Zabezpieczanie danych.

[Gość]

Witajcie. Stanąłem ostatnio przed problemem zabezpieczenia danych w firmie - dyski, pendrajwy.

 

Już jakiś czas temu znalazłem ciekawy film rozwiązujący problem jak zaszyfrować dane na pamięci przenośnej, aby nie było potrzeba instalować na komputerach żadnego oprogramowania obsługującego taki pendrajw. (wymagany jest jedynie dostęp do systemu jako administrator)

 

 

Dzięki koledze @nismo dowiedziałem się o dziwnej sytuacji związanej z tym programem (poczytać można na niebezpieczniku), jednak wchodząc w temat znajdywałem również coraz więcej informacji, że TrueCrypt w wersji 7.1a oraz wcześniejszej są cały czas bezpieczne, a plotki o ewentualnych backdoor'ach są ciągle plotkami. Po porzuceniu rozwijania programu TrueCrypt przez pierwotnych twórców stworzono przez Francuzów VeraCrypt na bazie tegoż poprzedniego, ilość iteracji wzrosła diametralnie, szyfrowanie za pomocą silnych algorytmów AES-256, Serpent i Twofish z możliwością szyfrowania kaskadowego. Program polecany niemal wszędzie.

 

Okazuje się, że z VeraCryptem możemy zrobić ten sam patent co na filmiku wyżej z TrueCryptem, na naszym pendrajwie znajdą się cztery obiekty:

 

w folderze VeraCrypt wystarczą pliki:

 

 

Pliki Start (Odszyfruj) i Stop (Zaszyfruj) tworzymy poprzez wrzucenie kolejno do plików notatnika (oraz zmiany rozszerzenia pliku na .vbs)

 

Set objShell = CreateObject("WScript.Shell")

objShell.Run "VeraCrypt\veracrypt /v scribe /l x /q /a /m rm /e "

oraz

Set objShell = CreateObject("WScript.Shell")

objShell.Run "VeraCrypt\veracrypt /d x /q"

gdzie "scribe" jest nazwą kontenera - można sobie zrobić dowolna inną, a "x" symbolem stworzonej przez nas bezpiecznej partycji. W filmiku na górze wszystko zostało wyjaśnione. Patent sprawdza się bardzo dobrze, polecam.

Pojawił się jeszcze inny problem, czy jeśli na używanym wcześniej pendrajwie stworzę kontener zajmujący niemal cała przestrzeń tego urządzenia, to czy jakimś programem do odzyskiwania danych będę w stanie wyciągnąć to, co było wcześniej na tej pamięci USB?

Przeszukałem sporą część internetu i udało mi się skontaktować w tej sprawie z osobą profesjonalnie zajmująca się odzyskiwaniem danych (pozwolę sobie zamieścić treść którą otrzymałem, nie podam jednak autora, gdyż może sobie tego nie życzyć. Mogę tylko zagwarantować, że ta osoba zajmuje się tym na co dzień).

