id: Гость   вход   регистрация
текущее время 03:52 29/03/2024
Автор темы: Rabby, тема открыта 28/10/2006 14:07 Печать
https://www.pgpru.com/Форум/ПолитикаПравоРеальныйМир/НадежноеСокрытиеИлиГарантированноеСамоуничтожение
создать
просмотр
ссылки

Надежное сокрытие или... гарантированное самоуничтожение?


При просмотре тем:


http://www.pgpru.com/Форум/Ано....._comments=1#comments
http://www.pgpru.com/Форум/Пол....._comments=1#comments


у меня все-таки сложилось стойкое впечатление, что в качестве панацеи от вмешательства в личную жизнь извне, мы почти все хором рассматриваем именно ГАРАНТИРОВАННОЕ УНИЧТОЖЕНИЕ ЛИЧНЫХ ДАННЫХ, а не их НАДЕЖНОЕ СОКРЫТИЕ (в первую очередь).


О чем это свидетельствует?


Да только, увы, об одном: мы прекрасно понимаем, что большинство из нас живет в условиях неправового общества... Не так давно по ТВ показывали очередные следственные действия, проведенные в отношении одного из банков, якобы отмывавшего средства со всем набором «стандартных средств», характерных для подобных операций, т.е. с разбиванием сейфов кувалдой и т.п. ... Поверьте, что когда в помещение с девочками – компьютерными операторами врывается толпа здоровенных мужиков в масках, соответствующей амуниции и зверски голосами кричат: так, всем встать, к компьютерам не прикасаться и т.п., ни у кого не возникнет особого желания нажать хотя бы одну кнопочку, ликвидирующую базу данных. Никто не будет такими героическими действиями спасать своего хозяина – владельца банка. Поэтому основное средство, которое можно рассматривать в качестве защиты секретной банковской (иной) информации в таком случае – именно ее АВТОЛИКВИДАЦИЯ. Т.е. не ликвидация собственных данных пользователем, когда его, бедного, сотрудники правоохранительных органов вежливо попросят ввести пароль (а он, хитрец эдакий, введет неправильный, и база данных самоуничтожится). Нет! Речь идет именно о том, чтобы предупредить ВСЕ возможные случаи, когда в ваш ПК без вас полезет соответствующий специалист-эксперт. Т.е. ваша система должна САМА на физическом или софтовом уровне среагировать в случае несанкционированного вторжения ТАК, чтобы гарантированно камня на камне не оставить от вашего винчестера, оперативки и т.п.!


Многие могут мне возразить – а как же тогда дальше работать (в случае, если суд в дальнейшем докажет, что вы невиновны), т.е. продолжать, допустим, коммерческо-хозяйственную деятельность, если вся база с клиентскими данными, банковскими проводками и т.п. летит к чертовой матери? Отвечу и на этот гипотетический вопрос: в условиях опять же нашего общества, подобный «следственный» визит практически адекватен «черной метке», которую пираты в «Острове сокровищ» присылали своим жертвам. Поверьте, существует 100%-гарантия того, что ваш бизнес никогда не восстановится после подобного. Прецедентов с успешно выигранными у государства делами практически нет, более того – вы перестанете представлять какой-либо интерес для своих партнеров и клиентов, т.е., по сути, подвергнетесь своеобразному социальному остракизму. Поэтому в подобных случая речь о сохранности информации не идет, речь идет именно о ее гарантированном уничтожении.


Когда Даниэль Надь (которого, кстати, я очень люблю читать из-за того, что он рассказывает именно о жизненных, реально существующих случаях) пишет о фиксации в протоколе хеша винчестера в его, отдельно взятых, венгерских условиях, я тихо смеюсь в кулачок и одновременно завидую этой ситуации. В нашей повседневности это выглядит немножко иначе...


Какие мнения будут у посетителей форума по данному вопросу? Чему вы сами отдаете приоритет – надежному сокрытию или гарантированному уничтожению информации в подобных прецедентах?


