировал с неё «Главный секрет.rar» себе на рабочий стол (если не считать временных меток NTFS, которые в данной ветке обсуждаем отдельно)?
Еще есть процедура изъятия вещественных доказательств, которые упаковываются и подписываются понятыми и специалистом который принимал участие в изъятии. Эксперт при производстве компьютерной экспертизы производит детальную фотосъемку в том числе упаковки объекта и отражает ее целостность в заключении эксперта. Также в случае не возможность изъять носитель информации снимается побитовая копия и ее контрольная сумма которая отражается в протоколе и эксперт при производстве экспертизы верифицирует значение контрольной суммы.
А каким образом считается контрольная сумма для данных на жёстком диске при невозможности его изъять из устройства? live cd? Каким образом понятые могут понять, что была посчитана контрольная сумма диска? Каким образом обеспечивается отсутствие модификации данных во время подсчёта контрольной суммы?
Носитель информации демонтируется, подключается через аппаратный блокиратор записи, снимается с помощью программного обеспечения образ жесткого диска считается алгоритм (например MD5) после окончания создания образа производится еще раз верификация все процедуры производятся в присутствии понятых, с записями в протокол.
Live CD сейчас используются очень редко по причине отсутствия CD/DVD-приводов в исследуемых устройствах. Обычно, используется загрузочная флешка. Контрольную сумму можно посчитать, например, использовав соответствующую команду Linux. Криминалистические утилиты, как правило, делают это автоматически при клонировании накопителя.
Если мы говорим о проведении неких процессуальных действий (а откуда иначе возьмутся понятые), то еще в конце 90-х годов прошлого века, существовали методические рекомендации, в которых было написано, что привлекать к подобным действиям надо граждан, которые имеют профильное образование (программисты, системные администраторы, иные IT-специалисты) и понимают, что происходит.
Достоверность создания криминалистической копии и отсутствие модификации данных при копировании подтверждается предварительным тестированием аппаратных и программных средств, используемых для осуществления подобной процедуры. Отчеты о тестировании открыты для всех желающих. Вы можете их найти, например, на сайте NIST (National Institute of Standards and Technology), в разделе ‘Disk Imaging’. Там находится огромное количество отчетов с результатами тестов.
Если мы говорим о проведении неких процессуальных действий (а откуда иначе возьмутся понятые), то еще в конце 90-х годов прошлого века, существовали методические рекомендации, в которых было написано, что привлекать к подобным действиям надо граждан, которые имеют профильное образование (программисты, системные администраторы, иные IT-специалисты) и понимают, что происходит.
Достоверность создания криминалистической копии и отсутствие модификации данных при копировании подтверждается предварительным тестированием аппаратных и программных средств, используемых для осуществления подобной процедуры. Отчеты о тестировании открыты для всех желающих. Вы можете их найти, например, на сайте NIST (National Institute of Standards and Technology), в разделе ‘Disk Imaging’. Там находится огромное количество отчетов с результатами тестов.
Коллега, поправлю Вас, все процессуальные действия описаны в УПК. Специалист может привлекаться как со стороны правоохранительных органов, так и просто с улицы (естественно в том и ином случае имеющий специальные познания). А понятые могут и не иметь знаний в интересующей нас области.
> А понятые могут и не иметь знаний в интересующей нас области.
Это сейчас так принято считать. А вот в статье 60 УПК написано, что понятой удостоверяет, в том числе, содержание следственного действия. Таким образом, понятой должен понимать, что делает специалист (иначе содержание следственного действия ему, понятому, не понятно).
Это сейчас так принято считать. А вот в статье 60 УПК написано, что понятой удостоверяет, в том числе, содержание следственного действия. Таким образом, понятой должен понимать, что делает специалист (иначе содержание следственного действия ему, понятому, не понятно).
А можно поподробнее про "предварительное тестирование"? Вот я понятой. Смотрю на флешку. Как я знаю, что там считается только контрольная сумма, а не подкладывается ГлавныйСекрет(2).rar во все файловые системы ещё на этапе initrd самой флешки?
Автор публикации не разделяет умышленную модификацию данных и случайную (или неосторожную) модификацию данных. «Предварительное тестирование» (в правильной терминологии – валидацию) программные и аппаратные средства проходят лишь в контексте случайной (или неосторожной) модификации данных. Строго говоря, УПК никаких требований к программным или аппаратным средствам не предъявляет и валидация, тем более в NIST, не имеет юридического значения (был законопроект по обязательной валидации средств судебной экспертизы, но это все еще законопроект, который не могут принять уже годы, впрочем, механизм валидации в законопроекте – это весьма сомнительная с точки зрения эффективности вещь).
