jabbaxatt
Добрый модератор
- Регистрация
- 21 Янв 2009
- Сообщения
- 902
- Реакции
- 432
- Автор темы
- #1
Туповатый вопрос конечно, но может кто знает хорошие книги, написанные простым языком, и на русском. Которые можно почитать с целью ликвидации белых пятен в своём образовании.
Тема навеяна прочитанной книгой "Форензика - Компьютерная криминалистика", книга старая - 2007 год и легко доступна в сети.
Для затравки обсуждения выложу немного цитат, которые могут повеселить или, быть может, заинтересовать форумчан.
#################################
Когда квалификация подозреваемого неизвестна, ее следует предполагать высокой.
С той же целью специалисту или следователю имеет смысл до поры скрывать свой собственный уровень познаний в ИТ перед подозреваемым.
Приведем пример. Изымая компьютер во время обыска (если застали его включенным), специалист должен решить, следует ли применить штатную процедуру выключения или выключить компьютер грубым прерыванием электропитания. С одной стороны, при грубом обесточивании может пропасть некоторое количество данных, как правило, не очень существенных. Но лучше бы их сохранить. С другой стороны, у некоторых
хакеров* (в дурном значении этого слова) есть противная привычка оснащать свой компьютер логической бомбой*, срабатывание которой связано с командой выключения компьютера (shutdown). Поэтому при использовании штатного выключения есть риск уничтожить все улики собственными руками. Какой вариант выбрать, зависит от того, как мы оцениваем уровень квалификации владельца компьютера. При невозможности оценить этот уровень компьютер выключается прерыванием электропитания, то есть в расчете на наличие логической бомбы.
#################################
Возьмем для примера такой сложный вид преступления, как построение зомби-сетей*. Он должен квалифицироваться по статье 273 УК. Однако раскрытий такого рода преступлений в России вообще не было, а повсему миру было 3 или 4 случая. А теперь подумаем, какое значение для поиска «зомбиводов» будет иметь утверждение, что «40% преступников имели среднее специальное образование»? Учитывая, что статистика эта подсчитана только по раскрытым эпизодам ст. 273 УК, а из них около 3/4 – это навешивание 273й статьи «в нагрузку» к нарушению авторских прав (строго говоря, неправомерное).
В данной работе автор не только отказался от классификации компьютерных преступлений по статьям УК, но и не использует для криминалистической характеристики судебноследственную статистику. Автор, сам служивший в органах внутренних дел, слишком хорошо знает, как эта статистика пишется...
#################################
Контакты и социальные связи в реальном мире «хакер» субъективно оценивает как менее комфортные и не склонен доверять своим офлайновым знакомым.
#################################
Другое следствие эскапизма – неуделение внимания многому, что существует лишь в реальном мире и никак не отражено в Сети. Например, такой специалист может довольно чисто уничтожить следы, оставляемые на компьютерных носителях (всевозможные компьютерные логи, временные файлы, информацию в свопе и т.д.), но ему даже не придет в голову мысль про логи телефонных соединений, с помощью которых он выходил в Сеть.
Один знакомый автору подозреваемый вполне серьезно утверждал, что его преступление «абсолютно недоказуемо», поскольку все мыслимые следы уничтожены. Но преступление оказалось «абсолютно доказуемым», поскольку подозреваемый отчего-то совершенно забыл про существование пяти свидетелей, которым сам же всё подробно описывал и показывал.
#################################
Уже стало общим местом утверждение, что бóльшая часть «взломов» компьютерных систем совершается изнутри. Это действительно так. Поэтому при расследовании не правомерного доступа «инсайдер» – первая версия, которую следует рассматривать.
Некоторые исследователи полагают [39, 40, 48], что «инсайдер» непременно должен считать себя обиженным, обойденным по службе, недостойно вознаграждаемым. Как ни странно, но среди современного «офисного планктона» таковыми считают себя почти все.
А среди так называемых «топ-менеджеров» (а равно «стук-менеджеров» и
«гарк-менеджеров») – через одного.
#################################
В некоторых случаях длительность хранения логов установлена нормативными актами. Например, постановление Правительства РФ №538 [L01] устанавливает трехлетний срок хранения сведений об абонентах и их «расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах».
