Ишю. Базовая литература по практике компьютерной безопасности. + Цитаты

Тема в разделе "Мегафлуд", создана пользователем jabbaxatt, 11 авг 2012.

  1. jabbaxatt

    jabbaxatt Добрый модератор

    Moderator
    Регистр.:
    21 янв 2009
    Сообщения:
    878
    Симпатии:
    411
    Туповатый вопрос конечно, но может кто знает хорошие книги, написанные простым языком, и на русском. Которые можно почитать с целью ликвидации белых пятен в своём образовании.

    Тема навеяна прочитанной книгой "Форензика - Компьютерная криминалистика", книга старая - 2007 год и легко доступна в сети.

    Для затравки обсуждения выложу немного цитат, которые могут повеселить или, быть может, заинтересовать форумчан.

    #################################
    Когда квалификация подозреваемого неизвестна, ее следует предполагать высокой.
    С той же целью специалисту или следователю имеет смысл до поры скрывать свой собственный уровень познаний в ИТ перед подозреваемым.
    Приведем пример. Изымая компьютер во время обыска (если застали его включенным), специалист должен решить, следует ли применить штатную процедуру выключения или выключить компьютер грубым прерыванием электропитания. С одной стороны, при грубом обесточивании может пропасть некоторое количество данных, как правило, не очень существенных. Но лучше бы их сохранить. С другой стороны, у некоторых
    хакеров* (в дурном значении этого слова) есть противная привычка оснащать свой компьютер логической бомбой*, срабатывание которой связано с командой выключения компьютера (shutdown). Поэтому при использовании штатного выключения есть риск уничтожить все улики собственными руками. Какой вариант выбрать, зависит от того, как мы оцениваем уровень квалификации владельца компьютера. При невозможности оценить этот уровень компьютер выключается прерыванием электропитания, то есть в расчете на наличие логической бомбы.

    #################################
    Возьмем для примера такой сложный вид преступления, как построение зомби-сетей*. Он должен квалифицироваться по статье 273 УК. Однако раскрытий такого рода преступлений в России вообще не было, а повсему миру было 3 или 4 случая. А теперь подумаем, какое значение для поиска «зомбиводов» будет иметь утверждение, что «40% преступников имели среднее специальное образование»? Учитывая, что статистика эта подсчитана только по раскрытым эпизодам ст. 273 УК, а из них около 3/4 – это навешивание 273й статьи «в нагрузку» к нарушению авторских прав (строго говоря, неправомерное).
    В данной работе автор не только отказался от классификации компьютерных преступлений по статьям УК, но и не использует для криминалистической характеристики судебноследственную статистику. Автор, сам служивший в органах внутренних дел, слишком хорошо знает, как эта статистика пишется...

    #################################
    Контакты и социальные связи в реальном мире «хакер» субъективно оценивает как менее комфортные и не склонен доверять своим офлайновым знакомым.

    #################################
    Другое следствие эскапизма – неуделение внимания многому, что существует лишь в реальном мире и никак не отражено в Сети. Например, такой специалист может довольно чисто уничтожить следы, оставляемые на компьютерных носителях (всевозможные компьютерные логи, временные файлы, информацию в свопе и т.д.), но ему даже не придет в голову мысль про логи телефонных соединений, с помощью которых он выходил в Сеть.
    Один знакомый автору подозреваемый вполне серьезно утверждал, что его преступление «абсолютно недоказуемо», поскольку все мыслимые следы уничтожены. Но преступление оказалось «абсолютно доказуемым», поскольку подозреваемый отчего-то совершенно забыл про существование пяти свидетелей, которым сам же всё подробно описывал и показывал.

    #################################
    Уже стало общим местом утверждение, что бóльшая часть «взломов» компьютерных систем совершается изнутри. Это действительно так. Поэтому при расследовании не правомерного доступа «инсайдер» – первая версия, которую следует рассматривать.
    Некоторые исследователи полагают [39, 40, 48], что «инсайдер» непременно должен считать себя обиженным, обойденным по службе, недостойно вознаграждаемым. Как ни странно, но среди современного «офисного планктона» таковыми считают себя почти все. :D
    А среди так называемых «топ-менеджеров» (а равно «стук-менеджеров» и
    «гарк-менеджеров») – через одного.

