Pomoc automatyzacja odblokowywania zaszyfrowanego dysku twardego

[domaniqoos]

Witam,
Mam qnapy TS-239Pro.
Chcialbym uruchamiac pewne skrypty startowe ktore napisalem dla tego urzadzenia, by przywrocic jego funkcjonalnosc od razu po restarcie. Skrypty znajduja sie na zakodowanym dysku twardym. By je uruchomic, musze wysylac ping do qnapa az maszyna wystartuje, wtedy wprowadzic klucz szyfrujacy (encryption key) by odblokowac dysk twardy tak szybko jak moge, gdyz skonfigurowalem skrypty tak, aby czekaly tylko 4 minuty.
Pomyslalem o zautomatyzowaniu calego procesu, by wyeliminowac oczekiwanie i uzywac zewnetrznego dostawcy kluczy (przykladowo serwer RADIUS) tak, aby pozwolic qnapowi pobrac klucz bez potrzeby kazdorazowego wprowadzania go samemu za kazdym razem gdy restartuje urzadzenie.
W moim przypadku dyski MUSZA byc zaszyfrowane, poniewaz zawieraja poufne dane, ktore nie moga dostac sie w niepowolane rece. Urzadzenie dodatkowo znajduje sie w budynku polozonym w niebezpiecznej okolicy, gdzie zdazaly sie juz wlamania.
Czy zna ktos z Was sposob (program) do szyfrowania dyskow, ktorego uzywa qnap? Byc moze ktos rozwiazal ten problem w inny sposob?
Bardzo prosze o pomoc, chetnie podyskutuje na kazdy temat zwiazany z ta funkcja.
-Maciej

 

[z-ka]

Ja sie tylko zastanawiam, czy to jest w sumie bezpieczne rozwiazanie (szyfrowanie) w swietle tego co bylo napisane na angielskim forum: https://forum.qnap.com/viewtopic.php?f=11&t=18863
i czy poprawka jaka zostala zrobiona usuwa problem jaki zostal opisany w tym watku. Sytuacja jest tak naprawde powazna i stawia w zlym swietle firme Qnap.

I takie male pytanie przy okazji. Jaka jest szansa na odzyskanie danych w przypadku jesli dyski sa w RAID1 i sa szyfrowane w przypadku padu Qnapa (badz jednego z dyskow)? Do odpowiedzi na to jeszcze sie nie dokopalem. Ktos z grupowiczow ma moze jakies info na ten temat?
Pozdrawiam

 

[domaniqoos]

Akurat w moim przypadku sprawa wyglada tak, ze uzytkownicy sieci nie maja loginow do qnapa (jest on uzywany wylacznie jako backup), a tym bardziej do powloki, a ja loguje sie do niego przez ssh lub ssl. Podsiec z urzadzeniem nie jest dostepna z zewnatrz. Klucze szyfrujace zostaly wymienione.
By wykorzystac ta dziure, ktos, kto planuje jego kradziez (a wlasciwie kradziez danych), musialby zdobyc moje haslo, zalogowac sie do qnapa, odpalic opisane w poscie https://forum.qnap.com/viewtopic.php?f=11&t=18863 polecenia, wyeksportowac haslo, ukrasc urzadzenie i podlaczyc je w innej czesci sieci by wyeksportowac dane z dysku. Przy czym, majac haslo admina, nikt w moim przypadku nie potrzebowalby krasc urzadzenia, wystarczyloby aby zalogowal sie z moim loginem i skopiowal dane przez scp.
Masz jednak racje, skoro klucz szyfrujacy dysku jest dostepny dla userow, to brak reakcji ze strony firmy qnap na raport o tego typu dziurze dyskwalifikuje ich zupelnie jako producenta sprzetu do przechowywania danych. W wolnej chwili sprawdze czy zalatali ta dziure.
Jesli padnie jeden z dyskow, to po wymianie uszkodzonego, RAID1 powinien uzupelnic dane na drugim dysku korzystajac z danych zawartych na sprawnym dysku, co wynika ze specyfikacji tego rodzaju macierzy. Moglbys miec problem w przypadku RAID 0, ale nie powinienes miec korzystajac RAID1. Co sie tyczy sytuacji w przypadku padu calego urzadzenia - nie czuje sie na silach by na nie odpowiedziec.
Pozdrawiam i dziekuje za informacje
Maciek

 

[domaniqoos]

Opisana dziura dziala u mnie w pelni na firmware 3.1.2 Build 1014T (to chyba najnowsze)
Wiecej na jej temat w artykule na stronie:
http://www.secuobs.com/secumail/btsecumail/msg17179.shtml
Pozdrawiam
Maciek

 

[z-ka]

Opisana dziura dziala u mnie w pelni na firmware 3.1.2 Build 1014T (to chyba najnowsze)
Wiecej na jej temat w artykule na stronie:
http://www.secuobs.com/secumail/btsecumail/msg17179.shtml
Pozdrawiam
Maciek

Chcesz powiedziec, ze przeprowadziles cala procedure uzyskiwania klucza w sposob opisany w tej notce i ze bez problemu dotarles do klucza? Nie wierze, ze do tej pory nic z tym Qnap nie zrobil. Toz to skrajna nieodpowiedzialnosc. Pierwszy post marcmarc opisujacy ten problem pojawil sie 10 wrzesnia. Wlasnie mija dwa miesiace i Qnap nie znalazl czasu na naprawe tego bugu. Komentarz chyba moze byc tylko jeden i moze nie bede go wypowiadal, co by mnie Silas nie zbanowal...
Pozdrowienia

 

[domaniqoos]

niekoniecznie cala procedure.
Po prostu wrzucilem w konsole jako administrator:

strings /dev/sdx6 | grep ENCK

i otrzymalem w wyniku moj klucz szyfrujacy w formie MD5 z przedrostkiem $1$YCCaQNAP$
Wczoraj sprawdzalem dostepne Firmware do mojego modelu i nie widzialem nic nowego. Moze zle szukalem.
W kazdym razie na stronie:
http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt
jest napisane:

Firmware update v3.1.2 Build1014 from 23 October 2009 removes
the backdoor key from the crypto volume and the flash.

A quick analysis of the update showed that offending code is
still present. No time is currently available to see what
changes have been made to the code to not use the offending
backdoor code.

Note that the removal of the backdoor was labeled as
"Provide Enhanced AES-256 encryption in data security"
in the change notes...

Tak czy owak powyzszy kod u mnie dziala, co potwierdza przytoczony cytat.
Maciek

 

[z-ka]

niekoniecznie cala procedure.
Po prostu wrzucilem w konsole jako administrator:

strings /dev/sdx6 | grep ENCK

i otrzymalem w wyniku moj klucz szyfrujacy w formie MD5 z przedrostkiem $1$YCCaQNAP$
Wczoraj sprawdzalem dostepne Firmware do mojego modelu i nie widzialem nic nowego. Moze zle szukalem.
W kazdym razie na stronie:
http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt
jest napisane:

Firmware update v3.1.2 Build1014 from 23 October 2009 removes
the backdoor key from the crypto volume and the flash.

A quick analysis of the update showed that offending code is
still present. No time is currently available to see what
changes have been made to the code to not use the offending
backdoor code.

Note that the removal of the backdoor was labeled as
"Provide Enhanced AES-256 encryption in data security"
in the change notes...

Tak czy owak powyzszy kod u mnie dziala, co potwierdza przytoczony cytat.
Maciek

Dziwne. Ten sam Qnap. Ten sam FW. I jedyne co otrzymuje po wklejeniu do konsoli po połączeniu przez Telnet:

QnapServ login: admin

Password:
sh: pts/1: No such file or directory
[~] # strings /dev/sdx6 | grep ENCK
[~] #

Czy robię coś źle?

 

[domaniqoos]

sorry z-ka
bije sie w piers, moj blad, ten problem zostal poprawiony 25-09-2009, czyli wraz z pojawieniem sie firmware z ktorego korzystamy.
U mnie kod dzialal poniewaz ja zapisalem klucz na QNAP. Docelowo staram sie zmusic urzadzenie do korzystania z klucza znajdujacego sie na innej maszynie.
Dlatego tez jezeli w sekcji encryption key management, w akcji encryption key management mamy zaznaczenie save encryption key, to wtedy przeprowadzenie exploita bedzie mozliwe. Po usunieciu zaznaczenia, wszystko dziala tak jak opisales.
Jeszcze raz przepraszam za zamieszanie.
Maciek

 

[z-ka]

sorry z-ka
bije sie w piers, moj blad, ten problem zostal poprawiony 25-09-2009, czyli wraz z pojawieniem sie firmware z ktorego korzystamy.
U mnie kod dzialal poniewaz ja zapisalem klucz na QNAP. Docelowo staram sie zmusic urzadzenie do korzystania z klucza znajdujacego sie na innej maszynie.
Dlatego tez jezeli w sekcji encryption key management, w akcji encryption key management mamy zaznaczenie save encryption key, to wtedy przeprowadzenie exploita bedzie mozliwe. Po usunieciu zaznaczenia, wszystko dziala tak jak opisales.
Jeszcze raz przepraszam za zamieszanie.
Maciek

Ja mam jeszcze jedno pytanie. Jakie jest znaczenie tych dwoch opcji: zapisz klucz kodowania i pobierz klucz kodowania? Przyznam, ze nie za bardzo to rozumiem co w praktyce znacza te dwie opcje.

Aha. I jeszcze jedno. Czy jest mozliwosc zablokowania odblokowanego "kontenera" bez wykonywania restartu? Tak jak jest to w TrueCrypcie.
Pozdrawiam

 

[domaniqoos]

zapisz klucz kodowania - zapisuje klucz kodowania w pamieci QNAPa, co nie jest bezpieczne, to jest wlasnie opcja, ktora mialem wlaczona podczas wykonywania komendy co powodowalo, ze bylo mozliwe uzyskanie przy jej /pomocy klucza. Faktycznie dziala to tak, ze w przypadku restartu urzadzenia, dysk jest montowany automatycznie, bez potrzeby wpisywania hasla. Jezeli zapiszesz klucz na QNAP, mozesz go usunac z pamieci podrecznej odklikujac zaznaczenie obok tej opcji.
pobierz klucz kodowania - pozwala pobrac klucz do komputera, na ktorym pracujesz, taka kopia zapasowa klucza na wszelki wypadek.
Na trzecie pytanie nie jestem w stanie odpowiedziec, poniewaz nie korzystam z kontenerow (korzystam z angielskiej wersji systemu, zatem jest mozliwe, ze nie zrozumialem tego pytania, u mnie sie one nazywaja volumes).
Pozdrawiam
Maciek

 

[z-ka]

zapisz klucz kodowania - zapisuje klucz kodowania w pamieci QNAPa, co nie jest bezpieczne, to jest wlasnie opcja, ktora mialem wlaczona podczas wykonywania komendy co powodowalo, ze bylo mozliwe uzyskanie przy jej /pomocy klucza. Faktycznie dziala to tak, ze w przypadku restartu urzadzenia, dysk jest montowany automatycznie, bez potrzeby wpisywania hasla. Jezeli zapiszesz klucz na QNAP, mozesz go usunac z pamieci podrecznej odklikujac zaznaczenie obok tej opcji.
pobierz klucz kodowania - pozwala pobrac klucz do komputera, na ktorym pracujesz, taka kopia zapasowa klucza na wszelki wypadek.
Na trzecie pytanie nie jestem w stanie odpowiedziec, poniewaz nie korzystam z kontenerow (korzystam z angielskiej wersji systemu, zatem jest mozliwe, ze nie zrozumialem tego pytania, u mnie sie one nazywaja volumes).
Pozdrawiam
Maciek

Wlasnie nad tym sie zastanawialem. Jakos nie skojarzylem ze to chodzi o automatyczne logowanie. Co do trzeciego pytanie to mialem na mysli sposob dzialania taki jaki jest w TrueCrypcie. Pierwsza czesc, czyli montowanie w Qnapie i TC odbywa sie w sposob podobny. Tu i tu mozna zapisac klucz w celu automatyzacji calego procesu. Natomiast to o co pytam dotyczy fazy kiedy juz nie potrzebujemy korzystac z zaszyfrowanej zawartosci dysku. W TC mozemy go spokojnie odmontowac i do momentu, kiedy nie wprowadzimy ponownie hasla i nie bedziemy mieli dostepu do zawartosci. W Qnapie natomiast z tego co zauwazylem odlaczenie jest chyba tylko mozliwe poprzez restart calego urzadzenia. Czy mozna to zrobic bez restartu? Kontenerem nazywam poprostu ta czesc dysku, ktora jest zaszyfrowana i bez hasla sie do niej nie dostaniemy.
Pozdrawiam

 

[domaniqoos]

Ok, teraz rozumiem.
Z tego co widze, to bez restartu nie ma opcji odmontowania zaszyfrowanego przy uzyciu web menu.
Uzywajac wiersza polecen, w normalnym linuksie, odmontowanie moznaby przeprowadzic poprzez komendy:

# umount /share/HDA_DATA  lub  #umount /dev/mapper/sda3

nastepnie

# cryptsetup luksClose sda3

QNAP-owi jednak cos tutaj przeszkadza i twierdzi on, ze jest zajety. Troche boje sie forsowac odmontowania, poniewaz nie wiem dokladnie czym to urzadzenie jest zajete, wiec w tym przypadku mysle, ze najbezpieczniej jest go po prostu zrestartowac, aby uzyl swojej wlasnej procedury zamykania dysku. Ewentualnie musialbys troche pogrzebac w manualach i w samym QNAP-ie
Powodzenia
Maciej

 

[k0liber]

Re: automatyzacja odblokowywania zaszyfrowanego dysku twarde

Witam,

odmontować da się po wcześniejszym wywołaniu /etc/init.d/services stop Potem umount, a potem /etc/init.d/services start

Pozdrawiam,

k0liber

PS. Przepraszam, jeśli forum nie dopuszcza dopisywania do starych postów, ale nie znalazłem (przyznam, że przy pobieżnym szukaniu) takiego zastrzeżenia, a pomyślałem, że info może się komuś przydać.