Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нем неправильно. Необходимо обновить браузер или попробовать использовать другой.
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.
На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.
Работаю в ИБ компании, недавно стал вопрос в изученни разных ОС которые расчитаны на контр-криминалистику. Какая на ваш взгляд система является лучшей с точки зрения простой настройки и защиты от любого вида форензики. Версии Live не подходят. Понятно что можно допилить любую ось но все-таки чем вы можете посоветовать пользоваться
Tails с encrypted volume *исключение
Kodachi
Arch
Manjaro
Другой дистибутив
может показать себя крайне не плохо. Естественно без крипта не обойтись.
Про простоту настройки тут конечно говорить нельзя, но надо признать что интерфейс сделан не плохо и много можно сделать гуем (наверное в этом вы понимаете простоту настройки)
P.S. нет такой системы которая бы предотвратила Терморектальный криптоанализатор.
может показать себя крайне не плохо. Естественно без крипта не обойтись.
Про простоту настройки тут конечно говорить нельзя, но надо признать что интерфейс сделан не плохо и много можно сделать гуем (наверное в этом вы понимаете простоту настройки)
P.S. нет такой системы которая бы предотвратила Терморектальный криптоанализатор.
А если использовать банальный Kali Linux например и сделать следующее:
Как кто-то писал ранее, отключить swap, настроить скрипт на очистку оперативной памяти, запретить ssh подключения к ОСи. Закриптовать весь диск трукриптом. Насколько такие меры спасают от прямой форензики если физически каким то чудом недоброжилатель добрался до компа в момент когда он работает и уже выполнен вход в систему. Т.е можно ли каким то образом восстановить логи что делалось, куда подрубался, что смотрел. Как тогда защитить систему, чем чистить логи кали? Поможет ли софт вроде Bleachbit....
BlackArch -целый арсенал утилит запутывания условного противника в плане антифорензики.
Только простым точно не назовёшь данный дистрибутив.
Kodachi - не рекомендую даже для анонимности,впрочем,только для этого дистр и был задуман.
Может у кого он нормально работает,убеждать не стану.Наблюдал сбои соединений VPN и TOR сервисов,
отсутствие инета в эти мгновения,видел мелькающий свой реальный IP (благо,на Desktop всё выводится в conky)
При попытке запустить свой VPN вначале перед стартом Kodachi,упорно не цепляет соединение,а если и получается,
то выдаёт мой VPN. Какая после этого анонимность?
Kali Linux - в этом плане тоже вещь хорошая.Не знаю,как сейчас код самоуничтожения у неё работает,или нет
(пробовать как-то не хочется),также с набором антифорензики.
Bleachbit-всего лишь утилита чистки системы,да косвенно немного поможет,но только в плане удаления старых файлов.
А теперь,внимание,от чистки истории вводимых команд в терминале,она не поможет!
Кто думает,что очистка истории заканчивается на # history -c , ошибаются.
Код:
# leafpad ~/.bash_history
# leafpad ~/.zsh_history когда установлен zsh
Всё удаляем в открывшихся файлах,сохраняем файлы пустыми.После стрелками быстро пролистать команды не получится,
пока снова не наберутся. Может кому и это пригодится.
BlackArch -целый арсенал утилит запутывания условного противника в плане антифорензики.
Только простым точно не назовёшь данный дистрибутив.
Kodachi - не рекомендую даже для анонимности,впрочем,только для этого дистр и был задуман.
Может у кого он нормально работает,убеждать не стану.Наблюдал сбои соединений VPN и TOR сервисов,
отсутствие инета в эти мгновения,видел мелькающий свой реальный IP (благо,на Desktop всё выводится в conky)
При попытке запустить свой VPN вначале перед стартом Kodachi,упорно не цепляет соединение,а если и получается,
то выдаёт мой VPN. Какая после этого анонимность?
Kali Linux - в этом плане тоже вещь хорошая.Не знаю,как сейчас код самоуничтожения у неё работает,или нет
(пробовать как-то не хочется),также с набором антифорензики.
Bleachbit-всего лишь утилита чистки системы,да косвенно немного поможет,но только в плане удаления старых файлов.
А теперь,внимание,от чистки истории вводимых команд в терминале,она не поможет!
Кто думает,что очистка истории заканчивается на # history -c , ошибаются.
Код:
# leafpad ~/.bash_history
# leafpad ~/.zsh_history когда установлен zsh
Всё удаляем в открывшихся файлах,сохраняем файлы пустыми.После стрелками быстро пролистать команды не получится,
пока снова не наберутся. Может кому и это пригодится.
Спасибо за подробный ответ, а в кали что есть еще полезно против форензики? Я хочу для себя даже чек лист сделать
LUKS на вход
RAM wipe script
SWAP отключение
bash history очистка (очень полезная вещь, думал если history -c то все в порядке)
Отлючение каких-либо логов есть на кали?
Что еще из мер антифорензики можно добавить?
При подключении например к открытым ТД и работе с ними под рандомным МАКом, можно ли идентифицировать мой Комп или Ноут по аудио карте, видеокарте и другим отпечаткам. Т.е если например подрубался к недружестенной ТД и потом подрубился у сестры дома с новым маком но с тем же ноутом. Можно ли засветиться таким образом в сети?
Хорошие вопросы,ушёл готовить ответ,так просто не насоветуешь-основательный подход требуется.
Что касается крайнего вопроса,то так поступать нельзя. Сколько метров радиус приёма ТД?
Если в роутерах современных можно вести журналирование логов,то представляете возможности организаций-поставщиков услуг?
Оборудование там-закачаешься,именно туда попадут все сведения о Вашем устройстве.
Есть и серьёзные интернет-ресурсы,которым принадлежит особый статус-там также собираются немалые сведения о машинах клиентов.
Если ещё и IP один и тот же-то мак даже не важен будет какой.Не зря спросил про радиус приёма.
Тем более,в зоне покрытия близкий человек проживает-это провал полнейший.
Никогда не стоит смешивать личное и какие-либо эксперименты с ИБ.
В идеале -железо должно быть другим.
Благодарю за ответ. Очень интересно знать ваше мнение. Если мы говорим об обычных домашних роутерах и публичных фаст фуд ТД. Могут ли они собирать информацию кроме МАК адреса подключения и hostname или они также могут каким то образом записывать ID машины, ID ОСи..... Т.е. какие то нестандартные вещи. Или все таки логируется МАК, hostname и присваеватся ip. Ну например 50-100м. Думаю тут радиус не важен. Важно что потом хранится. Если отключить system logs этого обычно достаточно?
Сколько кстати смотрел разных обзоров. Нету нигде информации про Kali насчет идентификаторов. В природе существуют ли какие -нибудь отпечатки у кали? Ну например присваеватся каждой операционки уникальный ключ при установке. Или все таки раз это опенсорс то таких вещей нету. Поэтому не сижу на Винде, там все напичкано отпечатками и является по побольшому счетом одним большим трояном
А если использовать банальный Kali Linux например и сделать следующее:
Как кто-то писал ранее, отключить swap, настроить скрипт на очистку оперативной памяти, запретить ssh подключения к ОСи. Закриптовать весь диск трукриптом. Насколько такие меры спасают от прямой форензики если физически каким то чудом недоброжилатель добрался до компа в момент когда он работает и уже выполнен вход в систему. Т.е можно ли каким то образом восстановить логи что делалось, куда подрубался, что смотрел. Как тогда защитить систему, чем чистить логи кали? Поможет ли софт вроде Bleachbit....
Можно избежать ненужного шага - не создавать раздел swap.
TrueCrypt, насколько мне известно, с 2014 года далеко не гарант безопасности, тот же форк, в виде VeraCrypt является более популярной на данный момент.
Можно избежать ненужного шага - не создавать раздел swap.
TrueCrypt, насколько мне известно, с 2014 года далеко не гарант безопасности, тот же форк, в виде VeraCrypt является более популярной на данный момент.
Позволю себе небольшое отступление (это не реклама,вопрос действительно серьёзный).
Причина,по которой отвечал долго (прошу прощения)это то,что прежде ,чем ответить на Ваш вопрос,вспомнил
потрясающую книгу Николая Николаевича Федотова по компьютерной криминалистике.
Она была написана профессионалом во всех смыслах,поражает правдивостью и тактикой подходов,
опирающихся на рамки законодательства и ориентированием в среде злоумышленников различных категорий,знание их психологии.
Те,кто её читал,уверяю Вас ,что после этого представление (как это обычно ошибочно бывает),
что те специалисты,которые занимаются форензикой и расследованием инцидентов, недостаточно могут быть компетентны.
Это и так и в то же самое время, далеко неправда.Для первого случая,автор советует обратиться к гражданским специалистам.
Думаю,комментарии излишни,кому интересно,прочтут.
Начну с ведения логов на Kali Linux.
Их можно отключить .Вот достойный мануал:
Ссылка скрыта от гостей
Но отключать историю команд я бы не стал,т.к.есть команды,которые повседневные.
Очень удобно их просто пролистать с целью быстроты работы.
А если уж вынуждены были что-то тестировать,то после этого необходимо удалять историю.
При атаках на роутеры сразу скажу,что стараются в них же отключить функцию журналирования.
И стереть свои логи.Есть также программы,которые позволяют сгенерировать их фальшивыми и заменить на целевом хосте.
Здесь важно помнить ещё такой момент:если машина хорошо защищена в плане анонимности:
Вы выходите всегда в сеть как новая личность,выстраиваете какие-то цепочки,меняете IP,mac,отпечаток браузера,
подменяете тип ОС,user-agent,ID железа.Да ,это всё замечательно.
Только частить с подключением к одним и тем же ТД,не стоит,они никуда не денутся,хорошо мониторятся.
Такими действиями,Вы можете сформировать о себе определённый портрет с характерным поведением в сети.
ТД,где фастфуд,мойки,небольшие кафе (не рядом со специфическими учреждениями),вполне подойдут.
Следите только за тем,чтобы не попасть в зону видимости видеокамер.
Крупные центры,такие как Макдональдс,Ашан и прочие-держитесь от них подальше.
Очень часто,трафик в таких центрах,где учредителями являются иностранные граждане,мониторится.
Самое лучшее,на мой взгляд для рисковых задач-это использование ОС на флешке.
С ней,в случае недоразумений,легко расстаться различными способами,легко спрятать.
В Kali Linux,к сожалению в новой версии,мало программ,которые можно применить под антифорензику.
Но при желании,можно создать вней этот подраздел с неплохими программами.
Несмотря на то,что технологии позволяют обнаружить скрытые контейнеры,нельзя пренебрегать
их использованием с установкой надёжных паролей-это отличная дополнительная защита.
И всё,что связано с зашифрованием ,только поможет адвокатам и тем,у кого случилось недоразумение.
Но всё же,старайтесь не рисковать ,с откровенным нарушением законодательств.
(Я имею в виду любопытство,тестирование,а не преступление с экономическими и моральными последствиями)
Из арсенала программ,какими можно располагать (о многих из них,на нашем форуме есть обзоры)
Надо понимать,что многие программы сгодятся не только для нападения ,но и защиты:
Shred - полное удаление файлов
Secure-Delete - набор утилит антифорензики.
Steghide - скрытие сообщений в файле.
Balbuzara - детект вредоносных программ на python,извлечение IP-адресов,доменных имён
из подозрительных файлов,заголовков.
Captipper- исследование вредоносного http-трафика
Beholder-обнаружение вторжения в беспроводной сети.
hping3 - может пригодиться
Kismet- отличная вещь для обнаружения вторжения в беспроводную сеть
Snort - станция обнаружения и оповещения о вторжении в сети.
Stegolego - сокрытие данных внутри BMP изображений.
Stepie- стенография изображений.
DBAN - затирка жёсткого диска и полное уничтожение всего на нём,влоть до ОС.
Maltrail - система обнаружения вредоносного трафика.
Ispiggy-скрытие DNS - запросов от провайдера
Cryptomator - шифрование файлов в облаке.
Cyberprobe - похожа на Snort,только обнаруживает ещё и утечку файлов.
Vuurmuur - очень сложный и полезный файерволл.
Wipe - уничтожение файлов с магнитных носителей.
От другой стороны для форензики могут применить:
Hstex - восстановление очищенной истории браузера и файлов из кэша.
Safeback - снимок точной копии накопителя в сжатом файле.
P2explorer - восстановление информации со многих ОС и виртуальных машин.
Belkasoft-компания с арсеном продуктов по форензике.С Windows могут сделать и восстановить всё,чего угодно.
С Linux ну них пока не всё в порядке.
Paladin - спец-дистрибутив на Linux Ubuntu для форензики и расследования инцидентов.
напичканный огромным набором для этого.Отличная вещь,кстати,надо отдать должное.
В принципе,что хотел выразить,сказал,может у кого будет желание дополнить,а так,надеюсь,что ответил на Ваш вопрос.
Несмотря на то,что технологии позволяют обнаружить скрытые контейнеры,нельзя пренебрегать
их использованием с установкой надёжных паролей-это отличная дополнительная защита.
Да,о скрытых контейнерах.
Научились определять их наличие исходя из общего заполненного пространства.
Пустота таким образом,выделяется своим размером,что наводит сразу на мысль о наличии контейнера.
А вот факт самого шифрования выявить ещё проще,если это конечно не игра в шпионов и в файле с каким-то безобидным текстом не содержится шифр.
К примеру,даже если диск зашифрован,то система при запуске потребует ключ,который отличен от обычной аутентификации.
Да,о скрытых контейнерах.
Научились определять их наличие исходя из общего заполненного пространства.
Пустота таким образом,выделяется своим размером,что наводит сразу на мысль о наличии контейнера.
А чему тут собственно учиться? Это же изначально понятно, если контейнер имеет общий размер 20гб а заполнен он всего на 4гб то можно только предположить что имеется двойное дно.
На сегодняшний день доказать то что криптоконтейнер имеет двойное дно по прежнему нельзя, или я заблуждаюсь? (человеческий фактор по типу 'Длинного языка' и т.п не учитываю).
В качестве примера далеко даже ходить не надо,а ведь прошли годы,так что методы совершенствуются)
Когда-то ,очень давно делал обзор на одну из утилит таких.
На данном сайте используются cookie-файлы, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших cookie-файлов.
