Pull to refresh

Comments 42

Спасибо, узнал что технологии «Oriflame» опережают Пентагон.
Сарказм понятен. Но лучшие спецы по защите работают именно там, потому что платят там больше. А в пентагоне чувствительную инфу печатают на машинке. А в орифлейм формула роста волос дороже чем список агентов в Москве.
Вышочайшего класса специалисты, это те, кто hexviewer'ом умеет пользоваться?
А потом по таким статьям будущим специалистам по ИБ читают лекции…
Эпично. Полнотекстовым сигнатурным поиском по диску «эксперты» в области стеганографии не умеют, понятно.
По поводу первого пункта: если фоток, которые мы ищем, много (или мы ищем просто большой файл :)), можно воспользоваться бесплатной софтиной Scanner — покажет на чарт-диаграмме расположение самых крупных файлов на диске.

image
UFO just landed and posted this here
UFO just landed and posted this here
Хороший вопрос — я тоже никогда не понимал, зачем многоразовая перезапись.
Думаю, это как-то связано с физическими свойствами винта — наверное, как-то можно считать предыдущее значение.
С многоразовой записью всё просто:
Существуют методы которые используются в сфере защиты информации. В том числе есть документы регулирующие то каким образом нужно стирать информацию (с диска\оперативы\и т.д.). Эти методы, в свою очередь, проходят сертификацию (NIST, NSA, нашу отечественную) и собственно берутся в оборот.
Результат: используешь такой метод и можешь смело писать что утилита использует «высокоэффективные сертифицированные методы» защиты информации) Причем зачастую используются устаревшие, но тем не менее, действующие методы.
//В том числе есть документы регулирующие то каким образом нужно стирать информацию (с диска\оперативы\и т.д.).
Это понятно — есть какие-то определенные стандарты записи/чтения.

Но вопрос чуть в другом, более низкоуровневый.
Есть диск, на нем дорожки, на дорожках данные. Данные перезаписали и забили дорожки нулями. Данные утеряны, или их можно как-то восстановить?
Вы не совсем поняли. Метод стирания дословно: Перезапись нулями + перезапись единицами + перезапись ПСП (псевдослучайной последовательностью). + в системах где это важно (носители ключевых данных например) применяются флешки с прямым доступом к памяти (без кешей и прочего).
Суть сертификации например — определить методы при которых стёртые данные будет сложно восстановить(возможности восстанавливающего, по сути, строго определены).
Да, как сказали выше, именно остаточная намагниченность.
Даже есть куча стандартов, как правильно затирать данные:
en.wikipedia.org/wiki/Data_erasure#Standards
Для себя пришел к выводу, что самый топорный и действенный способ- самодельная зашифровка файла. За 5 минут можно набросать программу, которая побайтово переберет файл, каждый байт складывает с рандомно сгенерированным байтом и на выходе отдаст зашифрованное сообщение и ключь. При этом файлы равны по объему и с точки зрения криптографии подобная шифрация совершенно невскрываема без наличия ключа и зашифрованного сообщения.

То что выше стоит делать только если надо что то зашифровать и забыть на долгое время).
Это XoR, если длина ключа меньше длины сообщения то из-за избыточности текста такую «шифровку» учат вскрывать на 3 курсе криптоанализа причем ручными средствами.
При этом файлы равны по объему

Как бы.
Сложение исходника с рандомным текстом той же длины не разшифровывается.
Исходник (открытый текст — P) XOR рандомный (вероятно имеется ввиду шифротекст — C) = ключ (k). Причем если один и тот же ключ используется несколько раз то ситуация становится еще проще. А держать на каждый файл РАЗНЫЙ ключ длинной в исходный файл это по-моему… просто смешно.
Я и не отрицаю, что способ топорный и неудобный (из за разных ключей, из за их размера, который равен исходному файлу и т.д.). Я лишь хотел сказать, что если нужно что то спрятать и на долго, что этот способ самый быстрый и надежный.
Шифр одноразового блокнота — единственный безусловно стойкий. Но ведь он неудобен — для шифрованя 1 Гб данных нужен ключ такой же длины (свой для каждого файла, при этом надо хранить соответствие ключ-файл).
с рандомно сгенерированным байтом

Где вы будете хранить этот блокнот, сгенерированный тёплым ламповым аналоговым источником шума?

Немножко промахнулся, это к посту тов. NoEscape
Где угодно. Внешне файл ключа и сообщение будут выглядеть как набор байтов. Потом эти файлы можно закидывать в файлы тяжеловесных программ и игр, с именами вроде textures.dat, sounds.dat (т.к. игроделы обычно любят придумывать свои особые архивы и разширения, которые потом хрен откроешь) Догадаться, что вместе эти 2 файла представляют что то ценное, а главное сложить их друг с другом смогут только очень немногие и только если оно действительно будет надо.
Ну теперь мы по крайней мере знаем где искать…
И главное чтобы в системе не было логирования доступа к файлам.
еще один метод в сей скорбный список сокрытия — поставить вместо винды — линупс, и привет, 95% пользователей вообще не сможет даже посмотреть, что там вообще есть.
Статья ни о чем:
1) Большая часть текста вообще не несет никакой смысловой нагрузки для ИТ-специалиста.
2) «Продвинутые» методы и их рейтинг среди описанных просто смешны — тривиально обнаруживаются специализированными forensic средствами, включая общедоступные; потоки NTFS с самого начала умеют сканировать даже антивирусы, и т.д.
3) Про шифрование и стеганографию не дано полезной информации, одни заблуждения школьного уровня.
4) Раздел «Кто может найти скрытую информацию» наполнен беспочвеными априорными суждениями на уровне «сарафанного радио» и никак не тянет на модель нарушителя.
Странно, что не упомянут примитивный способ связанный с правильной настройкой пользовательских прав и его расширенная версия в виде шифрования файлов и папок штатными средствами ОС. Для систем с несколькими локальными пользователями — это вполне актуально.
на рабочем столе с надписью: «Здесь хранятся мои секретные файлы!!!»

Точно.

И коллекцию древней порнухи туда! ;-)

UFO just landed and posted this here
Загрузка с live-образа Linux на cd. Доступ в сеть через свой 3G. Далее по вкусу — монтирование удаленной файловой системы через ssh, файлы на amazon виртуалке через прокси в голландии. Тут скорее терморектальные методы помтгут.
Ну и классический вариант, когда сервер уезжает вместе с автомобилем при проверке. Коннект через wi-fi мост метров на 300.
Тема на самом деле очень интересная.
Для того, чтобы защитить данные от прямого захвата жёсткого диска, нам необходимо их зашифровать. Для этого мы будем использовать утилиту CyberSafe.
Создадим с её помощью зашифрованный том, хранящийся в файле. Можно создать и на разделе, но, на мой взгляд, это менее удобно.
Создавать ли скрытый том? Вопрос неоднозначный. Эта фича предназначена для использования в Англии, где невыдача паролей при конфискации ПК сама по себе является преступлением. В то же время в России такой законодательной нормы нет, а использование скрытого раздела съедает полезный объём диска. Я создавать скрытый раздел не стал.

Размер раздела выберем на своё усмотрение. Лично я выбрал 50 ГБ.

Алгоритм шифрования — я выбрал AES. Во-первых, ему доверяют американские военные для защиты высших грифов секретности, а во-вторых, он аппаратно ускоряется новыми процессорами Intel и CyberSafe имеет поддержку этого ускорения.

Далее всё стандартно: придумываем сложный и длинный пароль, генерируем энтропию хаотичными движениями мыши и создаём раздел. Тип раздела обязательно должен быть NTFS, поскольку в нём будут храниться большие файлы.

Далее нам потребуется виртуальная машина. Всё, что мы оберегаем — будет храниться в ней.
Связано это с тем, что:
•работа в основной ОС оставляет в различных местах разнообразные следы;
•если основная ОС проприетарна (не буду показывать пальцем) — в ней не исключено наличие закладок;
•прикладное ПО в основной ОС тоже подпадает под предыдущее требование (вспомним PunkBuster, EULA которого позволяет сканировать жёсткий диск пользователя).

Мы будем использовать VirtualBox, но не основной дистрибутив, а портативный. Скачаем инсталлятор на заранее примонтированный шифрованный диск, запустим и скачаем поддерживаемый дистрибутив Бокса посредством самой утилиты. Далее утилита распакует его и настроит на портативность.

Создадим в Боксе машинку с двумя жёсткими дисками: одним — на 8-10 ГБ и вторым на всё оставшееся место, разумеется, расположив оба на шифрованном диске. Пройдёмся по настройкам, поставим сеть в NAT и настроим остальное по своему вкусу — особо критичного там ничего нет. Подключим образ Убунты (который, надеюсь, уже скачался) в качестве дисковода.

Запускаем машину и начинаем установку ОС. При разбиении дисков поступим примерно так: разместим на первом, маленьком, корень и своп, а на большом — /home. Все данные мы будем хранить в /home. Таким образом, разделение системы и данных происходит между разными файлами жёстких дисков Бокса. Далее всё выполняем по своему вкусу.

Установилось! Теперь начинаем настройку.

Идея заключается в том, чтобы оставить прямой доступ в сеть только двоим избранным — маршрутизаторам TOR и I2P.

Сначала ставим TOR из их собственного репозитория (в официальном версия может быть устаревшей) по инструкции с официального сайта. Потом поставим и I2P, опять же из собственного PPA-репа разработчиков — инструкция.

Обратим внимание, что TOR сам по себе предоставляет только SOCKS5-прокси, и его поддержка есть не во всех программах. Поэтому установим Polipo — свободный HTTP-прокси:
sudo apt-get install polipo

Настроим его:
sudo nano /etc/polipo/config

Добавим в него строчку:
proxyPort = 8118

Ниже раскомментируем (или подправим, если что-то не так):
socksParentProxy = «localhost:9050»
socksProxyType = socks5

Сохраним. Перезапустим Полип:
sudo service polipo restart

Теперь настроим I2P:
sudo nano /etc/default/i2p

Включим запуск в качестве демона:
RUN_DAEMON=«true»

Заодно видим в файле имя пользователя, от которого работает маршрутизатор — у меня это i2psvc
Сохраняем.
Запускаем: sudo service i2p start

Теперь узнаем пользователя, от которого работает TOR:
lsof -c tor
У меня это debian-tor.

И теперь рубим доступ в сеть всему, что не TOR и не I2P. Ещё раз — всему.
Вот готовый скрипт iptables-restore, только проверьте ещё раз имена пользователей.
Общая политика DROP, разрешён доступ всем на локалхост, I2P и TOR — во внешнюю сеть.
sudo nano /etc/iptables.up.rules

Содержимое:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A OUTPUT -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -m owner --uid-owner debian-tor -j ACCEPT
-A OUTPUT -m owner --uid-owner i2psvc -j ACCEPT
COMMIT

Откроем файл настройки сети:
sudo nano /etc/network/interfaces

Допишем команду загрузки правил:
pre-up iptables-restore < /etc/iptables.up.rules

У меня выглядит так:
auto lo
iface lo inet loopback
pre-up iptables-restore < /etc/iptables.up.rules

Поскольку управление сетью у меня идёт посредством network-manager — интерфейса eth0 в файле нет. Правила прописываются при поднятии лупбэка, но разницы нет, поскольку эти правила едины для всех интерфейсов.

Загрузим правила в iptables. Можно перезапустить сеть, но мы сделаем так:
sudo iptables-restore < /etc/iptables.up.rules

Для доступа во внешний инет лучше применять TOR, HTTP-интерфейс которого у нас на 8118 порту.
nano ~/.bashrc

Допишем в конец:
export http_proxy=«127.0.0.1:8118/»

Теперь в терминале просто
bash
При этом шелл перечитает свой конфиг. Однако apt, без которого в Убунте — как без воды (и ни туды, и ни сюды), чихать хотел на эту переменную окружения. Разъясним ему персонально внутриобъектный режим нашей крепости:
sudo nano /etc/apt/apt.conf.d/proxy

Там должно быть:
Acquire::http::Proxy «127.0.0.1:8118/»;
Сохраняем, закрываем.

Теперь осталось поставить браузер (если чем-то не нравится установленный по умолчанию ) и начинать пользоваться не очень быстрым, зато защищённым со всех сторон доступом. И повторюсь — программа внутри виртуалки может быть нашпигована хоть тысячей закладок — данные она, может, и сольёт, только они будут анонимными. Вычислить внешний IP не удастся никому.
статья информативная, но какая то пессимистичная…
а есть ли все-таки способы скрытия информации, которые вы можете порекомендовать? может быть используя какие-либо специальные утилиты?
Вначале надо осознать, что самая лучшая защита, это когда ищущий даже не догадывается о том, что что-то спрятано. Так что файл типа «financial documents.zip», будь он даже очень хорошо защищен паролями, может так сильно заинтересовать определенный круг специалистов, что его могут взломать либо, наняв специалистов, либо, поговорив с Вами так, что Вы и сами быстро вспомните пароль. Так что после архивирования документ переименовывается во что-нибудь нейтральное типа «nvidia», «sound32», «mem32», «sys32», «kbrd32» и т.п., изменяется расширение на dll и переносится в каталог Windows\System. Вы много знаете парней, которые с точностью могут сказать назначение каждой dll в Windows\System? Да туда кроме уж совсем на системе тронутых (типа меня) никто не лазит!
К сожалению, большинство архиваторов позволяют просматривать список файлов даже без знания пароля архива (насколько я знаю, только AIN не позволяет смотреть список файлов без пароля). Используйте двойную архивацию: архивируйте с паролем, затем архив вновь архивируйте с паролем — теперь никто не сможет так просто посмотреть список файлов.
Архиватор ZIP в начале архива всегда ставит «PK» как первые байты, наряду с изменением имени на DLL, поменяйте эти байты на «MZ» — теперь очень редкие программы смогут распознать этот файл как архив даже по внутренней структуре (к сожалению не все программы!).
Небольшая утилита с названием S-Tools позволяет присоединять к графическим и музыкальным файлам другие файлы. Принцип ее работы основан на возможности добавлять дополнительную информацию к некоторым файлам (GIF, BMP, WAV). При этом происходит незначительное изменение цвета или звука, которое человеческий глаз или ухо просто не в состоянии заметить. На взгляд, две картинки ничем не отличаются одна от другой, но реально, к одной «приклеен» небольшой файлик и заметить это нет никакой возможности. Конечно, таким способом вам не удастся запихнуть в небольшую картинку базу данных на пару сотен мегабайт, но небольшой архивчик спрятать вполне реально.
способ сокрытия данных подразумевает использование CLSID-идентификаторов для системных директорий Windows, о нюансах работы с которыми наше издание уже подробно рассказывало. Технология простая: создаем на рабочем столе папку, в которую помещаем секретные файлы, после чего переименовываем оную с использованием любого приглянувшегося параметра CLSID, например, {78F3955E-3B90-4184-BD14-5397C15F1EFC}. В результате директория обзаведется новым значком, и при попытке зайти в нее будет открываться окно утилиты «Счетчики и средства производительности» (Performance Information and Tools). Вряд ли кто из посторонних лиц с ходу догадается, что перед ним не обычный ярлык, а замаскированная папка с документами государственной важности. Впрочем, последние в силу уязвимости упомянутого метода (содержимое скрытой директории можно просмотреть любым отличным от проводника Windows файловым менеджером) лучше хранить в более надежных местах.
Неплохих результатов в деле сокрытия данных позволяет добиться утилита BDV DataHider, созданная коллективом разработчиков под руководством Дениса Балыкина из Житомира, что на севере Украины. Упомянутый инструментарий дает возможность не только скрывать файлы на отформатированных в FAT, FAT32 и NTFS-носителях (в том числе и портативных), но и допускает использование различных алгоритмов шифрования (Blowfish, Twofish, AES (Rijndael), Mars, Cast-256, Serpent) с 256-битным ключом для защиты маскируемых документов. Программное решение не требует инсталляции, занимает на диске всего полмегабайта и может запускаться с флеш-накопителей на любых имеющихся под рукой компьютерах под управлением Windows.
Нельзя пройти мимо способа маскировки, предполагающего практическое использование множественных (альтернативных) потоков данных в файловой системе NTFS. Звучит несколько устрашающе, однако если ознакомиться с краткой теорией, то многое встанет на свои места. Весомым преимуществом альтернативных потоков NTFS является возможность хранить в них не только текстовые, но и бинарные данные, будь то архивы, исполняемые файлы, видео и проч. К примеру, для маскировки какого-либо экзешника внутри обычного текстового файла потребуется выполнить в консоли Windows всего одну команду:

Type имя_файла.exe > имя_файла.txt: название_потока.

А для последующего запуска скрытого файла пригодится следующая инструкция:

Start имя_файла.txt: название_потока.

Аналогичным образом, путем варьирования имен потоков, выполняется сокрытие и просмотр любых других объектов. Количество и размер потоков, создаваемых в одном файле, ограничены только объемом свободного пространства на диске компьютера. Также необходимо помнить, что последние версии Windows позволяют пользователю получать сведения о множественных потоках, и поэтому данный метод засекречивания файлов следует использовать только в самых крайних случаях.
Наконец, если необходимо скрыть большие объемы информации, то справиться с этой задачей на скорую руку можно путем переноса данных на отдельный логический диск и последующего удаления закрепленной за ним буквы. Как результат, выбранный том перестанет отображаться в списке дисков и доступ к файлам будет заблокирован. Выполнить данную операцию можно посредством оснастки «Управление дисками», предварительно зарегистрировавшись в системе с правами администратора. =)
тема очень актуальна и незаурядна
Руткиты используют много методов сокрытия информации.
Да на самый край можно и при создании файла обозвать его host.dll и не париться. С одной стороны вы вроде и защитили свои файлы а с другой это обязывает запоминать место где вы его сохранили и под каким именем и расширением, что возвращает нас к вопросу об удобстве использования готового програмного обеспечения (прим. CYBERCAFE)
Only those users with full accounts are able to leave comments. Log in, please.