Author Topic: Создание USB-загрузчика / "Evil Maid" Attack / перенос 100MB раздела  (Read 6588 times)

Poiuyzxcvb

  • Newbie
  • *
  • Posts: 8
К сожалению, не смог найти конкретной информации и последовательной инструкции.

В FAQ говорится о возможности реализации защиты от "Evil Maid" Attack (https://diskcryptor.net/wiki/FAQ/ru / https://www.pgpru.com/novosti/2009/inficirovaniezagruzchikadljaobhodashifrovannyhfajjlovyhsistem)

В связи с этим ряд вопросов:

1. Как перенести незашифрованный раздел 100MB на загрузочную USB-флешку на уже установленной Windows 7? Если это возможно только при установке Windows, то как это сделать?

2. Какие пункты актуальны применительно к поставленной задаче и необходимо выполнить для создания USB-загрузчика - https://diskcryptor.net/wiki/LiveCD/ru ? В последовательности. Дополнительные действия?

3. Для ипользования 100MB раздела для загрузки системы возможно ли просто перенести этот раздел на флешку (перенос файлов/каких-то меток)? Или этот раздел должен входить в состав LiveCD/USB или чего-то еще?

4. Перенос 100MB раздела должен осуществляться до шифрования системного диска?

5. После переноса, что делать с разделом с пустыми 100 мегабайтами? Сделать неразмеченным и присоеденить к системному/другому разделу физического диска? Как это сделать?

6. 100MB загрузочный раздел используется только при старте? Нужна USB-флешка с хорошими скоростными показателями или это не имеет значения?

7. При работе в загрузочный раздел вносятся изменения? Как это повлияет, если я продублирую USB-флешку на случай утери и т.д.? Запасная USB-флешка со старой версией файлов запустит систему?

В общем суть вопроса: как сделать эту самую загрузочную USB-флешку и удалить 100MB раздел?
« Last Edit: November 02, 2015, 10:21:28 pm by Poiuyzxcvb »

alkoro

  • Sr. Member
  • ****
  • Posts: 418
Добрый день.

Отвечать по пунктам будет сложно, поэтому сначала отвечу коротко, потом будет последовательное изложение.
Quote
1. Как перенести незашифрованный раздел 100MB на загрузочную USB-флешку на уже установленной Windows 7? Если это возможно только при установке Windows, то как это сделать?
Его не нужно переносить.
Quote
2. Какие пункты актуальны применительно к поставленной задаче и необходимо выполнить для создания USB-загрузчика - https://diskcryptor.net/wiki/LiveCD/ru ? В последовательности. Дополнительные действия?

В этой статье описываются варианты создание live-носителей для доступа к шифрованным разделам, если система не сможет загрузиться нормальным порядком, можно выбрать любой.
У меня дистрибутив Win7+интегрированный DC, например. Для создания USB-загрузчика, в том понимании, что он будет использоваться постоянно для загрузки - это делается из главного меню программы.

Quote
3. Для ипользования 100MB раздела для загрузки системы возможно ли просто перенести этот раздел на флешку (перенос файлов/каких-то меток)? Или этот раздел должен входить в состав LiveCD/USB или чего-то еще?
Необязательно, но можно перенести, и не на флешку, а консолидировать (слить вместе) системный и загрузочный раздел в один, как в Windows XP, Vista.

Quote
4. Перенос 100MB раздела должен осуществляться до шифрования системного диска?
Лучше до шифрования, после шифрования можно только удалить раздел, но место не будет использовано. Без(до) шифрования мождно не только удалить, но и расширить оставшийся раздел.

Quote
5. После переноса, что делать с разделом с пустыми 100 мегабайтами? Сделать неразмеченным и присоеденить к системному/другому разделу физического диска? Как это сделать?
как в предудущем пункте - без шифрования можно или оставить его как есть, или удалить, освободив место, или занять свободное место основным разделом.
Quote
6. 100MB загрузочный раздел используется только при старте? Нужна USB-флешка с хорошими скоростными показателями или это не имеет значения?
да, он используется только при старте, и в случае с DC не имеет значения, где он будет находиться, в любом случае на флеш ничего не нужно переносить.

Quote
7. При работе в загрузочный раздел вносятся изменения? Как это повлияет, если я продублирую USB-флешку на случай утери и т.д.? Запасная USB-флешка со старой версией файлов запустит систему?
Как было сказано, не нужно переносить его на флеш, поэтому для diskcryptor не важно, какие изменения вносятся внутрь 100 мб раздела, он вообще не занимается этим. В вашем случае достаточно знать пароль и (или) иметь копию ключевых файлов, если таковые будут задействованы. Загрузиться можно с любой флеш, нужны только пароль, (опционально ключ), и способ загрузки системы (как загрузчик DC будет взаимодействовать с системным)

Теперь подробно:
Касаемо статьи - если у вас уже есть USB-флешка, с которой вы планируете загружать уже зашифрованную систему с двойным разделом (100+остальное), то подразумевается, что у вас они и так будут шифрованы. Нужно просто обезопасить себя в этом случае, исключить загрузку с жесткого диска и старт непроверенного кода с него.
1) просто сделать разделы ЖД неактивными
2) с помощью оболочки DC удалить DС-MBR-загрузчик из жёсткого диска. (Если у вас там проходной двор, который допускает описанную атаку, я бы удалил вообще mbr-загрузчик, оставив только mbr-таблицу разделов, конечно)
3) Сконфигурировать загрузчик DC на USB-флеш, сконфигурировать загрузчик DC на запуск с активного раздела или запуск с раздела, к которому подойдет пароль. Сделать какую нибудь малозаметную остальным, но известную только вам особенность в сообщении, выводимом вашим загрузчиком с flash, чтобы самому контролировать, что вы будете вводить пароль именно в ваш загрузчик, а не в фейк. Флешку, конечно никому в руки не отдавать.
4) Отключить загрузку с жесткого диска в BIOS Setup (c USB носителя - включить)

Если же исходить из конечной цели - ещё и избавиться от 100 мб раздела - то действия по его удалению нужно делать в offline. То есть нужен Live CD (желательно с интегрированным  DC - зависит от того, шифрована у вас система или ещё нет) или другая система c установленным DC, к которой подключается целевой диск. Само по себе удаление 100 мб раздела в смысле атаки никаких преимуществ не даст, в случае если загрузка DC идёт с жесткого диска.

1. Итак, раздел 100 мб Windows не нужно переносить на флешку, достаточно перенести всё, что там находится, прямо на раздел с Windows - именно так устроено в Vista.
    то есть там находятся файлы bootmgr, папка boot - вот их и нужно перенести в корень диска C: с Windows.
2. После переноса нужно назначить раздел с Windows + bootmanager активным, можно использовать консольный diskpart, можно использовать стандартный GUI disk manager.
   Раздел 100 мб пока удалять не нужно (его, забегая вперед нет необходимости удалять, только "для красоты").
3.1 Если раздел с windows уже зашифрован, то сконфигурировать загрузчик DC (на флеш) на запуск с активного раздела или запуск с раздела, к которому подойдет пароль. (Boot from active partition/Boot from first partition with appropriate password). Следует помнить, что если 100 мб раздел уже был шифрован (тем же паролем, разумеется, что и системный) то нужно сменить пароль у него,  чтобы DC-загрузчик не смог передать управление на него в случае конфигурации загрузки с первого совпадающего по паролю.

Дальше будет разветвление, в зависимости от того - шифрование уже присутствует или его вовсе нет:

3.2 Если разделы ещё не зашифрованы - то нужно загрузиться с дистрибутивного раздела windows в режим восстановления и восстановить загрузку, внесутся изменения в конфигурацию bootmanager. (изменится номер раздела bootmgr с 1-го на 2-й). ЭТО в случае, если вы не планируете удалять 100 мб-раздел. Если же планируете идти дальше и удалить его - см. далее.

4. Удаление раздела 100mb. Если Windows уже зашифрован  - придется дешифровать раздел, т.к. следующее действие - это расширение раздела и изменение таблицы разделов, это несовместимое с Diskcryptor действие.
4.1 С  помощью любого софта (Minitool Partition Wizard, free, win7/8/xp) удаляем раздел 100мб., и раздвигаем раздел с windows, чтобы он занял место, занимаемое бывшим 100 мб. разделом.
4.2 Меняем конфигурацию bootmgr - просто загрузиться с инсталляционного диска Windows той же версии и зайти в режим восстановления. Дистрибутивы windows 7 автоматически исправляют конфигурацию bootmanager в соответствии с текущими представлениями.

