Уязвимость, предоставляющая доступ к данным на самошифруемых SSD-накопителях

06.11.2018 13:18

Группа исследователей из Университета Неймегена (Нидерланды) в ходе проведения обратного инжиниринга прошивок некоторых моделей самошифруемых SSD-накопителей выявила фундаментальную недоработку, позволяющую получить доступ к зашифрованным данным. Пользователям рекомендовано не доверять встроенным в SSD-накопители аппаратным механизмам шифрования, а использовать полностью программные реализации, такие как VeraCrypt.

Суть проблемы в некорректной организации шифрования, позволяющей расшифровать данные без знания заданного пользователем пароля. Оказалось, что реализуемые в накопителях схемы шифрования не соответствуют стандарту TCG Opal и задаваемый пользователем пароль никак не используется для генерации или защиты DEK-ключа (Data Encryption Key), непосредственного применяемого для шифрования. Несмотря на то, что задаваемый пользователем пароль позиционируется как пароль для шифрования, прошивка накопителя использует его лишь для авторизации доступа. Даже если для разных разделов пользователем заданы разные пароли, фактически для шифрования на уровне прошивки применяется один общий DEK-ключ.

Для защиты основного ключа шифрования на деле используется мастер-пароль, который предопределён в прошивке и доступен для извлечения. Более того, в некоторых изученных устройствах мастер-пароль представляет собой просто пустую строку (32 нулевых байта). Подключившись к отладочному порту при помощи программатора можно через изменение специального флага в прошивке, извлечение DEK-ключа или модификации прошивки для отключения процедуры проверки пароля получить доступ к зашифрованным данным без знания пароля, заданного пользователем.

Наличие проблемы подтверждено в накопителях Samsung T3, T5, 840 EVO и 850 EVO, а также в накопителях Crucial (Micron) MX100, MX200 и MX300. Возможно проблеме подвержены и другие модели, так как анализ ограничился лишь имеющимися у исследователей устройствами. Производители Samsung и Crucial были уведомлены о проблеме в апреле и уже успели выпустить обновления прошивок для проблемных SSD-накопителей.

исправить +34 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49565-ssd

Ключевые слова: ssd, disc, crypt, backdoor

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (133)

1.1, Аноним (1), 13:53, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+6 +/–
когда это уже прекратится встраивание мастер паролей

2.86, FBI Agent 008 (?), 19:47, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+10 +/–
Не мешайте людям работать. Напридумывают себе шифрований и паролей, возись с ними потом.

2.96, VINRARUS (ok), 20:46, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это ж ключ под ковриком - никто в жызни не догадается!

2.99, Аноним (-), 21:52, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Когда прошивки будут опенсорцными. Для SSD даже уже пилят, в отличие от HDD сделать свой SSD даже достаточно реально.

3.108, Michael Shigorin (ok), 22:14, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+2 +/–

> сделать свой SSD даже достаточно реально

Смотря кому и какими усилиями -- например, калининградская GS Group как минимум кристаллы собственно флэша покупает вроде у самсунга. Насчёт контроллера пока так и не понял -- то ли свой, то ли нет -- но вот прошивка (к вопросу о сабже) у них уже своя, насколько понимаю.

Но с тезисом о том, что нынешние HDD поднимать ещё тяжелей -- пожалуй, соглашусь.

4.116, Аноним (116), 22:38, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+2 +/–
Например, такими http openssd-project org wiki The_OpenSSD_Project - а если п... большой текст свёрнут, показать

5.119, Michael Shigorin (ok), 22:48, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Меня это вообще не парит, потому что если когда амеры полезут на Тайвань -- проб... большой текст свёрнут, показать

6.122, Аноним (122), 23:37, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Судя по тому что я вижу - жителей гонконга и тайваня гораздо больше беспокоит ка... большой текст свёрнут, показать

4.146, Nostro (?), 19:56, 07/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Самое трудное это превратить альт в дистрибутив пригодный для работы. Но когда это успеть, если всё время светишь лицом но opennet.

1.3, 1 (??), 13:55, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+27 +/–
да никто особо и не сомневался что так и будет с этим "шифрованием" от производителей накопителей

2.33, Аноним84701 (ok), 15:56, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+1 +/–

> да никто особо и не сомневался что так и будет с
> этим "шифрованием" от производителей накопителей

Да ладно вам придираться -- зато (вроде бы) на самом деле шифровали данные, а не как 10 лет назад - AES на пароль, а потом просто XOR:
http://www.metzdowd.com/pipermail/cryptography/2008-December/014894.html
> vendor prominently advertises the product's strong 128-bit AES encryption on its packaging and web page. In practice, however, the hard disk data is only encrypted using a primitive XOR mechanism with an identical 512-Byte block for each sector.

Прогресс, однако!

3.68, 1 (??), 17:33, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
ага-ага, имеешь доступ к диску физический -- имеешь доступ к данным, обалденное шифрование

3.134, Аноним (134), 08:26, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Лучше бы не шифровали тогда. Лишня нагрузка только... Очевидно, что юзеры будут забывать пароли и нести в сервис на восстановлеине, а туту бац и все можно разблокировать - все довольны =) ЗЫ: не понял ге там в ссд надо вводить пароль чтобы он якобы зашифровался и как потом грузиться с него?

2.51, Аноним (51), 16:49, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Так уже было более 10-ти лет назад с "аппаратным" шифрованием во флешках.

2.85, пох (?), 19:44, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+/–

для опоздавших родиться на всякий случай напоминаю: ваш любимый линукс делал практически то же самое - ранняя версия losetup, за неимением в те времена других средств, формально использовала des с iv, спрашивая и то и другое, (и еще и примешивая к iv зачем-то сектор на диске - файл подвинулся, данные безвозвратно пропали) - который на проверку оказался тождественнен банальному xor.
Ну вот так получилось.

Бритва Хэнлона в действии.

3.100, Аноним (-), 21:55, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Так во времена DES и остальные им пользовались - просто потому что слаще марковки ничего не ели. А сейчас он на GPU у любого хомяка подбирается за обозриме время. Ну и вот наверное с тех пор можно было бы и получше уже научиться, остальные же научились.

4.138, пох (?), 11:29, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+/–

прикол именно в том, что они так интересно использовали des, что получался xor. То есть не надо было везти из будущего gpu, можно было прямо на том же 486/DX2 подобрать за пару минут. И всплыло как-то банально, типа кто-то hexdump запустил на такой loop и очень удивился.

Ну нельзя в крипто пускать любителей, у них все и всегда так получится.
А если даже и не получится, о них позаботится меганавороченная насквозь дырявая даже не by design а by standards "удобная и полезная" библиотека.

1.4, Аноним (4), 13:56, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+10 +/–
ну ясное дело, что это бэкдор. классический причём бэкдор, в обход всякого шифрования. это не "заводской брак". пока нет ничего лучше, чем TrueCrypt.

2.5, Форточник (?), 14:06, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–6 +/–
Microsoft Authorization лучше -)

3.101, Аноним (-), 21:57, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Microsoft Authorization лучше -) Это смотря для кого лучше. Если для microsoft, чтобы выгодно сливать мастер-пароли - то конечно. А так крипто без сорца - заявка на бэкдор.

2.6, Аноном (?), 14:09, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+5 +/–
Нет ничего лучше LUKS

3.7, Аноним (4), 14:21, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]

+7 +/–

Когда вы говорите о LUKS, я сразу вспоминаю о Саре Дин.

Если кто не знает, то справка из википедии:

---
Под Microsoft Windows зашифрованные диски LUKS могут использоваться с FreeOTFE. FreeOTFE — это свободная бесплатная программа с открытым кодом, предназначенная для шифрования «на лету». Существуют версии для операционных систем Windows и Windows Mobile (FreeOTFE4PDA). Программа позволяет создавать виртуальный зашифрованный логический диск, перед записью на который данные автоматически шифруются.

На данный момент не поддерживается и не разрабатывается. Автор программы — Сара Дин (Sarah Dean), специалист по криптографии, исчезла в 2011 году. На данный момент нет никакой достоверной информации о её судьбе.
---

Как думаете, опеннетовцы, какая была судьба у этой женщины? Я думаю, что скорее всего спецслужбам одной из стран понадобилось что-то расшифровать (шпионаж, гос. безопасность), вот и выловили бедолагу, допросили, получили что нужно и убили, растворив тело, как это заведено у них, в кислоте.

История с внезапной разработкой TrueCrypt'a также мутная. До сих пор неясно, что это было.

4.16, Аноним (4), 14:54, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+4 +/–
> История с внезапной разработкой TrueCrypt'a также мутная. * с внезапной остановкой разработки *

4.17, Аноним (17), 14:56, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
> Я думаю, что скорее всего спецслужбам одной из стран понадобилось что-то расшифровать И как Сара Дин могла помочь в этом вопросе? Если только рассказать о закладке в программе при наличии оной...

5.19, Аноним (19), 15:02, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+4 +/–
Ну дык и не смогла помочь. А пришить всё равно пришлось, как свидетеля грязных методов работы.

6.144, Maxim (??), 18:52, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+/–

Не настолько они дятлы, чтобы не понимать, что это невозможно.

Скорее сидит где-нибудь пашет на правительство, подписала договор о не разглашении.

Морковкой поманили и помогли принять решение.

Но чтобы убить в попытках получить невозможное и общественный резонанс - бред.

5.22, Аноним (4), 15:05, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
> И как Сара Дин могла помочь в этом вопросе? Да как угодно. Могла пролить свет на особенности алгоритмов, программных реализаций, любая другая информация (могли иметь место и закладки в том числе). Мы со стороны судим о вещах с позиции логики, а товарищи майоры и подполковники действуют достаточно топорно и не всегда логически оправдано. О криминальных элементах и говорить не приходиться.

6.47, Sw00p akaJerom (?), 16:36, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Давайте разработчиков (тройку) RSA попытаем, К. Шеннон хихикает в сторонке

7.69, Аноним (69), 17:39, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
RSA в чистом виде - вещь не очень стойкая. Кроме того - проверка на простоту для больших чисел - вещь очень примерная, определить что вам подсунули не простое число вы наверное не сможете.

Часть нити удалена модератором

9.46, Аноним (46), 16:34, 06/11/2018 [ответить] [к модератору]	+4 +/–
Хех, ну в слове дилетант нет ничего обидно Все мы учимся всё время, и все мы ... текст свёрнут, показать

10.62, Мудрец (?), 17:07, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Громче всех про 15-летних идиотов кричат идиоты 16-летние ... текст свёрнут, показать

11.143, Аноним (143), 16:05, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
ну понятно же, что хотели написать за столь примитивное новое поколение , прост... большой текст свёрнут, показать

8.90, Sw00p akaJerom (?), 20:25, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Походу я что-то пропустил про не очень стойкую вещь я не понял, поясните ... текст свёрнут, показать

9.98, Michael Shigorin (ok), 21:41, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну и поискали бы rsa attack самостоятельно, это недолго ... текст свёрнут, показать

10.118, Sw00p aka Jerom (?), 22:46, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
ну ну, вы уже придумали надеюсь быстрый алгоритм факторизации... текст свёрнут, показать

11.123, Аноним (122), 23:43, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Да наздоровье - https en wikipedia org wiki Shor 27s_algorithm Правда для его ... текст свёрнут, показать

12.127, Sw00p aka Jerom (?), 04:13, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
дожить бы до этого ... текст свёрнут, показать

7.45, Аноним (4), 16:32, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+2 +/–
> ведь телек зомбирует Ну дык нынче школота вконтактиком куда больше зомбируется, нежели телеком. Я даже сразу так и не скажу что вреднее соцсети с вагоном Qwe, Asd, Zxc или телек.

6.54, Спецслужбы (?), 16:54, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	–2 +/–
Не несите чушь. Кислоту давно уже никто не использует. Тело поедают специально обученные бактерии, превращая его в цэ-о-два, аш-два-о и азот. Небольшое количество фосфата кальция отправляется в кадку с фикусом в кабинете посла.

7.66, Аноним (66), 17:17, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Как раз на цэ-о-два и прокололось наше гру. Потому что западные спецслужбы его нейтрализуют специально обученными сине-зелёными водорослями, чтобы не допустить выброса парникового газа в атмосферу.

6.87, FBI Agent 008 (?), 19:54, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Почему тогда разработчики подсистем шифрования в BSD и Linux все еще живы? Или по вашему нанять реверс-инженера сложнее и дороже чем пытать и грохнуть какого-либо человека? Какие-то детские фантазии.

7.135, Аноним (135), 08:35, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Всё так, как вы говорите. Иначе, все разработчики подсистем шифрования были бы уже мертвы. А Сара одна просто случайно оказалась не в том месте, не в то в время, у тех ребят.

7.136, Аноним (134), 08:37, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Сложнее заствить его молчать потом о найденных дырх =)

4.60, Аноним (60), 17:04, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
>Как думаете, опеннетовцы, какая была судьба у этой женщины? Я думаю, что у нас недостаточно информации, чтобы делать какие-либо выводы по этому вопросу. Даже если предположить, что её в живых нет, то это не значит, что она не скончалась от "естественных" причин вроде инфаркта и рака. Посчитай условную вероятность по Байесу, а потом уже такие далеко идущие выводы делай.

5.72, Qwerty (??), 17:47, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>>Как думаете, опеннетовцы, какая была судьба у этой женщины? > Я думаю, что у нас недостаточно информации, чтобы делать какие-либо выводы по > этому вопросу. Даже если предположить, что её в живых нет, > то это не значит, что она не скончалась от "естественных" причин > вроде инфаркта и рака. Посчитай условную вероятность по Байесу, а потом > уже такие далеко идущие выводы делай. Когда это кого останавливало? Вон, когда Линус от постав главы отказался, местные шизофреники углядели фразу "Помогите, меня захватили рептилоиды", не поверите, в не-ASCII-апострофе. Тут главное просто ухватиться за хотя бы что-то, чтобы посидеть и попугать окружающих и побояться самому, мол, "кому-то я всё-таки нужен, не просто так живу, спецслужбы лично за Мной следят, во какой я человек!".

4.75, Michael Shigorin (ok), 18:21, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
> растворив тело, как это заведено у них, в кислоте В кислоте не получится, даже конц. серняшка или азотка оставит кости. Это в крепком растворе или расплаве щёлочи разве что металл останется...

5.84, пох (?), 19:38, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Михаил, ты тоже химию всю прогулял? Концентрированная - конечно оставит. Разбавляем водичкой примерно до 30% (только, для прогулявших химию, учтите, что стальные бадейки для транспортировки кислот ТОЖЕ растворяются разбавленными кислотами - причем очень, очень быстро)

6.106, Michael Shigorin (ok), 22:11, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Михаил, ты тоже химию всю прогулял?

Не всю, а только когда к республиканским по ней готовились.

> Концентрированная - конечно оставит.
> Разбавляем водичкой примерно до 30%

Фосфату кальция безразлично, поймите. И пассивироваться там нечему и незачем -- у него и так ПР слишком малое _уже_.

5.137, Аноним (135), 08:40, 07/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Вы что-то путаете. Для костей - кислота. Для мясца - щелочь. Труп в кислоте превращается в жижу, но структурно может остаться целым, если его не потревожить механически - белки денатурируют. И опознать шансы есть. Косточки как раз размякнут и поплывут. А щелочь всё мясцо-то изничтожит, оставив косточки. Народ явно насмотрелся брекинг блид бед

4.89, Аноним (89), 20:24, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> На данный момент не поддерживается и не разрабатывается. Автор программы — Сара
> Дин (Sarah Dean), специалист по криптографии, исчезла в 2011 году. На
> данный момент нет никакой достоверной информации о её судьбе.

Некорректный вопрос ставится.

А эта Сара Дин вообще существовала?
Есть её детские фотки, школьные дневнки, карточка в детской поликлинике?
"Её" фотки с выпускного в колледже совпадают с известными фотками ближе к 2011 году?

3.14, Ващенаглухо (ok), 14:53, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Есть, например plain mode

2.8, Роботрон (?), 14:22, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+1 +/–
например старый добрый encfs? :D

3.21, Аноним (19), 15:03, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Там какая-то фундаментальная уязвимость, разрабы сами предупредили уже давным давно жирным шрифтом.

4.25, Аноним (25), 15:17, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
А что общественность думает про https://github.com/netheril96/securefs и https://www.cryfs.org/?

5.64, Anonimus (??), 17:15, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Пользуюсь последней для хранения файлов в облачных хранилищах. Использую совместно с sirikali для удобного управления шифрованными разделами.

6.65, Anonimus (??), 17:16, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
на первый взгляд вроде надежно + они пока ни на чем подозрительном не спалились.

5.102, Аноним (102), 22:01, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> А что общественность думает про https://github.com/netheril96/securefs Мы думаем что средству безопасности небезопасно хоститься на хостинге который купил майкрософт - там потом случайно окажется пара комитов с бэкдорами от "неизвестных хакеров взломавших гитхаб".

4.30, Owlet (?), 15:39, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
А можно ссылку? А то что-то на их сайте не находится.

2.55, Аноним (51), 16:56, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
>пока нет ничего лучше, чем TrueCrypt Доверия EncFS, dm-crypt как-то больше.

....большая нить свёрнута, показать (41)

1.9, Аноним (4), 14:26, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+4 +/–
Не надо летать в облаках. Если вы вдруг стали объектом внимания спецслужб и если, взломаав ваш компьютер (а они рано или поздно это сделают), спецслужбы напорятся на шифрование, то инструментарий перейдёт в плоскость совсем далекую от IT - пытки, паяльники, иголки под ногти и прочие "удовольствия".

2.11, Аноним (11), 14:40, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+4 +/–
Кроме спецслужб других злодеев нет? Меньше знаешь-крепче спишь! -- приметно это криптография и делает, не давая пользователю лишней информации т.к это обезопасит его. Ну и методы скрытия шифрования никто не отменял.

3.26, anonymous (??), 15:27, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
У доугих злодеев тоже паяльники найдутся.

4.50, Аноним84701 (ok), 16:47, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+4 +/–
> У доугих злодеев тоже паяльники найдутся. У Васяна, сперевшего ваш ноут в электричке и не сумевшего забутявится и (попытаться) спереть что-то более важное или заказать/обмануть кого-то от моего имени? У Коляна, которому Васян продал ваш ноут за четверть цены и который попытался проделать то же самое, но чуть более профессионально? У особо любопытных, нашедших ваш забытый фирменный девайс на лавочке и не сумевших открыть локальную БД с конфиденциальными данными пары сотен (тысяч) людей? (отсутствие шифрования в этом случае означает или вопиющую некомпенентность вышестоящих, тогда да, вам ничего не грозит ибо всем по*. Или ваше самоуправство, в этом случае, скорее всего последует принудительная смена ориентации и пинок под это самое место).

5.58, Аноним (58), 17:03, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	–4 +/–
Угу, угу. > Данные полумиллиона сотрудников Сбербанка утекли в сеть > Личные данные абонентов «Акадо» утекли в открытый доступ > Пограничник продавал все данные о перемещении через границу граждан, среди которых оказались некие П. и Б., большие любители лондонских шпилей Всем #@#$@#ать. Все ваши данные уже украденыи проданы и перепроданы и куплены и заложены и подарены и еще раз перепроданы. Ваше "шифрование" - попытка потушить лесной пожар стаканов воды.

6.73, Аноним84701 (ok), 18:00, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

> Угу, угу.
>> Данные полумиллиона сотрудников Сбербанка утекли в сеть
>> Личные данные абонентов «Акадо» утекли в открытый доступ
>> Пограничник продавал все данные о перемещении через границу граждан, среди которых оказались некие П. и Б., большие любители лондонских шпилей
> Всем #@#$@#ать. Все ваши данные уже украденыи проданы и перепроданы и куплены
> и заложены и подарены и еще раз перепроданы. Ваше "шифрование" -
> попытка потушить лесной пожар стаканов воды.

Вы эта … когда в следующий раз погранцы и Акадо будут требовать пароли от Сбербанка -- не ведитесь на провокацию!
Ну или крестик^W дверь в квартиру снимите -- она ведь все равно выносится только так.

6.103, Аноним (102), 22:03, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> попытка потушить лесной пожар стаканов воды.

Поэтому вы предлагаете взять стакан с бензином? И даже любезно готовы свой предоставить? Э не, так не пойдет.

2.12, Цезий Родонович (?), 14:40, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
А если объект для этого инструментария уже отсутствует в этой вселенной, а данный ну оооочень нужны?

2.15, тоже Аноним (ok), 14:54, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+4 +/–
А если вы стали объектом внимания простого гика, работающего на вашего конкурента - благодаря добрым людям из Самсунга и Ко ему достаточно спереть у одного из ваших сотрудников ноутбук с "надежно зашифрованной" информацией, и никаких иголок под ногти, внезапно, не потребуется. Информационная безопасность - это совсем не про то, как успешно противодействовать государственной безопасности. Ибо никак.

3.18, Аноним (4), 14:58, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
> А если вы стали объектом внимания простого гика, работающего на вашего конкурента > - благодаря добрым людям из Самсунга и Ко ему достаточно спереть > у одного из ваших сотрудников ноутбук с "надежно зашифрованной" информацией, и > никаких иголок под ногти, внезапно, не потребуется. > Информационная безопасность - это совсем не про то, как успешно противодействовать государственной > безопасности. Ибо никак. Согласен c вами, поправлю только, что речь не шла о "противодействии государственной безопасности". Зачем ей противодействовать? Речь шла скорее о том, что против действительно серьёзной структуры 100%-ной защиты не существует.

4.78, Crazy Alex (ok), 19:02, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну, "зачем ей противодействовать" - вопрос больше этический. Что до второй части - отсутствие стопроцентной защиты совершенно не означает, что защищаться вообще не надо. И структуры отнюдь не всегда "серьёзные". Оценка рисков, построение модели, оценка стоимости информации, стоимости защиты, стоимости взлома... вот эти все скучные штуки в ход идут.

3.71, Аноним (69), 17:42, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
поэтому чуваки из серьезных IT - требуют что бы было включено софтовое шифрование.

2.29, Аноним (29), 15:35, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+1 +/–
В цивилизованной стране за пытки задержанных могут и на электрический стул отправить.

3.36, Аноним (66), 16:19, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
> В цивилизованной стране за пытки задержанных могут и на электрический стул отправить. В цивилизованных странах смертная казнь запрещена

4.67, Дима (??), 17:26, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+8 +/–
В сша законы и пытки и смертная казнь. Светочь деиократии

5.81, Аноним (81), 19:23, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
На территории США пытки запрещены. Гуантанамо это формально не США. И пытки там гораздо мягче чем в соседних кубинских тюрьмах.

6.83, Michael Shigorin (ok), 19:34, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

> На территории США пытки запрещены.
> Гуантанамо это формально не США.

"Я не обгадился" и дальше по тексту.
Вот, кушайте, не обляпайтесь:
https://www.huffingtonpost.com/2014/12/09/cia-torture-countries_n_6297832.html
https://tbinternet.ohchr.org/Treaties/CAT/Shared%20Documents/USA/INT_CAT_

И подумайте, что будет, если ту же "творческую интеллигенцию" будут, скажем, при необходимости поспрашивать про гранты отправлять на экскурсию на Донбасс, поскольку в России пытки запрещены, а Донбасс -- формально не Россия. Ну, визгу много будет али как.

PS: угу, п. 10 (и не только) правил форума...

6.88, Аноним (88), 20:20, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> И пытки там гораздо мягче чем в соседних кубинских тюрьмах. Ну вообще в тюрьмах сша проблема с изнасилованиями и самоубийствами... тык что, я даже не знаю что тут сказать.

7.104, Аноним (102), 22:05, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

–1 +/–

> Ну вообще в тюрьмах сша проблема с изнасилованиями и самоубийствами... тык что,
> я даже не знаю что тут сказать.

Ну не знаю. Сравнить условия содержания с российскими? И потом посмотреть кто на чьем фоне курортом кажется? :)

8.109, Michael Shigorin (ok), 22:16, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Гм, а сходите Только учитывайте на берегу озабоченность tm международной обще... текст свёрнут, показать

9.120, Аноним (-), 22:51, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
В бизнесе есть хоть какой-то смысл А кое-кто любит вообще делать все бессмыслен... большой текст свёрнут, показать

10.132, Аноним (132), 07:49, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
там суд решает, виноват ты или нет, далее выносит меру наказания и т д В РФ - ф... текст свёрнут, показать

11.155, Аноним (-), 11:27, 19/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вот это мне в российском суде и не нравится Я не сомневаюсь что следствию так у... большой текст свёрнут, показать

12.156, Michael Shigorin (ok), 12:32, 19/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Люди, учите уже матчасть, прежде чем подходить к ней с зеркальцем а мне, красав... большой текст свёрнут, показать

3.41, Аноним (4), 16:26, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+1 +/–
> В цивилизованной стране за пытки задержанных могут и на электрический стул отправить. История знает множество примеров, когда попирались законы В ТОМ ЧИСЛЕ и в так называемых цивилизованных странах. Не надо закатывать глаза и делать ничего непонимающий вид. Конечно! по эту сторону океана беспредел силовиков беспредельный (особенно пост-совок), но и в цивилизованных странах спецслужбы зачастую нарушают не только свои законы, но и законы чужих стран.

4.59, Аноним84701 (ok), 17:04, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
> спецслужбы зачастую нарушают не только свои законы, но и законы чужих стран. Странная логика: "не только …". А с чего бы им в таком случае вообще уважать чужие законы, если плюют на свои? Ну и: шпионаж и прочее обычно таки запрещены, так что внешкние службы, как бы, нарушают их чуть ли не одним своим существованием. Так же интересны нюансы и нюансики -- например формулировки "физ. неприкосновенность человека/гражданина" -- это две большие разницы. Как и соблюдение этих правил не только "спецслужбами", но и просто правоохранительными органами. Шансы пересечься с которыми у нормального человека (в реальности, а не в фантазиях или кино), на пару порядков выше.

4.105, Аноним (102), 22:08, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> История знает множество примеров, когда попирались законы В ТОМ ЧИСЛЕ и в > так называемых цивилизованных странах. Цивилизованные страны отличаются от нецивилизованных тем что там после того как это вскрылось - большой скандал и причастных обзество уходит и/или строит, так или иначе. А в нецивилизованных гарант вместе с свитой конституцией подтерся, общество утерлось - вот и разница. Ну а жить в результате понятно где комфортнее. Наверное все же не там где верхушка безнаказанно подтирается законами своей страны, трактуя права и свободы исключительно в свою пользу.

5.113, Michael Shigorin (ok), 22:25, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ой, я Вас таки умоляю Стрелочников -- да, непосредственных участников -- если ... большой текст свёрнут, показать

6.125, Аноним (125), 02:55, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Это все же лучше чем спустить на тормозах, как у некоторых, бурча рабские отмазк... большой текст свёрнут, показать

6.140, Акакжев (?), 13:13, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
> Стрелочников -- да, непосредственных участников -- если уж никак иначе (что сделали Хиллари за разглашение гостайны, например?), организаторов -- вообще не припоминаю. Есть замечательная байка под многозначным названием "Толстый Фан" (Dicker Fan) -- о том как президент Кеннеди убедил спецслужбы назначить стрелочника, и что из этого вышло.

7.152, Michael Shigorin (ok), 12:12, 08/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Есть замечательная байка под многозначным названием "Толстый Фан"

Спасибо, занятная байка, запросил оценку специалиста.

Вот ссылка, которую куда-то девшимся следующим сообщением давал Сейд: http://wiki.footuh.ru/doku.php/content:story:true:dicker_fan

8.154, Акакжев (?), 15:41, 09/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А ещё занятнее на фоне эндшпиля Освальда смотрится всемирный герой Сноуден, рвущ... текст свёрнут, показать

3.52, Аноним (58), 16:51, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+1 +/–
>В цивилизованной стране за пытки задержанных могут и на электрический стул отправить. Швятые! Пыточные в Guantanamo bay? Нет, не слышал!

4.79, Crazy Alex (ok), 19:04, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Угу. Пытки в каждой райотделе, в том числе вообще потому что скучно стало? Тоже не слышал. Но главное ж Гуантанамо... (которое тоже дикость и скотство, кто б спорил).

5.91, Аноним (89), 20:30, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
> Угу. Пытки в каждой райотделе, в том числе вообще потому что скучно > стало? Как часто ты в рйотдел попадаешь?

6.107, Аноним (-), 22:11, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> Как часто ты в рйотдел попадаешь? КМК, для жителя РФ перспектива попасть в райотдел значительно реальнее чем в гуантанамо. Поэтому надо быть полным дауном чтобы волноваться за гуантанамо, игнорируя свой райотдел. Впрочем, до некоторых допирает только после бутылки.

7.114, Michael Shigorin (ok), 22:27, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> КМК, для жителя РФ перспектива попасть в райотдел значительно > реальнее чем в гуантанамо. Так ведь и ожидаемые последствия разные. Вы когда сервисы развешиваете -- соображаете же, поди, где rce можно поймать, а где нагрузку на лишние обращения. Почему не думаете, когда пишете другим, кто вообще-то тоже соображает?

8.126, Аноним (125), 03:04, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
В смысле Если у человека кишка рвется бутылкой - последствия даже хуже гуантан... текст свёрнут, показать

5.93, Аноним (88), 20:38, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Гуантанамо у всех на слуху, утвержденные пытки на уровне государства, мы не знае... большой текст свёрнут, показать

6.97, Michael Shigorin (ok), 21:39, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
2003 год, воспоминания небезызвестного местами Пола Грэма http paulgraham com... большой текст свёрнут, показать

7.110, Аноним (-), 22:19, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Михаил, а вас не смущает что российские учителя начинают выдавать сейчас ровно э... большой текст свёрнут, показать

8.121, Michael Shigorin (ok), 22:57, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ещё как смущает, когда хотя бы с отдалённо таким сталкиваюсь И трачу время, в ... большой текст свёрнут, показать

9.128, Аноним (-), 05:54, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
А такое насколько я вижу сейчас везде Я поболтал с персоной из педагогической с... большой текст свёрнут, показать

10.148, Просто прохожий (?), 00:47, 08/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Подпишусь под каждым словом Советская система образования была, мягко говоря, н... большой текст свёрнут, показать

10.149, Просто прохожий (?), 00:50, 08/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
поправил опечатки Подпишусь под каждым словом Советская система образования б... большой текст свёрнут, показать

11.150, Michael Shigorin (ok), 01:09, 08/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Эх, Вам бы свою грамотность ещё мало-мало поправить Безотносительно любы... текст свёрнут, показать

12.151, Просто прохожий (?), 01:51, 08/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Молодец Нашёл и исправил ошибку Похвально Там ещё запятые не на всех местах с... текст свёрнут, показать

3.77, Michael Shigorin (ok), 18:33, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> В цивилизованной стране за пытки задержанных могут
> и на электрический стул отправить.

Планету не подскажете? Прям заинтриговали. На нашенской электростул в основном в ходу через Атлантику, но там же и Гуантанамо в моде, не говоря о более приземлённых методах вроде N суток без сна.

PS: не знаю как насчёт в тамошнем "_каждом_ райотделе", но звоночки густо пошли...

3.92, Аноним (89), 20:31, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> В цивилизованной стране за пытки задержанных могут и на электрический стул отправить.

Кто ж спорит, могут.

Но еще ни одного раза не сделали этого.

2.57, Аноним (51), 17:01, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
>пытки, паяльники, иголки под ногти и прочие "удовольствия" Во, криптоАНАЛизаторы снова подтянулись. Видно, они всё это на себе уже испробовали.

2.70, Аноним (70), 17:42, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
И что теперь, не шифровать?

....большая нить свёрнута, показать (50)

1.10, J.L. (?), 14:38, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]

+1 +/–

АХАХАХААА

> Производители ... были уведомлены о проблеме ... и уже успели выпустить обновления прошивок для проблемных SSD-накопителей.

как будто они починили старые и не добавили новые пути получения данных с устройства без использования пароля от пользователя

2.142, Аноним (142), 14:02, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Последняя доступная прошивка для 850 EVO датируется ноябрем 2017 года, так эта бага исправлена в прошлом году или на неё забили?

1.13, Аноним (13), 14:47, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+3 +/–
Это не недоработка. Это бэкдор. Возможно, сознательно внедрённый.

2.53, Аноним (58), 16:53, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
>Это бэкдор. Возможно, сознательно внедрённый. А есть "не сознательно внедренные". Типо: - Откуда тут дверь? - Да вы знаете, как-то, случайно построили.

3.94, Аноним (94), 20:45, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Есть случайно появившиеся в результате других ошибок. В данном случае не похоже.

4.95, Аноним (94), 20:46, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Как пример случайного бэкдора - забытый и не выключенный встроенный дебаг-режим.

5.131, Аноним (-), 06:21, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> Как пример случайного бэкдора - забытый и не выключенный встроенный дебаг-режим. Собственно лишний повод в пользу открытых прошивок и прозрачных процессов. Чтобы не "забывали дебаг-режим".

3.111, Аноним (-), 22:20, 06/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+1 +/–

> - Откуда тут дверь?
> - Да вы знаете, как-то, случайно построили.

Как ни странно так даже бывает. Достаточно по району пройтись.

1.24, Аноним (24), 15:15, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+4 +/–
Ну как всегда. Никогда такого не было, и вот опять.

2.27, Аноним (25), 15:28, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Хотели как лучше, а получилось как всегда.

1.56, Спецслужбы (?), 16:59, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+2 +/–
Хех... когда-то пипл негодовал по поводу внешнего hdd, который вместо заявленного шифрования просто xor'ил данные с хэшем пароля. А оказывается, можно ещё проще.

1.74, AnonPlus (?), 18:05, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]

+3 +/–

Проприетарное шифрование опять соснуло.

Особенно порадуются люди, использующие BitLocker. Он когда обнаруживает накопитель, совместимый с eDrive (TCG Opal микрософт принципиально игнорирует в пользу своего стандарта), то отдаёт шифрование на откуп накопителю, где и происходит факап.

Обладатели NVME-самсунгов могут расслабиться, микрософт до сих пор не адаптировал спецификацию eDrive для NVME, поэтому там битлокер шифрует программно. Но остаётся вопрос о качестве шифрования в самом битлокере, так что повторюсь - проприетарное шифрование уже не раз соснуло и ещё соснёт не раз.

2.112, Аноним (-), 22:22, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
> о качестве шифрования в самом битлокере, Как минимум в ntfs у них раньше можно было "рекавери сертификат" даже админу слепить. А сколько и кто себе еще рекавери сертификатов слепил тихой сапой - догадайтесь. Оно ж проприетарное...

1.80, Kuromi (ok), 19:08, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
"Для защиты основного ключа шифрования на деле используется мастер-пароль, который предопределён в прошивке и доступен для извлечения. Более того, в некоторых изученных устройствах мастер-пароль представляет собой просто пустую строку (32 нулевых байта)." Ну естественно, реализовывать настоящее шифрование не позволят спецслужбы же. Именно поэтому на всех этих SSD так громко и рекламируется "встроенное шифрование" (при, казалось бы, постоянных взрыках спецслужб на тему "вредности" шифрования) что оно полностью согласовано и служит лишь для отвлечение внимания и успокоения потенциальных "клиентов".

1.82, Аноним (82), 19:30, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+/–
Обратный инжиниринг, серьёзно? Вы или полностью переводите, или вообще не трогайте.

2.115, Аноним (115), 22:30, 06/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
"We have analyzed the hardware full-disk encryption of several SSDs by reverse engineering their firmware" Что не так?

2.117, Аноним (117), 22:39, 06/11/2018 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Обратный инжиниринг - это давно устоявшийся термин.

3.139, пох (?), 11:42, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
в каком языке? В гуглтранслейтовом? По-русски так не говорят, в английском вроде и буковки-то другие должны быть.

2.153, Аноним (-), 15:20, 09/11/2018 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> Обратный инжиниринг, серьёзно? Вы или полностью переводите, или вообще не трогайте. Напиши свой вариант. Интересно стало.

1.124, Аноним (124), 01:21, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
В EVO 850 проблема есть только в ATA-режиме при использовании двух паролей (юзер и мастер). В реализации Опал проблем ни в 640, ни в 650 не обнаружено. При этом прошивки с исправлением проблемы в АТА выпущено не было. Последняя доступная для SATA 850 EVO прошивка EMT02B6Q датируется 2015 годом.

2.129, Аноним (-), 06:06, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> в 650 не обнаружено. При проприетарной прошивке обнаружить все мыслимые бэкдоры - не сказать что сильно просто.

2.141, Аноним (141), 13:24, 07/11/2018 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Я сейчас скачал Firmware EMT02B6Q для SSD-850 EVO отсюда https://www.samsung.com/semiconductor/minisite/ssd/download/tools/ при распаковке ISO показывает дату файлов 20.05.2071(да samsung далеко в будущем живет). Судя по всему это все таки 20.05.2017. Ничего они еще не исправили или не выложили новую Firmware.

1.147, Аноним (147), 20:16, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
>DEK-ключа А так же его брат PIN-номер и жена брата ATM-машина.

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: