Любопитни сме как ГДБОП успя да декриптира компютрите на "хакерите"
Иван Ванков е ИТ експерт и разяснява новината, обявена от прокуратурата, че проверяващите са съумели да извлекат информацията от компютрите на компанията TAD Group, обвинена за теча на персонални данни от Национална агенция за приходите. Текстът е от блога му и се разгласява със единодушието му. Заглавието е на " Дневник ".
Разбира се, че приказвам за случая с офанзивата към Национална агенция за приходите, последващите арести и конфискации на компютри. От компанията оповестиха, че няма да си декриптират компютрите, тъй като в тях имало информация на техни контрагенти и те са длъжни да я опазят. Не мога да разясня юридическата част на този въпрос, очевидно по закон може. Това, което желая да разясня, е информацията на ГДБОП, че са съумели да декриптират тези машини.
Уау, почтено. Това е впечатляващо. Казвам го без никакъв жлъч. Да успееш да декриптираш криптирана файлова система за няколко дни е нещо извънредно. Доста хора, които се занимаваме със сигурност/криптография, сме много любопитни КАК са съумели!
И тук ще опиша няколко хипотези, които може да са спомогнали този развой. Искам да кажа, че това е мое мнение, нечиста сделка и хипотетични разсъждения, нямам никаква " вътрешна " информация. Използвам този съответен случая, с цел да обясня какви са кардиналните техники за сходен вид офанзиви.
Лошо настроена криптография
Това е най-честата неточност, която се позволява даже и от експерти. За благополучие, множеството софтуери, най-много комерсиалните, се пробват да понижат вероятните неточности при конфигурация до най-малко, само че няма такава, която да подсигурява 100%, че всичко е наред. Но какво значи неприятно настроена криптография? Най-често това е потреблението на неверния логаритъм за криптиране. Не всички са еднообразно мощни, а някои от логаритмите, които са били годни преди 10 години, към този момент са " разрушени ".
Другата допустима неточност е криптиране единствено на един дял от диска, а не на целия диск. По този метод остава подправеното чувство, че дискът е предпазен, а действително не дребна част от файловете са некриптирани.
Преди време съм засичал криптирания, употребявайки CBC режим. Няма да влизам в пояснение, само че да кажем, че CBC е толкоз несъмнено, едвам си напишете паролата като обществен статус в някоя обществена мрежа. В съответния случай не считам, че това е допустимо, тъй като това са механически грамотни хора, които ежедневно се занимават с сходни обстановки и част от работата им е да вършат такива криптирания, и да наблюдават " новините " за възможни хакове по някои от логаритмите и/или стратегиите.
Много слаба ключова дума
Всички ни мързи да помним и пишем комплицирани пароли, а сигурността на криптиращия логаритъм е пропорционална на силата на паролата. Слабите пароли се нападат с по този начин наречения brute force, или " груба мощ ". Реално това става, като се създадат няколко безусловно идентични копия на диска, сложат се на няколко машини и те стартират да генерират милиарди случайни пароли в секунда. Идеята е, че в случай че паролата е слаба, от статистическа позиция е доста евентуално да се познае.
Това е нещо като тото. При 6/49 имате късмет към 1 на 14 милиона. При тото 9/19 шансът е 1 към 27 хиляди. Казано другояче, в случай че паролата ви е от 6 признака и употребява единствено букви, се разрушава за под една секунда, да, тъкмо по този начин, една секунда. Ако е 12 признака, само че употребява числа, специфични знаци и дребни и огромни букви, ще отнеме към 400 000 години. Ако е 16 признака, отиваме на трилиони години.
Това е доста вероятен вид нашите служби са помолили непознати такива да отделят малко компютърни запаси, и да са завъртели един brute force. Но въпреки всичко, това са хора, занимаващи се сигурно, няма по какъв начин да не са наясно с тези опасности и се колебая да не съблюдават положителните практики.
Задна малка врата
Тук малко влизаме в теорията на конспирацията, само че за жалост, това е действителността. В доста стратегии за криптиране има по този начин наречените задни малки врати. В някои страни те дори са наложителни.
