id: Гость   вход   регистрация
текущее время 09:11 25/09/2018
Автор темы: Rabby, тема открыта 15/05/2006 15:48 Печать
http://www.pgpru.com/Форум/ПрактическаяБезопасность/СтойкостьШтатнойКриптозащитыНакопителяНаUSB
создать
просмотр
ссылки

"Стойкость" штатной криптозащиты накопителя на USB


Давно хотел поделиться с присутствующими одной небольшой, но поучительной историей. Когда-то нам начальство в знак особого поощрения :D на работе решило выдать USB-flash-ки от Transcend, а именно – JetFlash TS 128MJF2A (все же лучше вечно осыпающихся дискет, постоянно падающей локальной сети и т.п.)...


Естественно, как самый умный, :D я решил разбить USB-flash на два неравных раздела и зашифровать один из них при помощи штатных средств, расположенных на прилагающемся к девайсу мини-CD с драйверами для W98, мануалами и т.п. ... Наверное, вы все сталкивались с подобными нехитрыми программами – они и разбивают на разделы, и форматируют их, и пароль при необходимости задают. Словом, все в одном.


А потом, спустя пару недель, забыл вытащить флэшку из порта уже на домашней машине – на которой в качестве второй системы стояла свежеустановленная Mandriva Linux 2006. Поскольку эта ОС автомонтирует и распознает все без особых проблем, ради прикола решил посмотреть, как будет выглядеть криптораздел из под Linux... Словом, ткнул мышом в пиктограмму устройства... И вот он – "КРИПТОраздел" (специально кавычки ставлю!) – во всей красоте – т.е. все мои "защищенные" файлы как на ладони – бери не хочу!


Меня этот случай кое-чему научил. А именно – использовать для создания крипторазделов ПРАВИЛЬНОЕ программное обеспечение. Какое именно?! Ну конечно же – http://www.truecrypt.org/


Интересно другое – это только с Transcend такое творится? Или с другими девайсами также? Никто не хочет свою собственную флэшку подобным образом "закрыть", а потом протестировать в Linux? И поделиться результатами, при наличии желания и возможности.


 
Комментарии
— SATtva (15/05/2006 16:14)   профиль/связь   <#>
комментариев: 11531   документов: 1036   редакций: 4054
Как правило, если в спецификациях к usb-накопителю (да и вообще к любому накопителю) не указано явно, что он поддерживает шифрование по определённому алгоритму (обычно, AES-128), то вся эта защита представляет собой простую систему логических ограничений на уровне драйвера: воспользуйтесь альтернативным драйвером — и доступ открыт.
— Гость (17/05/2006 07:47)   <#>
данная тема напомнила один девайс:
http://www.adata.com.tw/adata_.....il.php? ProductNo=138
флешка с протяжным сканером отпечатка пальца
там тоже ничего явно не сказано про алгоритмы, но знакомые говорят, что там партиция какая-то хреновая(когда под линухом смотришь)
— SATtva (17/05/2006 20:16)   профиль/связь   <#>
комментариев: 11531   документов: 1036   редакций: 4054
Security through obscurity?
— maris (11/06/2006 16:52)   профиль/связь   <#>
комментариев: 36   документов: 11   редакций: 2
Finist:
данная тема напомнила один девайс:
http://www.adata.com.tw/adata_.....il.php? ProductNo=138
флешка с протяжным сканером отпечатка пальца
там тоже ничего явно не сказано про алгоритмы, но знакомые говорят, что там партиция какая-то хреновая(когда под линухом смотришь)

Есть у меня сей девайс..)) Если подскажите как надо тестировать-попробую. Хотя руки из жопы у меня)) А сам на ней труекрипт поставил на всякий пожарный.
— Rabby (11/06/2006 18:28)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
Да никак особо извращаться не надо.

Если не жалко – снесите Truecrypt и попробуйте ШТАТНЫМИ СРЕДСТВАМИ, т.е. теми, которые прилагаются разработчиками вместе с драйверами, зашифровать хоть всю флэш, хоть ее часть 9если она побита на несколько разделов)!

