следующая тема »

[Marat]

Какой "след" может остаться на таком, например, объекте, как бит?

Я помню забавный случай-человек обращается с целью установления факта как давно была произведена покраска крыла машины-и ему отвечают что установить это не представляется возможным.

[Николай Николаевич Федотов]

Ну, видимо, некоторые "логгеры", предусмотренные Создателем для вполне реального мира, тоже не вполне надежны, излишне доверчивы и неудобны в использовании, ибо вполне реальный мужик вполне в духе известной поговорки старается не плошать и оснащает особо ценные и вероятные объекты посягательств всякими там системами видеонаблюдения, несмываемыми красителями и штатами охранников. А уж такие реальные следы, как, например, след протектора на снегу при снегопаде или оттепели, или запаховый след на оживленном перекрестке исчезают куда как быстрее иных "виртуальных" следов.  

Никто и не спорит, что следы в Сети остаются. Бывает, что и очень подробные. Никто не спорит, что в реальном мире следы бывают слабые и практически не поддающиеся изучению. Всяко бывает. Мой тезис состоял совсем в другом - следы в Сети (преимущественно логи), как правило, надо специально организовывать и поддерживать. Если ничего в этом направлении не делать, то ничего и не сделается. Следов не будет. Вообще. Цифровая среда - такая вещь, что если информации не видно на уровне байтов-битов, то её и ни в какой микроскоп не увидишь.

[Николай Николаевич Федотов]

Позволю себе не согласиться с тем, что этот принцип действует в Сети.  Хотя бы потому, что объекты виртуального мира суть виртуальны. Какой "след" может остаться на таком, например, объекте, как бит?

Ну в реальном мире на уровне каждого отдельного атома следы остаются тоже только при очень специфических взаимодействиях, что не мешает изучению следов оставляемых более крупными объектами друг на друге при более тривиальных способах взаимного воздействия.

Ну вот мы и установили, что ваш принцип Локарда не абсолютный, а распространяется лишь на макроскопические или очень сложные объекты. Для виртуального мира это системы уровня ОС или выше. А охраняемые законом объекты или средства посягательства зачастую гораздо менее сложные.

[Dmitry]

Никто и не спорит, что следы в Сети остаются. Бывает, что и очень подробные. Никто не спорит, что в реальном мире следы бывают слабые и практически не поддающиеся изучению. Всяко бывает. Мой тезис состоял совсем в другом - следы в Сети (преимущественно логи), как правило, надо специально организовывать и поддерживать. Если ничего в этом направлении не делать, то ничего и не сделается. Следов не будет. Вообще. Цифровая среда - такая вещь, что если информации не видно на уровне байтов-битов, то её и ни в какой микроскоп не увидишь.

http://www.gd-ais.com/Capabilities/Datasheets/IES/Digitalforensics.pdf - фото на стр №2

http://www.defense.gov/news/Nov1999/n11021999_9911023.html и небольшая заметка на ту же тему.



И кстати далеко не только специально организованные логи могут быть доказательством. Просто логами, если они есть, удобнее пользоваться, точно также как проще, быстрее и точнее распечатать фотографии преступника и номера его автомашины, сделанные системой видеонаблюдения, чем искать свидетелей, составлять словесные портреты, мастерить фотороботы, по косвенным сведениям устанавливать примерное время проишествия и т.д. Хотя, опять же, одно другого не отменяет, и свидетелей найти тоже бывает нужно.

[Dmitry]

Ну вот мы и установили, что ваш принцип Локарда не абсолютный, а распространяется лишь на макроскопические или очень сложные объекты. Для виртуального мира это системы уровня ОС или выше. А охраняемые законом объекты или средства посягательства зачастую гораздо менее сложные.

Думаю, это все-таки не так. Могу предложить взглянуть на обсуждение этого вопроса пару лет назад вот здесь
http://www.securityfocus.com/archive/104/296443/2002-10-12/2002-10-18/2
а более подробно в книге того же автора Digital Evidence and Computer Crime (есть на Amazon'e, пиратская копия предыдущего издания гуляет в сети, русского перевода пока, увы, нет)

[Николай Николаевич Федотов]

Ну вот мы и установили, что ваш принцип Локарда не абсолютный, а распространяется лишь на макроскопические или очень сложные объекты. Для виртуального мира это системы уровня ОС или выше. А охраняемые законом объекты или средства посягательства зачастую гораздо менее сложные.

