Схемы шифрования информации.

Совместное использование Skype и двойного перекрывающего SSH-туннелирования

В данном сообщении речь пойдет о совместном использовании Skype и двойных перекрывающих туннелей. Необходимыми условиями является начилие двух стабильно работающих SSH-туннелей, наличие установленной на компьютере программы SocksCAP, с помощью которой будет осуществляться соксифицирование Skype, а также самой Skype и консольной версии клиента PuTTY - plink.exe

Для начала нужно создать 2 BAT-файла, в дальнейшем необходимые для поднятия SSH-туннелей, предварительно поместив plink.exe в одну папку с ними. Первый BAT-файл будет представлять собой нижестоящий SSH-туннель с активацией соединения до второго вышестоящего туннеля через локальный адрес 127.0.0.1 и любой выбранный вами порт (единственное условие - данный локальный порт не должен быть занят другим приложением). Второй BAT-файл будет являться выходным узлом, активирующим второй SSH-туннель, через который в дальнейшем пойдет перенаправление сигнала Skype.

Содержимое первого BAT-файла представлено на скриншоте далее:



На приведенном скриншоте описывается процедура установки соединения до первого SSH-сервера с активацией форвадинга на локальный адрес 127.0.0.1 и порт 7071 с последующим перенаправлением соединения на адрес второго SSH-сервера с портом 22. Активация соединения на втором SSH-сервере находится на данной стадии в периоде ожидания.

Содержимое второго BAT-файла представлено на скриншоте далее:



На приведенном скришоте описывается процедура активации второго SSH-туннеля посредством установки соединения на адрес 127.0.0.1 и порт 7071, сигнал с которого в ранее запущенном BAT-файле автоматически перенаправляется на адрес второго SSH-сервера с портом 22. Т.е. адрес второго SSH-сервера уже прописан в настройках первого BAT-файла, но данный туннель еще не был активирован с использованием его реквизитов доступа, и именно второй BAT-файл необходим для его активации. После активации туннеля на второй SSH-сервер происходит запуск динамического форвардинга траффика через вышестоящий туннель с использованием нижестоящего туннеля на локальный порт 8089, который впоследствие должен быть указан в настройках программы SocksCAP, чтобы Skype можно было использовать на уровне двойного перекрывающего туннелирования, как это приведено на скриншоте далее:



Таким образом, настроенная на локальный адрес 127.0.0.1 и порт 8089 SocksCAP автоматически ссылается на установленное ранее через BAT-файлы двойное SSH-туннелирование. После этого необходимо добавить Skype в список соксифицированных приложений:



Запускаем Skype через SocksCAP. Убедиться в том, что Skype работает именно через двойное туннелирование можно просмотрев окно консоли второго активированного туннеля, там должна начать появляться информация об открытии перенаправляющих портов, как это представлено на скриншоте далее:



Насколько видно из приведенного скриншота, в окне консоли второго BAT-файла, активировавшего второй перекрывающий SSH-туннель, появляются адреса и порты, характерные для подключения программы Skype. Через несколько секунд, в зависимости от скорости туннелей, Skype будет подключен.

 

Hello_World

Hello_World​

Теперь отпала необходимость в хранении ключевых файлов на носителях, их можно сгенерировать с помощью этой маленькой программы в тот момент, когда они нужны для доступа к зашифрованным разделам или криптоконтейнерам. Лучше всего генерировать ключевые файлы на временном RAM-диске, созданным с помощью GiliSoft RAMDisk 4.1, ссылка на которую находится ниже. Особенности программы заключаются в невидимом запуске, когда для активации главного окна программы необходимо нажать SHIFT+7 в английской раскладке (получится символ "&"), таким образом скрыт факт наличия генератора на компьютере, без комплексного программно-технического исследования и дизассемблирования понять что это за файл и какую функцию он выполняет будет невозможно. Главное окно программы выглядит следующим образом:



В программе существует 2 режима работы - видимый и невидимый. Для активации видимого режима поставьте "галочку" на опцию Visible Mode, после чего окно программы станет таким:



Отличия видимого режима от невидимого в том, что вы можете смотреть какие значения вы вписываете в текстовые поля, на основе которых затем будут сгенерированы ключевые файлы. Это сделано исключительно для удобства, и никак не отразится на конечном результате генерации. Если вы в точности помните какие значения вы вводили для создания первого набора ключевых файлов, вам необязательно использовать видимый режим работы. Теперь можно приступить к описанию основных характеристик программы, для простоты будем использовать видимый режим.