Задната малка врата е нещо като " повсеместен ключ ", с който може да се отключи всяка криптография, която е криптирана с този съответен програмен продукт. И този повсеместен ключ нормално се държи от някоя държавна работа, чиято абревиатура всички сме чували. Ако са употребявали сходен програмен продукт, нашите служби може да са помолили непознатите да им спомагат. Случвало се е и ще се случва.
Тъй като нямам информация за метода на криптиране на дисковете, това е единствено нечиста сделка. Но в случай че " хакерът " е употребявал нещо като LUKS (софтуер за криптиране на файлови системи за Линукс), нямат късмет. Този програмен продукт е гледан от доста очи и с много огромна убеденост всички считаме, че в случай че паролата е рационално комплицирана, няма по какъв начин да се разбие.
Cold boot attack
Тук нещата стават малко като по филмите. Тази офанзива изисква компютърът да е включен или да е в хибернация. Атакуващият рестартира компютъра и зарежда специфична операционна система от флашка или различен притежател. Тази операционна система има единствено една елементарна задача - да прочете всичко от RAM паметта и да го запише някъде, постоянно на самата флашка. Причината това да се прави е, че всички стратегии, които криптират дисковете, би трябвало да държат ключа в RAM паметта, с цел да може да криптират и декриптират. Тоест в случай че някой успее да запише всички данни от паметта, е въпрос на малко търсене да откри ключа.
Сега някои от вас ще си кажат – но чакай малко, нали рестартира компютъра, всичко от RAM паметта е изтрито! Да но не, клетките в RAM паметта не губят незабавно данните след прекъсване на тока, има интервал от няколко минути, в които те са си там и последователно деградират, и несъмнено, могат да се прочетат и запишат на друго място.
Накратко, с цел да се реализира такава офанзива, атакуващият би трябвало да има физически достъп до машината, машината да е пусната с отключени дискове (ключът е в RAM паметта), и да може да направи бърз рестарт на системата.
Системи, които употребяват хардуерни криптографски модули и/или криптират самия RAM, са предпазени от тази офанзива.
В съответния случай не мисля, че това е допустимо, тъй като не са имали нужното време, допускам са взели компютрите, запечатали са ги и до момента в който ги транспортират, паметта е деградирала.
Memory dump
Тази офанзива е сходна на предходната, с тази разлика, че компютърът не се рестартира, а RAM паметта се прочита като към нея се закачат външни устройства, до момента в който компютърът работи. Представете си го, че някой запоява жици към RAM-а, до момента в който компютърът работи, и след това прочита цялото наличие и намира ключа. Тази офанзива изисква много време и профилирана техника и умения, само че пък подсигурява, че ключът ще се откри. Ако системата криптира RAM-а или има вграден HSM (хардуерен модул за сигурност), офанзивата няма да успее.
Вируси
Компютрите на оперативно забавните хора постоянно биват заразявани със профилирани вируси, които не се засичат от антивирусните стратегии, само че те събират информация и я записват на самия компютър по доста забавен метод. Най-просто казано, данните се записват на свободното място на диска, като се употребяват голям брой копия и голям брой parity/error corection bits. Няма пращане на данни по мрежата, няма никаква нетипична интензивност. Но в случай че има физически достъп до диска, тези данни може да се извлекат, даже и дискът да е криптиран, а не рядко и даже и да е бил форматиран.
Социaлно инженерство и сходни
Социалното инженерство е цяла просвета, само че най-просто казано, това е форма на операция и/или потребление на съответна обстановка, с цел да се реализира съответна цел. Тук се нападна индивидът, а не криптографията. Примерно вие си мислите, че си въвеждате паролата в google, само че действително се намирате в уебсайт, който единствено наподобява на google, и хоп, някой ви има паролата и най-мощната отбрана на света не може да ви защищити.
Друг доста забавен метод е потреблението на охранителни камери. Примерно сядате в някое хипстърско кафене с преносимия компютър си, отваряте го, въвеждате са паролата и охранителната камера е записала кои клавиши натискате. Кой има достъп до камерите на това заведение е доста, но доста несигурно.
