Форум ''Интернет и Право''
22 Ноября 2024, 17:10:26 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 ... 8 9 [10] 11 12 ... 20   Вниз
  Печать  
Автор Тема: Шифрование диска, поможет ли?  (Прочитано 163682 раз)
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #90 : 21 Августа 2009, 11:33:33 »

Цитировать
Про энтропию... Ну да, есть такое дело...
Хорошо, в таком случае назовём наш контейнер "whitenoise_test03.dat", рядом положим ещё несколько файлов с номерами *01, *02, *04 - разного размера.

Ну да, только вот маскируете вы данные, но не метаданные. Поэтому данный метод неэффективен.

Цитировать
//Про схему с контейнерами-матрёшками и plausible deniability распинаться тут не буду - тут и так всё ясно...  //

Отрицаемое шифрование, как говорит Брюс Шнайер, неэффективно в современных условиях. И я могу только с ним согласиться. Читали его работу по данной теме? Подмигивающий
Записан
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #91 : 21 Августа 2009, 13:04:56 »

Цитировать
Про энтропию... Ну да, есть такое дело...
Хорошо, в таком случае назовём наш контейнер "whitenoise_test03.dat", рядом положим ещё несколько файлов с номерами *01, *02, *04 - разного размера.

Ну да, только вот маскируете вы данные, но не метаданные. Поэтому данный метод неэффективен.

Будьте любезны, расшифруйте подробнее смысл Вашего утверждения. Про какие метаданные Вы говорите?
//и в любом случае при использовании криптораздела т.н. "метаданные" Вам не помогут - в этом случае им просто неоткуда взяться...//

Цитировать
//Про схему с контейнерами-матрёшками и plausible deniability распинаться тут не буду - тут и так всё ясно...  //

Отрицаемое шифрование, как говорит Брюс Шнайер, неэффективно в современных условиях. И я могу только с ним согласиться. Читали его работу по данной теме? Подмигивающий

Не припоминаю у Шнайдера такого утверждения, но, может, я что-то и не читал (даже скорее всего). По крайней мере, в его книге "Секреты и ложь.Безопасность данных в цифровом мире" я такого утверждения не встречал... Улыбающийся
Брюсу Шнайеру вообще много чего приписывают... не всегда утруждая себя цитированием. ПоделИтесь ссылкой - оценю...
------
Судя по отсутствию других возражений с Вашей стороны, Вы вполне согласны с остальными моментами (как то - возможность спрятать TC под FDE с возложением задачи начальной стадии загрузка (с PBA) на съёмный бутовый носитель; также - возможность монтирования криптораздела из-под live-носителя)...

========
2 interested face:
Какие, какие... Обычные корпоративные данные, нежелательные к попаданию в лапы конкурентов - БД, почтовые базы, хоум-каталоги... Улыбающийся
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #92 : 21 Августа 2009, 15:51:58 »

Цитировать
Не припоминаю у Шнайдера такого утверждения, но, может, я что-то и не читал (даже скорее всего). По крайней мере, в его книге "Секреты и ложь.Безопасность данных в цифровом мире" я такого утверждения не встречал...
Брюсу Шнайеру вообще много чего приписывают... не всегда утруждая себя цитированием. ПоделИтесь ссылкой - оценю...

http://www.cs.washington.edu/homes/supersat/paper-truecrypt-dfs.pdf
http://onekit.net/store/review/schneier_research_team_cracks_truecrypt.html

"Deniability, even under a very weak model, is fundamentally challenging," Schneier said in the report. "Even when the file system may be deniable in the pure, mathematical sense, we find that the environment surrounding that file system can undermine its deniability, as well as its contents."

Цитировать
Судя по отсутствию других возражений с Вашей стороны, Вы вполне согласны с остальными моментами (как то - возможность спрятать TC под FDE с возложением задачи начальной стадии загрузка (с PBA) на съёмный бутовый носитель; также - возможность монтирования криптораздела из-под live-носителя)...

А с чем тут можно не соглашаться? Можно только замечания оставлять. Однако я вижу типичную картину: очередной писатель советов "как пошифровать все по-надежнее" не видит всю картину угроз полностью Подмигивающий
Записан
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #93 : 21 Августа 2009, 17:49:50 »

2 eleron:
Цитировать
Однако я вижу типичную картину: очередной писатель советов "как пошифровать все по-надежнее" не видит всю картину угроз полностью

А я вижу с Вашей стороны типичную картину "разговора ниачом".
 
