- Сообщения
- 5.020
- Реакции
- 11.398
Терморектальный криптоанализ - контрмеры и способы противодействия.
Многие переоценивают возможности систем шифрования данных и преимущества, которые они дают. Начитавшись рекламных фраз типа "Тройное шифрование" или "Вход по пяти паролям" они наивно полагают, что теперь их данные в безопасности. Забывая о том, что самый простой и эффективный способ узнать пароль - это сделать так, что бы тот, кто знает этот пароль назвал его.
Причем это прямым текстом написано даже в книге Федотова Н.Н. - Форензика - компьютерная криминалистика. Автор там совершенно неоднозначно пишет о том, что пробовать взломать современные алгоритмы шифрования чаще всего не стоит даже пытаться, а так же о том, что все успешные дела, где были расшифрованны данные - стали успешными благодаря искуссному обману или банальному запугиваню подозреваемого, а не благодаря инструментам для взлома шифрованных данных. А Форензика так то - один из учебников для ВУЗов МВД, по ней учатся ментеныши.
Дак вот. Если отбросить все херню и реально посмотреть на вещи, то станет очевидно, что шифрование имеет смысл лишь тогда, когда есть риск что твой носитель попадет в руки к вероятному противнику, а ты при этом избежишь попадания в плен. В такой ситуации действительно, при стойком к брутфорсу пароле данные вряд ли удасться расшифровать. Несмотря на колоссальный прогресс в развитии технологий создания процессоров для видеокарт, которые сейчас повсеместно используются для простой калькуляции математических операций (например майнинг фермы), а не по прямому назначению, брутфорс зашифрованных файловых систем попрежнему практически нерешаемая задача, из за крайне низкой скорости перебора. Причина тому - сам нелийнейный алгоритм, которые проектировался с учетом противодействия прямому перебору.
Однако это прекрасно известно и вероятному противнику. А посему, для получения расшифрованных данных у него есть два варианта развития событий:
1. Заставить подозреваемого расшифровать данные (назвать пароль)
2. Получить доступ к данным, когда он уже расшифрованны (захватить включенный компьютер с разлоченными носителями в процессе работы).
Изучая описания громких деанонов в торе, я с удивлением обнаружил, что оба способа вполне себе реально используются. И вот вам конкретные примеры:
Росс Ульбрихт, создатель нашумевшей площадки Silk Road - прощёлкал ебалом в библиотеке, в результате чего у него вырвали включенный ноут с залогиненым аккаунтом админа форума. Так мало того, что он не предусмотрел варианта аварийного выключения помимо закрытия крышки ноутбука, он так же и не предусмотрел защиту от всяческих девайсов, которые состоят на вооружении у экспертов вероятного противника, в частности джигглеров - устройств, которые предназначены для имитации движений мышкой - они шевелят курсор как окаянные, не давая сработать скринлоку - блокировке экрана.
Недавно был захвачен в плен еще один из админов похожего форума. Там оперативники провернули просто наихитрейшую спецоперацию. Один из сотрудников зарегистрироваля на форуме и выбрал роль "хакера" - технического эксперта. Долго втирался в доверие к администрации, давал советы форумчанам. А когда настало время, запустил админу "дезу" - дезинформацию. Дескать он обнаружил серьезную уязвимость в коде форума и описал ее.
Наивный администратор тут же кинулся проверять эту информацию, не подозревая, что через окно за ним ведет наблюдение снайпер. Глядя в мощную оптику он сначала убедился, что админ включил компьютер и зашел на форум. А потом, я так подозреваю, от тупо мониторил до тех пор, пока подозреваемый не пошел на кухню за "пефком" или же, пардон, посрать.
В этот самый момент он дал отмашку и штурмовики из айнзац коммандос GSG 9, которая промежду прочим в прямом подчинении не какого нибудь там фуцина типа подполковника, а самого Министра Внутренних Дел Всея Немеции продемонстрировали практическое применение такой тактики как скоростной штурм - взяв контроль над помещением / в плен подозреваемого / работающий компьютер в качестве трофея за считанные секунды.
