Ответить
  • CruseR Member
    офлайн
    CruseR Member

    334

    16 лет на сайте
    пользователь #102777

    Профиль
    Написать сообщение

    334
    # 3 марта 2009 01:18
    MaxRusak:

    Тут надо смотреть, каким образом идет запись ОЗу. Или в стандартый файл подкачки или в отдельны файл. Винда в принцепе может записывать в что-то свое, а не в своп.

    Сам не знаю, вроде в другой файл. Только если он не шифруется при включенном шифровании свопа - это просто дырища в безопасности, ведь куча открытой инфы будет на винт ложиться после каждого засыпания.

  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 01:21
    CruseR:


    Сам не знаю, вроде в другой файл. Только если он не шифруется при включенном шифровании свопа - это просто дырища в безопасности, ведь куча открытой инфы будет на винт ложиться после каждого засыпания.

    Дыра получается огромная. Тем более для ноутов уход в спящий режим это обычное дело. Не думаю, что будет шифроваться, ведь по умолчанию своп в вине де шифруется.

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 01:28

    С другой строны. Можно организовать атаку, даже, если ОЗУ шифруется. Берем веник, в SAM вычисляеи пароль админа. Затем производим включение. ОЗУ восстанавливается, а через eDiscovery заносим модуль для снимков системы. получаем ОЗУ как на ладони.

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • MOHCTPiK Senior Member
    офлайн
    MOHCTPiK Senior Member

    35746

    21 год на сайте
    пользователь #4841

    Профиль
    Написать сообщение

    35746
    # 3 марта 2009 01:33

    для фанатов давно уже продаются штучки, в который вставляешь веник и он в ней работает... по нажатию кнопки - венику приходит электро-магнитно-тепло звиздец... :).

    к тому же надо знать что искать, а если искомые банковские счета закодированы в одну из 10 000 фотографий клипарта на венике? То сначала надо восстановить винт, а потом еще быть уверенным, что то искомое не похерилось в процессе восстановления...

    или вот возьмем раид массив - 1 на 2х. Винты стандартно зашифрованы - если 1 из них привести в негодность, то что можно восстановить на другом?

    С другой стороны при нынешних сетевых технологиях ничто не мешает серверу с нужной инфой быть не просто зашифрованной, но и находится замурованному в стене в соседнем здании и общаться через вайфай...

    Никогда не слишком.
  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 01:37
    MOHCTPiK:

    для фанатов давно уже продаются штучки, в который вставляешь веник и он в ней работает... по нажатию кнопки - венику приходит электро-магнитно-тепло звиздец... :).

    к тому же надо знать что искать, а если искомые банковские счета закодированы в одну из 10 000 фотографий клипарта на венике? То сначала надо восстановить винт, а потом еще быть уверенным, что то искомое не похерилось в процессе восстановления...

    или вот возьмем раид массив - 1 на 2х. Винты стандартно зашифрованы - если 1 из них привести в негодность, то что можно восстановить на другом?

    С другой стороны при нынешних сетевых технологиях ничто не мешает серверу с нужной инфой быть не просто зашифрованной, но и находится замурованному в стене в соседнем здании и общаться через вайфай...

    Проверяли. Не на все веники действует. А вай-фай это вааще рай для хакера.

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • MOHCTPiK Senior Member
    офлайн
    MOHCTPiK Senior Member

    35746

    21 год на сайте
    пользователь #4841

    Профиль
    Написать сообщение

    35746
    # 3 марта 2009 01:38

    MaxRusak, для тебя лично...

    По существу вопроса: было решено, что лучший способ - термитный патрон с электроподжигом на основе окиси железа с магниевым запалом. Температура достаточная - через минуту остается горсть пепла. Потушить практически невозможно. Даже углекислотный огнетушитель через 20 секунд уже не поможет.

    Кстати, были предложены более оптимальные решения:

    - Магнитооптика или ZIP. Диск ломается пополам легко. Правда, ногами за это будут бить сильно. Проверено на практике

    Никогда не слишком.
  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 01:39
    MOHCTPiK:

    MaxRusak, для тебя лично...