Този вид офанзиви имат безчет вариации и са извънредно сполучливи. Няма да се изненадам, в случай че нашите служби са се докопали до някой видео запис от някое заведение, парк, офис
Това е един извънредно къс, банален лист на главните кардинални офанзиви. Всяка една от тях има голям брой механически затруднения и зависимости от съответния хардуер и обстановка, само че истината е, че службите или хора и организации с задоволително мотивация и благоприятни условия може да нападат сполучливо множеството потребителски съоръжения. В това число включвам компютри, преносими компютри, таблети, тв приемници и телефони.
Ако желаете да имате някаква прилична сигурност, ето ви няколко положителни практики:
- Използвайте програмен продукт с отворен код, който е минал инспекция от общността. Отделете малко време и потърсете информация за съответния програмен продукт. Ако не може да намерите нищо, приемате, че е злепоставен.
- Използвайте комплицирани пароли, най-малко 12 признака, само че освен букви. Сложете числа и специфични знаци. Не използвайте период.
- Не оставяйте компютъра си включен или в хибернация тук-там, на които някой може да получи достъп до него. Необходими са няколко минути, едвам отидете до тоалетната.
- Когато си въвеждате паролата за отключване на диска, гледайте кой гледа/записва.
- Сензорите за отпечатъци на пръсти на преносимите компютри не костват нищо, не разчитайте на тях. Повечето се хакват с парче транспарантно тиксо. При телефоните е една концепция по-сложно, тъй като някои датчици гледат и кръвоносните съдове, само че те ще ви предпазят от някой пишман хакер, не и от човек/организация с умения и благоприятни условия.
- Не вярвайте на маркетинга. Някой компании много се хвалят, че техните системи са неразбиваеми и че доста се грижат за сигурността на потребителите си. Практиката сочи друго. Там, където са правени тези системи, най-вероятно има закон или неофициално единодушие да има някаква задна малка врата или пробив.
- Ако в действителност има какво да пазите, потърсете решения основани на HSM (hardware secure module). При преносимите компютри е комплицирано, само че въпреки всичко има разновидности. Подгответе се за високи цени, тези устройства НЕ са планувани за елементарния консуматор, само че пък са най-високото равнище на сигурност, което може да си купите с пари.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (71)
Разбира се, че приказвам за случая с офанзивата към Национална агенция за приходите, последващите арести и конфискации на компютри. От компанията оповестиха, че няма да си декриптират компютрите, тъй като в тях имало информация на техни контрагенти и те са длъжни да я опазят. Не мога да разясня юридическата част на този въпрос, очевидно по закон може. Това, което желая да разясня, е информацията на ГДБОП, че са съумели да декриптират тези машини.
Уау, почтено. Това е впечатляващо. Казвам го без никакъв жлъч. Да успееш да декриптираш криптирана файлова система за няколко дни е нещо извънредно. Доста хора, които се занимаваме със сигурност/криптография, сме много любопитни КАК са съумели!
И тук ще опиша няколко хипотези, които може да са спомогнали този развой. Искам да кажа, че това е мое мнение, нечиста сделка и хипотетични разсъждения, нямам никаква " вътрешна " информация. Използвам този съответен случая, с цел да обясня какви са кардиналните техники за сходен вид офанзиви.
Лошо настроена криптография
Това е най-честата неточност, която се позволява даже и от експерти. За благополучие, множеството софтуери, най-много комерсиалните, се пробват да понижат вероятните неточности при конфигурация до най-малко, само че няма такава, която да подсигурява 100%, че всичко е наред. Но какво значи неприятно настроена криптография? Най-често това е потреблението на неверния логаритъм за криптиране. Не всички са еднообразно мощни, а някои от логаритмите, които са били годни преди 10 години, към този момент са " разрушени ".
Другата допустима неточност е криптиране единствено на един дял от диска, а не на целия диск. По този метод остава подправеното чувство, че дискът е предпазен, а действително не дребна част от файловете са некриптирани.
