Взлом систем шифрования жестких дисков

Интересная инфа, вроде не постили еще
http://pustyshek.net/literature/articles/469-vzlom-sistem-shifrovan…uchey.html

Цитата:

Исследователи из Принстонского Университета обнаружили способ обхода шифрования жестких дисков, использующий свойство модулей оперативной памяти хранить информацию на протяжении короткого промежутка времени даже после прекращения подачи питания. Так как для доступа к зашифрованному жесткому диску необходимо иметь ключ, а он, разумеется, хранится в RAM – все, что нужно, это получить физический доступ к ПК на несколько минут. После перезагрузки с внешнего жесткого диска или с USB Flash делается полный дамп памяти и в течение считанных минут из него извлекается ключ доступа. Таким способом удается получить ключи шифрования (и полный доступ к жесткому диску), используемые программами BitLocker, FileVault и dm-crypt в операционных системах Windows Vista, Mac OS X и Linux, а также популярной свободно распространяемой системой шифрования жестких дисков TrueCrypt. Важность данной работы заключается в том, что не существует ни одной простой методики защиты от данного способа взлома, кроме как отключение питания на достаточное для полного стирания данных время.

Где бы найти такую статью на английском?

Года 2 назад подобное читал. Проблема одна - надо снять дамп памяти с работающего компьютера с разпороленными дисками.
Т.е. грубо говоря - не дать вам выключить компьютер в момент "всем руки за голову лицом к стене".

P.S. имхо легче не заморачиваясь залить на комп арестованного нужный контент, чем устраивать такой геморой. Или на крайняк отпиздить гаечным ключем

это про SDRAM, что про DDR 1,2,3 по этому поводу говорят?

Цитата:

это про SDRAM, что про DDR 1,2,3 по этому поводу говорят?

Что в пень, что в колоду - это оперативная память. Нет разницы от ее типа и скорости.

так это давняя инфа. если в RAM подать питание на протяжении пары десятков сек, все данные остаются это да.

но на практике когда компутеры тупо увозятся "на экспертизу", это никому не грозит. разве что специальная ультраподкованная группа захвата будет "врага народа" ловить. это очень дорого и бояться если вы не бен ладен по сути нечего.

Vyacheslav писал:

Где бы найти такую статью на английском?

оригинал здесь http://citp.princeton.edu/memory

Stek писал:

Года 2 назад подобное читал. Проблема одна - надо снять дамп памяти с работающего компьютера с разпороленными дисками. Т.е. грубо говоря - не дать вам выключить компьютер в момент "всем руки за голову лицом к стене".

как-раз таки здесь они показывают что ребут не спасет, если они сразу подключат свой девайс.

divi писал:

так это давняя инфа. если в RAM подать питание на протяжении пары десятков сек, все данные остаются это да. но на практике когда компутеры тупо увозятся "на экспертизу", это никому не грозит. разве что специальная ультраподкованная группа захвата будет "врага народа" ловить. это очень дорого и бояться если вы не бен ладен по сути нечего.

насколько я понял здесь они просто сделали софт который грузится вместо винды при ребуте и находит в памяти нужные ключи.
т.е. по идее достаточно воткнуть флешку, тыкнуть ресет, поставить в биосе загрузку с флешки и получить ключ.
ну или планку памяти достать и быстро себе переткнуть в свой комп. короче просто блокировать винду с паролем недостаточно теперь

Насколько я понимаю, никакой юридической силы инфа дернутая из памяти иметь не может.

Какую юр.силу может иметь пароль?
А вот файлы, обнаруженные при его использовании на компе подозреваемого, очень даже могут.

grozny писал:

поставить в биосе загрузку с флешки и получить ключ

кто ж на режимном объекте разрешает загрузку с флешек?

divi писал:

кто ж на режимном объекте разрешает загрузку с флешек?

Кстати, как её отключить?

Отключить в биосе, а биос на пароль.

А вообще если "уж так надо будет взять с поличным" , то ничего не помешает им это "поличное" записать вам на диск, и хрен что докажите.

Да и подумайте, сколько инфы еще у вас дома в открытом виде валяется на дисках, флешках, в историях лога провайдера и т.п.

Appeared in Proc. 17th USENIX Security Symposium (Sec ’08), San Jose, CA, July 2008.

Этой новости уже почти три года... Да есть пробел, но хрен они ключ выше чем AES 256 найдут, есть комбинированные ключи и уже многие производители потихоньку эту дыру закрывают. Проще метод паяльника

Оффтопик: смотрел какой то сериал вот, так там шифорованый диск открыли (взломали)нажатием пары клавиш

Stek писал:

Отключить в биосе, а биос на пароль.

дык проще сразу планку памяти вытащить и в свой "оперативный" комп воткнуть

Цитата:

дык проще сразу планку памяти вытащить и в свой "оперативный" комп воткнуть

Так и представляю себе оперативников, приезжающих на арест со своими десктопами , сразу с двумя, в одном DDR2 а в другом DD3

Спуститесь на землю, никто не будет никакие хайтек технологии при аресте применять, дадут в бубен - сам все расскажешь и покажешь.