    По существу вопроса: было решено, что лучший способ - термитный патрон с электроподжигом на основе окиси железа с магниевым запалом. Температура достаточная - через минуту остается горсть пепла. Потушить практически невозможно. Даже углекислотный огнетушитель через 20 секунд уже не поможет.

    Кстати, были предложены более оптимальные решения:

    - Магнитооптика или ZIP. Диск ломается пополам легко. Правда, ногами за это будут бить сильно. Проверено на практике

    Можно кувалдометр на столе держать. :)

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • CruseR Member
    офлайн
    CruseR Member

    334

    16 лет на сайте
    пользователь #102777

    Профиль
    Написать сообщение

    334
    # 3 марта 2009 01:42
    MOHCTPiK:

    термитный патрон с электроподжигом на основе окиси железа с магниевым запалом

    Представляю ноут с такой встроенной хренью :o

  • MOHCTPiK Senior Member
    офлайн
    MOHCTPiK Senior Member

    35746

    21 год на сайте
    пользователь #4841

    Профиль
    Написать сообщение

    35746
    # 3 марта 2009 01:44

    MaxRusak, ну понимаешь - мы говорим не про 3 порнушных фильма эммануэль, а я так понимаю ввиду - серьезную инфу :).

    делают люди и не такое :).

    http://www.ixbt.com/storage/hddterminator.shtml

    обычный простой системный уничтожитель...

    тут обычный програмный уничтожитель - не думаю,что тебе будет чего дешифровать, после работы программы

    http://cmrr.ucsd.edu/people/Hughes/SecureErase.shtml

    CruseR:

    MOHCTPiK (цитата):

    термитный патрон с электроподжигом на основе окиси железа с магниевым запаломПредставляю ноут с такой встроенной хренью

    да ладно - главное что бы главбух не уср@лся, когда пиропатрон рванет у него в компе :).

    Никогда не слишком.
  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 01:51
    MOHCTPiK:

    http://www.ixbt.com/storage/hddterminator.shtml

    обычный простой системный уничтожитель...

    тут обычный програмный уничтожитель - не думаю,что тебе будет чего дешифровать, после работы программы

    http://cmrr.ucsd.edu/people/Hughes/SecureErase.shtml

    В первом случае будет зависеть от материала корпуса веника. Делели у нас такие попытки. Maxtor лег, а вот в сигейта все удалось прочитать.

    Ну а для программного умничтожения используем очень дрогой метод восстановления по сотаточной намагниченности. Ведь если инфа храниться долго, то намагниченность "расползается" и при перезаписи голока не перемагничивает границы со старыми данными. Да и прецессии головки могут неудачно наложиться.

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • MOHCTPiK Senior Member
    офлайн
    MOHCTPiK Senior Member

    35746

    21 год на сайте
    пользователь #4841

    Профиль
    Написать сообщение

    35746
    # 3 марта 2009 01:55

    MaxRusak, я не хочу спорить - просто снести проще чем восстанавливать.... а уже заинтересованные проведут и эксперименты нужные и материал подберут... просто насколько мне знаний хватает - восстанавливать по остаточно намагниченности НЕ зашифрованный винт - одно, а вот если он еще зашифрован неплохо, то даже небольшой кусок не восстановленных данный - уже сведет к 0 шансы декодировать инфу... так что на долгое хранение инфы можно особо не надеяться...

    ЗЫ. Прибой это просто как пример подобного устройства... Кому есть что охранять - там гораздо больше ставится и датчиков и защит... Правда они могут и ложно срабатывать - слышал такие байки часто :).

    Никогда не слишком.
  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 01:57
    MOHCTPiK:

    MaxRusak, я не хочу спорить - просто снести проще чем восстанавливать.... а уже заинтересованные проведут и эксперименты нужные и материал подберут... просто насколько мне знаний хватает - восстанавливать по остаточно намагниченности НЕ зашифрованный винт - одно, а вот если он еще зашифрован неплохо, то даже небольшой кусок не восстановленных данный - уже сведет к 0 шансы декодировать инфу... так что на долгое хранение инфы можно особо не надеяться...

