Криптоафёра

Сохранность носителей информации

Если бы не выбор слова TREZOR, в качестве названия для так называемого криптокошелька, этой статьи бы не было.

Что беспокоит играющихся в криптовалюты граждан, так это сохранность их, как они считают, денег. Сохранность формируется двумя факторами: не потерял и не украли. Все привыкли, что ценности надо хранить в сейфе, который и обеспечивает (при адекватности его защитных характеристик имеющимся рискам) защиту того, что в него положили, от утраты или кражи.

Вообще говоря устройство для хранения кодов доступа называть сейфом, по меньшей степени, странно. То, что флеш-память является самым ненадёжным носителем информации, знают почти все. Ни один из существующих сегодня и существовавших ранее типов носителей информации не обладал настолько низким порогом количества допустимых циклов записи.

Но начать надо с того, что допустимая для них температура хранения, должна находится в диапазоне от 10°С до 40°С. То есть, один раз забытая в машине на пару часов зимой или летом флешка имеет полное право выйти их строя. Из-за специфического устройства файловой системы, в отличие от традиционных жёстких дисков, шансов на восстановление “слетевшего” файла практически нет. При этом они боятся влажности и, что бы не заявляли продавцы — всяческих сканеров служб безопасности.

Примите к сведению, что у одного из ведущих мировых производителей по имени Kingston на официальном сайте впрямую написано: “сканирование, применяемое почтовым ведомством США, может привести к повреждению этих накопителей”. Кстати, гарантийный срок эксплуатации этих девайсов составляет всего 3 года.

Криптокошелёк ТРЕЗОР Сейф для криптовалюты TREZOR

Степень ненадёжности этих носителей такова, что тот же Kingston пишет: “Не храните важные данные только на флеш-устройствах хранения данных”. То есть, как носитель постоянной информации, а коды доступа к криптокошельку по сути неизменны, флешки в принципе непригодны.

Теперь об аферистах, продающих “криптокошельки”. Флешку от неизвестного производителя, с неизвестным алгоритмом шифрования данных, крохотного, по сегодняшним меркам объёма (хотя обычно на все валюты достаточно пары мегабайт) как правило продают в два-три раза дороже, чем специализированные многогигабайтные флешки со встроенными промышленными протоколами шифрования (FIPS 140-2 Level 3 или FIPS-197, 256 бит AES) от того же Kingston.

Флеш память с кодированием

Выводы

Вывод 1. Из всех, когда либо существовавших в истории, носителей цифровой информации, флэш-память является одним из самых НЕнадёжных. Поэтому все виды продающихся на рынке “криптосейфов” являются одним из плодов, произрастающих на Поле Чудес.

Итак, мы разобрались с рисками уровня “потерял”. Теперь поговорим про “украл”. Вообще говоря, те, кто профессионально занимаются защитой информации, знают, что всё, существующее в цифровом виде, можно украсть, как его не защищай. Вопрос всегда упирается в сумму затрат на организацию хищения.

Как Вы думаете, почему где-то лет 20 назад, находящееся на Лубянской площади учреждение, начало на регулярной основе закупать пишущие машинки со специфическими расходными материалами? Именно потому, что они, как никто другой, понимают риски и знают методы сохранения. Кража криптовалюты, чего так боятся обыватели, есть ни что иное, как кража логина и пароля. Для чего существует множество методов, в большей части, основанных на перехвате последовательности символов, передаваемых от одного электронного устройства к другому.

Поскольку невозможно избежать длинной цепочки из аппаратных и программных средств, начинающейся с того, что именуется неприличным словом HuI (human interface), нужно хотя бы стараться её либо сократить, либо упростить участвующие в ней девайсы. То есть чем тупее клавиатура, тем лучше.

Криптокошелёк - сейф

Вместо этого, покупателям “криптокошельков” предлагается воткнуть в цепочку между файлом с последовательностью символов и сервером авторизации некое устройство с плохо понятным функционалом и программным обеспечением. Кто может гарантировать отсутствие в софте, вшитом в флешку, простого накопителя последовательностей и подпрограммы слива данных на сторонний сервер?

Для тех, кто в танке, следует пояснить ещё одну пикантную особенность, связанную с шифрованием передаваемых данных. Все используемые алгоритмы шифрования информации, передаваемой через публичные, то есть всем открытые сети, построены на том, что используется некая математическая функция, которая оперирует с двумя переменными. Одна из переменных является Вашим логином и паролем, а вторая - так называемым ключом шифрования. Количество используемых в криптографии функций невелико и они все описаны в соответствующих учебниках. Соответственно, для того, чтобы извлечь из зашифрованного сообщения необходимую информацию, необходимо иметь ключ шифрования.

Про то, как устроены системы симметричного и ассиметричного шифрования, чем открытый ключ отличается от приватного, любопытные могут почитать на профильных ресурсах, включая викидурию.

Но все эти исхитры, есть не более чем попытки натянуть сову на глобус. Принципиальная ненадёжность всей принятой на сегодня в интернете системы шифрования заключается в том, что в рамках ip протокола вся, то есть абсолютно вся информация передаётся по открытым сетям определённым образом инкапсуливанной в стандартные пакеты. Которые, по сути любой, подключённый к той же сети, может перехватить и извлечь необходимую ему информацию. В том числе и любые формы ключей. Всё ограничивается только тем, что DPI оборудования не очень много и оно дорогое. Пока ещё. Хотя у нормальных операторов связи оно уже давно установлено. Просто государству Ваши копейки не интересны и из потоков трафика выуживается совсем другое.

Единственным надёжным методом шифрования является физическая передача ключа из рук в руки. То есть те, кто верит, что тот же Телеграм с его end-to-end-encription, обеспечивает приватность, не более чем наивные чукотские юноши, не заметившие, что все ключи от Васи к Пете прошли через базовые станции двух сотовых операторов и ещё от пяти до пятидесяти активных устройств, каждое из которых может оказаться тем самым DPI (deep packet inspection).

Вывод 2. Надеюсь Вы поняли, что если серьёзные дяди решать обнулить Ваш криптокошелёк, они это сделают, а Вы даже моргнуть не успеете. Поэтому Ваша настоящая задача, это уберечься от мелких карманников. Вот здесь как раз, если Вы не можете просто навсегда запомнить пароль, а этого практически никто не может, лучшим решеним будет бумажка, лежащая в нормальном, физическом сейфе. Желательно задублированная в двух разных локациях. Не хотите бумажку, запишите на одноразовую CD-болванку, они не размагничиваются, выдерживают бОльшую температуру чем любой другой цифровой носитель, стоят 3 копейки и “живут” до 100 лет. Флешки - это для глупых и ленивых.

Про продавцов сейфов

Я долго думал, что же у нас в стране сложилось неправильно с продажей сефов. Ставя себя на место обыкновенного покупателя я всё время приходил к выводу, что проблема кроется именно в людях. Не комментируя средне-птушный уровень образования “сейфовой” публики (я не про откровенно убогих продавцов-консультантов, а именно про тех, кто рулит “бизнесом”), проблема находится в культурно-этическом разрезе. В анналы вошла история, когда один, из считающих сегодня себя чуть ли не столпом сейфового бизнеса, торговавший до этого кокардами и офицерскими звёздочками, продав первый раз сейф и откровенно обалдев от полученной маржи, купил бутылку какого-то второсортного вискаря и распевая песни, осваивал её на глазах устремляющихся в находившееся неподалёку от его “гнезда” метро Кузнецкий Мост граждан. Даже подобного рода окружающие нас питекантропы не так уж и страшны.

Серьёзной проблемой являются “господа”, начавшие свой бизнес с вульгарного обворовывания своих предыдущих работодателей. А с развитием интернет-торговли появился новый слой “героев”, выросших из водителей-экспедиторов, сколотивших свой “первоначальный капитал” исключительно по-Российски инновационным методом - не донеся выручку до кассы. И весь этот сегмент продаж на сегодня почти полностью заполнен укравшими у укравших. А ведь продают они системы безопасности! Как можно доверять свои ценности подобным “героям”? Но люди наши наивны до беспредела, а потом искренне удивлятся, почему вместо сейфа им “впарили” мутный железный ящик, а, после исключительно дешёвой доставки, следом пожаловали уже незваные гости со всеми вытекающими последствиями.

Самым страшным, для покупателя сейфа, расчитывающего получить некоторый уровень безоппасности, является даже не глуповатые и вороватые продавцы, а господа с откровенно деформированной ментальностью, не считающие зазорным обманывать покупателей. Когда, на самой заре всего этого бизнеса, на одной из первых выставок проходила дискуссия о будущем, и некий господин, впоследствии пожелавший монополизировать весь рынок, громогласно рассуждал на тему “ну для испытаний-то мы экземпляр подготовим”. Присутствовавшие при этом европейские поставщики откровенно вытянули лица и вежливо сделали вид, что ничего не поняли. Ведь назвать в лицо автора этих слов вором было не очень вежливо. Хотя, по факту, он им и является. Как рыба тухнет с головы, так и компании оказываются поражены раковой болезнью обмана своих клиентов. Причём, с интенсификацией тренингов персонала, те самые фронт-мены, с кем общаются покупатели, свято верят в ту ложь, которую тем вдолбили на занятиях.

Дать совет, как отличить порядочного “сейфового” человека от остальных, практически невозможно. Ведь любой алгоритм будет неизбежно выучен, а, даже применение полиграфа, не спасёт от того, кто свято верит в ту, мягко говоря, пургу, которую ему вложили бизнес-тренеры.

Хотя ради справедливости следует отметить, что некоторые покупатели могут дать фору самому прожжёному "менеджеру по продаже сейфов". Забрёл тут к нам один клиент. Долго рассматривая сейфы KASO, которые, как всем известно, внешне класс от класса отличить невозможно, сделал следующее предположение: “а что мол Вам мешает табличку с класса на класс перевешивать....” Далее была финальная сцена из “Ревизора”. Конечно захотелось задать встречный вопрос - а купюры Вы вчера сами нарисовали или сосед помогал?

Контур сейфа

В качестве объекта очередного народного теста нами был выбран ранее не трогавшийся производитель по имени Контур. Что привлекло внимание: на протяжении многих лет (а существует он очень давно) не делавший ничего, на что мог бы упасть глаз, и вечно находившийся на уровне металлоремонта из Марьинского полуподвала, неожиданно начал печь огневзломостойкие сейфы. И дошёл уже до класса 2 (вот и его сертификат), на который, как всем может показаться, уже можно положиться.

Не имея никакого представления, из чего же пекутся эти сейфы, решили поковырять приобретённый образец инструментом, не требующим втыкания в розетку. На эту мысль навёла реклама, заявляющая, что “пространство между наружным и внутренним корпусами заполнено материалами и конструктивными элементами, обеспечивающими необходимую для данного изделия взломостойкость”.

Конечно же озадачило, что сейф второго класса ростом под 70 см весит всего 145 кило. На заднем плане фотографии видны намного меньшего размера сейфы SMP Salopian, маленький весом в 188 кг, побольше, ростом как раз в 64 см - в 260 кг. И это всё при классе 1.

Было очень интересно, что за магические материалы использует этот завод. Неужели опять суперфанеру? Хотя те же валберги ещё легче. Наверное технологическому прорыву поспособствовало присоединение этого завода ко всем известной “ассоциации” и её одобрение, гордо наклеенное на заднюю стенку двери.

Ещё одним привлекательным фактором стало то, что этот сейф, как и большинство продукции под именем Контур, сертифицировано Питерским “Нева-Стандарт”, которого уж очень рекомендует упомянутая ассоциация, как чуть ли не единственный и самый-самый орган.

В качестве орудия поковырять стенку была выбрана аккумуляторная дрель и коронка по железу, гипсокартону и дереву. А вдруг там действительно фанера? Делавшие когда-либо ремонт на кухне, с этим инструментом должны быть хорошо знакомы. Размер был взят соответствующий частичному доступу по нашему любимому сейфовому стандарту. Это чтобы рука внутрь пролезала.

В общем дырка была пропилена минут за 5-6, видео и хронометраж последует. Хотя, конечно аккумуляторный инструмент, предназначенный для сверения отверстий до 13 мм сильно слабоват для проделывания дырок за 120мм.

Состав стенок сейф был обнаружен следующий: наружный лист в 2.5мм, внутренний лист в 1.5мм, между ними два листа просечки (это то, что для ступенек на стройке используется и было обнаружено в валберг-рубеже их “4-го класса”) и какого-то странного уголка. Все 8см междустеночного пространства залиты какой-то песчаной дрянью, не имеющей никакой механической прочности.

Вся эта конструкция поддаётся сверлению даже электрической отвёрткой, о чём и был снят отдельный ролик.

Затем было проведено сверление в замок, дабы проверить наличие хоть какой-нибудь его защиты. А заодно оценить эффективность установленной блокировки, которую хорошо видно на фото.

Следует заметить, что изготовление кинематической схемы ригельной системы с применением пружиночек отдаёт конструкторским опытом разработчика мышеловок. А использование каких-то совершенно жуткого качества и явно неадекватной толщины железяк для привода ригелей не оставляет никакой надежды на хоть сколько нибудь продолжителную эксплуатацию сего чуда инженерной мысли.

При свелении установили, что единственной защитой (если это можно так назвать) от дрели является наружняя декоративная накладка. Это была единственная железяка, хоть как-то сопротивлявшаяся. Дальше сверло просто провалилось. Сняв замок, стало понятно, что производитель не только не озадачился защитой замка, а скорее ослабил то место, которое другие защищают.

Кстати, о блокировке. Как видно, она прекрасно пережила сверление замка. Вообще говоря, встраивание отечественными производителями (относится ко всем без исключения) блокировок ригелей проходит по принципу “слышал звон…..”. Единственное, чему они служат - это осложняют сборку ригельной системы. А применение сего устройства вкупе с отсутствием защиты замка и полностью нефункционирующей схеме наводит на мысль о неполной умственной полноценности авторов.

Ну и в завершение. Тут коллеги поделились видом изнутри сейфа этого же Контура, но в возрасте пару лет. Модель другая, но о качестве материалов и мастерстве производителя свидетельствует достаточно красноречиво.

Да, и пока данная статья писалась, завод заодно освоил и третий класс, видимо в погоне за “наркотическими тендерами”, который явно ничем от второго не отличается. 10 кило разницы в весе говорит о появлении ешё одного слоя “просечки” посреди пескоцементной трухи.

Кстати, говоря об обещанной в проспекте “огнестойкости”. Ни один вменяемый производитель, борясь за огнестойкость, никогда не будет делать стенки и дверь (имея ввиду именно защитный контур) разной толщины. В исследованном чуде техники дверь ровно вдвое тоньше стенок. Хотя о какой вменяемости можно с такими изделиями говорить?

Евроафёра или знай наших

Народ наш как-то пребывает в иллюзии, что бардак на родных просторах - это нормально. А вот если в Европах - то там порядок. А в самой Неметчине вообще полный орднунг. Ага. И целых три раза. Может оно, конечно когда и было, но с того исторического момента, как упала Берлинская стена, поменялось многое, если не всё. Конечно первой волной были всякие наши соседи по советскому лагерю. Но в основе своей, помня тяжесть тевтонского сапога на своей шее (ну или кому куда попало), они особо не рисковали и не зарывались. Хотя те же поляки отличились первыми, и про скандально-жалобное письмо конторы, о которой пойдёт дальше речь - ECB-S, мы уже писали http://realsafes.ru/aboutsafes/europeancertifiction

Но затем в эту организацию начали вступать наши соотечественники. А эти продавцы марок (читайте здесь) только рады были увеличению количества собираемых членских взносов и просчитать последствия своего “расширения” они никак не могли.

Развод с подменой классов набирает обороты

Как мы уже неоднократно писали, возникшей при появлении европейского стандарта EN 14452 коллизией с одинаковыми цифрами в классах защищённости отечественные жулики пользуются во всю. При этом вообще ничего не стесняются. Или они настолько глупы, что публикуют на одной странице прямо противоположные данные?