В этом разделе мы посвятим целую главу методам взлома криптоконтейнеров, расскажем, как это делают правоохранительные органы, спецслужбы и хакеры. Поговорим и о проверенном способе получения доступа к зашифрованному хранилищу под названием терморектальный криптоанализ, и о высокотехнологичных способах взлома, таких как криминалистический анализ оперативной памяти.
Комплекс мер по предотвращению взлома вашего криптоконтейнера мы называем правилами безопасного использования криптоконтейнера и в этом параграфе мы познакомим с первыми из них.
Вы должны понять, хотя криптоконтейнер и является при использовании надежного пароля и файла-ключа неприступной стеной для желающих его взломать, это относится лишь к демонтированным криптоконтейнерам. Когда криптоконтейнер смонтирован, ко всем файлам внутри него есть прямой доступ. Если в этот момент кто-то получит доступ к компьютеру, он получит и доступ ко всем файлам смонтированного криптоконтейнера. Однако против любой атаки есть решение, даже от терморектального криптоанализа можно защититься.
Секрет 1. Оградите криптоконтейнеры от антивируса.
Наверное, каждый из вас слышал историю о конфликте Лаборатории Касперского и Агентства Национальной Безопасности США. Результатом его стал подрыв доверия к продуктам Лаборатории и отказ от них не только в США, но и в других странах.
Краткая суть такова: антивирус Касперского был установлен на компьютере хакера, работавшего с АНБ (по иным данным, на компьютере сотрудника АНБ). Антивирус передал с компьютера в Лабораторию Касперского файлы, содержащие государственные тайны. Это подтвердил и владелец Лаборатории Касперского Евгений Касперский, а вот далее версии расходятся. Согласно данным АНБ, эти файлы были переданы российским спецслужбам, согласно данным Лаборатории Касперского, данные были незамедлительно удалены.
Большинство антивирусов может передать на сервера компании любой подозрительный файл, документ или программу с компьютера, это необходимо для защиты пользователей и обнаружения новых угроз. В случае с криптоконтейнером, после его монтирования, антивирус просканирует содержимое и может отправить в руки специалистов любой файл, который посчитает опасным. Защита от данной угрозы – важная часть безопасной работы с криптоконтейнерами.
Решений здесь достаточно много. Во-первых, не все антивирусы индексируют смонтированные криптоконтейнеры, иногда это можно ограничить в настройках. Во-вторых, в некоторых антивирусах можно ограничить отправку файлов на сервера (например, в случае с решениями Касперского, отключив KSN). В-третьих, некоторые антивирусы отправляют только определенные типы данных: например, Windows Defender отправляет исполняемые файлы .exe и .dll, но не отправляет документы, картинки и иные файлы. Иногда лучше вообще отказаться от антивируса.
В рамках этой главы я не могу дать вам конкретное решение, так как это сильно зависит от вашего антивируса и ценности ваших данных. Я вернусь к этому вопросу в главе, посвященной антивирусам.
Совет
Оградите содержимое вашего криптоконтейнера от антивируса.Секрет 2. Удаляйте данные об открытых файлах и документах.
Вы, наверное, замечали, что Microsoft Word сохраняет информацию о названиях открытых документов. Аналогичным образом работают и Pages в macOS, и иные офисные программы, медиапроигрыватели сохраняют название видео, программы для просмотра изображений – названия картинок.
К этим данным можно получить доступ, даже когда криптоконтейнер демонтирован. Подобным образом работает софт для проведения криминалистического анализа. В случае с документами совет простой: создавайте названия, не выдающие содержание, по крайней мере, для самых важных документов.
Совет
Для важных документов создавайте названия, не выдающие их содержание и важность.У нас целый раздел будет посвящен безопасной работе с документами, где мы поговорим и о метаданных, и о макросах, и об информации, сохраняемой на компьютере при открытии документа. Экстренно удалить данные о просмотренных документах можно при помощи приложения Panic Button (информация на 2021 год - проект официально закрыт). Для этого в настройках удаляемых данных выберите удаление информации о просмотренных документах. При активации программы будет удалена информация обо всех просмотренных документах Microsoft Office и других популярных редакторах.
