Как создать скрытую ОС с доступом по ключевому файлу расположенного в сети?

Question

[Rasty]

Подскажите пожалуйста, есть ли возможность создать скрытую ОС на диске например через veracrypt, для доступа к которой использовался ключевой файл, или токен находящиеся в сети.

Comments

[Василий Банников]

А какую задачу вы хотите этим решить?

[Кот Абсолютный]

Василий Банников, Да как обычно - смотреть порнуху, пока мамка не видит :) Вопрос кстати совершенно правильный.

[Василий Банников]

CityCat4, я скорее придираюс к ключу в сети.

[Rasty]

Василий Банников, есть мысль создать скрытую систему, которая загружается только тогда, когда есть какой нибудь ключ в сети, и в момент когда посторонние личности, яростно интересующиеся нашей ит инфраструктурой нагрянут к нам в офис, быстро выдернуть ключик (удалить файл, отключить порт и т.п).

[Rasty]

CityCat4, с порнухой вопрос решен) https://habr.com/ru/post/133473/

[Василий Банников]

Rasty, интересный кейс.

[Кот Абсолютный]

Rasty, Эх чувак, чувак... Тебе приходилось уже сталкиваться с ситуацией, когда грядут посторонние личности? Вот сидишь ты весь такой в белом, а к вам в помещение заходит плечистый дяденька в штатском и предлагает всем оставить свои рабочие места и выйти в коридор. Выдергиваешь ты ключик, тачка пошла в ребут и встала на поиске ключа...
Плечистый дяденька берет по одному юзеров и подводит их каждого к своему рабочему месту, чтобы тот ввел пароль и его комп просмотрел Ыксперд (сам Плечистый вряд ли понимает слово "сервер" - у него другие задачи). И вот доходит дело до тебя, ты говоришь конечно же "ничего не знаю, дяденька, сдох наверное" (там же наверняка будет простой текстовый запрос/предупреждение на английском). И тут Ыксперд говорит "а он ключа ждет, без него не загрузится". Плечистый поворачивается к тебе и говорит "вставьте ключ".

Что будешь делать? Вот есть ты, а вот - напротив тебя следак, который просит тебя совершить некое действие (а добиваться того, чтобы их требования выполнялись - это как раз то, что хорошо умеет Плечистый). Что будешь делать? Таки вставишь ключ (и обнулишь всю свою идею о "скрытой системе") или же будешь упираться и раскручиваться на УК РФ статья 294, часть 2? (Уже не говоря о том, что создание каких бы то ни было "скрытых систем" в нормальной конторе сразу анально карается местной СБ)

Я вот честно не понимаю, почему все вот такие малолетние придурки умники считают, что "пришедшие" будут непременно играть по их правилам? Зачем им ломать какие-то ключи, когда рядом стоишь ты - значительно более уязвимый и знакомый им, нежели какие-то там сервера и ключи?

[Rasty]

CityCat4, Братюнь, судя потому какую пасту ты написал, у тебя опыт есть... Так как по твоему избежать набутыливания?

p.s. необязательно посторонние личности - это силовые ведомства. Требования защитить ОС от посторонних глаз.

[Кот Абсолютный]

Rasty, есть-есть :) небольшой, но крайне познавательный :) руководство тогда так было впечатлено, что до сих пор нагнет любого, кто будет уличен в установке пиратки.
Как избежать? Ну... например вот зачем защищать целиком ось? Ценностью обычно являются документы, базы, все такое. Есть такое понятие, как "отрицаемое шифрование", то есть когда шифроконтейнер не выглядит как шифроконтейнер, а выглядит как просто мусорный файл (хотя, разумеется, если будут искать целенаправленно - это не поможет). Еще можно удалением ключа запустить триггер безвозвратного удаления всего контейнера (разумеется имея его копию где-нибудь в Занзибаре).
Ну, в крайнем случае, разумеется идут в ход административные меры - офис укрепляется так, чтобы на его взлом потратили достаточно времени, чтобы успеть активировать процедуры аварийного удаления :)
Да это недешево, но безопасность всегда дорога.
Ну, а насчет постронних глаз (исключая людей в сером и государство вообще) - тут все зависит от того, чьи это глаза, чей компьютер, на котором это делается и какие права у тех, у кого глаза в отношении этого компьютера.

Скажем, на личном компе никто Вам не может указать, что ставить и никто не может ставить что-то без Вашего ведома (не нарушая закон, ессно). А вот на рабочем компе работодатель воротит, что хочет (ну, в нормальных-то странах конторах :) )

Answer 1

[rPman]

Раздача парольных вещей по сети - ненадежна, ведь обнаружить подобное будет можно с любой машины в этой же сети.

А так. Организуешь машину (например виртуалка на смартфоне), раздающую dhcp и tftpd для pxe network boot, собственно по сети только загрузочный диск (боюсь для windows придется попотеть но в теории это возможно).

Для linux подобная схема позволяет вводить парольную фаразу удаленно, подключившись по ssh к мини серверу в момент загрузки, например с того же смартфона. Т.е. вся возня в настройке подобной схемы - инструменты, которые позволяли бы проконтролировать со смартфона что именно к нужному железу произошло подключение и нет прослойки злоумышленника/подмены этого железа.