Rozwiązany automatyzacja odblokowywania zaszyfrowanego dysku twardego

Dyskusja w 'Oh'Linux? Software hacking' rozpoczęta przez użytkownika domaniqoos, 11 Listopad 2009.

Ładowanie...
  1. domaniqoos
    Offline

    domaniqoos Nowy użytkownik Noobie

    Dołączył:
    2 Listopad 2009
    Wiadomości:
    7
    Local Time:
    12:40
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Witam,
    Mam qnapy TS-239Pro.
    Chcialbym uruchamiac pewne skrypty startowe ktore napisalem dla tego urzadzenia, by przywrocic jego funkcjonalnosc od razu po restarcie. Skrypty znajduja sie na zakodowanym dysku twardym. By je uruchomic, musze wysylac ping do qnapa az maszyna wystartuje, wtedy wprowadzic klucz szyfrujacy (encryption key) by odblokowac dysk twardy tak szybko jak moge, gdyz skonfigurowalem skrypty tak, aby czekaly tylko 4 minuty.
    Pomyslalem o zautomatyzowaniu calego procesu, by wyeliminowac oczekiwanie i uzywac zewnetrznego dostawcy kluczy (przykladowo serwer RADIUS) tak, aby pozwolic qnapowi pobrac klucz bez potrzeby kazdorazowego wprowadzania go samemu za kazdym razem gdy restartuje urzadzenie.
    W moim przypadku dyski MUSZA byc zaszyfrowane, poniewaz zawieraja poufne dane, ktore nie moga dostac sie w niepowolane rece. Urzadzenie dodatkowo znajduje sie w budynku polozonym w niebezpiecznej okolicy, gdzie zdazaly sie juz wlamania.
    Czy zna ktos z Was sposob (program) do szyfrowania dyskow, ktorego uzywa qnap? Byc moze ktos rozwiazal ten problem w inny sposob?
    Bardzo prosze o pomoc, chetnie podyskutuje na kazdy temat zwiazany z ta funkcja.
    -Maciej
     
  2. z-ka
    Offline

    z-ka Moderator Contributor

    Dołączył:
    5 Luty 2009
    Wiadomości:
    274
    Local Time:
    14:40
    Oceny:
    +19 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Ja sie tylko zastanawiam, czy to jest w sumie bezpieczne rozwiazanie (szyfrowanie) w swietle tego co bylo napisane na angielskim forum: https://forum.qnap.com/viewtopic.php?f=11&t=18863
    i czy poprawka jaka zostala zrobiona usuwa problem jaki zostal opisany w tym watku. Sytuacja jest tak naprawde powazna i stawia w zlym swietle firme Qnap.

    I takie male pytanie przy okazji. Jaka jest szansa na odzyskanie danych w przypadku jesli dyski sa w RAID1 i sa szyfrowane w przypadku padu Qnapa (badz jednego z dyskow)? Do odpowiedzi na to jeszcze sie nie dokopalem. Ktos z grupowiczow ma moze jakies info na ten temat?
    Pozdrawiam
     
  3. domaniqoos
    Offline

    domaniqoos Nowy użytkownik Noobie

    Dołączył:
    2 Listopad 2009
    Wiadomości:
    7
    Local Time:
    12:40
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Akurat w moim przypadku sprawa wyglada tak, ze uzytkownicy sieci nie maja loginow do qnapa (jest on uzywany wylacznie jako backup), a tym bardziej do powloki, a ja loguje sie do niego przez SSH lub ssl. Podsiec z urzadzeniem nie jest dostepna z zewnatrz. Klucze szyfrujace zostaly wymienione.
    By wykorzystac ta dziure, ktos, kto planuje jego kradziez (a wlasciwie kradziez danych), musialby zdobyc moje haslo, zalogowac sie do qnapa, odpalic opisane w poscie https://forum.qnap.com/viewtopic.php?f=11&t=18863 polecenia, wyeksportowac haslo, ukrasc urzadzenie i podlaczyc je w innej czesci sieci by wyeksportowac dane z dysku. Przy czym, majac haslo admina, nikt w moim przypadku nie potrzebowalby krasc urzadzenia, wystarczyloby aby zalogowal sie z moim loginem i skopiowal dane przez scp.
    Masz jednak racje, skoro klucz szyfrujacy dysku jest dostepny dla userow, to brak reakcji ze strony firmy qnap na raport o tego typu dziurze dyskwalifikuje ich zupelnie jako producenta sprzetu do przechowywania danych. W wolnej chwili sprawdze czy zalatali ta dziure.
    Jesli padnie jeden z dyskow, to po wymianie uszkodzonego, RAID1 powinien uzupelnic dane na drugim dysku korzystajac z danych zawartych na sprawnym dysku, co wynika ze specyfikacji tego rodzaju macierzy. Moglbys miec problem w przypadku RAID 0, ale nie powinienes miec korzystajac RAID1. Co sie tyczy sytuacji w przypadku padu calego urzadzenia - nie czuje sie na silach by na nie odpowiedziec.
    Pozdrawiam i dziekuje za informacje
    Maciek
     
  4. domaniqoos
    Offline

    domaniqoos Nowy użytkownik Noobie

    Dołączył:
    2 Listopad 2009
    Wiadomości:
    7
    Local Time:
    12:40
    Oceny:
    +0 / 0 / -0
    Followers:
    0
  5. z-ka
    Offline

    z-ka Moderator Contributor

    Dołączył:
    5 Luty 2009
    Wiadomości:
    274
    Local Time:
    14:40
    Oceny:
    +19 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Chcesz powiedziec, ze przeprowadziles cala procedure uzyskiwania klucza w sposob opisany w tej notce i ze bez problemu dotarles do klucza? Nie wierze, ze do tej pory nic z tym Qnap nie zrobil. Toz to skrajna nieodpowiedzialnosc. Pierwszy post marcmarc opisujacy ten problem pojawil sie 10 wrzesnia. Wlasnie mija dwa miesiace i Qnap nie znalazl czasu na naprawe tego bugu. Komentarz chyba moze byc tylko jeden i moze nie bede go wypowiadal, co by mnie Silas nie zbanowal...
    Pozdrowienia
     
  6. domaniqoos
    Offline

    domaniqoos Nowy użytkownik Noobie

    Dołączył:
    2 Listopad 2009
    Wiadomości:
    7
    Local Time:
    12:40
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    niekoniecznie cala procedure.
    Po prostu wrzucilem w konsole jako administrator:
    Kod (Text):
    1. strings /dev/sdx6 | grep ENCK
    i otrzymalem w wyniku moj klucz szyfrujacy w formie MD5 z przedrostkiem $1$YCCaQNAP$
    Wczoraj sprawdzalem dostepne Firmware do mojego modelu i nie widzialem nic nowego. Moze zle szukalem.
    W kazdym razie na stronie:
    http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt
    jest napisane:
    Tak czy owak powyzszy kod u mnie dziala, co potwierdza przytoczony cytat.
    Maciek
     
  7. z-ka
    Offline

    z-ka Moderator Contributor

    Dołączył:
    5 Luty 2009
    Wiadomości:
    274
    Local Time:
    14:40
    Oceny:
    +19 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Dziwne. Ten sam Qnap. Ten sam FW. I jedyne co otrzymuje po wklejeniu do konsoli po połączeniu przez Telnet:

    Kod (Text):
    1. QnapServ login: admin
    2.  
    3. Password:
    4. sh: pts/1: No such file or directory
    5. [~] # strings /dev/sdx6 | grep ENCK
    6. [~] #

    Czy robię coś źle?
     
  8. domaniqoos
    Offline

    domaniqoos Nowy użytkownik Noobie

    Dołączył:
    2 Listopad 2009
    Wiadomości:
    7
    Local Time:
    12:40
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    sorry z-ka
    bije sie w piers, moj blad, ten problem zostal poprawiony 25-09-2009, czyli wraz z pojawieniem sie firmware z ktorego korzystamy.
    U mnie kod dzialal poniewaz ja zapisalem klucz na QNAP. Docelowo staram sie zmusic urzadzenie do korzystania z klucza znajdujacego sie na innej maszynie.
    Dlatego tez jezeli w sekcji encryption key management, w akcji encryption key management mamy zaznaczenie save encryption key, to wtedy przeprowadzenie exploita bedzie mozliwe. Po usunieciu zaznaczenia, wszystko dziala tak jak opisales.
    Jeszcze raz przepraszam za zamieszanie.
    Maciek
     
  9. z-ka
    Offline

    z-ka Moderator Contributor

    Dołączył:
    5 Luty 2009
    Wiadomości:
    274
    Local Time:
    14:40
    Oceny:
    +19 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Ja mam jeszcze jedno pytanie. Jakie jest znaczenie tych dwoch opcji: zapisz klucz kodowania i pobierz klucz kodowania? Przyznam, ze nie za bardzo to rozumiem co w praktyce znacza te dwie opcje.

    Aha. I jeszcze jedno. Czy jest mozliwosc zablokowania odblokowanego "kontenera" bez wykonywania restartu? Tak jak jest to w TrueCrypcie.
    Pozdrawiam
     
  10. domaniqoos
    Offline

    domaniqoos Nowy użytkownik Noobie

    Dołączył:
    2 Listopad 2009
    Wiadomości:
    7
    Local Time:
    12:40
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    zapisz klucz kodowania - zapisuje klucz kodowania w pamieci QNAPa, co nie jest bezpieczne, to jest wlasnie opcja, ktora mialem wlaczona podczas wykonywania komendy co powodowalo, ze bylo mozliwe uzyskanie przy jej /pomocy klucza. Faktycznie dziala to tak, ze w przypadku restartu urzadzenia, dysk jest montowany automatycznie, bez potrzeby wpisywania hasla. Jezeli zapiszesz klucz na QNAP, mozesz go usunac z pamieci podrecznej odklikujac zaznaczenie obok tej opcji.
    pobierz klucz kodowania - pozwala pobrac klucz do komputera, na ktorym pracujesz, taka kopia zapasowa klucza na wszelki wypadek.
    Na trzecie pytanie nie jestem w stanie odpowiedziec, poniewaz nie korzystam z kontenerow (korzystam z angielskiej wersji systemu, zatem jest mozliwe, ze nie zrozumialem tego pytania, u mnie sie one nazywaja volumes).
    Pozdrawiam
    Maciek
     
  11. z-ka
    Offline

    z-ka Moderator Contributor

    Dołączył:
    5 Luty 2009
    Wiadomości:
    274
    Local Time:
    14:40
    Oceny:
    +19 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x59 Pro
    Ethernet:
    1 GbE
    TS-x59 Pro 1 GbE
    Wlasnie nad tym sie zastanawialem. Jakos nie skojarzylem ze to chodzi o automatyczne logowanie. Co do trzeciego pytanie to mialem na mysli sposob dzialania taki jaki jest w TrueCrypcie. Pierwsza czesc, czyli montowanie w Qnapie i TC odbywa sie w sposob podobny. Tu i tu mozna zapisac klucz w celu automatyzacji calego procesu. Natomiast to o co pytam dotyczy fazy kiedy juz nie potrzebujemy korzystac z zaszyfrowanej zawartosci dysku. W TC mozemy go spokojnie odmontowac i do momentu, kiedy nie wprowadzimy ponownie hasla i nie bedziemy mieli dostepu do zawartosci. W Qnapie natomiast z tego co zauwazylem odlaczenie jest chyba tylko mozliwe poprzez restart calego urzadzenia. Czy mozna to zrobic bez restartu? Kontenerem nazywam poprostu ta czesc dysku, ktora jest zaszyfrowana i bez hasla sie do niej nie dostaniemy.
    Pozdrawiam
     
  12. domaniqoos
    Offline

    domaniqoos Nowy użytkownik Noobie

    Dołączył:
    2 Listopad 2009
    Wiadomości:
    7
    Local Time:
    12:40
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Ok, teraz rozumiem.
    Z tego co widze, to bez restartu nie ma opcji odmontowania zaszyfrowanego przy uzyciu web menu.
    Uzywajac wiersza polecen, w normalnym linuksie, odmontowanie moznaby przeprowadzic poprzez komendy:
    Kod (Text):
    1. # umount /share/HDA_DATA  lub  #umount /dev/mapper/sda3
    nastepnie
    Kod (Text):
    1. # cryptsetup luksClose sda3
    QNAP-owi jednak cos tutaj przeszkadza i twierdzi on, ze jest zajety. Troche boje sie forsowac odmontowania, poniewaz nie wiem dokladnie czym to urzadzenie jest zajete, wiec w tym przypadku mysle, ze najbezpieczniej jest go po prostu zrestartowac, aby uzyl swojej wlasnej procedury zamykania dysku. Ewentualnie musialbys troche pogrzebac w manualach i w samym QNAP-ie
    Powodzenia
    Maciej
     
  13. k0liber
    Offline

    k0liber Nowy użytkownik Noobie

    Dołączył:
    26 Październik 2009
    Wiadomości:
    2
    Local Time:
    13:40
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Re: automatyzacja odblokowywania zaszyfrowanego dysku twarde

    Witam,

    odmontować da się po wcześniejszym wywołaniu /etc/init.d/services stop Potem umount, a potem /etc/init.d/services start

    Pozdrawiam,

    k0liber

    PS. Przepraszam, jeśli forum nie dopuszcza dopisywania do starych postów, ale nie znalazłem (przyznam, że przy pobieżnym szukaniu) takiego zastrzeżenia, a pomyślałem, że info może się komuś przydać.
     

Poleć tę stronę