Изъяли ноут просят ключ от трукрипта)

[Dmitriy.Anatolyevich]

Изъяли ноутбук, на ноуте стояла ubuntu, все зашифровано трукриптом, файл ключа находился на флешке которую забыл в машине)

Вобщем проводят экспертизу компа, звонит следак и просит принести файл ключа от тру крипта и сказать им пароль) Говорят если я откажусь, то мне грозят очень тяжкие последствия

Какие бля такие последствия? что может быть? я сказал что парольи файл лежали на флешке, которую я по пьяне потерял

 

[T40]

а почему изъяли комп? лучше найми адвоката, умный и образований адвокат решить это дело за 3 секунды.

 

[Afrol]

T40, +стопиццот

Оочень интересует почему изъяли комп - с этой волной приемов я, хоть ничем противозаконным и не занимаюсь, начинаю конкретно паниковать, а от этого и параноить неподецки...

 

[Jiron]

Какие бля такие последствия?

никаких, кроме негативного отношения к тебе следака. Но при нормальном адвокате тебе должно быть похуй на это.

И не забывай и им тоже напомни, что в РФ (если ты в РФ) в Конституции есть 51 статья.

По которой даже если ты не потерял ключ, а точно знаешь где он лежит и можешь его принести ты не обязан этого делать.

Разбей его и выбрось пока не поздно или на крайняк закопай где-нибудь в лесу.

звонит следак и просит

из этого я делаю вывод, что терморектальное дознание тебе пока не грозит. А значит смело настаивай на 51 статье и шли их на хуй.

 

[Dmitriy.Anatolyevich]

адвокат есть, знаю про 51 статю

приняли за очень старые пригрешения, зимой налил палку через один из ру банков

адвокат сказал что это давление с их стороны и можно катать жалобу

следак в приватном разговоре без протокола сказал что доказательств дохера и т.д. и т.п. и если не дам ключ с паролем то это будет только отягащать всю мою ситуацию

 

[Drop777]

Dmitriy.Anatolyevich, ты сливал на свой банк акк ?

 

[Jiron]

сказал что доказательств дохера и т.д. и т.п. и если не дам ключ с паролем то это будет только отягащать всю мою ситуацию

Это будет пиздец следаку за приём без оснований. Вот он и извивается чтоб жопу свою прикрыть. Хватало б доказательств не просили бы ничего больше

 

[Des]

Это будет пиздец следаку за приём без оснований

без весомых оснований не дадут ордер на обыск

 

[Jiron]

без весомых оснований не дадут ордер на обыск

ошибаешься. В 182 статье УПК четко написано:

1. Основанием производства обыска является наличие достаточных данных полагать, что в каком-либо месте или у какого-либо лица могут находиться орудия преступления, предметы, документы и ценности, которые могут иметь значение для уголовного дела.

а вот что такое наличие достаточных данных полагать там не сказано. Поэтому на практике обыск могут проводить только на основании шапочного знакомства следака с судьей

 

[Jiron]

Expert, все таки должны быть зацепки на причастность к прeступлению, без них можно всех подряд шманать и каждый день)

 

[Jiron]

Dmitriy.Anatolyevich, нихрена не давай. Знаем такое. Кстати, каким образом ты трукрипт сделал на всю ФС? Линуксовая версия не поддерживает ведь такое, только отдельные контейнеры. И да, скрытые контейнеры тоже рулят (есть 2 пароля, один от якобы приватных данных, там смело можешь порнушку выложить и дать пасс следаку от этой части. а второй пароль от скрытой части контейнера, где у тебя лежит БД майкрософта).

 

[Jiron]

Линуксовая версия не поддерживает ведь такое, только отдельные контейнеры

А кому и зачем может прийти в голову запихивать всю ОСь в контейнер? Ну в винде понятно, там структуры нет, все беспорядочно раскидано по диску, там без этого не обойтись, а для чего в линуксе так извращаться?

/home

/var/logs

/tmp

гм... кажется все.

ну можно еще swap если он есть

 

[Jiron]

А кому и зачем может прийти в голову запихивать всю ОСь в контейнер? Ну в винде понятно, там структуры нет, все беспорядочно раскидано по диску, там без этого не обойтись, а для чего в линуксе так извращаться?

/home

/var/logs

/tmp

гм... кажется все.

ну можно еще swap если он есть

Так я не про это имею ввиду. Я к тому, что ТС написал, что «все зашифровано», т.е. менты не искали контейнеры (хотя их и так найти весьма сложно), а наткнулись тупо на полностью шифрованную ФС, как например типа шифрование содержимого LVM у меня на Fedora стоит, только трукрипт :mrgreen:

 

[Jone]

VISA MAGNAT, если сделать загрузочную флешку и заходить с нее, то можно весь винт криптануть :mrgreen:

 

[freeman]

Dmitriy.Anatolyevich, идейка появилась: дай им неправильный пасс/ключ, когда начнут предъявлять какого хуя клянись и божись что пароль был правильным, и ключ именно от него.... Затем натурально сделай фейспалм и скажи -Бляя, я ведь ноутбук ронял, паходу хард сильно стукнулся и контейнер наебнулся, его теперь даже правильным ключом не открыть... Ну и дальше немного погоревать по поводу потеренных данных, памятной личной переписки, уникальным фоткам итд...

