Comments 42
Единственный способ сохранить коммерческую информацию в РФ — сервера в другой стране, вне юрисдикции органов РФ.
Ествественно должна быть возможно обрубить канал (экстренная смена паролей) у нескольких лиц в компании, чтобы сисадмина было бессмысленно пытать паяльником =)
Ествественно должна быть возможно обрубить канал (экстренная смена паролей) у нескольких лиц в компании, чтобы сисадмина было бессмысленно пытать паяльником =)
Здесь я постарался описать способ не надежного сохранения коммерческой информации, а дополнительную защиту специалиста от пыток паяльником, которую можно применять как дополнение к серверам в другой стране.
Например, у компании есть белая бухгалтерия, серая и черная.
Белую можно показать всем подряд, за серую — оштрафуют на пару сотен тысяч, а найдя черную — посадят на 10 лет.
В результате мы при первом запросе — показываем белую, а если начнут копать, угрожать и заставлять показать что-то больше — показываем им серую, они на радостях выписывают штрафы и успокаиваются.
В результате отделываемся только штрафом, никого не сажают и черная бухгалтерия остаётся при себе, никем не обнюханная.
Например, у компании есть белая бухгалтерия, серая и черная.
Белую можно показать всем подряд, за серую — оштрафуют на пару сотен тысяч, а найдя черную — посадят на 10 лет.
В результате мы при первом запросе — показываем белую, а если начнут копать, угрожать и заставлять показать что-то больше — показываем им серую, они на радостях выписывают штрафы и успокаиваются.
В результате отделываемся только штрафом, никого не сажают и черная бухгалтерия остаётся при себе, никем не обнюханная.
От паяльника защиты не бывает. После хорошего прогрева, вы вспомните не только пароль он этого «скрытого» контейнера, но и все пароли за всю вашу жизнь, даже те которые считали безнадежно забытыми. Вариант сверху только для «доброй» проверки, в которой и диски изымать не будут, и пароли спрашивать не станут, просто в кабинет ГД зайдут и выйдут.
Я не предлагаю стопроцентную защиту, а просто описал дополнительный кусок фанеры с голограммой задницы, для увеличения шанса защиты своей настоящей задницы от паяльника. В итоге многие «радиолюбители» могут посмотреть на эту фанеру, увидеть в ней настоящую задницу и, успокоившись от красивого вида, перестать вести дальнейшие раскопки…
Главное, чтобы органы при этом не особо представляли что ищут, иначе могут не купиться на подложный вариант. Но в принципе, создать некую матрешку и в случае наступления «часа Х» аккуратно раскрывать ее, давая в начале не совсем легальные, но и не особо наказуемые данные.
А как на счет обследования на полиграфе? Это все-таки не так грубо и вполне законно в отличие от всеми любимого паяльника…
А как на счет обследования на полиграфе? Это все-таки не так грубо и вполне законно в отличие от всеми любимого паяльника…
ну я думаю с полиграфом особых проблем не будет — если спросят прячете ли вы чтото в ответ сдаем первый уровень матрешки и это будет правдой… Но конечно все зависит от каверзности вопросов.
Но вообщем описаный способ бесполезен, он не спасет от паяльника — хотя и может защитить какието данные. Только вот вопрос что лучше: отсидеть 5-10 лет или на всю жизнь остатся инвалидом…
Ну и не забываем особенности «нашей» страны — если к вам пришли, значит вы комуто мешаете(с вероятностью 90%) и хочешь не хочешь даже без применения паяльника а прийдется искать обходные пути решения проблемы. честным способом выкрутится шансов мало.
Но вообщем описаный способ бесполезен, он не спасет от паяльника — хотя и может защитить какието данные. Только вот вопрос что лучше: отсидеть 5-10 лет или на всю жизнь остатся инвалидом…
Ну и не забываем особенности «нашей» страны — если к вам пришли, значит вы комуто мешаете(с вероятностью 90%) и хочешь не хочешь даже без применения паяльника а прийдется искать обходные пути решения проблемы. честным способом выкрутится шансов мало.
