Un ordenador sin números de serie ni huellas dactilares ha sido retirado por la policía islandesa de un despacho auxiliar del parlamento de ese país. Las autoridades indican que el aparato estaba conectado a la red informática interna del parlamento y parece haber sido instalado por expertos. El despacho auxiliar había sido empleado por el Partido por la Independencia y el grupo El Movimiento.
Posiblemente tuviera algún sniffer para pillar cómodamente el tráfico de la intranet y luego enviase lo relevante por internet a algún despacho de la cia para su posterior estudio.
con lo sencillito que es montar un "pico pc" y meterle truecrypt, a ver quien es el guapo que desencripta eso.
Hoy en día puedes meter un pc "escondido" hasta dentro de un teléfono ip... al final seguro que será un servidor torrent
Pues se han lucido tanto los del parlamento como el experto con el que ha hablado el periódico.
Primero, si ves algo tan sospechoso como eso, no se toca! ¿Es que esta gente no ve CSI? Porque a saber qué ptrotocolo se ha seguido para desconectarlo Sería interesante saber si el equipo en cuestión está configurado para volver a arrancar cuando se conecte de nuevo (anti cortes de corriente), y si lo está es de suponer que no requiere acceso físico (contraseña en teclado). Por ejemplo algo montado que bajara un microOS de internet cada vez que arranca, pero bueno.... suposiciones.
#2 Si está en marcha, no hace falta descifrarlo. Se hace una "captura en vivo" que se suele decir y que es lo común en casos con truecrypt, pgp y similares. Además están los ataques "cold boot" donde bajo ciertas condiciones es posible recuperar información, incluyendo claves de cifrado del disco, de la RAM antes de que se borre.
Y la perla del experto:
"Information written to disk can be recovered by experts even after being overwritten several times unless you let the computer run for a few hours constantly 'covering up' its information"
Errhmm, a ver. Se ha demostrado en laboratorio que es posible recuperar algo de información después de un wipeado Gutmann (36 pasadas), pero principalmente en discos viejos donde la densidad de información (físicamente hablando) es menor y es más facil reconocer los campos magnéticos reorientados. Pero en los discos actuales la cosa es muchísimo más complicada y si se ha hecho bien, no hay nada que hacer.
Otra cosa sería si hablamos de almacenamiento SSD, que por la forma en la que hace las escrituras da lugar a que existan bloques de datos originales incluso después de un wipeado. Pero por la forma en la que lo dice, parece que habla más de oídas que de otra cosa.
Lo que deberían haber hecho es avisar a la policía sin tocar nada, aislar al equipo de la red (rutas, parcheando switches, etc.. para que no siga con acceso a tráfico u otros ordenadores) y monitorizar intentos de conexión entrantes y salientes. Por otra parte hacer una copia en vivo del disco y de la RAM. Por supuesto es muy fácil criticar a posteriori cuando lo normal es que un cualquiera se haya dejado el emule conectado allí para que no lo pillen... pero joder, que es el parlamento!!
Comentarios
Posiblemente tuviera algún sniffer para pillar cómodamente el tráfico de la intranet y luego enviase lo relevante por internet a algún despacho de la cia para su posterior estudio.
no dice nada de cámaras de seguridad, sera que no tienen??
pasará continuamente, pero lo publican bien poco, sólo eso.
him-presionada.
con lo sencillito que es montar un "pico pc" y meterle truecrypt, a ver quien es el guapo que desencripta eso.
Hoy en día puedes meter un pc "escondido" hasta dentro de un teléfono ip... al final seguro que será un servidor torrent
Pues se han lucido tanto los del parlamento como el experto con el que ha hablado el periódico.
Primero, si ves algo tan sospechoso como eso, no se toca! ¿Es que esta gente no ve CSI? Porque a saber qué ptrotocolo se ha seguido para desconectarlo Sería interesante saber si el equipo en cuestión está configurado para volver a arrancar cuando se conecte de nuevo (anti cortes de corriente), y si lo está es de suponer que no requiere acceso físico (contraseña en teclado). Por ejemplo algo montado que bajara un microOS de internet cada vez que arranca, pero bueno.... suposiciones.
#2 Si está en marcha, no hace falta descifrarlo. Se hace una "captura en vivo" que se suele decir y que es lo común en casos con truecrypt, pgp y similares. Además están los ataques "cold boot" donde bajo ciertas condiciones es posible recuperar información, incluyendo claves de cifrado del disco, de la RAM antes de que se borre.
Y la perla del experto:
"Information written to disk can be recovered by experts even after being overwritten several times unless you let the computer run for a few hours constantly 'covering up' its information"
Errhmm, a ver. Se ha demostrado en laboratorio que es posible recuperar algo de información después de un wipeado Gutmann (36 pasadas), pero principalmente en discos viejos donde la densidad de información (físicamente hablando) es menor y es más facil reconocer los campos magnéticos reorientados. Pero en los discos actuales la cosa es muchísimo más complicada y si se ha hecho bien, no hay nada que hacer.
Otra cosa sería si hablamos de almacenamiento SSD, que por la forma en la que hace las escrituras da lugar a que existan bloques de datos originales incluso después de un wipeado. Pero por la forma en la que lo dice, parece que habla más de oídas que de otra cosa.
Lo que deberían haber hecho es avisar a la policía sin tocar nada, aislar al equipo de la red (rutas, parcheando switches, etc.. para que no siga con acceso a tráfico u otros ordenadores) y monitorizar intentos de conexión entrantes y salientes. Por otra parte hacer una copia en vivo del disco y de la RAM. Por supuesto es muy fácil criticar a posteriori cuando lo normal es que un cualquiera se haya dejado el emule conectado allí para que no lo pillen... pero joder, que es el parlamento!!
En fin, perdón por el coñazo este