Зашифровать базу 1С TrueCrypt кто нибудь пробовал? #507337

Есть достаточно большая база, есть мысль зашифровать трукриптом системные диски на серваках, сами базы, и все боле-менее ценное. База скульная. Лог и мдф файлы, как полагается, на разных физических дисках. Папка с базой (мд и папки пользователей и т.д.) - физически находятся на терминальном сервере. Ворочается базка достаточно медленно. Посмотрел анализы снижения производительности из-за перевода на трукрипт, там снижение где-то на проценты. Т.е. по идее, сильного снижения производительности не будет. Зачем хочу это сделать? Хозяева базы не хотят, чтобы база попала в чужие руки, проверяющих, например.

пробовал работает причем пробовал как весь включая системный так и вынос на отдельную железку сервака 2008+базы проблем нет

Анальный криптоанализатор никто еще не отменял

самый бюджетный способ "спрятать" базу: системный диск - винда лицензионная. второй диск зеркало например шифрованное трукриптом со скрытым томом на зеркале стоит 2008ой (он красиво на несистемный диск ставится) от сервака на рабочее место главбуха удлинитель на ресет. в случае любой нештатной ситуации тупо ресетится комп...

не пори чушь. анальный криптоанализатор и ты лично признаешься в том что пособствовал ходорковскому и вообще мечтал убить Пу и готовился к покушению на Ме....

("не пори чушь. ") <> ("анальный криптоанализатор и ты лично признаешься в том что пособствовал ходорковскому и вообще мечтал убить Пу и готовился к покушению на Ме....") or () Странная у тебя логика лекс

я пытаюсь объяснить что при ФИЗИЧЕСКОМ давлении на тебя, админа, наемного главбуха или наемного гендира, именно при фИЗИЧЕСКОМ давлении как это практикуется в наших МВД (всякие там черенки от лопаты) - расколется любой да еще и подпишет все что угодно лишь бы прекратили экзекуции... поэтому на вопрос "как зашифровать" отвечать про "анальный криптоанализатор" - ну по крайней мере тупо.. ибо под пытками любой сознается в чем угодно.. вплоть до того что признает себя виновным в событиях 11 сентября и в падении тунгусского метеорита

Ну я о то и говорю алексей, я говорю логика у тебя странная. Ты говоришь что я не прав и тут же говоришь мою мысль - дешевый прием, рассчитанный на блондинок.

Если я правильно понимаю, надо поставить трукрипт, создать зашифрованный раздел, в него перетащить нужные файлы. Т.е. к примеру, были диски С и Д. С системный, Д с базой. Системный диск тупо шифруется с запуском с ключа на флешке, можно сделать теневой диск. А вот как смонтировать МДФ и лдф файлы на трукрипте никак не соображу.

Да, вариант с паяльником в задницу не рассматриваем. От него ни один вариант не спасет просто.

Вопрос, а куда будут делаться бэкапы, или мы очень смелые и удачливые?

не спасет ни от чего. от серьезного наезда не спасет вообще ничего, а данная попытка зашифровать только подстегнет интерес при "случайном" наезде (зашифровано - хначит нам ОЧЕНЬ НУЖНО). на мой взгляд более преспективными являются либо физическое уничтожение данных, либо подмена "белыми"

На тот же трукрипт диск по расписанию на сервере и пишутся на болванки и отдаются куда нибудь подальше на хранение. Если тебя послушать, то надо только вазелином запастись, от серьезного наезда ничего не спасет.

Можно сделать красиво. Теневой системный диск, теневой диск с базой, а при вводе неправильного пароля запускается система для проверяющих и том с базой для отвода глаз.

Замуруйте сервер в бетон так, чтобы его невозможно было достать без разрушения сервера. Или отдайте его на аутсорсинг в другое здание - а сами к нему по терминалу. Придут - ничего не найдут. У всем лица суровые - знать не знаем где сервер, нам ПБЮЛ Сидорок и Ко. предоставляет к нему терминальный доступ. P.S. Схема из лихих 90-х.

см четко и понятно: от паяльника НИКАКОЕ шифрование не спасет. и вообще НИЧЕГО не спасет. сам все на блюдечке выложешь

у трукрипта есть режим с "вложенным контейнером" то есть шифруешь диск. делаешь вложенный контейнер. на внешний ставишь БЕЛУЮ базу на внутренний - то что хочешь спраятать. при наезде - говоришь пароль от внешнего контейнера и выдаешь БЕЛУЮ базу...

Я так и хочу. Единственное, пока не понял, как поставить трукрипт на УЖЕ имеющуюся систему с базой.

эээ системный диск ? если нет то только на новый вродекак

Т.е. данные с логического диска с базой переносишь куда то, удаляешь все на диске Д, шифруешь его, монтируешь и на этот диск закидываю, так? Я просто только контейнеры попробовал шифровать, диски шифровать не пробовал, щас попробую.