Думаю, это все-таки не так. Могу предложить взглянуть на обсуждение этого вопроса пару лет назад вот здесь
http://www.securityfocus.com/archive/104/296443/2002-10-12/2002-10-18/2

Here is an example of Locard's exchange principle at work in the digital
realm: An intruder gains unauthorized access to a Unix system from his
Windows PC using a stolen account and uploads various tools to the Unix
machine via FTP. The tools are now located on both the Windows and Unix
systems. The MD5 value of these tools will be the same and some of the
date-time stamps and other characteristics of the files on both systems
may match.

The Windows application used to connect to the Unix system (e.g., Telnet,
SecureCRT, SSH) may have a record of the target IP address/hostname.
Directory listings from the Unix system may be found on the intruder's
hard drive if they were swapped to disk while being displayed on screen by
Telnet, SecureCRT, SSH, etc. The stolen password is probably stored
somewhere on the intruder's system, possibly in a sniffer log or in a list
of stolen accounts from various systems (so that he does not have to
remember them). The FTP client used (e.g. WS_FTP) may create a log of the
transfer of tools to the server.

Ну, дык! Я и говорю, что трудноконтролируемые следы остаются при взаимодействии только СЛОЖНЫХ объектов типа упомянутой Виндоуз, которая так и норовит что-нибудь закешировать без ведома пользователя.

А более простые объекты таких следов не оставляют, ибо не на чем. Например, IPv4-пакет, проходя через восемь более-менее стандартно настроенных маршрутизаторов, не оставит никаких следов ни на одном из них. И маршрутизаторы на нём тоже.

[Marat]

Ну, дык! Я и говорю, что трудноконтролируемые следы остаются при взаимодействии только СЛОЖНЫХ объектов типа упомянутой Виндоуз, которая так и норовит что-нибудь закешировать без ведома пользователя.

это следует понимать как-экспертиза *nix систем бесполезна?

[Николай Николаевич Федотов]

это следует понимать как-экспертиза *nix систем бесполезна?

Понимайте так: Юникс меньше действий совершает без ведома пользователя, в нём несколько проще скрыть свои следы и несколько сложнее найти чужие.

[Dmitry]

А более простые объекты таких следов не оставляют, ибо не на чем. Например, IPv4-пакет, проходя через восемь более-менее стандартно настроенных маршрутизаторов, не оставит никаких следов ни на одном из них. И маршрутизаторы на нём тоже.

Николай Николаевич, по поводу Виндоуз, я так понимаю, Марат уже возразил, и мне менее всего хотелось бы двигаться в сторону "священных войн", тем более что кэш, своп, буфер обмена, стэк и другие временные хранилища данных отнюдь не придумка коварного Билла. То, что вы сказали по поводу маршрутизаторов, мне понятно. Но, во-первых, это все-таки имеет отношение не к отсутствию следов как таковых, а скорее к тому, что опять же в англоязычной литературе называется evidence dynamics, а подходящего русского эвивалента, увы, не знаю. Дело не в отсутствии следов как таковых, а во времени их жизни. И в трудоемкости фиксации таких следов. Маршрутизатор все-таки не просто хаб или репликатор, пакет в нем некоторым образом обрабатывается, фрагментируется или наоборот пересобирается, если вспомнить про source routing, то и новые данные в пакете могут появиться, но главное, все это время, пока пакет обрабатывается, он где-то в памяти маршрутизатора хранится. Если в буфер обмена попал пакет длиной 50к, то очевидно, следующие 10 пакетов длиной 1к смогут перезаписать только малую часть предыдущего пакета, а большая будет сохраняться там некоторое время. Вопрос только какое время и как ее оттуда извлечь. Предположительные ответы - недолго и непросто, и положительный результат объективно не всегда гарантирован. Но паче чаяния встанет такая задача, когда более простые и привычные способы сбора улик применить будет невозможно - думаю решить ее будет можно. Применялось ли это уже на практике - мне не известно, думаю, что вряд-ли, но полностью исключить не могу. Это во-первых. А во-вторых, мне неизвестны также случаи преступлений, где единственным орудием или средством совершения его выступали бы только несколько маршрутизаторов и только в качестве транзитного оборудования. Может я ошибаюсь, и какую-то экзотику запамятовал.

ЗЫ. Забыл еще сразу написать. Не следует также путать следы и улики. На матовой бумаге жирные пальцы возможно и не оставят следов, пригодных для идентификации личности при текущем уровне развития криминалистической науки, но отрицать наличие следов вообще было бы неверно, а отрицать саму возможность того, что в будущем появятся методы, позволяющие и эти следы использовать в криминалистической практике, мне кажется тоже не вполне обоснованно

[Marat]

Николай Николаевич, по поводу Виндоуз, я так понимаю, Марат уже возразил

абсолютно правильно.
Пакет он откуда-то пришел и прежде чем потеряться куда-то попадает