А что Вы понимаете под "картиной угроз"?
Я знаю понятие "модель угрозы", определяющее - от кого мы защищаемся. Из этого определения уже следует оценка методов, которыми наш противник может попытаться получить защищаемую информацию. После чего подбирается комплекс мер противодействия, нейтрализующих эти методы. Меры эти не обязательно только технического или организационного плана - наиболее эффективно сочетание различных способов обороны.
Вот  мы и обсуждаем тут различные аспекты применения тех или иных мер. Заметьте, многие это делают предметно (замечания ув.ННФ по поводу реакции на TC или ув.bormant с поправкой про MBR), Вы же по большей части отделываетесь общими фразами (не считая редких ссылок - за последние, кстати, спасибо, почитаю).

Вот только Ваша "аргументация" в стиле "ты дурак, а почему - не скажу, ибо я дартаньян на белом коне, а ты "очередной писатель советов" не делает Вам чести в дискуссии.
На конкретные вопросы Вы почти не отвечаете, хотя и говорите, что "можно только замечания оставлять", но... не оставляете... Ну возьмите же себя в руки и разберите подробно в своём ответе те моменты, с которыми Вы почему-то несогласны, а не злословьте безапелляционно и бездоказательно!

=== чуть позже ===
Ага, прочитал... Да, ЭТОТ материал мне попадался ранее (как в оригинале. так и в переводе). В нём Шнайер рассматривает очень жёсткую модель угрозы (включая неоднократные снятия образов подозрительных разделов), сопряжённую со стандартным окружением в виде неподготовленной вин-системы (включая и те моменты, которые в обязательном порядке должны быть отработаны, как то выключение Recent, а так же неиспользование Google Desktop для индексации локальных файлов).

At the operating-system level, the team found that, by default, Windows Vista creates shortcuts to files as they are used, storing the shortcuts in the Recent Items folder. An investigator examining this folder would immediately know that the user had been editing a file, even if that file were protected by TrueCrypt. The shortcut also provides information about the volumes where the files are located, giving more evidence of the existence of hidden volumes.


Здесь же (в форуме) самые стандартные и очевидные моменты попросту не обсуждаются, акцентируясь лишь на некоторых действительно важных вопросах.

Могу лишь ещё раз повторить , что полностью зашифрованный TC второй хард (с рабочей вин-системой) вкупе с загрузчиком на съёмном носителе не оставляет возможностей увидеть имеющиеся следы наличия и/или работы TC на данной системе.
Вы и с этим не согласны?
« Последнее редактирование: 21 Августа 2009, 18:46:23 от De Nada » Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #94 : 21 Августа 2009, 20:18:16 »

Цитировать
А что Вы понимаете под "картиной угроз"?

Совокупность всех возможных моделей угроз, в которых в поле "от кого" стоит строка "правоохранительные органы".

Цитировать
Вот  мы и обсуждаем тут различные аспекты применения тех или иных мер. Заметьте, многие это делают предметно (замечания ув.ННФ по поводу реакции на TC или ув.bormant с поправкой про MBR), Вы же по большей части отделываетесь общими фразами (не считая редких ссылок - за последние, кстати, спасибо, почитаю).

Я свое мнение уже высказал: невозможно оценить эффективность тех или иных мер без полного понимания всех возможных моделей угроз. Различные "мелочи" здесь вносят свой вклад, который даже "Шнайдер" не учитывает в вышеуказанной работе. В качестве отдаленного примера приведу отрицаемое шифрование в режиме FDE (ложная ОС + скрытая ОС), которое с легкостью обнаруживается по особенностям сетевого трафика (отсылаю к работам Федора, автора Nmap), а также по особенностям работы определенного оборудования. К счастью для вас, в документации TC случай с сетевым трафиком описан и уже выработаны методы "защиты": отключить сеть. Однако, решения с организацией отрицаемого шифрования в режиме FDE часто проскакивают на околохекерских форумах при обсуждении вопроса о сокрытии сетевого ПО. Из всего этого вывод: ваша фраза:

Цитировать
Здесь же (в форуме) самые стандартные и очевидные моменты попросту не обсуждаются, акцентируясь лишь на некоторых действительно важных вопросах.

не является корректной. Для судебного эксперта некоторые моменты являются очевидными, а для сисадмина или кулхацкера - нет. На данный момент все обсуждения т.н. "утечек данных" сводились (например, в статье в вики DiskCryptor и на PGPru) к утечкам кусков памяти программ в различные места, что, ИМХО, является наименее опасной утечкой из всех утечек Улыбающийся Круг действительно важных вопросов в вашем понимании расширился? Аналогично и с различными особенностями, например, метаданными Подмигивающий

Цитировать
На конкретные вопросы Вы почти не отвечаете

А зачем отвечать? Улыбающийся

Цитировать
В нём Шнайер рассматривает очень жёсткую модель угрозы (включая неоднократные снятия образов подозрительных разделов), сопряжённую со стандартным окружением в виде неподготовленной вин-системы (включая и те моменты, которые в обязательном порядке должны быть отработаны, как то выключение Recent, а так же неиспользование Google Desktop для индексации локальных файлов).

