• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Терморектальный криптоанализ - и контрмеры

Xeda666

New member
12.01.2020
2
0
BIT
0
Приветствую всех [Автор я - тема копипаст с другого борда.] Рекламировать его не буду. WarTech Cr1me | Xeda666 мои ники, которые могут фигурировать в публикации разных Авторских статей.

Так же, хочу уточнить - Орфографией не блещщу, извините, кто выцарапал глаза)

Многие переоценивают возможности систем шифрования данных и преимущества, которые они дают. Начитавшись рекламных фраз типа "Тройное шифрование" или "Вход по пяти паролям" они наивно полагают, что теперь их данные в безопасности. Забывая о том, что самый простой и эффективный способ узнать пароль - это сделать так, что бы тот, кто знает этот пароль назвал его.

Причем это прямым текстом написано даже в книге Федотова Н.Н. - Форензика - компьютерная криминалистика. Автор там совершенно неоднозначно пишет о том, что пробовать взломать современные алгоритмы шифрования чаще всего не стоит даже пытаться, а так же о том, что все успешные дела, где были расшифрованны данные - стали успешными благодаря искуссному обману или банальному запугиваню подозреваемого, а не благодаря инструментам для взлома шифрованных данных. А Форензика так то - один из учебников для ВУЗов МВД, по ней учатся ментеныши.

Дак вот. Если отбросить все херню и реально посмотреть на вещи, то станет очевидно, что шифрование имеет смысл лишь тогда, когда есть риск что твой носитель попадет в руки к вероятному противнику, а ты при этом избежишь попадания в плен. В такой ситуации действительно, при стойком к брутфорсу пароле данные вряд ли удасться расшифровать. Несмотря на колоссальный прогресс в развитии технологий создания процессоров для видеокарт, которые сейчас повсеместно используются для простой калькуляции математических операций (например майнинг фермы), а не по прямому назначению, брутфорс зашифрованных файловых систем попрежнему практически нерешаемая задача, из за крайне низкой скорости перебора. Причина тому - сам нелийнейный алгоритм, которые проектировался с учетом противодействия прямому перебору.

Однако это прекрасно известно и вероятному противнику. А посему, для получения расшифрованных данных у него есть два варианта развития событий:

1. Заставить подозреваемого расшифровать данные (назвать пароль)

2. Получить доступ к данным, когда он уже расшифрованны (захватить включенный компьютер с разлоченными носителями в процессе работы).

Изучая описания громких деанонов в торе, я с удивлением обнаружил, что оба способа вполне себе реально используются. И вот вам конкретные примеры:

Росс Ульбрихт, создатель нашумевшей площадки Silk Road - прощёлкал ебалом в библиотеке, в результате чего у него вырвали включенный ноут с залогиненым аккаунтом админа форума. Так мало того, что он не предусмотрел варианта аварийного выключения помимо закрытия крышки ноутбука, он так же и не предусмотрел защиту от всяческих девайсов, которые состоят на вооружении у экспертов вероятного противника, в частности джигглеров - устройств, которые предназначены для имитации движений мышкой - они шевелят курсор как окаянные, не давая сработать скринлоку - блокировке экрана.

Недавно был захвачен в плен еще один из админов похожего форума. Там оперативники провернули просто наихитрейшую спецоперацию. Один из сотрудников зарегистрироваля на форуме и выбрал роль "хакера" - технического эксперта. Долго втирался в доверие к администрации, давал советы форумчанам. А когда настало время, запустил админу "дезу" - дезинформацию. Дескать он обнаружил серьезную уязвимость в коде форума и описал ее.

Наивный администратор тут же кинулся проверять эту информацию, не подозревая, что через окно за ним ведет наблюдение снайпер. Глядя в мощную оптику он сначала убедился, что админ включил компьютер и зашел на форум. А потом, я так подозреваю, от тупо мониторил до тех пор, пока подозреваемый не пошел на кухню за "пефком" или же, пардон, посрать.

В этот самый момент он дал отмашку и штурмовики из айнзац коммандос GSG 9, которая промежду прочим в прямом подчинении не какого нибудь там фуцина типа подполковника, а самого Министра Внутренних Дел Всея Немеции продемонстрировали практическое применение такой тактики как скоростной штурм - взяв контроль над помещением / в плен подозреваемого / работающий компьютер в качестве трофея за считанные секунды.

Аналогичным же образом был захвачен работающий компьютер другого долбоёба - админа педофорума TLZ - The Love Zone, более известного под псевдонимом "skee". Ноут загруженный с внешнего жесткого диска в работающем состоянии достался оперативникам после удачного штурма квартиры, где проживал долбоёб.

Это примеры захвата работающей техники. Что же касается примеров принуждения к выдаче информации, думаю они излишни. К сожалению, "человечество" изобрело слишком много способов, как получить информацию от существа, способного чувствовать боль и испытывать страх.