 
На страницу: 1, 2 След.
Комментарии
— spinore (28/10/2006 21:32)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


И тому, и другому. При гарантированном уничтожении информации факт её некогда существования остаётся и фиксируется, и может играть против вас в суде. Вспомните статью или что там за пункт об "уничтожении или сокрытии улик", которое играет отягощающую роль в суде. Поэтому сокрытие факта сщуествования сокрываемого нужно. Я искал именно комплексные меры:
1) В случае физического проникновения в систему информация уничтожается.
2) Но, на случай ДАЖЕ если группа и знает, как построена система защиты и захочет заставить меня её отключить, я всё равно оставляю за собой не контролируемое ими право уничтожить свою информацию.
3) Для полноты модели требуется включить plausible deniability, которая скроет сам факт наличия скрываемой информации, но как это сделать не винде и линуксе я не знаю :(((

Взлом такой системы достаточносложен, но он предусматривает довольно хорошую защиту. В частности, системы самоуничтожения требуются именно из-за того, что пользователь далеко не всегда способен себя контролировать: при физической угрозе, пытках, специальных медицинских препаратах, которыми могут его накачать дабы получить доступ к системе.... В таких случаях ему система предоставляет шанс уничтожить информацию ранее, чем он станет неподконтрлен самому себе.

В дополнение к существующим указанным мерам хорошо бы ввести сторонний человеческий фактор, который существенно улучшит положение дел: нужно поручить часть своего ключа какому-либо стороннему надёжному человеку, который будет его хранить у себя в защифрованном виде (например, зашифровав его своим публичным ключом). Или даже лучше так: система при подключении спецраздела генерит текстовый файл и отправляет его тому человеку. Тот его подписывает своим ключом и отправляет обратно. Система сверяет подлинность подписи, после чего разрешает мне доступ. Такая система моджет быть установлена на "том маленьком компьютере" в нагрузку к уже существующим схемам.

Что касается именно банка, то мне не понятно как там можно нечайно "ворваться с автоматами". Возле входа в банк находится кабинка с наблюдателем, который постоянно смотрит на видеокамеры. Его рука лежит постоянно на кнопке тервоги. Так сделано во всех банках. В нашем случае кнопку тревоги следует заменить кнопкой самоуничтожения (или дополнить кнопку кнопкой самоуничтожения). Можно наворотить по принятым у военных схемам: на внешней стороне кабинки повесить кнопки для набора шифра: каждый раз, когда охранник выходить со своего поста наблюдения, он должен набрать определённый шифр на тех кнопках. В случае когда его под автоматом заставят "отойти и не прикасаться" он ничего не будет делать – он просто не наберёт этот шифр :))) Похожими системами можно оснастить много мест... И ещё о банках: в некоторых из них, для захода в кассу или ещё куда-либо из холлы, требуется, чтобы охранник нажал у себя на пульте соответствующую кнопку. В противном случае в соответствующие комнаты быстро не войти... даже с кувалдой. При идеальной организации рабочих мест потребуется одновременное выполнение слишком многих условий... Благо кнопка самоуничтожения поидее находится не у одного и даже не у двух человек... Конечно, в случае банка схему с plausible deniability, где будут стоять кнопки самоуничтожения, реализовать не получится.... Но если кнопки превратить в какие-то клавишные комбинации на клавиатуре компьютеров у сотрудников, то очень даже может быть....


Это всё так, только если он расстеряет кого-либо за прикасание к компьютеру его тоже по головке не погладят.

Кстати, в случае одного из банков, когда приехала соответствующая бригада, они воспользовались своей собственной вооружённой охраной, и не пустили их в помещение. Их аргументы были просты "Нам по&&&, если полезите – будем стрелять". Оказалось, что спецслужбы ценят свою шкуру всё же дороже, чем выполнение приказов сверху.

Кратко идея сводится к следующей: к неправовым и силовым методам адекватная защита может состоять только в применении таких же методов.
— SATtva (28/10/2006 22:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Чему вы сами отдаете приоритет – надежному сокрытию или гарантированному уничтожению информации в подобных прецедентах?