Преди време съм засичал криптирания, употребявайки CBC режим. Няма да влизам в пояснение, само че да кажем, че CBC е толкоз несъмнено, едвам си напишете паролата като обществен статус в някоя обществена мрежа. В съответния случай не считам, че това е допустимо, тъй като това са механически грамотни хора, които ежедневно се занимават с сходни обстановки и част от работата им е да вършат такива криптирания, и да наблюдават " новините " за възможни хакове по някои от логаритмите и/или стратегиите.
Много слаба ключова дума
Всички ни мързи да помним и пишем комплицирани пароли, а сигурността на криптиращия логаритъм е пропорционална на силата на паролата. Слабите пароли се нападат с по този начин наречения brute force, или " груба мощ ". Реално това става, като се създадат няколко безусловно идентични копия на диска, сложат се на няколко машини и те стартират да генерират милиарди случайни пароли в секунда. Идеята е, че в случай че паролата е слаба, от статистическа позиция е доста евентуално да се познае.
Това е нещо като тото. При 6/49 имате късмет към 1 на 14 милиона. При тото 9/19 шансът е 1 към 27 хиляди. Казано другояче, в случай че паролата ви е от 6 признака и употребява единствено букви, се разрушава за под една секунда, да, тъкмо по този начин, една секунда. Ако е 12 признака, само че употребява числа, специфични знаци и дребни и огромни букви, ще отнеме към 400 000 години. Ако е 16 признака, отиваме на трилиони години.
Това е доста вероятен вид нашите служби са помолили непознати такива да отделят малко компютърни запаси, и да са завъртели един brute force. Но въпреки всичко, това са хора, занимаващи се сигурно, няма по какъв начин да не са наясно с тези опасности и се колебая да не съблюдават положителните практики.
Задна малка врата
Тук малко влизаме в теорията на конспирацията, само че за жалост, това е действителността. В доста стратегии за криптиране има по този начин наречените задни малки врати. В някои страни те дори са наложителни.
Задната малка врата е нещо като " повсеместен ключ ", с който може да се отключи всяка криптография, която е криптирана с този съответен програмен продукт. И този повсеместен ключ нормално се държи от някоя държавна работа, чиято абревиатура всички сме чували. Ако са употребявали сходен програмен продукт, нашите служби може да са помолили непознатите да им спомагат. Случвало се е и ще се случва.
Тъй като нямам информация за метода на криптиране на дисковете, това е единствено нечиста сделка. Но в случай че " хакерът " е употребявал нещо като LUKS (софтуер за криптиране на файлови системи за Линукс), нямат късмет. Този програмен продукт е гледан от доста очи и с много огромна убеденост всички считаме, че в случай че паролата е рационално комплицирана, няма по какъв начин да се разбие.
Cold boot attack
Тук нещата стават малко като по филмите. Тази офанзива изисква компютърът да е включен или да е в хибернация. Атакуващият рестартира компютъра и зарежда специфична операционна система от флашка или различен притежател. Тази операционна система има единствено една елементарна задача - да прочете всичко от RAM паметта и да го запише някъде, постоянно на самата флашка. Причината това да се прави е, че всички стратегии, които криптират дисковете, би трябвало да държат ключа в RAM паметта, с цел да може да криптират и декриптират. Тоест в случай че някой успее да запише всички данни от паметта, е въпрос на малко търсене да откри ключа.
Сега някои от вас ще си кажат – но чакай малко, нали рестартира компютъра, всичко от RAM паметта е изтрито! Да но не, клетките в RAM паметта не губят незабавно данните след прекъсване на тока, има интервал от няколко минути, в които те са си там и последователно деградират, и несъмнено, могат да се прочетат и запишат на друго място.
Накратко, с цел да се реализира такава офанзива, атакуващият би трябвало да има физически достъп до машината, машината да е пусната с отключени дискове (ключът е в RAM паметта), и да може да направи бърз рестарт на системата.
Системи, които употребяват хардуерни криптографски модули и/или криптират самия RAM, са предпазени от тази офанзива.
В съответния случай не мисля, че това е допустимо, тъй като не са имали нужното време, допускам са взели компютрите, запечатали са ги и до момента в който ги транспортират, паметта е деградирала.