Witam!
Jednokrotne nadpisanie (na pamięć Flash) jest w zupełności wystarczające - wtedy próba
odzyskania danych zakończy się odzyskaniem śmieci użytych do nadpisania. Z
tym, że nadpisanie musi być dokładne. Nagrywając śmieciowe pliki trzeba
dopilnować, żeby wypełniły cały nośnik. Dlatego warto użyć jakiegoś programu
nadpisującego zadanym wzorem lub wartością losową - program nadpisze
wszystkie adresy LBA z zadanego zakresu.
Również w przypadku dysków magnetycznych w zupełności wystarczy jednokrotne
nadpisanie. Przy obecnej gęstości zapisu oraz stosowanych metodach
pozycjonowania i kontroli położenia głowicy nie jest możliwe, żeby głowica
nie trafiała w ścieżkę. Do wyjaśnienia uzyskiwanych w rozmaitych
pseudobadaniach rezultatów odzyskiwania po nadpisaniu pojedynczych bajtów
tożsamych z pierwotną zawartością na poziomie poniżej 0,5 % można łatwo
wytłumaczyć w oparciu o wiedzę na poziomie III klasy szkoły średniej - 1/256
(2^8), to 0,4 %. Z rachunku prawdopodobieństwa należy oczekiwać takiego
mniej więcej rezultatu, a nie mając do porównania danych wyjściowych nie
potrafimy wskazać, które konkretnie bajty są z nimi zgodne.
Procedury bezpieczeństwa przewidujące wielokrotne nadpisywanie powstały
kilkadziesiąt lat temu, kiedy podstawowym nośnikiem były taśmy magnetyczne.
Wtedy przypadki nietrafienia w ścieżkę były dość częste. Sporadycznie
niedostateczna dokładność nadpisywania mogła się zdarzyć w napędach z
silnikiem krokowym - stacjach dyskietek i bardzo starych dyskach twardych.
Ostatnią firmą stosującą silniki krokowe był hinduski Kalok, który przestał
istnieć bodajże w 1996 r. W większości dyski w tamtym czasie były wyposażane
w silniki solenoidalne, które o wiele precyzyjniej pozycjonują głowicę, a
dzięki rozmieszczonym na ścieżkach serwometkom procesor dysku otrzymuje
regularnie informację o aktualnym położeniu głowicy i może kompensować
odchylenia od idealnego okręgu wynikające m. in. z mimośrodowości osi
silnika obracającego talerze, różnic rozszerzalności temperaturowej
materiałów czy innych mechanicznych niedoskonałości.
W razie nadpisywania nośnika plikami śmieciowymi proszę pamiętać, że o ile w
przypadku pamięci półprzewodnikowych aby zapisać cokolwiek, konieczne jest
najpierw skasowanie całego bloku (wyrzucenie ładunku z bramki pływającej, co
uniemożliwia ustalenie poprzedniej zawartości komórki pamięci), o tyle w
nośnikach magnetycznych przemagnesowywane są pojedyncze domeny magnetyczne.
Tak więc jeżeli plik nie zapełni klastra do końca, końcowe x bajtów nie
zostanie nadpisane. Praktyczne wykorzystanie tej luki bezpieczeństwa jest
bardzo wątpliwe, tym niemniej trzeba mieć świadomość ,że ona istnieje. Jest
to argument za zastosowaniem procedury nadpisywania całego dysku po
sektorach LBA. Można to zrobić np. takimi programami, jak MHDD i Wiktoria.
przy pomocy tych programów można także przeprowadzić operację Secure Erase -
która też sprowadza się do nadpisania całego dysku.
pozdrawiam.

Jeśli chcemy wyczyścić pendrajw lub dysk warto skorzystać np. z programu Eraser z opcją Cluster Tip Area, nie pozostawi niczego ważnego w obszarze klastra.

Warto przypomnieć, że formatowanie nie zabezpiecza nas przed odzyskaniem danych. Takie dane o ile nie zostały nadpisane możemy odzyskać np. programem DMDE.

W ten temat wszedłem stosunkowo niedawno, jeśli macie jakieś spostrzeżenia czy doświadczenia to mile widziane podzielenie się.

Pozdrawiam.

Edytowane 16 Stycznia 2016 przez Gość

[redflow]

Jest tylko jeden problem, zresztą skrupulatnie pomijany w większości poradników.
Wpisywanie hasła na działającym systemie, w dodatku zazwyczaj z aktywnym połączeniem sieciowym, tworzy sporo możliwości dla ludzi pragnących poznać zawartość zaszyfrowanych z takim trudem nośników.

Dlatego warto pamiętać o stworzeniu odpowiedniego środowiska dla otwierania zaszyfrowanych kontenerów

[Gość]

To prawda, wbijanie hasła np. z klawiatury można próbować przechwycić. Programy szyfrujące mają jeszcze inne patenty na odszyfrowanie zawartości.

 

Jeśli masz jakieś porady w tej kwestii to zawsze warto poczytać.

[Ugz]

Nie tylko z klawiatury, czytanie z schowka itp jest jeszcze łatwiejsze. A jeszcze prostsze bywają szyfry zabezpieczone plikiem xD

 

Bo tu nawet nie trzeba czekać czasem na odpowiedni moment

[grubbby]

Ale to,wszystko to kwestia zarzadzania ryzykiem wiec tez jakie dane chcemy zabezpieczyc, kto i jakim kosztem chcialby je "ukrasc".

Ale jak juz sie uprzec ze nie chcecie hasla to haslem moze byc wybrany z dysku plik.

Komercyjne narzedzia typu symantec SEP tez maja takie funkcjonalnosci jeszcze bardziej zautomatyzowane niz true crypt.

 

Odnosnie odzyskania danych nie zgodze sie ze wystarczy jednokrotne nadpisanie. I nie chodzi tu o nietrafienie w sciezke (co to ma w ogole do dyskow flash???).

Ale tez to kwestia kosztow, bo po prostu trzeba narzedzi.

