Искусство цифровой самозащиты - Дмитрий Александрович Артимович Страница 24

11. Загружаемся, в появившемся окне нажимаем Encrypt и ждем.

12. После окончания диск зашифрован.

Аналогичным образом можно зашифровать любой другой диск или флешку – например диск, на котором вы храните бекапы (об этoм ниже).

Правила

Все компьютеры, диски, флешки с беками шифруются любым софтом, производным от TrueCrypt’а (full disk encryption). Сам TrueCrypt ухреначил Microsoft, он больше не поддерживается. Софт обязательно должен быть с открытым кодом. Всё платное – сразу в топку.

PRISM (программа разведки)

Установите пароли на всё

Представьте такую ситуацию. Вы предприняли все меры к защите данные: зашифровали диск, установили длинный сложный пароль и ушли за кофе, не заблокировав компьютер.

В это время через окно в ваш кабинет проникает «злостный хакер» и копирует всю конфиденциальную информацию на флешку, после чего так же бесшумно исчезает через то же окно.

Мораль такова: нужно установить пароли на всё – на вход в систему, на вход в BIOS. Всегда, когда отходите от компьютера даже на минуту, блокируйте систему.

Пароли должны быть сложнее стандартных qwerty, password, «пароль» или 12345. Желательно, чтобы это были цифры и буквы разных регистров (большие и маленькие). К тому же пароль от VeraCrypt или подобного программного обеспечения должен быть длинным.

Настройте скринсейвер[51] на автоматическoе включение через 5 минут, а возврат в систему – только с вводом пароля.

Теперь можно пойти за кружечкой кофе. Если только вас не взяли в разработку американские спецслужбы…

Отключите спящий режим

Пока ваш компьютер включен, ключи шифрования от системного диска находятся в оперативной памяти ОЗУ[52]. Поэтому возникает резонный вопрос: а можно ли эти ключи оттуда достать? Оказывается, можно – для этого нужен физический доступ к вашему компьютеру.

Cold boot attack (platform reset attack, атака методом холодной перезагрузки) – в криптографии это класс атак, при которых злоумышленник, имеющий физический доступ к компьютеру, может извлечь из него ключи шифрования или ценные данные. Атака требует полной перезагрузки компьютера либо выключения и изъятия из него модулей памяти. В атаке используется эффект сохранения данных в ОЗУ типа DRAM и SRAM после выключения питания. Данные частично сохраняются в течение периода от нескольких секунд до нескольких минут. Если же охладить микросхемы памяти жидким азотом, то время сохранения данных возрастает многократно.

Для выполнения атаки производится «холодная перезагрузка» (cold boot) компьютера, то есть выключение питания без использования средств операционной системы и последующее включение (например, при помощи кнопки reset на корпусе или путем выключения блока питания). После включения производится загрузка специальной небольшой операционной системы (например, с USB-диска) и сохранения текущего состояния оперативной памяти в файл. Альтернативный путь выполнения атаки заключается в изъятии модулей памяти из компьютера жертвы и их установка в другой компьютер для считывания данных с них. Полученная информация затем анализируется на предмет наличия в ней ключей шифрования или иной ценной информации. Существуют специальные программы для автоматического поиска.

Специалисты компании F-Secure еще в 2018 году продемонстрировали, как можно получить доступ к ключам шифрования ноутбука, отправленного в спящий режим.

Спящий режим – это энергосберегающий режим, который переводит компьютер в состояние ожидания. На всех без исключения ноутбуках с Windows по умолчанию при закрытии крышки система переходит в спящий режим. В нем вся работа сохранится, а энергия будет использоваться для поддержания компьютера во включенном состоянии. Другими словами, потребление энергии уменьшится за счет отключения периферийных устройств – портов, дисплея, – а вот оперативная память не будет обесточена, и в ней сохранятся все данные.

Так вот, специалисты финской компании по кибербезопасности продемонстрировали в видеоролике, как, имея физический доступ к ноутбуку, отправленному в спящий режим, можно получить ключи шифрования. Для этого атакующий:

1. Открывает нижнюю крышку ноутбука и сбрасывает настройки BIOS. Это позволит обойти установленный пароль на BIOS и выбрать источник загрузки – USB-флешку.

2. Вставляет загрузочную USB-флешку с заранее подготовленным программным обеспечением для поиска ключей шифрования в памяти.

3. Замораживает модули памяти баллончиком-фризером (обычный баллончик с охладителем, который вы можете купить на Яндекс. Маркете, способен опустить температуру поверхности, на которую производится распыление, до –45° и ниже).

4. Отправляет компьютер в перезагрузку.

5. Компьютер загружается с USB-флешки. Специальная программа находит ключи шифрования в памяти.

Я, конечно, не слышал, чтобы кто-то из спецслужб применял подобного родa атаку во время задержания преступников. Но исключать то, что западные спецслужбы (в частности, американские) на это способны, нельзя. Насчет наших МВД и ФСБ я сильно сомневаюсь. Наши скорее берут на испуг – и человек сам называет пароли от зашифрованных дисков. От меня, например, следователь очень хотел получить пароль к VeraCrypt. К счастью, я ему не поверил. И правильно сделал.

Если вы шифруете полностью системный диск, то я рекомендую отключить спящий режим вообще и отправлять компьютер в гибернацию[53], когда вы отходите от него более чем на несколько минут. После гибернации достаточно подождать несколько секунд – и данные в оперативной памяти при комнатной температуре уже невозможно будет восстановить.

Откройте «Электропитание»: один из способов – в строке поиска или в меню «Выполнить» (выполнить вызывается клавишами Win+R) введите команду powercfg.cpl и нажмите клавишу Enter. С правой стороны от названия схемы, которую вы хотите изменить, нажмите на «Настройка схемы электропитания». Изменять настройки нужно у активной схемы электропитания.

Если вы пользуетесь ноутбуком, то поменяйте действие на закрытие крышки – гибернация. Для этого нажимаете те же клавиши Win+R на клавиатуре, вводите powercfg.сpl, нажимаете Enter. Слева в меню выбираете «Действие при закрытии крышки».

В пунктах «При нажатии кнопки сна», «При закрытии крышки» ставим «Гибернация». В пункте «Действие при нажатии кнопки питания» ставим «Завершение работы».

Настоятельно рекомендую при использовании шифрования всего системного диска закрывать крышку ноутбука или переводить компьютер в режим гибернации вручную, если вы далеко отходите от него, а также делать то же самое на ночь. Если к вам вдруг заявятся