Скрытый шифрованный диск с защитой от терморектальной расшифровки

    В последнее время в блоге "Информационная безопасность" проскакивало несколько топиков про способы шифрования данных для защиты от маски-шоу. Но все эти способы, исходя из бурных обсуждений в комментариях, не проходят проверку паяльником.

    Поэтому я хочу предложить свой способ защиты данных от особо интересующихся лиц в масках — шифрование данных на скрытом диске, который имеет дополнительный уровень в защите от паяльника.

    Пока такую возможность нашёл только в программе truecrypt (opensource, win/linux/mac) — "hidden volume", поэтому буду рассказывать на её примере. Хотя возможно и в других шифровальшиках есть что-то подобное.

    Работает это следующим образом:
    1. Создаётся файл с шифрованным диском, который шифруется первым паролем, например data.img, подключается как диск.
    2. На этот диск записываются какие-либо полу-палевные данные, которые после долгих уговоров в случае угрозы применения паяльника можно и показать недоброжелателям, набрав этот первый пароль. Ну т.е. чтобы они были похожи на данные, которые действительно вы хотели скрыть от глаз владельцев паяльника, но на самом деле не особо страшно если они их найдут.
      Этими данными нужно забить не весь диск под завязку, а только часть, оставив свободное место.
    3. Поверх оставшегося свободного места от данных первого диска в файле data.img создается ещё один диск, который шифруется вторым паролем. На этот диск уже записываются самые ценные данные, которые нельзя показывать даже после прямого контакта с паяльником.
    В результате мы получаем один файл с двумя зашифрованными дисками.

    Итого всё получившееся выглядит примерно так: image

    Используя первый пароль, мы получаем доступ только к первому диску, а о наличии второго диска, как заявляют разработчики truecrypt (сам глубоко не вникал в тему, доверился их словам), никаким образом узнать нельзя, не зная второй пароль.

    А, соответственно, зная второй пароль, можно без особых проблем получить доступ ко второму диску с основными данными.

    Также в программе предусмотрен режим подключения первого диска с защитой от порчи данных второго диска (в этом случае спрашиваются оба пароля), иначе при записи на с первый диск в обычном режиме можно попортить данные второго скрытого диска.

    Всё это делается с помощью GUI-интерфейса программы, особых сложностей в настройках вызвать не должно. Также поддерживается работа в консольном режиме, что позволяет работать с этими дисками через скрипты.
    image
    image

    Итого, если к нам пришли маски-шоу, план действий следующий:
    1. Мы отдаём пришедшим специалистам на тщательное прощупывание свой сервер.
    2. Они находят на нём подозрительно большой файл, начинают приставать к нам с вопросами.
    3. Мы сначала отнекиваемся, говорим что это просто своп, бекапы, архив с проном, или ещё что-то, вобщем ломаем комедию.
    4. После того, как от них начинают сыпаться серьёзные угрозы, всё же что это признаемся шифрованный диск с данными, со слезами и соплями сообщаем им первый пароль.
    5. Они радуются, подключают с помощью этого пароля первый диск, получают данные, находят в них что-то неособо страшное, слегка дрючат вас за это и отпускают.
    В итоге и волки сыты (они всё же заставили вас вскрыть шифрованный диск и нашли за что отдрючить, даже не догадываясь что за этим есть ещё что-то) и овцы целы (вы не показали им наиболее ценные данные и они даже не пытались у вас их вытрясти с применением паяльника, т.е. обделались лёгким испугом).

    UPD: Я не предлагаю способ стопроцентной защиты от паяльника и решение всех проблем, я просто описал дополнительную возможность защитить свои данные вторым уровнем секретности, который со стороны никак не заметен даже после тщательного поиска.

    И если недоброжелатели не догадываются о существовании у вас второго скрытого диска, то по внешним признакам никак не заметят его присутствие и, соответственно, не будут тратить лишнюю электроэнергию на паяльник. А уж как сделать так чтобы они об этом не догадались — задача для каждого индивидуальная, с применением смекалки и творчества.

    И этот способ более надежен, чем рабочий сервер в фирме с якобы пустым винчестером без разделов (со скрытыми шифрованными разделами), который сразу вызовет подозрение. А тут файл вызвал подозрение, мы его расшифровали первым паролем, показали все данные и успокоились, подозрения что в этом же файле может быть ещё один шифрованный диск маловероятно что появятся без прямой наводки.
    Share post

    Comments 41

      +2
      Единственный способ сохранить коммерческую информацию в РФ — сервера в другой стране, вне юрисдикции органов РФ.