Так же малоэффективны и традиционные системы уничтожения данных. Все они расчитаны на то, что оператор системы имеет доступ к этой самой системе. И может их активировать. Но противник тоже не долбоеб, и не будет звонить тебе в дверь со словами "Откройте, полиция", понимая, что ты будешь иметь время на уничтожение цифровых улик. Так что скорее всего он спланирует задержание возле твоего подъезда, или же возле места, которое ты часто посещаешь. Поскольку при тебе не будет ни ноутбука, ни системы, равно как времени среагировать, то уничтожить данные ты не сможешь, и есть неплохие шансы конфисковать носитель в процессе последующего обыска.

Таким образом становится очевидно, что шифрование и традиционные способы уничтожения данных не способно защитить тебя, если ты попадешь в плен вместе с зашифрованными данными. Никто даже не будет пытаться их взломать, когда можно поломать тебя. Как же защитить себя от выдачи пароля при попадании в плен? Ниже я опишу несколько способов таких защит.

1. Незнание пароля.

Самый простой но довольно эффективный способ - не знать пароль вовсе. Например, записать его на маленьком клочке бумаги, и вводить, читая пароль с него. Бумажку можно носить с собой и при опасности тупо сожрать. Таким образом ты сделаешь приминение пыток против тебя беспонтовой затеей - даже конфисковав носитель противник не сможет добраться до данных ни при каких обстоятельствах.

Более эффективный вариант - помнить половину пароля, а половину записать на бумажке. Так ты защитишься на случай утери носителя вместе с бумажной - пароля записанного на ней будет недостаточно для расшифровки данных, так как вторая половина у тебя в голове. Но и пытки по прежнему будут неэффективны, если ты успеешь уничтожить бумажку - так как ты помнишь только половину пароля.

2. Уничтожение ячеек с ключами шифрования.

Более технологичный способ - сделать систему поврежденной самостоятельно, и "ремонтировать" ее для рабочих сеансов. Например по следующей схеме:

Сначала нужно сделать бэкап этих самых ячеек

Код:
Код:
sudo cryptsetup luksHeaderBackup /dev/sda5 --header-backup-file backup.header

После этой процедуры в домашней папке появится файл размером 2 Мб - это и есть забекапленные ячейки шифрования. Их нужно перекинуть на какой нибудь съемный носитель, например микросд карточку. А можно в запароленом архиве закинуть на хостинг со сроком хранения 1-2 дня.

Теперь нужно в системе сделать кнопку, которая будет выполнять команду:


Код:
Код:
sudo cryptsetup erase /dev/sda5

Перед выключением машины можно будет уничтожать ячейки с ключами шифрования, делая данные неизвлекаемыми. ПРи этом бекап этих ячеек можно носить с собой на карточке и в форс мажорной ситуации ее тупо разломить зубами или пальцами. В случае же с хостингом - достаточно лишь просохатить сроки в течение которых файл можно будет скачать - то есть продержаться какое то время, после чего бэкап будет безвозвратно потерян.

Еще один из вариантов - носить этот файл на смартфоне, с настроенной системой уничтожения шифрованного раздела /data, которая срабатывает при любом неверном вводе пинкода (но это возможно провернуть далеко не на всех трубках в данный момент).

Такими способами можно решить дилему - носитель с данными нельзя выносить из дома, но при этом для его уничтожения нужен физический доступ к нему. И в случае задержания на улице высоки риски что носитель в исправном состоянии попадет к противнику в процессе обыска, и тогда велика вероятность что к вам применят техники "форсированного допроса". Если же хранить бэкап ячеек с ключами шифрования отдельно от носителя, то есть неплохие шансы избежать насилия - достаточно лишь показать противнику что оно бесполезно так как все ячейки уничтожены и вы не в состоянии открыть шифрованный раздел.
 

f22

Codeby Academy
Gold Team
05.05.2019
1 844
225
BIT
1 121
Статья неплохая, некоторые моменты были интересны.
Конечно, методы защиты довольно странные.
Если речь идёт о какой-то "бумажке", то она априори должна лежать рядом с рабочим местом, доступ к которому может быть отрезан сразу. Так что смысла в ней не очень много.

Из того, что приходилось слышать мне, так это создание honeypot'ов в системе для тех, кто не должен ею пользоваться.

Например:
1. Со случайной периодичностью задавать пользователю какой-то "обычный" вопрос, вроде введите минуту или час. Посторонний станет вводить правильное текущее время,а нужно будет вводить время +3 или -5, но в случае неверного ответа, говорить, что всё правильно. Как-то так.

2. Изменить названия команд, которыми довольно часто используются для копирования или поиска информации.
К ним можно отнести cat, ls, find, echo. Заменив их, например, на cat1, ls2, find3, echo4.
Отслеживать количество запусков оригинальных команд. Если количество превысит какой-то лимит, значит, за компьютером посторонние - rm -rf *

О таким ханипотах нужно помнить, держать себя постоянно под контролем, но таковы уж издержки подобных дел.
Всё это, конечно же, должно писаться самостоятельно, но, раз необходимость есть, можно и постараться.

P.S.
В интернете несколько лет назад мелькала информация о каком-то южноамериканском бизнесмене, которого схватили или ЦРУшники, или местные архаровцы. Но получить от него код шифрования дисков так и не смогли, выпустили ли его или нет сейчас не помню. Но там терморектальный криптоанализатор не помог. Хотя это скорее исключение из правил.
Может кто-то помнит эту историю?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!