Gå til innhold

Dette er supermaskinen norske statshackere bruker til å knuse passord


Anbefalte innlegg

 

 

 

 

Å denne kan heller ikke knekke Linux maskiner sin login.

Det er helt feil. I fila /etc/shadow ligger hashede passord i det fleste linux-distroer. hver linje er delt opp i flere deler med et $ tegn. Den første delen indikerer hva slags hashalgoritme som er benyttet.

 

1 = md5

2a = Blowfish

2y = Blowfish, 8 bit characters

5 = sha256

6 = sha512

 

Man kan lett benytte f.eks.

http://hashcat.net/oclhashcat/

For å kjøre brute force passormatching ved hjelp av GPU.

 

Så med mindre du har kryptert hele disken er det rimelig enkelt å hente ut passordhash.

Det er vel ikke enkelt så lenge passordet er lang og komplisert nok :hmm:? 12 tegn, store/små/tall. Hvor lang tid ved hjelp av GPU?

Det kommer an på algoritmen.

12 tegn ntlm. ca 10 sec :)

Lenke til kommentar
Videoannonse
Annonse

 

 

 

 

 

 

Hvordan kan de rekonstruere hashen som ligger i en database de ikke har tilgang til?

 

Hvis man skal bruke skjermkort for å beregne passord ut fra hash trenger man det hasha passordet først. Det er liten vits med skjermkortets regnekraft om man bare skal forsøke å logge på tilfeldige kontoer hos en bedrift.

 

Så denne maskinen er helt avhengig av at man først har hentet ut hashet passord.

 

Om man har tilgang til en windows maskin kan man hente ut lokale brukere rimelig enkelt. Domenebrukere er litt mer komplisert men fult mulig. Dette kan også automatiseres av f.eks. skadevare levert via pishing, USB tilkobling eller ren fysisk tilgang til maskin.

 

Eventuelt så kan en slik maskin benyttes på hashlister som er hentet ut fra kompromitterte servere (f.eks. på web).

Interessant. Jeg har alltid trodd "brute force" ville stoppes av begrensninger på antall påloggingsforsøk. Hvordan sikrer man seg mot at hashet passord for domenebrukere lekker ut?

Det stemmer.

For lokalt cache av windows domene credentials så må du

kryptere disk. (Husk key memory randomization, og purge nøkkelen ved sleep\hybernation)

Du må også skaffe deg en AV med høy detection rate og helst en klient IPS.

 

Dette vil jo bare dekke bruker maskinene, men du bør også se på andre områder hvor man kan være sårbare.

Lenke til kommentar

 

En ting jeg ikke har fått med meg: de prøver vel ikke å logge seg inn 2 milliarder ganger på kontoen min? Et slikt forsøk vil vel bli stoppet fort? Gjerne etter det tredje forsøket. Selve knekkingen av passordet må vel skje i en sandkasse, og hva er da kriteriet for at de har funnet rett passord?

 

Nemlig!

Men det vet ikke politikerene som tar de økonomiske avgjørelsene. De lager seg et program som med bruteforce knekker et passord og demonstrerer hvor dårlig dette funker med en ordinær PC for politikerene som skal finansiere dette og sier: "Dette er for dårlig! Vi må ha penger til ny maskinvare" Politikere er som vanlig redde for å være den som IKKE ga penger til rikets sikkerhet og vips så får de kroner til å bygge en råskinns spillemaskin de kan kose seg med ;-)

Du avslørte nettopp hvordan de fleste etater går frem for å sikre seg ytelser hehe :-D

  • Liker 1
Lenke til kommentar

Som tidligere nevnt. Det fiffige med dagens valideringsrutiner (fx 3 innloggingsforsøk feiler -> Lock-out.).

Denna type box som er avbilda hadde sikkert samme prosjekttid som Gardermoen flyplass. Ca. 10 år, før han faktisk ble kjøpt inn. -Det stemmer i mine ører ifht. Hva den kan/kunne brukes til.

Effektiv hvis du har et system som ikke bruker noen form for validering, menneh...

Tror de fleste sysadmins i dag er rimelig hurtig ute med å pirke i skuldra til sjefen og si; "Vi må ha ny server software her. Windows XP duger ikke lenger."

 

Hvis sjefen så sier nei betyr; 1. De har ingenting av verdi eller 2. Sjefen er fløytende likeglad med å skape verdier. -om det er sistnevnte mener jeg det burde jamføres med reinspikka darwinisme. At Staten skal sitte å leke dørvakt er seriøst å kaste mange penger ut vinduet.

 

Hacking/cracking i dag er noe helt anna enn scriptkiddes fra 90-tallet.

Det her er ikke mye anna enn en scriptkiddie-box.

 

Før i tida var det jo ikke engang passord på rutere, og så ble det default brukernavn og passord. SÅ ble det default hvor SSID på ruteren var produsentnavnet. Først de siste åra er jo ruternavn og passord blitt volapyk. -Nå må man jo 'arbeide' bare for å finne ut hvilken ruter det er man møter.

 

Eneste som behøver være 'redde' for hacking i dag er de helt store firmaer. Eneste reelle trussel mot privatpersoner er idioter som spammer deg med ADOS, DDOS og DoS. -Men som regel vil ISP'en din være frampå om det her skjer. -Så det kan godt være du ikke oppdager det, anna enn at du må reboote rutern din, fordi du plutselig ikke kommer på internett...

 

-Men det burde ikke forveksles med hacking/cracking. Det er bare idiotenes populære måte å irritere.

-De bryter ikke inn og kopierer/stjeler/ødelegger noe.

 

Hold maskina oppdatert med patches, fixes etc. Så er maskina de rimelig trygg. Unngå å surf porno, eller klikke på tilfeldige links, bare fordi det er en link du kan klikke på. Bruk popupblocker eller noe, de er rimelig dyktige til å fjerne sånne 'fristende' popups med 'fristende 'reklame''.

 

At Staten vil bruke skattepenga på en sånn box jeg sikla etter, 17 år sida... ...vel...

Lenke til kommentar

Som tidligere nevnt. Det fiffige med dagens valideringsrutiner (fx 3 innloggingsforsøk feiler -> Lock-out.).

Denna type box som er avbilda hadde sikkert samme prosjekttid som Gardermoen flyplass. Ca. 10 år, før han faktisk ble kjøpt inn. -Det stemmer i mine ører ifht. Hva den kan/kunne brukes til.

Effektiv hvis du har et system som ikke bruker noen form for validering, menneh...

Tror de fleste sysadmins i dag er rimelig hurtig ute med å pirke i skuldra til sjefen og si; "Vi må ha ny server software her. Windows XP duger ikke lenger."Hvis sjefen så sier nei betyr; 1. De har ingenting av verdi eller 2. Sjefen er fløytende likeglad med å skape verdier. -om det er sistnevnte mener jeg det burde jamføres med reinspikka darwinisme. At Staten skal sitte å leke dørvakt er seriøst å kaste mange penger ut vinduet.

 

Hacking/cracking i dag er noe helt anna enn scriptkiddes fra 90-tallet.

Det her er ikke mye anna enn en scriptkiddie-box.

 

Jeg vet ikke helt hva du vil frem til her, men det er fortsatt fult mulig å hente ut passordhash selv fra nyeste server og desktop OS. For APT angrep er dette en bra angrepsvektor, da man kan komme seg inn i systemer uten å måtte benytte exploits.

Og, en ting til.

Hva i all verden skulle scriptkiddies benytte en slik boks til?

 

Før i tida var det jo ikke engang passord på rutere, og så ble det default brukernavn og passord. SÅ ble det default hvor SSID på ruteren var produsentnavnet. Først de siste åra er jo ruternavn og passord blitt volapyk. -Nå må man jo 'arbeide' bare for å finne ut hvilken ruter det er man møter.

 

Eneste som behøver være 'redde' for hacking i dag er de helt store firmaer. Eneste reelle trussel mot privatpersoner er idioter som spammer deg med ADOS, DDOS og DoS. -Men som regel vil ISP'en din være frampå om det her skjer. -Så det kan godt være du ikke oppdager det, anna enn at du må reboote rutern din, fordi du plutselig ikke kommer på internett...

 

-Men det burde ikke forveksles med hacking/cracking. Det er bare idiotenes populære måte å irritere.

-De bryter ikke inn og kopierer/stjeler/ødelegger noe.

Dette er jeg sterkt uenig i. I dag er en stadig viktigere del av vårt liv på internett. Bank, skatt og stort sett alt viktig går via internett. Får man tak i innloggingsdetaljer for epost, bank og statlige sider kan man gjøre mye skade. Dette er også informasjon som har verdi ved salg.
Det er også stadig nye kreative måter å tjene penger på, slik som ransomware og lignende.
Samtidig har IoT eskalert.
Eksempel: Hva gjør du når lyspæra di gir bort wifi passordet?

Hold maskina oppdatert med patches, fixes etc. Så er maskina de rimelig trygg. Unngå å surf porno, eller klikke på tilfeldige links, bare fordi det er en link du kan klikke på. Bruk popupblocker eller noe, de er rimelig dyktige til å fjerne sånne 'fristende' popups med 'fristende 'reklame''.

Dette er gode råd, og ville vært nok for en 5-10 år siden. Trusselbildet i dag har endret seg.

At Staten vil bruke skattepenga på en sånn box jeg sikla etter, 17 år sida... ...vel...

 

En slik boks for 17 år siden. Lol :) Det hadde vært noe.

Da kunne du imponert selv IBM. Deres Deep Blue klarte ca 11 GFLOPS.

I dag klarer en vanlig Core i7 mange ganger dette.

Kun en av disse GPUene klarer ca 4.000 GFLOPS (4 TFLOPS).

  • Liker 1
Lenke til kommentar
Gjest Slettet+132

7970 er greie kort til denne jobben, men litt overrasket at de ikke kjører kluster med mange slike. Å sammenkople 7 slike kort og kalle det en supermaskin er kanskje å ta litt i :)

Vi bruker tilsvarende CUDA kort til GPU render, men de der defineres en cluster på 256 GPU eller mer for en superdatamaskin.

 

Hva får deg til å tro at de viser oss hele sannheten?

Lenke til kommentar

 

Som tidligere nevnt. Det fiffige med dagens valideringsrutiner (fx 3 innloggingsforsøk feiler -> Lock-out.).

Denna type box som er avbilda hadde sikkert samme prosjekttid som Gardermoen flyplass. Ca. 10 år, før han faktisk ble kjøpt inn. -Det stemmer i mine ører ifht. Hva den kan/kunne brukes til.

Effektiv hvis du har et system som ikke bruker noen form for validering, menneh...

Tror de fleste sysadmins i dag er rimelig hurtig ute med å pirke i skuldra til sjefen og si; "Vi må ha ny server software her. Windows XP duger ikke lenger."Hvis sjefen så sier nei betyr; 1. De har ingenting av verdi eller 2. Sjefen er fløytende likeglad med å skape verdier. -om det er sistnevnte mener jeg det burde jamføres med reinspikka darwinisme. At Staten skal sitte å leke dørvakt er seriøst å kaste mange penger ut vinduet.

 

Hacking/cracking i dag er noe helt anna enn scriptkiddes fra 90-tallet.

Det her er ikke mye anna enn en scriptkiddie-box.

 

 

 

Jeg vet ikke helt hva du vil frem til her, men det er fortsatt fult mulig å hente ut passordhash selv fra nyeste server og desktop OS. For APT angrep er dette en bra angrepsvektor, da man kan komme seg inn i systemer uten å måtte benytte exploits.

Og, en ting til.

Hva i all verden skulle scriptkiddies benytte en slik boks til?

 

 

-Ja, det er definitivt én ATP angrepsvektor, hvor god derimot kan sikkert diskuteres inntil hinsides. Men å komme seg inn i systemer uten å bruke exploits. Meh... -Skeptisk. Hvis man har tilgang til NSA's datacenter i Utah, ok, så snakker vi om en større mengde kalkuleringer, som vil noe. Bruker man derimot en random 128bit, eller større krypteringsnøkkel, så tar det litt tid for dem også, med mindre de vinner i lotto, tidsmessig.

Tror likevel ikke de bruker denna maskina(ene) til å hakke systemer, den er nok heller brukt til å knekke harddisker, filer og foldere.

Angående kiddie-kommentaren min; -Det var enklere i gamle dager. Da var det i beste fall et stykk login-passord som kunne brute-forces inntil et passord fungerte. -Denne maskina ville ikke brukt flere timer på jobben.

 

 

Før i tida var det jo ikke engang passord på rutere, og så ble det default brukernavn og passord. SÅ ble det default hvor SSID på ruteren var produsentnavnet. Først de siste åra er jo ruternavn og passord blitt volapyk. -Nå må man jo 'arbeide' bare for å finne ut hvilken ruter det er man møter.

 

Eneste som behøver være 'redde' for hacking i dag er de helt store firmaer. Eneste reelle trussel mot privatpersoner er idioter som spammer deg med ADOS, DDOS og DoS. -Men som regel vil ISP'en din være frampå om det her skjer. -Så det kan godt være du ikke oppdager det, anna enn at du må reboote rutern din, fordi du plutselig ikke kommer på internett...

 

-Men det burde ikke forveksles med hacking/cracking. Det er bare idiotenes populære måte å irritere.

-De bryter ikke inn og kopierer/stjeler/ødelegger noe.

 

 

 

 

 

Dette er jeg sterkt uenig i. I dag er en stadig viktigere del av vårt liv på internett. Bank, skatt og stort sett alt viktig går via internett. Får man tak i innloggingsdetaljer for epost, bank og statlige sider kan man gjøre mye skade. Dette er også informasjon som har verdi ved salg.

Det er også stadig nye kreative måter å tjene penger på, slik som ransomware og lignende.

Samtidig har IoT eskalert.

Eksempel: Hva gjør du når lyspæra di gir bort wifi passordet?

 

 

Er enig i at det er vanskelig å sikre nettverk, fordi flere og flere ting er connected til wifi, menneh, man kan komme langt om man lar være med å koble serversystemet direkte til internet :p

Det hele er jo en rimelig hypotetisk debatt. Noen systemer er pill råtne, med direkte tilgang til root/C:.

I dag skal man gjerne gjennom en heftig NAT/firewall først. -Det kan hurtig kreve litt mer pågangsmot.

 

 

Hold maskina oppdatert med patches, fixes etc. Så er maskina de rimelig trygg. Unngå å surf porno, eller klikke på tilfeldige links, bare fordi det er en link du kan klikke på. Bruk popupblocker eller noe, de er rimelig dyktige til å fjerne sånne 'fristende' popups med 'fristende 'reklame''.

 

 

 

 

 

Dette er gode råd, og ville vært nok for en 5-10 år siden. Trusselbildet i dag har endret seg.

 

 

Ja. Trusselbildet har endra seg, men det har jaggu utstyret og systemene man må igjennom også.

Patchene og fixene de kommer med er det ingenting galt med. De tetter de gamle hulla, og man må stadig finne nye exploits for å holde trutt med utviklinga.

Jeg mener fremdeles en vanlig person, og lite firma kan holde holdet rimelig godt over vannet, om de bare gidder installere oppdateringer når de kommer.

-Noe av det første hackere gjør er å finne ut hvilken svakhet den oppdateringa tetter, for så å bruke den svakheten på de stakkarne som utsetter oppdateringa av maskinparken sin.

 

 

Husker jo, engang i tida, pre-NSA, hadde jo CIA ei heil webside med 'known issues'. Lang flott liste med navn på programvare® og OS (plural), deres svakheter, navnet på fix (om det var en) deilig markert med rødt, der hvor det ikke fantes en kjent løsning. Den var rimelig omstendelig. -Noen som husker den? :D

 

-Beklager jeg rota til formatteringa... :p

 

 

 

Endret av Sandormen
Lenke til kommentar

NSM har nok flere ting til sin rådighet, men det artikkelen viser er at i mange tilfeller er denne boksen nok.

 

Fremgangsmåten er ganske enkel: De får tak i en fil der passordene ligger kryptert. Deretter lar de denne boksen generere hashen til passord på formen XxxxxxxxZZZZ og ser om de får treff i filen. Får de et treff har de tilgang til en konto.

 

"Det er ikke så lett" - jo, det er det. Selv om det finnes mange krypteringsalgoritmer og muligheter til å sikre systemene viser det seg at i mange tilfeller er ikke disse benyttet. Skremmende mange bedrifter bruker AD og domenekontroll rett ut av boksen, det gjør at hackerne kan bruke kjente algoritmer og metoder for å knekke et passord. I løpet av en uke kan NSM gjøre ganske mange forsøk på å finne et passord - sannsynligvis har de også et program som jobber seg gjennom kjente varianter til det finner et treff, samtidig som hackerne jobber med andre verktøy.

 

Det er også verdt å huske på at selv hos store bedrifter med svært sensitive data så sitter det gjerne en selvlært fyr på drift som har minimal kunnskap om hash, 128bit kryptering og passordknekking. Han har lest et sted at passord bør være minst 8 tegn, med en kombinasjon av store og små bokstaver samt tall. At passordhashen ligger i en åpen folder på serveren har han ingen anelse om, og passordet på routeren har han droppet fordi det var så mye stress med brannmur og hjemmekontor...

Lenke til kommentar

Følte ikke jeg fikk så mye ut av denne artikkelen. Det virket som den definerte "code-breaking" av passord som det å skrive in masse tall og bokstaver til man får rett svar, som om det er en skaplås vi snakker om. Mao. gjøre uendelig mange forsøk før man får riktig svar? Det gir jo ikke mening. Selv enkle hverdagslige redskaper som mobiltelefoner og datamaskiner har sikkerhetssystemer som forhindrer dette med å finne seg fram på denne måten.

 

til info:

Mao er død (tse dung)

Lenke til kommentar

 

 

Bruker du 7z med 128bit kryptering og eller andre komprimeringsprogrammer og eller dedikert krypteringsprogramm med tilsvarende eller høyere, så kan nok ikke denne "super" knekkern gjøre noe.

 

Det stemmer ikke helt. Hvis man har mulighet for å kontrollere et passord opp mot en passordhash eller en kryptert fil (uansett krypteringsmåte), har man mulighet til å gjette seg frem til passord. Skjermkort er svært effektiv for å kalkulere passordhash el. og man kan først forsøke vanlige måter å generere passord på.

Ta f.eks. et passord på 8 tegn. Hvert tegn kan bestå av store bokstaver (32), små bokstaver (32), tall (10) samt noen av de vanligste tegnene (10).

Hvert tegn blir da 32 + 32 + 10 + 10 = 84 mulige symboler.

Et passord på 8 tegn har da: 84 * 84 * 84 * 84 * 84 * 84 * 84 = 2.478.758.911.082.500 kombinasjoner.

 

Det kan virke i meste laget, men om man først prøver vanlige måter å skrive passord på.

Feks.

Starte med stor bokstav og ende på to siffer. Slik som dette: Passor00 eller Gbkert34

Da har man i praksis: 32 * 32 * 32 * 32 * 32 * 32 * 10 * 10 = 107.374.182.400 kombinasjoner. Hvor man kan sjekke samtlige muligheter på få sekunder. Så kan man utvide med flere tall på slutten, kanskje en stor bokstav underveis etc.

 

Så kan man legge til vanlige setninger fra kjente bøker og filmer samt andre dictionary-lister over vanlige passord. "May the force be with you", "Svaret er 42". Kjøre disse med vanlige substitusjoner (0 for o, 1 for L, 5 for S, 3 for E etc) og feilstavelser.

 

Man trenger med andre ord ikke å knekke krypteringen, man trenger bare å gjette passordet. Og i de fleste tilfeller vil man treffe om man er ivrig nok.

 

 

 

Hvordan verifiseres det at man har "åpnet låsen" ?

Jeg tenker at om du har et ord som er kryptert, så vil jo en hel masse babbel-resultat fra tallknusingen VS. "svaret" se ut som like stort babbel for maskinen vel som skal tolke om man har "låst opp" ?

 

Jeg har svært lite greie på kryptering og slikt egentlig. Noe spørsmålet kanskje reflekterer.

Lenke til kommentar

 

Interessant. Jeg har alltid trodd "brute force" ville stoppes av begrensninger på antall påloggingsforsøk. Hvordan sikrer man seg mot at hashet passord for domenebrukere lekker ut?

 

Foruten det vanlige (oppdater med patcher, steng ned det som ikke benyttes, etc), kan man gjøre det vanskeligere ved å ta noen grep. F.eks.

- Ikke la brukere kjøre med lokal admin tilgang (hindre skadevare å få installere seg med rettigheter)

- krypter disk (hindre lesing av disk vet tyveri el.)

- bruk en maskin mellom brukere og viktige servere. Dvs at man må benytte remote desktop til denne maskinen før man logger seg videre inn på servere el. Helst da med en egen bruker videre mot servere.

Da vil brukerens maskin ikke cache noen viktige domenekontoer.

 

Dette er selvfølgelig ikke en komplett liste :)

 

 

 

Men, dersom man krypterer sin disk, vil man ikke samtidig da gjøre seg svært sårbar for diskkrasj?

Lenke til kommentar

Hvordan verifiseres det at man har "åpnet låsen" ?

Jeg tenker at om du har et ord som er kryptert, så vil jo en hel masse babbel-resultat fra tallknusingen VS. "svaret" se ut som like stort babbel for maskinen vel som skal tolke om man har "låst opp" ?

 

Jeg har svært lite greie på kryptering og slikt egentlig. Noe spørsmålet kanskje reflekterer.

 

Kryptert innhold skal være så nært opp til tilfeldig data som mulig. Entropi vil vise om man har å gjøre med tilfeldig data eller ikke, stort sett. Evnt så kan man se etter kjente merker. Man vet jo ofte hva man forsøker å dekryptere.

Lenke til kommentar

 

Men, dersom man krypterer sin disk, vil man ikke samtidig da gjøre seg svært sårbar for diskkrasj?

 

Det er sant, men backup er løsningen :)

I dag vil en SSD uansett være problematisk å rekonstruere etter en større feil. Det var mye enklere før med magnetisk lagring. Så krypter disk og kjør backup (også kryptert, klientside).

Lenke til kommentar

 

 

Men, dersom man krypterer sin disk, vil man ikke samtidig da gjøre seg svært sårbar for diskkrasj?

 

Det er sant, men backup er løsningen :)

I dag vil en SSD uansett være problematisk å rekonstruere etter en større feil. Det var mye enklere før med magnetisk lagring. Så krypter disk og kjør backup (også kryptert, klientside).

 

 

Men, det fordrer at man har et betydelig strengere backup-regime, enn hva som er nødvendig med platelager (om man krypterer platelageret).

 

Finnes det ingen filformater, eller striping man kan foreta på contain'eren i etterkant, som kan minske risikoen kryptering i seg selv innebærer? Fordrer selvfølgelig at man tester jobben i tillegg.

 

Backup er smart. Men, man gjør seg altså enda mer avhengig av at backup'en faktisk fungerer med valg av kryptering.

 

For å belyse dette skikkelig så må folk forstå hvorfor. Det er så enkelt at alle dataene må være 100 % friske dersom dataene krypteres - for at du skal kunne få ut så mye som en smule etterpå. For uten 100 % friske krypterte data, så har du heller ikke noen god måte å åpne de krypterte data på, jeg bare spør om jeg har misforstått noe for sikkerhetsskyld !?

 

Men, dersom data er ukrypterte, så har du altså å gjøre med data som du har full tilgang fra begynnelse til slutt på. Dersom data er av en slik art, at 90 % av dem er verdifulle, selv om du mister 10 % av dem, så har det verdi for eieren av disse, selv om det skulle være mangler i backupregime, som f.eks. korrupte backupsett.

Endret av G
Lenke til kommentar

 

Men, det fordrer at man har et betydelig strengere backup-regime, enn hva som er nødvendig med platelager (om man krypterer platelageret).

 

Finnes det ingen filformater, eller striping man kan foreta på contain'eren i etterkant, som kan minske risikoen kryptering i seg selv innebærer? Fordrer selvfølgelig at man tester jobben i tillegg.

 

Backup er smart. Men, man gjør seg altså enda mer avhengig av at backup'en faktisk fungerer med valg av kryptering.

 

For å belyse dette skikkelig så må folk forstå hvorfor. Det er så enkelt at alle dataene må være 100 % friske dersom dataene krypteres - for at du skal kunne få ut så mye som en smule etterpå. For uten 100 % friske krypterte data, så har du heller ikke noen god måte å åpne de krypterte data på, jeg bare spør om jeg har misforstått noe for sikkerhetsskyld !?

 

Men, dersom data er ukrypterte, så har du altså å gjøre med data som du har full tilgang fra begynnelse til slutt på. Dersom data er av en slik art, at 90 % av dem er verdifulle, selv om du mister 10 % av dem, så har det verdi for eieren av disse, selv om det skulle være mangler i backupregime, som f.eks. korrupte backupsett.

 

 

Jeg tror ikke det er fult så ille. En SSD i dag vil utføre kryptering på kontroller, uten at det trengs noe støtte fra OS. For de aller aller fleste vil en slik kryptering være helt transparent.

Om kontroller feiler så er data tapt, men på den andre siden så er SSD mer robust for mindre feil i lagringsmedia (den mapper effektivt om til reserveområder). Dette gjelder uavhengig om disken er kryptert eller ikke.

Lenke til kommentar

 

 

 

Jeg tror ikke det er fult så ille. En SSD i dag vil utføre kryptering på kontroller, uten at det trengs noe støtte fra OS. For de aller aller fleste vil en slik kryptering være helt transparent.

Om kontroller feiler så er data tapt, men på den andre siden så er SSD mer robust for mindre feil i lagringsmedia (den mapper effektivt om til reserveområder). Dette gjelder uavhengig om disken er kryptert eller ikke.

 

 

 

Selv om SSD er blitt mer vanlig, så er det fremdeles en blanding av SSD-brukere og platelager brukere. Ser det du skriver om SSD.

 

Jeg snakket om frivillig kryptering med ekstern programvare, altså at man må være obs og forsiktig med hensyn på det. Det går også an å få inn en tredjeparts krypteringskontroller for platelager, selv om det er få brukere som anskaffer og bruker dette frivilllig selv.

 

Krypterer man med tredjeparts programvare, og så får en skade et sted på de krypterte data, så vil programvaren sannsynligvis stoppe i dekrypteringsprosessen, dersom skadete sektorer på harddisken støtes på (platelager). Selv om du forsøker diskgjenopprettingsverktøy, så er det altså nok med en aldri så liten forskjell mellom de originale krypterte data og de gjerne smått korrupte data som ligger igjen på en skadet harddisk, for at det blir umulig for brukeren å dekryptere med programvaren.

 

Jeg har ikke inngående greie på kryptering, men må sammenlikne med f.eks. ZIP-filer, som attpåtil har CRC-kontroll. Så selv om det finnes CRC på ZIP-filene, så er det ofte mismatch på CRC som får ZIP-programmet til å hindre deg i å få åpnet ZIP-arkivet igjen. Det finnes selvfølgelig der noen slike ZIP-gjenopprettingsverktøy, men disse er absolutt ingen garanti for at du noensinne skal få tilgang til de originale dataene dine igjen.

 

Ja, jeg vet at ZIP-filer og kryptering er to vidt forskjellige ting. Men, det er visse likheter i tilgang til data tipper jeg !?

Endret av G
Lenke til kommentar

En ting er jo kryptering av disker og filer, men man vil jo helst blokke for cracking før man kommer så langt da. Mener det kan være en rimelig enkel og billig sikring av et system å bruke OSI Layer 2 kryptering (Datalink Layer)-Så får man krypteringa ned på hardwarenivå, og man slipper for å potensiellt korrumpere data, samtidig som det ikke går så hardt utover smidigheta til systemet.

 

Svakeste link i et firma er uansett de ansatte. Du vil gjerne ha lengst mulig avstand fra en brukers evinnelige/uungåelige feil-40. -Ta backups av rå data og hiv dem inn i en stor solid safe med kodelås.

 

Tillater du bruk av minnepenn på jobb? -Du ber om trøbbel.

Lenke til kommentar

En ting er jo kryptering av disker og filer, men man vil jo helst blokke for cracking før man kommer så langt da. Mener det kan være en rimelig enkel og billig sikring av et system å bruke OSI Layer 2 kryptering (Datalink Layer)-Så får man krypteringa ned på hardwarenivå, og man slipper for å potensiellt korrumpere data, samtidig som det ikke går så hardt utover smidigheta til systemet.

 

Svakeste link i et firma er uansett de ansatte. Du vil gjerne ha lengst mulig avstand fra en brukers evinnelige/uungåelige feil-40. -Ta backups av rå data og hiv dem inn i en stor solid safe med kodelås.

 

Tillater du bruk av minnepenn på jobb? -Du ber om trøbbel.

 

L2TP/IPsec? Hva tenker du på når du sier å sikre et system ved å bruke transportkryptering?

Lenke til kommentar

Jeg har ikke inngående greie på kryptering, men må sammenlikne med f.eks. ZIP-filer, som attpåtil har CRC-kontroll. Så selv om det finnes CRC på ZIP-filene, så er det ofte mismatch på CRC som får ZIP-programmet til å hindre deg i å få åpnet ZIP-arkivet igjen. Det finnes selvfølgelig der noen slike ZIP-gjenopprettingsverktøy, men disse er absolutt ingen garanti for at du noensinne skal få tilgang til de originale dataene dine igjen.

 

Ja, jeg vet at ZIP-filer og kryptering er to vidt forskjellige ting. Men, det er visse likheter i tilgang til data tipper jeg !?

 

Min er erfaring er at kompressjon av data er mer sårbart for slikt enn kryptering. Men det er selvfølgelig avhengig av algoritme og implementering :)

Lenke til kommentar

 

En ting er jo kryptering av disker og filer, men man vil jo helst blokke for cracking før man kommer så langt da. Mener det kan være en rimelig enkel og billig sikring av et system å bruke OSI Layer 2 kryptering (Datalink Layer)-Så får man krypteringa ned på hardwarenivå, og man slipper for å potensiellt korrumpere data, samtidig som det ikke går så hardt utover smidigheta til systemet.

 

Svakeste link i et firma er uansett de ansatte. Du vil gjerne ha lengst mulig avstand fra en brukers evinnelige/uungåelige feil-40. -Ta backups av rå data og hiv dem inn i en stor solid safe med kodelås.

 

Tillater du bruk av minnepenn på jobb? -Du ber om trøbbel.

L2TP/IPsec? Hva tenker du på når du sier å sikre et system ved å bruke transportkryptering?

 

Jeg tenker på en av de her sataner; http://www.tellemachus.co.uk/trusted-products/detail/senetas-cn1000-ethernet-encryptors

 

IpSec er jo en protokoll som mer eller mindre gjør samme jobben, men som software. -Hiver man inn en eller flere CN1000 i et system, forbedrer det sikkerheten vesentlig. Sjøl om du kan hacke et IpSec-basert nettverk, så må du uansett finne en eller anna expolit for å hacke gjennom en CN1000 (hardware-P2P) først. >:)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...