Первая кнопка в интерфейсе программы с надписью [ add key files ] позволяет добавить неограниченное количество ключевых привязочных файлов, которые будут использованы в общей связке с остальными нижеуказанными параметрами программы для генерации конечных ключевых файлов. Для выбора ключевого файла нажмите кнопку, выберите нужный файл и нажмите Open, если вам необходимо выбрать больше 1 ключевого файла, повторите эту операцию снова. Следует помнить, что важнейшую роль играет последовательность выбора ключевых файлов. так, если вы сначала выбрали файл с названием 1.JPG, а затем файл 4.JPG у вас получится один результат, но если вы при следующей генерации сначала выберите файл 4.JPG, а потом файл 1.JPG - результат будет совершенно другим, поэтому необходимо запоминать последовательность выбора вами ключевых привязочных файлов.

В первом текстовом поле с надписью [ dir for creating ] вы можете указать название каталога, который будет создан и в который затем будут помещены ключевые файлы. Чтобы ввести имя, щелкните по текстовому полю, надпись автоматически сотрется и даст вам возможность ввести собственное имя каталога.

Во втором текстовом поле с надписью [ keyword string ] вам предлагается ввести ключевую строку, так называемый привязочный пароль, который участвует в общей привязке, создающей точку отсчета для генерации файлов. Можете ввести туда любое слово, группу слов, цифр или символов.

В третьем текстовом поле с надписью [ amount of files ] вам предлагается ввести количество файлов, которые будут сгенерированы. Обычно при среднем размере файла в 1 мегабайт (речь о размере пойдет ниже) вполне достаточно около 100 файлов, таким образом получится 100 файлов размером по 1 мегабайт, следовательно в сумме 100-мегабайтный ключ для зашифрованного раздела или криптоконтейнера.

В четвертом текстовом поле с надписью [ size of each file ] вам предлагается ввести размер для каждого генерируемого файла в байтах. Для примера, если вы вводите 500000, значит будет сгенерировано укзаанное вами ранее в третьем текстовом поле количество файлов размером в 500000 байт, т.е. приблизительно пол-мегабайта.

Для генерации файлов, соответствующих указанным выше параметрам, нажмите кнопку с надписью [ begin creating ], после чего окно программы свернется и в заголовке свернутого окна начнется показ того, какое количество файлов уже сгенерировано из их общего количества.

Все введенные вами во всех текстовых полях параметры в последующем оказываются взаимосвязанными между собой и дадут на выходе единственный вариант генерации файлов. Если вы измените хотя бы 1 значение в программе хотя бы на 1 букву или цифру, на выходе вы получите совершенно другой результат. Существенную роль играет местоположение программы и имя исполняемого файла: лучше всего, если вы создадите RAM-диск, предположим, G:\ или F:\ и каждый раз перенося туда программу, будете создавать файлы на нем. Если программа будет находиться в другом каталоге, ее местоположение, отличное в данном примере от корневого G:\ или F:\, создаст неверные параметры для конечной генерации файлов (т.е. на верность генерации конечных файлов играет также местоположение самой программы на диске).

В итоге, количество неизвестных, необходимых для получения верного значения ключевых файлов - как минимум 6.

1) привязочные файлы
2) название каталога
3) парольная строка
4) количество генерируемых файлов
5) размер каждого генерируемого файла в байтах
6) местонахождение программы на диске и имя программного файла

Пример введения одного из вариантов параметров приведен ниже:



Таким образом, для того чтобы снова получить 95 сгенерированных файлов размером 999000 байт с ключевым словом GrLpa01<a3m1iKZ120_a+1, которые были созданы в каталоге keyfiles_3000, необходимо в точности повторить ввод данных параметров в следующий раз. Ошибка вводимых параметров всего на 1 символ, а также неверное местоположение программы и отличное от первоначального имя исполняемого файла самой программы приведет к генерации неверных значений.

Скачать стандартную версию программы: [прямая ссылка]
Скачать упакованную версию программы: [прямая ссылка]
Скачать исходные коды: [прямая ссылка]
Скачать GiliSoft RAMDisk 4.1 + лекарство: [прямая ссылка]

 

X-Mouse Button Control и экстренное выключение компьютера

Для примера возьмем ситуацию, когда к вам в квартиру стучатся неизвестные люди и ваш отец (мать, брат, сестра) открывают дверь. Затем, быстрым шагом они проходят в вашу комнату, кладут вас на пол и надевают на вас наручники, чтобы вы не успели сделать экстренное размонтирование дисков или выключить компьютер. После чего они подключаются к вашему компьютеру и с открытого криптоконтейнера или зашифрованного раздела в режиме реального времени снимают образ. Никакое шифрование вас в итоге не спасло, несмотря на использование всех мер и средств предосторожности: VPN, SOCKS, виртуальная машина и т.д. Проще говоря, вас обыграли по скорости и быстроте реакции, а вы не успели выключить компьютер или сделать экстренное выключение, что необходимо в таких случаях - выдернуть шнур из блока питания. Вероятнее всего, именно на этом ошибся организатор DDOS-атак на сайт платежной системы "Ассист" Engel, когда пытался выключить компьютер в тот момент, когда в квартиру уже заходили оперативники. Отсюда становится ясным, что главным и решающим фактором является быстрота, а именно - сумеете ли вы быть быстрее противников и успеть выключить компьютер до момента, когда с открытого криптоконтейнера или зашифрованного раздела начнут снимать образ, а вы будете лежать на полу в наручниках.

