2
eleron: Прошу прощения, был в командировке (не то чтобы без инета, просто был занят...).
===
Я свое мнение уже высказал: невозможно оценить эффективность тех или иных мер без полного понимания всех возможных моделей угроз. Различные "мелочи" здесь вносят свой вклад, который даже "Шнайдер" не учитывает в вышеуказанной работе.
С этим сложно не согласиться...
В качестве отдаленного примера приведу отрицаемое шифрование в режиме FDE (ложная ОС + скрытая ОС), которое с легкостью обнаруживается по особенностям сетевого трафика (отсылаю к работам Федора, автора Nmap), а также по особенностям работы определенного оборудования.
По поводу Nmap...
Прежде всего - эта прога является сетевым
сканером (а не сетевым
анализатором), в силу чего НЕ может использоваться для анализа "особенностей сетевого траффика". Конечно, Nmap может помочь идентифицировать ОC, установленную на сканируемом им компе (функция определения OS fingerprint), но у этого метода есть серьёзные ограничения. Вот пример реальной работы Nmap (проделано мною в этот уикенд):
--- quote ---
Nmap 5.00
Intense scan
...
Too many fingerprints match this host to give specific OS details
...
--------------
Это я сканировал Nmap`ом комп с включенным штатным файерволом (причём не все порты на входящий траффик были заблокированы - там были исключения для нескольких сетевых служб). Очевидно, тех ответов, что получил Nmap от этого компа, было недостаточно для уверенной идентификации ОС (как Вы помните, Nmap сравнивает результаты сканирования (ответы компа) со своей базой данных "отпечатков ОС").
После этого я полностью отключил файервол компа и получил вот такой "диагноз":
--- quote ---
Running: Microsoft Windows 2000|XP|2003
OS details: Microsoft Windows 2000 SP2 - SP4, Windows XP SP2 - SP3, or Windows Server 2003 SP0 - SP2
--------------
Сейчас Nmap, по крайней мере, определил, с каким семейством ОС ему приходится иметь дело, но... с точностью "два лаптя по карте". А Вы можете определить по этому OS fingerprint - какую ОС я сканировал?
Возвращаясь к Вашему примеру... Если фейковая и настоящая ОСи на защищаемом компе будут одинаковы, то Nmap вряд ли сможет определить, кто есть ху.
Кроме того, нужно понимать, что в нормально настроенной и работающей сети заниматься таким сканированием будет хоть и не невозможно, но весьма затруднительно - есть очень много способов практически полностью исключить попадание в сеть Nmap и подобных прог (на компе организации или на стороннем - без разницы; отличие лишь в способах защиты). Излагать их здесь - значит злоупотребить терпением соресурсников, скажу лишь, что речь идёт о максимально эшелонированной обороне с ограничением возможностей пользователей по установке и запуску стороннего софта, а так же способов подключения сторонней аппаратуры к локалке предприятия.
Впрочем, заслонится от сетевого сканера можно и гораздо проще - используя файервол. Если почему-то не устраивает программный, то можно использовать и аппаратный, перед защищаемой машинкой (сейчас есть масса недорогих SOHO-решений с линухом в пузе) - тогда сетевому сканеру будет (или не будет
) отвечать OS файервола...
К сожалению, отреагировать предметными контр-аргументами на Вашу фразу
"...по особенностям работы определенного оборудования" не представляется возможным в силу её чрезмерной общести...
К счастью для вас, в документации TC случай с сетевым трафиком описан и уже выработаны методы "защиты": отключить сеть.
Как видите (выше), перхоть не обязательно лечить гильотиной...
Из всего этого вывод: ваша фраза:
Здесь же (в форуме) самые стандартные и очевидные моменты попросту не обсуждаются, акцентируясь лишь на некоторых действительно важных вопросах.
не является корректной. Для судебного эксперта некоторые моменты являются очевидными, а для сисадмина или кулхацкера - нет. На данный момент все обсуждения т.н. "утечек данных" сводились (например, в статье в вики DiskCryptor и на PGPru) к утечкам кусков памяти программ в различные места, что, ИМХО, является наименее опасной утечкой из всех утечек
Круг действительно важных вопросов в вашем понимании расширился? Аналогично и с различными особенностями, например, метаданными
В
моём понимании он и не сужался...
Просто Вы с упорством, достойным лучшего применения, постоянно пытаетесь заронить в читателях мысль о том, что пытаться защитить свою информацию бесполезно, потому что "великие и ужасные органы" с экспертами наперевес всё вскроют и всё узнают... Ну а я пытаюсь, по мере моих скромных сил, пролить свет на те или иные туманные высказывания про "таки-и-и-ие приборы..."
Ну или про пресловутые "метаданныe", кои Вы раз за разом поминаете всуе, не удосуживаясь привести примеры...
На конкретные вопросы Вы почти не отвечаете
А зачем отвечать?
Ну, хотя бы, чтобы не выглядеть совсем уж голословным...
На данный момент я нигде не видел список пунктов "для подготовки системы к работе с зашифрованными ФС", в котором описаны все пункты и все их особенности, известные товарищам экспертам. Хотя бы для "голой" ОС Windows, хотя бы для защиты от утечки зашифрованных данных и метаданных, но не для обеспечения отрицаемого шифрования.
Нарабатывая в предметных дискуссиях пищу для размышлений на эту тему, мы движемся в направлении создания такого "списка".
Могу лишь ещё раз повторить , что полностью зашифрованный TC второй хард (с рабочей вин-системой) вкупе с загрузчиком на съёмном носителе не оставляет возможностей увидеть имеющиеся следы наличия и/или работы TC на данной системе.
Вы и с этим не согласны?
Ответ дан выше. Как я уже говорил - основная трудность: не обнаружить зашифрованные данные, а связать их с конкретным ПО. Но это тоже возможно, даже в этом случае
Каким образом?
