Pendrive Prosto w Serce

[rycho]

Cytat:

Napisany przez Jabba the Hutt

P.S. Berion ma nieładny Avatar ! A miał fajniejsze...

Jabba ma paskudny avatar!

Cytat:

Napisany przez Berion

Bardzo pozytywny avatar. Postać Pey'a z Beyond Good and Evil, ciekawej acz niedocenionej gry.

Bardzo pozytywny avatar...

[Berion]

Edem można nawet straszyć dzieci.

[rycho]

Edem? Ten na avatarze jest OK.
Ten realny to dopiero...

[Jabba the Hutt]

Jabby trzeba się bać...

Berion - masz rację z dźwiękami ! I jeszcze programista musi dużo pisać na klawiaturze

[Kris]

Tak jest, na filmach nie wiedzą, co to myszka... nawet jak kursor biega po ekranie, to tam słychać w tle jak napier...ją w klawisze. Pewnie koordynaty kursora wpisują.

[palikot]

Cytat:

Napisany przez Patrix

Pytanie co jest gorsze,
w przypadku wyłączonego sprzętu softowego hdd TC nikt nie ruszy (jak do tej pory),
gorzej wg mnie sprawa wygląda ze sprzętowym rozwiązaniem, gdzie w rękach masz potencjalny wytrych oraz dane przy nim.

Nie rozumiem.
Algorytm np. AES jest jawny.
Jego implementacja w TC jest jawna - Open Source.
Jego implementacja w sprzętowych układach - jawna albo niejawna. Przy jawnej wychodzi na to samo, co w TC.
Część specyfikacji TPM jest niejawna i ja bym temu rozwiązaniu nie ufał, właśnie z tego powodu. Banalne życiowe doświadczenie mówi, że takie ukrywanie jest w istocie odmianą security by obscurity.

Chyba, że chodziło Tobie tylko o "sprzętowy wytrych" w postaci fizycznego nośnika z kluczem, miast hasła "w głowie"?

Ale wracając do serialu:
właśnie okazało się, iż Zadworny ukradł pendrive, ale młody go wcześniej zaszyfrował i wedle jego słów: algorytm wykonał tak, aby łamiący szyfr haker odgadł fake hasło, którego podanie spowoduje wysłanie informacji o lokalizacji komputera! Boi się jednak, że haker od razu odgadnie jego plan i poda hasło właściwe.
Coś scenarzysta chyba przeczytał o ukrytych wolumenach TC, ale przekombinował

No nic, Zadworny czeka na informatyka

[palikot]

Hasłem jest pierwszych 9 cyfr liczby Pi. Co prawda nie wiem, czy fake hasłem, czy real, bo poszedłem zakurzyć.

A jutro zobaczymy próbę siłowego wymuszenia hasła!

BTW W ostatniej scenie Monika robi test ciążowy, a Konstancja dziwnie zasłabła.... Wiedziałem, że to się tak skończy....

[ed hunter]

Qurva, o czym ty do nas rozmawiasz?

[andy]

Cytat:

Napisany przez Patrix

To jest dalej rozwiązanie sprzętowe- a więc potencjalnie dziurawe

Mylisz się, zanim wyjaśnię dlaczego, przedstawię cytat pewnego Pana, który zjada nas na śniadanie w kwestii security ;-)

Cytat:

"Just because something is secure in theory doesn't mean it's secure in practice. Or, to put it more cleverly: in theory, theory and practice are the same; but in practice, they're very different." -Bruce Schneier

Co ten cytat wnosi do dyskusji? Otóż na papierze może istnieć algorytm szyfrowania, który matematycznie na chwilę obecną jest nie do przełamania. Wszystko się zmienia jak ktoś spróbuje zaimplementować go, tutaj wszystko się zmienia.

W tamtym roku było głośno o złamaniu pewnej implementacji szyfrowania kwantowego. Jak wiemy takiego przekazu nie da się podsłuchać, ponieważ każda ingerencja w sygnał go zmienia.
Niestety osoby, które projektowały urządzenia popełniły błędy i pewnym osobom udało się złamać to urządzenie.