Одним из наименее затратных выходов является установка "горячих клавиш" на выключение компьютера с форсированным завершением работы всех запущенных приложений. У многих из вас есть компьютерные мышки с тремя кнопками, средняя из которых используется в большинстве случаев как кнопка скроллинга в приложениях, однако нажатие на эту кнопку используется очень редко. Следовательно, можно привязать экстренное выключение компьютера с форсированным выходом всех приложений к нажатию на среднюю кнопку мыши. На нажатие потребуется меньше 1 секунды, после чего процесс будет проходить уже независимо от вас. Для начала необходимо создать BAT-файл приблизительно такого содержания:

%windir%\System32\Shutdown.exe -s -f -t 0

Этот BAT-ник запускает программу выключения компьютера опцией -s, опция -f (forced) указывает на экстренное закрытие всех запущенных программ, опция -t указывает количество секунд, через которое необходимо произвести выключение (в данном случае, значение должно быть равным 0). Вам нужно сохранить этот BAT-файл на диск.

После чего необходимо найти программу, которая позволяет привязать нажатие на среднюю кнопку компьютерной мыши к выполнению данного BAT-файла. Я протестировал много программ, и остановился на X-Mouse Button Control (http://www.highrez.co.uk/downloads/XMouseButtonControl.htm). Программа бесплатная, имеет огромное количество встроенных функций, в том числе возможность запуска определенного приложения по нажатию на среднюю кнопку мыши. Основные настройки программы выглядят так:



Поскольку нас интересует только средняя кнопка мыши, необходимо выбрать ее. Прокручиваем вниз список функций, которые можно на нее назначить, и останавливаемся на Run Application. Затем устанавливаем в открывшемся диалоговом окне фильтр файлов All files (*.*) и ищем сохраненный на диске BAT-файл. Предположим, вы сохранили его на диске C:\ и назвали 123.bat. Тогда конечный результат работы будет выглядеть следующим образом:



Нажимаем ОК, затем Apply и Close, после чего программа сворачивается в системный трей. Теперь при нажатии на среднюю кнопку мыши будет произведен запуск BAT-файла, а через него - экстренное выключение компьютера с форсированным завершением всех программ, в том числе таких как FreeOTFE, TrueCrypt, DiskCryptor с монтированными зашифрованными разделами или криптоконтейнерами. Вся несохраненная информация будет утеряна.

Рекомендации по использованию и работе:

1) если вы проживете один, никого не ждете и слышите стук в дверь, посмотрите в глазок кто к вам пришел. Не спрашивайте зачем они пришли, если человек несколько - бегите к компьютеру и выключайте его.
2) если вы проживете с отцом (матерью, братьями, сестрами) вы должны иметь закрывающуюся на замок дверь в вашу комнату, желательно, железную. Необходимо всегда закрывать дверь в моменты, когда у вас открыты зашифрованные разделы\криптоконтейнеры.
3) если к вам стучатся соседи или любые другие люди, которым вы доверяете в жизни - сделайте экстренное размонтрование зашифрованных разделов и выключение компьютера, после этого можно запустить человека в квартиру, перед этим необходимо убедиться что он пришел один (часто бывает так, что оперативники знают о том, что вы предпочитаете не открывать дверь незнакомым людям, и могут подослать к вам человека, к которому вы не испытываете недоверия - соседку, уборщицу или работника ЖЭКа или даже друга или приятеля. Главное для них - чтобы вы открыли дверь, после чего в квартиру заходят они. Пример подобной работы приведен в фильме "Враг государства")

Примечание: данный метод противодействия не спасает от атаки методом "cold boot", он препятствует лишь попытке снятия образа с монтированных зашифрованных разделов и криптоконтейнеров. При проведении атаки "cold boot" в снятом образе памяти будет найден пароль, поэтому в целях противодействия этому при шифровании разделов и создании криптоконтейнеров используйте не пароли, а ключевые файлы.