Никак. Защита от умышленного «подкидывания» данных только юридическая – специалист не должен быть заинтересован в исходе дела (в противном случае он подлежит отводу); существует уголовная ответственность за фальсификацию доказательств; специалист несет уголовную ответственность за дачу заведомо ложных показаний; лицо, у которого производится обыск, вправе наблюдать за процессом обыска и за действиями специалиста.
Понятой, если ему это принципиально, может настоять на включении в протокол подробных сведений о том, как копировались данные и (или) как считался от них хеш, а также описания «вилки достоверности» (специалист произвел именно те действия, которые наблюдал понятой, если введенные специалистом команды запускали исполняемые файлы, которые делали именно то, что должны были делать, каких-либо фоновых процессов, затрагивающих искомые данные, не было и т. п.). У понятого, во всяком случае, есть право делать замечания к протоколу, которое не может быть ограничено.
В принципе, если действия с данными производились только из определенного live-дистрибутива, то его носитель можно приобщить к протоколу обыска (например, чтобы подтвердить неизменность программы sha256sum), но на практике такого я не видел. Это, конечно, не исключает тему «закладок» в BIOS/UEFI (которые каким-то образом исказили данные) или тему подмены корневой ФС live-дистрибутива, но все-таки у всего, даже у сомнений, должен быть (и есть) разумный предел.
Вот я понятой. Смотрю на флешку. Как я знаю, что там считается только контрольная сумма, а не подкладывается ГлавныйСекрет(2).rar во все файловые системы ещё на этапе initrd самой флешки?
Никак. Защита от умышленного «подкидывания» данных только юридическая – специалист не должен быть заинтересован в исходе дела (в противном случае он подлежит отводу); существует уголовная ответственность за фальсификацию доказательств; специалист несет уголовную ответственность за дачу заведомо ложных показаний; лицо, у которого производится обыск, вправе наблюдать за процессом обыска и за действиями специалиста.
Понятой, если ему это принципиально, может настоять на включении в протокол подробных сведений о том, как копировались данные и (или) как считался от них хеш, а также описания «вилки достоверности» (специалист произвел именно те действия, которые наблюдал понятой, если введенные специалистом команды запускали исполняемые файлы, которые делали именно то, что должны были делать, каких-либо фоновых процессов, затрагивающих искомые данные, не было и т. п.). У понятого, во всяком случае, есть право делать замечания к протоколу, которое не может быть ограничено.
В принципе, если действия с данными производились только из определенного live-дистрибутива, то его носитель можно приобщить к протоколу обыска (например, чтобы подтвердить неизменность программы sha256sum), но на практике такого я не видел. Это, конечно, не исключает тему «закладок» в BIOS/UEFI (которые каким-то образом исказили данные) или тему подмены корневой ФС live-дистрибутива, но все-таки у всего, даже у сомнений, должен быть (и есть) разумный предел.
НЛО прилетело и опубликовало эту надпись здесь
И еще один вопрос: Knox Самсунга ломается или нет?
Уточните, пожалуйста, что вы имели ввиду?
Можно ли сбросить счетчик Knox? Для ряда моделей это возможно.
Возможно ли прочитать данные, зашифрованные Knox? Успех/ не успех извлечения данных будет зависеть от того: какая модель устройства исследуется, какая версия ОС на нем установлена, какие обновления безопасности установлены на устройстве и какая версия Knox используется.
Можно ли сбросить счетчик Knox? Для ряда моделей это возможно.
Возможно ли прочитать данные, зашифрованные Knox? Успех/ не успех извлечения данных будет зависеть от того: какая модель устройства исследуется, какая версия ОС на нем установлена, какие обновления безопасности установлены на устройстве и какая версия Knox используется.
Интересно было бы почитать статью, в которой рассказывалось бы о таких же средствах в других странах. Или о защите современных телефонов от подобных средств.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Судя по резонансности скандалов, запароленный пин кодом больше 6 символов айфон все еще никому не доступен для взлома? Недавно перекрыли аппаратную уязвимость, которая позволяла его подбирать.
Это какие-то старые скандалы. Они были обусловлены не невозможностью взлома подобных устройств в принципе, а в цене, которую компании просили за эту услугу.
В 2018 году было анонсировано аппаратное средство GrayKey, извлекающее данные из запароленных iPhone. После этого о «громких скандалах» мы не слышали. Сейчас на рынке появилось решение другой компании – Cellebrite UFED Premium, которое имеет даже больший функционал чем GrayKey.