@Patrix, szyfrowanie sprzętowe nie jest potencjalnie dziurawe. Po prostu tutaj coś najłatwiej spartolić. Kilka miesięcy temu było głośno o pendrivach szyfrowanych sprzętowo. Dlaczego?

Cytując Niebezpiecznik'a:

Cytat:

Pendrive***8217;y firm Kingston SanDisk i Verbatim są do siebie bardzo podobne. Wszystkie szyfrują dane sprzętowo bezpiecznym, 256-bitowym AES-em i na dodatek są certyfikowane na poziomie FIPS 140 (poziom 2) przez NIST, co daje im m.in. zielone światło do przechowywania poufnych informacji rządowych w USA.


Firma SySS poddała analizie oprogramowanie obsługujące pendrive***8217;y pod Windowsem i przeżyła lekki szok. Okazało się, że niezależnie jakie hasło ustawił użytkownik, program zawsze wysyłał jeden, stały ciąg znaków będący instrukcją do odszyfrowania danych. W skrócie, procedura wygląda tak:

1. Dysk pyta o hasło
2. Użytkownik wprowadza hasło
3. Jeśli hasło jest nieprawidłowe, oprogramowanie wysyła ***8220;NIE ROZSZYFRUJ***8221; do dysku
4. Jeśli hasło jest prawidłowe, oprogramowanie wysyła ***8220;ROZSZYFRUJ***8221; do dysku

Jak widać, aby rozszyfrować dane użytkownika, wystarczy pominąć krok 1 oraz 2, i po prostu przesłać ***8220;ROZSZYFRUJ***8221; do dysku ***8212; nie trzeba niczego łamać. Ekipa z SySS stworzyła już odpowiedni program pozwalający łatwo dobrać się do zaszyfrowanych danych. Na atak podatne są następujące modele pendrive***8217;ów:

• Kingston DataTraveler BlackBox
• SanDisk Cruzer Enterprise FIPS Edition
• Verbatim Corporate Secure FIPS Edition

Dlatego osobiście nie przepadam za szyfrowaniem sprzętowym. TrueCrypt ma otwarty kod i każdy może w nim szukać luk - tak w implementacjach algorytmów szyfrujących, jak i w samym oprogramowaniu.
Jak na razie nie było przypadku ujawnienia takiej luki. Są co prawda ataki skierowane na obejście pełnego szyfrowania systemowego - infekcja bootloadera TC rootkitem (zabezpieczenie, każdorazowe weryfikowanie sumy kontrolnej bootloadera przed wpisaniem hasła), oraz ataki na pamięć RAM - chwile po wyłączeniu komputera pamięć jest zamrażana i klucz jest wydobywany (niestety nie wiem czy i na to znaleźli zabezpieczenie).

Oczywiście można jeszcze wyłapywać promieniowanie wysyłane z urządzeń - dzięki analizie można poznać np. wciskane klawisze


Podobnie sprawa ma się z chipami w kartach . Normalnie takiej karty nie da się skopiować podsłuchać ponieważ cała magia zachodzi w środku, sama karta udostępnia API tylko do "niegroźnych" metod.
Ostatnio widziałem filmik jak pewien spec od bezpieczeństwa takich układów demonstruje dobranie się do serca układu. Rozbiera go kawałek po kawału, by na koniec podłączyć się i odczytywać z niego informacje. Mógł zrobić WSZYSTKO z takim chipem, poniżej filmik o którym mówię. Niezłe nie?

Cytat:

Napisany przez palikot

Hmm, czemu rozwiązanie sprzętowe uważasz za potencjalnie dziurawe? (nie sprzeczam się, po prostu nie wiem).

Bo łatwiej coś spartolić, przykład podałem wyżej.

