LINUX.ORG.RU

USB загрузчик для линукс.

 , , , ,


0

3

Надоело просто развлекаться разговорами решил замутить очередную фичу в стиле тяжелой паранойи.

Суть фичи:

Условный ноут с системой Mint 18.2 64bit, 120Gb SSD, 8Gb RAM, загрузка с флэшки.

В случае отсутствия флэшки и выключенного компа утверждение что на компе что-то есть (ОС, данные и т.п.) доказать невозможно или очень сложно. (как?) То есть диск выглядит не разбитым и на нем формально только мусор. Загрузчик в БИОСе указывает на флэшку естественно.

Сделать такое не очень сложно. На флэшку выносится /boot и /efi а так-же первые несколько сотен байт диска после установки записываются в виде файла на флэшку. Собственно из этого файла разбивка диска и берется для загрузки. Диск шифруется полностью вместе со свапом, системой и данными, средствами стандартного LUKS DM-Crypt на LVM. Естественно перед установкой системы dd if=/dev/urandom of=диск_полностью обязательно.

И вот тут уже начинают возникать вопросы.

1. Используемый метод шифрования. Можно ли остановиться на стандартном методе предлагаемом по умолчанию или стоит использовать что-то иное в пределах LUKS DM-Crypt? Если не стандартное, то почему стоит использовать именно не стандартное?

2. Слышал про то что можно в принципе оставить на зашифрованном диске даже /boot, а первичную расшифровку /boot производить каким-то образом средствами /efi. Если у кого есть опыт практического использования такого варианта - поделитесь опытом на сколько это осмысленно?

3. Опять-же вариант для ноутов без /efi. Как лучше скомпоновать флэшку для такого варианта установки.

4. Идеи по тому как автоматизаровать процесс создания такого ноута с внешней флэшкой взяв за основу свежеустановленный ноут и чистую флэшку. То есть хочется что-то типа перенастройка в одну команду. Что то в духе: sudo ./paranoya.sh /dev/sda /dev/sdf и потопал пить кофе.

5. Практический опыт создания почти такой системы у меня есть. Но любые идеи в этом направлении приветствуются.

P.S. Гуглить умею. Интересны именно мнения, а не готовые решения или мануалы. Хотя от толковых манов на тему тоже не откажусь. За таблетками не отправляйте. У каждого свои развлечения. Кто-то бухает, кто-то колется, а кто-то как я воплощает параноидальные проекты. Мании преследования у меня нет.

У LUKS томов есть заголовки, которые легко читаются через HEX. И соответственно, это доказывает нпличие чего-либо на дисках.

EFI не умеет расшифровывать. Только выносить efi на нешифрованную флешку.

FluffyPillow
()
Последнее исправление: FluffyPillow (всего исправлений: 1)
Ответ на: комментарий от FluffyPillow

У LUKS томов есть заголовки, которые легко читаются через HEX. И соответственно, это доказывает нпличие чего-либо на дисках.

Для этого и делается вынос заголовочной области в файл на флэшке. А на диске его содержимое пробивается рандомом. Главное знать сколько в файл копировать :)

EFI не умеет расшифровывать.

Я как раз читал что умеет начиная с какого-то ядра можно с помощью efi расшифровать boot. Вот только ссылку на эту статью я потерял. А там было описано как это делать. Только вроде говорилось что это медленно. Впрочем шифрование boot в данном случае никак не усиливает защищенность.

AfterWork
() автор топика
Ответ на: комментарий от r3lgar

Сам по себе UEFI ничего расшифровывать не умеет, и ядро тут совершенно не при делах.

Я бы не говорил если бы сам не прочитал про это. Очень жаль что потерял линк на статью. Смысл в статье в том что есть какой-то модуль для efi, и если его указать в качестве основного модуля для загрузки, то он умеет расшифровать boot и передать управление ядру. Но такой способ загрузки поддерживают не все ядра. В статье речь шла кажется о дебиан. И то я не очень уверен. Объяснение про расшифровку через efi шло в статье типа как дополнением. А основная статья была про полнодисковое шифрование и о том как правильно перенести начальные сектора в файл на флэшку и организовать доступ к диску который выглядит без загрузочной флэшки как будто-бы пустым.

