Искусство цифровой самозащиты - Артимович Дмитрий. Страница 23

По заявлениям спецслужб, по решению суда на активное сотрудничество вынуждены были пойти многие крупные компании, предоставив спецслужбам доступ к серверам Microsoft (Hotmail), Google (Google Mail), Yahoo! Facebook, YouTube, Skype, AOL, Apple и Paltalk.

Какими бы благими ни были провозглашаемые намерения, но никто не гарантирует, что люди, управляющие такими инструментами, не будут злоупотреблять своей властью. Ведь ничто не помешало американцам (в том числе и лично директору АНБ) обвинить Россию во вмешательстве в выборы президента США в 2016 году.

Когда у вас в руках есть власть, почему бы не воспользоваться ею для своих личных интересов? Как, например, сделал Следственный департамент МВД, проведя незаконный обыск в моей квартире и незаконно изъяв деньги и технику в мартe 2022 года.

Искусство цифровой самозащиты - i_057.jpg

Итак, отдавайте предпочтениe криптографическому программному обеспечению с открытым исходным кодом. Это, конечно, не гарантирует на 100 %, что в таком коде не будет скрытых лазеек, но как минимум уменьшит шанс, что такие лазейки будут, на порядки.

Лучшим выбором для шифрования диска раньше был TrueCrypt, пока его не купила и не свернула разработку Microsoft в 2014 году. Верно, зачем нужен бесплатный инструмент шифрования, да еще и с открытым исходным кодом, без лазеек для спецслужб…

Но энтузиасты взяли код TrueCrypt и сделали несколько ответвлений от него, также с открытым исходным кодом. Я, к примеру, пользуюсь VeraCrypt.

Инструкция по шифрованию системного раздела

1. Запускаем VeraCrypt, выбираем Encrypt system partition/drive.

Искусство цифровой самозащиты - i_058.jpg

2. Далее – Type of system encryption – > Normal.

3. Encrypt the Windows system partition.

4. Number of Operation Systems – тут зависит от того, сколько у вас операционных систем стоит. У меня одна – основная.

Искусство цифровой самозащиты - i_059.jpg

5. Выбираем шифрование AES.

Искусство цифровой самозащиты - i_060.jpg

6. Вводим пароль и подтверждение. Пароль обязательно должен состоять из букв разных регистров, цифр, желательно – специальных символов и быть длинным.

Искусство цифровой самозащиты - i_061.jpg

7. Дальше энергично водим мышкой, пока VeraCrypt собирает ваши беспорядочные движения – как только линия снизу станет зеленой, можно двигаться дальше.

Искусство цифровой самозащиты - i_062.jpg

8. Создаем Rescue Disk. Архив нужно будет распаковать и положить на флешку и в бекап. Если вдруг какой-то кривой апдейт Windows перетрет загрузочную область, вы рискуете потерять все данные. А так вы всегда можете загрузить со спасательной флешки и восстановить загрузчик VeraCrypt’а.

Искусство цифровой самозащиты - i_063.jpg

9. Дальше выбираем Wipe Mode – количество перезаписей сектора мусорными данными. Дело в том, что даже после удаления данных с диска иx всё еще можно восстановить, но для этого требуется специальное дорогое оборудование. У западных лабораторий такое точно есть. Про наши ничего сказать не могу. Так что ставьте 3 перезаписи – этого будет вполне достаточно.

10. Дальше нажимаем Test. Система перезагрузится и попросит ввести пароль. Диск еще не зашифрован, просто это проверка того, что загрузчик и драйверы VeraCrypt’а встали нормально. Если что-то вдруг пойдет не так, то загрузчик ОС можно будет достаточно легко восстановить.

11. Загружаемся, в появившемся окне нажимаем Encrypt и ждем.

Искусство цифровой самозащиты - i_064.jpg

12. После окончания диск зашифрован.

Аналогичным образом можно зашифровать любой другой диск или флешку – например диск, на котором вы храните бекапы (об этoм ниже).

Правила

Все компьютеры, диски, флешки с беками шифруются любым софтом, производным от TrueCrypt’а (full disk encryption). Сам TrueCrypt ухреначил Microsoft, он больше не поддерживается. Софт обязательно должен быть с открытым кодом. Всё платное – сразу в топку.

Искусство цифровой самозащиты - i_065.jpg

PRISM (программа разведки)

Установите пароли на всё

Представьте такую ситуацию. Вы предприняли все меры к защите данные: зашифровали диск, установили длинный сложный пароль и ушли за кофе, не заблокировав компьютер.

В это время через окно в ваш кабинет проникает «злостный хакер» и копирует всю конфиденциальную информацию на флешку, после чего так же бесшумно исчезает через то же окно.

Искусство цифровой самозащиты - i_066.jpg

Мораль такова: нужно установить пароли на всё – на вход в систему, на вход в BIOS. Всегда, когда отходите от компьютера даже на минуту, блокируйте систему.

Искусство цифровой самозащиты - i_067.jpg

Пароли должны быть сложнее стандартных qwerty, password, «пароль» или 12345. Желательно, чтобы это были цифры и буквы разных регистров (большие и маленькие). К тому же пароль от VeraCrypt или подобного программного обеспечения должен быть длинным.

Настройте скринсейвер [51] на автоматическoе включение через 5 минут, а возврат в систему – только с вводом пароля.

Искусство цифровой самозащиты - i_068.jpg

Теперь можно пойти за кружечкой кофе. Если только вас не взяли в разработку американские спецслужбы…

Отключите спящий режим

Пока ваш компьютер включен, ключи шифрования от системного диска находятся в оперативной памяти ОЗУ [52]. Поэтому возникает резонный вопрос: а можно ли эти ключи оттуда достать? Оказывается, можно – для этого нужен физический доступ к вашему компьютеру.

Cold boot attack (platform reset attack, атака методом холодной перезагрузки) – в криптографии это класс атак, при которых злоумышленник, имеющий физический доступ к компьютеру, может извлечь из него ключи шифрования или ценные данные. Атака требует полной перезагрузки компьютера либо выключения и изъятия из него модулей памяти. В атаке используется эффект сохранения данных в ОЗУ типа DRAM и SRAM после выключения питания. Данные частично сохраняются в течение периода от нескольких секунд до нескольких минут. Если же охладить микросхемы памяти жидким азотом, то время сохранения данных возрастает многократно.

Для выполнения атаки производится «холодная перезагрузка» (cold boot) компьютера, то есть выключение питания без использования средств операционной системы и последующее включение (например, при помощи кнопки reset на корпусе или путем выключения блока питания). После включения производится загрузка специальной небольшой операционной системы (например, с USB-диска) и сохранения текущего состояния оперативной памяти в файл. Альтернативный путь выполнения атаки заключается в изъятии модулей памяти из компьютера жертвы и их установка в другой компьютер для считывания данных с них. Полученная информация затем анализируется на предмет наличия в ней ключей шифрования или иной ценной информации. Существуют специальные программы для автоматического поиска.