 

Методы скрытого хранения ключевых файлов для зашифрованных разделов

Хранить ключевые файлы в открытом виде на носителях крайне нежелательно, т.к. это значительно может упростить работу экспертам. Для того, чтобы скрыть ключвые файлы на любых носителях (диски, флешки, CD-диски и пр.) есть один метод. Для начала, представьте себе что вы эксперт и в вашем распоряжении сбрученный системный раздел (наиболее слабое звено без защиты по ключевым файлам), затем вы по очереди начинаете подбирать каждый файл, находящийся на диске, к второму диску, на котором лежит та информация, которая должна быть зашифрованной. Естественно, подбор будет вестись в автоматическом режиме, поэтому времени на это много не уйдет. Затем эксперт находит ключевой файл, предположим, Melanie-Ruby_Tuesday.mp3 размером 6 мегабайт и легко открывает диск. Как можно попытаться противодействовать этому:

1) использовать шифровальные программы, дающие на выходе каждый раз идентичный зашифрованный файл с постоянным значением HASH
2) использовать архиваторы с функцией шифрования, также дающие на выходе каждый раз идентичный архив с постоянным значением HASH
3) использовать образы CD-дисков и флешек в качестве ключевых файлов к зашифрованным разделам и криптоконтейнерам, при этом файловая система флешки или CD-диска не должна подвергаться изменениям на весь период использования ее образа в качестве ключевого файла

Пример 1:

В качестве образа к зашифрованному разделу используется несколько ключевых файлов. Данные файлы носят расширение MP3 и являются музыкальными. Также в наличии имеется криптографическая программа, каждый раз дающая на выходе стабильное HASH-значение, зависящее только от содержания пароля (если пароль в шифровальной программе меняется, то HASH конечного зашифрованного файла изменится; если пароль во время шифрования не меняется, каждый раз на выходе будет файл со стабильным HASH). Для обеспечения безопасности зашифрованного раздела будем шифровать следующую группу файлов:

123.mp3 (незашифрованный HASH - 6371A0FB)
Hello_world.mp3 (незашифрованный HASH - 1D649CAC)
I_turn_to_you.mp3 (незашифрованный HASH - 1071F07A)

Перемещаем эти файлы на созданный программой Gilisoft RemDISK временный диск в оперативной памяти и шифруем их выбранной нами шифровальной программой с известным вам паролем. В итоге, на выходе мы получаем:

123.mp3 (зашифрованный HASH - 391A7F8B)
Hello_world.mp3 (зашифрованный HASH - B7581330)
I_turn_to_you.mp3 (зашифрованный HASH - 345B7938)

Используем зашифрованные MP3-файлы, находящиеся на виртуальном RAM-диске, в качестве ключевых файлов для зашифрованного раздела. После подключения зашифрованного раздела данные файлы можно удалить с RAM-диска.

В итоге, каждый раз повторяя подобную процедуру мы каждый раз будем получать доступ к зашифрованному разделу в обход сохранения зашифрованных файлов на диск и в обход методики подбора ключей к зашифрованному диску (настоящие оригинальные MP3-файлы останутся на диске нетронутыми, операции все шифрования проводятся на виртуальном RAM-диске)

Пример 2:

Создаем виртуальный RAM-диск, на который перемещаем файлы, необходимые для архивации. Это могут быть любые типы файлов в любых комбинациях, существенной разницы для архиватора нет. Единственным условием является конечное стабильное значение HASH файла архива. Для примера, заархивируем файлы:

55.bat
Gone_.mp3
youtube__horse_fuсkеr.flv
svchost.exe
Angelina_Jolie_Porno.avi

На выходе мы получаем архив со стабильным значением HASH (предположим, 917F78C4). Затем данный архив используется в качестве ключевого файла для получения доступа к зашифрованному разделу, после открытия зашифрованного раздела архив, находящийся на RAM-диске, не обязателен для хранения и уничтожается. Если есть желание усилить защиту раздела, можно создать несколько подобного типа архивов и использовать их в качестве ключевых файлов.

Пример 3:

В наличии имеется диск с игрой "SimCity" на обычном CD-диске объемом 700 мегабайт. Необходимо учитывать, что конечный размер образа может быть меньше допустимого объема CD-диска, поэтому необходимо заранее создавать RAM-диск с размером, чуть больше 700 мегабайт. С диска снимается ISO-образ, затем записывается его HASH-значение. После чего образ удаляется и для контрольной проверки проводится повторное снятие образа, после чего полученное значение HASH нового образа сравнивается с сохраненным значением удаленного образа. Если HASH-значения образов совпадают, значит образ данного диска может быть использован в качестве ключевого файла к зашифрованному разделу. Если вы опасаетесь того, что подобный метод также будет использован экспертами, достаточно найти программу для конвертирования форматов образов дисков, затем переконвертировать полученный образ в другой малоизвестный формат и использовать его в качестве ключевого файла. Предварительно конветер форматов также необходимо проверить на идентичность выходных HASH-значений. Обычно тест проводится 2 раза. На первой стадии теста конвертируется и сохраняется на RAM-диск снятый ISO-образ, затем записывается его HASH-значение. После чего полученный сконвертированный образ для освобождения места удаляется, затем проводится повторная конвертация и сравнивание нового значения HASH полученного образа со старым. Если данные значения совпадают, значит конвертируемая программа может быть использована для конвертации образов, в дальнейшем используемых в качестве ключевых файлов к зашифрованным разделам и криптоконтейнерам.