Если кто-то настучал что у вас стоит сервер и вы при его загрузке вводите длинный пароль, значит что-то нехорошее скрываете. К вам пришло маски-шоу, вытрясло из вас пароль, нашло действительно что-то нехорошее, но не критичное для вас, отдрючило слегка за это и успокоилось. В результате и вы не инвалид, а получили только пару синяков, и у них больше к вам вопросов нет. Чем не полезный способ?
поймите очень редко приходят для того чтобы чтото поискать просто так. если к вам пришли то либо за конкретной инфой о которой знают что она у вас есть, либо приходят чтобы вас в любом случае «наказать» — тогда им абсолютно пофиг что вы там скрываете, запишут сами компромат да и все.
просто я хоть и писал свою статью о шифровании, но я просто знаю точно что человек которому я шифровал сервер отмажется в любом случае — шифрование выступает доп. слоем защиты — для упрощения отмазывания. но полной защиты в снг вы не получите никак к сожалению
просто я хоть и писал свою статью о шифровании, но я просто знаю точно что человек которому я шифровал сервер отмажется в любом случае — шифрование выступает доп. слоем защиты — для упрощения отмазывания. но полной защиты в снг вы не получите никак к сожалению
«я думаю с полиграфом особых проблем не будет»
А как насчёт вопроса «используете ли вы скрытые тома в Truecrypt?»
А как насчёт вопроса «используете ли вы скрытые тома в Truecrypt?»
Как это было наивно 13 лет назад
Бугага. Мало того, что этот метод упрошенная версия прошлого, так он еще и в разы хуже
Этот метод — не упрощенная версия прошлого и никак не замена ему, а дополнительный способ, который может применяться в том числе и к прошлому как дополнительная защита.
тот же самый метод — скрытый шифрованный раздел. ну еще в добавок фальшивый контейнер.
Если у тебя есть скрипт, подключающий при загрузке сервака шифрованный диск со скрытого раздела и запрашивающий пароль, то по-любому люди в масках попросят тебя ввести этот пароль. И в твоём случае — тебе придётся ввести пароль и открыть все данные, а в моём — ввести без палева первый пароль и показать только первый уровень матрешки.
ну в предыдущих статьях ведь были рассмотрены методы без ввода «первого» пароля — загрузка с флешки-ключа и загрузка с удаленного сервера-ключа, вам просто нужно убрать флешку/сервер после того как комп включили и нажать ресет в случае прихода маскишоу. Там получат просто нерабочий комп и только при намеренном анализе(который на месте проводить не будут) они смогут обнаружить шифрованый раздел(из под винды скорее всего даже не обнаружат)
>тот же самый метод — скрытый шифрованный раздел. ну еще в добавок фальшивый контейнер.
что из этого вы не поняли? тот же самый метод, но с дополнительной защитой от дурака.
что из этого вы не поняли? тот же самый метод, но с дополнительной защитой от дурака.
UFO just landed and posted this here
«Терморектальная расшифровка» новый термин в моем лексиконе.
Есть более устоявшееся выражение
www.google.com/search?q=терморектальный криптоанализ
www.google.com/search?q=терморектальный криптоанализ
М… Почему-то все защитники от терморекталистики полагают, что операторы терморектального оборудования будут искать ШИФРОВАННЫЙ ДИСК. Нет, они будут требовать, например, уставные документы. Или сертификат для вебманей или [впишите сюда то, что в вашей жизни может быть интересно оператором терморектальнодоильного цеха]. Люди не будут требовать «покажи нам содержимое вот того шифрованного диска». Они будут требовать то, что им нужно.
А дальше это исключительно вопрос личных эстетических предпочтений — быть до последнего коммунистом или избежать глубокого прожаривания.
А дальше это исключительно вопрос личных эстетических предпочтений — быть до последнего коммунистом или избежать глубокого прожаривания.
полностью согласен, «Товарищи» приходя к вам знают что у вас на руках есть счета от крупных капиталовложений, и им глубоко н… ть где вы храните эти цифирки) они просто скажут надо и все.
Пожалуй, добавлю, что в большинстве случаев, достаточно будет… эм… изолировать клиента, не применяя специфических спец-средств. За решеткой человек становится просто невероятно мега-сговорчивым…
# а ещё так можно отжать бизнес #
# а ещё так можно отжать бизнес #
Ну так как раз им можно будет дать уставные документы или сертификат от других вёбманей, расположенный как бы в надёжном месте на первом уровне матрешки. И сказать что всё, больше нету. Они весь сервер перероют и не найдут больше зашифрованных данных, всё что они нашли — вы им дали пароли и показали. И успокоятся.
Случаи, конечно, бывают разные, но в части из них такой способ должен помочь.
Случаи, конечно, бывают разные, но в части из них такой способ должен помочь.
Ну, давай сфокусируемся на более понятном и объективно ощущаемом «сертификате WM». Итак, есть задача: выбить из лоха те $50k, которые тот по неосторожности засветил.
Терморектальный прогон №1. Лох выдаёт пароль. Сертификат. Там $10. Не хватает $49.990.
Терморектальный прогон №2. Лох резко вспоминает про криптоконтейнер третьего уровня, пароль от давно забытого кошелька яндекс-деньги с 15р остатка, про нычку в ванной на 2 т.р. и даже девическую фамилию первой хозяйки мопса, фигурирующей в контрольном вопросе.
Терморектальный прогон №1. Лох выдаёт пароль. Сертификат. Там $10. Не хватает $49.990.
Терморектальный прогон №2. Лох резко вспоминает про криптоконтейнер третьего уровня, пароль от давно забытого кошелька яндекс-деньги с 15р остатка, про нычку в ванной на 2 т.р. и даже девическую фамилию первой хозяйки мопса, фигурирующей в контрольном вопросе.
Опять же повторюсь, случаи бывают разные и я не предлагаю панацею для всего, а всего лишь вариант дополнительной защиты данных в отдельно взятых заранее продуманных случаях.
В описанном случае терморектальный криптопрогон может выбить $50k с лоха и безо всяких сертификатов WM, заставив его продать машину, квартиру и всё что попадётся под руки.
Рассмотрим другой случай: человек засветился перед нехорошими дядями что имеет какое-то бабло на WM-кошельке, злоумышленники думают что там миллионы, но точную цифру не знают. Приходят к нему, начинают впаивать ему конденсаторы, тот отдаёт им первый сертификат и всё накопленное на первом кошельке. Они проверяют что действительно он всё отдал, только были на кошельке не миллионы, а только тысяча баксов. Ну с него значит взять больше нечего, уходят. В результате человек остался не у разбитого корыта, а с хоть каким-то баблом, да и задница отделалась лёгкими потерями.
В описанном случае терморектальный криптопрогон может выбить $50k с лоха и безо всяких сертификатов WM, заставив его продать машину, квартиру и всё что попадётся под руки.
Рассмотрим другой случай: человек засветился перед нехорошими дядями что имеет какое-то бабло на WM-кошельке, злоумышленники думают что там миллионы, но точную цифру не знают. Приходят к нему, начинают впаивать ему конденсаторы, тот отдаёт им первый сертификат и всё накопленное на первом кошельке. Они проверяют что действительно он всё отдал, только были на кошельке не миллионы, а только тысяча баксов. Ну с него значит взять больше нечего, уходят. В результате человек остался не у разбитого корыта, а с хоть каким-то баблом, да и задница отделалась лёгкими потерями.
Ты бандит. Ты пришёл к лоху.
Терморектальный прогон №1: Лох показывает килобакс.
а) Ну с него значит взять больше нечего, уходим?
б) А может ещё 15 минут с паяльничком, может он ещё что-то заныкал?
С учётом, что преступление уже было совершено, а 15 минут ничего не поменяют в степени тяжести, то выбор «а» — выглядит глупо.
Терморектальный прогон №1: Лох показывает килобакс.
а) Ну с него значит взять больше нечего, уходим?
б) А может ещё 15 минут с паяльничком, может он ещё что-то заныкал?
С учётом, что преступление уже было совершено, а 15 минут ничего не поменяют в степени тяжести, то выбор «а» — выглядит глупо.
Выдать данные невозможно только в том случае, когда ты про них не знаешь, все остальное, если маски-шоу знает что искать они выспросят.
ИМХО, для ведения таких дел, лучше иметь подручное ООО «Вектор» зарегистрированное где-нть подальше и никак впрямую не связанное с деятельностью основной фирмы, а тем более её сотрудниками.
ИМХО, для ведения таких дел, лучше иметь подручное ООО «Вектор» зарегистрированное где-нть подальше и никак впрямую не связанное с деятельностью основной фирмы, а тем более её сотрудниками.
Тебе с этим ООО «Вектор» придётся как-то работать, хранить где-то номера счетов, какие-то документы, переписку. Как раз скрытый диск для этого и можно использовать.
И если какой-нибудь ОБЭП изымет сервер, найдёт подключаемый шифрованный диск, то ты скажешь — это данные и переписка с компанией моего брата, ООО «Мегавектор», вот держите первый пароль, смотрите — всё только про него там, никаких других ООО не упоминается. А зашифровал — для того чтобы мой админ не совал нос в чужие дела.
И если какой-нибудь ОБЭП изымет сервер, найдёт подключаемый шифрованный диск, то ты скажешь — это данные и переписка с компанией моего брата, ООО «Мегавектор», вот держите первый пароль, смотрите — всё только про него там, никаких других ООО не упоминается. А зашифровал — для того чтобы мой админ не совал нос в чужие дела.
Не совсем понятно, что мешает, если уж найшли .img файл среди остальных, найти внутри него еще один .img файл.
Да и что-то гложут сомнения, по поводу того, что в самой программе не остается никаких записей о подключении второго диска. Или в самой системе — какие-то несуществующие ссылки, recent линки и тд.
Да и что-то гложут сомнения, по поводу того, что в самой программе не остается никаких записей о подключении второго диска. Или в самой системе — какие-то несуществующие ссылки, recent линки и тд.
В том-то и дело что второй диск делается таким образом, что никаких следов от него не остаётся, он выглядит как просто набор случайных данных, которые превращаются в структуру диска только при попытке расшифровки правильным паролем, если пароль неверный — то даже сам автор программы не может сказать есть ли в этом диске ещё скрытый шифрованный либо его нет.
И командой подключается второй диск одной и той же как и первой:
$ truecrypt /var/backups/data.img /mnt/backups
Просто если вводишь первый пароль — открывается первый диск, если второй пароль — второй диск.
А названия папок и файлов в обоих дисках можно сделать одинаковые:
/data/wmcertificate.crt — на первом диске ключ от фиктивного кошелька, на втором — от настоящего. И т.п.
И командой подключается второй диск одной и той же как и первой:
$ truecrypt /var/backups/data.img /mnt/backups
Просто если вводишь первый пароль — открывается первый диск, если второй пароль — второй диск.
А названия папок и файлов в обоих дисках можно сделать одинаковые:
/data/wmcertificate.crt — на первом диске ключ от фиктивного кошелька, на втором — от настоящего. И т.п.
TrueCrypt давно умеет делать это. 2 пароля, открывающие 2 разных раздела одного криптоконтейнера. Причем с защитой от проверки размерности раздела. Это называется двухуровневое правдоподобное отрицание наличия зашифрованных данных =)
Об этом как раз и идёт речь в статье, написал я её чтобы люди знали о таком функционале.
Просто многие даже не знают о такой возможности, поэтому и не продумывают как ей можно воспользоваться. А в итоге опять разгорелся спор что от паяльника ничего не защитит.
Плюс многие не верят что наличие второго контейнера нельзя обнаружить без знания второго пароля.
Просто многие даже не знают о такой возможности, поэтому и не продумывают как ей можно воспользоваться. А в итоге опять разгорелся спор что от паяльника ничего не защитит.
Плюс многие не верят что наличие второго контейнера нельзя обнаружить без знания второго пароля.
termorect.narod.ru/ — ПрофессиоАналы!
UFO just landed and posted this here
Cryptic Disk тоже умеет создавать скрытые шифрованные диски, с той же целью. Фишка в том, что Cryptic Disk умеет их делать нескольких уровней вложенности, т.е. внутри скрытого шифрованного диска можно создать ещё один скрытый. Типа матрёшки получается.
UFO just landed and posted this here
Sign up to leave a comment.
Скрытый шифрованный диск с защитой от терморектальной расшифровки