damray
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору "Однако даже при использовании DriveCrypt защита информации на компьютере неполноценна, потому как остается незалатанной страшная дыра в виде файла подкачки (свопа) операционной системы. В этом файле сохраняются обрывки самой разнообразной информации, к которой вы обращались в процессе работы, и вытащить эту информацию из свопа — пустяковое дело. Самый простой способ залатать эту дыру — целенаправленно уничтожать своп после окончания рабочей сессии (как это делает StrongDisk). Именно уничтожать, а не просто стирать. Однако процесс уничтожения требует времени — иногда даже больше минуты, в зависимости от размера файла подкачки, — а времени этого как раз зачастую и не бывает («Тут примчались санитары и зафиксировали нас»)." Источник: http://www.pgpru.com/forum/prakticheskajabezopasnostj/drivecryptpluspack Насколько мне известно - Область жёсткого диска, предназначенная для свопинга, располагается в отдельном файле, который называется файл подкачки, своп-файл (от англ. swap file). Он называется pagefile.sys и по умолчанию создаётся системой в корневом каталоге диска C: Также я полагаю, что DiskCryptor целиком (полностью) шифрует жесткий диск, а значит можно сделать вывод, что и своп-файл тоже и следовательно проблемы со своп-файлом, которую я указал в самом начале в DiskCryptor'e нет, не так ли? Это первый вопрос. Второй вопрос: Также мне интересно, можно ли каким-либо образом вытащить пароль на вход в ОС из самой оперативной памяти, т.е. из платы (самого железа) и вообще может ли он там находиться этот пароль? Ну представьте ситуацию, когда мы имеем комп, зашифрованный DiskCryptor'ом, комп выключен и мы не можем его включить, т.к. не знаем пароля. Вот в этой ситуации можно как-то из оперативки вытащить пароль? Третий вопрос: комментарий с форума: "Когда я прочитал статью (см. моё первое сообщение здесь), то как-то сразу задумался:"А как это можно ломануть?". Выскажу один ход, может он "пустой", т.к. знатоком этой проги я не являюсь. Правда, а как её ломануть, если оно грузится самым первым... Предположим ноутбук попал в руки злоумышленника... незаметно от хозяина. Создать ему окружение. Т.е. сделать так, чтобы сперва запустилась некая оболочка, снабжённая кей-логгером. А уже под этой оболочкой и пусть стартует... защита. Задача скрасть пассфразу.... Интересно, есть-ли какие-то защитные функции от смены железа? Оболочка вероятно, должна быть на дополнительным устройстве. Boot-овом устройстве. Именно оттуда происходит старт системы, запуск кейлоггера, запуск DriveCrypt, а после ввода пассфразы, она записывается м.б. в микросхему BIOS для последующего считывания, а бутовое устройство переписывает BIOS на boot с прежнего устройства (скорее всего диск С. Т.е. дело сделано, вертаем настройки взад..... Крадём ещё раз ноутбук, считываем пассфразу из временного хранилища во флэшке BIOS, демонтируем дополнительное устройство и... "постучали в дверь.... вам телеграмма". Такой сюжет возможен?" Источник - http://www.pgpru.com/forum/prakticheskajabezopasnostj/drivecryptpluspack и вопрос мой такой: как думаете возможно ли осуществить то, что написано в комменте, ну внедрить кейлоггер в железо и тем самым заполуить пароль? Просто, если учесть, что можно делать вещи, которые указаны ниже в статье, то и в кейлоггер внедренный в железо тоже можно поверить... "Найдена возможность заражения BIOS" "Еще раз миру доказано что нет ничего не возможного, особенно в сфере высоких технологий. Двое специалистов по компьютерной безопасности из Аргентины Альфредо Ортега и Анибал Сакко на конференции по комбезу CanSecWest продемонстрировали широкой аудитории метод помещения вредоносного кода в BIOS! После заражения машина становится полностью подконтрольной злоумышленнику. Самое интересное то, что никакое удаление данных не поможет вылечить машину, даже после перепрошивки BIOS (!) она остается зараженной! Что еще интересно: заражение было проведено как из-под винды так и из-под openBSD и даже на виртульной машине VMware с openBSD. Правда для этого нужны права администратора или физический доступ к машине. По их заявлению заражение можно провести через драйвера устройств, добавив к ним небольшой патч, и полный руткит поселится в вашем BIOS очень надолго. Таким образом также возможно удалить или отключить антивирус." Источник - http://habrahabr.ru/blogs/infosecurity/55498/ или здесь - http://news2.ru/story/161659/ |