Точнее что и как не скажу. Если найду ссылку на статью, то скину сюда.

AfterWork
() автор топика
Ответ на: комментарий от anonymous

Ман efi executable.

Понимаю. Но efi самое меньшее что меня в топике интересует.

AfterWork
() автор топика
Ответ на: комментарий от AfterWork

есть какой-то модуль

Есть, а если нет — можно написать. Но это никак не противоречит моему утверждению, что

Сам по себе UEFI ничего [...] не умеет

r3lgar ★★★★★
()
Ответ на: комментарий от r3lgar

Есть, а если нет — можно написать. Но это никак не противоречит моему утверждению, что

Да я собственно с Вами и не спорил. То что я сказал называется за что купил, за то и продаю. Я даже поискал немного для очистки совести ту статью. Но безуспешно. К сожалению.

AfterWork
() автор топика

Я так понял предложений нет?

AfterWork
() автор топика

Естественно перед установкой системы dd if=/dev/urandom of=диск_полностью обязательно.

SSD

И можешь сразу его выкидывать.

что на компе что-то есть (ОС, данные и т.п.) доказать невозможно или очень сложно

Без вариантов. Если есть способ определить с флэшкой, найдётся и без.

Загрузчик в БИОСе указывает на флэшку естественно.

Глупо. И не нужно, так как UEFI может грузиться с флэшки и без записей.

Опять-же вариант для ноутов без /efi. Как лучше скомпоновать флэшку для такого варианта установки.

Обычным способом. Найдёшь в интернете или в старых мануалах.

Идеи по тому как автоматизаровать процесс создания такого ноута с внешней флэшкой взяв за основу свежеустановленный ноут и чистую флэшку. То есть хочется что-то типа перенастройка в одну команду. Что то в духе: sudo ./paranoya.sh /dev/sda /dev/sdf и потопал пить кофе.

С системой не всё так просто, а с флэшкой — просто скинь туда свой /efi.

У меня примерно такой же юзкейс, но с ZFS.

r3lgar ★★★★★
()
Ответ на: комментарий от r3lgar

И можешь сразу его выкидывать.

Предлагаешь все те которые уже у меня так сделаны выкинуть? А может пусть поработают? :)

Если есть способ определить с флэшкой, найдётся и без.

Вот как раз хотелось бы понять что это будет за способ. Ну хотя-бы просто логику доказательства понять. Я придумать ничего не смог пока.

Глупо. И не нужно, так как UEFI может грузиться с флэшки и без записей.

Столкнулся с тем что это прокатывает не всегда. У меня слетели на нотике недавно настройки биос в дефолт и как раз была ситуация что boot на флэшке с uefi. Нотик отказался видеть флэшку с загрузчиком пока я явно не сделал ему запись в биосе. UEFI Плакал что нотику грузиться не с чего, нагло игнорируя то что на флэшке всё есть. А как только прописал ему указатель - он тут-же весело загрузился как ни в чем не бывало. :(

С системой не всё так просто, а с флэшкой — просто скинь туда свой /efi.

Да флэшка то самое простое. О флэхе я не парюсь ни о чем кроме проверки.

Сегодня по системе думал. Огород получается не хилый. И проверять придется много чего надо будет. И еще отдельный гемор с передвиганием/расширением разделов в том числе и шифрованных. В общем думаю еще с какой стороны подходить к этому вопросу. Может быть будет иметь бОльший смысл впихать такую установку в родной установщик системы чем делать это постинсталлом.

AfterWork
() автор топика
Ответ на: комментарий от AfterWork

А может пусть поработают?

Недолго они у тебя проработают, если их шатать dd.

Ну хотя-бы просто логику доказательства понять.

Я не в теме.

Столкнулся с тем что это прокатывает не всегда. У меня слетели на нотике недавно настройки биос в дефолт и как раз была ситуация что boot на флэшке с uefi. Нотик отказался видеть флэшку с загрузчиком пока я явно не сделал ему запись в биосе. UEFI Плакал что нотику грузиться не с чего, нагло игнорируя то что на флэшке всё есть. А как только прописал ему указатель - он тут-же весело загрузился как ни в чем не бывало. :(

Твой загрузчик/ядро был(о) не \EFI\Boot\Bootx64.efi, и UEFI его не увидело?

r3lgar ★★★★★
()
Ответ на: комментарий от r3lgar

Недолго они у тебя проработают, если их шатать dd.

Вот поясните мне, а я не плохо знаю как работает железо что HDD что SSD, чем таким сильно другим является операция по записи 2-х Gb данных с помощью dd, нежели операция записи файла размером в 2Gb с помощью cp? Мне просто интересно откуда взялась сказка про то что dd как-то портит SSD?

Я не в теме.

Я конечно тоже не сильно в теме, но специально интересовался. Не известен мне способ узнать есть ли на диске шифрованные данные или нет их если весь диск был перед шифрованием рандомизирован.

Твой загрузчик/ядро был(о) не \EFI\Boot\Bootx64.efi, и UEFI его не увидело?

Да. Был другой файл. А вот почему он был другой я уже и не помню. Вот этот файл я ставил для загрузки shimx64.efi А почему этот не помню.

AfterWork
() автор топика
Ответ на: комментарий от AfterWork

чем таким сильно другим является операция по записи 2-х Gb данных с помощью dd, нежели операция записи файла размером в 2Gb с помощью cp?

В SSD доступом к памяти заведует контроллер. HDD в этом плане вообще пофиг. Это долгая и не интересная история, как я убил несколько SSD с не очень хорошими (что выяснилось уже после) контроллерами.

r3lgar ★★★★★
()
Ответ на: комментарий от r3lgar

В SSD доступом к памяти заведует контроллер. HDD в этом плане вообще пофиг.

Ну как-бы там тоже есть контроллер который выполняет функции близкие к тем что и контроллер SSD. Или Вы думаете что NCQ реализуется только драйвером? А кэшем кто управляет у HDD?

как я убил несколько SSD с не очень хорошими (что выяснилось уже после) контроллерами.

Да нет, интересная. И особенно в ней интересно какое она имеет отношение к dd? Я серьезно. Потому что убитых винтов на моей памяти было много. Бывало что приходилось разобрать новый винт чтобы вынуть данные с дохлого винта. Не один раз оживлял винты через низкоуровневое форматирование, в общем много чего было. Да и не мало видел дохлых SSD. Но чтобы SSD был убит с помощью dd, всегда слышал только как сказку без всяких технических подробностей. Все технические подробности обычно начинаются и заканчиваются фразой: «Да все знают что SSD очень быстро убивается с помощью команды dd, инфа 100500%». Для меня этой инфы как-бы маловато. Так что если есть что-то действительно техническое, то для меня это важно.

AfterWork
() автор топика
Ответ на: комментарий от r3lgar

От dd на контроллер нагрузка меньше, тк он отправляет крупные блоки, а cp кучу мелких запросов. Ещё что бабки у подъезда тебе нашептали?

anonymous
()
Ответ на: комментарий от anonymous

От dd на контроллер нагрузка меньше, тк он отправляет крупные блоки, а cp кучу мелких запросов.

Ну допустим не факт. Можно сделать так что dd начнет спамить, а cp будет мегаблоками лить. И да, нагрузка на контроллер тем выше чем мельче блоки и больше их. Но убить таким образом контроллер я думаю весьма сложно. Потому что это ПРОСТО ЕГО РАБОТА.

AfterWork
() автор топика
Ответ на: комментарий от AfterWork

Ну как-бы там тоже есть контроллер который выполняет функции близкие к тем что и контроллер SSD.

А работают они по-разному, так как девайсы устроены принципиально иначе.

Так что если есть что-то действительно техническое, то для меня это важно.

Я был сильно упорот, решил бэкапы приватных данных перенести, да прибрать за собой. Перенёс, начал забивать нулями — всё ок, начал забивать рандомом — тоже ок, отключил диски, через время подключил обратно — они перестали даже определяться. Определить, что с девайсом в такой ситуации невозможно.

Напомню, что все SSD были дешёвые, контроллеры на них сам понимаешь.

r3lgar ★★★★★
()

3. Опять-же вариант для ноутов без /efi. Как лучше скомпоновать флэшку для такого варианта установки.

зачем такие ноуты нужны?

это же старое тормозящее еле-работающее почти-присмерти говно? верно?

такими темпами может ещё и про 32-бита вспомнишь? 😹

user_id_68054 ★★★★★
()

Гуглить умею. Интересны именно мнения, а не готовые решения или мануалы.

вот мнение:

пробовал шифровать /boot/ (это встроенная функция GRUB).

особо не понравилось:

паранои много, а толку мало. если кто-то захочит узнать-выузнать пароль, получив доступ к железу ненадолго (за моей спиной, вставив *жучка* в цепочку загрузки) — то зашифрованный boot не сильно этому препятствует.

если только облегчение в том что контрольную сумму я должен запоминать/проверять от одного файла (bootx86.efi, редко меняющегося) вместо двух файлов (vmlinuz и initramfs, часто меняющихся ).

однако процедура «как эту контрольную сумму проверить ещё до загрузки?» — так и осталась неотлаженной. загружаться предварительно с другого дистрибутива, проверять контрольную сумму, а потом в свою систему? и эт каждый раз? а если и в другом дистрибутиве сделают подмену, например coreutils-пакета?

вобщем гемора много, а толку мало.

это я ещё и не припомнил что luks не проверяет контрольную сумму..

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от r3lgar

А работают они по-разному, так как девайсы устроены принципиально иначе.

Да действительно по разному. И только по тому что устройства разные. А принцип у них одинаковый. Интерпретировать сформированные на интерфейсе команды и данные и передать их правильно на медиаустройство. Ну и естественно в обратную сторону.

через время подключил обратно — они перестали даже определяться.

Определяться аппаратно перестали? Это одно дело. Это сразу к доктору или на гарантию. А если аппаратно определяются, но система их категорически не видит никак, то надо не забывать что dd if=/dev/raudom of=/dev/sd* на прочь уничтожает на диске ВСЁ. В том числе и GPT с MBR. Их создать надо заново.

AfterWork
() автор топика

А вообще, почему бы не купить машинку где-нибудь в другой стране, накатить рабочее окружение и работать там, подключившись через VNC/RDP со своего ноута? Безопасно - можно прикрутить авторизацию и провайдеру где будешь хостится в 99% случаев будет на твои данные пофигу).

Разумеется, логин/пароль для подключения к удаленной машинке держим в голове, на своём ноуте можно VNC/RDP клиент ставить в /tmp и тогда вообще решается проблема со скрытием факта наличии удаленного хоста.

FluffyPillow
()
Ответ на: комментарий от user_id_68054

это же старое тормозящее еле-работающее почти-присмерти говно? верно?

Ну если для Вас Intel Core i5 (x4/4) c 16Gb RAM и SSD это говно при смерти, то наверное да. А вообще нотику примерно 12 лет и но всё еще может вполне себе решать многие задачи значительно быстрее своих более молодых свеже купленных собратьев. У современных Intel Core i5 для нотиков (x2/4) То есть два ядра 4 потока.

такими темпами может ещё и про 32-бита вспомнишь?

Не только вспомню, но и даже использую. У меня есть железка с ARM так на ней дебиан стоит 32-ух битный и крутится в 64-х килобайтах ОЗУ. И ничего, задачи свои решает.

пробовал шифровать /boot/ (это встроенная функция GRUB).
особо не понравилось:
паранои много, а толку мало.

Убедительно. Согласен по существу затронутого вопроса. В принципе тоже склонялся к этому-же мнению. Если Ваша загрузочная флэшка попала в чужие руки хоть на пару секунд, то все вопросу к тому растяпе который это допустил. И технически защищать что-то, смысла не много.

Хотя если параноить по взрослому, можно после внесения всех изменений сделать средствами контроллера флэшки, саму флэху ридонли. 8-() Но это так, просто в голову пришло. Воспринимать на уровне маразма. :)

AfterWork
() автор топика
Ответ на: комментарий от FluffyPillow

А вообще, почему бы не купить машинку где-нибудь в другой стране, накатить рабочее окружение и работать там, подключившись через VNC/RDP со своего ноута?

Это конечно вариант. Но тема не об этом. Я же писал в статпосте что у меня с паранойей всё ок. Мы дружим улицами. :) Мне просто интересно решать прикольные задачки на эту тему. Вот и маюсь. Вчера делал сборку системы под набор типовых задач с усиленным уровнем секурити. Вроде получилось всё норм. Может даже и продам эту сборку заказчику. Точнее мою сборку заказчику продадут.

AfterWork
() автор топика
Ответ на: комментарий от FluffyPillow

тогда вообще решается проблема со скрытием факта наличии удаленного хоста.

Та сборка о которой топик, это скорее сборка типа антимаскишоу.

AfterWork
() автор топика
Ответ на: комментарий от AfterWork

Ну так чем плох вариант с удаленным хостом для «черной» деятельности? Храним клиент VNC на ram диске, как только дверь начинают вскрывать - ребутаем ноут и вуаля - система чистая.

FluffyPillow
()
Ответ на: комментарий от FluffyPillow

и вуаля - система чистая.

А я разве говорил что существует только одно единственное решение? Просто обсуждаем другое решение.

AfterWork
() автор топика
Ответ на: комментарий от FluffyPillow

VNC vs. FDE

Ну так чем плох вариант с удаленным хостом для «черной» деятельности? Храним клиент VNC на ram диске, как только дверь начинают вскрывать - ребутаем ноут и вуаля - система чистая.

хорошая решение для случае если выполняются оба условия:

* деятельность точно «чёрная», без каких-либо спорных вопросов

* точно знаешь что рано-или-поздно нагрянут, и есть опасение что именно «рано».

обыск пройдёт на ура — правда остаются ещё зацепки по анализу сетевого трафика.

так что даже для этого случая — решение не идеальное.

при этом остаются и число практические неудобства — работа через VNC неудобна своим откликом и недопилинностью утилит, связанных с VNC-решениями.

а если представим что уровень паранои настолько высок что связь с сервером не напрямую а по более запутанному пути — то качество работы ещё более снизится.

к тому же эта реализация паранои — не выличится от мыслей: "а ведь на сервере у меня всё хранится в расшифрованном виде! да твоюж мать! хоть бы они не догадались туда тоже с обыском (интерпол) зайти"

эти мысли вызывают нервное беспокойство — а беспокойный нервный вид — мешает спокойно и хладнокровно (уверенно) отвечать на вопросы следака, который понятное дела задавая вопросы — слушает не только твой ответ, но и каким именно образом ты его отвечаешь.

базовые понятия:

* отвечая на вопрос быстро — вероятнее всего ты говоришь правду.

* отвечая на вопрос медленно — вероянее всего ты что-то выдумываешь.

* отвечая на вопрос сложными формулировками — вероятнее всего ты скрываешь какую-то незаконную деательность

* отвечая быстро, но протеворечиво (с прошлыми ответами) — вероятнее всего ты просто быстро выдумываешь всякий бред.

и т д

находясь в спокойном состоянии — нужно ровно на все вопросы (простые и сложные. любые) — отвечать ровно с одинаковой довольно высокой (тормознутой) безимоциональной тормознутостью. это не так уж и просто — требуется некоторая тренировка.

--------------------------------------------------

разумеется менее параноидальный вариант — шифрвоание всего диска (FDE) — является тем что гласится в поговорке «лучшее это враг хорошего».

в случае с FDE ты можешь быть полностью уверенным что если следаки не записали тебя на скрытую камеру (как ты вводишь пасфразу) — то всё в порядке.

во время ректального криптоанализа — сразу «раскалываешься» и говоришь любую пришедшию тебе на ум фразу вместо настоящей пасфразы! (желательно придумывать как раз именно такие пассфразы, которые звучат не так как пишутся — именно на случай пыток.. во время пыток — мозг работает плохо и надеяться на свой здравый рассудок не стоит)

главное что-то ответить — чтобы пытки прекратились..

следаки конечно ни чему не верят — и всё равно продолжают пытать (независемо от того правильно ли ты назвал пасфразу или нет) но всётаки ты как-то должен сделать выд что ты сотрудничаешь с ними и готов им всё рассказать и подписаться под любыми их якобы нелепыми обвинениями..

когда пасфраза не подойдёт — скажи «ну я не знаю — что-то сломалась — раньше работало.. вы случайно не кидали ноутбук на пол? мог повредиться жёсткий диск»

если ноубук тебе дали в руки чтобы ты сам ввёл пароль — то это отличная ситуация для того чтобы grub-загрузчике ты выбрал бы «RECOVERY-режим» который на самом деле вместо recovery-операции сделает подмену header-зашифроанного раздела, на другой, невалидный, в результате чего расшифровака станет попросту совсем невозможной.

(для этого recovey-версия initramfs-раздела должна собираться по своим правилам)

так как ты уже раньше говорил что наверно что-то сломалось (так как якобы правильная пасфраза не подошла), то это будет выглядеть ествественно что ты попробовал пункт RECOVERY, якобы пытаясь сотрудничать со сделаками.

вобщем в целом я вижу FDE более гибким путём.

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 2)
Ответ на: VNC vs. FDE от user_id_68054

Шифрование всего диска не эффективно от рук правоохранителей вообще. Одного факта того, что у тебя при загрузке просит пароль (или ключ) чтобы расшифровать диск, достаточно чтобы тебя признали винованым в том, в чём ты подозреваешься.

чтобы пытки прекратились..

Тебя сделают овощем, и только потом пытки прекратятся.

если ноубук тебе дали в руки

Размечтался. Это же прямая улика против тебя.

FluffyPillow
()
Ответ на: VNC vs. FDE от user_id_68054

Если прям готовишься к пыткам, то есть же вариант с загрузкой во вторую, чистую систему внутри Hidden Volume.

t184256 ★★★★★
()
Ответ на: комментарий от FluffyPillow

Одного факта того, что у тебя при загрузке просит пароль (или ключ) чтобы расшифровать диск, достаточно чтобы тебя признали винованым в том, в чём ты подозреваешься.

Чушь собачья. Факт того что диск зашифрован ни о чем не говорит и доказательством чего либо кроме того что диск зашифрован не является. Так что все подозрения могут являться подозрениями хоть до следующего ледникового периода. А еще есть 51-ая статья конституции. Которая законно позволяет тебе не говорить пароль.

Тебя сделают овощем, и только потом пытки прекратятся.

Если речь идет о пытках, то речь не идет о законе. А в этом случае отдать ключ расшифровки самый правильный вариант. Потому что альтернатива - здоровье и жизнь.

Размечтался. Это же прямая улика против тебя.

Ну почему-же? Дадут без проблем. Но предварительно сделают битовую копию диска и флэша. Стандартная процедура обработки цифровых улик и вполне себе законная. Так что любые уловки которые ведут к порче информации - это прямая 294 УК РФ. Причем с доказательствами от которых отвертеться не будет возможности.

Шифрование всего диска не эффективно от рук правоохранителей вообще.

Так что эффективно. Но адвокат всё равно нужен и хороший.

AfterWork
() автор топика
Ответ на: комментарий от t184256

то есть же вариант с загрузкой во вторую, чистую систему внутри Hidden Volume.

Найдут. Не стоит думать что у правоохранителей нет толковых айтишников.

AfterWork
() автор топика
Ответ на: комментарий от AfterWork

1) Разговор про устойчивость к дознавателю, а не айтишнику

2) Как, если не секрет? Вроде же это недоказуемо + основной от акта загрузки подамажит.

t184256 ★★★★★
()
Ответ на: VNC vs. FDE от user_id_68054

во время ректального криптоанализа

Про это писал чуть выше. Если нет защиты - не спасет ни что.

когда пасфраза не подойдёт — скажи «ну я не знаю — что-то сломалась — раньше работало.. вы случайно не кидали ноутбук на пол? мог повредиться жёсткий диск»

Детский сад. Тоже выше комментировал.

в случае с FDE ты можешь быть полностью уверенным что если следаки не записали тебя на скрытую камеру (как ты вводишь пасфразу) — то всё в порядке.

Плюс полнодискового шифрования в том что при грамотно зашифрованной системе нет возможности доказать что на диске вообще что-то есть. По крайней мере мне способ доказательства что диск зашифрован, а не пуст не известен.

AfterWork
() автор топика
Ответ на: комментарий от AfterWork

Чушь собачья. Факт того что диск зашифрован ни о чем не говорит и доказательством чего либо кроме того что диск зашифрован не является. Так что все подозрения могут являться подозрениями хоть до следующего ледникового периода. А еще есть 51-ая статья конституции. Которая законно позволяет тебе не говорить пароль.

Ты в какой стране живешь? Если надо тебя посадить, то найдут всё что им нужно даже без расшифровки диска.

FluffyPillow
()
Ответ на: комментарий от AfterWork

По крайней мере мне способ доказательства что диск зашифрован, а не пуст не известен.

А как же анализ в HEX? Если ты прошёлся по диску urandom/random, то будет видна слишком уж «рандомная каша» которую можно принять за шифрование.

FluffyPillow
()
Ответ на: комментарий от t184256

Разговор про устойчивость к дознавателю, а не айтишнику

Дознаватели пользуются услугами криминалистов. В том числе и айтишников-криминалистов. И это сейчас не что-то сверхредкое.

Как, если не секрет? Вроде же это недоказуемо + основной от акта загрузки подамажит.

После загрузки в левую систему, сделают второй слепок диска и сравнят с исходным. По результатам сравнения узнать можно много чего. А если еще исходная система подамажит данные в той части диска где она не должна этого делать то вообще будет явное палево. Кроме прочего можно будет сделать анализ загруженной системы. В общем вариантов оч много.

AfterWork
() автор топика
Ответ на: комментарий от FluffyPillow

то будет видна слишком уж «рандомная каша» которую можно принять за шифрование.

Варианты ответов:

1. Ноут Б/У таким купил. Систему только собирался ставить, а тут Вы.

2. Да. Я только что прошел по нему dd if=/dev/urandom. Всегда так делаю перед установкой системы.

Не вижу никакого криминала в ответах.

AfterWork
() автор топика
Ответ на: комментарий от gdijulsxeh

Очевидно, что нужен дополнительный раздел для установки BIOS-версии GRUB.

Решается выносом его на флэшку.

AfterWork
() автор топика
Ответ на: crosslink от gdijulsxeh

Эту тему я видел. Прикручивается всё это нормально и проблем нет. Вот если бы кто-то ответил на вопросы которые есть в стартпосте и не затронуты в остальном топике, был бы рад.

AfterWork
() автор топика
Ответ на: комментарий от AfterWork

Дознаватели пользуются услугами криминалистов. В том числе и айтишников-криминалистов. И это сейчас не что-то сверхредкое.

Еще раз, вопрос в том, как не выглядеть бледно перед товарщмаёром.

После загрузки в левую систему, сделают второй слепок диска и сравнят с исходным.

Это еще сначала первый надо сделать.

По результатам сравнения узнать можно много чего.

Конкретику, сестра.

А если еще исходная система подамажит данные в той части диска где она не должна этого делать то вообще будет явное палево. Кроме прочего можно будет сделать анализ загруженной системы. В общем вариантов оч много.

Так бы сразу и сказал, что не шаришь и ни одного не скажешь.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Еще раз, вопрос в том, как не выглядеть бледно перед товарщмаёром.

Чтобы не выглядеть бледно перед товарищьмайором, надо чтобы ни у товарищьмайора и у его криминалистов к тебе вопросов не было.

Это еще сначала первый надо сделать.

Иногда лучше жевать чем говорить.

Конкретику

Весь курс компьютерной криминалистики преподаваемый в школах МВД сюда выложить? Научись задавать вопросы правильно.

Так бы сразу и сказал, что не шаришь

Уж кто тут не шарит, по идиотским вопросам видно. Продолжать с тобой разговор о конкретике можно будет только если сможешь сказать как отличить только что рандомизированный диск, от рандомизированного диска на котором сделан раздел LUKS, на него внесены данные, скопирован блок с данными LUKS и GPT на другой диск, а место хранения LUKS и GPT повторно рандомизировано. Но полагаю для тебя в моем ответе слишком много неизвестных слов.

AfterWork
() автор топика
Ответ на: комментарий от AfterWork

> Размечтался. Это же прямая улика против тебя.

Ну почему-же? Дадут без проблем. Но предварительно сделают битовую копию диска и флэша. Стандартная процедура обработки цифровых улик и вполне себе законная. Так что любые уловки которые ведут к порче информации - это прямая 294 УК РФ. Причем с доказательствами от которых отвертеться не будет возможности.

тебя ловят, через пару часов при тебе делают обыск, находят компьютер, включают и при тебе спрапшивают пароль...

и в какой же момент успела бы сделаеться копия?

кстати и каким образом эта копия делается? жёсткий диск (SSD) щаз принято впаивать на материнскую плату (как и RAM как и всё остальное, добро пожаловать в современное время). без паяльника он не отсоединяется — по крайней мере это не дело 10 минут. а загрузитсья с USB-флешки можно если не запаралировано UEFI-меню (и если USB-порты не выломаны — а иначе геморой по их восстановлению — тоже не 15 минут)

user_id_68054 ★★★★★
()
Ответ на: комментарий от AfterWork

После загрузки в левую систему, сделают второй слепок диска и сравнят с исходным. По результатам сравнения узнать можно много чего. А если еще исходная система подамажит данные в той части диска где она не должна этого делать то вообще будет явное палево. Кроме прочего можно будет сделать анализ загруженной системы. В общем вариантов оч много.

если твой компьютер забрали на неопределённое число дней, а потом вернули и попросили что-то на нем понажимать — ...

... — ну не знаю как тебе — а мне бы вообще было бы противно до него дотрагиваться.

какое тут сравнение — я бы даже не докасался бы до него.

ни о каком RECOVERY в этом случае реч не идёт. просто бы купил бы себе новый а этот забрали и забрали

user_id_68054 ★★★★★
()
Последнее исправление: user_id_68054 (всего исправлений: 3)
Ответ на: комментарий от AfterWork

Весь курс компьютерной криминалистики преподаваемый в школах МВД сюда выложить?

Нет, только релевантный кусок про Hidden Volume.

Научись задавать вопросы правильно.

Во время допроса человеку выдали ноут, он ввел passphrase, загрузился Linux. По какому признаку отличить, произошла загрузка с Hidden Volume или загрузка с основного тома? Так и быть, пусть до и после сняты образы дисков.

Продолжать с тобой разговор о конкретике можно будет только если сможешь сказать как отличить только что рандомизированный диск, от рандомизированного диска на котором сделан раздел LUKS, на него внесены данные, скопирован блок с данными LUKS и GPT на другой диск, а место хранения LUKS и GPT повторно рандомизировано.

Никак.

Слова знакомые, только вот каким это вообще боком относится к схеме с Hidden Volume ума не приложу. Растолкуешь неучу?

t184256 ★★★★★
()
Ответ на: комментарий от user_id_68054

щаз принято впаивать на материнскую плату

и на кой мне такой ноут?

и если USB-порты не выломаны — а иначе геморой по их восстановлению — тоже не 15 минут

Максимум неадеквата.

t184256 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.