не спешите, я вас всех записываю... :)

Главное не шифровать диск! Когда приходит бригада и видит зашифрованный диск, то подозрение сразу падает на сотрудников и паяльник неизбежен. Если видит файл размеров 10 гиг, то от него можно отмазаться, типа "хз что такое, антивирус молчит". Для первого случая мазались тем, что там действует закон о защите секретной инфы (какой-то там правительственный) и паяльник неуместен (забегу вперед, скажу, что для первого случая не спасло). Теперь реальность: шифровать AES, памяти как можно больше, потому что трукрипт может немного кэшировать там. Если процов несколько, то хотя бы один как раз для него выделить. А вообще, лучше опасные участки отделить от базы и отдельно шифровать. Я так видел как хранили на флэшке и по замыслу директор должен был её растаптывать (наивный)

шифрованый трукриптом диск в системе обозначается как пустой неразмеченый диск который просит отформатироватсья...

+ озвучиваешь что это специальный диск неуспели подготовить для архивных копий

и при тебе его отформатируют :)))

А как тогда, если не шифровать диск? Кула мне положить мдф и лдф имеющейся базы? Бэкапы.

прячем трукриптом, все норм. сервер закопан на улице, к нему удлинитель от резета ))

ну и чудненько.. бекапы никто не отменял... отформатировали и ладно - главное враги не получили доступ к данным.

Ребята из органов не дураки, они понимают, что на разогретом сервере и горячем диске не может быть "пусто". У меня знакомые силовики, которые ходят по таким заданиям и 1С-ники которых берут с собой

сразу клади на ftp://ftp.nalog.ru

одно дело "подозревать" другое дело "доказать" не зная пароля тебе трукритп будет орать что "возможно это не шифрованный диск"

Самый сложный способ оказался удаленный сервер от офиса по ВиФи. А самый недоступный вариант с серверами в китае (или еще где)

Если они точно знают, что диск с данными, то потом пару дней пыток и пароль в кармане. Главное знать, что искать

Автор, пообщайся с теми кого уже "взяли", будешь сильно удивлен. Помимо левой базы надо держать чистую и обязательно актуальную!!!!!!! Как буд-то в ней все ведется

да не вопрос, одну из белых положу незашифрованный раздел.

*на незашифрованный.

если пытки то ты сознаешься в чем угодно... все "защиты" средствами "1Сников" и "админов" это защиты "от дурака" - чтобы потупому не влететь... если придут заряженные знающие на каком диске где что нагрелось и какие шифровальные проги стоят то тут только явка с повинной облегчит участь и сохранит яйцы в целости...

автор пообщайся с теми кто во время проверки успел тупо удалить базу кнопкой делете и избежал последствий....

Именно актуальную!!! Т.е. как будто в ней работают

+ и которая восстановлена потом за пару дней :)

Тот дир с флэхой сделал так, что бухи вообще не знали про черную часть. На флэхе были алгоритмы и какие-то куски, которые что надо видоизменяли. Он думал, что если придут маски-шоу, тогда ни кто ни чего не сможет рассказать (наивный)

ну и че, пришли маски?

Снова эта флудерская тема... Ох уж эти "ларечники"...

Конечно. Бухши - бабульки круглые, которых проще перепрыгнуть, чем обойти. Их положили сразу на пол, а они как неваляшки: либо ноги к полу, либо голова :) Дир. проворонил, с первого раза флэшку не разбил, второго раза не дали. Глав бух не выдержала, сама достала черную печать и начала съедать. 1С-ник, которого подписали под это дело, за вечер все расколупал и вроде остался без штрафа В общем ребята поржали

Про черную печать порадовало.

А это нервы!!!! Просто нервы!!!!! Она потом еще и плакала. Потом, когда осознала косяк, перестала плакать. Подробности уже сильно не помню, водку пили при рассказе

Большинство проверок носят характер "случайны" - то есть ходят голодные чуваки без денег но с корочками и полузаполненными протоколами где отмечены как нелицензионный софт так и незаконная предпринимательская деятельность (там 4 пункта всего) и ищут к чему бы придолбаться... если эти чуваки не видят нелицензии значит никто никакие машины не изымает на пару месяцев на проверку. если эти чуваки не видят базы с левыми фирмами/помойками то никто никаких претензий не выставляет ни не изымает серваки на проверку. если эти чуваки не видят в бухгалтерии печатей и подписей от организаций не зарегиных по этому адресу то вообще никаких претензий... по этому основная задача "спрятать базу своими силами" заключается в том чтобы недопустить наезда "на дурачка" когда пришли такие чуваки а тут вот вам - и база с кучей помоек, и печати ч0рные, и буглатер плачет во всем сознавшись.... еще раз: при паяльнике в анусе главбуха а так же при прочей серъезной разработке никаки "базы" никому не нужны.. немного более другие вещи анализируются и используются в качестве улик...