Krotko tlumaczac czemu nie wystarczy jednokrotne zapisanie to chodzi o to ze 0 i 1 na nosniku flash czy magnetycznym sa reprezentowane przez odpowiednia wartosc fizyczna - nie scisla ale z danego przedzialu.

I teraz jak na taka wartosc cos napiszemy np. 1 to wiadomo co bylo wczesniej z duzym prawdopodobienstwem. Bo inaczej wyglada ta wartosc jesli 1 nadpiszemy na 0 a inaczej niz na 1...

Tak jakby zasypywac wiaderkiem piasku bity zapisne jako dziura (0) lub pagorek (1). Bedziemy mieli mniejsze lub wieksze pagorki... Wiadomo wiec po tym co zostalo zasypane.

[retter]

O ile pamięć mnie nie myli dyski hdd zapisane 5x dopiero tracą swoją pamięć o tym co tam było.

[Gość]

Odnosnie odzyskania danych nie zgodze sie ze wystarczy jednokrotne nadpisanie. I nie chodzi tu o nietrafienie w sciezke (co to ma w ogole do dyskow flash???).

Ale tez to kwestia kosztow, bo po prostu trzeba narzedzi.

Krotko tlumaczac czemu nie wystarczy jednokrotne zapisanie to chodzi o to ze 0 i 1 na nosniku flash czy magnetycznym sa reprezentowane przez odpowiednia wartosc fizyczna - nie scisla ale z danego przedzialu.

I teraz jak na taka wartosc cos napiszemy np. 1 to wiadomo co bylo wczesniej z duzym prawdopodobienstwem. Bo inaczej wyglada ta wartosc jesli 1 nadpiszemy na 0 a inaczej niz na 1...

Tak jakby zasypywac wiaderkiem piasku bity zapisne jako dziura (0) lub pagorek (1). Bedziemy mieli mniejsze lub wieksze pagorki... Wiadomo wiec po tym co zostalo zasypane.

 

 

@grubby trochę pomieszałeś.

Pamięć flash:

"W razie nadpisywania nośnika plikami śmieciowymi proszę pamiętać, że o ile w

przypadku pamięci półprzewodnikowych aby zapisać cokolwiek, konieczne jest

najpierw skasowanie całego bloku (wyrzucenie ładunku z bramki pływającej, co

uniemożliwia ustalenie poprzedniej zawartości komórki pamięci)"

 

Dysk HDD (magnetyczny)

 

Również w przypadku dysków magnetycznych w zupełności wystarczy jednokrotne

nadpisanie. Przy obecnej gęstości zapisu oraz stosowanych metodach

pozycjonowania i kontroli położenia głowicy nie jest możliwe, żeby głowica

nie trafiała w ścieżkę

 

Podsumowując technologia zapisu flash nie daje możliwości na pozostawienie informacjo co było wcześniej w danym miejscu, jeżeli zostało to zastąpione nową informacją.

 

Natomiast odnośnie dysków HDD, odczytywanie po nadpisaniu jest możliwe przez niedokładność zapisu, czyli informacje po starym pliku pozostawione na krawędziach sektorów. Obecnie dokładność technologii HDD skutecznie temu zapobiega, szanse na taki błąd są bardzo niewielkie.

A przeczytać to możesz też tutaj.

https://pl.wikipedia.org/wiki/Zamazywanie_pliku

[grubbby]

Nie zgodze sie ze uniemozliwia. Bo zgoda co do tego jak,to sie dzieje we "flash". Ale znow nie jest to w pelni skuteczne i nie uniemozliwia a utrudnia pozniejsze prognozy o wczesniejszych wartosciach.

Tak mnie uczono i tak za odpowiednie pieniadze forensics oferowano. Tylko od razu podkreslmy ze nie byla to oferta typowa i nie skietowana dla osob indywidualnych.

Edytowane 17 Stycznia 2016 przez grubbby

[Gość]

Jeżeli chodziło o zjawisko Histerezy magnetycznej, to w nowych dyskach też jest to już dementowane.

 

Dla świętego spokoju można użyć US DoD 5220.22-m i nadpisać 3 lub 7 razy, jednak obecnie wydaje się to zbędne.

 

 

 

Niektórzy naukowcy wskazują na teoretyczną możliwość odzyskania danych z nośników magnetycznych, jak twardy dysk, nawet w przypadku gdy dane znajdujące się na nim zostały nadpisane jednokrotnie - dotyczy to jednak starszych dysków (o pojemności 200 MB i mniejszej) w których głowice kierowane są za pomocą silnika krokowego. Mechanizm ten nie jest zbyt dokładny i powoduje, że część danych po nadpisaniu może być możliwa do odczytania poprzez ślady magnetyczne na krawędziach sektorów. Inną możliwością jest obrazowanie domen magnetycznych i obliczanie na podstawie histerezy magnetycznej prawdopodobieństwa wystąpienia danego zapisu przed nadpisaniem. W przypadku takich dysków i dyskietek dopiero wielokrotne nadpisanie zapobiega takiej możliwości. We współczesnych dyskach, ze względu na inny system pozycjonowania głowic, rozmieszczenia znaczników sektorów po całym dysku oraz bardzo dużą gęstość zapisu, jednokrotne nadpisanie danych uniemożliwia ich odzyskanie.

Edytowane 17 Stycznia 2016 przez Gość

[grubbby]

pytanie skad te dane i na jakiej podstawie...

Nie takie 'cuda' da sie zrobic przy odpowiednim budzecie... jak np. na podstawie emisji (nie pamietam czy cieplnej czy radiowej czy magnetycznej) da sie odtworzyc ze sporej odleglosci obraz z monitora widzianego tylko od tylu.

A odnosnie dyskow flash jak mowilem opieram swoja wiedze na konkretnej usludze konkretnej firmy - nie tylko na teoretycznej wiedzy ktora pozyskalem.

[Gość]

A odnosnie dyskow flash jak mowilem opieram swoja wiedze na konkretnej usludze konkretnej firmy - nie tylko na teoretycznej wiedzy ktora pozyskalem.

 

http://kaleron.pl/odzyskiwanie-danych-z-pamieci-flash.php

[grubbby]

To z calym szacunkiem do tej firmy mowie o usludze firm pokroju veritas/symantec czy rsa wykonywanej w laboratorium nie w polsce a jak mniemam (bo tego oficjalnie nje wiem) wyspecjalizowanym jedynym dla tych firm globalnie.

[Gość]

@grubby ja nic nie mam zamiaru podważać, ale sposób działania układów Flash jest bardzo dobrze opisana. Mówiąc o super hiepr laboratoriach super hiper firm obracamy się niestety na domysłach.

[grubbby]

Nie na domyslach ale na uslugach ktore wykonywaly w ktorych uczestniczylem:)

Jako przedstawiciel klienta nie wykonawca oczywiscie

[Gość]

I jesteś w stanie potwierdzić, że to co robili to odzyskiwanie danych z kompletnie nadpisanych nośników flash, w których każdy sektor został nadpisany?

[grubbby]

jestem w stanie potwierdzic ze byly to uslugi forensics i dyski byly nadpisane. W sposob 'ludzki', na poziomie systemu plikow w niemal kompletnej objetosci nosnika. Wiec zdecydowana wiekszosc, niemal komplet sektorow byly nadpisane. I odzyskana zawartosc baardzo znaczaco przekraczala objetosciowo sektory ktore mogly pozostac nieponadpisywane - co wyklucza dyskusje ze nadpis byl niekompletny.

HDD niszczone z premedytacja nadpisem czy pelnym formatowaniem tez spokojnie odzyskiwane.

 

poza tym nie oszukujmy sie - procedury wielu firm i korporacji przerabialem. Zadna szanujaca sie nie opierala niszczenia danych na nadpisaniu pojedynczym a dla wyzszych klasyfikacji poufnosci wymagany byl konkretny algorytm w stylu DoD. Wiele inwestuje niemale pieniadze w degaussery.

Jakby nadpisanie bylo skuteczne to uwierzcie nikt nie bylby zainteresowany nadmiernymi kosztami ludzkimi, operacyjnymi czy finansowymi. A siedza tam na prawde w weilu miejscach kumaci i ogarnieci ludzie...

[Gość]

@grubby prawda jest taka, że obecnie wiele korpo cały czas stosuje Gutmanna z 35 nadpisami mimo, że ten proces stworzony został dla starszych dysków i jest zupełnie niepotrzebny dla nowych, ale na wszelki wypadek się robi.

 

Z "ludzkich" nadpisów można własnie wyciągnąć dane, chodzi własnie o nie zapełnienie klastra do końca w HDD, dlatego stosuje sie programy. Formatowanie natomiast nic nie daje, ale 90% ludzie nie zdaje sobie z tego sprawy.