      Ествественно должна быть возможно обрубить канал (экстренная смена паролей) у нескольких лиц в компании, чтобы сисадмина было бессмысленно пытать паяльником =)
        0
        Здесь я постарался описать способ не надежного сохранения коммерческой информации, а дополнительную защиту специалиста от пыток паяльником, которую можно применять как дополнение к серверам в другой стране.

        Например, у компании есть белая бухгалтерия, серая и черная.
        Белую можно показать всем подряд, за серую — оштрафуют на пару сотен тысяч, а найдя черную — посадят на 10 лет.

        В результате мы при первом запросе — показываем белую, а если начнут копать, угрожать и заставлять показать что-то больше — показываем им серую, они на радостях выписывают штрафы и успокаиваются.

        В результате отделываемся только штрафом, никого не сажают и черная бухгалтерия остаётся при себе, никем не обнюханная.
          +4
          От паяльника защиты не бывает. После хорошего прогрева, вы вспомните не только пароль он этого «скрытого» контейнера, но и все пароли за всю вашу жизнь, даже те которые считали безнадежно забытыми. Вариант сверху только для «доброй» проверки, в которой и диски изымать не будут, и пароли спрашивать не станут, просто в кабинет ГД зайдут и выйдут.
            +1
            Я не предлагаю стопроцентную защиту, а просто описал дополнительный кусок фанеры с голограммой задницы, для увеличения шанса защиты своей настоящей задницы от паяльника. В итоге многие «радиолюбители» могут посмотреть на эту фанеру, увидеть в ней настоящую задницу и, успокоившись от красивого вида, перестать вести дальнейшие раскопки…
            +1
            Главное, чтобы органы при этом не особо представляли что ищут, иначе могут не купиться на подложный вариант. Но в принципе, создать некую матрешку и в случае наступления «часа Х» аккуратно раскрывать ее, давая в начале не совсем легальные, но и не особо наказуемые данные.

            А как на счет обследования на полиграфе? Это все-таки не так грубо и вполне законно в отличие от всеми любимого паяльника…
              –1
              ну я думаю с полиграфом особых проблем не будет — если спросят прячете ли вы чтото в ответ сдаем первый уровень матрешки и это будет правдой… Но конечно все зависит от каверзности вопросов.

              Но вообщем описаный способ бесполезен, он не спасет от паяльника — хотя и может защитить какието данные. Только вот вопрос что лучше: отсидеть 5-10 лет или на всю жизнь остатся инвалидом…

              Ну и не забываем особенности «нашей» страны — если к вам пришли, значит вы комуто мешаете(с вероятностью 90%) и хочешь не хочешь даже без применения паяльника а прийдется искать обходные пути решения проблемы. честным способом выкрутится шансов мало.
                0
                Если кто-то настучал что у вас стоит сервер и вы при его загрузке вводите длинный пароль, значит что-то нехорошее скрываете. К вам пришло маски-шоу, вытрясло из вас пароль, нашло действительно что-то нехорошее, но не критичное для вас, отдрючило слегка за это и успокоилось. В результате и вы не инвалид, а получили только пару синяков, и у них больше к вам вопросов нет. Чем не полезный способ?
                  +1
                  поймите очень редко приходят для того чтобы чтото поискать просто так. если к вам пришли то либо за конкретной инфой о которой знают что она у вас есть, либо приходят чтобы вас в любом случае «наказать» — тогда им абсолютно пофиг что вы там скрываете, запишут сами компромат да и все.

                  просто я хоть и писал свою статью о шифровании, но я просто знаю точно что человек которому я шифровал сервер отмажется в любом случае — шифрование выступает доп. слоем защиты — для упрощения отмазывания. но полной защиты в снг вы не получите никак к сожалению
                  +1
                  «я думаю с полиграфом особых проблем не будет»

                  А как насчёт вопроса «используете ли вы скрытые тома в Truecrypt?»
                    –2
                    вы считаете что ктото задаст такой вопрос? Думаю всеже они обобщат и спросят скрываете ли вы какуюто инфу — на что можно благополучно сдать первый уровень матрешки
                      +2
                      Наличие у Вас на машине Truecrypt-а гарантирует, что такой вопрос будет задан. Они же не дураки, знают, для чего он нужен.
            –2
            Бугага. Мало того, что этот метод упрошенная версия прошлого, так он еще и в разы хуже
              –1
              Этот метод — не упрощенная версия прошлого и никак не замена ему, а дополнительный способ, который может применяться в том числе и к прошлому как дополнительная защита.
                0
                тот же самый метод — скрытый шифрованный раздел. ну еще в добавок фальшивый контейнер.
                  –1
                  Если у тебя есть скрипт, подключающий при загрузке сервака шифрованный диск со скрытого раздела и запрашивающий пароль, то по-любому люди в масках попросят тебя ввести этот пароль. И в твоём случае — тебе придётся ввести пароль и открыть все данные, а в моём — ввести без палева первый пароль и показать только первый уровень матрешки.
                    +1
                    ну в предыдущих статьях ведь были рассмотрены методы без ввода «первого» пароля — загрузка с флешки-ключа и загрузка с удаленного сервера-ключа, вам просто нужно убрать флешку/сервер после того как комп включили и нажать ресет в случае прихода маскишоу. Там получат просто нерабочий комп и только при намеренном анализе(который на месте проводить не будут) они смогут обнаружить шифрованый раздел(из под винды скорее всего даже не обнаружат)
                      0
                      >тот же самый метод — скрытый шифрованный раздел. ну еще в добавок фальшивый контейнер.

                      что из этого вы не поняли? тот же самый метод, но с дополнительной защитой от дурака.
              • UFO just landed and posted this here
                  –2
                  Для применения второго паяльника паяльщикам нужно сначала дать повод.

                  Поэтому если тщательно продумать содержимое первого диска — можно многих удовлетворить и содержимым первого диска, даже не заставив их задуматься о том, что вообще может существовать второй диск.
                  • UFO just landed and posted this here
                  0
                  «Терморектальная расшифровка» новый термин в моем лексиконе.
                  +5
                  М… Почему-то все защитники от терморекталистики полагают, что операторы терморектального оборудования будут искать ШИФРОВАННЫЙ ДИСК. Нет, они будут требовать, например, уставные документы. Или сертификат для вебманей или [впишите сюда то, что в вашей жизни может быть интересно оператором терморектальнодоильного цеха]. Люди не будут требовать «покажи нам содержимое вот того шифрованного диска». Они будут требовать то, что им нужно.

                  А дальше это исключительно вопрос личных эстетических предпочтений — быть до последнего коммунистом или избежать глубокого прожаривания.
                    +2
                    полностью согласен, «Товарищи» приходя к вам знают что у вас на руках есть счета от крупных капиталовложений, и им глубоко н… ть где вы храните эти цифирки) они просто скажут надо и все.
                      0
                      Пожалуй, добавлю, что в большинстве случаев, достаточно будет… эм… изолировать клиента, не применяя специфических спец-средств. За решеткой человек становится просто невероятно мега-сговорчивым…
                      # а ещё так можно отжать бизнес #
                        0
                        Ну так как раз им можно будет дать уставные документы или сертификат от других вёбманей, расположенный как бы в надёжном месте на первом уровне матрешки. И сказать что всё, больше нету. Они весь сервер перероют и не найдут больше зашифрованных данных, всё что они нашли — вы им дали пароли и показали. И успокоятся.

                        Случаи, конечно, бывают разные, но в части из них такой способ должен помочь.
                          +1
                          Ну, давай сфокусируемся на более понятном и объективно ощущаемом «сертификате WM». Итак, есть задача: выбить из лоха те $50k, которые тот по неосторожности засветил.

                          Терморектальный прогон №1. Лох выдаёт пароль. Сертификат. Там $10. Не хватает $49.990.
                          Терморектальный прогон №2. Лох резко вспоминает про криптоконтейнер третьего уровня, пароль от давно забытого кошелька яндекс-деньги с 15р остатка, про нычку в ванной на 2 т.р. и даже девическую фамилию первой хозяйки мопса, фигурирующей в контрольном вопросе.

                            0
                            Опять же повторюсь, случаи бывают разные и я не предлагаю панацею для всего, а всего лишь вариант дополнительной защиты данных в отдельно взятых заранее продуманных случаях.

                            В описанном случае терморектальный криптопрогон может выбить $50k с лоха и безо всяких сертификатов WM, заставив его продать машину, квартиру и всё что попадётся под руки.

                            Рассмотрим другой случай: человек засветился перед нехорошими дядями что имеет какое-то бабло на WM-кошельке, злоумышленники думают что там миллионы, но точную цифру не знают. Приходят к нему, начинают впаивать ему конденсаторы, тот отдаёт им первый сертификат и всё накопленное на первом кошельке. Они проверяют что действительно он всё отдал, только были на кошельке не миллионы, а только тысяча баксов. Ну с него значит взять больше нечего, уходят. В результате человек остался не у разбитого корыта, а с хоть каким-то баблом, да и задница отделалась лёгкими потерями.
                              +1
                              Ты бандит. Ты пришёл к лоху.

                              Терморектальный прогон №1: Лох показывает килобакс.
                              а) Ну с него значит взять больше нечего, уходим?
                              б) А может ещё 15 минут с паяльничком, может он ещё что-то заныкал?

                              С учётом, что преступление уже было совершено, а 15 минут ничего не поменяют в степени тяжести, то выбор «а» — выглядит глупо.
                        0
                        Выдать данные невозможно только в том случае, когда ты про них не знаешь, все остальное, если маски-шоу знает что искать они выспросят.

                        ИМХО, для ведения таких дел, лучше иметь подручное ООО «Вектор» зарегистрированное где-нть подальше и никак впрямую не связанное с деятельностью основной фирмы, а тем более её сотрудниками.
                          0
                          Тебе с этим ООО «Вектор» придётся как-то работать, хранить где-то номера счетов, какие-то документы, переписку. Как раз скрытый диск для этого и можно использовать.

                          И если какой-нибудь ОБЭП изымет сервер, найдёт подключаемый шифрованный диск, то ты скажешь — это данные и переписка с компанией моего брата, ООО «Мегавектор», вот держите первый пароль, смотрите — всё только про него там, никаких других ООО не упоминается. А зашифровал — для того чтобы мой админ не совал нос в чужие дела.
                            –1
                            По крайней мере это вызовет у них значительно меньшее подозрение, чем рабочий сервер компании с якобы пустым винчестером без разделов, который грузится только через волшебную флешку.
                          0
                          Не совсем понятно, что мешает, если уж найшли .img файл среди остальных, найти внутри него еще один .img файл.
                          Да и что-то гложут сомнения, по поводу того, что в самой программе не остается никаких записей о подключении второго диска. Или в самой системе — какие-то несуществующие ссылки, recent линки и тд.
                            0
                            В том-то и дело что второй диск делается таким образом, что никаких следов от него не остаётся, он выглядит как просто набор случайных данных, которые превращаются в структуру диска только при попытке расшифровки правильным паролем, если пароль неверный — то даже сам автор программы не может сказать есть ли в этом диске ещё скрытый шифрованный либо его нет.

                            И командой подключается второй диск одной и той же как и первой:
                            $ truecrypt /var/backups/data.img /mnt/backups

                            Просто если вводишь первый пароль — открывается первый диск, если второй пароль — второй диск.

                            А названия папок и файлов в обоих дисках можно сделать одинаковые:
                            /data/wmcertificate.crt — на первом диске ключ от фиктивного кошелька, на втором — от настоящего. И т.п.

                            +1
                            TrueCrypt давно умеет делать это. 2 пароля, открывающие 2 разных раздела одного криптоконтейнера. Причем с защитой от проверки размерности раздела. Это называется двухуровневое правдоподобное отрицание наличия зашифрованных данных =)
                              0
                              Об этом как раз и идёт речь в статье, написал я её чтобы люди знали о таком функционале.

                              Просто многие даже не знают о такой возможности, поэтому и не продумывают как ей можно воспользоваться. А в итоге опять разгорелся спор что от паяльника ничего не защитит.

                              Плюс многие не верят что наличие второго контейнера нельзя обнаружить без знания второго пароля.
                                0
                                «Просто многие даже не знают о такой возможности»

                                TrueCrypt — на Хабре с 2007 года!
                              0
                              termorect.narod.ru/ — ПрофессиоАналы!
                                0
                                если к вам применят паяльник, вы заново напишете ОС, чтобы прочесть свой самый секретный диск :)
                                  0
                                  Cryptic Disk тоже умеет создавать скрытые шифрованные диски, с той же целью. Фишка в том, что Cryptic Disk умеет их делать нескольких уровней вложенности, т.е. внутри скрытого шифрованного диска можно создать ещё один скрытый. Типа матрёшки получается.
                                  • UFO just landed and posted this here

                                    Only users with full accounts can post comments. Log in, please.