Многие предприятия хранят логи до истечения сроков исковой давности. Некоторые хранят информацию столько времени, на сколько хватает места на диске. В общем, сроки хранения во многих случаях могут быть весьма значительными и даже превышать сроки хранения бумажных документов. В отличие от бумажных, электронные документы обходятся в хранении и обработке несравненно дешевле.
#################################
Для иллюстрации темы оперативности вот случай, рассказанный сотрудником управления «К» одного из субъектов Федерации.
Был выявлен и доставлен в управление подозреваемый в совершении неправомерного доступа (ст. 272 УК). После установления места его жительства одного из сотрудников срочно отправили туда для проведения неотложного (ч. 5 ст. 165 УПК) обыска и изъятия компьютера – предполагаемого орудия совершения преступления, на котором надеялись обнаружить основные доказательства. Поскольку для задержания (ст. 91 92 УПК) подозреваемого оснований не нашлось, после допроса он был отпущен домой. На следующее утро оказалось, что в силу некоторыхобстоятельств, описывать которые здесь неуместно, упомянутый выше сотрудник так и не произвел обыска в квартире подозреваемого. Разумеется, все подумали, что доказательства с этого компьютера утрачены.
Уже без особой спешки, получив судебную санкцию на обыск, отправились к подозреваемому. Была еще слабая надежда, что он по незнанию просто отформатировал свой диск и информацию можно будет восстановить. Каково же было удивление оперативников, когда при обыске они обнаружили не только компьютер подозреваемого с нетронутой информацией, но и еще один компьютер – компьютер сообщника, который подозреваемый принес в свою квартиру, чтобы переписать на него всю ценную информацию со своего. Таким образом, задержка в несколько часов не привела к утрате компьютерной информации, к тому же позволила выявить сообщника.
Конечно, описанный случай не слишком типичный. Но и не единственный в своем роде.
Автор делает следующий вывод. Необходимость особой быстроты в действиях не является отличительной чертой тактики раскрытия компьютерных преступлений.
#################################
Ввиду большого количества компьютерных преступлений никто уже всерьез не рассчитывает на возможность расследовать их все. На каких именно фактах стоит сосредоточиться правоохранительным органам и службам безопасности, зависит от следующих факторов:
●Вид и размер ущерба
●Распространенность.
●Количество и квалификация персонала.
●Юрисдикция.
●Политика.
#################################
Клевета, оскорбления и экстремистские действия в Сети –
**
С другой стороны, уровень знаний о сетевых технологиях такого злоумышленника не может быть высоким, поскольку тогда он осознавал бы, как много следов оставляет каждое действие и сколько есть способов его обнаружить.
Новички, попав в Интернет, как правило, опасаются «большого брата» и побаиваются за свою приватность. Пользователь средней квалификации уверен, что в Интернете можно легко достичь анонимности, если только принять соответствующие меры. А сетевой профессионал знает, что никакие меры анонимности не обеспечивают.
#################################
Признать тот или иной материал экстремистским (равно как возбуждающим межнациональную рознь или, скажем, порнографическим) можно, лишь проведя экспертизу. А до той поры распространение материала защищено правом на свободу слова.
Автору лишь пару раз пришлось видеть в Интернете истинно экстремистский материал, то есть по которому было позже вынесено заключение эксперта. Несравненно чаще приходилось сталкиваться с «экстремизмом» со стороны операторов связи, сотрудники которых отключали клиентов и закрывали сайты, опираясь исключительно на обственные представления о политике и религии.
****
Был даже случай в практике автора, когда за отключение якобы экстремистского сайта (оценка его содержания произведена исключительно техническими сотрудниками провайдера) было возбуждено уголовное дело против отключившего сайт по статье 144 УК (воспрепятствование законной профессиональной деятельности журналистов), поскольку «экстремистский» веб-сайт был зарегистрирован как СМИ.
#################################
Помимо этого, злоумышленнику еще необходимо привлечь общественное внимание к дефейсу. В противном случае акция может остаться незамеченной – измененные сайты недолго остаются в таком состоянии, владелец обычно быстро восстанавливает первоначальный вид.
Следовательно, злоумышленник сразу после «взлома» или незадолго до него каким-либо способом оповестит мир о своем преступлении.
Это могут быть сообщения по электронной почте, статья в телеконференции или на веб-форуме. Все эти действия оставят дополнительные следы.