    так и незашифрованный диск по остаточной намагниченнности есть смысл восстанавливать, если на нем чертеж новой термоядерной бомбы храниться. Для более мелких задач его применять нет смысла. Слишком долго, а главное дорого.

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 02:00
    MOHCTPiK:

    Кому есть что охранять - там гораздо больше ставится и датчиков и защит...

    Когда речь идет о защите действительно ценных данных, то можно и под столом мешок гексогена держать, чтоб ни комп, но юзер врагу не достались. Или мужичка с кувалдометром. В случае опасновти первый удар по венику, второй по голове юзера. :)

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • MOHCTPiK Senior Member
    офлайн
    MOHCTPiK Senior Member

    35746

    21 год на сайте
    пользователь #4841

    Профиль
    Написать сообщение

    35746
    # 3 марта 2009 02:03

    MaxRusak, про остаточную намагниченность ходят байки, больше чем она есть... :)

    я просто процитирую немного и пойду спать :).

    даже находясь на "середине" трека и зная что мы читаем возможны ошибки и промахи, зная это производители жестких дисков пременяют различное кодирование данных, например AdressMark кодируется специальной комбинацией стартового сигнала (не битов) сам код AM представлен помехоустойчивым кодом, а сам помехоустойчивый код дублируется двойным битовым кодом, поэтому не надо рассказывать что по магнитным доменам (или соседними с ними магнитным доменам) вы сможете определить какая информация была в них до стирания

    считать очень проблемно обычную информацию таким методом, а что говорить о том, когда она была предварительно зашифрована и экстренно уничтожена?

    и дело не в ядерной бомбе - а вполне доступных даже мелкому бизнесу возможностях... Которые не возможно решить даже на очень высоком уровне... :).

    Никогда не слишком.
  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 02:06
    MOHCTPiK:

    MaxRusak, про остаточную намагниченность ходят байки, больше чем она есть... :)

    я просто процитирую немного и пойду спать :).

    даже находясь на "середине" трека и зная что мы читаем возможны ошибки и промахи, зная это производители жестких дисков пременяют различное кодирование данных, например AdressMark кодируется специальной комбинацией стартового сигнала (не битов) сам код AM представлен помехоустойчивым кодом, а сам помехоустойчивый код дублируется двойным битовым кодом, поэтому не надо рассказывать что по магнитным доменам (или соседними с ними магнитным доменам) вы сможете определить какая информация была в них до стирания

    Есть методики и весьма успешные. В принципе имея буквально пару штук зеленых, можно визуализировать поверхность убитого веника (имеется ввиду при случае, если умерла элетроника и остались живыми лишь блины).

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 02:08
    MOHCTPiK:

    и дело не в ядерной бомбе - а вполне доступных даже мелкому бизнесу возможностях... Которые не возможно решить даже на очень высоком уровне... :).

    Если ваша инфа стоит меньше десятка миллионо залени можете не волноваться. Такие методы к вам применяться "конкурентами" точно не будут. Хороший аппарат стоит пару лямов зелени, плюс работа целой лаборатории.

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • MOHCTPiK Senior Member
    офлайн
    MOHCTPiK Senior Member

    35746

    21 год на сайте
    пользователь #4841

    Профиль
    Написать сообщение

    35746
    # 3 марта 2009 02:09 Редактировалось MOHCTPiK, 1 раз.

    MaxRusak, дело не в убитой электронике, а в уничтожении зашифрованной инфы на винте... что там потом визуализировать можно - сложный вопрос...

    в москве одно время конкуренты устраивали ложные заказы наезда органов - хозяева сами гробили инфу... :). Кстати - узкое место тут только одно - наличие обычно резервной копии, которая просто необходима в таких условиях... а так же сисадмин, который обычно занимается этим хозяйством - вряд ли бигбосс будет сам заниматься бекапами, шифрованиями и т.д. ежедневно...

    Никогда не слишком.
  • MaxRusak Senior Member
    офлайн
    MaxRusak Senior Member

    58032

    18 лет на сайте
    пользователь #41728

    Профиль
    Написать сообщение

    58032
    # 3 марта 2009 02:10
    MOHCTPiK:

    MaxRusak, дело не в убитой электронике, а в уничтожении зашифрованной инфы на винте... что там потом визуализировать можно - сложный вопрос...