    #################################
    В некоторых случаях длительность хранения логов установлена нормативными актами. Например, постановление Правительства РФ №538 [L01] устанавливает трехлетний срок хранения сведений об абонентах и их «расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах».
    Многие предприятия хранят логи до истечения сроков исковой давности. Некоторые хранят информацию столько времени, на сколько хватает места на диске. В общем, сроки хранения во многих случаях могут быть весьма значительными и даже превышать сроки хранения бумажных документов. В отличие от бумажных, электронные документы обходятся в хранении и обработке несравненно дешевле.


    #################################
    Для иллюстрации темы оперативности вот случай, рассказанный сотрудником управления «К» одного из субъектов Федерации.
    Был выявлен и доставлен в управление подозреваемый в совершении неправомерного доступа (ст. 272 УК). После установления места его жительства одного из сотрудников срочно отправили туда для проведения неотложного (ч. 5 ст. 165 УПК) обыска и изъятия компьютера – предполагаемого орудия совершения преступления, на котором надеялись обнаружить основные доказательства. Поскольку для задержания (ст. 91 92 УПК) подозреваемого оснований не нашлось, после допроса он был отпущен домой. На следующее утро оказалось, что в силу некоторыхобстоятельств, описывать которые здесь неуместно, упомянутый выше сотрудник так и не произвел обыска в квартире подозреваемого. Разумеется, все подумали, что доказательства с этого компьютера утрачены.
    Уже без особой спешки, получив судебную санкцию на обыск, отправились к подозреваемому. Была еще слабая надежда, что он по незнанию просто отформатировал свой диск и информацию можно будет восстановить. Каково же было удивление оперативников, когда при обыске они обнаружили не только компьютер подозреваемого с нетронутой информацией, но и еще один компьютер – компьютер сообщника, который подозреваемый принес в свою квартиру, чтобы переписать на него всю ценную информацию со своего. Таким образом, задержка в несколько часов не привела к утрате компьютерной информации, к тому же позволила выявить сообщника.
    Конечно, описанный случай не слишком типичный. Но и не единственный в своем роде.

    Автор делает следующий вывод. Необходимость особой быстроты в действиях не является отличительной чертой тактики раскрытия компьютерных преступлений.


    #################################
    Ввиду большого количества компьютерных преступлений никто уже всерьез не рассчитывает на возможность расследовать их все. На каких именно фактах стоит сосредоточиться правоохранительным органам и службам безопасности, зависит от следующих факторов:
    ●Вид и размер ущерба
    ●Распространенность.
    ●Количество и квалификация персонала.
    ●Юрисдикция.
    ●Политика.

    #################################
    Клевета, оскорбления и экстремистские действия в Сети –
    **
    С другой стороны, уровень знаний о сетевых технологиях такого злоумышленника не может быть высоким, поскольку тогда он осознавал бы, как много следов оставляет каждое действие и сколько есть способов его обнаружить.
    Новички, попав в Интернет, как правило, опасаются «большого брата» и побаиваются за свою приватность. Пользователь средней квалификации уверен, что в Интернете можно легко достичь анонимности, если только принять соответствующие меры. А сетевой профессионал знает, что никакие меры анонимности не обеспечивают.

    #################################
    Признать тот или иной материал экстремистским (равно как возбуждающим межнациональную рознь или, скажем, порнографическим) можно, лишь проведя экспертизу. А до той поры распространение материала защищено правом на свободу слова.
    Автору лишь пару раз пришлось видеть в Интернете истинно экстремистский материал, то есть по которому было позже вынесено заключение эксперта. Несравненно чаще приходилось сталкиваться с «экстремизмом» со стороны операторов связи, сотрудники которых отключали клиентов и закрывали сайты, опираясь исключительно на обственные представления о политике и религии.
    ****
    Был даже случай в практике автора, когда за отключение якобы экстремистского сайта (оценка его содержания произведена исключительно техническими сотрудниками провайдера) было возбуждено уголовное дело против отключившего сайт по статье 144 УК (воспрепятствование законной профессиональной деятельности журналистов), поскольку «экстремистский» веб-сайт был зарегистрирован как СМИ.

