«Тези компютри, които бяха иззети от това лице, са криптирани.
Криптирани с тежък софтуер.
Твърди се, че той може да бъде разкриптиран в рамките на десетилетие и то при използване на съвременни суперкомпютри.
Благодарение на работата на български специалисти и служители на съответните служби единият служебен компютър беше отворен в рамките на 10 дена...»
Компютрите бяха конфискувани 6 дена преди момента, в който ги дешифрираха.
Трябвали са им 10 дена за да ги дешифрират.
Това значи ли, че са почнали да ги дешифрират преди да са ги конфискували? Или имат машина на времето?
Освен това кое ви се струва по-вероятно - да е разбит VeraCrypt контейнер на специалист по компютърна сигурност или да са записали каквото искат да намерят?
Сметнали ли са контролни суми на дяловете/дисковете, които са иззели? А публикували ли са веднага тези контролни суми за да се намалят съмненията за манипулация? (Дори и да са снели контролни суми и да са ги публикували това не изключва хипотезата, че са имали подготвени предварително образи на дискове/дялове с подпъхнато съдържание.)
Не е невъзможно специалист по компютърна сигурност да го домързи да сложи дълга парола. Не е невъзможно да забрави да коригира настройките за разтягане на ключа. Не е невъзможно да не е ползвал външна програма за разтягане на ключа (тези по подразбиране са слаби). Не е невъзможно случайно да са налучкали правилната парола. Също както не е невъзможно да спечелят от тотото без да са манипулирали топките и машината.
Обаче цялата тази история мирише. Да не би да са ползвали в ареста онзи продълговатия и горещ криптоанализатор? И да им е трябвало известно време да "подпъхнат" каквото е трябвало да намерят?
Възможно е наистина да са намерили файлове, доказващи пентестове на компании. Но нали това ѝ е работата на фирмата, в която работи Кристиян?
Дали тестваните фирми са имали договор за пентестване не го казват от прокуратурата. Това не значи, че такъв договор е нямало. Също така някои фирми позволяват на всеки, който желае да тества сигурността им. Тази концепция се нарича bug bounty program - плащат възнаграждение на всеки, който намери проблеми със системите им (особено проблеми със сигурността). Така че в някои случаи не се изисква и договор за да се осъществи пентестване.
#НАП #minfinleaks #napleaks
Имайте предвид, че настройките по подразбиране за разтягане на ключа на популярните програми за шифриране (включително и GnuPG!) са слаби. При някои (пак давам за пример GnuPG) максимално тежката настройка за разтягане на ключове е неадекватна (прочетете повече в блога ми и в страницата към slowkdf на github).
При GnuPG по подразбиране паролата се прекарва през хеш фунцкията само 65536 пъти. И при ползване на параметъра S2K по време на създаване на ключа той се игнорира. Важи само при шифриране на файл, но тогава максималният брой итерации е 65 милиона, което е изключително слабо.
Според мен да отнема само секунда (или още по-зле - малки части от секундата) един опит за отгатване на парола е твърде опасно.
Валентин Стойков, Фейсбук
No comments:
Post a Comment