Шифруемся правильно. Что надо знать о полном шифровании диска.
Криптография – это крайнее выражение ненасильственного прямого действия.Государство, располагающее ядерным оружием, может подвергнуть неограниченному принуждению миллионы людей, однако даже в этом случае оно окажется не в состоянии сломить волю индивидов, желающих утаить от него свои секреты и использующих сильную криптографию.Сильная криптография способна противостоять любому насилию. Джулиан Ассанж
Сегодня мы расскажем о важном аспекте полноценной безопасности - полном шифровании диска. Сегодня редакция разберется в мифах и реальности, а также расскажет несколько поучительных историй из жизни.
Статья посвящается тем, кто действительно следит за своей безопасностью.
Зашифровать операционную систему не всегда означает полностью зашифровать жесткий диск, так как на жестком диске может быть несколько операционных систем. А бывает и несколько жестких дисков.
Для большинства пользователей зашифровать жесткий диск - равно зашифровать систему и наоборот. В английском языке для этого есть специальный термин full disk encryption (FDE), если переводить на русский, это звучит как полнодисковое шифрование.
Без шифрования жесткий диск напоминает собой ящик с данными, откуда любой желающий может извлечь их, получив к нему физический доступ. При этом в отличие от ящика на диске можно найти и файлы, удаленные или ранее хранимые на нем.
Не зря же правоохранительные органы при аресте подозреваемых извлекают и опечатывают жесткий диск, затем отправляя его в лабораторию, где специалисты извлекают из него хранимую информацию.
Комплексное шифрование не может предотвратить доступ к ящику, однако вместо документов там будет хаотичный набор мелких кусков бумаги, из которых невозможно будет собрать что-то информативное даже в лаборатории.
Использовать полное шифрование ОС обязательно надо. Полнодисковое шифрование предполагает защиту всех файлов системы, системные папки, домашний каталог, временные файлы, swap-файл, удаленную информацию.
Все современные операционные системы имеют встроенную возможность зашифровать данные на жестком диске. В некоторых случаях рекомендуется использовать альтернативные инструменты, о которых наша редакция уже писала.
Как же это сделать правильно? Ведь, например, и macOS при комплексном шифровании диска по умолчанию предлагает сохранить ключ для шифрования в облачном хранилище iCloud. Разумеется, так поступать не стоит, как не стоит использовать простой пароль или отпечаток пальца для входа в систему.
Поклонникам новых технологий особо хочу заметить, что взять вас за палец и прижать его к сенсору - это не то чтобы просто, это очень просто. Поэтому, если для вскрытия шифрования вашего диска достаточно поднести палец к сенсору, такое шифрование сложно назвать неприступным барьером.
Давайте смоделируем ситуацию. Есть Петр и Василий, Петр использует полнодисковое шифрование, а Василий нет. К Василию и Петру ворвались недоброжелатели и изъяли жесткие диски и технику. Доступ ко всем данным Василия, его истории активности в сети, перепискам, документам был получен в течение суток в лаборатории, а доступ к данным Петра получен не был. Хотя я вас обманул, палец Петра случайно застрял в двери, и он, страдая от боли, выкрикнул пароль, но это уже совсем другая история. От подобных атак у нас тоже есть решение - система экстренного уничтожения данных.
Другая ситуация: у Петра и Василия украли ноутбук конкуренты по бизнесу. У Василия были извлечены все данные: история посещенных сайтов и просмотренных видео, пароли, удаленные файлы, переписки, личные и семейные фотографии. Узнали, что Василий предпочитает гей-порно и общается с молодыми мальчиками. А у Петра все оказалось зашифровано, и все его потери свелись к покупке нового ноутбука.
Петр и Василий потеряли свои ноутбуки, и их подобрали самые последние подонки, ходящие по этой земле. Они извлекли все данные из ноутбука Василия, обнаружили его измены жене с мужчинами и начали шантажировать. Василий им заплатил, шантажисты приняли деньги и попросили вдвое больше. Так они трижды нагревали Василия, а затем выложили и разослали друзьям в социальных сетях ссылки на компрометирующие материалы о нем. В это время Петр покупал себе новый ноутбук. Даже последние подонки не способны взломать надежное шифрование.
Кстати, Петр потерял три ноутбука, но не потерял ни мегабайта ценной информации, так как делал резервные копии. Всех, кто только собрался переходить к шифрованию дисков, хочу предупредить. Если ранее вы всегда могли восстановить данные с жесткого диска даже при утрате пароля от системы, то теперь при потере ключа вы никогда не восстановите свои данные. Вам не помогут ни специальные программы, ни эксперты в белых халатах в лабораториях.
Внимание: утеря ключа приведёт к безвозвратной потере данных на зашифрованном диске. Храните ключ в надёжном месте и не забывайте регулярно делать резервные копии данных.
Расмотрим реальное уголовное дело, в рамках которого сотрудники правоохранительных органов взломали шифрование Windows, macOS, iOS и Android, которое многими считается неприступным.
Считала его неприступным и группа мошенников, создавшая самописный троян для мобильных устройств на базе Android и кравшая деньги у пользователей мобильного банка. Все работало просто: на телефон загружалось вредоносное программное обеспечение, которое проверяло наличие приложения Сбербанк.онлайн или СМС от Сбербанка и в случае обнаружения отправляло в банк СМС с распоряжением перевести деньги на карты злоумышленников.
Карты мошенники заблаговременно приобретали на черном рынке, а дальше один из участников, отвечавший за обналичивание средств, вместе со своей командой опустошали их. Когда жертва обнаруживала отсутствие денег и обращалась в банк, там уже не могли помочь.
Приложения распространялись через покупку на теневых форумах веб-мастеров спам-рассылок, прямые установки жертвам или перенаправления на веб-сайт мошенников с других сайтов – обычный незамысловатый джентельменский набор, никаких сверхмер вроде попыток протолкнуть малварь в официальный магазин Android они даже не предпринимали.
Итак, деньги от жертвы утекали на купленные ими банковские карты, а дальше оперативно обналичивались и делились между участниками преступной группировки. Это был провинциальный город, и ребята за день могли заработать среднюю зарплату местного жителя за год; они хорошо понимали, что рано или поздно ими заинтересуются.
Они ждали визита правоохранительных органов и готовились, в частности, все их устройства были зашифрованы. Причем использовалось как стандартное шифрование Bitlocker, так и более надежное полнодисковое шифрование при помощи TrueCrypt.
В одно зимнее утро ребят навестили вежливые люди в штатском в сопровождении спецподразделения и предъявили постановления суда на обыск и арест.
К удивлению арестованных, их зашифрованные устройства были вскрыты практически сразу, и аргумент «да я вообще не знаю, о чем речь» отпал сам собой.
Как это вышло? Могу заверить: пальцы в дверь никто никому не совал, и терморектальный криптоанализ – эффективный способ вскрытия самых сложных паролей – здесь не потребовался.
Все очень просто: ребята активно пользовались своей техникой в публичных местах – кафе и ресторанах, где они любили собираться. Но последний месяц они были уже не одни, за ними следили, и одной из целей слежки были их пароли.
Если в случае с владельцем Silk Road, Россом Ульбрихтом агенты ФБР просто отвлекли его внимание и похитили ноутбук в тот момент, когда данные были расшифрованы, в нашем случае это был не лучший вариант, так как участников группировки было несколько и арест одного из них мог спугнуть остальных.
Потому представители правоохранительных органов просто пытались подглядеть их пароли и, конечно, подглядели, так как это не очень сложная задача. Это запросто можно сделать при помощи камеры. Возьмите свой телефон и попросите кого-нибудь из знакомых встать позади вас и сделать видеозапись в тот момент, когда вы вводите пароль.
Вы сами убедитесь, как это просто. В тот момент, когда сотрудники правоохранительных органов пришли с арестом к мошенникам, они уже имели на руках пароли к их устройствам. Но это угроза не только для мошенников, например, если на вашем ноутбуке есть ценная информация, ваши конкуренты могут захотеть похитить ее.
Для этого достаточно обратиться к частным детективам, и они без проблем справятся с задачей подсмотреть пароль. Дальше можно похитить ваше устройство и получить доступ к зашифрованным данным. И абсолютно неважно, какой у вас алгоритм шифрования, длина ключа и какой сложности пароль.
Мы уже писали о секретах безопасного пароля. В данном случае вам помогут два приема: наличие ложных нажатий и прикрывание пароля при вводе. Это может быть прикрывание второй рукой или экраном ноутбука, вам нужно потренироваться и обязательно завести подобную привычку.
Как только вы привыкнете закрывать ввод данных и добавите ложные нажатия, снова попросите кого-нибудь из знакомых записать со стороны, как вы набираете пароль на ноутбуке, планшете или мобильном, затем, пересмотрев видео, оцените, реально ли его подсмотреть.
Это обязательно нужно взять на вооружение всем, кто работает с ценной информацией: руководителям, чиновникам, журналистам, политикам. Это несложно и недолго, наклейте стикер на ноутбук на первое время – он будет напоминать вам о необходимости прикрывать ввод пароля.
Если пароль все-таки был подсмотрен и злоумышленники получили доступ к устройству, тогда вас спасет только логическая бомба, но, конечно, правильнее будет не доводить до крайней ситуации и ввести привычку защищать пароли на этапе ввода.
Шифрование - это важный аспект безопасности. Чтобы быть вкурсе того, как защитить себя и оставаться анонимным - читайте наши статьи.
Будьте бдительны и берегите себя.