Форум » Предложения по усовершенствованию SyMon » Во славу паранойи! » Ответить
Во славу паранойи!
Seal XXX: Уважаемый, Владимир. У меня к Вам очень настоятельная просьба. В свете резкого усилением правового беспредела в России со стороны проверяющих и следственных органов, возникла крайне актуальная необходимость в повышении секьюрности информации и программного обеспечения, расположенного на жестком диске. В настоящее время, лично я (впрочем, убежден, и многие другие специалисты) нуждаюсь в следующем функционале, который наиболее приемлемо (с точки зрения повлседневной работы пользователей) видеть именно в наборе возможностей SyMon. Попытаюсь изложить в общих чертах, ибо конкретный вариант реализации может быть непредсказуем. Допустим, в офисе юридического лица находится некоторое количество компьютеров, в которых SyMon используется в режиме скрытого интерфейса. По умолчанию запускается активным раздел с ОС-ью, в которой все ПО установлено в соответствии с нормами лицензий. Однако, есть скрытые разделы с ПО и информацией, в которых инсталлирован варезный софт и весьма конфиденциальная информация. До настоящего времени, возможностей SyMon по сокрытию разделов было, с той или иной степенью риска, достаточно. Однако, при более-менее профессиональной экспертной проверке содержимого винчестера, легко можно было раскопать эти скрытые разделы по сигнатурам загрузчика ОС, используя любые доступные специализированные утилиты (тот же Акронис и прочая). По некоторым косвенным признакам (вплоть до приватных бесед российскими "блюстителями" закона), резко усилится активность проверяющих и дотошность их экспертных служб. Отсюда, просьба. Встроить в SyMon возможность автоматически стирать сигнатуры признака начала\конца назначенного раздела, созраняя на отдельном участке (желательно, с гибко, вручную назначаемым пространством) винчестера backup такого затирания. При этом, после штатного выбора пользователем загрузки скрытой OC-и (как это сейчас происходит имеющимся функционалом), соответствующая сигнатура автоматически подставлялалсь в соответствующий же раздел для возможности передачи управления старта загрузчику. Иными словами, при попытке просканировать диск поиском сигнатур на предмет выявления скрытых разделов, утилиты сканирования не могли определить наличие такового. Конечно, во всем этом есть два изъяна. 1. Если проверяющие, при изъятии диска, в котором в последний раз пользоваетелем была активизирована именно скрытая ОС, будут его сканировать в slave подключении, сторонним аппаратным носителем (а, так обычно и происходит), то тут же будет выявлен раздел, с неуспевшей затереться сигнатурой. Это, конечно очень серьезный недостаток, но вариант управления процессом затирания из под активной NT-среды, полагаю совсем не вяжется с работой SyMon, и просить Вас о такой возможности, уже явный перебор в аппетитах :) 2. Утилиты сканирования, считывающие содержимое разделов по файловым таблицам или иным признакам, запрашиваемым мною функционалом не учитываются. Впрочем, это уже совсем другая ситуация, для других случаев и мотивов проверяющих. -- Понимаю, что изложил несколько сумбурно и не совсем технически, но надеюсь, вполне понимаемо по-существу.
Ответов - 11
Vladimir Dashevsky: На мой взгляд, это тупиковый путь, именно с технической точки зрения. Более правильно вставить какую-нибудь аппаратную штуку с простым алгоримом шифрования, встроенным в кабелёчек SATA. Данные, записываемые на диск, и читаемые с него должны прозрачно и взаимно однозначно перекодирваться. А ключик должен сидеть в какой-нибудь внешней флешке, которая читается с USB, или, лучше, по радио в радиусе метров 10. Таким образом, можно хоть весь системный блок унести, без метки в нем нет никакой пользы.
Seal XXX: Увы, это совершенно неприемлемо. Наличие зашифрованных данных и любых элементов шифроания, обнаруженных в системнике будет, как красная тряпка для быка. Далее последует уже психологическое давление, зная на что именно можно будет теперь давить. Отсутствие же всяких намеков на существование подготовленных к активации системных разделов попросту не дает начальной точки, от которой проверка может начать раскручивать цепочку признаний. Поверьте, Владимир. Уже не первый месяц периодически прокручиваю в мыслях наиболее приемлемые варианты минимизировать геморрой в этом направлении. ИМХО, мною изложенный, хоть и не идеальный вариант, но оптимальный по многим параметрам. Естесственно, на своей челобитной не имею никакого права настаивать. Но, если возможно, прошу повнимательней отнестись к данному изложению.
Vladimir Dashevsky: Программная реализация должна быть простой и устойчивой. Поскольку SyMon только пускает систему, нет никакой возможности скрыть содержимое файловых систем после выключения питания компьютера. Я не думаю, что квалификация людей, которым будет поручено следствие по данному вопросу, будет настолько низка, чтобы не вернуть все разделы на место. В любом случае эффект, когда работающий под, скажем, ХР компьютер на глазах следопытов после выключения вообще перестает идентифицировать диск и говорит, что данных там вообще нет, произведет на них одинаковое впечатление, независимо от того, будет сие реализовано программно или аппаратно. А элемент шифрования можно обозвать аппаратным RAID-контролелром, например. Возможно, какие-то средства криптования на лету уже есть в стандарте ATA-6 и далее, так что останется только сделать в SyMon их активацию... Надо почитать...
Seal XXX: Владимир, квалификация этих горе-экспертов, как правило достаточно низка. Говорю не по-наслышке. Чаще всего, они строят свое заключение для суда приводя в качестве "аргументов" околотехнические определения, подтасованные для выгоды следствия и обвинительного решения. С другой стороны, если адвокату удается добиться действительно независимой экспертизы, то наиболее вероятно, что под признаками наличия предустановленной операционной системы они будут выявлять загрузочные разделы именно по стандартным сигнатурам начала раздела. Это, и наиболее логично, и технически минимум трудозатратно, и для следствия вполне достаточный алгоритм. Т.е., поиск "выключенных" компрометирующих файлов и поиск установленной ОС-ы с, всего лишь, с отсутствющим признаком 80h - качественно совершенно разные задачи. "эффект, когда работающий под, скажем, ХР компьютер на глазах следопытов после выключения вообще перестает идентифицировать диск и говорит, что данных там вообще нет, произведет на них одинаковое впечатление" - признаюсь, не совсем понял, в каком ключе понимать "одинаковое впечатление" :) Полагаю, речь идет о криптовании содержимого скрытого раздела? Боюсь, выявить наличиче признаков ткой активности будет не сложно. Программ, работающих с таким функционалом единицы. По слухам, к примеру, у ТруКрипт с осени прошлого года появилась такая возможность. Практически, именно этот вопрос с шифрацией раздела я еще не щупал. Ближайшее время поэкспериментирую. Боюсь, криптующие загрузчики могут помешать работе SyMon. Хотя, несколько нерадостно отношусь на идее скрывать информацию шифрованием, по вышеизложенным соображениям - красная тряпка для быка... коррида, каррамба! :)
Vladimir Dashevsky: Тогда проще всего можно сделать так. надо при выполнении shutdown'а системы прописать в таблицу разделов MBR вообще другую схему разделов, с неправильными границами. При старте SyMon он по умолчанию загрузит легальную систему. А если диск изымут для анализа, то таблица разделов будет такова, что данных там будет не видно. При активации SyMon MBR перекомпилируется на лету.
Seal XXX: Хм. Этот, последний вариант только предполагается к осуществлению, или уже работает в нынешних версиях SyMon? Однако, не стоит забывать о том, что наиболее вероятен вариант использования сканер-утилит, которые по признаку 55AA просто выявят все возможные конфигурации разделов на винте, и по подстановкам в активную загрузку проверят "свжачок" с компроматом сисадмину и руководителю предприятия. Именно этот вариант развития событий хотелось бы избежать в первую очередь, повторюсь, как наиболее вероятный (имхо).
Vladimir Dashevsky: Скажем так. Этот вариант не требует ничего менять в SyMon :-) Достаточно просто написать приложение под винды, вызываемое при шатдауне. К сожалению, я таких не писал пока. Как еще альтернатива, ATA-6 поддерживает Security mode для диска, когда команды чтения записи требуют предварительного ввода пароля. В итоге, диск без пароля вообще не доступен, и, скорее всего, не воспринимается BIOS как загрузочный. Но, если вставить временно загрузочную флешку, и с нее запустить программку ввода пароля, то можно продолжить загрузку с HDD. Надо с этим поэкспериментировать. PS: пароль на диск подразумевает отсутствие всяких дополнительных аппаратных устройств с эффектом красной тряпки.
Vladimir Dashevsky: А по поводу сигнатуры AA55... Если бы я писал нормальный сканер, то от поиска данных спасло бы только такое действие, при котором данные уже невозможно исользовать. Потому что помимо суперблока есть еще его копия (NTFS), есть еще $MFT (NTFS), есть характерный формат каталога, есть куча информации, по которым можно восстановить данные. И для того, чтобы их не найти, надо просто откровенно запороть все эти данные. А на это надо несколько минут при нынешних соотношениях обзема диска и скорости записи.
Seal XXX: Владимир, по MFT и файловым форматам (каталог, ведь тоже файл... нулевой длины ;) ), насколько я понимаю (не исключено, что и неправильно понимаю) можно найти только файлы, когда-либо существовавшие на диске. Этот момент я упомянул, как о задаче иного характера, более применимого к заказам бизнес-конкурентов, при поиске соответствующей информации. При определении же наличия действующего (или скрытого, "готового к активности) контрафакта, необходимо активировать загрузку именно этой, скрытой операционной системы. Опять-таки, существует масса утилит (в т.ч. и SyMon), позволяющая производить такую "активацию", по вполне известному алгоритму. Ведь работоспособная, инсталлированная в систему программа, это (как правило) не один-единственный файл, а комбинация файлов и реестровых прописко (если речь идет о MS OS), раскиданных по всей системе и взаимосвязанно функционирующих. Именно, о таком функционале сканера я веду речь. Именно от таких действий хотелось бы закрыться желательным функционалом SyMon. Боюсь, уже могу показаться назойливым. Прошу извинить, если это так.
Vladimir Dashevsky: Обсуждаем дальше. Говоря о файловых форматах, я прежде всего имею ввиду следующее. Представим себя на их месте. Вот вы вставляете диск в систему, загружаетесь. Открываете проводник "Мой компьютер". Смотрите, какие диски в системе есть. Смотрите, каков объем места на С:, Д:, ... Суммируете. Смотрите свойства дисков, там даны ссылки на оборудование. Смотрите на объем носителей. И получается, что загруженная ОС без явных признаков контрафакта имеет в распоряжении лишь 10% дискового пространства. Или, имеет, 80%, но диски нельзя посмотреть, потому как они по мнению системы не отформатированы еще. И то и другое подозрительно. И вот вы решили отдать такой диск специалистам, с целью выяснить, а действительно ли оставшееся место свободно. Они запускают поиск разделов, и разделов нет. Они берут diskedit, и смотрят глазками на начало областей, где нет разделов, и видят там нетронутые фрагменты FAT (NTFS). Видят нетронутые резервные копии с сигнатурами. Грамотным людям сразу всё понятно станет. Особенно, если они знают, чего хотят. то есть, на этом пути с убиранием сигнатур никаких гарантий нет. Вот поэтому я и пытаюсь понять, какой конкретно алгоритм имеется ввиду? Какое состояние дисков Вы считаете идеальным для предъявления посторонним в неудобный момент? Какими путями это состояние должно достигаться в различных сценариях?
Seal XXX: *PRIVAT*
полная версия страницы