Пример 4:

В наличии имеем программу для конвертирования аудиоформатов Xilisoft Audio Converter 2.1.78 build 1225. С помощью нее возможна конвертация между различными музыкальными форматами, в дальнейшем это позволит использовать переконвертированный музыкальный файл в качестве ключа\ключей к криптоконтейнеру\зашифрованному разделу. Для примера я беру файл 123.mp3, добавляю его в указанную программу, затем выбираю выходной формат (пусть это будет .ape), выбираю конечное имя файла (пусть это будет 123.ape), после чего выбираю конечную директорию, куда будет записан переконвертированный файл. Конечной директории записи следует уделить предельное внимание, т.к. переконвертированный файл должен быть записан на виртуальный RAM-диск, и впоследствие после его использования в качестве ключевого - оттуда же и удален. Нельзя записывать переконвертированный файл в каталог на жестком диске, т.к. это в дальнейшем позволит эксперту восстановить с помощью программ для восстановления удаленной информации этот файл и применить его к криптоконтейнеру.

Пример 5:

Проводим ту же самую операцию, как и в примере 4, только на этот раз используем конвертер графических форматов, лично я рекомендую Total Image Converter 1.5.89, она протестирована лично мной и каждый раз сохраняет идентичные по HASH-сумме изображения того или иного формата. Инструкция по использованию та же самая, что и при работе с аудиоконвертером - выбирается графический файл (он может быть файлом обоев на рабочий стол, графическим элементом сохраненной веб-страницы или любой другой картинкой, находящейся на диске), после чего выбирается конечный формат для конвертирования и каталог назначения. Каталогом назначения также должен быть виртуальный RAM-диск. После подключения зашифрованного раздела\криптоконтейнера переконвертированный файл удаляется с RAM-диска, а оригинальный файл остается на жестком диске без изменений.

P.S. Приведенные примеры можно комбинировать между собой, использовать совместно или по отдельности неограниченное количество раз.

 

Понравился второй способ..простой и в то-же время сторонний спец долго биться будет..
возможно,что и безрезультатно..

 

Тут еще есть интересный момент: нужно учитывать, что при смене имени хотя бы 1 файла из списка хотя бы на 1 букву конечный результат - HASH-сумма архива - будет уже другой. Для примера создал архив с программой cprocess.exe. Список файлов:

CProcess.exe
CProcess.cfg
CProcess.chm
readme.txt

Затем с помощью архиватора FreeArc создал архив cprocess.arc, HASH-сумма архива получилась 31B3D5CC. Сохранил это значение в текстовик, чтобы затем сравнить с другим. Затем переименовал файл readme.txt в rdme.txt. Создал новый архив с тем же именем cprocess.arc и на выходе получил другой HASH - 936499B1.

В итоге получается, что ты можешь хранить заранее переименованный файл на диске, а когда понадобится получить доступ к зашифрованному разделу - просто переносить весь список файлов на RAM-диск, затем переименовывать файл (или файлы) в первоначальные имена и создавать архив с нужной HASH-суммой. По сути, это еще один уровень защиты от действий эксперта.

 

Спасибо!

Думал, что почитать на досуге. Теперь знаю
Спасибо, ты реально силен, буду читать топик по мере имения свободного времени.

p.s Можешь посоветовать почитать книги какие-то по стенографии? И по криминалистике в целом?

 

По компьютерной криминалистике посмотри здесь. Также много интересного можно найти на портале "Интернет и право" (заходить лучше всего через другую страну), иногда проскальзывает информация о методах работы копов. Например, о том что владельцев криптоконтейнеров на стадии задержания сразу кладут на пол в наручниках, чтобы они не успели сделать дизмаунт, я узнал именно оттуда. Если они так делают, значит шифрование все-таки представляет для них определенную сложность.

 

Не знаю, что вы хотели добиться.Думаю всем, кому вы обратились в своем коммюнике глубоко ..на вас..
Но это мое личное мнение.

 

Добиться - ничего, цель была высказать гражданскую позицию. Многим глубоко пофигу на то что я написал, поэтому для них список туннелей является единственной возможной ценностью.

 

black_berry, огромное спасибо за тему! Вот уже пару дней читаю эту тему, открыл для себя много интересного и познавательного. В принципе, я новичок в этих делах и для меня сложновато постоянно применять на практике описанные схемы шифрования. Поэтому, хотелось бы задать тебе вопрос, как, судя по всему, человеку отлично разбирающемуся в этих делах.

