id: Гость   вход   регистрация
текущее время 04:52 25/03/2017
Автор темы: _owl, тема открыта 13/06/2011 19:12 Печать
Категории: софт, инфобезопасность, защита дисков, truecrypt, операционные системы
http://www.pgpru.com/Форум/ПрактическаяБезопасность/СкрытаяОССВнешнимЗагрузчиком
создать
просмотр
ссылки

скрытая ОС с внешним загрузчиком


Добрый день!


собираюсь подготавливать к работе ноутбук, нужен совет. Вредполагаемые условия использования подразумевают, с одной стороны, обработку чувствительных данных (составляющих не гос., но коммерческую тайну). Отсюда целесообразность применения шифрования диска. С другой стороны ноут предполагается таскать с собой на международных рейсах, вносить/выносить из учреждений и пр., где он может быть как гласно, так и не гласно досмотрен. Поэтому желательно, чтобы факт использования крипто было трудно определить и еще труднее доказать.


Собираюсь установить две ОС. Первую – для основной работы – скрытую ОС на зашифрованном разделе, наверное PC-BSD. вторую – фэйк – WinXP, на разделе без шифрования. Вобщем это похоже на конструкцию, описанную Здесь.


Разница в том, что в моем случае при включении компа хотелось бы не видеть меню загрузчика или любых других признаков наличия скрытой ОС. При обычном включении должен обычным образом загрузиться Win c безобидным содержанием. Скрытые разделы при этом должны отображаться, оптимально, как свободное место внутри раздела Win, либо как неразмеченные разделы (что хуже). Для загрузки BSD нужно будет вставить флэшку с загрузчиком и ввести пароль (а еще лучше – флэшку с загрузчиком, предъявить токен и ввести пароль). тогда должна загрузиться скрытая ОС.


Вопрос: как лучше всего реализовать данную конструкцию опенсорсными средствами (dm-crypt, truecrypt и пр.)? Можно ли организовать обмен файлами между двумя системами, например через отдельный раздел, без риска "засветить" существование скрытой ОС?


Спасибо


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (16/06/2011 14:23)   <#>
Что за зверь loop-девайс
loop back interface, /dev/loopN [сорри за Linux-терминологию, для FreeBSD это mdconfig, как вы уже сами сказали].
— Гость (17/06/2011 12:12)   <#>
По-моему ты на самом деле хочешь не «подготавливать к работе ноутбук» и «таскать его с собой на международных рейсах, вносить/выносить из учреждений», а потеоретизировать на тему «а возможно ли реализовать опенсорсными средствами такую конструкцию, чтобы не видеть меню загрузчика или любых других признаков наличия скрытой ОС и отобразить скрытые разделы как свободное место внутри раздела Win».

Из ответов теоретиков уже ясно, что невозможно. Ну а если тебя все же интересует практический аспект (ну бывает такое – неудачно сформулировал вопрос и никто толком его не понял), то в этом случае тебе надо не мудрствовать лукаво, а поступить как все нормальные пассажиры международных рейсов с ноутбуками под мышкой – установить одну ОС и сделать полное дисковое шифрование. Насколько мне известно, такая конфигурация никоим образом не препятствует его перемещению «на международных рейсах» и «вносу/выносу из учреждений».

Видимо ты все-таки ни разу не летал на «международных рейсах». Сейчас уже никто не провозит международные секреты в собственном ноутбуке поэтому при «гласном и негласном досмотре» будут проверять наличие в ноуте не скрытой ОС, а скрытой С4 и пусть у тебя на диске будет зашифрована хоть «не гос., но коммерческая тайна» хоть всеми смакуемая СР при досмотре это никому не интересно. Если сомневаешься, то можешь даже предложить им скопировать содержимое своего диска для последующего изучения, вот тогда и посмотришь на их рожи.

Без обид.
— Гость (17/06/2011 12:51)   <#>
Из ответов теоретиков уже ясно, что невозможно.

Почему нет? Всё упирается в квалификацию.

Сейчас уже никто не провозит международные секреты в собственном ноутбуке поэтому при «гласном и негласном досмотре» будут проверять наличие в ноуте не скрытой ОС, а скрытой С4 и пусть у тебя на диске будет зашифрована хоть «не гос., но коммерческая тайна» хоть всеми смакуемая СР при досмотре это никому не интересно

А как же это, т.е. вот это? Ну и насчёт
хоть всеми смакуемая СР
есть это и вот это, а так же /comment35674 (снятие покровов тут).

Есть часть правды в ваших словах, но не так много, а именно: номинально, ноутбуки досматривают как и прочую ручную кладь, т.е. на предмет отсутствия взрывчатых веществ, провозя их через сканер. Если возникнут дополнительные вопросы, то может быть всё, что угодно. Как можно узнать из комментов (к хабротопику, кажется), до сих пор действует норма на необходимость получать разрешение для провоза электронных носителей информации и ноутов в частности, так что при желании, и причём законно, придраться могут к самому факту провоза PC.

Топикстартер правильно делает, что думает заранее, а не надеется на авось, что его пронесёт с потоком.

скрытой С4

Что это за зверь?
— unknown (17/06/2011 13:12, исправлен 17/06/2011 13:13)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
скрытой С4

Что это за зверь?

Высокоэнтропийная стойко-необратимая функция, основанная на принципе "фарш невозможно провернуть назад".


М.б. ТС спрятать шифрованный файл со скрытой системой и по прибытии на место дислокации после пересечения кордонов разворачивать из него посредством стандартного live-CD компактную настроенную ось, но не на винте, а на флэшке. А при всех перелётах флэшку паковать в скрытый файл и перетирать обратно?

— Гость (17/06/2011 14:37)   <#>
Вот если бы SATtva удосужился сделать тут кнопочку «+», то ее непременно стоило бы нажать за тонкий юмор unknown’а.

А вот Вы батенька меня определенно настораживаете. Тот, кто знает кто такие ЭсЭры, ну должен же знать, наконец, что такое СиЧетыре. А Вы попробуйте погуглить по слову «пластид». Гугл – он ведь как Сталин: ты ему – слово, он тебе – ссылку.
— Гость (17/06/2011 14:45)   <#>
В чью квалификацию? ОП своим вопросом уже показал, что не знает как это сделать. Все ответившие своими ответами показали то же самое. Вот если бы Вы вместо риторического вопроса дали бы пошаговое [решение], то после него могли бы написать про квалификацию. А раз [решения] нет ни у кого из присутствующих, значит «уже ясно, что невозможно» во всяком случае, в этом сообществе (но другого мы пока не имеем).
— Гость (17/06/2011 14:49)   <#>
Unknown, ну и в Ваш огород… Если второй абзац это не продолжение шутки из первого, то не подходит. Вряд ли он будет куда либо летать. Ему видимо чаще надо будет по «учреждениям» ходить. А в таком режиме live-CD, разворачивание ОС, перетирание флешек не подходит. Все клиенты разбегутся пока от прицеливаться будет.
— Гость (17/06/2011 15:09)   <#>
«А как же это, т.е. вот это?» ну и так далее. Прочитал. Не могу понять что это доказывает или что опровергает. Проверили таможенники ноут. Хорошо. Дай им скопировать диск и ехай дальше. Ах, диск то зашифрован! Ну так копируйте зашифрованный. Ах, это подозрительно? А у меня там личные данные да еще плюс коммерческая тайна, я видите ли коммерсант, так то, имею право. Ну, так предъявите мне обвинение по процедуре. Ах, у вас недостаточно оснований для задержания только потому, что диск зашифрован? Ну, так я пошел? Бай-бай, до скорого.
— Гость (17/06/2011 15:19)   <#>
И еще по Вашей ссылочке «Английское правительство ищет возможности дать органам полиции полномочия изымать шифровальные ключи частных лиц и организаций, за отказ в чём последние могут поплатиться двумя годами тюрьмы.» Ребята, вы серьезно думаете, что если вам грозит «до двух», то вы сможете спрятать ОС и при этом не покраснеть, не вспотеть, и руки у вас дрожать не будут? Если будут достаточные основания чтобы затребовать у вас эти ключи, то вы вспотеете и выбирать будете только между не отдать и «до двух» или отдать и «до шести в петушатнике с эсэрами». Надо сначала определиться по каким «учреждениям» ходить планируете, а потом про вторую ОС думать.
— Гость (17/06/2011 15:26)   <#>
Ну и как Вы ранее выразились «снятие покровов»:

«Что он реально искал? Возможно, действительно проявления экстремизма, но скорее, как написал про аналогичную ситуацию Захар Май, хотел найти порно и получить взятку за то, что закроет на это глаза. Это объясняет и то, почему интересовали именно видеофайлы, и общий идиотизм происходящего — очень глупо пытаться противостоять попаданию в страну экстремистских файлов с помощью их беглого поиска в ноутбуках, когда интернет уже придумали.
Что с вами могут сделать, если что-то найдут? Насчет экстремизма не знаю. Если найдут порно — как отмечает тот же Май, в УК Украины запрещено лишь хранение порнографии с целью ее сбыта, то есть юридически вы невиновны, но есть возможность взятку вымогать («упираетесь, что для личного пользования, а не сбыта — ссадим с поезда до выяснения»).»

Каковы цели – таковы и конкретные инициативные действия каждого сотрудника.
— Гость (17/06/2011 15:29)   <#>
— Гость (17/06/2011 12:12), вы "опускаете" топикстартера потому-что юридическими методами ключ от скрытой ОС не получить? ;)
[offtop]
Гугл – он ведь как Сталин: ты ему – слово, он тебе – ссылку.
А заодно и "десталинизацией" занимаетесь? Но только имейте ввиду – в этом вас поддержит только один из десяти.

[/offtop]
— Гость (17/06/2011 17:57)   <#>
Все ответившие своими ответами показали то же самое. Вот если бы Вы вместо риторического вопроса дали бы пошаговое [решение], то после него могли бы написать про квалификацию. А раз [решения] нет ни у кого из присутствующих, значит «уже ясно, что невозможно» во всяком случае, в этом сообществе (но другого мы пока не имеем).

Был такой топик... "Невидимое шифрование уровня PGP на флешке". Там на уровне концептов всё уже было озвучено. Т.е. на том уровне, который достаточен для квалифицированной публики, чтобы написать по нему готовое пошаговое решение. Когда кто-то из читателей сайта сделает подобное для себя, может закоммитить и в виде пошагового решения, но с концептуальной точки зрения этот вопрос снят. С другой стороны, если пошаговым решением будет заниматься тот, кто командную строку держит первый раз в жизни, а слово UNIX впервые услышал вчера, то ему и пошаговое решение не поможет, тем более, что очень трудно нигде не ошибиться, если не понимаешь сути, и ещё труднее написать такое руководство, которое бы работало на всех конфигурациях (всего заранее не предусмотришь). Дилемма тут та же, как и при списывании задания, решённого другими учениками/студентами: иногда не понимаешь даже какой там на самом деле значок стоит: то ли цифра, то ли ещё что... Надеюсь, вы поняли.

Да даже если и будет пошаговое решение, оно будет типа такого[создать]. Отсутствие комментариев под топиком как бы символизирует, что кому надо и опыта хватает — и сами такое настроят, а остальным и такой инструкции будет недостаточно. В итоге имеем ситуацию "один гик пишет для 2-3ёх других гиков в мире, чтобы сохранить их время и ресурсы при решении подобной задачи".

