 Автор |
Сообщение |
AlexRock
Гуру
 |
|
| Epsilon писал(а): |
| Понятно что можно вычислить основной IP с которого чаще всего входят (а так же браузер и версию вашей операционной системы) |
Ну, чаще ходят - это ещё не признак владельца. А браузеров и версий ОС не так много, чтобы они не совпали вдруг. Да и что у владельца, что у взломщика может быть несколько компов с разными ОС и браузерами, с которых он заходит в свой почтовый ящик, или вообще они пользуются почтовыми программами. Всё это ничего не доказывает. |
|
 |
|
 |
myharmony
Эксперт
 |
|
| Epsilon писал(а): |
| Я так думаю, что если ящик недостаточно персонифицирован, то ваши права почти равные |
я тоже так думаю |
|
| |
|
|
ENS
Продвинутый форумчанин
 |
|
| Epsilon писал(а): |
| Понятно что можно вычислить основной IP с которого чаще всего входят |
| Epsilon писал(а): |
| Но это же всё цифровая лирика.... |
Действительно лирика. Я свою почту проверяю на работе и дома с одинаковой частотой. Плюс у друзей, если там что срочное.
Ну и касаемо логов - случай из жизни. Как-то раз к нам в контору должно было прийти письмо. Мы его не видели, ну просто не было его и всё, а ответ на него срочно затребовали, грозили штрафом большим и прочими карами. А как доказать, что письма не было, и мы его не удаляли? Я позвонил в техподдержку ngs. Можно ли, спрашиваю, из логов вытащить адреса писем, или письма которые приходили такого-то числа, всего 2 недели назад? И ответом было - логи у нас не хранятся более суток. Так что или им было влом что-то делать, или ничего действительно не хранят, и тогда никто ничего не докажет о факте доступа кого-либо, уже по прошествии суток. |
|
| |
|
|
AlexRock
Гуру
|
|
| ENS писал(а): |
| И ответом было - логи у нас не хранятся более суток. |
Что-то вроде был какой-то закон не так давно принят, обязывающий провайдеров хранить информацию об акнивности пользователей в течении года или что-то в этом роде. Даже если самого письма уже не вытащить, у провайдера можно попытаться поискать лог в нужное время на нужный адрес по нужному протоколу - были ли какие-либо действия, которые можно охарактеризовать как отправка или получение почты. Если, конечно, провайдер всё это дело так подробно записывает на каждого пользователя. |
|
| |
|
|
alexcom
Медвед-шатун
 Предупреждений : 2
|
|
| ващет каждого прова обязывают ставить оборудование СОРМ, которое вроде пишет ацкие логи и шлёт в ФСБ. как дело с логами обстоит в реальности неизвестно... |
|
| |
|
|
AlexRock
Гуру
|
|
Шоб не начинать новую тему...
А что, говорят, и анонимайзеры и всякие другие прокси и какие угодно их цепочки не помогут, если ваш провайдер отслеживает ваш трафик? Ну, выстроили вы цепочку из пары десятков проксей, сидите, загружаете себе 20 кБ текста две минуты, а в это время ваш провайдер тупо складирует себе заголовки пакетов, да и само их содержимое. А ежели кто шифроваться будет, так это же первейший кандидат на маски-шоу. Своим шифрованием себя же скорее и выдаст.
Я так понимаю, что все эти прокси пойдут разве что для обхода ограничений плохого админа на работе и чтобы сам владелец конечного ресурса, на который вы ходите через всю эту тормозную цепочку, не узнал, откуда вы. Против серьёзных пацанов эти детские игрушки не покатят. |
|
| |
|
|
vindium
Форумчанин
 |
|
| Содержимое пакетов никто не хранит, это гигантский объем! Обычно хранится информация о потоках в формате Cisco Netflow - это стандарт де-факто для таких вещей. |
|
| |
|
|
GreatEvilGod
Форумчанин
 |
|
| AlexRock писал(а): |
| А что, говорят, и анонимайзеры и всякие другие прокси и какие угодно их цепочки не помогут, если ваш провайдер отслеживает ваш трафик? |
Да пусть хоть в 2-х экземплярах хранят с грифом "хранить вечно". Какой смысл? Предположим хакнул Вася Пупкин почту используя цепочку из анонимных проксей (SOCKS 5 например), следствие запросило логи и выяснило что взлом был из ЮАР. Дальше то что делать? Запрашивать логи со всей страны за определенный период времени, а потом анализировать их? Да пока они все это проанализируют дело уже за давностью лет развалится. Да и какой баран будет из своего дома хакать когда есть столько слабо защищенных Wi-Fi точек доступа, а MAC адрес можно вообще любой поставить какой понравится. И куда следствие придет? Даже изъятие компа ничего не даст если взломщик не дурак, благо всю информацию которая компрометирует можно в tmpfs писать, выключил комп и прощайте логи, кэши, словари и еще много чего... |
|
| |
|
|
profi2307
Гуру
 |
|
| GreatEvilGod писал(а): |
| Да и какой баран будет из своего дома хакать когда есть столько слабо защищенных Wi-Fi точек доступа |
| GreatEvilGod писал(а): |
| Даже изъятие компа ничего не даст если взломщик не дурак, благо всю информацию которая компрометирует можно в tmpfs писать |
вот знал же что надо учиться учиться и учиться |
|
| |
|
|
AlexRock
Гуру
|
|
А вот как доказать, что вирус, найденный у вас, и который взломал чью-то почту, к вас не из Интернета попал, а вы его сами написали и запустили? А как доказать обратное?