Если всё-таки диск с windows шифрован и нет возможности (времени) дешифровать - то лучше не трогать 100 мб раздел, достаточно просто зашифровать его другим неиспользуемым паролем (даже потерять его или забыть).

[UPD] - Если вы это делаете впервые - делайте лучше на тренировочном стенде, поверьте, с первого раза лучше потренироваться на том, что не жалко потерять.
« Last Edit: October 19, 2015, 10:26:01 am by alkoro »

Poiuyzxcvb

  • Newbie
  • *
  • Posts: 8
Здравствуйте. Спасибо за развернутый ответ.

Хотелось бы более четко понять, что сделать чтобы предотвратить данную атаку, поэтому заранее извиняюсь за непонятливость. Было бы отлично, если сообщество и администрация создали более конкретные инструкции для стандартного шифрования, а также подборки решений для индивидуальных нужд: например, как сделать видимость "пустого" диска для системного (т.е. исключить возможность его автоматической загрузки без определенных триггеров вроде USB). Забыл добавить, что диск/разделы еще не зашифрованы. Также, если это имеет значение, шифроваться будет SSD.

Не успел обновить пост до вашего ответа, но уже увидел в одном туториале, что можно шифровать и 100MB раздел. Изначально я предположил, что нет возможности зашифровать этот раздел. Также, в соответствии с вашим ответом, вижу, что в целом вопросы были поставлены не верно и не в том русле, и мною не было упомянуто то, что диск еще не зашифрован.

Относительно возможности шифрования 100MB раздела и вероятности данного типа атаки появился небольшой ряд вопросов:

1. Информация в FAQ касательно "Evil Maid" Attack неактуальна или все-таки даже при шифровании 100MB раздела остаются не зашифрованные области? Или суть проблемы заключается в том, что при включении компьютера с зашифрованным системным диском (с зашифрованным 100MB разделом) появляется возможность доступа к модификации файлов на нем и, соответственно, в итоге к компрометации пароля?

2. Есть ли такая уязвимость и для системного раздела? Если есть, значит ли это, что фактически существует лазейка для доступа к файлам диска? Или до ввода пароля начальная оболочка не имеет доступа к диску C?

3. В статье говорится, что "злоумышленник загружает компьютер жертвы с USB-флэшки, которая в течении максимум пары минут производит все необходимые операции по инфицированию загрузчика". Иными словами, раз FAQ ссылается на нее, все-таки даже при шифровании 100MB раздела существует возможность модификации его файлов (возможно, и модификации системного раздела с Windows?)? Именно тут у меня возникает фундаментальное непонимание решения проблемы. В DC, как теперь я уже понял, есть возможность создания небольшого загрузочного файла, который монтируется на CD или USB. Устанавливая конфигурацию загрузки, например, с USB, DC вносит изменения в 100MB раздел, чтобы тот не загружался, а также полностью ограничивает доступ к 100MB и основному разделам, в случае загрузки с других носителей? Или и при таком раскладе у злоумышленника все равно есть возможность загрузиться с USB с вредоносом и получить доступ к 100MB или основному разделам? Так, например, очевидно, должна оставаться возможность для загрузки LiveCD или установочного диска/USB для восстановления? Отсюда следующий вопрос.

4. Даже при создании загрузчика DC на USB, привязанного к определенному разделу/паролю, остается возможность модификации зашифрованного 100MB раздела? Если этот раздел взаимодействует с ОС и диском C, значит ли это, что созданием загрузчика DC проблема компрометации пароля не решается?

5. Если для загрузки и работы системы достаточно USB-загрузчика DC, значит ли это, что 100MB раздел фактически не нужен и его можно безболезненно удалять? Если нет, выходит рекурсия к предыдущему вопросу. Если 100MB раздел необходим для запуска системы и после создания USB-загрузчика DC блокируется физический доступ к модификации его файлов, значит ли это, что таким образом вопрос "Evil Maid" Attack полностью решается?

5. Отдельный вопрос. Запуск начальной оболочки происходит только при вставленном USB и исключительно при наличии в нем файла загрузчика DC? Оболочка и диалоговое меню/меню ввода пароля берутся с USB-загрузчика DC не прибегая к обращению к физическому диску в целом, за исключением обращения к путям для ввода/проверки пароля? Т.е. если включить компьютер и попробовать загрузиться с данного зашифрованного диска вообще ничего не произойдет, кроме оповещения об отсутствии ОС?

6. И дополнительный, но не менее важный. Если перенести файлы 100MB раздела в основной раздел с Windows, будет ли это означать, что теперь внешние загрузочные устройства теперь фактически будут обращаться к основному системному разделу, вместо отдельного 100MB раздела, и, если при этом существует уязвимость модификации файлов (и, допустим, ранее модификация файлов на основном разделе с Windows отсутствовала), то в таком случае злоумышленник на прямую получит доступ к системе?

7. Если я правильно вас понял, удалить 100MB раздел фактически невозможно с той точки зрения, что все равно его нужно будет перенести в другое место (на диск C)? В случае удаления этих файлов система попросту не запустится? Иными словами, это бессмысленное мероприятие? Тут, опять же, рекурсия к предыдущим вопросам относительно возможности модификации файлов.

Таким образом, теперь у меня еще меньше понимания, что именно нужно сделать, если отталкиваться от возникших вопросов. В FAQ говорится, что проблема решится, если "создать внешний загрузчик на CD и настроить его на загрузку ОС с заранее указанного раздела". И тут же сказано, что "тогда на диске не останется незашифрованного исполнимого кода". Откуда на зашифрованных разделах взялся незашифрованный код мне не понятно, хотя понятно, что как-то необходимо взаимодействовать с диском. Однако, после создания USB-загрузчика этот код "исчезнет", но взаимодействовать с USB-загрузчиком диск от этого не перестанет. В общем, если вам не сложно, если вы или кто-то еще из форума в курсе, как это работает, я буду признателен за объяснение и отмену моего беспокойства по этому поводу.

Относительно ваших рекомендаций, а также в соответствии с FAQ относительно рассматриваемой атаки, если я правильно понял, мне нужно сделать:

1) просто сделать разделы ЖД неактивными
100MB является единственным активным, соответственно, в Diskpart мне необходимо установить значение для этого раздела inactive? С учетом того, что после этого система не запустится, все это необходимо делать после шифрования всех разделов и одновременно с (перед) созданием USB-загрузчика, до перезапуска системы?

2) с помощью оболочки DC удалить DС-MBR-загрузчик из жёсткого диска. (Если у вас там проходной двор, который допускает описанную атаку, я бы удалил вообще mbr-загрузчик, оставив только mbr-таблицу разделов, конечно)
В программе не наблюдается такой возможности. Она появится после шифрования диска? Где именно в программе находится эта опция? Или это нужно сделать через консоль dccon.exe? Необходимо открыть консоль из папки с программой и ввести -boot -delmbr [hdd]? Применительно к программе и консоли - файл автоматически найдется в разделах или нужно выбрать конкретный раздел (100MB?)? Например, в консоли помимо -boot -delmbr [hdd] необходимо ввести какие-то уточняющие параметры? Относительно "я бы удалил вообще mbr-загрузчик" - подразумеваются какие-то дополнительные действия? Опишите, пожалуйста.

Также у меня возникла проблема с запуском консоли. Ни в режимах совместимости, ни с правами администратора она не запускается, точнее появляется на доли секунды и исчезает. Как решить эту проблему? Или консоль запускается только с LiveCD/установочное диска с DC? В таком случае как быть с последовательностью действий: если выполнить предыдущий пункт переключением разделов в неактивный режим - система не запустится, также, насколько я понимаю, если удалить MBR, то система и из-за этого не запустится? Все это необходимо выполнить с установочного диска с интегрированным DС в режиме восстановления? Следующий пункт с монтированием USB-загрузчика выполнять оттуда же командой -boot -setpar [partition root]?