Технически, извлечение данных из заблокированного iPhone и восстановление PIN-кода, это две разных не связанных друг с другом задачи. Т.е., успех извлечения данных из заблокированного iPhone не связан с тем, будет ли восстановлен PIN-код.
В 2018 году было анонсировано аппаратное средство GrayKey, извлекающее данные из запароленных iPhone. После этого о «громких скандалах» мы не слышали. Сейчас на рынке появилось решение другой компании – Cellebrite UFED Premium, которое имеет даже больший функционал чем GrayKey.
Технически, извлечение данных из заблокированного iPhone и восстановление PIN-кода, это две разных не связанных друг с другом задачи. Т.е., успех извлечения данных из заблокированного iPhone не связан с тем, будет ли восстановлен PIN-код.
А вот такой вопрос. Есть методы надежного удаления данных. Они основаны на многократной перезаписи свободного пространства после удаления файлов. Позволяют ли современные средства восстанавливать такие перезаписанные данные? Раньше слышал только, что какие-то очень недоступные простым людям программы могут по следам намагниченности это делать. Но что-то плохо мне в это верилось.
А еще как быть с использованием виртуальных операционок? Установил человек виртуалку. Все делает там. Потом взял и удалил. Мало того, что сама виртуалка уже полноценно защищена паролем и прочими делами внутри, так она и внешне удалена и неизвестно какие кластеры там успели чем-то перезаписаться. Не восстановить же, по идее.
Криминалом не занимаюсь, но иногда посещают параноидальные мысли насчет сохранения персональной информации. В наше время крадут все, что ни попадя, к сожалению((( А без использования цифровой техники уже никуда.
ЗЫ: Я стал использовать внешние сервисы для кратковременного хранения личных данных. Например, пароли к сайтам. Но я их сам шифрую своим шифром, потом записываю результат в письмо и посылаю сам себе в ящик. Полученное письмо кладу в папку, которая открывается опять под дополнительным паролем. То есть, несколько ступеней защиты: шифр пароля, пароль от ящика, пароль от папки. Когда необходимость в пароле от сайта отпадает, просто удаляю письмо и все. Думаю, от хакеров защита от чтения персональных данных на носителе вполне достаточная. За исключением возможного трояна, который может считать вводимые пароли. Но это уже другая история.
А еще как быть с использованием виртуальных операционок? Установил человек виртуалку. Все делает там. Потом взял и удалил. Мало того, что сама виртуалка уже полноценно защищена паролем и прочими делами внутри, так она и внешне удалена и неизвестно какие кластеры там успели чем-то перезаписаться. Не восстановить же, по идее.
Криминалом не занимаюсь, но иногда посещают параноидальные мысли насчет сохранения персональной информации. В наше время крадут все, что ни попадя, к сожалению((( А без использования цифровой техники уже никуда.
ЗЫ: Я стал использовать внешние сервисы для кратковременного хранения личных данных. Например, пароли к сайтам. Но я их сам шифрую своим шифром, потом записываю результат в письмо и посылаю сам себе в ящик. Полученное письмо кладу в папку, которая открывается опять под дополнительным паролем. То есть, несколько ступеней защиты: шифр пароля, пароль от ящика, пароль от папки. Когда необходимость в пароле от сайта отпадает, просто удаляю письмо и все. Думаю, от хакеров защита от чтения персональных данных на носителе вполне достаточная. За исключением возможного трояна, который может считать вводимые пароли. Но это уже другая история.
По-моему, самым интересным в подобной статье могло бы стать подробное описание того, что конкретно надо делать, чтобы все эти замечательные программные и аппаратные средства оказались абсолютно бесполезными, будучи примененными против моего смартфона.
Наверняка ведь есть какие-то тулзы, начиная с штатного андроидного шифрования, которые сделаны специально для того, чтобы подобный шпионский софт не позволял извлечь из телефона информацию в обход желания его владельца.
Наверняка ведь есть какие-то тулзы, начиная с штатного андроидного шифрования, которые сделаны специально для того, чтобы подобный шпионский софт не позволял извлечь из телефона информацию в обход желания его владельца.
Может кому пригодится.по старой работе несколько раз восстанавливал отформатированные hdd и удаленные файлы с ssd на макбуках.бесплатных альтернатив не нашел.они максимум- восстанавливали файлы общей кучей. Купил ease us data recovery for mac. В триальном режиме дает возможность увидеть все файлы с сохранением пути к папкам.ну и нужно учитывать, что с ssd удавалось все вернуть при условии запрета перезагрузки и гибернации. Стоило ssd после удаления файлов из корзины отключится-программа уже не помогала.но один раз в таком варианте она здорово выручила. Обычные же hdd восстанавливались без проблем
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики