Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

Отслеживание применения LiveCD

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Защита] >> Отслеживание применения LiveCD
Имя
Сообщение << Старые топики   Новые топики >>
Отслеживание применения LiveCD - 2011-03-25 08:15:26.163333   
_Vlad_

Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
Знающие люди, напишите, пожалуйста, можно ли по каким-нибудь признакам (логам и пр.) отследить применение LiveCD?

Поясню вопрос. Есть рабочий компьютер с установленной системой, допустим Windows. ОС надежно защищена, однако остается большая брешь в защите, а именно то, что можно вставить любой LiveCD в дисковод, с него загрузится и спокойно копаться в Windows или же просто сделать образ системы и унести с собой, чтобы не заниматься тёмными делами в полевых условиях. Загвоздка и вопрос состоит в том, как можно узнать, что было применение LiveCD. Windows, я так полагаю, никаких логов относительно загруженных BOOT-дисках, не ведёт. На дамп оперативной памяти надеяться не приходится, т.к. она кратковременная.

Вот думаю, можно ли как-нибудь доработать BIOS или же какую-нибудь загрузочную фигню (MBR быть может, честно не знаю), чтобы любое применение внешних носителей с которых загружается комп, было зафиксировано в каком-нибудь журнале syslog или подобном?
Post #: 1
RE: Отслеживание применения LiveCD - 2011-03-25 08:22:38.700000   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
Надо в БИОСЕ разрешить загрузку только с жёсткого диска и закрыть БИОС паролем, загрузить ЛайвСД станет абсолютно невозможно.
Никакие другие логи и журналы не помогут.

Если только юзеры не сменят БИОС в мастеской.

Post #: 2
RE: Отслеживание применения LiveCD - 2011-03-25 08:28:41.536666   
_Vlad_

Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
Проблема в том, что на BIOS есть сервисный пароль. Не проблема его поменять, сделать загрузку с внешнего носителя, вставить LiveCD, осуществить тёмные дела, а потом всё вернуть в BIOS обратно, заметая следы.

Тут вопрос не только в запрете BOOT-загрузки, а ещё и в контроле. Хочеться знать когда (время) и что (какой LiveCD) было применено.
Post #: 3
RE: Отслеживание применения LiveCD - 2011-03-25 08:35:15.076666   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
Никаких логов на стадии загрузки биоса нигде не ведётся в обычных компьютерах или ноутбуках.
Чего совали в СД-ром ты не узнаешь никак.
А, ведь, могут ещё и сунуть загрузучную флешку с ЛайвСД.
Post #: 4
RE: Отслеживание применения LiveCD - 2011-03-25 08:38:29.780000   
_Vlad_

Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
Мда… жалко, что отследить нельзя.

Хотя всё же думаю, что можно внести какие-нибудь изменения в BIOS, например, как-нибудь и где-нибудь сохранить пару строк типа "Загрузка с USB (CD), время такое-то". А далее через Windows добираться до этой информации.
Post #: 5
RE: Отслеживание применения LiveCD - 2011-03-25 08:51:00.010000   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
В БИОС прошивку внести изменения ты не сможешь.
Во-вторых, сам БИОС в принципе ничего писать никуда не может.
Он только рулит тестом и запуском железа.
Post #: 6
RE: Отслеживание применения LiveCD - 2011-03-25 11:15:08.180000   
namepunk

Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
_Vlad_
quote:

Проблема в том, что на BIOS есть сервисный пароль. Не проблема его поменять, сделать загрузку с внешнего носителя, вставить LiveCD, осуществить тёмные дела, а потом всё вернуть в BIOS обратно, заметая следы.

Это нереально. Во многих современных биосах сервисного пароля либо вообще нет либо он отключаеться. Ты например знаешь свой сервисный пароль? И потом поставить тот же пароль на место не зная его невозможно. Снят пароль либо изменен - значит кто-то лазил в биос. На системный блок - печать.
Также можно смотреть по журналам виндовс. Там логируеться включение и выключение компа. Если комп выключался на долгое время - это подозрительно.
Хотя это конечно все косвенные улики. Реально тут поможет только видеонаблюдение. Wifi камера например.
Post #: 7
RE: Отслеживание применения LiveCD - 2011-03-25 11:20:10.063333   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
Есть такие химловушки.
Ставить её в дисковод, при открывании всё вокруг обдаёт несмываемой краской.

Если кто-то вышел синий из офиса, значит тыкал ЛайвСД.
Post #: 8
RE: Отслеживание применения LiveCD - 2011-03-25 13:27:49.143333   
_Vlad_

Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
quote:

Также можно смотреть по журналам виндовс. Там логируеться включение и выключение компа.

Разве включение/выключение логируется? Я всегда полагал, что логируюется только вход в Windows и завершение сеанса Windows. Т.е. Windows отслеживает только своё хозяйство.

quote:

Есть такие химловушки.

Физически защищить не проблема, причём более нормальными и безболезненными средствами, чем химловушки. Вопрос не только в защите компа, а также в том, чтобы, например, при проведении расследований инцидентов информационной безопасности, можно было установить применение LiveCD.
Post #: 9
RE: Отслеживание применения LiveCD - 2011-03-25 14:41:49.760000   
Vetrov Vassy

Сообщений: 10
Оценки: 0
Присоединился: 2010-10-29 21:47:53.100000
аппаратный кейлоггер
Post #: 10
RE: Отслеживание применения LiveCD - 2011-03-25 14:53:09.160000   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
quote:

ORIGINAL: _Vlad_
проведении расследований инцидентов информационной безопасности, можно было установить применение LiveCD.

Всё-таки, ничего ты не придумаешь, ибо, загрузка с ЛайвСД нигде не может отметиться, ибо, винда не загружалась.
Следовательно, надо делать так, чтобы сама болванка ЛайвСД физически осталась в компе, чтоб её не смогли достать обратно, а это уже улика.
Однако, могут всунуть флешку и с неё загрузиться, в этом случае поможет только видеонаблюдение, которое, на сегодняшний день, стоит сущие копейки.

Post #: 11
RE: Отслеживание применения LiveCD - 2011-03-25 15:06:17.286666   
_Vlad_

Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
quote:

аппаратный кейлоггер

Про кейлоггер я что-то запамятовал, а ведь это неплохая идея, если её развить, хотя это будет уже из области научной фантастики. Идея - создать аппаратный сниффер данных, который будет вставляться в разрыв IDE-кабеля DVD(CD)-ROM'а, либо в разрыв UBS концентратора (не помню как называется кабель разъёма USB). Любая Live-загрузка с внешнего носителя по идее должна инициализироваться обращением к внутренним частям компа (не могу подобрать правильно определение), а значит будет пересылка всяких данных, например, какого-нибудь аппаратного прерывания или т.п.

Ладно это всё бредни-фантазии. На данный момент я так понимаю, кроме организационных и физических мер защиты от LiveCD(USB) нет. Хотя, я всё-таки попробую что-нибудь почитать полезное про BIOS. Слышал есть BIOS в защищенном исполнении, но это единичные экземляры, разрабатываемые под конкретные материнские платы. Загрузка с таким биосом происходит в доверенном (защищенном) режиме.
Post #: 12
RE: Отслеживание применения LiveCD - 2011-03-26 11:48:49.743333   
zzsnn

Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
1. В любой современной оси отслеживается время включения и выключения ЭТОЙ оси. За другими осями наблюдение не ведёться, не зависимо от того сколько их установленно на данном компе. Это вызвано тем, что для выполнения данной операции необходимо запустить данный сервис. А он не запускается без запуска самой оси. Он просто входит в состав оси. Надеюс тут понятно.
2. BIOS - это не ось. Это забитые в малый объём памяти (64 кБ) набор программных прерываний. Там и так изощряются загоняя в такой малый объём такое количество нужной инфы. А если загонять ещё допсервис… это нужно что-то нужное резать. Потому не ищи там того, что нет по определению.
3. Ты правильно отметил, что решение твоей проблемы лежит в плоскости использования дополнительных аппаратных средств. Ничего сложного. На шлейф питания (там их много подберешь какой нужно) посади хоть реле, хоть геркон, хоть посади диод, хоть микросхему со счётчиком. Это у тебя датчик. Посади на датчик микросхему, которая просто будет увеличивать счётчик на еденицу и будет выводить на дисплей цифру. Можещь даже с часами соеденить и получишь время включения. Короче идею тебе даю - обращайся к тому, кто может разарботать и собрать. Детали там стоимостью где-то в рублей 300 обойдуться. Остальное как договоришься.
Post #: 13
RE: Отслеживание применения LiveCD - 2011-03-26 11:56:14.050000   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
Так он хочет уличить не сам факт запуска компа, а отследить только применение ЛайвСД, да ещё и знать какой он версии.
А закрывать комп от использования он не хочет.
Его только интересует отшпионить, кто и чем в него влезает.
А кто ему будет отслеживать? Никто не будет, ибо, отслеживать некому, винда-то не запущена.

Надо ставить видеонаблюдение в помещение.
Post #: 14
RE: Отслеживание применения LiveCD - 2011-03-26 12:41:58.086666   
zzsnn

Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
И мордоворота в помещении… обязательно здорового мордоворота… с кастетом… и с ласковой улыбочкой…на пару золотых фикс… и что бы он так ласково спрашивал: "Скоко, скоко раз ты уже подключался? ….А записаться не забыл? … Вот сюда…. Ножкой… потому что ручку я тебе поломаю… и зубки выбью… а почки отобью"… и обязательно ласково так… душевно.
Post #: 15
RE: Отслеживание применения LiveCD - 2011-03-29 09:45:50.070000   
_Vlad_

Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
quote:

BIOS - это не ось. Это забитые в малый объём памяти (64 кБ) набор программных прерываний.

Да, согласен, что функционал BIOS'а весьма скуден.
У меня ещё одна мысль пришла в голову. Можно ли чуть изменить BIOS так, чтобы он передавал сразу управление HDD, на котором уже установлен иной BIOS, с более расширенными параметрами? Т.е. биос материнки подменяется на биос, расположенный на жёстком диске.

Таким образом, можно добиться того, чтобы любое Live-внешнее устройство загружалось после загрузки жёсткого диска. На самом жёстком диске можно выделить место для автоматического логирования всех производимых на компе операций.

Т.е. после включения питания системного блока, загружается BIOS с материнки, затем BIOS с жёсткого, а дальше идёт загрузка указанная в SETUP'e в разделе BOOT.
Post #: 16
RE: Отслеживание применения LiveCD - 2011-03-29 09:55:02.156666   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Интересное предложение, но реализовать такое тебе не под силу, а профи попросит столько что тебе хватит на две камеры и трех охранников.

Настраивал другу регистратор. Камера+регистратор обошлось ему в 35к деревянных. Удаленку настроили, сидит и сомтрит на своих сотрудниц, дешего и сердито.

Такая перепрошика биоса будет стоить 100-200к минимум. Выбирай сам.

Хотя есть флештрои но это надо такую древнющую мать что страшно вспомнить, ну и навыки и то не факт что он livecd отследит.
Post #: 17
RE: Отслеживание применения LiveCD - 2011-03-29 09:58:46.496666   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
quote:

ORIGINAL: _Vlad_
У меня ещё одна мысль пришла в голову. Можно ли чуть изменить BIOS так, чтобы он передавал сразу управление HDD, на котором уже установлен иной BIOS, с более расширенными параметрами? Т.е. биос материнки подменяется на биос, расположенный на жёстком диске.

Это абсолютная фантазия, основанная на непонимании процесса.
БИОС изменить невозможно, можно только прошить другой версией производителя.

Далее, вообще звучит абсурд, "передать управление HDD".
Как можно ему передать управление, если он управлять ничем не может, это просто диск с данными.
Можно, вообще, передать управление шкафу с бумагами?

В твоём случае, все важные данные надо содержать на виртуальной винде, доступ к которой можно закрыть самыми разными способами.
Уже будет видно, что кто-то запускал комп, ломился туда, куда не следует и проч, то есть, реальная винда уже будет работать и будет полностью фиксировать все попытки достучаться до виртуальной винды с данными.
Post #: 18
RE: Отслеживание применения LiveCD - 2011-03-29 10:57:49.870000   
_Vlad_

Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
quote:

Интересное предложение, но реализовать такое тебе не под силу

Согласен. Я не программист, поэтому мне конечно сложно. Но для опытных программеров, в частности ассемблерщиков, думаю чуть изменить код в 64кб не такая уж трудная задача. Главное всё разложить по полочкам и понять сущность BIOS.
quote:

Далее, вообще звучит абсурд, "передать управление HDD".
Как можно ему передать управление, если он управлять ничем не может, это просто диск с данными.

Учитывая, что процессор, при включении питания компа, начинает копошиться в BIOS материнки, то, я так полагаю, можно в BIOS дописать/изменить код, который будет перенаправлять процессор из BIOS материнки в BIOS харда. К тому же ИМС с BIOS, такая же тупая железяка - "шкаф с бумагами", как и HDD. Разница лишь в том, что программа BIOS хранится либо на ИМС, либо может хранится на HDD.
quote:

В твоём случае, все важные данные надо содержать на виртуальной винде, доступ к которой можно закрыть самыми разными способами.

Это хорошее решение, но хотелось бы проработать защиту от LiveCD именно для "безвиртуального" режима.
Post #: 19
RE: Отслеживание применения LiveCD - 2011-03-29 11:01:20.386666   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
quote:

ORIGINAL: _Vlad_
&nbsp;который будет перенаправлять процессор из BIOS материнки в BIOS харда.

На этом я умываю руки.

Post #: 20
RE: Отслеживание применения LiveCD - 2011-03-29 11:25:11.916666   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Принимаю эстафету.

quote:

Согласен. Я не программист, поэтому мне конечно сложно. Но для опытных программеров, в частности ассемблерщиков, думаю чуть изменить код в 64кб не такая уж трудная задача. Главное всё разложить по полочкам и понять сущность BIOS.

эти 64кб трогать нельзя это раз. Два это то что места куда писать код тоже нет. Три я уже говорил что это будет стоить 100-200к рублей минимум.

Когда ты нажимаешь кнопку питания происходит череда мероприятий. Процессор читает инструкции из памяти в которой записан биос. Сначала идет определение оборудование, потом его тестирование и настройка если требуется, потом определяется порядок загрузки, ищется носитель и читается первый сектор носителя в поисках MBR, откуда уже управление передается загрузчику.

Что происходит когда грузяться с LIveCD.
Проходит тестирование и идет чтение с чего гразиться, тут это дело прерывается кнопкой F11 и появляетя меню выбора источника загрузки, выбирается диск и дальше все так же.
Куда ты тут собрался пихать код? Вырви кнопки F11 и F2, вытащи сидиром и отключи загрузку по USB. Тогда ваще никто ни с чего не загрузиться)
Post #: 21
Страниц:  [1]
Все форумы >> [Защита] >> Отслеживание применения LiveCD







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.