Paweł Goleń, blog

Postanowiłem jednak dopisać drobne uzupełnienie odnośnie poprzedniego wpisu dotyczącego łamania PassWindow.

Temat PassWindow nie daje mi spokoju. Przedstawię tu ogólną koncepcję jak do tematu się można zabrać. Nie jest to jeszcze funkcjonalny łamacz, ale jako PoC wystarczy.

Wczoraj Tomasz Kasprzak dał znać o systemie uwierzytelniania PassWindow. Muszę przyznać, że temat nieco mnie zaintrygował, w szczególności to, czy metoda jest rzeczywiście tak bezpieczna, jak twierdzi producent/wynalazca. Oczywiście nie byłbym sobą, gdybym w takim przypadku nie zastanawiał się nad tym, jak taką metodę uwierzytelniania zaatakować.

Pliki zawierające dane zaszyfrowane przy pomocy TrueCrypt (czyli właściwie kontener/wolumen) są, co do zasady, nie do odróżnienia od losowych danych. Informacje typu TrueCrypt is now Detectable są nie do końca ścisłe: TrueCrypt Volumes Still Undetectable. Sytuacji tej również nie zmieniają w istotny sposób narzędzia TCHunt czy EDD. W pewnym stopniu losowość kontenerów TrueCrypt może być ich wyróżnikiem, bo czym w zasadzie może być plik wielkości 4 GiB, który zawiera całkowicie losowe śmieci? Fakt, może i nie można udowodnić wprost, że jest to kontener TC , ale czasami wystarczy samo podejrzenie. “Nierozpoznawalność” wolumenu TC jest problemem gdy system plików, na którym kontener jest zapisany, ulegnie uszkodzeniu w taki sposób, że informacja o plikach na dysku zostanie utracona. Co w takim przypadku?

Korzystając z ładnej pogody wybrałem się na rower. Bez jakiegoś szczególnego planu. Dany był czas (mniej więcej), a gdzie się w końcu znajdę, zależało tylko od tego, gdzie mi się będzie chciało skręcić, albo gdzie zabłądzę :)

Jak wiecie, używam TrueCrypt po to, by chronić swoje dane, a konkretnie po to, by zapewnić im poufność , a więc jeden z elementów triady CIA. A co z integralnością oraz dostępnością? Szczerze mówiąc ciekawi mnie przede wszystkim kwestia dostępności danych, a konkretnie czy i jak uda się te dane ewentualnie odzyskać. Na początek jednak ogólne spojrzenie na TrueCrypt oraz integralność i dostępność danych.

Pokazywałem już użycie narzędzia NetGrok do network forensic. Postanowiłem zobaczyć jak zostanie zaprezentowany ruch sieciowy zarejestrowany podczas infekcji systemu przez malware.