» »

Brazilska in ameriška policija nemočni zoper TrueCrypt

Brazilska in ameriška policija nemočni zoper TrueCrypt

Slo-Tech - Brazilska zvezna policija je leta 2004 začela operacijo Satiagraha (satjagraha označuje filozofijo in prakso nenasilnega protesta in je Gandijeva iznajdba), ki je vrh dosegla leta 2008 z aretacijo nekaj vplivnih bankirjev in investitorjev zaradi nenamenske rabe proračunskega denarja, korupcije in pranja denarja. Med aretiranimi je bil tudi bankir Daniel Dantas, ki je posedoval nekaj trdih diskov, na katerih so bile pomembne informacije šifrirane s programom TrueCrypt in še enim neimenovanim programom. O prvem smo na naši strani objavili že nekaj člankov (Šifriranje nosilcev podatkov v okolju Linux in Windows in Vzpostavitev v celoti šifriranega sistema).

Brazilci so se z diski ubadali približno pet mesecev, a brez uspeha. Njihovi analitiki so ocenili, da bi za razbitje zaščite potrebovali več kot leto dni, in modrovali, da česa tako sofisticiranega v Braziliji še niso videli. Najprej so od proizvajalca programa zahtevali, da jim pošljejo ključe, ki bo odklenili podatke, a so uvideli, da šifriranje AES ne deluje tako. Diske so zato poslali ameriškemu FBI. (Članek iz časnika Folha de São Paulo je plačljiv, a se na spletu vseeno najde besedilo.)

Poldrugo leto pozneje je obupal tudi FBI. Ti so zato letošnjega aprila diske vrnili v Brazilijo, saj zaščite niso mogli zlomiti, so sporočili ta teden. Brazilska vlada tudi nima nobenega pravnega vzvoda bodisi Dantasa bodisi proizvajalca TrueCrypta prisiliti v razkritje šifrirnega ključa (slednji ga tako ali tako nima). Tako brazilski kot ameriški izvedenci so uporabili napad s slovarjem, ki pa ni uspel, ker je osumljenec pametno izbral geslo. Podatki bodo sedaj ostali v brazilskem Instituto Nacional de Criminologia, kjer bodo počakali na razvoj tehnologije, ki bi jih morda v prihodnosti pomagala odkleniti. Izvzemši kvantne računalnike, je ni na vidiku.

106 komentarjev

«
1
2 3

Bananovec ::

Ne me jeba+. Kao neki profiji pa nemorejo razbit takšne zaščite, ahahaha. Tip se jim verjetno samo v faco reži.
Me pa zelo zanima, kateri neki je bil tisti drugi program.

Vikking ::

ne razumem:

Brazilci so se z diski ubadali približno pet mesecev, a brez uspeha. Njihovi analitiki so ocenili, da bi za razbitje zaščite potrebovali več kot leto dni

Poldrugo leto pozneje je obupal tudi FBI. Ti so zato letošnjega aprila diske vrnili v Brazilijo, saj zaščite niso mogli zlomiti, so sporočili ta teden

kjer bodo počakali na razvoj tehnologije, ki bi jih morda v prihodnosti pomagala odkleniti. Izvzemši kvantne računalnike, je ni na vidiku.

arjan_t ::

Brazilci so se z diski ubadali približno pet mesecev, a brez uspeha. Njihovi analitiki so ocenili, da bi za razbitje zaščite potrebovali več kot leto dni, in modrovali, da česa tako sofisticiranega v Braziliji še niso videli. Najprej so od proizvajalca programa zahtevali, da jim pošljejo ključe, ki bo odklenili podatke, a so uvideli, da šifriranje AES ne deluje tako. Diske so zato poslali ameriškemu FBI. (Članek iz časnika Folha de São Paulo je plačljiv, a se na spletu vseeno najde besedilo.)


- za to rabijo alalitike?
- česa tako sofisticiranjega še niso videli?
- od "proizvajalca" zahtevali šifrirne ključe?

McLuzo ::

Ma FBI je zihr razbil zadevo, sam to nobenmu ne povejo ane... :D
Sicer se na sam algoritem in način šifriranja ne spoznam ampak me zanima če zadeve ne bi mogli odšifrirat s kakšnim 4-way-GTX480-SLI-CUDA sistemom (po možnosti še povezane v clusterje), v nekem uporabnem roku (recimo kakšno leto ali dve)...