#################################
В описанной ситуации правильная формулировка задания должна выглядеть примерно так: «перехват исходящего и входящего трафика компьютера с MAC‑адресом 0:15:f2:20:96:54, относящегося к протоколам HTTP, telnet, SMTP, POP, IMAP, ICQ и имеющего в качестве IP‑адреса назначения (destination) или происхождения (source) какие‑либо внешние IP‑адреса, то есть, IP‑адреса кроме 10.0.0.0/8».
#################################
Исследование статистики трафика - А ВОТ ТУТ Я РЕАЛЬНО УДИВИЛСЯ. Даже не подумал бы о таком сам.
Потерпевшим было получено сообщение электронной почты, отправленное злоумышленником через анонимайзер «remailer@aarg.net».
**
Будем искать в статистике российских магистральных операторов связи все обращения на IP‑адрес 206.132.3.41, совершенные в течение суток 20.01.07 по протоколу SMTP.
**
Вот таким образом заурядная статистика провайдера позволила нам раскрыть инкогнито злоумышленника, понадеявшегося на анонимный ремейлер.
#################################
Избирательный перехват
**
Ну, тут ничего нового, кроме того что это используется и используется довольно грамотно.
#################################
Вот, например, такое обыденное действие, как просмотр одним пользователем одной веб‑страницы. Перечислим вовлеченные в это действие системы, которые в принципе могут вести логи событий:
●браузер пользователя;
●персональный межсетевой экран на компьютере пользователя;
●антивирусная программа на компьютере пользователя;
●операционная система пользователя;
●DNS‑сервер (резолвер*), к которому обращался браузер пользователя перед запросом веб‑страницы, а также DNS‑сервера (держатели зон),к которым рекурсивно обращался этот резолвер;
●все маршрутизаторы по пути от компьютера пользователя до веб‑сервера и до DNS‑серверов, а также билинговые системы, на которые эти маршрутизаторы пересылают свою статистику;
●средства защиты (межсетевой экран, система обнаружения атак, антивирус), стоящие перед веб‑сервером и вовлеченными DNS‑серверами;
●веб‑сервер;
●CGI‑скрипты, запускаемые веб‑сервером;
●веб‑сервера всех счетчиков и рекламных баннеров, расположенных на просматриваемой пользователем веб‑странице (как правило, они поддерживаются независимыми провайдерами);
●веб‑сервер, на который пользователь уходит по гиперссылке с просматриваемой траницы;
●прокси‑сервер (если используется);
●АТС пользователя (при коммутируемом соединении с Интернетом – по телефонной линии) или иное оборудование последней мили (xDSL, Wi‑Fi, GPRS и т.д.);
●оборудование СОРМ со стороны пользователя и со стороны веб‑сервера.
Итого может набраться два‑три десятка мест, где откладываются взаимно скоррелированные записи, относящиеся к одному‑единственному действию пользователя – просмотру веб‑страницы.
#################################
История знает несколько случаев, когда владельцы анонимизирующих ремейлеров, несмотря на декларации об отсутствии логов, все же предоставляли властям сведения об IP‑адресах отправителей. В некоторых странах попросту запрещено не вести логов или не сохранять их в течение положенного времени, например, в США.
#################################
Неуловимый IP – а про такое вообще не знал. Как это вообще делают?
Это «зомби‑хостинг», то есть содержание публичных сетевых ресурсов не на серверах, а на компьютерах зомби‑сети* (ботнета). Зомбированные клиентские компьютеры используются как в качестве веб‑серверов, так и в качестве DNS‑серверов для соответствующего домена [23]. Зомби‑сервер живет недолго – от нескольких часов до нескольких дней. Однако их много. Поэтому можно поддерживать постоянную доступность.
#################################
Общие правила изъятия компьютерной техники при обыске – это классика, как везде. Но почитать кулхацкерам-недоучкам полезно
#################################
Экспертиза может установить, что поддельный документ был напечатан именно на этом конкретном принтере или с использованием конкретного картриджа.
#################################
К сожалению, нет возможности установить, было ли то или иное изображение (скан-копия) получено с конкретного сканера.
#################################
При выключении телефона не надо беспокоиться о PIN-коде на доступ к данным в SIM-карте телефона. У оператора связи в любой момент можно узнать PUK (PINunlockkey) и с его помощью получить доступ к SIM-карте.