Не жесткую, а популярную. На данный момент я нигде не видел список пунктов "для подготовки системы к работе с зашифрованными ФС", в котором описаны все пункты и все их особенности, известные товарищам экспертам. Хотя бы для "голой" ОС Windows, хотя бы для защиты от утечки зашифрованных данных и метаданных, но не для обеспечения отрицаемого шифрования.

Цитировать
Могу лишь ещё раз повторить , что полностью зашифрованный TC второй хард (с рабочей вин-системой) вкупе с загрузчиком на съёмном носителе не оставляет возможностей увидеть имеющиеся следы наличия и/или работы TC на данной системе.
Вы и с этим не согласны?

Ответ дан выше. Как я уже говорил - основная трудность: не обнаружить зашифрованные данные, а связать их с конкретным ПО. Но это тоже возможно, даже в этом случае Подмигивающий
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #95 : 26 Августа 2009, 05:16:34 »

Игры "в шпионов" заканчиваются примерно так
http://www.computer-forensics-lab.org/forum/viewtopic.php?t=489
 Подмигивающий
« Последнее редактирование: 26 Августа 2009, 06:27:11 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
interested face
Посетитель
*
Офлайн Офлайн

Сообщений: 28


С подозрением к дальнему


« Ответ #96 : 26 Августа 2009, 06:56:31 »

Igor Michailov

удолил!!1 Улыбающийся
« Последнее редактирование: 26 Августа 2009, 06:57:05 от interested face » Записан
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #97 : 31 Августа 2009, 15:35:40 »

2 eleron: Прошу прощения, был в командировке (не то чтобы без инета, просто был занят...).

===
Я свое мнение уже высказал: невозможно оценить эффективность тех или иных мер без полного понимания всех возможных моделей угроз. Различные "мелочи" здесь вносят свой вклад, который даже "Шнайдер" не учитывает в вышеуказанной работе.
С этим сложно не согласиться...

В качестве отдаленного примера приведу отрицаемое шифрование в режиме FDE (ложная ОС + скрытая ОС), которое с легкостью обнаруживается по особенностям сетевого трафика (отсылаю к работам Федора, автора Nmap), а также по особенностям работы определенного оборудования.
По поводу Nmap...
Прежде всего - эта прога является сетевым сканером (а не сетевым анализатором), в силу чего НЕ может использоваться для анализа "особенностей сетевого траффика". Конечно, Nmap может помочь идентифицировать ОC, установленную на сканируемом им компе (функция определения OS fingerprint), но у этого метода есть серьёзные ограничения. Вот пример реальной работы Nmap (проделано мною в этот уикенд):

--- quote ---
Nmap 5.00
Intense scan
...
Too many fingerprints match this host to give specific OS details
...
--------------
Это я сканировал Nmap`ом комп с включенным штатным файерволом (причём не все порты на входящий траффик были заблокированы - там были исключения для нескольких сетевых служб). Очевидно, тех ответов, что получил Nmap от этого компа, было недостаточно для уверенной идентификации ОС (как Вы помните, Nmap сравнивает результаты сканирования (ответы компа) со своей базой данных "отпечатков ОС").

После этого я полностью отключил файервол компа и получил вот такой "диагноз":
--- quote ---
Running: Microsoft Windows 2000|XP|2003
OS details: Microsoft Windows 2000 SP2 - SP4, Windows XP SP2 - SP3, or Windows Server 2003 SP0 - SP2
--------------
Сейчас Nmap, по крайней мере, определил, с каким семейством ОС ему приходится иметь дело, но... с точностью "два лаптя по карте". А Вы можете определить по этому OS fingerprint - какую ОС я сканировал? Подмигивающий

Возвращаясь к Вашему примеру... Если фейковая и настоящая ОСи на защищаемом компе будут одинаковы, то Nmap вряд ли сможет определить, кто есть ху.
Кроме того, нужно понимать, что в нормально настроенной и работающей сети заниматься таким сканированием будет хоть и не невозможно, но весьма затруднительно - есть очень много способов практически полностью исключить попадание в сеть Nmap и подобных прог (на компе организации или на стороннем - без разницы; отличие лишь в способах защиты). Излагать их здесь - значит злоупотребить терпением соресурсников, скажу лишь, что речь идёт о максимально эшелонированной обороне с ограничением возможностей пользователей по установке и запуску стороннего софта, а так же способов подключения сторонней аппаратуры к локалке предприятия.
Впрочем, заслонится от сетевого сканера можно и гораздо проще - используя файервол. Если почему-то не устраивает программный, то можно использовать и аппаратный, перед защищаемой машинкой (сейчас есть масса недорогих SOHO-решений с линухом в пузе) - тогда сетевому сканеру будет (или не будет Улыбающийся) отвечать OS файервола...

