Все новости от 1 сентября 2005 г.

Альтернативные браузеры затрудняют жизнь кибердетективам

Internet Explorer ничего не прячет от копов и других участников следствия, которые изучают ПК, чтобы установить, какие сайты посещал пользователь. Они знают, где находится буфер браузера IE, файлы cookie и журнал посещений, и как прочесть эти файлы. К тому же в этом им могут помочь популярные инструменты экспертизы.

Однако когда приходится иметь дело с такими браузерами, как Firefox и Opera, картина меняется. Эти программы используют другие структуры, файлы и систему имен для данных, за которыми охотятся следователи, и эти файлы расположены в иных местах жесткого диска, что в ходе следствия может вызвать проблемы. Более того, экспертное ПО может не поддерживать эти браузеры.

В среду на многолюдном семинаре по альтернативным браузерам в рамках ежегодной конференции Ассоциации следователей по хайтек-преступлениям в Монтерее (штат Калифорния) Гленн Льюис рассказал, например, что одна из проблем, возникающих при работе с Firefox и Opera — определение веб-адресов, введенных не по гиперссылке, а вручную.

В том случае, если подозреваемый утверждает, что он не преднамеренно посетил веб-сайт, а случайно кликнул на ссылке или был направлен туда автоматически, это трудно доказать, если адрес был физически введен в веб-браузер.

Firefox и Opera хранят информацию о набранных URL не так, как IE, и эти файлы труднее расшифровать, сказал Льюис. Он продемонстрировал, как это сделать, своим студентам — главным образом агентам спецслужб и частным детективам.

Льюис, который работает в консалтинговой компании Kroll, дал своим слушателям и другие полезные советы — как прочесть содержимое буфера или журнал посещений и файлы cookie, генерируемые Firefox и Opera. Он порекомендовал детективам и некоторые бесплатные инструменты, включая Opera 4 File Explorer, который отображает файлы из кэша Opera, и Web Historian от Red Cliff, экспортирующий информацию журналов посещений IE, Opera и Firefox в наглядную электронную таблицу Excel.

«У каждого браузера есть свои тонкости, — сказал частный детектив Марк Карлссон, поблагодарив Льюиса за полезную информацию. — Кое-что можно найти в онлайне, но часто это бывает затруднительно». Карлссон проводит расследования компьютерных преступлений для частных клиентов, например корпораций, которым требуются улики против недобросовестных сотрудников.

Семинар, по словам Карлссона, был полезен и тем, что Льюис предложил инструменты, которые следователи могут применять для копирования нужных улик из универсальных экспертных систем. 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	vIv - itgooroogmail.com 1 Sep 2005 12:26 PM
суперские детективы...
	(80) 1 Sep 2005 1:26 PM
Да, блин, "детективы" с "бесплатными интсрументами" для анализа преступлений. Постыдились бы...
	1 1 Sep 2005 1:49 PM
Детектив должен быть законопослушным. поэтому пользует бесплатный софт, так как воровать совесть не позволяет, а платить - жаба
	добрый 1 Sep 2005 4:07 PM
А еще граждане вешают на двери замки, к которым трудно подобрать ключ, а на окна занавески, что затрудняет слежку. Как трудно жить полицейским!
	user 1 Sep 2005 9:48 PM
Это песдетс. Как можно вообще воспринимать как доказательство незашифрованные и неподписанные данные? Что, нельзя подделать ИЕшный кэш собственноручно написанной прогой? Фокс все правильно делает - зачем на клиенте сохранять инфу, как был введен урл? И потом, можно поднять логи сервера, посмотреть, какой реферрер стоял в хттп-запросах (но и это не доказательство, т.к. можно поставить себе реферрер-блокер в виде плагина к фоксу). Вообще, эти "копы" хотя бы один раз видели сырой хттп-запрос? Имхо, полагаться на такие "доказательства" бессмысленно, это такая же утопия как и DRM.
	Савельев Петр - savelievpetrmail.ru 2 Sep 2005 11:27 AM
2user: полностью согласен! Помнится не так давно один энергичный водитель (точнее его адвокат) умудрился доказать, что видеозапись камерой слежения, которая зафиксировала факт нарушения скорости, может быть подделана. За это ему еще и выплатили чуть более 3 штук зеленых за моральный ущерб. Вот так.
	user 2 Sep 2005 6:46 PM
А кроме того, в 99% случаев ИЕ используется не для раскрытия преступлений, а для их совершения (фишинг, черви, шпионские проги...)
	Прохожий 2 Sep 2005 11:46 PM
Что то я не понял, о чем статья. О том, что нехорошие пользователи не пользуются все как один стандартными программами и бедным детективам приходится обливаясь потом изучать остальные браузеры? Или намек на том, что надо бы сделать обязательным ведение лога в стандартизированном формате во всех браузерах, чтобы бедные детективы так не потели? Бред...
	MiKe 3 Sep 2005 2:00 PM
А я чего-то не въехал в тему. С какого бодуна посещение какого-либо сайта может быть незаконным?
	X 3 Sep 2005 11:49 PM
2MiKe: >А я чего-то не въехал в тему. С какого бодуна посещение какого-либо сайта может быть незаконным? А если это сайт, посвящённый терроризму или коммунизму?
	k 4 Sep 2005 2:33 AM
"свободная страна" мать их !
	6opucka - HET.CnAMyCnAMy.HET 4 Sep 2005 11:17 AM
TAM 4ETKO HAnuCAHO: "Карлссон проводит расследования компьютерных преступлений для частных клиентов, например корпораций, которым требуются улики против недобросовестных сотрудников. "
	LS 4 Sep 2005 9:34 PM
разработчики Оперы постарались на славу, даже есть спец функция удаления всей личной инфы и логов из браузера =)
	SL 5 Sep 2005 2:53 PM
Так и в FF такая функция есть
	devton - devtonrambler.ru 24 Sep 2005 5:23 PM
Узколобые западные копы не умеют приспосабливаться. Пора им просить, чтобы добропорядочные граждане сами высылали логи посещений и заранее сушили сухари. И коментарий к высказыванию USER'a по поводу логов сервера. Логи юзера без логов пользователя - это как набздеть посреди поля (не докажешь, как не выеживайся).
	devton - devtonrambler.ru 24 Sep 2005 5:24 PM
Поправка.Логи сервера без юзерских.