Аналогичным же образом был захвачен работающий компьютер другого долбоёба - админа педофорума TLZ - The Love Zone, более известного под псевдонимом "skee". Ноут загруженный с внешнего жесткого диска в работающем состоянии достался оперативникам после удачного штурма квартиры, где проживал долбоёб.
Это примеры захвата работающей техники. Что же касается примеров принуждения к выдаче информации, думаю они излишни. К сожалению, "человечество" изобрело слишком много способов, как получить информацию от существа, способного чувствовать боль и испытывать страх.
Так же малоэффективны и традиционные системы уничтожения данных. Все они расчитаны на то, что оператор системы имеет доступ к этой самой системе. И может их активировать. Но противник тоже не долбоеб, и не будет звонить тебе в дверь со словами "Откройте, полиция", понимая, что ты будешь иметь время на уничтожение цифровых улик. Так что скорее всего он спланирует задержание возле твоего подъезда, или же возле места, которое ты часто посещаешь. Поскольку при тебе не будет ни ноутбука, ни системы, равно как времени среагировать, то уничтожить данные ты не сможешь, и есть неплохие шансы конфисковать носитель в процессе последующего обыска.
Таким образом становится очевидно, что шифрование и традиционные способы уничтожения данных не способно защитить тебя, если ты попадешь в плен вместе с зашифрованными данными. Никто даже не будет пытаться их взломать, когда можно поломать тебя. Как же защитить себя от выдачи пароля при попадании в плен? Ниже я опишу несколько способов таких защит.
1. Незнание пароля.
Самый простой но довольно эффективный способ - не знать пароль вовсе. Например, записать его на маленьком клочке бумаги, и вводить, читая пароль с него. Бумажку можно носить с собой и при опасности тупо сожрать. Таким образом ты сделаешь приминение пыток против тебя беспонтовой затеей - даже конфисковав носитель противник не сможет добраться до данных ни при каких обстоятельствах.
Более эффективный вариант - помнить половину пароля, а половину записать на бумажке. Так ты защитишься на случай утери носителя вместе с бумажной - пароля записанного на ней будет недостаточно для расшифровки данных, так как вторая половина у тебя в голове. Но и пытки по прежнему будут неэффективны, если ты успеешь уничтожить бумажку - так как ты помнишь только половину пароля.
2. Уничтожение ячеек с ключами шифрования.
Более технологичный способ - сделать систему поврежденной самостоятельно, и "ремонтировать" ее для рабочих сеансов. Например по следующей схеме:
Сначала нужно сделать бэкап этих самых ячеек
После этой процедуры в домашней папке появится файл размером 2 Мб - это и есть забекапленные ячейки шифрования. Их нужно перекинуть на какой нибудь съемный носитель, например микросд карточку. А можно в запароленом архиве закинуть на хостинг со сроком хранения 1-2 дня.
Теперь нужно в системе сделать кнопку, которая будет выполнять команду:
Перед выключением машины можно будет уничтожать ячейки с ключами шифрования, делая данные неизвлекаемыми. ПРи этом бекап этих ячеек можно носить с собой на карточке и в форс мажорной ситуации ее тупо разломить зубами или пальцами. В случае же с хостингом - достаточно лишь просохатить сроки в течение которых файл можно будет скачать - то есть продержаться какое то время, после чего бэкап будет безвозвратно потерян.
Еще один из вариантов - носить этот файл на смартфоне, с настроенной системой уничтожения шифрованного раздела /data, которая срабатывает при любом неверном вводе пинкода (но это возможно провернуть далеко не на всех трубках в данный момент).
Такими способами можно решить дилему - носитель с данными нельзя выносить из дома, но при этом для его уничтожения нужен физический доступ к нему. И в случае задержания на улице высоки риски что носитель в исправном состоянии попадет к противнику в процессе обыска, и тогда велика вероятность что к вам применят техники "форсированного допроса". Если же хранить бэкап ячеек с ключами шифрования отдельно от носителя, то есть неплохие шансы избежать насилия - достаточно лишь показать противнику что оно бесполезно так как все ячейки уничтожены и вы не в состоянии открыть шифрованный раздел.