Я к тому, что любой хакер может просто развести руками - "не виноватый я - он сам взломал" - и сказать, что знать ничего не знает и вообще в компьютерах плохо разбирается. Подцепил вирус где-то, наверное, а дальше вирус во всё виноват. Ну где, ну как можно доказать, что этот человек виновен во взломе, а не вирус? А если даже экспертиза не найдёт каких-нибудь признаков известных вирусов на вашем компе - всегда можно сказать, что это новый, ещё не зарегистрированный вирус. Ведь именно так они и выявляются - сначала кто-то терпит от них, потом с ними начинают бороться. Неужели за обнаружением каждого нового вируса стоит неправомерно обвинённый незадачливый ламер, отправляющийся на нары?
У нас вообще есть в законах какие-нибудь санкции за "потворствованию работе вирусных программ" путём неустановки антивируса или заходу на "опасные сайты"? Вина за зло, причинённое вирусом, как-нибудь ложиться на того, с чьей машины вирус это зло причинял?
По-видимому, что нет. Т. е. используя эти соображения, можно в суде доказать свою невиновность довольно просто. Вирус можно скомпилить вообще на одной машине, а запустить - сдругой. Т. е. вроде как "меня заразили". А дальше можно почти любую деятельность с вашего компьютера свалить на активность вирусной программы.
Вообще, интересно бы почитать про некоторые процессы над хакерами и как доказывали их вину. Может, кто-нибудь подкинет ссылок на хорошие описания таких расследований, чтобы самому не искать? )
Мне также непонятны сообщения в прессе о вирусных эпидемиях, что мол они начались оттуда-то. Это что, следствие по цепочке всех-всех потерпевших (миллионы пользователей) опросило и пришло к источнику вируса? Для биологических вирусов, существующих десятки лет и более, до сих пор зачастую не могут выяснить их источники и переносчиков, а для компьютерных, которые распространяются в разы быстрее (т. е. гораздо сложнее установить источник), вдруг рраз - и готово, и хакер какой-нибудь уже сидит. |
|
| |
|
|
profi2307
Гуру
|
|
| я думаю решающую ставку в суде отдел К будет осуществлять на какие нибудь системные архивы событий с компьютером, как то запуск программ, интернет событий или что то в этом роде мотивируя что ни какая вирус прога не может (не способна ни в коем разе) записать туда такую инфу, типа не может поставить даты и прилепить к этим датам события которые провайдер со своей стороны подтверждает тоже, ну я вообщем не силен в этом, поэтому так вот .... |
|
| |
|
|
profi2307
Гуру
|
|
| позвонил следователь на домашний - зовет на .... ну вообщем допрос не допрос... |
|
| |
|
|
GreatEvilGod
Форумчанин
|
|
Относительно какого то вируса который якобы мог или не мог и т.д. и т.п.
Суду как я понимаю глубоко пофиг, что могло быть, а что не могло быть. С таким же успехом можно доказывать что у вас в квартире может жить злой дух который мог кого то взломать. Суд выносит вердикт исходя из довольно субъективного мнения о том хватает ли доказательств собранных следствием или не хватает.
Так что из трех версий:
1) Взломал обвинямый т.к. в логах сохранились записи о его IP.
2) Взломал вирус который никто не видел.
3) Взломал злой дух которого никто не видел.
думаю суд выберет первый вариант, БРИТВА ОККАМА. |
|
| |
|
|
AlexRock
Гуру
|
|
| profi2307 писал(а): |
| я думаю решающую ставку в суде отдел К будет осуществлять на какие нибудь системные архивы событий с компьютером, как то запуск программ, интернет событий или что то в этом роде мотивируя что ни какая вирус прога не может (не способна ни в коем разе) записать туда такую инфу, типа не может поставить даты и прилепить к этим датам события которые провайдер со своей стороны подтверждает тоже, ну я вообщем не силен в этом, поэтому так вот .... |
Действуя с правами администратора, вирус может всё, что угодно. Может даже эмулировать действия мышью и клавиатурой, так что все логи и события покажут, будто это живой человек всё делал. Добавляя мои руссуждения (немного рафинируя их от воды) выше, можно защищаться этим на суде. Я так думаю.
| GreatEvilGod писал(а): |
1) Взломал обвинямый т.к. в логах сохранились записи о его IP.