#################################
Большинство известных автору случаев, когда эксперт смог расшифровать данные на исследуемом компьютере, – это сообщение пароля самим владельцем компьютера или оператором информационной системы.
Тема навеяна прочитанной книгой "Форензика - Компьютерная криминалистика", книга старая - 2007 год и легко доступна в сети.
Для затравки обсуждения выложу немного цитат, которые могут повеселить или, быть может, заинтересовать форумчан.
#################################
Когда квалификация подозреваемого неизвестна, ее следует предполагать высокой.
С той же целью специалисту или следователю имеет смысл до поры скрывать свой собственный уровень познаний в ИТ перед подозреваемым.
Приведем пример. Изымая компьютер во время обыска (если застали его включенным), специалист должен решить, следует ли применить штатную процедуру выключения или выключить компьютер грубым прерыванием электропитания. С одной стороны, при грубом обесточивании может пропасть некоторое количество данных, как правило, не очень существенных. Но лучше бы их сохранить. С другой стороны, у некоторых
хакеров* (в дурном значении этого слова) есть противная привычка оснащать свой компьютер логической бомбой*, срабатывание которой связано с командой выключения компьютера (shutdown). Поэтому при использовании штатного выключения есть риск уничтожить все улики собственными руками. Какой вариант выбрать, зависит от того, как мы оцениваем уровень квалификации владельца компьютера. При невозможности оценить этот уровень компьютер выключается прерыванием электропитания, то есть в расчете на наличие логической бомбы.
#################################
Возьмем для примера такой сложный вид преступления, как построение зомби-сетей*. Он должен квалифицироваться по статье 273 УК. Однако раскрытий такого рода преступлений в России вообще не было, а повсему миру было 3 или 4 случая. А теперь подумаем, какое значение для поиска «зомбиводов» будет иметь утверждение, что «40% преступников имели среднее специальное образование»? Учитывая, что статистика эта подсчитана только по раскрытым эпизодам ст. 273 УК, а из них около 3/4 – это навешивание 273й статьи «в нагрузку» к нарушению авторских прав (строго говоря, неправомерное).
В данной работе автор не только отказался от классификации компьютерных преступлений по статьям УК, но и не использует для криминалистической характеристики судебноследственную статистику. Автор, сам служивший в органах внутренних дел, слишком хорошо знает, как эта статистика пишется...
#################################
Контакты и социальные связи в реальном мире «хакер» субъективно оценивает как менее комфортные и не склонен доверять своим офлайновым знакомым.
#################################
Другое следствие эскапизма – неуделение внимания многому, что существует лишь в реальном мире и никак не отражено в Сети. Например, такой специалист может довольно чисто уничтожить следы, оставляемые на компьютерных носителях (всевозможные компьютерные логи, временные файлы, информацию в свопе и т.д.), но ему даже не придет в голову мысль про логи телефонных соединений, с помощью которых он выходил в Сеть.
Один знакомый автору подозреваемый вполне серьезно утверждал, что его преступление «абсолютно недоказуемо», поскольку все мыслимые следы уничтожены. Но преступление оказалось «абсолютно доказуемым», поскольку подозреваемый отчего-то совершенно забыл про существование пяти свидетелей, которым сам же всё подробно описывал и показывал.
#################################
Уже стало общим местом утверждение, что бóльшая часть «взломов» компьютерных систем совершается изнутри. Это действительно так. Поэтому при расследовании не правомерного доступа «инсайдер» – первая версия, которую следует рассматривать.
Некоторые исследователи полагают [39, 40, 48], что «инсайдер» непременно должен считать себя обиженным, обойденным по службе, недостойно вознаграждаемым. Как ни странно, но среди современного «офисного планктона» таковыми считают себя почти все.
А среди так называемых «топ-менеджеров» (а равно «стук-менеджеров» и
«гарк-менеджеров») – через одного.
#################################
В некоторых случаях длительность хранения логов установлена нормативными актами. Например, постановление Правительства РФ №538 [L01] устанавливает трехлетний срок хранения сведений об абонентах и их «расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах».
Многие предприятия хранят логи до истечения сроков исковой давности. Некоторые хранят информацию столько времени, на сколько хватает места на диске. В общем, сроки хранения во многих случаях могут быть весьма значительными и даже превышать сроки хранения бумажных документов. В отличие от бумажных, электронные документы обходятся в хранении и обработке несравненно дешевле.