    #################################
    Помимо этого, злоумышленнику еще необходимо привлечь общественное внимание к дефейсу. В противном случае акция может остаться незамеченной – измененные сайты недолго остаются в таком состоянии, владелец обычно быстро восстанавливает первоначальный вид.
    Следовательно, злоумышленник сразу после «взлома» или незадолго до него каким-либо способом оповестит мир о своем преступлении.
    Это могут быть сообщения по электронной почте, статья в телеконференции или на веб-форуме. Все эти действия оставят дополнительные следы.

    #################################
    В описанной ситуации правильная формулировка задания должна выглядеть примерно так: «перехват исходящего и входящего трафика компьютера с MAC‑адресом 0:15:f2:20:96:54, относящегося к протоколам HTTP, telnet, SMTP, POP, IMAP, ICQ и имеющего в качестве IP‑адреса назначения (destination) или происхождения (source) какие‑либо внешние IP‑адреса, то есть, IP‑адреса кроме 10.0.0.0/8».

    #################################
    Исследование статистики трафика - А ВОТ ТУТ Я РЕАЛЬНО УДИВИЛСЯ. Даже не подумал бы о таком сам.
    Потерпевшим было получено сообщение электронной почты, отправленное злоумышленником через анонимайзер «remailer@aarg.net».
    **
    Будем искать в статистике российских магистральных операторов связи все обращения на IP‑адрес 206.132.3.41, совершенные в течение суток 20.01.07 по протоколу SMTP.
    **
    Вот таким образом заурядная статистика провайдера позволила нам раскрыть инкогнито злоумышленника, понадеявшегося на анонимный ремейлер.

    #################################
    Избирательный перехват
    **
    Ну, тут ничего нового, кроме того что это используется и используется довольно грамотно.

    #################################
    Вот, например, такое обыденное действие, как просмотр одним пользователем одной веб‑страницы. Перечислим вовлеченные в это действие системы, которые в принципе могут вести логи событий:
    ●браузер пользователя;
    ●персональный межсетевой экран на компьютере пользователя;
    ●антивирусная программа на компьютере пользователя;
    ●операционная система пользователя;
    ●DNS‑сервер (резолвер*), к которому обращался браузер пользователя перед запросом веб‑страницы, а также DNS‑сервера (держатели зон),к которым рекурсивно обращался этот резолвер;
    ●все маршрутизаторы по пути от компьютера пользователя до веб‑сервера и до DNS‑серверов, а также билинговые системы, на которые эти маршрутизаторы пересылают свою статистику;
    ●средства защиты (межсетевой экран, система обнаружения атак, антивирус), стоящие перед веб‑сервером и вовлеченными DNS‑серверами;
    ●веб‑сервер;
    ●CGI‑скрипты, запускаемые веб‑сервером;
    ●веб‑сервера всех счетчиков и рекламных баннеров, расположенных на просматриваемой пользователем веб‑странице (как правило, они поддерживаются независимыми провайдерами);
    ●веб‑сервер, на который пользователь уходит по гиперссылке с просматриваемой траницы;
    ●прокси‑сервер (если используется);
    ●АТС пользователя (при коммутируемом соединении с Интернетом – по телефонной линии) или иное оборудование последней мили (xDSL, Wi‑Fi, GPRS и т.д.);
    ●оборудование СОРМ со стороны пользователя и со стороны веб‑сервера.
    Итого может набраться два‑три десятка мест, где откладываются взаимно скоррелированные записи, относящиеся к одному‑единственному действию пользователя – просмотру веб‑страницы.

    #################################
    История знает несколько случаев, когда владельцы анонимизирующих ремейлеров, несмотря на декларации об отсутствии логов, все же предоставляли властям сведения об IP‑адресах отправителей. В некоторых странах попросту запрещено не вести логов или не сохранять их в течение положенного времени, например, в США.

    #################################
    Неуловимый IP – а про такое вообще не знал. Как это вообще делают?
    Это «зомби‑хостинг», то есть содержание публичных сетевых ресурсов не на серверах, а на компьютерах зомби‑сети* (ботнета). Зомбированные клиентские компьютеры используются как в качестве веб‑серверов, так и в качестве DNS‑серверов для соответствующего домена [23]. Зомби‑сервер живет недолго – от нескольких часов до нескольких дней. Однако их много. Поэтому можно поддерживать постоянную доступность.

