/dev/null - Overig

Ransomware gebruiken bij het afvoeren van oude hardware

02-01-2020, 13:30 door Anoniem, 16 reacties
Is het een idee om ransomware (welke goed werkt en welke bewezen recovery van data onmogelijk maakt) te gebruiken als een arme man's oplossing om data van oude hardware te vernietigen?

Nadat de ransomware alles onherroepelijk geëncrypt heeft, kan je altijd nog traditionele methoden gebruiken zoals DBAN (voor HD) en shredden.

Heeft het expres geïnfecteerd raken met ransomware enige toegevoegde waarde?
Heeft dit ook nut voor simpele gebruikers waarvoor DBAN te ingewikkeld is?

Een voordeel is dat deze methode zelfs werkt in een westers land waar bezit van sterke encryptie verboden is.
Reacties (16)
02-01-2020, 15:43 door Anoniem
According to the 2014 NIST Special Publication 800-88 Rev. 1, Section 2.4 (p. 7): "For storage devices containing magnetic media, a single overwrite pass with a fixed pattern such as binary zeros typically hinders recovery of data even if state of the art laboratory techniques are applied to attempt to retrieve the data."
02-01-2020, 16:36 door Anoniem
Door Anoniem: Is het een idee om ransomware (welke goed werkt en welke bewezen recovery van data onmogelijk maakt) te gebruiken als een arme man's oplossing om data van oude hardware te vernietigen?
Nee. Je wint er niets mee en het levert risico van uitbreken op.

Heeft het expres geïnfecteerd raken met ransomware enige toegevoegde waarde?
Heeft dit ook nut voor simpele gebruikers waarvoor DBAN te ingewikkeld is?
Je maakt het voor "simpele gebruikers" alleen maar gevaarlijker vanwege dat uitbraakrisico. Voor je het weet delft ook hun nog-te-gebruiken infrastructuur het onderspit. Dan is een bootable USB stick met DBAN een stuk veiliger. Daar staat duidelijk op wat het gaat doen als je op de startknop drukt.

Let wel: Veiliger, niet veilig. Sommige mensen moet je gewoon niet in de buurt laten van om het even welke computer, met of zonder DBAN-boot-stick. Dus ik denk niet dat "simpele gebruikers" zonder meer een nuttige doelgroep is. Voor het simpele maar effectieve werk moet je kijken hoe de Amerikaanse militairen het doen: Een sticker onderop de laptop met "voor data-destructie, hier schieten".

Een voordeel is dat deze methode zelfs werkt in een westers land waar bezit van sterke encryptie verboden is.
Eh? En bezit van ransomware in inzetbare vorm is er dan niet strafbaar en die ransomware die je dan dus bezit heeft ook geen sterke encryptie? Volgens mij klopt je logica niet helemaal. Of denk je dat "de deur openzetten voor ransomware" voldoende gaat zijn als verdediging tegen een aanklacht voor bezit van etc.?

DBAN werkt niet met encryptie: Die schrijft gewoon random data of nullen of afwisselend beide zonder dat de bruikbare data eerst gelezen en versleuteld moet worden. Dat is een stuk sneller en het effect is hetzelfde. Of beter in het geval van verzwakte encryptie met achterdeurtjes.

Maar gewoon al nullen over de hele rauwe schijf keilen (dd if=/dev/zero of=/dev/sda oid.) is voldoende om voor recovery naar geavanceerde rauwe leestruukerij te moeten grijpen, dus voor huis-tuin-en-keuken-gebruik eigenlijk al ruim voldoende. En al ruim beter dan "herformatteren" want dat schrijf alleen maar lege metadata en laat de rest ongemoeid, of helemaal niets doen zodat de nieuwe eigenaar alles gewoon kan lezen.

De grote datalekken zijn eigenlijk altijd doordat er echt helemaal niets gedaan is om de boel te wissen. Dus een hele korte instructie aan "eenvoudige gebruikers" waarom en hoe je DBAN een paar rondes over de schijf laat schrijven is veel beter en veel veiliger dan met ransomware gaan knoeien.
02-01-2020, 17:35 door Erik van Straten
Door Anoniem: According to the 2014 NIST Special Publication 800-88 Rev. 1, Section 2.4 (p. 7): "For storage devices containing magnetic media, a single overwrite pass with a fixed pattern such as binary zeros typically hinders recovery of data even if state of the art laboratory techniques are applied to attempt to retrieve the data."
Exact. En het risico dat daar morgen een "undo" oplossing voor verschijnt op https://www.nomoreransom.org/nl/ of van de ransomwaremaker zelf is nul, en het risico dat niet al jouw vertrouwijke gegevens (zoals wachtwoorden/private keys in het register of door de ransomware overgeslagen bestanden, waaronder swap- en hibernation files) worden gewist is verwaarloosbaar.

Belangrijk daarbij is dat je goed oplet dat daadwerkelijk de hele schijf wordt overschreven, of je dat nou 1x doet (dat is voldoende op zeg hooguit 10 jaar oude harde schijven zonder flash-memory-cache), of, als je paranoïde bent, 35x (d.w.z. de de bijna 24 jaar geleden door Peter Gutmann aanbevolen methode voor harde schijven in de orde van grootte van megabytes met extreem vertrouwelijke gegevens, en allang niet meer door de DoD vereiste methode - om te voorkomen dat dure specialisten in een gigantisch tijdrovende operatie in een laboratorium met prijzige apparatuur, nog iets van de oorspronkelijke data konden reconstrueren, waarbij de kans dat elke van die paar bits 0 of 1 was, iets meer of minder dan 50% was).

De kans dat een minder gespecialiseerd lab nog data terug kan halen uit mogelijk aanwezig flash-cache-memory, is een heel stuk groter, ik vermoed ook bij 35x overschrijven (overschrijven met random data is in elk geval beter, met alleen nullen bestaat de kans dat maar 1 blok van 512 bytes, of een klein veelvoud daarvan, in dat flash-cache-geheugen wordt overschreven).
03-01-2020, 08:04 door Anoniem
Door Anoniem: Voor het simpele maar effectieve werk moet je kijken hoe de Amerikaanse militairen het doen: Een sticker onderop de laptop met "voor data-destructie, hier schieten".

Door Anoniem: Een voordeel is dat deze methode zelfs werkt in een westers land waar bezit van sterke encryptie verboden is.
Eh? En bezit van ransomware in inzetbare vorm is er dan niet strafbaar en die ransomware die je dan dus bezit heeft ook geen sterke encryptie? Volgens mij klopt je logica niet helemaal. Of denk je dat "de deur openzetten voor ransomware" voldoende gaat zijn als verdediging tegen een aanklacht voor bezit van etc.?

DBAN werkt niet met encryptie: Die schrijft gewoon random data of nullen of afwisselend beide zonder dat de bruikbare data eerst gelezen en versleuteld moet worden. Dat is een stuk sneller en het effect is hetzelfde. Of beter in het geval van verzwakte encryptie met achterdeurtjes.

En een hoog kaliber vuurwapen in je bezit hebben is niet strafbaar?

Maar je hebt gelijk. Ransomware moet je toch ergens vandaan halen. En een phishingmailtje in je inbox laten staan is niet verstandig (je hebt virusscanners die dan je hele mailbox wissen omdat er ergens een virus in zit -> ClamAV).

Mijn idee was meer dat ransomware precies de eigenschappen heeft die je wilt hebben om data op je harde schijf te vernietigen. En er is erg veel van op het internet, dus er zit vast wel een hele goede bij die ook clustertips wiped bij wijze van spreken.

Bedankt voor de reacties!
TS
03-01-2020, 10:32 door Anoniem
Door Anoniem:En een hoog kaliber vuurwapen in je bezit hebben is niet strafbaar?
Niet als je de vereiste vergunningen bezit, en hoe dat zo verder gaat. En, nouja, 5,56x45 mm NATO is niet zo'n vreselijk hoog kaliber. Maargoed, daar ging het niet over. Als "usb stick in de computer steken, opstarten, en op de wisknop drukken" te moeilijk is, is gaan knoeien met gevaarlijke goedjes als malware niet aan te raden. Een schijf (en de laptop erbij) aan flarden schieten is een simpele, snelle procedure die dus in alle haast ook nog even uitgevoerd kan worden. Mits je weet waar je moet schieten, en daar is de sticker voor. Zonder wapenvergunning moet je wat anders verzinnen. Een ijspriem en een hamer bijvoorbeeld. Of je leert hoe je DBAN gebruikt, net hoeveel tijd je hebt en hoeveel bijkomende schade je wil accepteren.

Mijn idee was meer dat ransomware precies de eigenschappen heeft die je wilt hebben om data op je harde schijf te vernietigen.
Naast het gevaar van uitbraak, en de al dan niet slordige implementatie van encryptie, benadert het individuele bestanden. Je weet ook niet hoe zorgvuldig die malware is met precies de sectoren waar de onversleutelde data stond met verleutelde data te overschrijven dus je weet niet wat het fragmentarisch achterlaat voor disk-dump-analyse. Voor wiswerk pak je de hele fysieke schijf, niet de bestandjes en niet de logische schijven. Je wil namelijk niet de inhoud van individuele bestandjes wissen, maar alle data op de schijf inclusief wat waar stond en hoe de bestandjes heetten en zo verder.

Dus nee, ransomware is zelfs niet bij benadering het juiste gereedschap voor deze taak.

Je kan hooguit hopen dat een datadief dan zelf ook besmet raakt met de malware. Maar dan ben je dus met iets anders bezig. Niet meer met jezelf behoeden voor lekken door de schijf te wissen, maar met eventuele aanvallers een poets te bakken, en dan maar hopen dat ze zo dom zijn om onbeschermd je schijven te lezen. En dat is dan weer zo'n valkuil waar je ook heel goed zelf in kan vallen als je probeert je schijven voor het volgende project te herbruiken.

En er is erg veel van op het internet, dus er zit vast wel een hele goede bij die ook clustertips wiped bij wijze van spreken.
Als je het zeker wil weten ga je niet uit van "vast wel", dan ga je uit van iets wat bekend staat als "werkt" en je test het zelf ook nog even. (Hoewel de genoemde flash cache dat dan weer lastig maakt.)


Nog een risico is dat malware zich tegenwoordig zelfs in bijvoorbeeld de BIOS/UEFI-firmware zou kunnen nestelen, en zie het er dan maar eens uit te krijgen. Daar is mij in de "mainstream" nog niets van bekend maar het schijnt wel bij gerichte aanvallen al ingezet geweest te zijn. En je weet niet wat de toekomst brengt, maar wel dat malwareschrijvers niet minder gehaaid worden.
06-01-2020, 17:02 door Anoniem
Door Anoniem: Nog een risico is dat malware zich tegenwoordig zelfs in bijvoorbeeld de BIOS/UEFI-firmware zou kunnen nestelen, en zie het er dan maar eens uit te krijgen. Daar is mij in de "mainstream" nog niets van bekend maar het schijnt wel bij gerichte aanvallen al ingezet geweest te zijn. En je weet niet wat de toekomst brengt, maar wel dat malwareschrijvers niet minder gehaaid worden.

Ik heb het nog even gegoogled, maar firmware malware klinkt mij meer in de oren als anti-theft, zoals ook veel op smartphones aanwezig is (blokkeren op afstand).

Het is tegen het business model van ransomware om een backdoor achter te laten. Want als slachtoffers daar achter komen door eigen research, zullen ze de hardware vernietigen en hun data als verloren beschouwen (Wat sowieso het beste is bij elke infectie).

TS
06-01-2020, 17:33 door Anoniem
Door Anoniem:
Door Anoniem: Nog een risico is dat malware zich tegenwoordig zelfs in bijvoorbeeld de BIOS/UEFI-firmware zou kunnen nestelen, en zie het er dan maar eens uit te krijgen. Daar is mij in de "mainstream" nog niets van bekend maar het schijnt wel bij gerichte aanvallen al ingezet geweest te zijn. En je weet niet wat de toekomst brengt, maar wel dat malwareschrijvers niet minder gehaaid worden.

Ik heb het nog even gegoogled, maar firmware malware klinkt mij meer in de oren als anti-theft, zoals ook veel op smartphones aanwezig is (blokkeren op afstand).

Het is tegen het business model van ransomware om een backdoor achter te laten. Want als slachtoffers daar achter komen door eigen research, zullen ze de hardware vernietigen en hun data als verloren beschouwen (Wat sowieso het beste is bij elke infectie).

TS

Ik zou een geinfecteerde machine in elk geval nooit meer vertrouwen voor zaken die er echt toe doen.
Niet na betalen van het losgeld maar ook niet na een eigen herinstallatie. Eventueel zou je de BIOS/UEFI firmware nog kunnen flashen om de zaak iets betrouwbaarder te maken.
06-01-2020, 17:58 door Anoniem
Door Anoniem: Heeft dit ook nut voor simpele gebruikers waarvoor DBAN te ingewikkeld is?
Waarom zou een gebruiker die niet met DBAN overweg kan wel goed met ransomware om kunnen gaan? Laat de ransomware netjes zien wanneer hij klaar is? Weet zo iemand te voorkomen dat de ransomware zich verder probeert te verspreiden? Ik zou het risico niet willen nemen.

Een voordeel is dat deze methode zelfs werkt in een westers land waar bezit van sterke encryptie verboden is.
Over welk westers land heb je het? In Nederland is het bezit van sterke encryptie gewoon toegestaan. Als je ransomware bezit en gebruikt dan bezit en gebruik je trouwens ook sterke encryptie, want ransomware gebruikt het. Dat voordeel is er dus helemaal niet.

Het is al aangegeven in de eerste reactie: overschrijven met binaire nullen volstaat. Er is helemaal geen encryptie voor nodig.

Ik zou de gebruiker die niet met DBAN overweg kan aanraden iemand te zoeken die dat wel aankan, of die weet hoe je in Linux/Unix het dd-commando gebruikt, en die te laten helpen.
06-01-2020, 20:10 door Tintin and Milou
Vergeet niet dat ransomware vaak de bestandsnaam intact laat.

Veel ransomware pakt ook veelal alleen bepaald type bestanden, maar "data" kan uit veel meer bestaan. Oa tijdelijke bestanden die nog te recoveren zijn of bijvoorbeeld opgeslagen wachtwoorden.
07-01-2020, 10:35 door Anoniem
Door Tintin and Milou: Vergeet niet dat ransomware vaak de bestandsnaam intact laat.

Onder MS-DOS (FAT16) werd alleen het eerste character van een bestandsnaam gewist met een speciaal teken. Zie ook https://en.wikipedia.org/wiki/Undeletion (niet een lang artikel).

Met SSD's is dit nog gecompliceerder en zal DBAN niet werken door wear leveling van de geheugen cellen. Met goede ransomware wordt dit hopelijk allemaal afgevangen. Als je data terug kan halen gaat er immers niet betaald worden.

Ik heb ooit een freespace wipe gedaan op een USB stick van corsair, en deze heeft het niet overleefd. Dat is ook iets om rekening mee te houden. Als je harddisk bezwijkt onder een 35 pass DBAN weet je nog niet of data erop teruggehaald kan worden door iemand die je harddisk bij de vuilnis vindt. Dan zijn de tips van 10:32 nuttig.

Een goed operating system zou de tijd nemen om dingen als bestandsnamen en file data goed te wipen bij het wissen van bestanden. Maar ja, dit kost tijd en daar wil de gebruiker niet op wachten.

TS
07-01-2020, 11:12 door Anoniem
Ja hoor, dat kan. Met een iets sierlijker woord heet dat "crypto-shredding". Dat is een veelgebruikte techniek die met name in de cloud wordt toegepast. Ransomware doet deels hetzelfde, alleen dan niet opzettelijk (althans, niet door de eigenaar van de data). Daar ransomware voor gebruiken introduceert andere risico's zoals hierboven ook omschreven, dus dat zou ik afraden.

In theorie kun je dus je harde schijf versleutelen en vervolgens de sleutel vernietigen. Op die manier kun je (of iemand anders) de data niet meer ontsleutelen.

Voor een schijf waar je zelf fysieke toegang toe hebt, zijn er echter betere methoden - encryptie is typisch een ding dat uiteindelijk gekraakt wordt en de kans dat iemand de versleutelde schijf lang genoeg bewaart om hem wanneer het mogelijk is te ontsleutelen is klein, maar aanwezig. Wat je niet hebt (versleuteld of niet), kun je ook niet meer terughalen. Daarom zijn de hierboven beschreven methoden zoals DBAN beter. Als je geen fysieke toegang hebt tot de schijf (denk cloud) is cryptoshredden een goed alternatief.
07-01-2020, 11:14 door Anoniem
Door Anoniem:
Door Tintin and Milou: Vergeet niet dat ransomware vaak de bestandsnaam intact laat.

Onder MS-DOS (FAT16) werd alleen het eerste character van een bestandsnaam gewist met een speciaal teken. Zie ook https://en.wikipedia.org/wiki/Undeletion (niet een lang artikel).

Met SSD's is dit nog gecompliceerder en zal DBAN niet werken door wear leveling van de geheugen cellen. Met goede ransomware wordt dit hopelijk allemaal afgevangen. Als je data terug kan halen gaat er immers niet betaald worden.

Ik heb ooit een freespace wipe gedaan op een USB stick van corsair, en deze heeft het niet overleefd. Dat is ook iets om rekening mee te houden. Als je harddisk bezwijkt onder een 35 pass DBAN weet je nog niet of data erop teruggehaald kan worden door iemand die je harddisk bij de vuilnis vindt. Dan zijn de tips van 10:32 nuttig.

Een goed operating system zou de tijd nemen om dingen als bestandsnamen en file data goed te wipen bij het wissen van bestanden. Maar ja, dit kost tijd en daar wil de gebruiker niet op wachten.

TS
Er is in principe slechts 1 juiste oplossing voor vernietigen van SSD's en dat is fysieke vernietiging. Deze methode is de enige goedgekeurde methode door het department of defense in de USA (daar wordt toch vaak naar gekeken op het gebied van security). De reden die je aanhaalt waarom DBAN niet effectief zou zijn, geldt natuurlijk net zo goed voor ransomware.
07-01-2020, 12:15 door Anoniem
Heeft het expres geïnfecteerd raken met ransomware enige toegevoegde waarde?

Nee. Ook neem je het risico dat de ransomware niet enkel informatie versleutelt, maar ook informatie van jou doorstuurt naar criminelen. Waarom zou je in hemelsnaam ransomware gebruiken, voor dit doeleinde ? Er zijn meer dan genoeg betrouwbare tools om een schijf veilig te wissen. En eventueel vernietig je de schijf fysiek.

Mag ik je vragen hoe je op het idee komt ransomware te gebruiken voor dit doeleinde ? ;)
07-01-2020, 12:16 door Anoniem
Een voordeel is dat deze methode zelfs werkt in een westers land waar bezit van sterke encryptie verboden is.

Waarom zou je sterke encryptie nodig hebben, wanneer je ook secure kan wissen. Net zo onzinnig als ransomware installeren om je schijf te wissen.
07-01-2020, 12:46 door Anoniem
Gewoon de shredder in.
07-01-2020, 19:53 door Anoniem
Door Anoniem: Mag ik je vragen hoe je op het idee komt ransomware te gebruiken voor dit doeleinde ? ;)

Ja hoor.

Ik heb ooit in de hacktic over PGP gelezen https://hacktic.nl/magazine/1634.htm. En hoewel ik er niet veel van snapte ben ik er toch een beetje een cypherpunk door geworden.

Ik ben actief geweest in nieuwsgroepen over PGP e.d., en daar kwamen ook dingen als full disk encryptie en secure deletion ter sprake. (Met PGP is het heel belangrijk dat de file die je gaat encrypten ook gewiped kan worden).

Op mijn oude computers gebruikte ik Eraser van Heidi, maar ook CCleaner van Piriform om free space te wipen. Dit deed ik regelmatig.

Sinds kort heb ik een nieuwe computer met Windows 10 en een SSD drive. En ik mis eigenlijk het gevoel van veiligheid dat ik had onder bijvoorbeeld Windows XP. Alles gaat maar het internet op om gedeeld te worden en ook op een vorige Windows 10 computer die ik gebruikte knipperde het harddisklampje voortdurend. Waarom is Photos onder Windows 10 zo traag vergeleken met IrfanView vroeger op mijn XP systemen? Ik word daar heel zenuwachtig van en ik durf niets meer te doen of te installeren op mijn Windows 10 computer. Bang dat het ergens in de cloud terecht komt. Buiten mijn controle.

Maar ik volg de berichten hier over UM en Clop en ik dacht, kan je daar nu niet iets nuttigs mee doen? En ik kwam tot de conclusie dat Clop eigenlijk een groot encryptie en wipe programma is. Als je daar de slechte dingen uit kan halen (zoals het gebruik van internet om de sleutel naar de makers te sturen), is het misschien best een interessant programma. En de makers willen hetzelfde als ik. Namelijk dat mijn persoonlijke data op mijn harddisk niet meer toegankelijk is.

En nu zegt 11:12 dat het al bestaat. Onder de naam crypto-shredding. Prachtig dit!

TS
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.