А у меня там личные данные да еще плюс коммерческая тайна, я видите ли коммерсант, так то, имею право

Ну обсуждалось же уже на форуме в контексте отмазок вида "коммерческая тайна" при "проверке бизнеса". Нужна бумажка под это дело. Голословное заявление тут наоборот только навредит и привлечёт дополнительное внимание.

Ребята, вы серьезно думаете, что если вам грозит «до двух», то вы сможете спрятать ОС и при этом не покраснеть, не вспотеть, и руки у вас дрожать не будут?

Смотря с чем сравнивать. Наверное, дрожать будут намного меньше, чем если вам будет грозить лет 20 или пожизненное, а диск либо незашифрован, либо зашифрован так, что это поймут сразу и затребуют пароль. Собственно, могут силой вынудить дать пароль под пытками, и скрытие факта шифрования как раз уменьшает потенциальную вероятность привлечь к себе внимание.

[offtop]
Тот, кто знает кто такие ЭсЭры, ну должен же знать, наконец, что такое СиЧетыре
С чего бы? Это узкоспециальный сленг. Да и кто вам сказал, что публика в курсе кто такие ЭсЭры? Ну была такая партия, это ещё в школьных учебниках истории писалось, потому помню. Про ваш смысл могу только догадываться, но, может быть, имеется в виду что-то типа этого.
А Вы попробуйте погуглить по слову «пластид». Гугл – он ведь как Сталин: ты ему – слово, он тебе – ссылку.
Слово "пластид" — как раз не сленговое, а потому хорошо известно.
до шести в петушатнике с эсэрами
А точно не с едрасами, именно с эсэрами? Я не знаю кто такие эсэры и что они сделали плохого лично вам, но на всякий случай процитирую:
вся эта работа – лишь частная инициатива группы энтузиастов (специалистов / экспертов / профессионалов, кем бы они ни были) криптографии и информационной безопасности, никак не связанных ни с коммерческими разработчиками PGP, ни с любыми другими коммерческими, политическими и иными заинтересованными структурами и лицами.
[/offtop]
— _owl (17/06/2011 20:01)   профиль/связь   <#>
комментариев: 105   документов: 19   редакций: 3
М.б. ТС спрятать шифрованный файл со скрытой системой и по прибытии на место дислокации после пересечения кордонов разворачивать из него посредством стандартного live-CD компактную настроенную ось, но не на винте, а на флэшке. А при всех перелётах флэшку паковать в скрытый файл и перетирать обратно?

Да, примерно так (см. ниже) и предполагается делать. При перелетах (т.е. пересечении "долгих" кордонов).

И еще по Вашей ссылочке «Английское правительство ищет возможности дать органам полиции полномочия изымать шифровальные ключи частных лиц и организаций, за отказ в чём последние могут поплатиться двумя годами тюрьмы.»

Поэтому: образ "загрузочной" флэшки шифруем и отправляем, напремер, самому себе по мэйлу (или выкладываем на файлообменник и т.п.). Флэшку затираем, а после "прилета" врсстанавливаем. При досмотре можно объективно, не потея и не обманывая дядю, говорить, что ключа у тебя нет. Кстати, что-то подобное рекомендовал Шнайер (речь шла кажется об перешифровании ЖД новым (временным) ключем и отправке этого ключа самому себе мэйлом. Потом ЖД предполагалось перешифровать обратно на постоянный ключь).
— Гость (17/06/2011 22:08)   <#>
Да, примерно так (см. ниже) и предполагается делать. При перелетах (т.е. пересечении "долгих" кордонов).

Это всё хорошо для малых объёмов информации. А для больших? Качать кучу гигабайт каждый раз по прибытии на новое место? Скрыть их на диске как "неиспользуемое место" тоже не так-то просто (хотя и можно в принципе).
— Гость (20/06/2011 09:06)   <#>
http://www.pgpru.com/comment47130
Молодец, хорошо всё объяснил. Вкуснятина!
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3