    #################################
    Общие правила изъятия компьютерной техники при обыске – это классика, как везде. Но почитать кулхацкерам-недоучкам полезно :D

    #################################
    Экспертиза может установить, что поддельный документ был напечатан именно на этом конкретном принтере или с использованием конкретного картриджа.

    #################################
    К сожалению, нет возможности установить, было ли то или иное изображение (скан-копия) получено с конкретного сканера.

    #################################
    При выключении телефона не надо беспокоиться о PIN-коде на доступ к данным в SIM-карте телефона. У оператора связи в любой момент можно узнать PUK (PINunlockkey) и с его помощью получить доступ к SIM-карте.

    #################################
    Большинство известных автору случаев, когда эксперт смог расшифровать данные на исследуемом компьютере, – это сообщение пароля самим владельцем компьютера или оператором информационной системы.
     
    Sunday и latteo нравится это.
  2. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.403
    Симпатии:
    1.183
    Замечательный пост! Разумные надёргал цитаты!

    А то у некоторых наивных юзеров еще есть заблуждения, что они анонимность свою простыми VPN`ами/соками или их цепочками могут обеспечить...

    Для себя всё хочу почитать протоколы судебных заседаний, где-то пару раз натыкался на сайты, которые даже, кажется, содержали прицельно IT преступления. Так сказать первоисточник для таких книг :)


    >Неуловимый IP
    это просто вебсервер, который скрытно работает на заражённом ПК, если сайт доступен по домену, то для частой и быстрой смены таких "хостингов" может оказаться достаточно SOA-запис для домена с уменьшенным временем задать.

    >Исследование статистики трафика
    Вот это очень интересная тема, в плане насколько легко получить такую информацию. Это обычный запрос от правоохранительных органов (ну может из спец отдела) или как-то через суд? Какова средняя скорость исполнения такого запроса?

    PS эхх, если бы не надо было никого за решетку сажать было бы интересно поучаствовать экспертом/консультантом в таких делах :)
     
  3. _sergey_

    _sergey_ Писатель

    Регистр.:
    1 окт 2008
    Сообщения:
    1.744
    Симпатии:
    1.154
    А если работать с виртуалок которые сам собрал, а туда данные с зашифрованной флешки закачивать во время работы, а диски SSD использовать, в инет через TOР ходить и использовать облачное хранение данных - этого что не хватит?
     
  4. jabbaxatt

    jabbaxatt Добрый модератор

    Moderator
    Регистр.:
    21 янв 2009
    Сообщения:
    878
    Симпатии:
    411
    Всё зависит от обстоятельств и наличия других проколов (оффлайн следы, вывод денег, данные из облака тоже можно запросить и т.д.) Я сам просил интересной литературы, если есть у кого.
    Может и просто хватит этого - "Ввиду большого количества компьютерных преступлений никто уже всерьез не рассчитывает на возможность расследовать их все. "
     
  5. bloombeerg

    bloombeerg Постоялец

    Регистр.:
    22 ноя 2009
    Сообщения:
    94
    Симпатии:
    80
    Если кому-то сильно наступишь на хвост, тебя найдут. Это вопрос времени.
    P.S. Книжка вообще зачетная, давненько её читал. Вот думаю освежить голову и в третий раз прочитать. Кстати после прочтения вот этой книжки http://mann-ivanov-ferber.ru/books/paperbook/HowtoReadaBook/, понимаешь гораздо больше, чем до её прочтения, всем советую.
     
  6. jabbaxatt

    jabbaxatt Добрый модератор

    Moderator
    Регистр.:
    21 янв 2009
    Сообщения:
    878
    Симпатии:
    411
    Про протоколы - если найдёшь те сайты - скинь тут, самому интересно. У меня есть только кусочки дела о DDos компании Ассист,
    Выкладываю сканы в архиве - http://rghost.ru/39735062

    А что до "исследовании статистики трафика" - я офигел с примера, как менты не получив данные с анонимайзера, не зная с какого провайдера требовать логи, просто на основе статистических данных магистральных провайдеров вычислили вымогателя. Статистические данные, как известно, отличаются тем что сам трафик не перехватывается. хранятся только IP адреса, время соединения, размер переданной информации в байтах и используемые протоколы. Судя по всему магистральные провайдеры хранят только статистику, а провайдер "последней мили" уже хранит и статистику и тексты и персонализацию (мак адрес, и если IP динамические, то время кто когда каким IP пользовался). Но видимо никто не хранит видео\звуки\Картинки ибо место не хватит.
    Ниже цитата:

    #############################################
    Пример
    Приведем пример, как при помощи статистики трафика можно получить ценную оперативную информацию.
    Потерпевшим было получено сообщение электронной почты, отправленное злоумышленником через анонимайзер «remailer@aarg.net». Анонимайзер – это сервер электронной почты, который специально предназначен для сокрытия отправителя (подробнее об анонимайзерах – ниже, в параграфе «Анонимные ремейлеры»). Служебные заголовки сообщения не содержали никакой полезной информации. Логи анонимайзером не ведутся из принципа. (значит был запрос, но их послали) Для вычисления отправителя можно воспользоваться статистикой трафика. Для начала сделаем следующие предположения: отправитель находится в России, и он отправил свое сообщение на этот анонимайзер непосредственно, а не через другой анонимайзер. При таких условиях можно попытаться вычислить отправителя.
    IPадрес анонимайзера «remailer@aarg.net» – 206.132.3.41. Письмо к потерпевшему пришло 20 января вечером. Значит, отправлено было, скорее всего, в этот же день, поскольку, хотя анонимайзер предусматривает задержку в доставке сообщений, но вводить слишком большую задержку бессмысленно. Будем искать в статистике российских магистральных операторов связи все обращения на IPадрес 206.132.3.41, совершенные в течение суток 20.01.07 по протоколу SMTP. Для просмотра статистики используем набор утилит «flow tools».
    Итак, для начала, проверим, на какие IPадреса были обращения за нужную дату по протоколу TCP, на порт 25 (SMTP). Нижеприведенная
    команда берёт хранящуюся на сервере статистику (flowcat), отфильтровывает из нее протокол TCP (flowfilter r6), отфильтровывает
    трафик, направленный на порт 25 (flowfilter P 25), и агрегирует данные по IPадресу назначения (flowstat f8).

    **-скрин отчёта**
    В списке DSTадресов (адресов назначения) мы видим интересующий нас адрес 206.132.3.41(пятая строка снизу), причем на него зафиксиро
    вано 2 обращения (flow), всего 38 пакетов, 27995 байт. Такое небольшое количество пакетов за целые сутки неудивительно. Анонимайзерами пользуются нечасто, поскольку это хоть и относительно безопасно, но не слишком удобно.
    Выше мы запрашивали статистику за сутки. Поскольку статистика собирается с интервалом в 15 минут, поинтересуемся, в какой именно
    интервал времени в течение суток были зафиксированы эти обращения. Поищем их в каждом из четвертьчасовых файлов. То есть произве дем поиск, аналогичный предыдущему, но не для всей суточной статистики, а для каждого из 15минутных интервалов (команда «for fin … do»).

    Упоминание искомого IPадреса нашлось в 2 из 96 файлов. Оказалось, что обращения происходили в интервале 9:309:45 и 14:3014:45, причем во втором случае было передано лишь 2 пакета, а этого недостаточно для полноценной SMTPсессии. Таким образом, все данные следует искать в файле, содержащем статистику за 9:309:45

    Выберем из полной статистики за указанный интервал те пакеты, которые относятся к интересующему нас анонимайзеру. Для этого вместо упорядочивания данных по IPадресу назначения, как в предыдущих случаях (flowstat f8), запросим полную статистику (flowprint) и выделим из нее утилитой «grep» те потоки, которые относятся к адресу анонимайзера 206.132.3.41.

    Мы видим, что у всех относящихся к делу пакетов один и тот же sourceадрес – 81.16.118.238. Это, скорее всего, и есть IPадрес отправителя. Переданный объем информации, 27899 байт, примерно соответствует (с учетом служебных заголовков и шифрования) длине сообщения, полученного потерпевшим, что косвенно подтверждает правильность нашего вывода.

    ############################################
    А про VPN кстати автор пишет, что это единственный способ нормально скрыть трафик. Правда VPN может Вас и сдать запросто, ибо "В некоторых странах попросту запрещено не вести логов или не сохранять их в течение положенного времени, например, в США." Но может и не сдать.
     
  7. chibit

    chibit Life sucks.