Cytat:

Napisany przez palikot

Każdy układ fizyczny będzie teoretycznie narażony na analizę promieniowania, na podłączenie do oscyloskopu itd itp
Ale znowuż softwarowy TC jest narażony np. na keyloggera

Tak, jednak przy hw jest większe pole do popisu. Zazwyczaj też nie ma publikowanego kodu takich rozwiązań więc...

Cytat:

Napisany przez Jabba

W poważnych firmach na pewno wiedzą jak zabezpieczać dane.

Zdziwiłbyś się

Jak dla mnie podstawa to pełne szyfrowanie systemu w laptopach, oczywiście klucz jest długim ciągiem pseudolosowych znaków.

Cytat:

Napisany przez Jabba

Co do zabezpieczenia pena proponuję - jedna osoba ma pena a druga smycz ! Bez smyczy nikt nie odczyta danych ! ))

TrueCrypt będzie idealny. Dobrze jest jeszcze połączyć go ze steganografią.

Cytat:

Nie rozumiem.
Algorytm np. AES jest jawny.
Jego implementacja w TC jest jawna - Open Source.
Jego implementacja w sprzętowych układach - jawna albo niejawna. Przy jawnej wychodzi na to samo, co w TC.
Część specyfikacji TPM jest niejawna i ja bym temu rozwiązaniu nie ufał, właśnie z tego powodu. Banalne życiowe doświadczenie mówi, że takie ukrywanie jest w istocie odmianą security by obscurity.

TPM o którym wspomina Patrix miał nieszyfrowane instrukcje w środku, przez co mogłeś dobrać się do danych. Układ był niby tak fizycznie zabezpieczony, że nie dało się do niego dobrać nie uszkadzając go wcześniej.

[palikot]

Cytat:

Napisany przez andy

(...) oraz ataki na pamięć RAM - chwile po wyłączeniu komputera pamięć jest zamrażana i klucz jest wydobywany (niestety nie wiem czy i na to znaleźli zabezpieczenie).

Cold Boot Attack

Polska myśl techniczna: Ultrasonic Alarm USB http://www.elkom.com.tw/?section=2&subid=17

Real ceny są inne niż na www , można go kupić za ~ 100 zł.

[M@X]

Uzywam szyfrowanego kluczyka od LaCie. Oprogramowanie podmontowuje ukryta partycje po podaniu hasla. Wydaje mi sie, czy to raczej obrandowany TrueCrypt?

[Patrix]

Cytat:

Napisany przez andy

Mylisz się, zanim wyjaśnię dlaczego, przedstawię cytat pewnego Pana, który zjada nas na śniadanie w kwestii security ;-)
(...)
@Patrix, szyfrowanie sprzętowe nie jest potencjalnie dziurawe. Po prostu tutaj coś najłatwiej spartolić. (...)

Napisałem: "to jest dalej rozwiązanie sprzętowe- a więc potencjalnie dziurawe",
błędnie zaprojektowane urządzenie można podciągnąć pod dziurawe,
można coś haknąć softowo oraz sprzętowo... tak więc nie napisałbym, że się mylę- interpretacja jest jedna.

Rozwiązanie sprzętowe projektuje nieduży zespół
-w porównaniu z rozwiązaniem sprzętowym Open Source to ten zespół jest bardzo miniaturowy.
Teraz czyste logiczne pytanie, gdzie prawdopodobieństwo błędu jest większe ?

[Berion]

Cytat:

Napisany przez M@X

Uzywam szyfrowanego kluczyka od LaCie. Oprogramowanie podmontowuje ukryta partycje po podaniu hasla. Wydaje mi sie, czy to raczej obrandowany TrueCrypt?

Na pewno nie TrueCrypt, rozwiązanie pewnie podobne pytanie tylko właśnie jak jest to hmm... rozwiązane. Bez otwartego kodu nigdy się nie dowiesz.

[M@X]

Przezyje, grunt ze designersko jest kozacki ;-)!

[M@X]

http://technowinki.onet.pl/komputery...8,artykul.html

Ja sie pisze - swietny gadzet :-)!