ну почему не  нужны? я как-то раз помогал милиции вытащить данные из покоцанной базы бухгалтерии. получилось неплохо. а если бы была на тру крипте, то хрен бы я че восстановил...

потому что доказательством база будет сомнительным.. а вот всякая там первичка, подписи и тд и тп - вот это и будет основной уликой...

Может и так. Тут сейчас разбирательства большие, что кто-то текущую базу отдал куда-то и теперь фирма попадает на деньги. Админов пытали, прогеров пытали, безопасники плачут, в общем наверное иногда простобаза тоже что-то стоит. Хотя, кто его знает

инфа из базы задает направление поиска. если милиция не видит левых данных в базе, то может чего-нибудь и не обнаружить в первичке.

вот и я про то... базу прячут чтобы не попасть "на дурачка" чтобы не показать направление поиска когда у проверяющих ничего нет... а когда у проверяющих что то есть то база то и не нужна как бы...

имхо, всякий раз подобное обсуждение завершается аналогичными выводами :) надо в FAQ поместить

Вы неправы дорогие. При проверке вы недолжны вообще давать доступ к базе, т.к. проверка учета ведется только по документам - показываете им гору первички в архиве и пусть роются до посинения. А учетная программа только для внутреннего пользования. Если вы этого неможете уяснить - о чем можно говорить... )))

Фиг знает. У меня знакомый работает в одной конторе. Грит с утра прихожу в стене рядом с входной дверью дыра, все сервера вынесли. Говорит хорошо, что на ночь диски с собой забирал. Одних продавцов каждый год трясли именно по компам, сейчас не слыхал про них. Так что фиг знает, может просто цели и уровни разные?

проверка ведется "по всем фронтам" вплоть до чтения логов аськи и просмотра электронной почты. по этому если до базы ручки у проверяющих дотянутся то будь уверен - базу огребут... мало того в чернобелых базах там же ссылки на сделки.. помоек с помойками.. помоек с непомойками... что вполне дает возможность перекрестной проверкой получить "недостающую бумагу" или более весомые "доказательства"

да, не обязаны, но это чревато изьятием серверов и вообще всех машин, и изьятием до решения суда (то есть МИНИМУМ на полгода). Самый эфективный способ который я видел - это горячая замена диска на белую базу, и ресет сервера, правда действует только если есть физическая возможность добратся до серверной. При этом база 1с валится у всех, но после перезагрузки сервера все работает с белой базой

Это только если цивилизованный визит, когда за неделю предупреждают, при этом говорят что будут смотреть и какие лицензии приготовить

нет, это на случай масок, по любому около 1 минуты есть у охраны, даже при штурме...

Пробовал. Под TrueCrypt сиквельные базы нормально летят. Пробовал BestCrypt - под ним периодически сбоило (checkdb начинал фиксировать ошибки). Вроде есть режим, когда при вводе другого пароля смонтируется другой том с совершенно другим содержимым. А того как бы и нет. Не пробовал. Никто обычно ничего сделать не успевает. Только если заранее всё не обустроено по правилам военного времени. С тревожными кнопками, проверками бдительности и учебными тревогами. Когда каждый чётко знает своё место, действия и поведение в случае чего с наработкой до автоматизма. Так что если реальный штурм и прокачка по полной - шансов нет никаких. Обычно просто чем больше спрятано компромата - тем меньше стоимость откупа. Вот и всё.

Успеет. Я сам свидетелем был, когда возле нас целый автобус выгружался с автоматами. Безопасник вызвал дира по безопасности, а дир полковник-меганачальник в отставке сразу вышел из здания, договорился с их главным и отправил к нашим конкурентам. И ребята в масках уехали!!!! Это был примерно 2004 год

Это не штурм, это фигня какая-то. При нормальном подкате заранее пробивается тема, по которой гражданский может проникнуть в здание. Ребята с корочками блокируют двери и охрану, пропуская штурмовую группу. Максимум что может успеть сделать охрана - нажать тревожную кнопку. Это если сильно повезет и бдительность на уровне, т.к. у ребят с корочками обратная задача.

Такое в описывал, но есть и другие визиты. В описал реальный случай, который ну ни как не попадает под . Я там был

Ветка про термо-ректальный криптоанализ!

не мешай флэшками меряться

Насколько мне стало известно, есть возможность получить пароль трукрипта, если машину не успели выключить, или выключили, но без очистки памяти. Т.е. надо придумать так, чтобы серваки по любому вырубились при маски шоу с очисткой памяти. Идейка одна есть.

Может сервера в китае поставишь?

там есть настройка которая позволяет кешировать пароли в памяти и по умолчанию эта настройка отключена.

попробую догадаться. Если настройка кеширования включена, работает быстрее?