3) Сконфигурировать загрузчик DC на USB-флеш, сконфигурировать загрузчик DC на запуск с активного раздела или запуск с раздела, к которому подойдет пароль. Сделать какую нибудь малозаметную остальным, но известную только вам особенность в сообщении, выводимом вашим загрузчиком с flash, чтобы самому контролировать, что вы будете вводить пароль именно в ваш загрузчик, а не в фейк. Флешку, конечно никому в руки не отдавать.
Через программу DC какой из разделов необходимо выбрать: с Windows или 100MB? Далее в Config Bootloader нужно выбрать Bootable partition (USB-stick, etc), выбрать необходимую флешку и нажать Install Config? После чего изменить конфигурацию? Или Config Bootloader запускается вне зависимости от выбранного в главном окне программы раздела и пункт Bootable partition (USB-stick, etc) означает совсем другое - создание загрузочного файла для зашифрованного USB с установленной на него ОС? И, таким образом, необходимо выбрать ISO bootloader image, сохранить в на основном диске и далее смонтировать с помощью сторонней программы USB-загрузчик / просто скопировать на USB файл загрузчика? Когда ISO образ создан изменение параметров через Change Config автоматически применяются к нему, если он не был перемещен?

Как сразу сделать дублирующий USB-загрузчик, на случай утери 1-го? Повторно выполнить процедуру для другой флешки? Если повторно сделать процедуру, потеряется ли образ на первой флешке свою актуальность и станет бесполезен?

Если все придется делать через консоль в режиме восстановления системы, загрузчик "монтируется" или просто добавляется как файл? Имеется в виду, будет ли возможность скопировать содержимое USB-загрузчика на другой USB и работать уже с ним? Т.е. создать резервный USB-загрузчик из сущетвующего. Или, в принципе, можно скопировать и образ? Или через консоль также можно повторно смонтировать идентичный загрузчик? Опишите, пожалуйста необходимые команды и последовательность через консоль в соответствии с вашими рекомендациями относительно конфигурации правил запуска разделов и текста в сообщении меню ввода пароля.

Относительно "активного раздела или запуск с раздела, к которому подойдет пароль". После деактивации 100MB раздела получается, вариант с запуском с активного раздела отменяется? Если 100MB раздел необходим для запуска системы, а для этого необходима идентичность паролей на нем и разделе с Windows, как правильно реализовать вариант "запуск с раздела, к которому подойдет пароль"? Если изменить пароль на 100MB - система не запустится?

4) Отключить загрузку с жесткого диска в BIOS Setup (c USB носителя - включить)
Насколько я понимаю, данный пункт не критичен, т.к. в BIOS всегда можно изменить параметры? И выполняется исключительно для того, чтобы система без проблем запустилась с USB-загрузчика?

Данных действий достаточно для предотвращения "Evil Maid" Attack?

В этой статье описываются варианты создание live-носителей для доступа к шифрованным разделам, если система не сможет загрузиться нормальным порядком, можно выбрать любой.
Насколько я помню, при краше системы достаточно иметь установочный диск и использовать его для восстановления/исправлений? Таким образом, в соответствии с предупреждением на сайте "При шифрованием системного раздела настоятельно рекомендуется: Создать загрузочный LiveCD с DiskCryptor ДО шифрования", для того, чтобы избежать кирпича и переустановки системы, достаточно будет создать "Установочный DVD Windows Vista/7" с интегрированным DiskCryptor? Т.е. при появлении проблем с системой наличие в установочном диске/USB интегрированного DiskCryptor даст возможность загрузиться в режиме восстановления и исправить ошибки?

alkoro

  • Sr. Member
  • ****
  • Posts: 418
Quote
Информация в FAQ касательно "Evil Maid" Attack неактуальна или все-таки даже при шифровании 100MB раздела остаются не зашифрованные области?
Актуальна, и именно потому, что даже при полном шифровании для диска остается уязвимое место - mbr-загрузчик, коим, в случае использования DC, он и является. Заменив этот, или любой другой загрузчик своим, злоумышленник обеспечивает старт своего кода раньше старта шифрозагрузчика.  В нём может быть всё, что угодно, например, перехват кодов вводимых клавиш. И он может сохранять введённые символы в свою область памяти, чтобы потом их отослать куда-либо.
Чтобы этого избежать, нужно исключить эту возможность, и запускать свой загрузчик (в котором уверены) раньше всех.
Quote
2. Есть ли такая уязвимость и для системного раздела? Если есть, значит ли это, что фактически существует лазейка для доступа к файлам диска?
Ничего идеального нету, это равносильно установке камеры слежения, аппаратных клавиатурных шпионов и т.д.
В обычной жизни, без использования подсматривания, такой лазейки нет, кроме подбора блочного ключа шифрования, или подбора пароля, на который нужно немалое время.
Quote
Или и при таком раскладе у злоумышленника все равно есть возможность загрузиться с USB с вредоносом и получить доступ к 100MB или основному разделам?
Она у него появится после сбора и анализа собранных данных с клавиатуры. Сначала внедряется следящий код, который собирает информацию и сохраняет в известное злоумышленнику место. После происходит считываение,  анализ и только после монтируется раздел и модифицируются файлы и т.д. Исключить сбор можно гарантированным запуском своего загрузчика раньше всех. Очевидно, что это можно осуществить только с внешних съёмных, носимых с собой носителей, что и реализовано в DC.
Quote
DC вносит изменения в 100MB раздел, чтобы тот не загружался,
Не вносит, разве что посекторно шифрует, но это касается глобально вообще всех разделов и всего содержимого в них. 100 мб раздел не будет "загружаться"  просто потому, что любая, не активированная diskcryptor система не увидит там осмысленных данных.
Quote
Так, например, очевидно, должна оставаться возможность для загрузки LiveCD или установочного диска/USB для восстановления?
А в чём противоречие - эти LIVE CD равносильны как если бы жёсткий диск отключить и подключить к другому компьютеру, это кстати, так и будет, если ваш шифрованный диск попадет к кому-нибудь, кто захочет получить доступ к вашим данным без вашего ведома. Следующим его действием будет узнать пароль и ключ, чтобы произвести доступ к этим данным. Если их не добиваться пытками, снятием шпионских записей, клав. шпионов и т.д - в обозримом будущем это невозможно. Live CD - это просто инструмент, без знания пароля и ключа, он будет такой же бесполезной штукой.
Quote
4. Даже при создании загрузчика DC на USB, привязанного к определенному разделу/паролю, остается возможность модификации зашифрованного 100MB раздела? Если этот раздел взаимодействует с ОС и диском C, значит ли это, что созданием загрузчика DC проблема компрометации пароля не решается?
Нет, модификация шифрованных разделов извне без знания пароля/ключа невозможна. Если вы установили загрузчик на жесткий диск, то МОЖЕТ БЫТЬ, злоумышленник, в ваше отстутствие заменил загрузчик своим, который сохранит пароль, который вы введете в очередной раз. В другой день, он введет пароль, и получит доступ штатными средствами.
Quote
5. Если для загрузки и работы системы достаточно USB-загрузчика DC, значит ли это, что 100MB раздел фактически не нужен и его можно безболезненно удалять? Если нет, выходит рекурсия к предыдущему вопросу. Если 100MB раздел необходим для запуска системы и после создания USB-загрузчика DC блокируется физический доступ к модификации его файлов, значит ли это, что таким образом вопрос "Evil Maid" Attack полностью решается?
100 мб раздел нужен, при вводе пароля шифрования, первоначальная загрузка системы, в том числе и загрузка bootmgr, расположенного на этом разделе, осуществляется через, скажем так, BIOS-прерывания жесткого диска, которые будут перехвачены Diskcryptor-ом, и который уже будет знать, как расшифровать их, потому что вы уже ввели правильный пароль. Технически можно избавиться от этого раздела, но это не избавляет от загрузки bootmgr. Вы просто сами оптимизируете конфигурацию Windows, замечу ещё раз, до всяких шифрований, тут нет связи с diskcryptor, перенос данных из 100 мб раздела можно проделать и без шифрования.
 К вопросу, полностью ли решаются проблемы Evil Maid, в той же статье и написаны ответы - нет, не решаются, есть ещё описанный там путь  - это злонамеренная модификация кода BIOS, чтобы внедренный шпион запускался ещё раньше, чем вообще любой внешний загрузчик. Ну, паранойя бесконечна, нужно просто трезво оценивать вероятность внедрения того или иного кода в свою систему.
Quote
5. Отдельный вопрос. Запуск начальной оболочки происходит только при вставленном USB и исключительно при наличии в нем файла загрузчика DC? Оболочка и диалоговое меню/меню ввода пароля берутся с USB-загрузчика DC не прибегая к обращению к физическому диску в целом, за исключением обращения к путям для ввода/проверки пароля? Т.е. если включить компьютер и попробовать загрузиться с данного зашифрованного диска вообще ничего не произойдет, кроме оповещения об отсутствии ОС?
Запуск с USB возможен, если USB будет считаться загрузочным, по мнению BIOS. При этом на флешке не будет никаких файлов, на ней вообще могут находиться любые пользовательские данные - они не используются. USB-загрузчик - это не файл, также как и mbr-загрузчик жесткого диска - не файл. Все диалоги берутся из загрузчика, расположенного на USB/mbr. Естественно, его размеры не такие большие, чтобы полноценно реализовать поддержку всех клавиатур и жестких дисков во вселенной, да это и не нужно. Он просто использует стандартные прерывания для работы с внешними устаройствами, которые предоставляет BIOS. И вот если эти прерывания кто-то перехватил до старта секретного загрузчика, то ввод-вывод может быть запротоколирован с целью дальнейшего анализа. Если компьютер попытаться запустить с шифрованного раздела системой, не знающей про шифрование - то произойдет именно то, ради чего всё и задумывалось - ошибка загрузки ОС.
Quote
6. И дополнительный, но не менее важный. Если перенести файлы 100MB раздела в основной раздел с Windows,
Да всё равно, будете вы их переносить или нет, это не важно, diskcryptor одинаково эффективно шифрует и то и другое
(разделы 100 мб и С:), никакого снижения надежности модификации(немдификации) не будет, всё едино. Другой вопрос - вы будете должны шифровать 100 мб и С: единым паролем, чтобы обеспечить целостность загрузки системы.
Quote
7. Если я правильно вас понял, удалить 100MB раздел фактически невозможно с той точки зрения, что все равно его нужно будет перенести в другое место (на диск C)? В случае удаления этих файлов система попросту не запустится? Иными словами, это бессмысленное мероприятие?
Совершенно верно, это бессмысленно, если система у вас в единственном числе. Перенос, удаление, слияние оправданы, если систем у вас на одном устройстве планируются больше одной. В любом случае, никто не отменял правил загрузки ОС, и посему, файлы, расположенные на 100 мб, нужно переносить на системный раздел, если вы хотите избавиться от 100 мб. Но т.к. шифрование все равно полное, никакого снижения безопасности не будет.
Quote
Таким образом, теперь у меня еще меньше понимания, что именно нужно сделать, если отталкиваться от возникших вопросов. В FAQ говорится, что проблема решится, если "создать внешний загрузчик на CD и настроить его на загрузку ОС с заранее указанного раздела". И тут же сказано, что "тогда на диске не останется незашифрованного исполнимого кода".
Откуда на зашифрованных разделах взялся незашифрованный код мне не понятно, хотя понятно, что как-то необходимо взаимодействовать с диском. Однако, после создания USB-загрузчика этот код "исчезнет", но взаимодействовать с USB-загрузчиком диск от этого не перестанет.
Всё правильно написано. Начнём с того, что любой зашифрованный код имеет нешифрованное начало. Согласны с этим?