А потом примонтируйте сей девайс к какой-либо машине, где стоит какая-нибудь свежая версия ЛИНУКСа (в моем случае – Mandriva 2006) и посмотрите, доступны ("видны") или нет какие-либо файлы, находящиеся на шифрованном разделе флэшки.
— serzh (12/06/2006 00:31)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
TrueCrypt – это правильный софт. Поэтому они там будут не видны =)
— SATtva (12/06/2006 09:53)   профиль/связь   <#>
комментариев: 11531   документов: 1036   редакций: 4054
serzh, это если его использовать. А если штатные средства "шифрования" флэшки, результат может немало удивить...
— Гость (22/08/2006 12:15)   <#>
Разделяю мнение serzh
a12380@list.ru
000andr06@rambler.ru
a000aqq@pochta.ru
a0000andr@yandex.ru
— spinore (22/08/2006 19:19)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
2Rabby

На заметку: для шифрования используются стандартные средства, если вы не заинтересованы в том, что хотите скрыть само наличие шифрования чего-то (тогда у трукрипта могут оказаться сильные стороны). Есть такое понятие, как шифрование девайсов, происходящее не уровне операционной системы и поддерживаемое ядром. Это системы GBDE, GELI, CGD и др. Во всяких линуксах не силён (там, говорят, есть dm-crypt и др).
Truecrypt приобрёл популярность в отдельных кругах с силу портанутости под вынь. Но вынь сама по себе подозрительная как и любое закрытое ПО.
— spinore (22/08/2006 19:36)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Просьба не воспринимать за обиду... но есть такое: вообще, разработчики с твёрдой продуманной идеологией, с царём в голове _не_ будут портировать свой продукт под windows сами, ибо будут считать это омерзительным и унизительным для них. Они не нуждаются в "массах". Они – профессионалы, и пишут профессиональный софт для правильных пользователей, и не ориентируются на новичков. Если они создают хороший проект, то уже потом, спустя время, посторонние пишут к проекту GUI и портируют его подо всё что можно, самим же авторам проекта это _не_ нужно... это низко для них. Они так не опускаются :)))
— Kent (27/08/2006 22:00)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
Начнём с того, что TrueCrypt изначально делался для Windows. Linux он стал поддерживать только с версии 4.
— Гость (07/11/2006 02:02)   <#>
2 Rabbi

Было и у меня нечто подобное. Флешки СуперТалент (STM), с которыми шел свой проприетарный софт, позволявший создавать скрытый раздел. Втыкаем флешку – видим раздел 1 (несекурный), запускаем софтинку (некие ехе-шник, не требующий инсталляции), вводим пасс – и видим раздел 2 (секурный) – раздел 1 при этом не виден.
И все-бы ничего, но как-то с большой скуки принялся я теребить шаловливыми ручками... нет, господа гусары, не то... саму софтинку – своего рода "дурацкое тестирование" включил – и так ее запустил, и этак закрыл, и логон сделал в раздел 2, и логаут – и в какой-то момент сделал что-то такое, отчего при клике курсором в поле пассворда.... он там появился в явном виде!!!
Это меня немало возбудило – повторил – воспроизвелось! Погнал свои НИОКР далее – выяснилось, что это даже не позабытый к очистке кэш/буфер – все гораздо хуже: это чудо воспроизводилось даже после ребута системы и без ввода пароля, только при воткнутой флешке (софта как-то считывать умудрялась его с флешака – я поменял пасс, так он был показан мне новым без ввода хоть единожды!).
Показал я этот фокус шефу (он тожехотел свое добро таить на разделе 2, только у него такая флешка была поболее моей – по чину, стало-быть!)... и строго-настрого запретил ему даже думать об этом. Приучил его к DC – и слава кпсс...
— spinore (07/11/2006 02:32)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
p.s: и как только люди не извращаются чтобы не использовать loop-aes в Linux или TC.
— unknown (07/11/2006 08:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
2 spinore: Я с Вами разумеется абсолютно согласен, но так интенсивно грузить пользователей юниксовыми оффтопиками даже у меня не получалось ;-)

Опыт показывает, что это надо делать постепенно и ненавязчиво, а то все испугаются и разбегутся :-)
— spinore (07/11/2006 09:12)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


не... все поймут что иначе и быть не может, что если хотят начинать, то начинать надо со сноса оффтопика и установкия линя :))
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3