Собственно вот сам вопрос, хотелось бы узнать твое мнение, на сколько безопасна такая вот схема работы:

У меня ноутбук, все файлы и информация для "черных дел" хранятся у меня на флешке MicroSD в запароленных RAR-архивах, + ко всему флешка запаролена и зашифрована программкой USB SafeGuard. Там же и установлены все нужные для работы программы - браузеры, OpenVPN, FTP-клиенты и прочее. По окончанию работы, все файлы\инфо\скрипты, которые я использовал в процессе работы удаляю программой Freeraser (3 rounds of filling according to DoD 5220.22M standard), нужное - архивирую в RAR под пароль и переношу на флешку.
В итоге, у меня есть два варианта в случае чего..:
1) Вытаскиваю флешку - ломаю ее, прячу, смываю в унитаз, вобщем избавляюсь от нее любыми способами
На компе следов на сколько я понимаю остаться в таком случае не должно, так как всё что есть - было на флешке.
2) Если вдруг такая ситуация, что я не успею избавится от флешки и она остается в ноуте - каков шанс, что информация на флешке будет расшифрована?

 

Здравствуй, главный вопрос кто в случае чего будет являться для тебя угрозой, а если быть точным - технические мощности какой силовой организации (федеральной или региональной) могут представлять угрозу для твоих зашифрованных данных. Из этого можно исходить достаточен ли твой уровень безопасности или схема требует доработки. Если хочешь, можешь написать мне в джаббер - там можно более обстоятельно побеседовать.

 

Здравствуйте,непервый год читаю форум и много честно говоря интересного для себя здесь прочитал и особенно касоемо данной ветки и сегодня не удержался и решил поделиться одной историей.
Это произошло в 2011году у меня был (потому ,как его больше нет) знакомый который занимался плохими делами и я старался держаться стороной его,но в тот день забежал к нему по делу и ушёл.В этот вечер я у него забыл юсб винч на 250 гигов спохватился уже утром,когда с некоторых телефонов пришли смс о том,что у знакомого гости и они меняют телефоны (я думал ,что посидею и не знал что делать тк там была копия контактов из 2 телефонов- порядка 150 телефонных номеров имён и тд).У него самого (по словам его близкого знакомого,у него был такой же диск зашифровано всё было трукриптом,но вскрыли и было много арестов,прошлись по каждому контакту и много с кем было просто бесед и не совсем лицеприятных в том числе)Так вот работал он с винды и зная этого человека пароль бы он им не сказал,явно нашли ключ на компе тк он не особо себя утруждал изучением всех тонкостей.В итоге мой диск остался не расскрытым тк не по одному из телефонов не было даже звонка,а с диском я сделал так:забил его dd_rescue /dev/urandom /dev/sdc и потом sudo cryptsetup --cipher aes-xts-plain --key-size 512 --verify-passphrase luksFormat /dev/sdс потом в домашней дериктории создал текстовый файл под названием 22 и написал в него слово яблоко(только английскими буквами z,kjrj это как пример сами понимаете) далее в программе pwgen задаю ключ pwgen -H 22 -ncy 511 1 (где 22 это нан файл на основе которого создаётся пароль,-ncy включающий буквы большие и маленькие,цифры,спецсимволы ,511 количество символов в пароле которое максимально поддерживает cryptsetup и 1 это количество самих паролей после этого в консоле вылетает пароль и его можно копирнуть). САМОЕ ГЛАВНОЕ ДЛЯ МЕНЯ что его не надо помнить было и можно было восстановить зная фразу на любом livecd линёвом.

 

Предлагаю всем отписываться в эту тему:

1) как и кого "брали", а также под чьим руководством (какая организация)
2) конкретно кто и какие вопросы задавал, как разговор проводился, что спрашивали, применялись ли угрозы и т.д.
3) какая ОС была установлена, какая система защиты, какой VPN-компанией пользовались, до какой страны\стран был проброшен туннель, какой валютой рассчитывались с VPN-продавцом, было ли поверх VPN использовано дополнительное шифрование и т.д.

В дальнейшем на основе полученной информации будут составлены новые схемы противодействия.

 

Думаю здесь найдётся дай бог один-два человека которые напишут развёрнутый ответ на эту тему,уж больно стрёмно описывать такие вещи на открытом ресурсе.Проще здесь выложить пару схем скажем как здесь http://ru.d-ws.biz/articles/install-ubuntu-at-crypto-disk.shtml с объяснением почему именно так и ни как иначе(например забивают dd_rescue /dev/urandom /dev/.... для того что-бы неотличить инфу от щифрования и тд)тогда ветка будет более интересной ну и докидывать интересных ссылок http://www.pgpru.com/forum/prakticheskajabezopasnostj/koncepcijabezopasnojjzagruzki?show_comments=1&p=1#Comment23664 например

 

Спасибо за ссылки, почитаю.

Конечно, ИМХО, но если к человеку предъявляют безосновательные претензии или атакуют его OpenVPN чтобы получить доказательства, то кинуть таких людей - так 7 грехов простится. А готовы ли вы кинуть тех, кто кинул вас по долгу его службы, когда как вы себя по моральным соображениям неправым не считаете - это вопрос в другой плоскости.

P.S. В Ветхом Завете писали - "глаз за глаз", я с этим согласен.