 

Skoro piszesz, że widziałeś, rozmawiałeś... no kłócić się nie będę, bo zostaje wierzyć Ci na słowo. I tak niemal wszyscy zapobiegawczo będą maglować dyski po kilka razy.

Edytowane 17 Stycznia 2016 przez Gość

[Ugz]

Skuteczność nadpisania może być skuteczna, wszystko zależy od gęstości zapisu. Inny rezultat dają nadpisy przy 1 talerzu 1tb, a inny przy 2 talerzach 500gb

 

Co do niszczenia dysków to gdzieś na wykładzie któryś z wykładowców mówił mi o firmie która wysyła swoje auto i przy pomocy chemii przy kupującym niszczy dane. Bo o ile programowo odczytać danych się nie da czasem, o tyle analizując rozebrany dysk już czasem się coś uda. Wszystko zależy od wartości danych o które może toczyć się walka.

 

Ale to,wszystko to kwestia zarzadzania ryzykiem wiec tez jakie dane chcemy zabezpieczyc, kto i jakim kosztem chcialby je "ukrasc".
Ale jak juz sie uprzec ze nie chcecie hasla to haslem moze byc wybrany z dysku plik.

wrócę jeszcze raz do kwestii zabezpieczania plików nie hasłem, a plikiem. Aby przejąć hasło trzeba bawić się brute force, lub czekać z keylogerem na jego wpisanie. Z plikiem jest łatwiej, systemy często indeksują swoje pliki i zapisują datę ostatniego użycia oraz jak często są one używane. Jak z tych 2 danych dojść z dużym prawdopodobieństwem który plik dodatkowo trzeba skopiować tłumaczyć nie będę

[SlawekR]

Myślę, że to jest skuteczna metoda "nadpisania" danych na dysku.

 

 

Konia z rzędem temu, kto te dane będzie w stanie odzyskać

Edytowane 17 Stycznia 2016 przez SlawekR

[grubbby]

Do wzmocnienia uwierzytelniania polecam fido u2f.

Plik tez nie musi byc na dysku a moze byc na zabezpieczonym penie.

Chemiczne niszczenie oczywiscie tez skuteczne i tez widzialem oferty "mobilne".

Co do dyskow i pojemnosci to moze i roznice w trudnosci sa ale jeszcze nikt mi nie zwrocil uwagi ze jakas pijemnosc jest niemozliwa po nadpisie do odzyskania.

Edytowane 17 Stycznia 2016 przez grubbby

[Ugz]

Myślę, że to jest skuteczna metoda "nadpisania" danych na dysku.

 

 

Konia z rzędem temu, kto te dane będzie w stanie odzyskać

A laboratorium do testów też dajesz?

Toż to wystarczy ułożyć jak puzzle i przeanalizować. Kosztowne, ale do odzyskania.

 

Skoro już udało się odczytać tekst z zwęglonego papieru, to te puzzle tym bardziej ktoś by ułożył

Tym bardziej że wartości namagnesowanych powierzchni przy takim niszczeniu chyba nawet niewiele się zmieniają

[grubbby]

Dokladnie - jesli maszynka nie ma degaussera to spory wolumen danych do odzyskania. Znow przy odpowiednim budzecie oczywiscie

[Gość]

Jeżeli firmy nie mają czasu na specjalistyczne kasowanie i po prostu boją się, bo "nie wiedzą, co mają jakieś tam laboratoria", to poleca się zmianę stanu stały-> płyn.

[Ugz]

Jeżeli firmy nie mają czasu na specjalistyczne kasowanie i po prostu boją się, bo "nie wiedzą, co mają jakieś tam laboratoria", to poleca się zmianę stanu stały-> płyn.

może nie tyle że nie mają czasu, ale czasem dane są na tyle ważne że lepiej zniszczyć dysk i stracić te wartość dysku + niszczenia. Niż zaryzykować

Kwestia kalkulacji, tym bardziej że pewnie często niszczy się tak dyski przed wyrzuceniem gdy następuje ich zmiana

[Gość]

A i jeszcze bardzo ważne, dyski typu flash nie zapisują danych ciągle w tym samym miejscu, nadpisanie 500mb na dawne 500mb nic może nie dać, a też nie wszyscy wiedzą, te dane są rozproszone. Kasować należy cały nośnik od początku do końca.

 

Ugz no właśnie takie rzeczy robi się ze strachu i niepewności. Dla firm wydać pieniądze na zakup nowych dysków to nie problem, tanizna teraz, wrzucić to pieca hutniczego też można.

Edytowane 17 Stycznia 2016 przez Gość