Совет
Очищайте информацию о просмотренных документах, особенно если речь идет о важных документах.В случае с картинками все немного интереснее, так как сохраняются миниатюры (thumbnails) просмотренных картинок. Так в свое время был осужден педофил, хранивший все компрометирующие материалы в криптоконтейнерах, но не знавший, что миниатюры всех открытых картинок сохраняются в незашифрованном виде и могут быть просмотрены любым мало-мальски грамотным специалистом. Эти миниатюры и стали главным доказательством в его уголовном деле.
Один из популярных в России учебников по криминалистике содержит пример с фальшивомонетчиками, погоревшими на все тех же миниатюрах. Вы можете посмотреть миниатюры, которые сохранились у вас, по адресу: %userprofile%\AppData\Local\Microsoft\Windows\Explorer (Windows 7, 8, 10).
Как решать эту проблему? Вы можете просто удалить миниатюры, и лучше при помощи шредера, так как обычное удаление всегда оставляет возможность их восстановить. Не забывайте и про резервные копии, где удаленные миниатюры могут сохраниться, обязательно отключайте теневые копии Windows.
Совет
Очищайте информацию о просмотренных изображениях.В Windows есть возможность полностью отключить создание миниатюр, мы расскажем об этом в главе, посвященной защите от криминалистического анализа. Однако это не исключит сохранение названий просматриваемых изображений.
Секрет 3. Минимум необходимых прав.
В IT-безопасности есть одно правило, которое может называться каноническим: никогда не предоставлять прав больше, чем требуется. Существует и другой вариант данного правила: всегда предоставлять только необходимый минимум прав.
Когда вы приходите в музей, вам запрещено трогать экспонаты, такие права есть только у некоторых сотрудников организации. Вам дано право смотреть, слушать, обсуждать, так как этот минимум прав вам необходим. Дав вам права производить какие-либо действия с экспонатами, музей подвергнет неоправданному риску свое имущество. Надеюсь, смысл этого правила понятен. Теперь предлагаю спроецировать его на работу с криптоконтейнерами TrueCrypt и VeraCrypt.
Всегда ли вы изменяете файлы в смонтированном криптоконтейнере? Иногда нужно смонтировать криптоконтейнер лишь для того, чтобы посмотреть какую-либо ценную информацию или показать ее кому-нибудь. Зачем давать в этом случае системе права редактировать или удалять данные?
Mount volume as read-only - опция монтирования криптоконтейнера с возможностью только чтения решает эту проблему. Вы монтируете криптоконтейнер, получаете доступ к файлам, но не можете вносить какие-либо изменения в содержимое криптоконтейнера.
Как смонтировать криптоконтейнер с опцией «только чтение»? Начните процедуру монтирования криптоконтейнера, на этапе ввода пароля к криптоконтейнеру выберите Mount Options в VeraCrypt и Options в TrueCrypt.
Выберите опцию Mount volume as read-only и нажмите OK.
Теперь введите пароль, укажите файл-ключ, если вы его используете, и смонтируйте криптоконтейнер в режиме «только чтение».
Совет
Никогда не предоставляйте приложениям больше прав, чем это требуется. Если приложению достаточно чтения файла, не надо давать ему право редактировать или удалять файл.Секрет 4. Используйте горячие клавиши.
Криптоконтейнер надежно защищает доступ к вашей конфиденциальной информации, когда он размонтирован. При надежном пароле в связке с файлом-ключом получить доступ к файлам техническими средствами - задача практически невыполнимая. Но криптоконтейнер защищен ничуть не более обычной папки, когда смонтирован.
В критической ситуации вам может потребоваться максимально быстро размонтировать все смонтированные криптоконтейнеры. Как в таком случае поступить? Лучшим решением будет заблаговременно настроить комбинацию горячих клавиш. К сожалению, такая возможность есть только у пользователей TrueCrypt и VeraCrypt в операционной системе Windows.
Открываем VeraCrypt или TrueCrypt. Выбираем Settings>Hot Keys…
Первым делом нужно выбрать список действий, который будет производиться при активации горячих клавиш. Мы рекомендуем выбрать Force Dismount All, Wipe Cache & Exit - размонтировать все криптоконтейнеры, удалить кэш пароля и закрыть программу. Затем надо выбрать комбинацию клавиш, нажатие которых будет приводить к выбранным ранее действиям. Укажите любую букву, которая войдет в комбинацию, и нажмите Assign.
Что такое кэш пароля и зачем его удалять? Когда вы работаете с криптоконтейнером, шифруя и расшифровывая файлы, информация кодируется с помощью ключа шифрования. Этот ключ должен где-то храниться до демонтирования криптоконтейнера. Кэш ключа для шифрования и дешифрования хранится в оперативной памяти. Демонтирование криптоконтейнера обязательно должно сопровождаться удалением кэша, это установлено в настройках и TrueCrypt, и VeraCrypt по умолчанию.
Если ключ удален не будет, то при помощи специального криминалистического программного обеспечения его можно будет извлечь и расшифровать ваши данные. При выборе действий мы настоятельно рекомендуем выбирать очистку кэша (Wipe Cache).
По завершении процедуры создания комбинация клавиш отразится в списке. Нажмите OK. Теперь смонтируйте криптоконтейнер и нажмите выбранную комбинацию. Программа должна демонтировать криптоконтейнер, очистить кэш пароля и закрыться.
Секрет 5. Никогда не оставляйте неиспользуемые криптоконтейнеры смонтированными.
Это сложно назвать полноценным секретом, скорее совет. Но поверьте, об этом забывает большинство пользователей, когда переходят к полноценному использованию криптоконтейнеров.
Вы должны завести у себя привычку: прекратили использование смонтированного криптоконтейнера, сразу демонтируйте его. Сразу, даже если у вас включена опция автоматического демонтирования криптоконтейнера по истечении определенного срока, не стоит ждать. Это должно быть отработано до автоматизма.
Совет
Демонтируйте криптоконтейнер сразу после завершения его использования.Если вы отошли от своего компьютера, у вас не должно оставаться смонтированных криптоконтейнеров, это очевидно и банально, это все понимают и также успешно затем забывают об этом.
Совет
Демонтируйте все криптоконтейнеры, когда оставляете свой компьютер.Секрет 6. Безопасное удаление.
Когда вы удаляете файлы из смонтированных криптоконтейнеров, они попадают в корзину вашей операционной системы. Безусловно, это утверждение верно не для всех и зависит от используемой ОС, но у большинства пользователей это именно так.
Удаляя файлы, вы фактически переносите их из зашифрованного криптоконтейнера в незащищенную корзину. При отсутствии комплексного шифрования операционной системы файлы в корзине остаются незащищенными и при получении физического доступа к жесткому диску.
Как вы, наверное, знаете, при очистке корзины файлы на самом деле не удаляются, а, говоря простым языком, место, которое они занимали, становится доступным для повторной перезаписи. Чтобы надежно стереть файл, нужно делать это при помощи шредера – программы, позволяющей уничтожить файлы без перемещения в корзину и без возможности их дальнейшего восстановления. После удаления хорошим шредером невозможно не только восстановить файл, но и по косвенным признакам узнать о его существовании.
Например, на своем Mac я удаляю файлы при помощи шредера CleanMyMac; в App Store немало других приложений с аналогичным функционалом. В отдельной главе мы будем разбирать безопасное уничтожение файлов, и для каждой операционной системы будет предложено решение и инструкция. Пока же просто запомните, что удалять файлы из криптоконтейнеров следует только при помощи шредера.
Совет
Удаляйте файлы из криптоконтейнеров только при помощи шредера.Не так сложно научиться использовать криптоконтейнеры, внедрить их в свою повседневную деятельность, как научиться безопасно работать с ними. В этой статье были описаны первые шаги, в следующих параграфах мы расскажем вам еще много интересного.