Просто есть возможность оставить нешифрованную "голову" кода на съедение шпионам, расположив на неконтролируемом
вами пространстве (mbr-загрузчик жесткого диска) - остальное пространство жесткого диска будет вами контролироваться, поскольку оно зашифровано известным только вам паролем.
Или всё-таки есть есть возможность хранить заветный загрузчик у себя, запуская его по своему желанию, и когда вы можете проконтролировать его работу по уникальным сообщениям, например. В этом случае на жёстком диске не будет открытого исполнимого кода - останется открытым стандартный mbr-загрузчик, но его работа всё равно будет бесполезной.
 
Quote
В общем, если вам не сложно, если вы или кто-то еще из форума в курсе, как это работает, я буду признателен за объяснение и отмену моего беспокойства по этому поводу.

Для наглядности выберем всё-таки mbr загрузчик, по классической схеме. Что происходит, несколько утрированно...

До шифрования:
1. BIOS передаёт управление на mbr-загрузчик ЖД.
2. MBR-загрузчик загружает bootmgr из активного раздела (100 мб)
3. bootmgr загружает ядро ОС (из С:)
4. ядро ОС загружает всё остальное.

После шифрования:
 
1. BIOS передаёт управление на mbr-загрузчик
1.1 MBR-загрузчик  - теперь это Diskcryptor, вводится пароль, если он верный, то diskcryptor загружает предварительно сохраненный настоящий mbr и передает управление ему. Прерывания жесткого диска перехвачены diskcryptor, теперь остальные загрузчики смогут правильно увидеть шифрованное содержимое.
2. MBR-загрузчик загружает bootmgr из активного раздела (100 мб)
3. bootmgr загружает ядро ОС (из С:)
3.1 Где-то тут, хотя может быть раньше, прерывания BIOS заменяются системными windows-вызовами через windows-драйвер diskcryptor, который уже "знает" от своего младшего брата все данные по шифрованному системному разделу(разделам)
4. ядро ОС загружает всё остальное, как будто то бы шифрования нет, всё идет, как шло до шифрования, прозрачно для внутрисистемного наблюдателя.

Теперь рассмотрим атаку. После 1-го пункта будет наш шпион, кторый точно также сохранит следующий в цепочке загрузчик, установит свой механизм сохранения нажатий на кнопки, передает управление на DC, и т.д. Злоумышленник позже вернется к компу, считает сохраненные данные, и узнает пароль, теперь он может получить доступ в обход всего, просто подключив жесткий диск, не запуская с него ничего.
Надеюсь, это всё таки стало понятным для вас.

to be continued...
« Last Edit: October 19, 2015, 11:33:36 pm by alkoro »

alkoro

  • Sr. Member
  • ****
  • Posts: 418
Quote
100MB является единственным активным, соответственно, в Diskpart мне необходимо установить значение для этого раздела inactive? С учетом того, что после этого система не запустится, все это необходимо делать после шифрования всех разделов и одновременно с (перед) созданием USB-загрузчика, до перезапуска системы?
Как уже говорилось, действия производятся в offline, т.е. настраиваемая система не работает, вы модифицируете её до шифрования, извне, например, подключив жёсткий диск к др. компу.
1. В diskpart для 100 мб нужно установить inactive, но следущим действием сделать active для следующей за ней партицией (С:)
2. потом перенести все файлы со 100 мб на С: вашей системы.
3. Далее можно удалить 100 мб, тем же diskpart. Образуется пустая "дырка" свободного места впереди. Но ничего.
4. Подключаете диск обратно к целевому компу, запускаете. Запуск, скорее всего будет неудачным. Нужно исправить конфигурацию bootmgr. Для этого загружаемся с установочного DVD, в режим восстановления. Вам даже не придётся ничего выбирать, просто подтвердить "исправление загрузки".
5. Загружаете систему с дыркой свободного места впереди. Устанавливается третьесторонний софт, Minitool partition Wizard. В программе делаем resize единственной партиции С с целью убрать пустое незанятое место вначале. Применяете изменения.
Перезагрузка.
6. Тут возможно, опять повторить пункт 4.
7. Всё, система приведена к каноническому загрузочному виду всё-в-одном.
8. Установление загрузчика на флеш-usb.
9. запускаете DC GUI, (консоль вам пока не нужна), меню Tools - Config Bootloader - Bootable partition (USB-stick) - Выбираете свой USB - Install Loader
10. Tools - Config Bootloader - Bootable partition (USB-stick) - Выбираете свой USB - Change Config
11. Вкладка Main - QWERTY, First partition with appropriate password
12. Вкладка Autentication - Password request, Password promt message - yes, текст - "my secret word is:", остальные опции на вкладке по вкусу.
13. Вкладка Invalid Password - use incorrect password action... - yes, invalid password message - по вкусу, можно не задавать сообщение при неверном пароле, Invalid password action - reboot system.
14. Save changes.
15. Можно просто загрузиться с USB, проверить старт diskcryptor загрузчика, лицезреть заданное сообщение-запрос пароля "my secret word is:"
16. Снова загружаете систему, обычным порядком, запускаете DC.
Курсором выделяете диск С. Нажимаете Encrypt. В диалоге Encryption Settings выбираете Algotythm AES, Wipe mode - none.
(Позже почитаете, чем отличаются алгоритмы и какой оптимальней на вашей системе). Next. Вводите пароль дважды в Password/Confirm. ВАЖНО - для начала не надо придумывать архисложный пароль. Просто вбейте 1234. Нужно понимать, что вводить пароль вы будете до запуска операционной системы, поэтому никакого русского языка, никаких диакритических символов, есть случаи сбоев ввода спец символов, вводимых в Windows через комбинации shift-, alt-. В загрузчике может вводиться немного не то, что приведет к невозможности запуска. Поэтому, сначала простое, просто 1234. Потом, когда у вас будет загрузочный liveCD, уже можно усложнять.
17. Итак, нажимаете ОК. начинается процесс шифрования, он идет от 0 до 100%. Не дожидайтесь 100%. Достаточно дойти до 2-3%, нажать pause. Процесс корректно приостановится, его можно позже возобновить.
18. Перезагружаете систему без USB, наблюдаем ошибку BIOS - missing operating system.
19. Перезагружаете систему с USB, вводите пароль. Система загрузится, запустите DC, завершите шифрование. Смените пароль на более сложный. Сделайте backup header шифрованного диска через меню tools-backup header, введите действительный пароль, сохраните файл в любое место кроме диска С. Это страховка на случай ошибок диска.
 

