Attacks on VeraCrypt, RAM Encryption. Computer Forensics.

Главное на хакера-БДСМщика не попасть, а то вместо "ААААА ПАМАГИТИ ВОТ ВАМ МОЙ ПАРОЛЬ" он будет кричать "О ДА ТОВАРИЩ МАЙОР НАКАЖИ МЕНЯ СИЛЬНЕЕ"

криптоанализатор это называется

Да, я так и хотел проверить, эту функцию, но как видишь даже и без нее спец. софт не может найти в дампе ключ. Я хотел найти ключ в нешифрованной ОЗУ, а потом включить это шифрование и проверить с этой галочкой, но софт не нашел даже без нее.

Как я понял, оно не может шифровать диск с GPT разметкой

Почему нельзя, я шифровал m2 верой, все работает

@@TorZireael1 проверь, скорее всего у тебя разметка диска mbr, поэтому получилось. Я тоже, как ни старался, целиком диск не шифрует с GPT разметкой, этот пункт в вере просто неактивен

@@Booroondook1 Ты скорее всего что-то не так делаешь, я много системных накопителей шифровал верой, и много среди них было M2 SSD nvme, и все рабатало. Не знаю в чем конкретно у тебя проблема из-за которой ты не можешь включить шифрование, но это проблема не у всех

@@TorZireael1 там по сути трудно что-то не так сделать, даже и не знаю куда копать тогда (

Не вижу ничего обидного в этом слове)

@@TorZireael1 Нет, я не про это. А про то что сегодня все эти механизмы используются не для того чтобы ловить преступников, а для того чтобы ловить диссидентов и политически проактивных граждан. Меня удручает что весь наш мир катится в Паноптикум и всеобщий КНДР.

РИЛ

Это не проблема. Тоже самое что назвать проблемой необходимость заправлять машину, чтоб ездить на ней. От этого никуда не уйдешь, шифрование замедляет скорость SSD, шифрование ОЗУ - скорость ОЗУ и тд. Абсолютно любое шифрование так работает, не нравится - не шифруй.

@@TorZireael1 ну это понятно. Скорость работы это ничто по сравнению с теми проблемами которые могут возникнуть если уважаемый *тщ. майор* получит доступ к чувствительным файлам.

@@mihay8899 а если не получит то подкинет запрещённых mp3'шек)

да тоже интересно было бы посмотреть

Смотри, файл ключ используется для генерации мастер-ключа, который храниться в ОЗУ после расшифровки. Т.е. имея дамп ОЗУ, ты имеешь этот ключ и можешь имея его расшифровать контейнер уже не имея ни пароля, ни файл ключа, но на практике как видно даже имея дамп ОЗУ не получается найти в нем ключ. Касательно файл-ключа, его не сложно найти, даже если он будет на флешке, которая спрятана и тд.

а чего его ломать его уже поломали) на варезе активатор лежит)

"и веракрипт - тоже примонтирован.. зачем всё это?"
ну ты же не будешь сидеть всё время у кого-то дома перед компом и молиться что бы свет не пропал?

нет, не смотрел

@@TorZireael1 в целом довольно интересное, если время будет, гляньте.
Но там без технических подробностей.

Именно в киберполиции при моей практике никто пытки не применял

@@TorZireael1 ruclips.net/video/pSyHNd7D-kU/видео.htmlsi=Fa9Bsz8dOv5mogSm&t=1200 . Фраза "В кавычках" - я как раз подумал что ты хотел сказать о возможных пытках.
ruclips.net/video/pSyHNd7D-kU/видео.htmlsi=B2gSTPW-tWVE4Kdn&t=1281 и здесь тоже намекаешь на "Мероприятия" которые могут быть применены в отношении преступника.
Все выше я понял как пытки :)

​@@olegkyzymenko2993 Смотри, конкретно на моей практике не применялись пытки, это 100% правда, но это не значит что их не будут применять другие, это тоже нужно правильно понимать.

@@TorZireael1 просто уводили в др. комнату и через некоторое время клиент чудесным образом все рассказывал, а так нее, ну какие пытки в 21 веке)

Против терморектального метода и насаживания на бутылку у VeraCrypt есть режим шифрования криптоконтейнеров с двойным дном, вводишь один пароль и открывается что-то не очень наказуемое, серого оттенка, а при вводе второго открывается вся чернуха. Т-щу майору при пытках сообщаете первый пароль и все, он увидит что там нет ничего наказуемого уголовно и усё... выламывание пальцев дверью, выдергивание ногтей, пытки паяльником или насаживание на бутылку прекратятся

Сам так делал? или тебя так пытали? ))

@@TorZireael1 Ты хочешь сказать не пытают и всё происходить согласно кодексам?)) P.S.Задумайся почему люди себя оговаривали и попадали под расстрел,а потом спустя время находили настоящих убийц. (Витебское дело и масса других,это и в СССР было и сейчас и по-сути во многих странах..)

к такому выводу тоже сегодня пришел, что как раз от прямого снятия ОЗУ с системы это не спасет, спасет как раз от двух других описанных методах

практически любой криминалистический софт способен их обнаружить, я про сами файлы, их по сути бесполезно прятать

@@TorZireael1 интересно, как он их может обнаружить, если никаких сигнатур. Даже метаданных о последних изменениях нет, только дата создания самого файла-контейнера. Если маскировать файл под какой-то тип известный - может быть ещё можно распознать. Что это, скажем, совсем не .AVI. Но если како-нибудь произвольный файл, который может быть просто похож на служебный файл какой-то программы (типа свопа какого-то)... что, криминалист будет код каждой программы изучать, что там и как пишется в файлы? Вы очень теоретически рассуждаете. Для фильмов художественных сюжет, конечно, сгодится, но если пользователь предусмотрел сценарий поиска файла и принял меры необходимые, то вероятность обнаружения очень низка. К тому же, в VeraCrypt даже предусмотрены скрытые разделы в контейнерах, что уж точно совсем никак не обнаружить в мешанине данных. Неужели этого не знаете? Вы прямо начинаете сами себя разоблачать

Откройте в HEX .avi фильм и откройте криптоконтейнер веракрипт тем же HEX и сравните то, что видите. Криптоконтейнеры имеют свою сигнатуру, очень отличную от других файлов, и по этой сигнатуре и работает специальный парсеры, EnCase, Magnet Axiom, Oxygen и множество других производителей форензик софта с этим отлично справляется. Или вы реально думали что это все вручную делается экспертами, каждый файл открывается и проверяется?
И я не заявлял что я эксперт криминалист в области форензике, и достаточно четко об этом в конце видео сказал.
Не понимаю почему вы вообще лезете спорить в теме, в которой не понимаете базовых вещей, если недостаточно разбираетесь в теме?

​@@TorZireael1 [рукалицо] о чём я вам и толкую, что поиск и сравнение с "другими известными" типами файлов даст только предположения, что "странные" файлы могут быть контейнерами. Никаких особенных для Veracrypt сигнатур нет. Похоже, это вы вопрос не до конца знаете, полагаясь только на свои "базовые знания". Скорее наоборот - индикатором может быть наличие большого числа случайных данных, энтропия, отсутствие заголовка и вообще структур.
ты можешь предположить только, что это контейнер, но чей это контейнер - сиди гадай. И таких претендентов на анализ может быть не один десяток. Чуете, как с ростом числа вариантов растет сложность? Задача неподъемная. Это первый момент.
ваше предположение, что я якобы думаю про "ручную работу" экспертов - это только ваше предположение, говорящее само за себя. Слабая тактика защиты позиций, когда помакали носом в элементарные упущения.
документацию по веракрипту хотя бы почитайте, там для таких "не экспертов", клепающих свои "экспертные" ролики, довольно доступно описано решение этой уязвимости с вычислением контейнеров. Есть такой термин в профессиональной среде безопасников "Plausible deniability". В документации к веракрипт тоже найдете соответствующий раздел и ознакомитесь.
Суть сей басни такова, что такие носители "базовых знаний", не обладая реальным опытом и знаниями специальными, разносят по Сети байки о всесильности и "высоком потенциале атакующего" в лице госструктур. Если бы это было так, то им бы не приходилось прибегать к насильственным методам и манипуляциям в делах определенных.
Наличие скрытой части контейнера вы уж точно никак и никогда не докажете, даже смонтировав и расшифровав сам контейнер. Даже тупой записью данных на смонтированный диск с целью достичь отказа записи при заполнении основного раздела - не добьетесь.
Так что, иногда лучше просто документации продуктов читать, а не нех-редакторы советовать для анализа (детский сад)). Ещё у нас раньше говорили: "иногда лучше жевать, чем говорить". А если кто-то тебе бесплатно доп информацию даёт по теме интересующей, то берешь и прибавляешь свой багаж... ну, или выделываешься со своими "базовыми вещами".
Я, например, на канал подписался. Есть много годного. Я не выпендриваюсь, что меня для аудита безопасности нанимают организации, работающие в условиях повышенных рисков, Просто, как уже сказал много раз выше, постоянно апдейты знаний провожу.
успехов и с уважением!

Как юрист вы должны понимать, что есть де-юре, и де-факто. и как юристу я не буду приводить 100-тни примеров как де-юре и де-факто, потому что и сами видите происходящее и можете сопоставить. Касательно теоретика, я как раз практик, я был оперативным сотрудником киберполиции, и описанные в видео действия в рамках осмотра техники в ходе обыска выполнял.

замкИ и законы для честных людей... а такие вещи делают против безчестного отродья

@@TpoJioJio47 это да, в некоторых наших СНГшных странах (не будем показывать пальцем, это не одна только страна) закон как дышло - куда повернул, так и вышло.

Не нужно сравнивать опыт правозащитный и опыт полицейских, одни пытаются доказать вину, вторые невиновность, разные цели, задачи и методы. Хотя конечно УПК и УК один. Да нельзя по УПК и флешку вставлять в ходе осмотра / обыска, но если не сделаешь то можно технику и вообще не забирать, смысл если она зашифрована или переписку будут удалены? Поэтому ищется золотая середина, когда все действия подробно протоколируются, флешка вкладывается к протоколу, + понятые, + эксперта можно взять на мероприятия и тд.

​@@TorZireael1 на деле, никаких экспертов, протокол следователь ведет, как ему вздумается, адвоката держат за дверью. Флешки и другие носители - в мешочек складывают и всё. Хотя, по УПК можно ходатайствовать о копировании данных с изымаемых носителей. В Украине, видимо, по-другому