Не вижу дилеммы: [надёжное] разрушение ключевого материала зашифрованных данных равносильно полному уничтожению этих данных.

А дальше с вашего позволения выступлю в роли адвоката дьявола.

Или даже лучше так: система при подключении спецраздела генерит текстовый файл и отправляет его тому человеку. Тот его подписывает своим ключом и отправляет обратно.

Не слишком удачно. Уж очень подвержена такая схема отказам в обслуживании (взять, да сетевой кабель перерезать).

Между прочим, это проблема всех предлагаемых решений. Любой бизнес полагается не столько на гарантию уничтожения информации, сколько на гарантию её доступности (ради чего бы все эти RAID-массивы, внесение избыточности и прочее?). Здесь речь непонятно о чём: мы строим ПК, который сносит всю информацию, если задеть его корпус, пылесося комнату. Оно вам надо, а?

Возле входа в банк находится кабинка с наблюдателем, который постоянно смотрит на видеокамеры. Его рука лежит постоянно на кнопке тервоги. Так сделано во всех банках. В нашем случае кнопку тревоги следует заменить кнопкой самоуничтожения (или дополнить кнопку кнопкой самоуничтожения).

Не было у бабы хлопот — купила баба порося. Будь я главой конкуретного банка, предложил бы "парню с кнопкой" небольшой бонус к его официальной зарлате, чтобы он "случайно" нажал на кнопку самоуничтожения, в миг похоронив коммерческую деятельность моего конкурента.

Благо кнопка самоуничтожения поидее находится не у одного и даже не у двух человек..

А как в таком случае обеспечить условие экстренного самоуничтожения? Как вы будете координировать действия целой группы доверенных лиц в условиях чрезвычайной ситуации нападения на офис? Что, если нужного числа хранителей не окажется у кнопок в самый важный момент? Не забывайте собственную модель угрозы: мы имеем дело с оппонентом, располагающим всей или почти всей информацией о реализуемых процедурах и мерах безопасности. Нужные сведения перед нападением могут собираться оперативными методами месяцами. А в день Икс хранители могут просто не добраться до офиса по независящим от них причинам.
— Rabby (28/10/2006 23:55)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
Вот, благодаря двум последним примерам, мы видим, что большинство проблем возникает при умелом задействовании т.н. "человеческого фактора". Благо, воздействовать, как было отмечено выше, можно разными методами: 1) угрозами; 2) шантажом; 2) подкупом ответственного лица или группы лиц, задействованных в процессе экстренного уничтожения данных. Т.е. мы сталкиваемся, вернее, упираемся лбом в такую ситуацию, когда вроде бы и софт настроили нормально, и собак караульных посадили по периметру объекта, и автоматчики расставлены злые, и сам объект минировали... но у каждого, как правильно заметили два предыдущих участника дискуссии (в т.ч. и у представителей правоохранительных структур), есть дома и дети, и родители, да и зарплата (особенно в МВД) мизерная...

Вот и получается, что (с атакуемой стороны) люди откажутся спасать своего босса и его секреты, уже напуганные предыдущими громкими уголовными делами (они у всех на слуху, не так ли?), когда неотвратимость российского правосудия последовательно настигла большинство из руководства компаний X, Y и Z.

А с другой (атакующей) стороны тоже находятся обыкновенные, социально незащищенные люди (или защищенные в меньше степени, кстати, чем сотрудники тех же компаний и банков)... И при громком возгласе: "стой, стрелять буду", особенно, если произносящий эти слова делает (или, по крайней мере, напускает на себя) особо зверский вид, у них, как и у всех, срабатывают самые обычные человеческие инстинкты самосохранения... Хотя, случай, приведенный spinore, я считаю единичным. Интересно, где взялась в России такая самоотверженная охрана?