 

Хотел бы поделиться одним из способов, которые используют оперативники для "раскрутки" подозреваемых и который я испытал лично на себе.

Телефонный звонок. Приятель, человек которого я знал 8 лет. Теперь приятелем уже не является.

Я: Алло.
Он: Привет, как дела?
Я: Нормально.
Он: Слушай, я тут хотел тебя кое о чем попросить.
Я: О чем?
Он: Помнишь ты заходил на чужие аккаунты вКонтакте? И ты мне давал сим-карту, так вот ее видимо заблокировали, но мне нужно вКонтакте сделать анонимный аккаунт, с левой сим-картой.
Я: Ну сделай на свою сим-карту, если тебе нужно.
Он: Нет, мне надо не от своего лица.
Я: Посмотри на форумах.
Он: Слыш, ну помоги, мне реально нужно.
Я: Ничем не могу помочь.

Больше от него звонков не было.

Я еще тогда знал что мой сотовый и городской стоят на записи уже длительное время. Исходя из этого разговора, противник, осуществляющий прослушку, мог получить документальную аудиозапись, потверждающую мою причастность к доступу к чужим аккаунтам вКонтакте и использовании анонимных сим-карт, зарегистрированных на несуществующих людей. Ключевые фразы, которые могли меня скомпрометировать:

-"Помнишь ты заходил на чужие аккаунты вКонтакте?"
- "И ты мне давал сим-карту, так вот ее видимо заблокировали, но мне нужно вКонтакте сделать анонимный аккаунт, с левой сим-картой."

Что было бы в противном случае:

1) регистрация с анонимной сим-карты вКонтакте указала бы на номер анонимной сим-карты, в логах СОРМ-2, установленных на серверах сотового оператора, хранится информация обо всех отправленных и полученных СМС-сообщениях, а информцаия о местеположении абонента обновляется и сохраняется в реальном времени. Таким образом. оперативники, сужая область слежения до моего дома, могут легко установить точное местоположение сотового телефона, на котором была активирована анонимная сим-карта и на которую пришло сообщение о подтверждении регистрации вКонтакте
2) передача логина и пароля бывшему приятелю в сочетании с п.1 точно укажет на меня как на владельца сотового телефона и сим-карты, что даст основания для обыска
3) слова бывшего приятеля о том, что я ранее заходил на чужие аккаунты вКонтакте являются косвенным подтверждением того, что доступ к ним у меня действительно был, что, соответственно, ст. 272 УК РФ
4) слова бывшего приятеля о том, что данная ему мной анонимная сим-карта заблокирована служит основанием для утверждения, что у меня может иметься более чем 1 сим-карта, не зарегистрированная на меня

В итоге, пришли бы с обыском.

Так что, ребята, ни одному человеку в реале не говорите о том чем занимаетесь в Интернете. В любой момент ваш самый близкий друг, девушка, коллега по работе, сосед\соседка и т.д. могут стать предателем, если они будут знать о вас то, что интересует вашего противника. Ваш противник может пообещать им многое: решение каких-то проблем, либо избавление от проблем, либо просто банально "наехать" и сказать - "Этого человека не сдашь и не раскрутишь - у самого проблемы будут", т.е. как вы понимаете используются исключительно бандитские методы.

Они могут подсылать к вам человека в Интернете под видом девушки или парня, который будет активно интересоваться вашими увлечениями, попытается спросить у вас фотографию, будет говорить о том какой вы хороший специалист в области информационной безопасности, будут расхваливать вас и т.д. и т.п. Единственная цель такого вида "удаленных" разработок - собрать о вас как можно больше информации, затем сопоставить полученную от вас информацию с вашим электронным адресом JABBER'а\ICQ\другой системы мгновенных сообщений, затем с вашим ником и таким образом получить прямые доказательства лично вашей причастности к той или иной деятельности в Интернете. Разговоры Skype могут быть легко записаны с помощью множества программ, позволяющих записывать звук напрямую с аудиокарты, поэтому наиболее предпочтительным является чисто текстовое общение. Нужно учиться замечать детали в общении с собеседником, которые косвенно могут идентифицировать вашу личность: ни в коем случае не отправлять никому свои фотографии с JABBER'а или E-Mail, используемых для работы, даже если человек представляется девушкой, которой вы якобы нравитесь. Не реагировать на запросы поговорить по Skype\телефону, игнорировать запросы на предоставление номера мобильного телефона под любым предлогом. Настоятельно не рекомендуется обсуждать ничего кроме работы с рабочих JABBER'ов или E-Mail'ов.

 

black_berry

Как всегда - параноей страдаешь.