2) с помощью оболочки DC удалить DС-MBR-загрузчик из жёсткого диска. (Если у вас там проходной двор, который допускает описанную атаку, я бы удалил вообще mbr-загрузчик, оставив только mbr-таблицу разделов, конечно)
Quote
   
В программе не наблюдается такой возможности. Она появится после шифрования диска? Где именно в программе находится эта опция? Или это нужно сделать через консоль dccon.exe?
нет такой опции, не ищите. В программе есть опция удаления своего загрузчика из жесткого диска - вот это можно сделать, если он там есть. Стандартный загрузчик останется на своем месте.
У вас будет шифрование, наличие или отстутствие стандартного загрузчика жесткого диска в mbr не даст ничего. Если вам нужен идеальный скрытый диск, то пожалуйста - используйте любой софт, редактирующий поверхность прямым доступом на свой страх и риск. Я лично использую diskedit for DOS, старичок исправно работает, хотя не должен.

Quote
Относительно "я бы удалил вообще mbr-загрузчик" - подразумеваются какие-то дополнительные действия? Опишите, пожалуйста.
Это значит, стереть все данные со смещения 0 до 01BD включительно на 0-м секторе устройства.
Если вы это никогда не делали - лучше делайте не на рабочих дисках. Но вам это точно не понадобится, в первый то раз точно.

Quote
Также у меня возникла проблема с запуском консоли. Ни в режимах совместимости, ни с правами администратора она не запускается, точнее появляется на доли секунды и исчезает. Как решить эту проблему? Или консоль запускается только с LiveCD/установочное диска с DC?
она запускается, и исчезает, потому что вы запускаете её без параметров, она выводит help и закрывается. Вам нужно сначала запустить с правами администратора режим командной строки, и уже из неё запускать консоль. Тогда всё, что выводится на экран не будет закрываться.

ISO bootloader - эта опция подготавливает только образ CD-загрузчика, который нужно прожечь отдельно, любой другой программой записи.

Quote
Как сразу сделать дублирующий USB-загрузчик, на случай утери 1-го? Повторно выполнить процедуру для другой флешки? Если повторно сделать процедуру, потеряется ли образ на первой флешке свою актуальность и станет бесполезен?
Дублирующий USB - нужно повторить все действия для второго USB заново. Это будут взаимозаменяемые носители, в равной степени рабочие.

Quote
Если все придется делать через консоль в режиме восстановления системы, загрузчик "монтируется" или просто добавляется как файл? Имеется в виду, будет ли возможность скопировать содержимое USB-загрузчика на другой USB и работать уже с ним? Т.е. создать резервный USB-загрузчик из сущетвующего.
Зачем копировать, если там реально нужно знать тип запуска и опционально нужен ключевой файл? - нет, совершенно не нужно сохранять USB-загрузчик, просто создать его заново. Или использовать сторонний софт, если уж хочется тиражировать флешки.

Quote
Или, в принципе, можно скопировать и образ? Или через консоль также можно повторно смонтировать идентичный загрузчик? Опишите, пожалуйста необходимые команды и последовательность через консоль в соответствии с вашими рекомендациями относительно конфигурации правил запуска разделов и текста в сообщении меню ввода пароля.
Слишком много букв получается, если конфигурировать через консоль, читайте встроенный в консоль хелп. А для начала, я расписал, что надо сделать в GUI, чтобы создать загрузчик.

Quote
Относительно "активного раздела или запуск с раздела, к которому подойдет пароль". После деактивации 100MB раздела получается, вариант с запуском с активного раздела отменяется? -

нет, не отменяется, если активным сделать С:. Понимаете, если сделать единственный раздел C:, то подойдут оба варианта, первый  только для активного раздела, второй для любого типа неактивного/активного. Это зависит от конечной конфигурации - если вы не хотите заморачиваться с удалением 100мб, шифруете оба раздела одним паролем и делаете любой вариант - загрузка будет успешной.
Если у вас 100 мб удален совсем и остался единственный неактивный С - делаете запуск с подходящего пароля. Если вы его сделали активным  - то подойдет любой способ. Запуск с неактивного раздела по совпадающему паролю нужен в случае, если систем будет несколько.

Quote
Если 100MB раздел необходим для запуска системы, а для этого необходима идентичность паролей на нем и разделе с Windows, как правильно реализовать вариант "запуск с раздела, к которому подойдет пароль"? Если изменить пароль на 100MB - система не запустится?
Да. это типичная ошибка, 100 мб забывают зашифровать, система не запустится. Он обязан быть зашифрован одинаковыми парами ключ-пароль, или одинаковыми паролями. Вариант "Запуск с раздела к которому подойдет пароль" будет работать если его задть, т.к. 100 мб и так будет проверяться раньше и пароль к нему применится раньше основного С. все нормально.

Quote
Насколько я понимаю, данный пункт не критичен, т.к. в BIOS всегда можно изменить параметры? И выполняется исключительно для того, чтобы система без проблем запустилась с USB-загрузчика?
Да, именно так.

Quote
Данных действий достаточно для предотвращения "Evil Maid" Attack?
да.
Quote

Насколько я помню, при краше системы достаточно иметь установочный диск и использовать его для восстановления/исправлений?
Установочный диск с интегрированным DC. Это означает, что вы запускаете установку, запускаете восстановление, командную строку, и из неё можно запустить оболочку DC, через которую можно монтировать разделы, и ввобще любые манипуляции, что и на полноценной системе.
Это не означает, что вы установите новую систему и в ней уже будет DC. [его там не будет]
 
Quote
Таким образом, в соответствии с предупреждением на сайте "При шифрованием системного раздела настоятельно рекомендуется: Создать загрузочный LiveCD с DiskCryptor ДО шифрования", для того, чтобы избежать кирпича и переустановки системы, достаточно будет создать "Установочный DVD Windows Vista/7" с интегрированным DiskCryptor? Т.е. при появлении проблем с системой наличие в установочном диске/USB интегрированного DiskCryptor даст возможность загрузиться в режиме восстановления и исправить ошибки?
Именно так, и желательно потерять время именно на этом этапе и сделать гарантированно рабочий инструмент для дальнейших экспериментов.
« Last Edit: October 20, 2015, 01:01:26 am by alkoro »

Poiuyzxcvb

  • Newbie
  • *
  • Posts: 8
даже при полном шифровании для диска остается уязвимое место - mbr-загрузчик, коим, в случае использования DC, он и является.

Теперь все встало на свои места. Если вас не затруднит это, у меня осталось несколько технических вопросов.

BIOS передаёт управление на mbr-загрузчик. MBR-загрузчик  - теперь это Diskcryptor, вводится пароль, если он верный, то diskcryptor загружает предварительно сохраненный настоящий mbr и передает управление ему

Предварительно сохраненный настоящий MBR находится в зашифрованном 100MB разделе?

В случае, если у подготовленного злоумышленника появится доступ к USB-загрузчику, может ли он незаметно модифицировать его? В том числе воспроизвести уникальную фразу при вводе пароля? В этом случае, чтобы получить пароль ему нужно будет снова получить доступ к USB-загрузчику, или, например, вредонос может оставить необходимую ему информацию на оставшемся на диске месте для стандартного MBR?

Что делать со скомпрометированным USB-загрузчиком? Можно ли создать новый USB-загрузчик с другого компьютера (например, с (чистой) ОС на другом физическом диске) подсоединив к нему физический диск, на который покушались? Или, например, создать новый USB-загрузчик с установочного USB со встроенным DC? И можно ли создать USB-загрузчик вообще в другой системе, без участия физического диска, на который покушались? Или в этом случае он не подойдет и не сработает?

Есть ли возможность модификации установочного USB злоумышленником? Т.е. использование предположительно скомпрометированного установочного USB c DC также является небезопасным вариантом?

Если злоумышленник модифицирует стандартный MBR на диске и изменит параметры BIOS для загрузки системы с диска, вместо USB, что необходимо предпринять в этом случае, кроме смены пароля? Допустим, злоумышленник скопировал всю информацию с диска, как почистить ту информацию, которую он сможет получить при следующем доступе к компьютеру, чтобы использовать ее для получения доступа к скопированной информации? Есть ли возможность из загруженного Windows просмотреть откуда была запущенна система - с диска или USB, чтобы понять была ли осуществлена атака? Возможно, при старте системы, при проверке компонентов, можно увидеть эту информацию еще до ввода пароля, чтобы каждый раз не проверять параметры BIOS?

Как можно предотвратить изменение параметров BIOS? Является ли установка пароля для BIOS достаточным способом? Есть ли смысл установки сложного пароля 20+ символов или взломать BIOS в принципе не является проблемой? Допустим, злоумышленник не обладает навыком непосредственной модификации BIOS, описанном в статье и вами, какова вероятность, что он взломает пароль и изменит параметры BIOS?

В ситуации с модификацией BIOS, т.е. когда нескомпрометированный USB-загрузчик становится бесполезен, т.к. атака происходит непосредственно из BIOS, существуют ли способы защиты от нее (где можно об этом почитать?) и есть ли способ понять, что BIOS модифицирован, чтобы не вводить пароль?

Насколько я понимаю, существует возможность скомпрометировать пароль программными методами? Могли бы вы подсказать надежные программы для реализации защиты от атак непосредственно в запущенной системе? Просто рекомендуемый список.

Может ли вредонос в загруженной операционной системе, например, подхваченный из сети или из файла) изменить стандартный MBR-загрузчик на диске? А также параметры BIOS для загрузки с этого MBR? А потом обратно, чтобы замести следы? Сможет ли он потом извлечь эту информацию и отправить в сеть или тут нужен будет физический доступ или есть более простые способы извлечь пароль изнутри запущенной системы?

Когда разделы 100MB и C: соединены в один, например, при подключении к другому компьютеру, становится ли не очевидным, что это диск с ОС, или специалист, например, увидев наличие пространства со стандартным MBR-загрузчиком, все равно определит, что это диск с операционной системой?

Допустим, я соединю 100MB и C:, и оставлю не зарезервированное пространство, на которое установлю "белую" систему, которую не буду шифровать. При просмотре диска будет виден раздел с "белой" системой, как будет определяться остальное пространство (зашифрованный раздел со второй ОС)? Т.е. насколько будет понятно, что все это из себя представляет? Также, когда, допустим, будет загружена "белая" система, будут ли отображаться "не определившиеся" разделы или их можно будет увидеть только из диспетчера дисков? В данном раскладе, при работе в зашифрованной второй ОС, если все это установлено на один физический диск, полагаю, раздел с "белой" ОС будет отображаться и доступен для изменений - есть ли тут риски заражения белого раздела, который, допустим, загружается без пароля, таким образом, что он сможет скпомпроментировать зашифрованный раздел внедренным вредоносом? Если есть риски, как сделать, чтобы при работе с зашифрованной ОС, не было доступа в обе стороны к разделу с "белой" ОС?

При наличии "белой" не зашифрованной и второй зашифрованной операционных системах, в случае установки запуска системы с USB, если не вставить USB-загрузчик, система автоматически переключится (при выставленной загрузке с диска в качестве следующего параметра после USB устройства для загрузки) на "белую" ОС и загрузит ее? Высветится ли вначале какая-то информация вроде "ОС не найдена" или все это произойдет в скрытом режиме автоматически без каких либо признаков второй зашифрованной ОС?

По поводу редактирования поверхности раздела, в двух словах, объясните принцип. Через diskedit for DOS или похожую программу с другого компьютера нужно стереть все данные со смещения 0 до 01BD включительно на 0-м секторе устройства?

Если стереть эти данные (стандартный MBR), для злоумышленника осуществить атаку изменив параметры BIOS для загрузки с диска вместо USB не будет представляться возможным или у него все равно останется возможность создать там вредоносный загрузчик и подменить загрузку с USB на загрузку с диска с вредоносом? Или при редактировании поверхности раздела можно сделать так, чтобы не было возможности добавить какой-либо код?
« Last Edit: November 02, 2015, 10:47:32 pm by Poiuyzxcvb »

alkoro

  • Sr. Member
  • ****
  • Posts: 418
Quote
Предварительно сохраненный настоящий MBR находится в зашифрованном 100MB разделе?
нет, он на жёстком диске, вне разделов, один на всех.

Quote
В случае, если у подготовленного злоумышленника появится доступ к USB-загрузчику, может ли он незаметно модифицировать его? В том числе воспроизвести уникальную фразу при вводе пароля?
Естественно, он вполне может написать нечто, похожее на загрузчик, с сохранением введенных символов, даже не заботясь об успешности запуска.

Quote
В этом случае, чтобы получить пароль ему нужно будет снова получить доступ к USB-загрузчику, или, например, вредонос может оставить необходимую ему информацию на оставшемся на диске месте для стандартного MBR?
Это наверное, зависит от талантов, ну естественно, сохранять на флешку не имеет смысла, т.к. доступ к ней не так легко получить, проще отписывать пароли в свободное место в конце всех разделов на жестком диске, обычно там есть. Потом считывать их другим, своим загрузчиком с другой флешки, например.


Quote
Что делать со скомпрометированным USB-загрузчиком? Можно ли создать новый USB-загрузчик с другого компьютера (например, с (чистой) ОС на другом физическом диске) подсоединив к нему физический диск, на который покушались? Или, например, создать новый USB-загрузчик с установочного USB со встроенным DC? И можно ли создать USB-загрузчик вообще в другой системе, без участия физического диска, на который покушались? Или в этом случае он не подойдет и не сработает?
Любым вариантом, если известно, что на запущенной системе с конфигуратором загрузчика (оболочка DC), нет вредоносного или шпионского ПО. Для восстановления загрузчика нужно знать способ запуска ОС, и ключевой файл, если таковой использовался при шифровании.

Quote
Есть ли возможность модификации установочного USB злоумышленником? Т.е. использование предположительно скомпрометированного установочного USB c DC также является небезопасным вариантом?
Ну очевидно же, небезопасно оставлять загрузочную флешку и терять контроль над ней. Про это уже говорилось.

Quote
Если злоумышленник модифицирует стандартный MBR на диске и изменит параметры BIOS для загрузки системы с диска, вместо USB, что необходимо предпринять в этом случае, кроме смены пароля?
У вас загрузка с флеш-USB, измененение загрузчика в MBR ничего не даст, если вы конечно в USB не сделали передачу управления на MBR-загрузчик (это вообще получается бесполезная флешка).

Quote
Допустим, злоумышленник скопировал всю информацию с диска, как почистить ту информацию, которую он сможет получить при следующем доступе к компьютеру, чтобы использовать ее для получения доступа к скопированной информации?
менять пароль, и перешифровывать раздел (Reencrypt). Опция Reencrypt нужна для обновления ключей блочного шифра в заголовке тома, чтобы избежать атаки на восстановление заголовка.
Допустим, злоумышленник узнал пароль, загрузился с Live CD, примонтировал раздел, сохранил заголовок тома, запомнил пароль. И теперь, даже если вы смените только пароль и даже смените ключ на зашифрованном разделе, то злоумышленник всё равно сможет получить доступ  к информации, восстановив заголовок. При этом "восстанавливаются" тот ключ и пароль, которые были при сохранении копии заголовка (Backup Header).
Пароль/ключ шифруют сильным и медленным алгоритмом заголовок тома. В заголовке тома лежат ключи блочного симметричного шифрования, более быстрого, которые участвуют в непосредственном процессе доступа к данным. Поэтому опция Reencrypt обновляет эти ключи, заголовок и самое главное, обновляет всю зашифрованную информацию (по времени это будет равносильно полному шифрованию).

Quote
Есть ли возможность из загруженного Windows просмотреть откуда была запущенна система - с диска или USB, чтобы понять была ли осуществлена атака? Возможно, при старте системы, при проверке компонентов, можно увидеть эту информацию еще до ввода пароля, чтобы каждый раз не проверять параметры BIOS?
У меня нет такой информации, в случае обычного компа такой возможности нет. Естественно запуск самой системы можно проконтролировать кучей внутреннего софта и массой признаков, но злоумышленник врядли будет так поступать, проще запустить альтернативную ОС и получить доступ к данным из неё.

Quote
Как можно предотвратить изменение параметров BIOS? Является ли установка пароля для BIOS достаточным способом? Есть ли смысл установки сложного пароля 20+ символов или взломать BIOS в принципе не является проблемой? Допустим, злоумышленник не обладает навыком непосредственной модификации BIOS, описанном в статье и вами, какова вероятность, что он взломает пароль и изменит параметры BIOS?
Установите пароль на BIOS. Системный блок опечатайте, чтобы предотвратить сброс пароля, и что важное, при этом нужно организовать контроль печатей, потому что безопасность только средствами ПО не гарантирована, важно комплексное решение - ограничение доступа в помещения, наблюдение, пропускной режим и т.д.

Quote
В ситуации с модификацией BIOS, т.е. когда нескомпрометированный USB-загрузчик становится бесполезен, т.к. атака происходит непосредственно из BIOS, существуют ли способы защиты от нее (где можно об этом почитать?) и есть ли способ понять, что BIOS модифицирован, чтобы не вводить пароль?
Тут конечно сложно что то посоветовать, т.к. тут получается битва шита и меча - нужно написать свой BIOS, который аппаратно будет перезаписывать рабочий без вариантов, при каждом включении.
Даже если включить паранойю, можно сесть за MSVC, и сделать свою, BIOS-независимую систему приёма пароля с клавиатуры, снимая скан-коды клавиш непосредственно из аппаратных портов, это всё равно не гарантирует, что они не попадут в шпионский модуль, т.к. новые процессоры позволяют виртуализацию всего и вся. Вот статья, баян конечно, но впечатляет сильно: https://xakep.ru/2011/12/26/58104/


Quote
Насколько я понимаю, существует возможность скомпрометировать пароль программными методами? Могли бы вы подсказать надежные программы для реализации защиты от атак непосредственно в запущенной системе? Просто рекомендуемый список.
Антивирус, не работать по адм. аккаунтом, смотреть на список процессов в системе. Нет универсального средства, чтобы нажать одну кнопку, и всё стало защищённым.

Quote
Может ли вредонос в загруженной операционной системе, например, подхваченный из сети или из файла) изменить стандартный MBR-загрузчик на диске?
Может, такие бывают.
Quote
А также параметры BIOS для загрузки с этого MBR?
С этим сложнее, производителей слишком много и даже у одного параметры и способы доступа могут различаться.

Quote
А потом обратно, чтобы замести следы? Сможет ли он потом извлечь эту информацию и отправить в сеть или тут нужен будет физический доступ или есть более простые способы извлечь пароль изнутри запущенной системы?
Я же не знаю, что может предпринять конкретный злоумышленние против вас, если у него бюджет операции превышает доход вашего предприятия за год, наверное, сможет даже что, чего вы не можете представить. Всё зависит от стоимости информации. Поэтому ещё раз - безопасность это не только ПО.

Quote
Когда разделы 100MB и C: соединены в один, например, при подключении к другому компьютеру, становится ли не очевидным, что это диск с ОС, или специалист, например, увидев наличие пространства со стандартным MBR-загрузчиком, все равно определит, что это диск с операционной системой?
Естественно, если у вас два раздела 100 МB и остальное место, и ничего не загружается  - ясно, что там. Поэтому для белой системы нужно оставлять всё по-умолчанию, а для закрытой сливать в один раздел и желательно на отдельный жёсткий диск, MBR-загрузчик можно оставить, от него не будет толка, а вытирать его - только привлекать внимание.

Quote
Допустим, я соединю 100MB и C:, и оставлю не зарезервированное пространство, на которое установлю "белую" систему, которую не буду шифровать. При просмотре диска будет виден раздел с "белой" системой, как будет определяться остальное пространство (зашифрованный раздел со второй ОС)?
Несмонтированный шифрованные разделы всё равно будут видны как NTFS, неформатированные. Информация о файловой системе хранится в MBR-таблице.

Quote
Т.е. насколько будет понятно, что все это из себя представляет? Также, когда, допустим, будет загружена "белая" система, будут ли отображаться "не определившиеся" разделы или их можно будет увидеть только из диспетчера дисков?
Букву у шифрованного раздела можно убрать через диспетчер дисков. Раздел конечно никуда не денется, будет виден через него.

Quote
В данном раскладе, при работе в зашифрованной второй ОС, если все это установлено на один физический диск, полагаю, раздел с "белой" ОС будет отображаться и доступен для изменений - есть ли тут риски заражения белого раздела, который, допустим, загружается без пароля, таким образом, что он сможет скпомпроментировать зашифрованный раздел внедренным вредоносом? Если есть риски, как сделать, чтобы при работе с зашифрованной ОС, не было доступа в обе стороны к разделу с "белой" ОС?
Точно такие же риски, если бы у вас обе системы были нешифрованными - чтобы ограничить доступ к разделу с другой ОС, нужно убрать букву раздела, это ограничи доступ очень бюольшой группе вредоносов.

Quote
При наличии "белой" не зашифрованной и второй зашифрованной операционных системах, в случае установки запуска системы с USB, если не вставить USB-загрузчик, система автоматически переключится (при выставленной загрузке с диска в качестве следующего параметра после USB устройства для загрузки) на "белую" ОС и загрузит ее?
Если правильно сделать и настроить USB-загрузчик, BIOS - то да, так и должно происходить.

Quote
Высветится ли вначале какая-то информация вроде "ОС не найдена" или все это произойдет в скрытом режиме автоматически без каких либо признаков второй зашифрованной ОС?
По моему, если в bios всё настроено, чтобы загружаться сначала с USB, потом с ЖД, то при выходе из USB (в случае неверного пароля, например), загружается система с ЖД без каких либо предупреждений. Но это наверное на совести производителей мат. плат.

Quote
По поводу редактирования поверхности раздела, в двух словах, объясните принцип. Через diskedit for DOS или похожую программу с другого компьютера нужно стереть все данные со смещения 0 до 01BD включительно на 0-м секторе устройства?

Если стереть эти данные (стандартный MBR), для злоумышленника осуществить атаку изменив параметры BIOS для загрузки с диска вместо USB не будет представляться возможным или у него все равно останется возможность создать там вредоносный загрузчик и подменить загрузку с USB на загрузку с диска с вредоносом? Или при редактировании поверхности раздела можно сделать так, чтобы не было возможности добавить какой-либо код?
Стерев по этим смещениям информацию из MBR, вы можете только исключить запуск с этого MBR, от его подмены это не спасает, злоумышленник в ваше отсутствие может точно также что то туда положить, и перенастроить BIOS. Это нужно для вашего контроля - т.е. одного стирания мало - надо ещё и проверять, что там ничего не поменялось. Если вам нужно скрыть факт использования шифрования  - то лучше не трогать загрузчик по умолчанию, не вызывая подозрений.
Если уж взять идеального злоумышленника он вообще не будет ничего запускать на вашем компе - ЖД элементарно можно вынуть и редактировать вообще на другом оборудовании.

Anfinuo

  • Sr. Member
  • ****
  • Posts: 380
И феел лике ин ФСБ сентрал ;)

Poiuyzxcvb

  • Newbie
  • *
  • Posts: 8
Ну очевидно же, небезопасно оставлять загрузочную флешку и терять контроль над ней. Про это уже говорилось.

Имелась ввиду установочная флешка с Windows с встроенным DC. Но, я так понял, что тут та же история, что и с загрузочной MBR-флешкой? Злоумышленник также может внести туда вредоносные изменения?

менять пароль, и перешифровывать раздел (Reencrypt)

Здесь есть критический момент. Если злоумышленник заранее скопировал информацию с диска, подменил загрузку в BIOS, а вредонос записал необходимые данные для монтирования разделов на незашифрованные области физического диска, также, по каким-то причинам, злоумышленник не смог организовать отправку этих данных через сеть, то перешифрование раздела и смена пароля обезопасит только от дальнейшего доступа к скомпрометированному физическому диску, однако необходимые злоумышленнику данные на назашифрованных областях физического диска останутся и будут дожидаться момента, когда он получит к ним доступ. В этом и заключается вопрос: как поступать в этом случае, как удалить эти данные?

Будет ли описанный вами вариант стирания данных MBR-загрузчика от 0 до 01BD включительно на 0-м секторе устройства через diskedit for DOS с другого компьютера достаточной мерой в этом случае или необходимы дополнительные/другие действия?