Stek писал:

Так и представляю себе оперативников, приезжающих на арест со своими десктопами , сразу с двумя, в одном DDR2 а в другом DD3 Спуститесь на землю, никто не будет никакие хайтек технологии при аресте применять, дадут в бубен - сам все расскажешь и покажешь.

Сразу видно что ты не попадал в реальные проблемы.
Во-первых: есть штатное подразделение по высоким технологиям, и там далеко не тупари, хоть и в погонах - в свое время мой комп вскрывали у меня на глазах, было чему подивиться как они ловко снимали защиты.
Во-вторых, на подхвате у ментов (или как их теперь... полицаев ) непоследние хакеры, и опять же на моих глазах такой василек не без успеха ковырял компы у меня в офисе.

Вообще это опасное всеобщее заблуждение считать ментов-полицаев тупыми, не надо судить по постовым и участковым. В делах вашего/нашего профиля первым делом клиент сталкивается с операми - а это интеллектуальная элита органов: даже в РОВД это люди с 2-мя высшими образованиями, молодые, энергичные, пробивные(во всех смыслах, увы). Хотя к физ.мерам им просто нет надобности прибегать - если вы попадете к двум таким спецам на перекрестный допрос, максимум имеете шанс продержаться час, потом поплывете и сами сольете все. А длиться он может (по личному опыту) 10-20 часов, и за это время вы расскажите все, включая какие колыбельные вам в утробе пела мама. Вообще, словом можно воздействовать гораздо сильнее чем кулаком, я видел как всесильные министры после получасовой(!) энергичной беседы рыдали как дети и каялись во всем... Это страшно.

Так что снимайте розовые очки и старайтесь думать заранее как не попадать к ним в гости.

Это все хорошо, но все равно не верю, что у меня будут перетыкать планки оперативки для снятия дампа памяти. И приведенный пример с допросом, к планкам оперативки каким образом относиться ?

Просто в идеале этот самый зашифрованый диск желательно хранить отдельно от компьютера, тогда пускай снимают дамп памяти откуда угодно

В идеале тогда должно быть зашифровано все, начиная от флешек.
Надо будет заняться на выходных чисткой компакт дисков, а то там все в открытом виде

Stek писал:

Так и представляю себе оперативников, приезжающих на арест со своими десктопами , сразу с двумя, в одном DDR2 а в другом DD3 Спуститесь на землю, никто не будет никакие хайтек технологии при аресте применять, дадут в бубен - сам все расскажешь и покажешь.

тут вопрос в том, что это вполне могло войти так сказать в штатный комплект оперативников из того же отдела К.
дверь ломает спецназ, допрос ведет следователь, а комп смотрит техник, у которого вполне может быть подобный девайс.
а так конечно участковый не вытащит ДДР, но и техник дверь не сломает. неправильно думать что у ментов ничего нет, все-таки криминалистические лаборатории вполне себе живут и ездят на вызовы тоже, а там все может быть еще сложней чем в компе.

Stek писал:

Это все хорошо, но все равно не верю, что у меня будут перетыкать планки оперативки для снятия дампа памяти. И приведенный пример с допросом, к планкам оперативки каким образом относиться ?

Ты наверное невнимательно смотрел видео. Втыкается юсб девайс, жмется ресет и бутается с девайса. Дальше по горячему копируется РАМ. Все очень просто и вполне правдоподобно.

Stek писал:

И приведенный пример с допросом, к планкам оперативки каким образом относиться ?

Привет гостям слета оленеводов!
Повторю еще раз: не надо считать ментов (конкретно - оперов) тупыми, по уровню интеллекта они тут играючи заткнут за пояс любого. А тем более по грамотности своих служебных действий. Впрочем, дураки любят учиться на своих ошибках...

grozny писал:

тут вопрос в том, что это вполне могло войти так сказать в штатный комплект оперативников из того же отдела К. дверь ломает спецназ, допрос ведет следователь, а комп смотрит техник, у которого вполне может быть подобный девайс. а так конечно участковый не вытащит ДДР, но и техник дверь не сломает. неправильно думать что у ментов ничего нет, все-таки криминалистические лаборатории вполне себе живут и ездят на вызовы тоже, а там все может быть еще сложней чем в компе.

Вот от безграмотности и бывают проблемы...

1) Допрос следователь ведет только после возбуждения УД. И следователь кстати очень безобидный персонаж, я бы сказал похуистический. А первые допросы, на которых человека ломают через колено - ведут опера, это волки.

2) Никакия "криминалистические лаборатории" на задержание не ездят, если вы не племянник бинладена. В опергруппу включается сотрудник выс.тех., его с головой хватит чтоб пообщаться с вашим компом на ты

И не думайте что это бывает где-то и с кем-то другим. Если этого еще не произошло с вами - это временный недосмотр органов, а не ваша заслуга.