 

[Jiron]

freeman, ни к чему хорошему этот цирк не приведет.

И да, скрытые контейнеры тоже рулят (есть 2 пароля, один от якобы приватных данных, там смело можешь порнушку выложить и дать пасс следаку от этой части. а второй пароль от скрытой части контейнера, где у тебя лежит БД майкрософта).

VISA MAGNAT, можешь написать для нашего сайта статью на эту тему?

Трукрипт вроде штука незамысловатая, особенно если с GUI, но все же думаю многим будет интересно, не все знают что он умеет. Я б сам написал, но со временем напряг.

Кстати о hidden контейнерах:

кто знает, можно ли хоть с какой-то достоверностью узнать о наличии или отсутствии hidden контейнера?

Со стороны следака я представляю это так:

смотрим стандартные пути

/usr/bin/truecrypt

/usr/share/truecrypt

из этого делаем вывод, что сам трукрипт установлен. С какой-то вероятностью можно предположить, что контейнеры находятся на винте.

ищем все более менее крупные файлы и смотрим на дату их изменения. Ну допустим нашли файл который косвенно смахивает на контейнер.

скармливает его трукрипту, ключ и пасс получаем с помощью терморектального криптоанализатора

а вот дальше как узнать, получили ли мы все зашифрованное содержимое или в этом же контейнере есть hidden? Есть какой-то признак по которому это можно узнать?

 

[Vzlom]

А приписать что-то за отказ помощи в следствии могут ?

П.С. Помню была новость о каком-то банкире, которого в чем-то подозревали, но так же не смогли расшифровать контейнер, в итоге дали пару месацев лешения свободы. Ну там не только за отказ в помощи следствию (не дал ключ), а еще за что-то...

 

[Jiron]

А приписать что-то за отказ помощи в следствии могут ?

не могут

Статья 51 Конституции РФ

Цитата: 1. Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.

2. Федеральным законом могут устанавливаться иные случаи освобождения от обязанности давать свидетельские показания.

Целью предоставляемой ст. 51 гарантии является недопустимость любой формы принуждения к свидетельству против самого себя или своих близких.

но тут вопрос немного в другом все же. Хотя это очень тонкий и сложный вопрос.

Отказаться от показаний не грех, но вот бывают ситуации, когда выгоднее все же давать эти показания - будет смягчающим на суде

 

[Jiron]

VISA MAGNAT, можешь написать для нашего сайта статью на эту тему?

Трукрипт вроде штука незамысловатая, особенно если с GUI, но все же думаю многим будет интересно, не все знают что он умеет. Я б сам написал, но со временем напряг.

Кстати о hidden контейнерах:

кто знает, можно ли хоть с какой-то достоверностью узнать о наличии или отсутствии hidden контейнера?

Со стороны следака я представляю это так:

смотрим стандартные пути

/usr/bin/truecrypt

/usr/share/truecrypt

из этого делаем вывод, что сам трукрипт установлен. С какой-то вероятностью можно предположить, что контейнеры находятся на винте.

ищем все более менее крупные файлы и смотрим на дату их изменения. Ну допустим нашли файл который косвенно смахивает на контейнер.

скармливает его трукрипту, ключ и пасс получаем с помощью терморектального криптоанализатора

а вот дальше как узнать, получили ли мы все зашифрованное содержимое или в этом же контейнере есть hidden? Есть какой-то признак по которому это можно узнать?

Могу, в принципе. Только это скорее заметка, нежели статьи получится — из всех фичей там только хиддены Ну могу еще написать как жесткий своего ботнета/сайта/etc обезопасить консольным трукриптом, кто не шарит в терминале.

По поводу сигнатур трукрипта — судя по официальным заявлениям, их у него нет, соответственно, у хиддена тоже их нет, ведь даже когда ты создаешь хидден контейнер, то появляется надпись в духе «сейчас вы создали внешний контейнер и можете записать на него любые фейковые нелегальные данные, и в случае терморектального криптоанализа выдать пароль от внешнего контейнера. После этого вы зададите размер спрятанного контейнера, которые не должен видеть никто, кроме вас. Но заметьте, что лучше не добавлять новые данные на внешний контейнер, ведь данные оттуда могут затереть данные из спрятанного контейнера!».

То есть из этого можно сделать вывод, что спрятанный контейнер никак не опознается (нет разделения по факту между скрытым и открытым контейнерами, в случае превышения размера на внешнем контейнере).

Мне еще пару крутых хацкеров кидали заявления, что трукрипт палится, но пруфов я от них так и не дождался (уже около года прошло, решил больше не ждать).

 

[Stix]

Вас почитать , паранойя начинается...

ушел криптовать весь хард...