Поэтому я, честно говоря, в затруднении. Ибо текущие попытки "улучшить" нашу идеальную систему целиком состоят из дополнительных... м-м-м... частей мужских гениталий, которые мы в изобилии стараемся привесить к ней для "гарантии" и "надежности"... Но ясно одно (это мое мнение, с ним, конечно же, можно не соглашаться!) – человеческий фактор (т.е. третья составляющая, наряду со стойкостью софта и прочностью стен и дверей) не является гарантией такой надежности... А особенно – операции по:
а) разделению полномочий между несколькими лицами уничтожить систему в случае возникновения внештатной ситуации;
.... и, в противоречие первому...
б) возложению полномочий по уничтожению системы на одно-единственное лицо, особенно если оно является "проходной фигурой" – хоть дежурным охранником, хоть начальником охраны...

Дилемма-с, уважаемые господа. Вот и еще раз хочу предложить раскритикованную САТтвой схему, когда машина САМОликвидируется от того, что уборщица заденет ее пылесосом во время уборки. Это гораздо лучше, чем когда во время милицейского штурма начальник СБ организации будет судорожно вызванивать по мобильному телефону двух "доверенных лиц", которым делегированы права провести такое уничтожение "вручную" (а один из них – на Канарах, второй – у любовницы, причем в момент полового акта)... :-) Представили? :-)

В качестве завершения.
Вспомнились "17 мгновений весны". Мартин Борман потому так хорошо и надежно хранил свое золото (вернее – золото партии), что он никогда не делал никаких записей. Т.е. попросту все держал в голове – информацию о доверенных лицах, явках, паролях, суммах и т.п. И еще немаловажный момент – ни с кем этой информацией не делился.... Может нам попросту стоит тренировать собственную память? Может мы рано переложили всё на компьютеры? :-)
— spinore (29/10/2006 01:07)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Ничего страшного: всунете кабель обратно, попросите товарища выслать подпись и всё ок.


Можно построить систему защиты, которая будет надёжной и не критичной к малым помехам, но очень критичной к вскрытию сисблока.
Более того, можно пострить один такой сервер с надёжной засвидетельствованной защитой, а потом сделать всё же интерфейс к нему для добавления новых пассфраз для других компьютеров и пользователей. Важно только чтобы это дело не ломалось по сети.


Эти проблемы не решаемы принципиально :) Человеческий фактор – это отдельная проблема. Ясно, что и любой сотрудник обидевшись на фирму может уничтожить базу... Здесь дно из двух: или один риски, иди другие.


Для уничтожения информации достаточно чтобы нажал свою кнопку любой из списка доверенных лиц.


Исключено. Как и военных схемах такие должности могут быть переданы только непосредственно как "пост сдал – пост принял", при этом все меняются не одновременно. Дежурство круглосуточное.
А вообще, заговор среди своих, конечно, возможен. Но это опять же проблема в человеческом факторе.


То ли год, то ли 2 назад было. Погуглите "СодБизнесБанк". Кстати с них потом обвинения сняли, а они ещё и на государство в суд подали за их хамство, насколько я помню. Закончилось всё на том, что они "увезли нужные документы в неизвестном направлении".
А охрана где такая взялась... Я думаю что им не плохо платили, что они были готовы к такому развитию сюжета, и что они боялись потерять данную работу.

Да, ещё п поводу аргументов о внезапности: человек, сидящий на кнопке должен сидеть в закрытой со всех сторон комнате перед видеокамерами, чтобы к нему непосредственно нельзя было дуло приставить.

Идея с физзащитой не решит проблемы, Rabby. Кассиры банка работают с закрытой базой. Взломав кассира, сотрудники получат доступ ко всей базе, совершенно не трогая его физически, особенно если кассираша им всесторонне поспособствует. Как один из вариантов, который не плохо рабоатет в реальных условиях, можно посоветовать в таких системах информацию о физзащите держать втайне как она устроена (пользуясь знаниями о том, что говорят маститые автоугонщики (где проблемы почти все те же что и у нас), упомяну: даже не большое, но уникальное отклонение в системе защиты от общепринятого и растиражированного (хоть и очень сложного и надёжного) существенно усложняет процедуру взлома, ибо для каждой новой единицы приходится гадать что там могли намудрить... А общепринятые даже очень надёжные решения рано или поздно научаются ломать за очень короткий промежуток времени)).
— SATtva (29/10/2006 10:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Не слишком удачно. Уж очень подвержена такая схема отказам в обслуживании (взять, да сетевой кабель перерезать).

Ничего страшного: всунете кабель обратно, попросите товарища выслать подпись и всё ок.

Я не о случайном нарушении связи. Противник может намеренно лишить Вас её, чем оставит Вас без доступа к собственной информации (хоть они и здесь, в Вашем же компьютере, но меры защиты таковы, что добраться до неё без участия удалённого узла, в данный момент недоступного, становится невозможно). Это плохо.

Как вы будете координировать действия целой группы доверенных лиц в условиях чрезвычайной ситуации нападения на офис?

Для уничтожения информации достаточно чтобы нажал свою кнопку любой из списка доверенных лиц.

Вот мы и возвращаемся к тому, с чего начали.

А вообще, заговор среди своих, конечно, возможен. Но это опять же проблема в человеческом факторе.

Плохо, что схема защиты не учитывает этих моментов. Мы ведь предполагаем схему, эффективную не только (и не столько) в штатном режиме работы, но и чрезвычайных, экстремальных, запредельных режимах. Должен быть учтён любой возможный вектор атаки, и даже при нападении неизвестными нам методами система должна повести себя запланированно, а не просто пустить всех внутрь.
— spinore (29/10/2006 16:48)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Противник обладает "административным ресурсом", поэтому очевидно что он может любого лишить доступа к информации, и противопоставить ему что-то в данном случае будет сложно (если только систему по типу freenetproject). Здесь либо шашечки – либо ехать.


А это не решаемо методами софтварной/хардварной/физзащиты. Если я, будучи кассиром, сам имею доступ к базе данных, я могу вместо себя посадить другого человека. И о существовании защиты против заговора я не знаю. Вы знаете как устроенный ядерный щит и что требуется для запуска ракеты с изделиями? Думаю, знаете. Так вот против заговора эта система тоже не застрахована: в принципе, если внутри части народ договорится, он по своему собственному желанию сможет запустить ракету (хотя технически это сделать будет не просто). Более того, были случаи, когда сверху пришёл указ о пуске ракеты с изделиями (кажется, из-за ошибки, хотя не поручусь), но те офицеры, которые были в части, хотя по всем правилам и должны были запустить ракету, не стали этого делать. Им потом премию мира дали кажется, много времени спустя.
— SATtva (29/10/2006 18:11)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А это не решаемо методами софтварной/хардварной/физзащиты.

Вот приехали. Так чем мы тут вообще тогда занимаемся в этих двух самых активных в последние дни темах?

Так вот против заговора эта система тоже не застрахована: в принципе, если внутри части народ договорится, он по своему собственному желанию сможет запустить ракету

Если бы такое было возможно, уже давно бы произошло. Вся система пуска ядерного оружия завязана на приказ главнокомандующего (приказ отдаётся не устно, думаю, Вы понимаете).

Более того, были случаи, когда сверху пришёл указ о пуске ракеты с изделиями (кажется, из-за ошибки, хотя не поручусь), но те офицеры, которые были в части, хотя по всем правилам и должны были запустить ракету, не стали этого делать.

Полагая, если были такой приказ когда-нибудь был, мы бы здесь сейчас не общались. Ситуация была связана со сбоем автоматики, просиглазиривовавшей о ядерном нападении со стороны США. Действительно, дежурный офицер не произвёл ответный пуск (мог ли — тоже вопрос). Только вспомним, что дело было в начале 70-х...
— spinore (29/10/2006 18:41)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Возможно, можно формализовать и доказать строго, что любой имеющий доступ к информации сможет её поделиться с другим. Эта проблема мне напоминает другую: я хочу поделиться с человеком А информацией, но не хочу, чтобы об этом узнали остальные люди. Я не могу этого сделать. Даже организовав защищёную переписку, я не могу вопрепятствовать тому, что человек А будет всем подряд раздавать свой ключ. Более того, даже спустя большой промежуток времени, если кому-то удастся раздобыть ключ человека А, всё что я ему писал сможет стать предметом всеобщего оборзения. P>S: а если действительно построят квантовые компьютеры и сделают относительно скоро такую систему подобора ключа возможной? Тогда будет одновременна вскрыта вся база данных за много лет... Это страшно.


Во-первых, это неправда. Во-вторых, это довольно сложно технически (но не теоретически). Для этого достаточно отключить электронику, контролирующую ракету, и напрямую самим дать сигнал пуска. Правда, люди, знающие как эта электроника устроена, имеют 1-ю форму (в отличие от тех, кто запускает ракету, и у кого всего-то 3-я форма). Но и в этом ничего страшного нет. В былые времена все выпускники мифи по роду деятельности имели 1-ю форму на выпуске. Если офицеры в части пригласят соответствующий народ, то всё можно в принципе сделать, теоретически. Когда я общался с одним, служившим у нас в части (где хоть и не широко известная информация, но все знают сколько там стоят тополей), он мне говорил, что "любая сигнализация в принципе может быть отключена, в т.ч. и на военных обхектах. Только надо знать как это сделать." Имеется в виду, что "может быть отключена сторонним лицом".


Это и без того всем ясно. Но как я уже сказал, мне в принципе никто не мешает отключить электронику или подделать её. Принципиально задача разрешима. Практически – не знаю. Даже если моментально прийдёт диагностика в центр об вторжении в электронику ракеты, это ещё не гарантирует того, что офицеры не запустят ракету раньше, чем приедут соответствующие люди с автоматами.
— spinore (29/10/2006 18:44)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
P. S: это к вопросу о том, что если будет заговор, то возможно абсолютно всё что угодно. Против него нет защиты.
— Гость (30/10/2006 03:21)   <#>
как вам такой вариант. Информация хранится в другой стране. При нажатии "красной кнопки" доступ к ней блокируется. И через определенное время после этого, скажем сутки данные уничтожаются. Данные можно спасти, если ввести соответсвующий код (пароль). Таким образом снимается проблема "парня с большой кнопкой" которому могут заплатить за уничтожение данных. Пароль знает только хозяин фирмы. Единственная возможность достать информацию, это расколоть его за сутки.
— Гость (30/10/2006 03:53)   <#>
Как вам идея поставить в систему детектор лжи, который при входе задаёт вопросы типа "Вы сейчас работаете под контролем?"
— Rabby (30/10/2006 08:55)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
Пароль знает только хозяин фирмы. Единственная возможность достать информацию, это расколоть его за сутки.


Дайте нам этого хозяина фирмы, мы расколем его за пару часов! Возможности методов убеждения в необходимости сотрудничества со следствием безграничны. :-)

Как вам идея поставить в систему детектор лжи, который при входе задаёт вопросы типа «Вы сейчас работаете под контролем?»


Отвечать надо, как Штирлиц, вопросом на вопрос: "А вы?!" :-)
— Гость (30/10/2006 09:19)   <#>
Кстати, в современных детекторах лжи на вопросы отвечать не надо, а только смотреть на экран, слушать наушники и вовремя нажимать на кнопку. Ответы содержатся в ваших подсознательных реакциях на заранее подготовленный материл.
http://society.pravda.ru/socie.....50_zondirovanie.html
— Гость (30/10/2006 10:26)   <#>
Вот хоть сейчас бери и программируй систему авторизации доступа... ;)
http://www.psycor.ru./main.php?pz00
— spinore (30/10/2006 21:26)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Очевидно, у "оппонента" есть возможность физически достигнуть сервер, на котором хранится втечение суток информация. Интерпол может всё. Далее задача сводится к предыдущей.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3