Zgodovina sprememb…

  • spremenilo: McLuzo ()

BaToCarx ::

Serpent-Twofish-AES :D

jan01 ::

Sklonirali bi disk in "popravljenega" vrnili nazaj lastniku TrueCrypt @ Wikipedia https://slo-tech.com/novice/t380883#crta
Vedno je user najšibkejši člen!

KrCbelca ::

Haha, v originalnem članku je lepa cvetka :)

The government has no legal instrument to compel the manufacturer of the American encryption system or Dantas to give the access codes.

Hm, nism vedu d kratica AES pomeni American encryption system :D

jan01 je izjavil:

Sklonirali bi disk in "popravljenega" vrnili nazaj lastniku TrueCrypt @ Wikipedia https://slo-tech.com/novice/t380883#crta
Vedno je user najšibkejši člen!


Bi ti uporabil disk, ki ga je imela v rokah policija? :) Osebno bi ga "potrepljal" s kladivom in vrgel v ogenj :)
C2Q Q6600, P5W DH Deluxe,6GB 800MHz Rama
GF 8600gt, 2xSataII WD 250GB, LC Power 550W Green Power
----watter in my vains----

Zgodovina sprememb…

  • spremenil: KrCbelca ()

ALT ::

jan, na wiki imas tudi resitev za ta dva primera. pa osebno bi ga (v primeru da rabis te podatke) vtaknil v offline racunalnik, podatke prekopiral ali se bolje sprintal, potem pa naredil kot svetuje cbelca :D

Highlag ::

Če rabiš en super computer zagnat za eno ali dve leti je vprašanje še se to sploh splača. Odvisno od škode, ki so jo naredili.
Never trust a computer you can't throw out a window

terryww ::

par rackov fpgajev ali namensko čipovje pa je druga zgodba. pač, fbi lih ni inštitucija, ki bi zaposlovala vsako leto ene izmed najboljših matematikov in kriptografov. očitno ni tak važno, da bi potrkali na za to namenska vrata.
It is the night. My body's weak.
I'm on the run. No time to sleep.

Zgodovina sprememb…

  • spremenil: terryww ()

Bananovec ::

Highlag je izjavil:

Če rabiš en super computer zagnat za eno ali dve leti je vprašanje še se to sploh splača. Odvisno od škode, ki so jo naredili.

Jah, Kitajci pa lahko komot zaženejo eno tako über mašino samo zato, da lahko igrajo Call Of Duty 2 na 666 FPSjih ;)
Pa za trimiljardto števko števila PI se jim tudi splača taki Über stroj poganjati.

jan01 ::

Še en alternativni sistem za iskanje ključa -> Samuel L Jackson v unthinkable...

BaToCarx ::

jan01 je izjavil:

Še en alternativni sistem za iskanje ključa -> Samuel L Jackson v unthinkable...


Prva pametna do zdej, ce tip sploh ve kljuc se.... :D

matejdro ::

Brazilska vlada tudi nima nobenega pravnega vzvoda bodisi Dantasa bodisi proizvajalca TrueCrypta prisiliti v razkritje šifrirnega ključa


A oni res mislijo, da ima proizvajalec TrueCrypta ključe? Kakšne računalniške genije imamo v policiji...

Zgodovina sprememb…

  • spremenil: matejdro ()

BigWhale ::

Ce bi disk tisockrat sklonirali in bi imeli tisoc super racunalnikov, ki bi brute forcali zadeve ... ... bi se zmeri nucal VELIK cajta! Al pa velik srece.

"12345? That is the combination an idiot would put on his luggage!"

Poldi112 ::

McLuzo je izjavil:

Sicer se na sam algoritem in način šifriranja ne spoznam ampak me zanima če zadeve ne bi mogli odšifrirat s kakšnim 4-way-GTX480-SLI-CUDA sistemom (po možnosti še povezane v clusterje), v nekem uporabnem roku (recimo kakšno leto ali dve)...


Če bi to lahko naredili, bi bilo tako šifriranje precej neuporabno.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

poweroff ::

Brazilci so se z diski ubadali približno pet mesecev, a brez uspeha. Njihovi analitiki so ocenili, da bi za razbitje zaščite potrebovali več kot leto dni
Poldrugo leto pozneje je obupal tudi FBI. Ti so zato letošnjega aprila diske vrnili v Brazilijo, saj zaščite niso mogli zlomiti, so sporočili ta teden

Heh, škoda, ker niso Brazilci vztrajali in delali namesto FBI-ja... Ziher bi jim uspelo.:D LOL!

McLuzo je izjavil:

Sicer se na sam algoritem in način šifriranja ne spoznam ampak me zanima če zadeve ne bi mogli odšifrirat s kakšnim 4-way-GTX480-SLI-CUDA sistemom (po možnosti še povezane v clusterje), v nekem uporabnem roku (recimo kakšno leto ali dve)...

Ker to ne gre tako. Rabili bi vsaj par tisoč let. Ali še več. Enostavno je AES (Advanced Encryption Standard v resnici) preveč zmogljiv. TrueCrypt pa je zelo dobro napisan program in onemogoči večino "glupih" channel side napadov.
sudo poweroff

SodVina ::

En hollywood-os in en hollywood-hacker, pa mu rata do konca filma :P

3p ::

Hmm. Kako to, da še nihče ni pohvalil nove zmage zasebnosti in odprte kode. >:D

poweroff ::

Saj je že sama novica reklama za TrueCrypt. Ne rabi še dodatne hvale, ali pač?
sudo poweroff

techfreak :) ::

Še niso slišali za brute force attack? Z dovolj dobrim računalnikom se to razbije v sekundah. Edina stvar, ki še manjka je izdelava takšnega računalnika.

teoo ::

jao keri amaterji...že McGyver je vedel, da sam 'override' vpišeš pod geslo, pa ga shekaš...
defying gravity

amigo_no1 ::

techfreak :)
Že če je v igri rar arhiv s konkretnim geslom ne prideš nikamor, če je v igri Serpent-Twofish-AES ti preostane le še vsakodnevno romanje v Lurdes, Brezje in Hrvaško Zagorje.

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

techfreak :) ::

amigo_no1 je izjavil:

techfreak :)
Že če je v igri rar arhiv s konkretnim geslom ne prideš nikamor, če je v igri Serpent-Twofish-AES ti preostane le še vsakodnevno romanje v Lurdes, Brezje in Hrvaško Zagorje.

Edina stvar, ki še manjka je izdelava takšnega računalnika.

IztokBitenc ::

Hi!

techfreak :) je izjavil:

Še niso slišali za brute force attack? Z dovolj dobrim računalnikom ...

Umm, "brute force" z gorjačo bi ravno tako pridobilo geslo v sekundah. Samo kaj, ko so policajo "dobri fantje", pa tega ne smejo uporabiti. ;)

LP, Iztok

BlueRunner ::

Jooj. A res ni nihče poštekal fore z "dovolj dobrim računalnikom".

ALT ::

...ki ne obstaja..

kaj vse bi se dalo narediti s stvarmi, ki obstajajo v nasi domisljiji :D

BigWhale ::

SodVina je izjavil:

En hollywood-os in en hollywood-hacker, pa mu rata do konca filma :P


Do konca filma? V prvih petih minutah filma, medtem ko ga oralno zadovoljuje spretno dekle. ;> Pa v glavo mu merijo s pistolo.

Do konca filma to delajo amaterji!

gruntfürmich ::

FBI verjetno ni hotel odkodirat ker je sam upleten ali pa CIA:D

in v bivši SZ pa še marsikje v svetu bi ta disk odkodirali v pol ure:)):))
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

SodVina ::

BigWhale je izjavil:

SodVina je izjavil:

En hollywood-os in en hollywood-hacker, pa mu rata do konca filma :P


Do konca filma? V prvih petih minutah filma, medtem ko ga oralno zadovoljuje spretno dekle. ;> Pa v glavo mu merijo s pistolo.

Do konca filma to delajo amaterji!


Hm. ob obljubi po oralnem zadovoljevanju oz. grožnji s pištolo sploh nebi bilo potrebe po razbijanju gesla. Mislim da bi osumljenec hitro povedal tisti "user123". :D

BigWhale ::

Saj ni bil osumljenec. Bil je hacker, ki so ga prisilili, da je vdrl v nek sistem ni pokazal svoje sposobnosti.

SodVina ::

Jaz z osumljencem nisemm imel v mislih nicholasa cagea iz swordfisha. Ampak bankirja, ki noče povedati povedati gesla za svoje diske. Če bi imeli pri roki pištolo ali (še bolje fotomodel, ki vleče bolje kot mobitel), potem potrebe po hekanju najbrž sploh nebi bilo :)

antonija ::

A ni pri teh zadevah bolj problem plausible deniability? To da nimajo (prvega on n moznih) kljucev je sicer nadlezno, ampak ce prav razumem rata problem ko v prvem kontejnarju lezi se neznano mnogo kontejnarjev za katere pa noben ne ve ce obstajajo oz. kolk jih je... Tud ce bi ze zalaufal kaksen supercomp za tistih nekaj 10 (100, 1000) let, kaj pa pol ko vidis na se nicesar ne vidis?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Okapi ::

A ni pri teh zadevah bolj problem plausible deniability?
Tako "dober" pa ni bil tisti bankir, da bi se na to spomnil;) Drugače bi, nerad, ampak kaj se more, povedal šifro, brazilski policaji bi našli nekaj pr0na in modelu vrnili diske.

O.

Zgodovina sprememb…

  • spremenil: Okapi ()

Poldi112 ::

Bruteforce na človeka bi tudi verjetno deloval. Samo so bučmani v usa poslali podatke namesto človeka :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

MacQ ::

SodVina je izjavil:

Jaz z osumljencem nisemm imel v mislih nicholasa cagea iz swordfisha. Ampak bankirja, ki noče povedati povedati gesla za svoje diske. Če bi imeli pri roki pištolo ali (še bolje fotomodel, ki vleče bolje kot mobitel), potem potrebe po hekanju najbrž sploh nebi bilo :)

Tisto je Hugh Jackman in ne vidim zakaj bi tip kaj priznal, če bi mu ga ena baba vlekla in/ali bi mu grozili s pištolo. Ustrelili ga itak ne bi, ker potem ne bi rabili gesla, a ne?
The sound of the ocean is dead, it's just the echo of the blood in your head.

Bor H ::

Strel v nogo/ramo/kakšen bolj intimen del, ni nujno v glavo

kivi113 ::

Mogoče pa tudi FBIju ni v interesu, da najdejo ključ, ali pa so zamolčali, da so ga našli.

Banke delajo sranje po svetu, vpliv amerike v Braziliji pa tudi dosti pomeni za ameriko.

Okapi ::

FBI ali CIA ali NSA ali kdor se že pač ukvarja s tem, sigurno ne bodo kar takoj povedali, da lahko brez težav sesujejo TrueCrypt (ko ga bodo lahko).

O.

poweroff ::

Brez skrbi, da ga ne bodo. AES je pač dovolj stestiran s strani crypto community, enako velja za TC.

Sicer pa dolžina je pomembna. Gesla seveda.
sudo poweroff

zigi ::

"I'll create a GUI interface using Visual Basic..." and hack it! http://www.digyourowngrave.com/csi-new-...

Me pa zanima kako dolgo geslo je imel in ali je uporabljal key file.

BlueRunner ::

Bor H je izjavil:

Strel v nogo/ramo/kakšen bolj intimen del, ni nujno v glavo

Malo ste izgubili perspektivo... Če živiš v družbi, kjer je mučenje sprejemljiv način pridobivanja dokazov, potem sploh ni razloga za zbiranje dokazov. Osebo se zapre, ključ se vrže stran. Problem rešen. "Nesreče" so v takšnih državah tudi opcija.

Kar se pa tiče AES-a in TC-ja, pa je ta primer predvsem lekcija, da zaščita vzdrži, če je šifrirni algoritem pravilno uporabljen. Seveda pomaga, da je tudi algoritem brez pomembnih napak, ki bi omogočili razkritje vhodnega podatka ali ključe, vendar pa je v 99% primerov bistveno to kako šifriranje uporabljaš in kako kvalitetna je implementacija šifriranja.

Pomenljivo je, da AES-XTS ni bil neposredno napaden ampak se je napadalo posredno: knjižnice besed in podobno so napad na tistega, ki šifrira, ne na sam algoritem ali aplikacijo.

MacQ ::

BlueRunner je izjavil:

Bor H je izjavil:

Strel v nogo/ramo/kakšen bolj intimen del, ni nujno v glavo

Malo ste izgubili perspektivo... Če živiš v družbi, kjer je mučenje sprejemljiv način pridobivanja dokazov, potem sploh ni razloga za zbiranje dokazov. Osebo se zapre, ključ se vrže stran. Problem rešen. "Nesreče" so v takšnih državah tudi opcija.

Jaz sem tudi poskusil nakazati na to, vendar očitno eni ne razumejo.
The sound of the ocean is dead, it's just the echo of the blood in your head.

Bor H ::

Huh, da ne bo izpadl k da podpiram kavbojske metode, jih ne, sam pravim, da če že uporabljaš pištolo jo dej efektivno :)

BlueRunner ::

Ja Bor. Saj se pogovarjamo hipotetično. Ampak, če si v (hipotetičnem) sistemu kjer lahko uporabljaš pištolo na ta način, potem je zbiranje dokazov popolnoma redundantno. Lahko ga preskočiš in greš neposredno na kaznovanje. Nisem pa tvojega komentarja razumel, kot da ti zagovarjaš takšen pristop.

So pa države, ki resnično delujejo na takšen način. Tudi ZDA - t.i. zibelka demokracije - so v tej nečastni zbirki. Tako, da bi kakšno "pošiljanje človeka namesto diska" za posledico resnično lahko imelo mučenje in podobne pristope. Brazilija pa je pač nekoliko bolj urejena demokracija. Vsaj na tej točki...

Volk| ::

Jaz sem enkrat izgubil ključ s katerim sem zaklenil neke fajle z TrueCryptom.
Žal sem se moral posloviti od teh datotek :(
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.

poweroff ::

Volk, napačno razmišljaš. Prijavi se kot terorist, ki hoče ubiti predsednika XXX države in zagotavljam ti, da boš kmalu prišel do svojih datotek... :D

Resno: meni je bil zanimiv primer, ki so mi ga razlagali slovenski kriminalisti. Imeli so eno prijavo vdora. Pridejo do tipa in najdejo bližnjico do mape iz imena katere je bilo razvidno, da so notri hacking orodja, bližnjica je pa kazala na TrueCrypt disk.

Policaji so že globoko zajeli sapo češ "OK, pa imamo tudi mi prvi primer uporabe šifriranja", ko so malo pobrskali po sobi in našli CD-je z nekriptiranimi backupi. :D
sudo poweroff

ALT ::

matthai, ta pa je biser :D

sicer pa, a je posedovanje tega sploh prepovedano? ali je samo uporaba in nameravanje uporabe?

volk, se zgodi, ampak verjemi, se slabse se pocutis, ce pozabis zgolj geslo :D

btw, mislite, da bi se s hipnozo dalo priti do pozabljenih gesl? mi jih je ze veliko uslo :D

Volk| ::

Jaz imam vsa gesla shranjena v excelovi tabeli, ta tabela pa se nahaja v TrueCrypt-u.
Torej, če zaj... v TrueCryptu pol nimam gesel, hehe
Še dobro da si FF zapomni vsa gesla pa da imamo MozBackup :)
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Samsungovi in Crucialovi SSD-ji ne znajo varno šifrirati

Oddelek: Novice / Varnost
317827 (4583) bbbbbb2015
»

TrueCrypt na precepu (strani: 1 2 )

Oddelek: Novice / Varnost
7128526 (23886) MrStein
»

Groklaw ugasnil zaradi Prisma

Oddelek: Novice / NWO
4412793 (10091) trizob
»

Izšel TrueCrypt 7.0 (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
11932112 (28612) Jst
»

Brazilska in ameriška policija nemočni zoper TrueCrypt (strani: 1 2 3 )

Oddelek: Novice / Diski
10633258 (23382) poweroff

Več podobnih tem