MBR-загрузчик можно оставить, от него не будет толка, а вытирать его - только привлекать внимание.

Стандартный MBR-загрузчик/MBR-таблица добавляется при установке Windows или он добавляется системой (Windows) при подключении любого (например, нового и пустого) диска? Или при форматировании? Или он присутствует с завода на дисках?

Точно такие же риски, если бы у вас обе системы были нешифрованными

Таким образом, безопаснее все же будет использовать для "белой" системы шифрование с простым паролем (с монтированием по паролю) и без внешнего загрузчика? Хоть и это однозначно даст понять, что в целом используется шифрование.

Также нужно будет убрать в "белой" системе букву раздела с основной шифрованной ОС? Удаление буквы тома в "белой" ОС как-то повлияет на загрузку с основной шифрованной ОС или эти изменения будут касаться только "белой" ОС? Удаление буквы тома скроет раздел основной зашифрованной ОС в Мой Компьютер, т.е. будет отображаться только диск C: "белой" системы?

Еще небольшой момент. Для SSD дисков остро стоит проблема надежного удаления данных. DC шифрует радел полностью: т.е. все пространство раздела/диска включая не записанные/свободные области?

Poiuyzxcvb

  • Newbie
  • *
  • Posts: 8
И феел лике ин ФСБ сентрал ;)
Что вы имеете ввиду?

alkoro

  • Sr. Member
  • ****
  • Posts: 418
Quote
Имелась ввиду установочная флешка с Windows с встроенным DC. Но, я так понял, что тут та же история, что и с загрузочной MBR-флешкой? Злоумышленник также может внести туда вредоносные изменения?
Любое средство, с которого вы получаете или можете получать доступ к шифрованному разделу, может быть скомпрометировано в ваше отстутствие, очевидно. Т.е. сделали загрузочный диск, флешку - носите с собой.

Quote
как удалить эти данные?
Вы имели в виду те данные, которые унес с собой злоумышленник? - наверное только найти его, и попросить удалить и т.д ; )
Или те, которые остались у вас? - их ничего проще удалить - перешифрование раздела с новым ключевым файлом хранящимся в единственном экземпляре на этом же разделе. После размонтирования раздела вы теряете доступ к нему навсегда. Или удаление+пересоздание раздела, новое форматирование, шифрование в режиме Wipe (опция такая есть на одном из этапов при выборе параметров шифрования в DC)- очень долго, но надежнее.

Quote
Стандартный MBR-загрузчик/MBR-таблица добавляется при установке Windows
При разметке диска (когда не было совсем разделов), и естественно, при установке Windows он тоже обновляется (на загрузочном диске).


Quote
Таким образом, безопаснее все же будет использовать для "белой" системы шифрование с простым паролем (с монтированием по паролю) и без внешнего загрузчика? Хоть и это однозначно даст понять, что в целом используется шифрование.
По-моему, для белой системы лучше вообще ничего не делать (шифрование), чтобы обеспечить её загрузку в любых вариантах - неверный пароль, отстуствие внешнего загрузчика и т.д.

Quote
Также нужно будет убрать в "белой" системе букву раздела с основной шифрованной ОС? Удаление буквы тома в "белой" ОС как-то повлияет на загрузку с основной шифрованной ОС или эти изменения будут касаться только "белой" ОС?
Букву шифрованного диска рекомендуется убрать, потому что оболочка Windows (Explorer) всегда предлагает его отформатировать, т.к. несмонтированный диск выглядит неформатированным. Лучше убрать букву, чтобы исключить случайное уничтожение. Для доступа можно организовать точку монтирования вместо буквы - например выделить папку в открытой системе и назначить её как корневую точку монтирования для шифрованного раздела. Если доступ из белой системы вовсе не нужен - отключить диск в менеджере устройств (конечно, только в случае отдельного устройства). Изменения никак не влияют на загрузку шифрованной ОС, т.к. они действуют в контексте другой ОС.

Quote
Еще небольшой момент. Для SSD дисков остро стоит проблема надежного удаления данных. DC шифрует радел полностью: т.е. все пространство раздела/диска включая не записанные/свободные области?
Отвечу с конца - DC шифрует весь раздел, включая свободное место. SSD - это особый случай. В опциях DC (Settings-Extended) есть параметр "Disable TRIM on encrypted SSD disks" - включение этой опции отключает передачу спец. команды TRIM в контроллер SSD-диска. Если простыми словами - Включая эту опцию (т.е. отключая TRIM) вы заставляете DC работать с этим SSD, как с обычным диском. Т.е. он будет шифровать подряд все секторы, даже если они не используются (свободные в разделе). Это повышает безопасность, но снижает срок службы SSD, так как производятся лишие циклы чтения-записи для неиспользуемых секторов. Режим TRIM и нужен, чтобы сообщать низкоуровнему контроллеру SSD, [который не может знать о нужности или ненужности сектора] о том, что данный сектор более не нужен операционной системе (например это возникает при удалении файлов). И контроллер данную ячейку flash-памяти, соотвествующей ненужному сектору, попросту очищает самомтоятельно, минуя лишние циклы перезаписи со стороны ОС (если бы это был сектор с данными), тем самым снижает износ данной ячейки. С точки зрения безопасности, если снять образ шифрованного раздела c SSD-диска, то мы увидели бы, что в используемых областях (секторах) у нас какие то данные (шифрованные), а в неиспользуемых - нули или единицы (могу ошибаться). В любом случае при стастистическом анализе всей поверхности будет видна аномалия, что раскрывает частичную информацию о сокрытии данных.

Для успешной работы TRIM конечно, нужна поддержка со стороны ОС, диска (бывают старые SSD диски без TRIM) и поддержка TRIM в драйверах контроллера SATA. (в дешевых RAID - контроллерах, например, может не быть такой поддержки).

Quote
Что вы имеете ввиду?
я чувствую себя как в управлении ФСБ.
как то так.
Et nipirvodimaйa igora sloff s asobinnostimi mesnaga deollekta. Karoch, slozhn siutk.

Poiuyzxcvb

  • Newbie
  • *
  • Posts: 8
Вы имели в виду те данные, которые унес с собой злоумышленник?

Пароль, который вредонос запишет на незашифрованную область физического диска (насколько я понимаю, это и есть суть "Evil Maid" Attack, если не брать в расчет слив вредоносом пароля через сеть после запуска системы владельцем атакуемого диска). С учетом того, что злоумышленник уже успел скопировать все необходимые данные/образ физического диска, ему останется только повторно получить доступ к нему с целью извлечения прослушанного пароля и дальнейшего получения доступа к скопированным данным. Т.е. в такой ситуации смена пароля и перешифрование не имеют смысла. В этом и суть вопроса: как удалить оставленный вредоносом прослушанный пароль на незашифрованной области диска, которым завладеет злоумышленник при повторном доступе к нему? Или вы имеете ввиду, что при перешифровании нешифруемая область (под стандартный MBR-загрузчик и где был размещен вредонос) обнулится/обновится и данные оставленные вредоносом будут удалены?

alkoro

  • Sr. Member
  • ****
  • Posts: 418
Quote
С учетом того, что злоумышленник уже успел скопировать все необходимые данные
я тут уже ничего сказать не могу, я же описывал гипотететическую ситуацию.
И потом, даже если и так, то уже не всё ли равно, что там на диске останется, когда утечка уже произошла?
Если вам нужно полное стирание, то используйте любой софт для тестирования жестких дисков - Victoria, HD tune Pro, в режиме записи затираете всю поверхность от первого до последнего сектора.

Anfinuo

  • Sr. Member
  • ****
  • Posts: 380
Что вы имеете ввиду?
That some people doesn't know that DC is Russian, so seeing all this "funky letters", could induce a severe paranoid episode in them :D

Et nipirvodimaйa igora sloff s asobinnostimi mesnaga deollekta. Karoch, slozhn siutk.
I applaud your obfuscation attempt, "comrade", I have no idea what you wrote, and even GT has problems :D

alkoro

  • Sr. Member
  • ****
  • Posts: 418
Quote
That some people doesn't know that DC is Russian, so seeing all this "funky letters", could induce a severe paranoid episode in them
lol. it is good that we write only in Russian, not in Arabic. ; )

Quote
even GT has problems
Verbatim:
It is untranslatable idiom using the features of the local dialect. In general, a complicated joke.
It has a reference to the old Soviet movie comedy, where the situation is played out with pronunciation distortion password with consequences for the characters of this episode.