Memory dump
Тази офанзива е сходна на предходната, с тази разлика, че компютърът не се рестартира, а RAM паметта се прочита като към нея се закачат външни устройства, до момента в който компютърът работи. Представете си го, че някой запоява жици към RAM-а, до момента в който компютърът работи, и след това прочита цялото наличие и намира ключа. Тази офанзива изисква много време и профилирана техника и умения, само че пък подсигурява, че ключът ще се откри. Ако системата криптира RAM-а или има вграден HSM (хардуерен модул за сигурност), офанзивата няма да успее.
Вируси
Компютрите на оперативно забавните хора постоянно биват заразявани със профилирани вируси, които не се засичат от антивирусните стратегии, само че те събират информация и я записват на самия компютър по доста забавен метод. Най-просто казано, данните се записват на свободното място на диска, като се употребяват голям брой копия и голям брой parity/error corection bits. Няма пращане на данни по мрежата, няма никаква нетипична интензивност. Но в случай че има физически достъп до диска, тези данни може да се извлекат, даже и дискът да е криптиран, а не рядко и даже и да е бил форматиран.
Социaлно инженерство и сходни
Социалното инженерство е цяла просвета, само че най-просто казано, това е форма на операция и/или потребление на съответна обстановка, с цел да се реализира съответна цел. Тук се нападна индивидът, а не криптографията. Примерно вие си мислите, че си въвеждате паролата в google, само че действително се намирате в уебсайт, който единствено наподобява на google, и хоп, някой ви има паролата и най-мощната отбрана на света не може да ви защищити.
Друг доста забавен метод е потреблението на охранителни камери. Примерно сядате в някое хипстърско кафене с преносимия компютър си, отваряте го, въвеждате са паролата и охранителната камера е записала кои клавиши натискате. Кой има достъп до камерите на това заведение е доста, но доста несигурно.
Този вид офанзиви имат безчет вариации и са извънредно сполучливи. Няма да се изненадам, в случай че нашите служби са се докопали до някой видео запис от някое заведение, парк, офис
Това е един извънредно къс, банален лист на главните кардинални офанзиви. Всяка една от тях има голям брой механически затруднения и зависимости от съответния хардуер и обстановка, само че истината е, че службите или хора и организации с задоволително мотивация и благоприятни условия може да нападат сполучливо множеството потребителски съоръжения. В това число включвам компютри, преносими компютри, таблети, тв приемници и телефони.
Ако желаете да имате някаква прилична сигурност, ето ви няколко положителни практики:
- Използвайте програмен продукт с отворен код, който е минал инспекция от общността. Отделете малко време и потърсете информация за съответния програмен продукт. Ако не може да намерите нищо, приемате, че е злепоставен.
- Използвайте комплицирани пароли, най-малко 12 признака, само че освен букви. Сложете числа и специфични знаци. Не използвайте период.
- Не оставяйте компютъра си включен или в хибернация тук-там, на които някой може да получи достъп до него. Необходими са няколко минути, едвам отидете до тоалетната.
- Когато си въвеждате паролата за отключване на диска, гледайте кой гледа/записва.
- Сензорите за отпечатъци на пръсти на преносимите компютри не костват нищо, не разчитайте на тях. Повечето се хакват с парче транспарантно тиксо. При телефоните е една концепция по-сложно, тъй като някои датчици гледат и кръвоносните съдове, само че те ще ви предпазят от някой пишман хакер, не и от човек/организация с умения и благоприятни условия.
- Не вярвайте на маркетинга. Някой компании много се хвалят, че техните системи са неразбиваеми и че доста се грижат за сигурността на потребителите си. Практиката сочи друго. Там, където са правени тези системи, най-вероятно има закон или неофициално единодушие да има някаква задна малка врата или пробив.
- Ако в действителност има какво да пазите, потърсете решения основани на HSM (hardware secure module). При преносимите компютри е комплицирано, само че въпреки всичко има разновидности. Подгответе се за високи цени, тези устройства НЕ са планувани за елементарния консуматор, само че пък са най-високото равнище на сигурност, което може да си купите с пари.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (71)
Източник: dnevnik.bg
КОМЕНТАРИ