К сожалению, отреагировать предметными контр-аргументами на Вашу фразу
"...по особенностям работы определенного оборудования"  не представляется возможным в силу её чрезмерной общести...

К счастью для вас, в документации TC случай с сетевым трафиком описан и уже выработаны методы "защиты": отключить сеть.

Как видите (выше), перхоть не обязательно лечить гильотиной... Улыбающийся

Из всего этого вывод: ваша фраза:

Цитировать
Здесь же (в форуме) самые стандартные и очевидные моменты попросту не обсуждаются, акцентируясь лишь на некоторых действительно важных вопросах.

не является корректной. Для судебного эксперта некоторые моменты являются очевидными, а для сисадмина или кулхацкера - нет. На данный момент все обсуждения т.н. "утечек данных" сводились (например, в статье в вики DiskCryptor и на PGPru) к утечкам кусков памяти программ в различные места, что, ИМХО, является наименее опасной утечкой из всех утечек Улыбающийся Круг действительно важных вопросов в вашем понимании расширился? Аналогично и с различными особенностями, например, метаданными Подмигивающий
В моём понимании он и не сужался... Улыбающийся Просто Вы с упорством, достойным лучшего применения, постоянно пытаетесь заронить в читателях мысль о том, что пытаться защитить свою информацию бесполезно, потому что "великие и ужасные органы" с экспертами наперевес всё вскроют и всё узнают... Ну а я пытаюсь, по мере моих скромных сил, пролить свет на те или иные туманные высказывания про "таки-и-и-ие приборы..." Улыбающийся Ну или про пресловутые "метаданныe", кои Вы раз за разом поминаете всуе, не удосуживаясь привести примеры... Подмигивающий

Цитировать
На конкретные вопросы Вы почти не отвечаете
А зачем отвечать? Улыбающийся
Ну, хотя бы, чтобы не выглядеть совсем уж голословным... Улыбающийся

На данный момент я нигде не видел список пунктов "для подготовки системы к работе с зашифрованными ФС", в котором описаны все пункты и все их особенности, известные товарищам экспертам. Хотя бы для "голой" ОС Windows, хотя бы для защиты от утечки зашифрованных данных и метаданных, но не для обеспечения отрицаемого шифрования.
Нарабатывая в предметных дискуссиях пищу для размышлений на эту тему, мы движемся в направлении создания такого "списка". Улыбающийся

Цитировать
Могу лишь ещё раз повторить , что полностью зашифрованный TC второй хард (с рабочей вин-системой) вкупе с загрузчиком на съёмном носителе не оставляет возможностей увидеть имеющиеся следы наличия и/или работы TC на данной системе.
Вы и с этим не согласны?

Ответ дан выше. Как я уже говорил - основная трудность: не обнаружить зашифрованные данные, а связать их с конкретным ПО. Но это тоже возможно, даже в этом случае Подмигивающий


Каким образом?
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
De Nada
Посетитель
*
Офлайн Офлайн

Сообщений: 66


С любовью к ближнему


« Ответ #98 : 31 Августа 2009, 15:39:27 »

2 Igor Michailov:
Цитировать
Игры "в шпионов" заканчиваются примерно так
http://www.computer-forensics-lab.org/forum/viewtopic.php?t=489

Ну, неспособность отдельных индивидуумов надёжно сохранить пароль от своего контейнера вовсе не является основанием не пользоваться ими всем остальным. А так да, не повезло человеку...
--
Повеселил Ваш ориджин: прочитал его своим домашним - все покатились со смеху... но актуальность его не оспаривалась... Веселый
Записан

"Мысли, пришедшие вам в голову во время прочтения данного поста, обдумывать запрещается (во избежание нарушения вами авторских прав)"
KNN
Посетитель
*
Офлайн Офлайн

Сообщений: 54


С любовью к ближнему


« Ответ #99 : 09 Сентября 2009, 16:37:00 »

Подскажите - много теста, толку чуть - если сделать 10 знаковый пароль у трукриптового контейнера быстро его сломают?
Записан
Страниц: 1 ... 8 9 [10] 11 12 ... 20   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines