Видео Атаки на VeraCrypt, шифрование ОЗУ. Компьютерная криминалистика (форензика)

[jaskolka]

Видео не мое и не является рекламой канала

Достаточно узкая тема, и достаточно интересная, речь о шифрование ОЗУ, способы извлечения ОЗУ с устройств, и извлечение мастер-ключей с ОЗУ.

Также интересно именно то, что автор использует elcomsoft forensic disk decryptor, производители которого, заявили что могут извлекать из ОЗУ мастер-ключи VeraCrypt даже с включенным шифрованием ОЗУ (программным) https://blog.elcomsoft.com/2021/06/...ng-and-extracting-on-the-fly-encryption-keys/

К сожалению, мне лень переписывать все содержимое видео, знаю что многие любят текст и не хотят ходить на youtube хонипот, поэтому специально для Вас я загрузил в качестве 360p на ФО https://send.exploit.in/download/7bd87e2b4817e2ad/#8G-CnJOsnM_FfkEUgVjcYA

Breaking VeraCrypt: Obtaining and Extracting On-The-Fly Encryption Keys

Released back in 2013, VeraCrypt picks up where TrueCrypt left off. Supporting more encryption algorithms, more hash functions and a variable number of hash iterations, VeraCrypt is the default choice for the security conscious. VeraCrypt has no known weaknesses except one: once the encrypted disk i

blog.elcomsoft.com

Forensic Disk Decryptor 2.18 с поддержкой ключей VeraCrypt в оперативной памяти | Elcomsoft Co.Ltd.

В обновлении Elcomsoft Forensic Disk Decryptor 2.18 добавлена поддержка извлечения ключей шифрования последних версий VeraCrypt из оперативной памяти компьютеров. Наш продукт – единственное решение на рынке, поддерживающее извлечение из памяти ключей шифрования новых версий VeraCrypt.

www.elcomsoft.ru

 

[jaskolka]

Раз уже лайки от админа и братвы получил, нужно соответствовать ))


Ниже статья прилагаемая автором к видео:

Данный текст является обработанными субтитрами к видео и русскоязычным пользователям рекомендую именно смотреть видео, т.к. текстовой версии я не уделил достаточно времени.

Как расшифровывают контейнеры VeraCrypt, TrueCrypt и BitLocker? Возможно ли извлечь из дампа оперативной памяти мастер-ключи для расшифрования этих контейнеров? Спасет ли аппаратное или программное шифрование ОЗУ? Какие есть способы дополнительной защиты?

Привет, друзья! Меня зовут Алексей, и сегодня мне предоставили специальный криминалистический софт, который предназначен для дампов оперативной памяти, извлечения из них ключей шифрования и использования этих ключей для расшифровки криптоконтейнеров VeraCrypt, BitLocker, TrueCrypt и других. Хочу заранее отметить, что это единственный софт на рынке; других платных решений лучше просто нет.

Если ваш компьютер попадет к экспертам-криминалистам, скорее всего, они будут пользоваться именно этим программным обеспечением, чтобы извлечь из оперативной памяти ваши ключи, если, конечно, был сделан такой дамп. Почему я решил снять видео про VeraCrypt и дамп оперативной памяти? Потому что ключи VeraCrypt, BitLocker, TrueCrypt и других популярных решений для шифрования хранятся в оперативной памяти и называются мастер-ключами. Если есть дамп оперативной памяти, из него можно найти ключ от криптоконтейнера и этим ключом, не зная пароля, можно примонтировать и расшифровать криптоконтейнер.

Какие существуют актуальные способы снятия дампа оперативной памяти? Помимо прямого снятия дампа оперативной памяти с рабочей системы со всеми правами, первый способ - это заморозка памяти. Например, жидким азотом замораживаются планки оперативной памяти, затем их вставляют в новый компьютер или специальное устройство, с которого снимается дамп. При низких температурах информация на планках не удаляется, и таким образом можно сдампить частичную информацию.


Второй способ - это перезагрузка. Некоторые материнские платы и планки позволяют сохранить память при перезагрузке, что позволяет дампить память с ключами шифрования, хранящимися в ОЗУ, запуская Linux-дистрибутив с предустановленным софтом для дампа памяти.

Важно понимать, что сотрудники полиции понимают важность доступа к незаблокированному компьютеру. Они могут проводить специальные мероприятия, чтобы попасть в квартиру, где ваш компьютер открыт и криптоконтейнеры примонтированы, а вы лежите лицом в пол. Нужно понимать, что при правильной подготовке вероятность такой ситуации велика.

То есть элементарно ваш ребёнок может зайти в квартиру, и вместе с ним могут ворваться сотрудники полиции. Вы не успеете моргнуть глазом, как вас положат лицом в пол. То же самое может произойти с вашей женой, сотрудником доставки еды или техником, который пришёл починить лампу или провода. Комбинаций множество. Я не буду вдаваться в подробности, как мы это делали, но это действительно возможно, и к этому нужно быть готовым.

Соответственно, задача сотрудников, когда они попадают в вашу квартиру, а вы уже лежите, а ваш компьютер открыт, заключается в том, чтобы первым делом снять дамп оперативной памяти до любых других действий на этом компьютере. Это делается для того, чтобы не удалить важную информацию из оперативной памяти своими действиями. Первым делом снимается дамп оперативной памяти на стороннее устройство, чтобы потом искать ключи шифрования PGP, BitLocker, VeraCrypt, TrueCrypt и так далее.

В то же время хочу сказать, что не все сотрудники действуют по инструкции или правильно. Я знал множество случаев, когда сотрудники заходили в офисы, где были открыты и разблокированы компьютеры, и просто выключали свет на счётчике. Таким образом, все разблокированные компьютеры с установленным VeraCrypt теряли хоть какие-то шансы на восстановление данных. Я знал сотрудников, которые, не зная пароля Windows, удаляли установленный пользователем пароль без создания бэкапа. Это было критической ошибкой, так как без пароля невозможно было получить доступ к паролям, например, в браузере Chrome. Таким образом, они, можно сказать, помогали преступникам.

Поэтому не стоит думать, что все сотрудники будут правильно действовать в отношении вас. Однако есть и те, которые будут делать разумные действия. Друзья, хочу показать, что меня удивило. Допустим, я действовал бы по той же методике, как раньше. Первое мое действие – снять дамп оперативной памяти. Представим, что преступника положили лицом в пол, а сотрудник вставляет флешку с программой для дампа оперативной памяти. Оказывается, в VeraCrypt есть функция, что если вставляется новое устройство, система уходит в перезагрузку, полностью очищая оперативную память и вызывая синий экран. На этом этапе ничего бы не получилось, но у меня эта функция не включена.

К примеру, я продолжаю и запускаю программу Elcomsoft Forensic Disk Decryptor.

Они хвастаются, что это самая лучшая программа на рынке стоимостью 700 долларов. У меня есть лицензия. Она способна извлекать шифрованные ключи программным способом VeraCrypt и расшифровывать их. ол



С ссылками ниже рекомендую ознакомиться, используйте автоперевод браузера, если есть сложности

https://blog.elcomsoft.com/2021/06/...ng-and-extracting-on-the-fly-encryption-keys/

https://www.elcomsoft.ru/news/787.html

Я специально не включал функцию шифрования ключей в VeraCrypt, просто установил и создал контейнер. Далее я покажу это на записи экрана. При нажатии на дамп физической памяти выбираю любое место для сохранения, прямо на флешку, и нажимаю "Старт". Программа сообщает, что не хватает места на флешке. Указываю путь на компьютер и нажимаю "Старт". И что мы видим? Оказывается, у VeraCrypt есть собственный драйвер, который защищает оперативную память от вмешательства. При попытке дампа оперативной памяти она очищается и появляется синий экран.

Будь я сотрудником полиции, я бы сейчас растерялся, потому что вся проделанная работа оказалась напрасной – компьютер снова зашифрован. Конечно, есть способы снять оперативную память, несмотря на этот драйвер. Программа за 700 долларов с их супер-способом снятия оперативной памяти не может вообще снять оперативную память, даже если отключить защитную галочку в VeraCrypt. Нужно перезагрузить компьютер, что нивелирует полезность этой программы. Даже после отключения функции программа Elcomsoft всё равно не может снять оперативную память, потому что драйвер VeraCrypt даже после удаления программы не позволяет это сделать и вызывает синий экран при попытке дампа.

FTK Imager – это тоже специальная криминалистическая программа, которую можно скачать бесплатно, но она тоже не может сделать дамп оперативной памяти. В итоге, я покажу, чем всё-таки удалось снять дамп оперативной памяти несмотря на эту защиту.

По итогу, друзья, смотрите. Я сейчас смонтирую VeraCrypt и TrueCrypt, чтобы в оперативной памяти были ключи. Сейчас у меня примонтирован BitLocker.

И как же всё-таки сделать дамп оперативной памяти, когда включены стандартные настройки? У меня установлены стандартные настройки VeraCrypt: галочка "Отключить защиту памяти" не стоит, шифрование ключей в ОЗУ также не включено. У TrueCrypt тоже стандартные настройки. Специальный дорогущий софт Elcomsoft Forensic Disk Decryptor, который я показывал ранее, при попытке дампа ОЗУ вылетает в синий экран. Специальный софт не может снять дамп оперативной памяти. Но есть бесплатное решение – DumpIT.

Запускаем его, требуются права администратора, подтверждаем, и создаем дамп ОЗУ. Программа начинает дампинг. Я ставлю на паузу и продолжу, когда дамп завершится. Итак, дамп успешно завершён. Теперь у меня есть Elcomsoft Forensic Disk Decryptor, который может извлекать ключи из образа. Указываем путь к нашим ключам, выбираем дамп на 32 ГБ, который мы только что сделали. Убираем галочки с PGP, оставляем только VeraCrypt и BitLocker, чтобы не нагружать систему, нажимаем "Next".

Процесс пошёл довольно быстро. Я снова поставлю на паузу и вернусь, когда всё закончится.

Процесс завершился, и софт сообщает, что найден мастер-ключ от TrueCrypt и BitLocker. Ключ для VeraCrypt не найден.

Сохраняем эти ключи в файл "keys". Интересно, что RamCapture от BelkaSoft тоже может делать дамп оперативной памяти, в отличие от специального софта. Давайте попробуем расшифровать наши контейнеры. Размонтируем все контейнеры. В принципе, если есть доступ к компьютеру, можно просто нажать "архивировать ключ". Не обязательно извлекать его из оперативной памяти. Хотя, конечно, бывают случаи, когда это единственный способ.

Теперь давайте попробуем с TrueCrypt и VeraCrypt. Сначала укажем путь к контейнеру TrueCrypt. С TrueCrypt всё работает хорошо. Мы можем указать и memory dump, и у нас есть сохраненные ключи. Укажем сохраненные ключи и нажмем "Mount". Наш диск отлично примонтировался. Вот он – контейнер TrueCrypt. Всё работает отлично, контейнер примонтирован. Теперь размонтируем его.

Теперь попробуем с VeraCrypt. С VeraCrypt почему-то не работает, хотя у меня не стояло шифрование памяти. Видимо, действительно ключи VeraCrypt хранятся в какой-то области, либо в зашифрованной области, либо драйвер не дает доступа софту, который дампит ОЗУ, к этим ключам. В итоге, даже имея дамп оперативной памяти, мы не можем примонтировать VeraCrypt.

Обращу внимание на то, почему по умолчанию не включена опция шифрования ключей в ОЗУ.

Это связано с тем, что при включении этой функции оперативная память замедляется на 15-20%. Поэтому эта функция по умолчанию не включена. Как видите, даже на моем примере, платные решения, используемые экспертами, не помогают.

Поэтому мы будем проводить дальнейшие тесты на TrueCrypt, так как ключ TrueCrypt находится. Теперь давайте попробуем с BitLocker. Как видим, супер дорогой и классный софт, не хочу сильно критиковать, так как других решений нет, но при попытке указать путь к зашифрованному диску BitLocker, даже если он сейчас разблокирован, софт крашится. То есть ключ найден в оперативной памяти, но софт падает.

Я пробовал создавать образ этого диска, чтобы не использовать само устройство, а именно образ. Но даже при попытке загрузить этот образ происходит сбой. Это не работает. Сейчас продемонстрирую. На самом деле, даже криминалистический профессиональный софт работает плохо. Даже самый обычный эксперт столкнется с такими же проблемами, как и я. Он элементарно не сможет примонтировать диск. Не буду показывать этот процесс детально, но суть в том, что софт падает.

Мы можем загрузить как диск, можем указать контейнер. Сейчас создаю образ и покажу вам. FTK Imager - замечательный бесплатный софт для создания образов дисков, дампов оперативной памяти и монтирования этих образов.

Он поддерживает форматы E01 (полная побитовая копия с сжатием) и DD/RAW (побитовая копия без сжатия). Я делаю в формате DD/RAW, чтобы софт лучше его воспринимал.

Создаём образ. После завершения, видим, что софт всё равно падает. Единственное, что можно расшифровать с помощью этого софта из коробки - это TrueCrypt. Теперь включим аппаратное шифрование на жестком диске и проверим, насколько оно сможет защитить оперативную память от таких атак.

VeraCrypt предлагает программное шифрование ключей памяти. Включаем галочку, и ключи будут шифроваться программно. На сайте подробно описана инструкция. Даже без этой галочки специальный софт не может извлечь ключ, поэтому вручную я тем более не могу это сделать. Мы будем тестировать только аппаратное шифрование на примере TrueCrypt.

Итак, с TrueCrypt софт хорошо справляется и извлекает ключи. Включаем шифрование оперативной памяти в процессоре и проверяем, насколько это защитит оперативную память от таких атак.

Шифрование оперативной памяти по умолчанию должно быть отключено, и не каждый процессор его поддерживает. У меня оно включается в BIOS. Для этого необходимо зайти в настройки BIOS, затем в раздел DDR Security, и включить соответствующие функции, которые отвечают за шифрование оперативной памяти и Scrambling. Это усложняет работу с дампами оперативной памяти. Давайте проверим, как это работает на самом деле.

Я включил аппаратное шифрование оперативной памяти. Теперь проведем дополнительные тесты, чтобы понять, можно ли найти в дампе оперативной памяти текстовые данные. Для этого смонтируем контейнер и загрузим буфера текстом. Посмотрим, получится ли найти эти значения в дампе оперативной памяти.

Смонтировал контейнер и запускаю дамп с использованием профессиональных программ для дампа оперативной памяти. Запустить такие программы я не могу, потому что драйвер VeraCrypt удаляет оперативную память, очищая ее, и система уходит в синий экран. После завершения дампа будем искать ключи TrueCrypt.

Дамп успешно завершён. Теперь запускаем поиск ключей TrueCrypt. Анализ идет гораздо дольше, чем в нешифрованном дампе ОЗУ. Возможно, это из-за аппаратного шифрования. Пока идет анализ, попробуем найти текстовые данные в дампе.

Теперь запускаем поиск данных в дампе оперативной памяти, чтобы определить, можно ли найти текстовые значения и ключи в шифрованной памяти. Результаты покажут, насколько эффективным является аппаратное шифрование в защите данных.

Для анализа будем использовать FTK Imager. Выберем Image файл и укажем путь к нашему дампу. Нажимаем "Finish", и вот он открылся. Здесь можем выполнить поиск. Давайте начнем поиск по начальному тексту и нажимаем "Find". Как видим, результат найден. Несмотря на то, что у нас шифрованная оперативная память аппаратным способом, буфер обмена все-таки обнаружился.

Попробуем найти пароль, которым открывали контейнер. Поиск тоже успешен, видим "123". Возможно, это совпадение, так как пароль слишком короткий. Давайте попробуем найти более длинный текст. Поиск на русском языке не выполняется корректно, поэтому добавим новый текст в буфер обмена для теста.

Вставляем следующие тексты в буфер обмена по очереди:

- тест 1

- тест 2

- тест 3

Эти тексты должны храниться в оперативной памяти. Снимем дамп и попробуем найти эти тексты вручную. Создаем новый образ оперативной памяти, добавляем его в FTK Imager и ищем информацию по ключевым словам.

Пробуем искать "тест 1". Как видите, текст найден. Затем ищем "тест 2" и "тест 3". Все тексты найдены, хотя они немного перемешаны.

Несмотря на включенное аппаратное шифрование, тексты из буфера обмена успешно находятся в дампе оперативной памяти. Это указывает на то, что аппаратное шифрование не полностью защищает информацию в оперативной памяти от извлечения. Информация перемешана, но всё же доступна для анализа.

В целом, аппаратное шифрование оперативной памяти не показало высокой эффективности. Несмотря на его использование, в оперативной памяти все равно можно найти информацию, которая там была. Дождёмся окончания поиска ключей и посмотрим, удастся ли найти ключ TrueCrypt при включенном аппаратном шифровании.

Итак, друзья, как видим, процесс поиска ключей занял гораздо больше времени по сравнению с обычным поиском в нешифрованной памяти. Но всё равно удалось найти мастер-ключ. Давайте проверим: мы размонтировали контейнер TrueCrypt, сохраним найденный ключ и попробуем примонтировать контейнер снова, используя сохранённый ключ.

Контейнер успешно примонтировался с помощью сохранённого ключа. Это вызывает вопросы о смысле аппаратного шифрования, если ключ всё равно можно найти в оперативной памяти. Производительность системы при этом падает, хотя точные тесты производительности не проводились, это заметно по ощущениям.

Вывод: аппаратное шифрование в том виде, в котором хотелось бы его видеть, не работает должным образом. У меня новый процессор на сокете AM5 и материнская плата с поддержкой двух методов аппаратного шифрования, но несмотря на это, в дампе оперативной памяти всё равно можно найти буфер обмена и ключи TrueCrypt.

Что касается VeraCrypt, это замечательный продукт. Даже без включения программного шифрования ключей в оперативной памяти, специализированный софт не может извлечь этот ключ, потому что не способен создать дамп оперативной памяти. VeraCrypt защищает информацию с помощью драйвера, который очищает память при попытке доступа к ключам. Также есть функция программного шифрования оперативной памяти, которая увеличивает безопасность, несмотря на некоторое замедление производительности.

Кроме того, VeraCrypt имеет настройку очистки оперативной памяти при подключении нового устройства. Если вставляется неизвестное устройство, память очищается, и система падает в синий экран. В итоге, на данный момент нет готовых продуктов, способных получить мастер-ключ VeraCrypt из оперативной памяти.

Я не являюсь профессиональным криминалистом, возможно, эксперты с большим опытом имеют свои собственные решения для извлечения ключей, но я показал то, что умею делать сам, используя профессиональные инструменты, доступные мне.

Истончик: https://telegra.ph/Ataki-na-VeraCrypt-shifrovanie-OZU-Kompyuternaya-kriminalistika-forenzika-07-08

 

[valgreesh]

Это вызывает вопросы о смысле аппаратного шифрования, если ключ всё равно можно найти в оперативной памяти. Производительность системы при этом падает, хотя точные тесты производительности не проводились, это заметно по ощущениям.

Вывод: аппаратное шифрование в том виде, в котором хотелось бы его видеть, не работает должным образом.

Это от непонимания смысла аппаратного шифрования памяти. Оно было сделано, в первую очередь, для защиты памяти виртуальных машин, чтобы защититься от атак, когда злоумышленнику удается получить доступ к памяти чужой виртуальной машины. Шифрование происходит на уровне контроллера памяти, данные в кешах и процессоре находятся в открытом виде. Поэтому нет ничего удивительного, что приложения работающие в рамках одного сеанса ОС могут "видеть" данные в памяти. Это, однако, делает невозможным заморозку планок памяти и переноc их в другое устройство для считывания.

 

[jaskolka]

Это от непонимания смысла аппаратного шифрования памяти. Оно было сделано, в первую очередь, для защиты памяти виртуальных машин, чтобы защититься от атак, когда злоумышленнику удается получить доступ к памяти чужой виртуальной машины. Шифрование происходит на уровне контроллера памяти, данные в кешах и процессоре находятся в открытом виде. Поэтому нет ничего удивительного, что приложения работающие в рамках одного сеанса ОС могут "видеть" данные в памяти. Это, однако, делает невозможным заморозку планок памяти и переноc их в другое устройство для считывания.

Друзья, после записи видео уже понял свои ошибки. Суть аппаратного шифрования ОЗУ в том, что это спасает от дампа вне сессии, например в случае извлечения ОЗУ и дампа ее, или при помощи перезагрузки. Я же делал дамп внутри сессии, и соответственно для операционной системы этот дамп не был шифрованным. Однако я не знаю будет ли на виртуальных машинах шифрованная память относительно хостовой машины, например в случае виртуализации KVM виртуальная машина имеет доступ напрямую к железу. Буду признателен за разъяснения этой темы.

Не встречал на форуме, было ли обсуждения или мануал с конкретными рекомендациями по аренде/настройки полноценных выделенных (не виртуальных) серверов с настройкой аппаратного шифрования ОЗУ и файловой системы, что-то типо безопасного дедика?

 

[valgreesh]

Поддержка Total Memory Encryption – Multi Key (TME-MK) в Windows появилась совсем недавно. Немного информации со сылками на подробности: https://techcommunity.microsoft.com...ry-encryption-on-windows-11-22h2/ba-p/3683043

 

[Dread Pirate Roberts]

Посмотреть вложение 89007

к сожалению, в этой теме разбирается три с половиной человека во всём мире и на этом форуме их нет (или есть, но сидят в ридонли)

Не встречал на форуме, было ли обсуждения или мануал с конкретными рекомендациями по аренде/настройки полноценных выделенных (не виртуальных) серверов с настройкой аппаратного шифрования ОЗУ и файловой системы, что-то типо безопасного дедика?

обсуждение было, мануалов не было: https://xss.pro/threads/97855/

 

[bratva]

к сожалению, в этой теме разбирается три с половиной человека во всём мире и на этом форуме их нет (или есть, но сидят в ридонли)

Позови stooper

gliderexpert тоже есть, что сказать по теме.

 

[jaskolka]

к сожалению, в этой теме разбирается три с половиной человека во всём мире и на этом форуме их нет (или есть, но сидят в ридонли)


обсуждение было, мануалов не было: https://xss.pro/threads/97855/

Вполне можно и нужно с чего-то начинать, и прямо сейчас заложить фундамент )) такового мануала, пусть он будет сырым, ошибочным и даже глупым из-за непонимания каких-то базовых вещей, но уже не будет проблемы "белого листа", и конкретно конкретные недостатки исправить в готовом мануале легче.

 

[Sec13B]

use diskcryptor

 

[admin]

Не встречал на форуме, было ли обсуждения или мануал с конкретными рекомендациями по аренде/настройки полноценных выделенных (не виртуальных) серверов с настройкой аппаратного шифрования ОЗУ и файловой системы, что-то типо безопасного дедика?

Обсуждение было, не раз. А вот полноценного мануала не было. Это очень интересно и востребовано. Если бы вы написали в рамках [ИНИЦИАТИВЫ]: Покупаем статьи, было бы шикарно.

 

[TOPCHEK]

Раз уже лайки от админа и братвы получил, нужно соответствовать

Попроси их разбанить основу ThorZirael
Думаю за такие интересные видосы и статьи уж должны простить

 

[Dread Pirate Roberts]

Позови stooper

звал, он отморозился

 

[verb0]

Что тут скажешь, есть доступ к озу - плохо дело. Возможное решение - кольцо на палец с дистанционным отключением пеки по кнопке отправки радиосигнала, пока руки за головой. Ну или железная дисциплина отключения пк вне работы. Или оффать по таймеру отсутствия успешного входа, в рассчёте на то что форензить прям совсем сразу - поленятся.
Но ситуация в том, что инфы хватило для визита, допустим, данные пошифрованы, озу вайпнуто а пароль забыт, это всё ещё плохая ситуация потому что есть логи нетворка провайдерские, есть логи роутера например где лежит мак адрес\локальный ип того девайса и куча коннектов, есть логи биоса с включениями девайса и его аптаймами, есть статистика контроллера диска которая показывает что было чтение и запись в этот месяц например в больших количествах. В общем, все всё понимают и дальше объёмы беспредела зависят от частного случая

 

[MoonfrostTyrant]

Раз уже лайки от админа и братвы получил, нужно соответствовать ))


Ниже статья прилагаемая автором к видео:

Данный текст является обработанными субтитрами к видео и русскоязычным пользователям рекомендую именно смотреть видео, т.к. текстовой версии я не уделил достаточно времени.

Как расшифровывают контейнеры VeraCrypt, TrueCrypt и BitLocker? Возможно ли извлечь из дампа оперативной памяти мастер-ключи для расшифрования этих контейнеров? Спасет ли аппаратное или программное шифрование ОЗУ? Какие есть способы дополнительной защиты?

Привет, друзья! Меня зовут Алексей, и сегодня мне предоставили специальный криминалистический софт, который предназначен для дампов оперативной памяти, извлечения из них ключей шифрования и использования этих ключей для расшифровки криптоконтейнеров VeraCrypt, BitLocker, TrueCrypt и других. Хочу заранее отметить, что это единственный софт на рынке; других платных решений лучше просто нет.

Если ваш компьютер попадет к экспертам-криминалистам, скорее всего, они будут пользоваться именно этим программным обеспечением, чтобы извлечь из оперативной памяти ваши ключи, если, конечно, был сделан такой дамп. Почему я решил снять видео про VeraCrypt и дамп оперативной памяти? Потому что ключи VeraCrypt, BitLocker, TrueCrypt и других популярных решений для шифрования хранятся в оперативной памяти и называются мастер-ключами. Если есть дамп оперативной памяти, из него можно найти ключ от криптоконтейнера и этим ключом, не зная пароля, можно примонтировать и расшифровать криптоконтейнер.

Какие существуют актуальные способы снятия дампа оперативной памяти? Помимо прямого снятия дампа оперативной памяти с рабочей системы со всеми правами, первый способ - это заморозка памяти. Например, жидким азотом замораживаются планки оперативной памяти, затем их вставляют в новый компьютер или специальное устройство, с которого снимается дамп. При низких температурах информация на планках не удаляется, и таким образом можно сдампить частичную информацию.
Посмотреть вложение 88951Посмотреть вложение 88950Посмотреть вложение 88949

Второй способ - это перезагрузка. Некоторые материнские платы и планки позволяют сохранить память при перезагрузке, что позволяет дампить память с ключами шифрования, хранящимися в ОЗУ, запуская Linux-дистрибутив с предустановленным софтом для дампа памяти.

Важно понимать, что сотрудники полиции понимают важность доступа к незаблокированному компьютеру. Они могут проводить специальные мероприятия, чтобы попасть в квартиру, где ваш компьютер открыт и криптоконтейнеры примонтированы, а вы лежите лицом в пол. Нужно понимать, что при правильной подготовке вероятность такой ситуации велика.
Посмотреть вложение 88948

То есть элементарно ваш ребёнок может зайти в квартиру, и вместе с ним могут ворваться сотрудники полиции. Вы не успеете моргнуть глазом, как вас положат лицом в пол. То же самое может произойти с вашей женой, сотрудником доставки еды или техником, который пришёл починить лампу или провода. Комбинаций множество. Я не буду вдаваться в подробности, как мы это делали, но это действительно возможно, и к этому нужно быть готовым.

Соответственно, задача сотрудников, когда они попадают в вашу квартиру, а вы уже лежите, а ваш компьютер открыт, заключается в том, чтобы первым делом снять дамп оперативной памяти до любых других действий на этом компьютере. Это делается для того, чтобы не удалить важную информацию из оперативной памяти своими действиями. Первым делом снимается дамп оперативной памяти на стороннее устройство, чтобы потом искать ключи шифрования PGP, BitLocker, VeraCrypt, TrueCrypt и так далее.

В то же время хочу сказать, что не все сотрудники действуют по инструкции или правильно. Я знал множество случаев, когда сотрудники заходили в офисы, где были открыты и разблокированы компьютеры, и просто выключали свет на счётчике. Таким образом, все разблокированные компьютеры с установленным VeraCrypt теряли хоть какие-то шансы на восстановление данных. Я знал сотрудников, которые, не зная пароля Windows, удаляли установленный пользователем пароль без создания бэкапа. Это было критической ошибкой, так как без пароля невозможно было получить доступ к паролям, например, в браузере Chrome. Таким образом, они, можно сказать, помогали преступникам.

Поэтому не стоит думать, что все сотрудники будут правильно действовать в отношении вас. Однако есть и те, которые будут делать разумные действия. Друзья, хочу показать, что меня удивило. Допустим, я действовал бы по той же методике, как раньше. Первое мое действие – снять дамп оперативной памяти. Представим, что преступника положили лицом в пол, а сотрудник вставляет флешку с программой для дампа оперативной памяти. Оказывается, в VeraCrypt есть функция, что если вставляется новое устройство, система уходит в перезагрузку, полностью очищая оперативную память и вызывая синий экран. На этом этапе ничего бы не получилось, но у меня эта функция не включена.

К примеру, я продолжаю и запускаю программу Elcomsoft Forensic Disk Decryptor.Посмотреть вложение 88947

Они хвастаются, что это самая лучшая программа на рынке стоимостью 700 долларов. У меня есть лицензия. Она способна извлекать шифрованные ключи программным способом VeraCrypt и расшифровывать их. ол



С ссылками ниже рекомендую ознакомиться, используйте автоперевод браузера, если есть сложности

https://blog.elcomsoft.com/2021/06/...ng-and-extracting-on-the-fly-encryption-keys/

https://www.elcomsoft.ru/news/787.html

Я специально не включал функцию шифрования ключей в VeraCrypt, просто установил и создал контейнер. Далее я покажу это на записи экрана. При нажатии на дамп физической памяти выбираю любое место для сохранения, прямо на флешку, и нажимаю "Старт". Программа сообщает, что не хватает места на флешке. Указываю путь на компьютер и нажимаю "Старт". И что мы видим? Оказывается, у VeraCrypt есть собственный драйвер, который защищает оперативную память от вмешательства. При попытке дампа оперативной памяти она очищается и появляется синий экран.

Посмотреть вложение 88946

Будь я сотрудником полиции, я бы сейчас растерялся, потому что вся проделанная работа оказалась напрасной – компьютер снова зашифрован. Конечно, есть способы снять оперативную память, несмотря на этот драйвер. Программа за 700 долларов с их супер-способом снятия оперативной памяти не может вообще снять оперативную память, даже если отключить защитную галочку в VeraCrypt. Нужно перезагрузить компьютер, что нивелирует полезность этой программы. Даже после отключения функции программа Elcomsoft всё равно не может снять оперативную память, потому что драйвер VeraCrypt даже после удаления программы не позволяет это сделать и вызывает синий экран при попытке дампа.

FTK Imager – это тоже специальная криминалистическая программа, которую можно скачать бесплатно, но она тоже не может сделать дамп оперативной памяти. В итоге, я покажу, чем всё-таки удалось снять дамп оперативной памяти несмотря на эту защиту.

По итогу, друзья, смотрите. Я сейчас смонтирую VeraCrypt и TrueCrypt, чтобы в оперативной памяти были ключи. Сейчас у меня примонтирован BitLocker.

Посмотреть вложение 88945

И как же всё-таки сделать дамп оперативной памяти, когда включены стандартные настройки? У меня установлены стандартные настройки VeraCrypt: галочка "Отключить защиту памяти" не стоит, шифрование ключей в ОЗУ также не включено. У TrueCrypt тоже стандартные настройки. Специальный дорогущий софт Elcomsoft Forensic Disk Decryptor, который я показывал ранее, при попытке дампа ОЗУ вылетает в синий экран. Специальный софт не может снять дамп оперативной памяти. Но есть бесплатное решение – DumpIT.

Запускаем его, требуются права администратора, подтверждаем, и создаем дамп ОЗУ. Программа начинает дампинг. Я ставлю на паузу и продолжу, когда дамп завершится. Итак, дамп успешно завершён. Теперь у меня есть Elcomsoft Forensic Disk Decryptor, который может извлекать ключи из образа. Указываем путь к нашим ключам, выбираем дамп на 32 ГБ, который мы только что сделали. Убираем галочки с PGP, оставляем только VeraCrypt и BitLocker, чтобы не нагружать систему, нажимаем "Next".

Посмотреть вложение 88944
Посмотреть вложение 88943
Процесс пошёл довольно быстро. Я снова поставлю на паузу и вернусь, когда всё закончится.

Процесс завершился, и софт сообщает, что найден мастер-ключ от TrueCrypt и BitLocker. Ключ для VeraCrypt не найден.
Посмотреть вложение 88942
Сохраняем эти ключи в файл "keys". Интересно, что RamCapture от BelkaSoft тоже может делать дамп оперативной памяти, в отличие от специального софта. Давайте попробуем расшифровать наши контейнеры. Размонтируем все контейнеры. В принципе, если есть доступ к компьютеру, можно просто нажать "архивировать ключ". Не обязательно извлекать его из оперативной памяти. Хотя, конечно, бывают случаи, когда это единственный способ.

Теперь давайте попробуем с TrueCrypt и VeraCrypt. Сначала укажем путь к контейнеру TrueCrypt. С TrueCrypt всё работает хорошо. Мы можем указать и memory dump, и у нас есть сохраненные ключи. Укажем сохраненные ключи и нажмем "Mount". Наш диск отлично примонтировался. Вот он – контейнер TrueCrypt. Всё работает отлично, контейнер примонтирован. Теперь размонтируем его.

Теперь попробуем с VeraCrypt. С VeraCrypt почему-то не работает, хотя у меня не стояло шифрование памяти. Видимо, действительно ключи VeraCrypt хранятся в какой-то области, либо в зашифрованной области, либо драйвер не дает доступа софту, который дампит ОЗУ, к этим ключам. В итоге, даже имея дамп оперативной памяти, мы не можем примонтировать VeraCrypt.

Обращу внимание на то, почему по умолчанию не включена опция шифрования ключей в ОЗУ.

Посмотреть вложение 88941

Это связано с тем, что при включении этой функции оперативная память замедляется на 15-20%. Поэтому эта функция по умолчанию не включена. Как видите, даже на моем примере, платные решения, используемые экспертами, не помогают.

Поэтому мы будем проводить дальнейшие тесты на TrueCrypt, так как ключ TrueCrypt находится. Теперь давайте попробуем с BitLocker. Как видим, супер дорогой и классный софт, не хочу сильно критиковать, так как других решений нет, но при попытке указать путь к зашифрованному диску BitLocker, даже если он сейчас разблокирован, софт крашится. То есть ключ найден в оперативной памяти, но софт падает.

Я пробовал создавать образ этого диска, чтобы не использовать само устройство, а именно образ. Но даже при попытке загрузить этот образ происходит сбой. Это не работает. Сейчас продемонстрирую. На самом деле, даже криминалистический профессиональный софт работает плохо. Даже самый обычный эксперт столкнется с такими же проблемами, как и я. Он элементарно не сможет примонтировать диск. Не буду показывать этот процесс детально, но суть в том, что софт падает.

Мы можем загрузить как диск, можем указать контейнер. Сейчас создаю образ и покажу вам. FTK Imager - замечательный бесплатный софт для создания образов дисков, дампов оперативной памяти и монтирования этих образов.
Посмотреть вложение 88940
Он поддерживает форматы E01 (полная побитовая копия с сжатием) и DD/RAW (побитовая копия без сжатия). Я делаю в формате DD/RAW, чтобы софт лучше его воспринимал.

Создаём образ. После завершения, видим, что софт всё равно падает. Единственное, что можно расшифровать с помощью этого софта из коробки - это TrueCrypt. Теперь включим аппаратное шифрование на жестком диске и проверим, насколько оно сможет защитить оперативную память от таких атак.

VeraCrypt предлагает программное шифрование ключей памяти. Включаем галочку, и ключи будут шифроваться программно. На сайте подробно описана инструкция. Даже без этой галочки специальный софт не может извлечь ключ, поэтому вручную я тем более не могу это сделать. Мы будем тестировать только аппаратное шифрование на примере TrueCrypt.

Итак, с TrueCrypt софт хорошо справляется и извлекает ключи. Включаем шифрование оперативной памяти в процессоре и проверяем, насколько это защитит оперативную память от таких атак.

Шифрование оперативной памяти по умолчанию должно быть отключено, и не каждый процессор его поддерживает. У меня оно включается в BIOS. Для этого необходимо зайти в настройки BIOS, затем в раздел DDR Security, и включить соответствующие функции, которые отвечают за шифрование оперативной памяти и Scrambling. Это усложняет работу с дампами оперативной памяти. Давайте проверим, как это работает на самом деле.

Посмотреть вложение 88939


Я включил аппаратное шифрование оперативной памяти. Теперь проведем дополнительные тесты, чтобы понять, можно ли найти в дампе оперативной памяти текстовые данные. Для этого смонтируем контейнер и загрузим буфера текстом. Посмотрим, получится ли найти эти значения в дампе оперативной памяти.

Смонтировал контейнер и запускаю дамп с использованием профессиональных программ для дампа оперативной памяти. Запустить такие программы я не могу, потому что драйвер VeraCrypt удаляет оперативную память, очищая ее, и система уходит в синий экран. После завершения дампа будем искать ключи TrueCrypt.

Дамп успешно завершён. Теперь запускаем поиск ключей TrueCrypt. Анализ идет гораздо дольше, чем в нешифрованном дампе ОЗУ. Возможно, это из-за аппаратного шифрования. Пока идет анализ, попробуем найти текстовые данные в дампе.

Теперь запускаем поиск данных в дампе оперативной памяти, чтобы определить, можно ли найти текстовые значения и ключи в шифрованной памяти. Результаты покажут, насколько эффективным является аппаратное шифрование в защите данных.

Для анализа будем использовать FTK Imager. Выберем Image файл и укажем путь к нашему дампу. Нажимаем "Finish", и вот он открылся. Здесь можем выполнить поиск. Давайте начнем поиск по начальному тексту и нажимаем "Find". Как видим, результат найден. Несмотря на то, что у нас шифрованная оперативная память аппаратным способом, буфер обмена все-таки обнаружился.

Посмотреть вложение 88938
Попробуем найти пароль, которым открывали контейнер. Поиск тоже успешен, видим "123". Возможно, это совпадение, так как пароль слишком короткий. Давайте попробуем найти более длинный текст. Поиск на русском языке не выполняется корректно, поэтому добавим новый текст в буфер обмена для теста.

Вставляем следующие тексты в буфер обмена по очереди:

- тест 1

- тест 2

- тест 3

Эти тексты должны храниться в оперативной памяти. Снимем дамп и попробуем найти эти тексты вручную. Создаем новый образ оперативной памяти, добавляем его в FTK Imager и ищем информацию по ключевым словам.

Пробуем искать "тест 1". Как видите, текст найден. Затем ищем "тест 2" и "тест 3". Все тексты найдены, хотя они немного перемешаны.

Посмотреть вложение 88937


Несмотря на включенное аппаратное шифрование, тексты из буфера обмена успешно находятся в дампе оперативной памяти. Это указывает на то, что аппаратное шифрование не полностью защищает информацию в оперативной памяти от извлечения. Информация перемешана, но всё же доступна для анализа.

В целом, аппаратное шифрование оперативной памяти не показало высокой эффективности. Несмотря на его использование, в оперативной памяти все равно можно найти информацию, которая там была. Дождёмся окончания поиска ключей и посмотрим, удастся ли найти ключ TrueCrypt при включенном аппаратном шифровании.

Итак, друзья, как видим, процесс поиска ключей занял гораздо больше времени по сравнению с обычным поиском в нешифрованной памяти. Но всё равно удалось найти мастер-ключ. Давайте проверим: мы размонтировали контейнер TrueCrypt, сохраним найденный ключ и попробуем примонтировать контейнер снова, используя сохранённый ключ.

Посмотреть вложение 88936

Контейнер успешно примонтировался с помощью сохранённого ключа. Это вызывает вопросы о смысле аппаратного шифрования, если ключ всё равно можно найти в оперативной памяти. Производительность системы при этом падает, хотя точные тесты производительности не проводились, это заметно по ощущениям.

Вывод: аппаратное шифрование в том виде, в котором хотелось бы его видеть, не работает должным образом. У меня новый процессор на сокете AM5 и материнская плата с поддержкой двух методов аппаратного шифрования, но несмотря на это, в дампе оперативной памяти всё равно можно найти буфер обмена и ключи TrueCrypt.

Что касается VeraCrypt, это замечательный продукт. Даже без включения программного шифрования ключей в оперативной памяти, специализированный софт не может извлечь этот ключ, потому что не способен создать дамп оперативной памяти. VeraCrypt защищает информацию с помощью драйвера, который очищает память при попытке доступа к ключам. Также есть функция программного шифрования оперативной памяти, которая увеличивает безопасность, несмотря на некоторое замедление производительности.

Кроме того, VeraCrypt имеет настройку очистки оперативной памяти при подключении нового устройства. Если вставляется неизвестное устройство, память очищается, и система падает в синий экран. В итоге, на данный момент нет готовых продуктов, способных получить мастер-ключ VeraCrypt из оперативной памяти.

Я не являюсь профессиональным криминалистом, возможно, эксперты с большим опытом имеют свои собственные решения для извлечения ключей, но я показал то, что умею делать сам, используя профессиональные инструменты, доступные мне.

Истончик: https://telegra.ph/Ataki-na-VeraCrypt-shifrovanie-OZU-Kompyuternaya-kriminalistika-forenzika-07-08

и как сделать так, чтобы такое избежать ?

 

[Veil]

Давным давно я писал про верукрипт на ачате. Так что то, написано выше, это просто то о чем я и предупреждал в своей статье. Грубо говоря техника безопасности.

Спойлер: Жмак

А теперь рассмотрим самое интересно это "подводные скалы и рифы" при работе с VeraCrypt.

А их не мало,поэтому что бы перейти к настройке необходимо их знать как отче наш.
Правильно отметили наши форумчане:
1) Ключи VeraCrypt хранятся в открытом виде в памяти и при физическом допуске к компу и при наличии соответствующей тулзы,пароль можно выдернуть.
Цитата из описания:
VeraCrypt не может предотвратить кэшированных паролей, ключей шифрования, а также содержимое конфиденциальных файлов , открытых в ОЗУ могут быть не сохранены в незашифрованном виде в файлы дампа памяти. Обратите внимание , что при открытии файла , хранящегося на томе VeraCrypt, например, в текстовом редакторе, то содержимое файла хранится в незашифрованном виде в оперативной памяти (и она может оставаться в незашифрованном виде в памяти до тех пор , пока компьютер не будет выключен).

2) Hybrid Boot and Shutdown (гибернация ядра при выключении). Файл гибернации.
По умолчанию в Windows 8-10 используется функция Hybrid Boot and Shutdown (гибернация ядра при выключении). Ее влияние на VeraCrypt:
- тома VeraCrypt, не размонтированные перед завершением работы ПК, останутся смонтированными после его включения;
- если между завершением работы ОС и ее повторной загрузкой внести изменения на такие тома (загрузившись в другую ОС) — их файловая система будет повреждена;
- в частности, если завершить работу ОС со смонтированными томами и сделать ее бэкап, то после восстановления ОС из бэкапа смонтированные тома будут повреждены;
- если ОС зашифрована и включено монтирование системноизбранных томов при ее загрузке, то после завершения работы (с размонтированием всех томов) и последующего включения ПК эти тома не будут смонтированы.
Решение: чтобы отказаться от гибернации ядра при завершении работы, следует отключить опцию Быстрого запуска (Fast startup) в разделе Панель управления > Электропитание > Действие кнопок питания
http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=140&limit=1&m=1#1

3)Файл подкачки.
Все эти факты на касаются тех,кто полностью шифрует системный диск. Почему? Тут я думаю никому ничего не надо обьяснять,так как все шифруется.
И для тех кто шифрует папку или не системный диск "лечится" отключением этих функций в настройках винды.
Казалось,что все нормально шифруй всю систему и дело в шляпе,ан нет. И тут есть "подводные камни".
Яркий пример обновление винды! Когда после отключения идет настройка обновленных файлов.

4) Дефрагментация.Не дефрагментировать файловые системы, в которой хранятся объемы VeraCrypt
5) Вы не должны хранить файлы-контейнеры VeraCrypt в журнальной файловой системы для предотвращения возможных проблем безопасности , связанных с журнальной файловой системы.
Для этого:
Используйте раздел организованный VeraCrypt
Храните контейнер в файловой системе, не журнальной (например, FAT32).

6) Цитата:
- Есть поддержка UEFI BIOS?
Ответ координатора проекта :
-GPT и UEFI пока не поддерживаются.VeraCrypt выполняет тесты до начала шифрования системы, с тем, чтобы избежать нарушения системы. Так что, если UEFI включен, VeraCrypt будет просто отказаться от шифрования системы и ничего не произойдет.
А вот ответ с форума,где это обсуждалось.
Если вы не знаете, что такое SecureBoot и зачем оно вам нужно — просто отключите эту функцию в UEFI BIOS (см. ниже)

Перед шифрованием системного раздела (или сразу после него) необходимо зайти в настройки UEFI BIOS (обычно нажатием Del или F2 при запуске компьютера) и отключить SecureBoot. Эта настройка, чаще всего, находится в разделе с названием Boot (впрочем, это зависит от производителя материнской платы). У SecureBoot, обычно, есть всего два состояния: Enabled/Windows UEFI Mode (точное название, опять же, зависит от производителя) и Disabled. Выставляем её в состояние Disabled, сохраняем настройки (обычно, F10) и перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot отключён.

Снова перезагружаемся, заходим в настройки SecureBoot и ищем пункт, переводящий систему в Setup/Custom Mode. На материнских платах ASUS, например, для этого нужно зайти в настройки ключей SecureBoot (Key Management), выбрать управление PK (PK Management), удалить ключ PK (Delete key), после чего система объявит, что теперь она находится в Setup Mode. Сохраняем настройки, перезагружаемся, заходим в Windows.

Скачиваем исходные коды VeraCrypt и распаковываем.
Дальше я исхожу из того, что у нас теперь есть структура папок C:\VeraCrypt-master\src\Boot\EFI\

Запускаем командную строку с правами администратора, выполняем команды:
cd "C:\VeraCrypt-master\src\Boot\EFI"
PowerShell.exe -ExecutionPolicy Bypass -File.\sb_set_siglists.ps1

Снова перезагружаемся, заходим в настройки UEFI BIOS -> настройки SecureBoot и включаем SecureBoot (там же, где вы её отключали в самом начале). Сохраняем настройки, перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot настроен.

Некоторые программы после этого могут лишаться способности использовать свои драйверы. На данный момент известно об одной такой программе - CoreTemp. Это баг программы, а не VeraCrypt.
Вот ссылка на источник http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=0&limit=1&m=1#1
7) хэш-функция Streebog плохо работает с алгоритмом шифрования "Кузнечик"

И вот когда мы уже ознакомились с проблемами ,то можно зайти в настройки поставить галочки куда нужно.Меню не очень сложное и понятное.
Отобразить всё в статье практически невозможно,так как требует громадного обьема. Буду рад если вы допишете еще и те недостатки,которых не выявлено в статье..

Основные материалы
https://veracrypt.codeplex.com/documentation
http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=0
https://ru.wikipedia.org/wiki/VeraCrypt
https://habrahabr.ru/company/eset/blog/312990/
https://xakep.ru/2014/10/14/veracrypt/
https://github.com/veracrypt/VeraCrypt
http://lifehacker.com/windows-encryption-showdown-veracrypt-vs-bitlocker-1777855025
https://securityinabox.org/en/guide/veracrypt/windows/

 

[MoonfrostTyrant]

ссылку отправишь?

 

[jaskolka]

и как сделать так, чтобы такое избежать ?

Много мыслей, но о многом не хочется говорить)), это системный вопрос, нужно как техническую безопасность создать, так и план иметь план на случай успешного входа в помещение с расшифрованной техникой, и не хочу много писать про "убедительные просьбы назвать пароль", нужно тоже об этом думать, как обезопасить данные от самого себя при самом плохом сценарии.

К примеру хорошая идея продумать систему экстренного уничтожения данных, в случае самых плохих прогнозов, когда ты лежишь мордой в пол и не можешь ничего сделать, то к примеру в Украине тебе в любом случае дали бы позвонить адвокату, в таком случае адвокат нажмет эту "кнопку" удаленно. Но опять же, не в каждой стране, не в каждом случае тебе могут дать такую возможность - позвонить адвокату.

Ну либо максимально безопасный RDP, пароль на котором тоже кто-то независимо от тебя изменит при каких-то обстоятельствах.

Это не конкретная рекомендация, здесь на форуме я много отличных идей слышал, например задавать такой пароль, который невозможно запомнить, соответственно с расчетом чтоб при "убедительныъ просьбаъ назвать пароль", его ни при каких условиях не сказать, например какой-то длинный текст перед глазами с какими-то перестановками букв, но при этом чтоб он не привлек внимания и его не забрали в ходе обыска, то к примеру после обыска какой-то член семьи уничтожит этот кусок бумаги

 

[Veil]

задавать такой пароль, который невозможно запомнить, соответственно с расчетом чтоб при "убедительныъ просьбаъ назвать пароль", его ни при каких условиях не сказать,

По моему ты можешь использовать ключ-пароль в виде файла фото или видео.

 

[jaskolka]

По моему ты можешь использовать ключ-пароль в виде файла фото или видео.

конечно это хорошо если есть ключ-файл, как и использования PIM, это все спасет от брутфорс атак на контейнер, сделает их практически невозможным, но как это спасет от самого себя? Я надеюсь ты понимаешь о чем я говорю.

 

[bio]

Но ситуация в том, что инфы хватило для визита, допустим, данные пошифрованы, озу вайпнуто а пароль забыт, это всё ещё плохая ситуация потому что есть логи нетворка провайдерские, есть логи роутера например где лежит мак адрес\локальный ип того девайса и куча коннектов, есть логи биоса с включениями девайса и его аптаймами, есть статистика контроллера диска которая показывает что было чтение и запись в этот месяц например в больших количествах.

что можно противопоставить этому? регулярная смена железа?
тут вспоминается сообщение Арэса про судебное разбирательство и косвенные доказательства.