Как се отваря криптиран компютър? Този въпрос съвсем доскоро звучеше като абракадабра за тесни специалисти, но ето че пробиването на НАП промени нещата. От няколко дни това се питат сравнително широк кръг хора. Ето защо.
Прокуратурата обяви, че е успяла да проникне в един от криптираните компютри, иззети от офиса на „ТАД Груп“. Разследващите твърдят, че там са открили улики, на базата на които обвинението на заподозрения Кристиян Бойков е променено в кибертероризъм, а като обвиняеми са привлечени търговският директор и собственикът на фирмата.
Адвокатите на защитата смятат, че това е малко вероятно. Критичността, с която често се пише за адекватността на държавното обвинение, подсилва въпроса: възможно ли е да е вярно всичко разказано или не?
Макар и много трудно, проникването в криптиран компютър не е невъзможно, каза IT специалистът с години опит в областта на корпоративната киберсигурност Иван Ванков, с когото Свободна Европа се свърза след като той публикува текст по темата в блога си.
„На теория би следвало тези защити да не могат да бъдат преодолени лесно“, каза пред Свободна Европа експертът Димитър Ганчев, член на управителния съвет на „Интернет общество - България“ и консултант на частни фирми. „Всеки алгоритъм обаче има своята особеност, която макар и в редки случаи може да компрометира сигурността.“
И двамата експерти уточниха, че това са хипотези и те не могат да знаят какъв е случаят при компютъра на „ТАД Груп“, за който прокуратурата твърди, че е декриптиран.
Как се криптира компютър
Има два основни варианта за криптиране на компютър, които са предназначени за различни потребители, обясни Ванков.
„Единият е т. нар. софтуерно криптиране. Това са програми, които често идват със самата операционна система. По време на инсталирането на операционната система, програмата криптира целия твърд диск. Използва се парола, която човек никога не трябва да забравя, защото тя не може да се възстанови. Всички данни, които се записват на твърдия диск, са в криптирана форма. Т.е. ако някой ви открадне компютъра или загубите диска, той не може да го прочете без да има паролата“, обясни експертът в телефонно интервю.
Той изтъкна, че този вариант за защита е лесен за използване и общодостъпен. Той обаче не дава 100% гаранция. „Ако компютърът ви бъде откраднат, няма да бъде лесно за крадеца да възстанови паролата. Но определени специалисти в някои ситуации биха могли да възстановят информацията. Това зависи от използвания софтуер, от сложността на паролата и т.н.“
Другият вариант, когато се търси най-голямата възможна сигурност, са т.нар. HSM (Hardware Secure Module). „Това са специални чипове, които се слагат при производството на компютрите. Вие на практика никога не пишете пароли, те се грижат за криптирането и декриптирането. Те са направени така, че ако някой се опитва да ги манипулира по какъвто и да е начин, те се самоунищожават. Тези устройства по принцип не са насочени към обикновения потребител. Обикновено се използнат в сървъри или за защита на много критична информация“, каза експертът и даде за пример компютрите на високопоставени военни и дипломати.
Най-често експертите по киберсигурност също използват софтуерни решения, а не HSM, каза Ванков. „Но те много добре разбират как работят те и ги оптимизират. Повечето от тях използват LUKS – софтуер, който работи само под Linux. При него досега няма известен вариант за хакване. Ако има някакъв пробив, той става през изтичане на паролата.“
Как се пробива защитата
Има няколко варианта за пробиване на софтуерното криптиране на компютри.
Ако потребителят е бил мързелив и е въвел много проста парола, времето за уцелване на паролата е от една секунда до няколко дни
Един вариант е атака с „груба сила“ (brute force), при която целта е да се уцели паролата с произволно генерирана комбинация от цифри и букви от компютър. Тя работи добре само когато паролата е слаба, изтъкна Иван Ванков. „Ако потребителят е бил мързелив и е въвел някаква много проста парола, времето за уцелване на паролата е от една секунда до няколко дни. Ако имате парола, която е с 6 символа, тя може да се пробие за секунди. Ако паролата ви обаче е от 12 символа, отиваме на стотици хиляди години.“
„Обикновено когато трябва да се пробие защитата на компютър, винаги се пуска една такава атака, за да се види дали пък човекът не е въвел някаква много проста парола. Ако не успеят да я пробият за няколко дни, значи паролата е сериозна и този метод не е ефективен“, обясни Ванков.
Времето за разбиване на сложна парола не може да бъде съкратено до 10 дни
„Изпробването на всички възможни пароли би могло да отнеме безкрайно дълго време. Ако се знае нещо от паролата – нейната дължина например това време може да бъде съкратено значително. Въпреки това не може да бъде съкратено чак до няколкото дни, за които стана дума“, каза Ганчев.
За да стане това в рамките на посочения от прокуратурата период, възможностите са няколко. „Един вариант е все пак някой да им е дал паролата. Друг вариант е тази парола да е съвпадала с нещо друго, което са знаели.“
Трета възможност според него е през криптопроцесор, използван при някои компютри (Trusted Platform Module, TPM), в който се съхранява ключа за декриптиране на хард диска. „Този чип трябва да е сигурен, но всъщност не е. Ако не е опреснен неговия собствен софтуер, може с технически средства (като се „подслушва“ комуникацията между този чип и дънната платка) да се извади ключа.“
Друг вариант за пробиване на защитата на компютъра, който и двамата експерти посочиха, е ако някой получи физически достъп до него, докато той е включен или в хибернация. „Когато стартирате компютъра, вие въвеждате парола. Този ключ трябва да стои някъде, защото е необходим за непрекъснатото криптиране и декриптиране на информацията. Единственото място, където може да се съхранява, е RAМ паметта. Тоест ако някой успее да източи RAM паметта, ключът със сигурност е там.“ Те изтъкнаха, че това не може да стане, когато компютърът е изключен, защото при угасването му, цялата информация от RAM паметта се изтрива.
Задната вратичка
„Има още един хипотетичен вариант – ако в алгоритъма за криптиране има уязвимост, която не се знае публично, но за която службите имат информация“, изтъкнаха експертите. Задната вратичка е нещо като универсален ключ, с който може да се отключи всяка криптография, която е криптирана с този конкретен софтуер.
Нашите служби може да са помолили чуждите такива да им съдействат за намиране на "задната вратичка"
„На пръв поглед изглежда сякаш той работи добре, но определени хора знаят за тази „задна вратичка“, каза Ванков. „Имаше множество такива скандали през годините с китайски, руски и американски служби, които модифицират масово достъпен софтуер, за да му поставят такива „вратички“ и ги използват. Това е политика на големите държави от десетилетия, защото това е част от мерките им за киберсигурност.“
Той изтъкна, че целта на съществуването на този ключ е да се използва при извънредна ситуация като заплаха за националната сигурност. „Ако са използвали подобен софтуер, нашите служби може да са помолили чуждите такива да им съдействат“, смята той.