Многие переоценивают возможности систем шифрования данных и преимущества, которые они дают. Начитавшись рекламных фраз типа "Тройное шифрование" или "Вход по пяти паролям" они наивно полагают, что теперь их данные в безопасности. Забывая о том, что самый простой и эффективный способ узнать пароль - это сделать так, что бы тот, кто знает этот пароль назвал его.
Причем это прямым текстом написано даже в книге Федотова Н.Н. - Форензика - компьютерная криминалистика. Автор там совершенно неоднозначно пишет о том, что пробовать взломать современные алгоритмы шифрования чаще всего не стоит даже пытаться, а так же о том, что все успешные дела, где были расшифрованны данные - стали успешными благодаря искуссному обману или банальному запугиваню подозреваемого, а не благодаря инструментам для взлома шифрованных данных. А Форензика так то - один из учебников для ВУЗов МВД, по ней учатся ментеныши.
Дак вот. Если отбросить все херню и реально посмотреть на вещи, то станет очевидно, что шифрование имеет смысл лишь тогда, когда есть риск что твой носитель попадет в руки к вероятному противнику, а ты при этом избежишь попадания в плен. В такой ситуации действительно, при стойком к брутфорсу пароле данные вряд ли удасться расшифровать. Несмотря на колоссальный прогресс в развитии технологий создания процессоров для видеокарт, которые сейчас повсеместно используются для простой калькуляции математических операций (например майнинг фермы), а не по прямому назначению, брутфорс зашифрованных файловых систем попрежнему практически нерешаемая задача, из за крайне низкой скорости перебора. Причина тому - сам нелийнейный алгоритм, которые проектировался с учетом противодействия прямому перебору.
Однако это прекрасно известно и вероятному противнику. А посему, для получения расшифрованных данных у него есть два варианта развития событий:
1. Заставить подозреваемого расшифровать данные (назвать пароль)
2. Получить доступ к данным, когда он уже расшифрованны (захватить включенный компьютер с разлоченными носителями в процессе работы).
Изучая описания громких деанонов в торе, я с удивлением обнаружил, что оба способа вполне себе реально используются. И вот вам конкретные примеры:
Росс Ульбрихт, создатель нашумевшей площадки Silk Road - прощёлкал ебалом в библиотеке, в результате чего у него вырвали включенный ноут с залогиненым аккаунтом админа форума. Так мало того, что он не предусмотрел варианта аварийного выключения помимо закрытия крышки ноутбука, он так же и не предусмотрел защиту от всяческих девайсов, которые состоят на вооружении у экспертов вероятного противника, в частности джигглеров - устройств, которые предназначены для имитации движений мышкой - они шевелят курсор как окаянные, не давая сработать скринлоку - блокировке экрана.
Недавно был захвачен в плен еще один из админов похожего форума. Там оперативники провернули просто наихитрейшую спецоперацию. Один из сотрудников зарегистрироваля на форуме и выбрал роль "хакера" - технического эксперта. Долго втирался в доверие к администрации, давал советы форумчанам. А когда настало время, запустил админу "дезу" - дезинформацию. Дескать он обнаружил серьезную уязвимость в коде форума и описал ее.
Наивный администратор тут же кинулся проверять эту информацию, не подозревая, что через окно за ним ведет наблюдение снайпер. Глядя в мощную оптику он сначала убедился, что админ включил компьютер и зашел на форум. А потом, я так подозреваю, от тупо мониторил до тех пор, пока подозреваемый не пошел на кухню за "пефком" или же, пардон, посрать.
В этот самый момент он дал отмашку и штурмовики из айнзац коммандос GSG 9, которая промежду прочим в прямом подчинении не какого нибудь там фуцина типа подполковника, а самого Министра Внутренних Дел Всея Немеции продемонстрировали практическое применение такой тактики как скоростной штурм - взяв контроль над помещением / в плен подозреваемого / работающий компьютер в качестве трофея за считанные секунды.
Аналогичным же образом был захвачен работающий компьютер другого долбоёба - админа педофорума TLZ - The Love Zone, более известного под псевдонимом "skee". Ноут загруженный с внешнего жесткого диска в работающем состоянии достался оперативникам после удачного штурма квартиры, где проживал долбоёб.