#################################
Для иллюстрации темы оперативности вот случай, рассказанный сотрудником управления «К» одного из субъектов Федерации.
Был выявлен и доставлен в управление подозреваемый в совершении неправомерного доступа (ст. 272 УК). После установления места его жительства одного из сотрудников срочно отправили туда для проведения неотложного (ч. 5 ст. 165 УПК) обыска и изъятия компьютера – предполагаемого орудия совершения преступления, на котором надеялись обнаружить основные доказательства. Поскольку для задержания (ст. 91 92 УПК) подозреваемого оснований не нашлось, после допроса он был отпущен домой. На следующее утро оказалось, что в силу некоторыхобстоятельств, описывать которые здесь неуместно, упомянутый выше сотрудник так и не произвел обыска в квартире подозреваемого. Разумеется, все подумали, что доказательства с этого компьютера утрачены.
Уже без особой спешки, получив судебную санкцию на обыск, отправились к подозреваемому. Была еще слабая надежда, что он по незнанию просто отформатировал свой диск и информацию можно будет восстановить. Каково же было удивление оперативников, когда при обыске они обнаружили не только компьютер подозреваемого с нетронутой информацией, но и еще один компьютер – компьютер сообщника, который подозреваемый принес в свою квартиру, чтобы переписать на него всю ценную информацию со своего. Таким образом, задержка в несколько часов не привела к утрате компьютерной информации, к тому же позволила выявить сообщника.
Конечно, описанный случай не слишком типичный. Но и не единственный в своем роде.
Автор делает следующий вывод. Необходимость особой быстроты в действиях не является отличительной чертой тактики раскрытия компьютерных преступлений.
#################################
Ввиду большого количества компьютерных преступлений никто уже всерьез не рассчитывает на возможность расследовать их все. На каких именно фактах стоит сосредоточиться правоохранительным органам и службам безопасности, зависит от следующих факторов:
●Вид и размер ущерба
●Распространенность.
●Количество и квалификация персонала.
●Юрисдикция.
●Политика.
#################################
Клевета, оскорбления и экстремистские действия в Сети –
**
С другой стороны, уровень знаний о сетевых технологиях такого злоумышленника не может быть высоким, поскольку тогда он осознавал бы, как много следов оставляет каждое действие и сколько есть способов его обнаружить.
Новички, попав в Интернет, как правило, опасаются «большого брата» и побаиваются за свою приватность. Пользователь средней квалификации уверен, что в Интернете можно легко достичь анонимности, если только принять соответствующие меры. А сетевой профессионал знает, что никакие меры анонимности не обеспечивают.
#################################
Признать тот или иной материал экстремистским (равно как возбуждающим межнациональную рознь или, скажем, порнографическим) можно, лишь проведя экспертизу. А до той поры распространение материала защищено правом на свободу слова.
Автору лишь пару раз пришлось видеть в Интернете истинно экстремистский материал, то есть по которому было позже вынесено заключение эксперта. Несравненно чаще приходилось сталкиваться с «экстремизмом» со стороны операторов связи, сотрудники которых отключали клиентов и закрывали сайты, опираясь исключительно на обственные представления о политике и религии.
****
Был даже случай в практике автора, когда за отключение якобы экстремистского сайта (оценка его содержания произведена исключительно техническими сотрудниками провайдера) было возбуждено уголовное дело против отключившего сайт по статье 144 УК (воспрепятствование законной профессиональной деятельности журналистов), поскольку «экстремистский» веб-сайт был зарегистрирован как СМИ.
#################################
Помимо этого, злоумышленнику еще необходимо привлечь общественное внимание к дефейсу. В противном случае акция может остаться незамеченной – измененные сайты недолго остаются в таком состоянии, владелец обычно быстро восстанавливает первоначальный вид.
Следовательно, злоумышленник сразу после «взлома» или незадолго до него каким-либо способом оповестит мир о своем преступлении.
Это могут быть сообщения по электронной почте, статья в телеконференции или на веб-форуме. Все эти действия оставят дополнительные следы.
#################################
В описанной ситуации правильная формулировка задания должна выглядеть примерно так: «перехват исходящего и входящего трафика компьютера с MAC‑адресом 0:15:f2:20:96:54, относящегося к протоколам HTTP, telnet, SMTP, POP, IMAP, ICQ и имеющего в качестве IP‑адреса назначения (destination) или происхождения (source) какие‑либо внешние IP‑адреса, то есть, IP‑адреса кроме 10.0.0.0/8».
#################################
Исследование статистики трафика - А ВОТ ТУТ Я РЕАЛЬНО УДИВИЛСЯ. Даже не подумал бы о таком сам.
Потерпевшим было получено сообщение электронной почты, отправленное злоумышленником через анонимайзер «remailer@aarg.net».
**
Будем искать в статистике российских магистральных операторов связи все обращения на IP‑адрес 206.132.3.41, совершенные в течение суток 20.01.07 по протоколу SMTP.
**
Вот таким образом заурядная статистика провайдера позволила нам раскрыть инкогнито злоумышленника, понадеявшегося на анонимный ремейлер.
#################################
Избирательный перехват
**
Ну, тут ничего нового, кроме того что это используется и используется довольно грамотно.
#################################
Вот, например, такое обыденное действие, как просмотр одним пользователем одной веб‑страницы. Перечислим вовлеченные в это действие системы, которые в принципе могут вести логи событий:
●браузер пользователя;
●персональный межсетевой экран на компьютере пользователя;
●антивирусная программа на компьютере пользователя;
●операционная система пользователя;
●DNS‑сервер (резолвер*), к которому обращался браузер пользователя перед запросом веб‑страницы, а также DNS‑сервера (держатели зон),к которым рекурсивно обращался этот резолвер;
●все маршрутизаторы по пути от компьютера пользователя до веб‑сервера и до DNS‑серверов, а также билинговые системы, на которые эти маршрутизаторы пересылают свою статистику;
●средства защиты (межсетевой экран, система обнаружения атак, антивирус), стоящие перед веб‑сервером и вовлеченными DNS‑серверами;
●веб‑сервер;
●CGI‑скрипты, запускаемые веб‑сервером;
●веб‑сервера всех счетчиков и рекламных баннеров, расположенных на просматриваемой пользователем веб‑странице (как правило, они поддерживаются независимыми провайдерами);
●веб‑сервер, на который пользователь уходит по гиперссылке с просматриваемой траницы;
●прокси‑сервер (если используется);
●АТС пользователя (при коммутируемом соединении с Интернетом – по телефонной линии) или иное оборудование последней мили (xDSL, Wi‑Fi, GPRS и т.д.);
●оборудование СОРМ со стороны пользователя и со стороны веб‑сервера.
Итого может набраться два‑три десятка мест, где откладываются взаимно скоррелированные записи, относящиеся к одному‑единственному действию пользователя – просмотру веб‑страницы.
#################################
История знает несколько случаев, когда владельцы анонимизирующих ремейлеров, несмотря на декларации об отсутствии логов, все же предоставляли властям сведения об IP‑адресах отправителей. В некоторых странах попросту запрещено не вести логов или не сохранять их в течение положенного времени, например, в США.
#################################
Неуловимый IP – а про такое вообще не знал. Как это вообще делают?
Это «зомби‑хостинг», то есть содержание публичных сетевых ресурсов не на серверах, а на компьютерах зомби‑сети* (ботнета). Зомбированные клиентские компьютеры используются как в качестве веб‑серверов, так и в качестве DNS‑серверов для соответствующего домена [23]. Зомби‑сервер живет недолго – от нескольких часов до нескольких дней. Однако их много. Поэтому можно поддерживать постоянную доступность.
#################################
Общие правила изъятия компьютерной техники при обыске – это классика, как везде. Но почитать кулхацкерам-недоучкам полезно
#################################
Экспертиза может установить, что поддельный документ был напечатан именно на этом конкретном принтере или с использованием конкретного картриджа.
#################################
К сожалению, нет возможности установить, было ли то или иное изображение (скан-копия) получено с конкретного сканера.
#################################
При выключении телефона не надо беспокоиться о PIN-коде на доступ к данным в SIM-карте телефона. У оператора связи в любой момент можно узнать PUK (PINunlockkey) и с его помощью получить доступ к SIM-карте.
#################################
Большинство известных автору случаев, когда эксперт смог расшифровать данные на исследуемом компьютере, – это сообщение пароля самим владельцем компьютера или оператором информационной системы.
) сможет - стырит уник на свои сайты.