2) Взломал вирус который никто не видел. |
Видел или не видел - это неважно. Если взломал вирус и выносится решение о вине пользователя, но налицо прецедент идеальной подставы любого пользователя и посадки его в тюрьму - просто кидаешь юзеру вирус и звонишь в "К", мол, меня взломали, адрес подозреваемого такой-то. Таким образом сядет ЛЮБОЙ, к кому вирус пройдёт и запустится.
Если суду пофиг, то это другой разговор - это называется беспредел и тут ничего поделать нельзя, кроме как пойти и сесть ни за что (ну прям как в старые добрые времена). Я исхожу из того варианта, что суд будет выслушивать мнения и доказательства.
Я думаю, что я достаточно логичные доводы выше привёл, чтобы вести спор в суде. Я хочу, чтобы кто-нибудь их прокомментировал. |
|
| |
|
|
GreatEvilGod
Форумчанин
|
|
| Цитата: |
Если суду пофиг, то это другой разговор - это называется беспредел и тут ничего поделать нельзя |
Суду не пофиг, ему нужны доказательства. Ну хорошо предположим выскажешь ты эту идею в суде, предположим суд сочтет ее разумной и назначит экспертизу, а заседание перенесут. Экспертиза ничего не найдет, опять, и у суда появится бумажка с печатью в которой будет написано что вируса не обнаружено... А раз вируса не обнаружено то возвращаемся к обвиняемому.
| Цитата: |
просто кидаешь юзеру вирус и звонишь в "К", мол, меня взломали |
Написать программу которая запустившись с ограниченными правами порутает абстрактную тачку, не думаю что это просто. Отсюда вывот: "не сиди под root-ом!!!" |
|
| |
|
|
AlexRock
Гуру
|
|
| GreatEvilGod писал(а): |
| Экспертиза ничего не найдет, опять, и у суда появится бумажка с печатью в которой будет написано что вируса не обнаружено... А раз вируса не обнаружено то возвращаемся к обвиняемому. |
Как это вируса не обнаружено? Будет обнаружена программа, проводившая сетевую активность по конкретным адресам в сети (если, конечно, это логируется). А дальше надо только:
1) экспертизе признать эту программу внедрённым вирусом;
2) подозреваемому развести руками и сказать что-нибудь вроде "да-да, припоминаю, что такого-то числа (совпадает со временем создания создания файла "вируса" на компьютере) лазил где-то (не помню где) на подозрительных сайтах и кто-то малознакомый приходил и втыкал флешку".
Это если надо защищаться от подставы.
А теперь если надо подставить. Если пользователь ламер и не может себя защитить, то получится так, как вы сказали - вирус чужой поработал, а ламер сел.
| GreatEvilGod писал(а): |
| Написать программу которая запустившись с ограниченными правами порутает абстрактную тачку, не думаю что это просто. Отсюда вывот: "не сиди под root-ом!!!" |
Так речь-то не о том, кто не под рутом, а о том, кто ламер. Да и "взломать" почту можно и с ограниченными правами, нет? Просто долбишься на почтовый сервер и пытаешься залогиниться - вроде, для этого достаточно прав браузера, ведь он то же самое делает, когда через веб-интерфейс заходишь на почту. Подобрал пароль по словарю и можно звонить в "К" о взломе и изменении личных данных во всяких контактиках, на эту почту завязанных.
Даже такой самый простой вариант: кидаем вирус (индивидуальный и неповторимый, которого ещё нет в БД антивирусников) ламеру, вирус "ломает" заранее подготовленную почту (тоже нашу подставную), а мы все логи пишем - кто, откуда взломал. Потом жалуемся в "К", предоставив логи. Ламер садится. Так можно население выпиливать пачками, кто не нравится или конкурент. |
|
| |
|
|
GreatEvilGod
Форумчанин
|
|
AlexRock, хорошо, согласен ситуация в любом случае странная.
Либо всех подряд сажать за вирус на компе.
Либо всех отпускать потому что вирус на компе.
Т.е. либо можно подбросить вирус любому человеку и посадить его. Либо любой может написать программу которая стучится на почту с рандомными паролями, а потом взламывать сколько захочет, а в суде сказать: "ничего не ломал, вот стоит какая то программа что то делает откуда взялась не знаю"
P.S. В общем, кажется я твою мысль изначально не правильно понял... |
|
| |
|
|
AlexRock
Гуру
|
|
GreatEvilGod
Я к тому сказал, что таким способом можно отмазаться от любых наездов во взломе чужих учёток, почт и т. д. Ведь ничего же доказать нельзя. Одновременно можно наехать на любого и посадить - ведь ничего же опровергнуть нельзя. Это по нашим законам.
Как сказал один человек, такая ситуация выгодна известно кому - можно гнуть закон то в одну сторону, то в другую, в зависимости от того, кто больше даст, и получать выгоду отовсюду. Это, кстати, не только в ИТ так у нас. |
|
| |
|
|
|
Аватары: Вкл|Выкл ЮзерИнфо: Вкл|Выкл Подписи: Вкл|Выкл
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы
|
|