    Регистр.:
    4 дек 2007
    Сообщения:
    420
    Симпатии:
    285
    «Убил, труп вывез ночью, тело закопал, не найдут 100%, гарантия».
    ТОР? В случае особенной необходимости можно поднять логи хоть 1000 узлов. К тому же последние исследования потенциально снизили анонимность ТОР-а до цепочки прокси.
    Ага, особенно если VPN в трафике передает о себе информацию (сайт такой-то, писать туда-то) и русский супорт.
    К тому же в большинстве стран стоят аналоги СОРМ-а и/или ДЦ пишет все логи.
    Если не сдаст - закроют бизнес. Улавливаешь?
     
  8. lift

    lift Читатель

    Заблокирован
    Регистр.:
    1 июл 2007
    Сообщения:
    2.226
    Симпатии:
    1.378
    jabbaxatt
    н.л., но сабжевые материалы на 50% устарели лет на N-цать что равносильно в текущем мире их полной неактуальности. То, что не устарело не стало неактуальным только по причине того, что это бред кобылы сивой. Если твой первый пост - резюме по книге то спасибо тебе, ты реально сэкономил мне кучу времени, я сам после той темы эту книгу собирался почитать как дочитаю то, что пока в читалке висит.
    Например chibit вот правильно сказал в посте чуть выше. А разбирать все, что написано в твоих цитатх попунктно и со статьями - боюсь мне лимита символов и на 10 постах не хватит да и порадоваться этому только разве что doxx (;)) сможет - стырит уник на свои сайты.
    Если тебе нужны книги по компьютерной безопасности, иди на сайт http://www.consultant.ru/ (лучше его, у него пересечения между законами и ссылки уточняющие есть) и начинай читать с ГК, УК и ФЗ №126 "О связи" и по всем ссылкам из них на тематические смежные акты. По тому, что там не будет, гугли процессуальные нормы, правила работы судов, практику верховного суда в частности и судебную практику (включая аппеляции) вообще... А в сабжевых книжках ты шапочно нахватаешся того, что в жизни уже давно нет и тебе это может выйти ой как боком в случае попыток применения материала в жизни. Не спорю, возможно там и есть что-то полезное, но выгребать это из кучи мусора займет больше времени и сил по сравнению с изучением первоисточников (законов и практик по ним)
     
    jabbaxatt нравится это.
  9. lift

    lift Читатель

    Заблокирован
    Регистр.:
    1 июл 2007
    Сообщения:
    2.226
    Симпатии:
    1.378
    - Алло. "Рога и копыта"? Лейтенан Такой То. Мне нужны логи по такому то моменту.
    - Делайте запрос через суд, идинах лейтенант
    - Вы в курсе, что вы подобные вещи должны давать конкретно нам конкретно для работы в режиме онлайн
    - Лейтенант, идинах, мы частная контора, что хотим то и делаем!
    ....
    Спустя пару дней:

    Новости: Сотрудники МВД изъяли сервера хостера "Рога и копыта". Лицензия на работу преостановлена из-за нарушений условий выдачи лицензии. Хостинг обвиняется в нарушении ряда ФЗ.
    ...
    Спустя неделю:

    - Алло. Лейтенан Такой То. Почему мне онлайн предоставляется данные по логированию с точностью до минуты и пакеты округлены до мегобайтов при этом? Мне нужно до секунды и реальный размер пакетов.
    - Извините, у нас так биллинг работает...
    - Значит переделайти биллинг. Вы должны предоставлять нам полную информацию
    - Конечно. Сегодня же начнем переделывать биллинг. Думаю завтра с утра вы сможете полную статистику получать!

    Думаеш это шутка? :)
     
  10. jabbaxatt

    jabbaxatt Добрый модератор

    Moderator
    Регистр.:
    21 янв 2009
    Сообщения:
    878
    Симпатии:
    411
    В общем да, что-то вроде того. В книге были страницы которые я пролистывал только начав читать - т.к. они явно бесполезны. Ну и год издания - 2007. Есть местами моменты, когда автор явно гонит, но за неимением другой литературы начал с этой книги.

    Книга интересна скорее тем, что её написал мент, чем информацией что в ней есть. Так сказать, взгляд под другим углом.

    А законы читать полезно, просто тяжелее и дольше.