Это примеры захвата работающей техники. Что же касается примеров принуждения к выдаче информации, думаю они излишни. К сожалению, "человечество" изобрело слишком много способов, как получить информацию от существа, способного чувствовать боль и испытывать страх.
Так же малоэффективны и традиционные системы уничтожения данных. Все они расчитаны на то, что оператор системы имеет доступ к этой самой системе. И может их активировать. Но противник тоже не долбоеб, и не будет звонить тебе в дверь со словами "Откройте, полиция", понимая, что ты будешь иметь время на уничтожение цифровых улик. Так что скорее всего он спланирует задержание возле твоего подъезда, или же возле места, которое ты часто посещаешь. Поскольку при тебе не будет ни ноутбука, ни системы, равно как времени среагировать, то уничтожить данные ты не сможешь, и есть неплохие шансы конфисковать носитель в процессе последующего обыска.
Таким образом становится очевидно, что шифрование и традиционные способы уничтожения данных не способно защитить тебя, если ты попадешь в плен вместе с зашифрованными данными. Никто даже не будет пытаться их взломать, когда можно поломать тебя. Как же защитить себя от выдачи пароля при попадании в плен? Ниже я опишу несколько способов таких защит.
1. Незнание пароля.
Самый простой но довольно эффективный способ - не знать пароль вовсе. Например, записать его на маленьком клочке бумаги, и вводить, читая пароль с него. Бумажку можно носить с собой и при опасности тупо сожрать. Таким образом ты сделаешь приминение пыток против тебя беспонтовой затеей - даже конфисковав носитель противник не сможет добраться до данных ни при каких обстоятельствах.
Более эффективный вариант - помнить половину пароля, а половину записать на бумажке. Так ты защитишься на случай утери носителя вместе с бумажной - пароля записанного на ней будет недостаточно для расшифровки данных, так как вторая половина у тебя в голове. Но и пытки по прежнему будут неэффективны, если ты успеешь уничтожить бумажку - так как ты помнишь только половину пароля.
2. Уничтожение ячеек с ключами шифрования.
Более технологичный способ - сделать систему поврежденной самостоятельно, и "ремонтировать" ее для рабочих сеансов. Например по следующей схеме:
Сначала нужно сделать бэкап этих самых ячеек
Код:
sudo cryptsetup luksHeaderBackup /dev/sda5 --header-backup-file backup.headerПосле этой процедуры в домашней папке появится файл размером 2 Мб - это и есть забекапленные ячейки шифрования. Их нужно перекинуть на какой нибудь съемный носитель, например микросд карточку. А можно в запароленом архиве закинуть на хостинг со сроком хранения 1-2 дня.
Теперь нужно в системе сделать кнопку, которая будет выполнять команду:
Код:
sudo cryptsetup erase /dev/sda5Перед выключением машины можно будет уничтожать ячейки с ключами шифрования, делая данные неизвлекаемыми. ПРи этом бекап этих ячеек можно носить с собой на карточке и в форс мажорной ситуации ее тупо разломить зубами или пальцами. В случае же с хостингом - достаточно лишь просохатить сроки в течение которых файл можно будет скачать - то есть продержаться какое то время, после чего бэкап будет безвозвратно потерян.
Еще один из вариантов - носить этот файл на смартфоне, с настроенной системой уничтожения шифрованного раздела /data, которая срабатывает при любом неверном вводе пинкода (но это возможно провернуть далеко не на всех трубках в данный момент).
Такими способами можно решить дилему - носитель с данными нельзя выносить из дома, но при этом для его уничтожения нужен физический доступ к нему. И в случае задержания на улице высоки риски что носитель в исправном состоянии попадет к противнику в процессе обыска, и тогда велика вероятность что к вам применят техники "форсированного допроса". Если же хранить бэкап ячеек с ключами шифрования отдельно от носителя, то есть неплохие шансы избежать насилия - достаточно лишь показать противнику что оно бесполезно так как все ячейки уничтожены и вы не в состоянии открыть шифрованный раздел.