Телефонный запись - уже не является прямым доказательством в суде. мне сказали, что были случае, когда их не воспринимали, как доказательство, т.к. не смогли доказать подлинность. У меня тоже есть подозрение, что мой телефон прослушивается чисто для интереса - чем я занимаюсь, но оно никогда не будет использоватся против меня(в суде т.е. , в законных обстоятельствах). Не все так просто, как ты думаешь.
По телефону не раз обсуждал много нелегальных дел (не косаюшийся гос.безопасности), всякие взломы, способы обхода от каких то дел, разборки, и т.д. дела, но никогда за все это время ко мне не приехали, не написали и даже намека небыло. А ты шифруешся ))))) пойми одну простую вещь - раз твой номер прослуиваеся, значит в любой момент могут определить и твое местонахождение +- на 5м.
И найти компромат на тебя - как неxуй делать.
Вот только осознать тебе надо одну простую вешь - нах ты им не нужен.

 

B1t.exe

Ты знаешь, есть такой анекдот, где два психиатра обсуждают пациента, который лечился от мании преследования в психбольнице и которого после выписки убили киллеры. То что ты или кто-то еще считает паранойей не говорит о том, что этого действительно не может быть.

Посмотри ссылку: http://www.internet-law.ru/forum/index.php?topic=6328.0

И цитата с последней страницы:

Я не говорю что уверен на 100% что мой пример был провокацией на преступление, но если это действительно было так, то такой способ действительно существует при работе оперативников в силовых организациях. Я надеюсь, ты тоже как здравомыслящий человек понимаешь что могут развести и через друзей, и через девушку, и через коллегу по работе. Данный метод основан как раз таки не на дешифровке VPN или ином анализе траффика, а на банальной социальной инженерии с учетом что человек (и такие его качества, как доверчивость, подчиняемость, податливость, слабовольность, бесхарактерность, беспринципность, невнимательность) является самым слабым звеном в безопасности.

Про телефоны: просто так "ради интереса" твой телефон слушать никто не будет, для того чтобы получить право на проведение этого ОРМ нужно постановление.

Из личных предположений могу сказать, что если на прослушку ставится сотовый телефон, то вместе с ним под аналогичное логирование ставится и городской телефон, а также доступ в Интернет. Если у человека есть подозрение, что хотя бы 1 из вышеприведенных средств связи находится на мониторинге, это автоматически означает что под наблюдением находятся и все остальные средства коммуникации. Из личного опыта: по крайней мере 2 раза в жизни при разговоре по городскому телефону слышал в трубке обрывок собственной фразы, сказанной несколькими разговорами ранее. Шизофренией и галлюцинациями не страдаю, свой голос узнал по интонации.

А вот цитата из Википедии что могут еще применять помимо прослушки.

Более подробно: http://www.lomonosov-fund.ru/enc/ru/encyclopedia:0131400:article

А вот про тех, кого я называю предателями:

Все еще считаешь это паранойей? Твое право, но в рамках приведенной мной информации это под большим вопросом.

 

black_berry

Это не панацея. И никто не будет выложить методики, по которым они расследуют. Это им не выгодно, по этому сами могут вводить нас в заблуждение.
Да и это написал какой то дурак или человек, который не хочет раскрывать карты. читак дело о Хорохорина Владислава (a.k.a BadB). Особо какими методиками анализировали, исследовали, т.е. ввели дело.

80% преступлений в сфере высоких технолгой раскрвается именно благодаря "преданному девушку" или "верных друзей" Я не исключаю, что твоя ситуация неправдоподобна, но не похож на подчерк серьезных структур. Если у них есть твой номер телефона, уже считай под колпаком.

Это был, есть и будет всегда самым спабым звеном в ИБ. ведь система не ошибается, ошибаетсячеловек. Я на твоем месте не дерерился бы так этим VPN_ам, у тебя свои SSH тунелли вроде? если сам держишь, в других странах, то еще могут усложнять жизнь нашим "конкурентам".

Наивно думаешь однако... Ты думаешь фсб будет у следственного коммпитета или от прокуратуры допросить право на прослушивания? ))))))))) они могут любому в любое время прослушивать. Это может быть у "К" надо разрешение Ты сам написал как то про СОРМ. так такой же СОРМ стоит в каждом конторе, кто предоставляет коммуникационные услуги. Думаю понял масштабы обхвата.

ими может оказаться каждый из нас ))) На машине езжай и остановись неподолеко от входа "Ф" и ах..еешь какие люди заходят/выходят начиная от стариков, закончивая от проституток(покрайне мере на вид). У них очень много сексот работинков... мы представить не можем даже. Им может оказатся почти любой.. временно или на постоянку.

да, и имею на это свои обьяснений (который уже написал). Имеет место твой случай, но не серьезная тема для беспокойствия.
На улице ночью с машины фотками меня, стреляли из чего то(промохнулись и в стену попали), следили за мной... но я особо не давай тон беспокойствия (хотя мой спутник/ца очень был/а испугано), я всязывал это с случайностью или недорозумением.
Да и я человек-фаталист. Будет то, что прендназначен судьбой. че падать в панику