Компьютерная криминалистика: вторник, февраля 22, 2011

ДОКУМЕНТИРОВАНИЕ ОТВЕТА WHOIS-СЕРВЕРА

Для уголовного дела, скорее всего, будет недостаточно простой распечатки ответа whois-сервера. Получить же официальную справку от европейского регионального регистратора RIPE будет весьма затруднительно, поскольку офис его находится в Амстердаме. Офисы других региональных регистраторов – еще дальше.
Нынешняя практика предусматривает два способа документирования ответа whois сервера. Первый вариант: распечатка такого ответа может быть заверена каким либо местным оператором связи, являющимся одновременно местным регистратором (LIR). Второй вариант: получение сведений о принадлежности IP-адреса оформляется рапортом оперуполномоченного; сведения из базы данных регистратора приводятся прямо в тексте рапорта. Возможны иные варианты документирования (экспертиза, нотариальное заверение, справка от RIR).
Принадлежность IP-адреса к конкретному компьютеру все равно должна подтверждаться экспертизой этого компьютера и показаниями сотрудников оператора связи. Поэтому описанная нестрогость в документировании ответа whois сервера вполне допустима.

Как запретить использование USB-носителей средствами системного реестра Windows?

СТАТИЧЕСКИЕ И ДИНАМИЧЕСКИЕ IP-АДРЕСА

IP-адреса могут переходить от одного пользователя к другому. Некоторые из них выделяются на постоянной основе – они именуются статическими. Другие же IP-адреса выделяются только на конкретный сеанс связи и называются динамическими. Для статических IP адресов период жизни исчисляется месяцами и годами, а для динамических – минутами.
В записях для тех диапазонов IP-адресов, которые используются для динамического выделения, обычно это указывается. Там можно увидеть слова «dynamic», «dialup» или «NAT».
В обоих случаях при установлении принадлежности IP-адресов следует учитывать момент времени, по состоянию на который мы хотим установить пользователя этого адреса. Для динамических IP-адресов этот момент надо указывать с точностью до секунды, поскольку бывают совсем короткие сеансы связи. Кроме времени следует указать часовой пояс и возможную погрешность часов, по которым фиксировалось время.

Как настроить контроль печати на принтере средствами Windows?

http://www.print-control.narod.ru

НЕУЛОВИМЫЙ IP-АДРЕС

Приведем еще один интересный пример. Это «зомби хостинг», то есть содержание публичных сетевых ресурсов не на серверах, а на компьютерах зомби сети (ботнета). Зомбированные клиентские компьютеры используются как в качестве веб серверов, так и в качестве DNS серверов для соответствующего домена. Зомби сервер живет недолго – от нескольких часов до нескольких дней. Однако их много. Поэтому можно поддерживать постоянную доступность.
Ниже приводятся результаты проделанного автором эксперимента. В листинге показаны результаты запросов относительно NS серверов и IP-адреса для доменного имени «send safe.com», это веб сайт широко известного в узких кругах производителя программного обеспечения для рассылки спама. Сделаем несколько DNS запросов с интервалом в пять минут:

Как видно, NS сервера довольно часто меняются. Меняются и IP адреса веб сайта, причем в каждый момент их доступно несколько. То есть веб сайт и обслуживающие его DNS сервера рассредоточены и постоянно мигрируют. Если начать наводить справки о принадлежности и географическом положении всех выявленных IP адресов, то окажется, что они равномерно разбросаны по всему Интернету. На самом деле это адреса зомбированных компьютеров, пригодных для размещения веб сайтов. То есть веб сайт как бы «размазан» по большой зомби сети. Благодаря такой технологии веб сайт «send-safe.com» виден пользователям с очень высокой вероятностью, однако прекратить его работу весьма затруднительно.
Зафиксировать положение такого сайта невозможно, обнаружить его владельца довольно трудно, доказать факт управления таким сайтомпризраком тоже нелегко.
Описанная технология применяется довольно редко. Подавляющее же большинство веб сайтов живут на фиксированных IP адресах, операторы владельцы которых знают если не о личности владельца сайта, то, по крайней мере, о самом факте размещения.