    Сложно но можно. Россияне хвастают, что могут восстановить инфу после шестикратной перезаписи.

    Легче зажечь одну маленькую свечку, чем клясть темноту. (с) Конфуций.
  • MOHCTPiK Senior Member
    офлайн
    MOHCTPiK Senior Member

    35746

    21 год на сайте
    пользователь #4841

    Профиль
    Написать сообщение

    35746
    # 3 марта 2009 02:14

    MaxRusak, ну хвастаться одно, а чем дальше тем толще партизаны - при современных объемах винты имеют такую сложно-устроенную систему записи, что ее проблемно считать даже на не поврежденных дисках... Что там останется от шифрованной инфы, после 6ти кратной перезаписи - даже не догадываюсь :).

    Никогда не слишком.
  • Дзмiтрок Senior Member
    офлайн
    Дзмiтрок Senior Member

    1223

    17 лет на сайте
    пользователь #74548

    Профиль
    Написать сообщение

    1223
    # 3 марта 2009 02:20

    CruseR, вариант атаки с охлаждением памяти применяется немного не для того, что вы предполагаете.

    Ес-сно на новой системе если вы туда втыкнете охлажденную память она не заработает как та, из которой вы ее вытащили, да и зачем это нужно , на самом деле.

    Эта атака применяется если вам нужно получить доступ к системе при зашифрованных HDD c ОС.

    Применяется при следующих условиях:

    1. Ваш жесткий диск шифруется полностью с момента загрузки ОС с помощью ПО типа TrueCrypt (open-source) , BitLocker (встроен в Vista Ultimate и Windows Server 2008) либо другого ПО. На момент выхода в свет этой атаки все ПО шифрующее диск полностью было уязвимо. Сейчас скорее всего тоже.

    2. У вас есть физический доступ к ПК.

    3. У вас есть спец. сделаный комп с специальным Линухом заточенный под это дело (собирается из подручных средств в общих чертах).

    Как это происходит:

    Работающий или спящий комп (именно спящий, если он скинул память на винт и отрубился - то атака не удасться, т.к. при загрузке у вас будтут требовать пароль, а потом лишь пойдет загрузка загрузчика ОС).

    Охлаждается память жидким азотом. Температуру не скажу точно. Потом она быстро доставется и вставляется в спец. комп. С нее делается дамп. Потом этот дамп анализируется и из него достается пароль к шифрованному диску.

    Атака построена на том, что:

    1. Память при охлаждении некоторое время может хранить записанные в нее данные "по инерции".

    2. ПО, которое шифрует диск имеет уязвимость - хранит этот самый ключ в памяти.

    Вот.

    Т.е. если есть ситуация:

    Я пришел. Стоит комп. Залочен. Хочу влезть.

    Я его перезагружаю - думаю типо щас использую лив-сд и изменю пароль админа на мне известный.

    Перегружаю - и ОПА! А оно защифровано с момента загрузки например Битлокером. Все. Облом.

    Но! Если я об этом знаю, я делаю дамп с памяти охлаждая его, нахожу пароль, загружаюсь с лив-сд, меняю пароль админа - и я в системе.

    Реально я такое сам не пробовал. Но, энтузиасты могут попробовать провести эту атаку в лабораторных условиях.

    Расскажу как. Берем Hyper-V сервер. Ставим на него виртуалку. Шифруем чем нравиться весь диск с момента загрузки. И вместо того , чтобы охлаждать, просто сохраняем память виртуальной машины на диск. Имеем дамп памяти, и уже из него извлекаем нужный нап пароль.

    Вот. Сам такую лабу я не делал, но видел живую демонстрацию на какой-то конференции. Работает 100%.

    Далее. Реальная защита информации - это комплекс весьма дорогостоящих мер, еще дороже стоит это все поддерживать в актуальном состоянии. Проще всего получить т.н. ложное чувство безопасности, когда ты думаешь , что твоя инфа защищена и доверяешь этому , а на самом деле систему довольно легко скомпрометировать даже с небольшим бюджетом (ну, скажем, до 10 тысяч $).