CyberYozh.com Курс по анонимности и безопасности в сети EN

Секреты безопасной работы с криптоконтейнерами TrueCrypt и VeraCrypt

В этой разделе мы посвятим целую главу методам взлома криптоконтейнеров, расскажем, как это делают правоохранительные органы, спецслужбы и хакеры. Поговорим и о проверенном способе получения доступа к зашифрованному хранилищу под названием терморектальный криптоанализ, и о высокотехнологичных способах взлома, таких как криминалистический анализ оперативной памяти.

 Комплекс мер по предотвращению взлома вашего криптоконтейнера мы называем правилами безопасного использования криптоконтейнера и в этом параграфе мы познакомим с первыми из них. 

 Вы должны понять, хотя криптоконтейнер и является при использовании надежного пароля и файла-ключа неприступной стеной для желающих его взломать, это относится лишь к демонтированным криптоконтейнерам. Когда криптоконтейнер смонтирован, ко всем файлам внутри него есть прямой доступ. Если в этот момент кто-то получит доступ к компьютеру, он получит и доступ ко всем файлам смонтированного криптоконтейнера. Однако против любой атаки есть решение, даже от терморектального криптоанализа можно защититься.

 

Секрет 1. Оградите криптоконтейнеры от антивируса.

 Наверное, каждый из вас слышал историю о конфликте Лаборатории Касперского и Агентства Национальной Безопасности США. Результатом его стал подрыв доверия к продуктам Лаборатории и отказ от них не только в США, но и в других странах.

 Краткая суть такова: антивирус Касперского был установлен на компьютере хакера, работавшего с АНБ (по иным данным, на компьютере сотрудника АНБ). Антивирус передал с компьютера в Лабораторию Касперского файлы, содержащие государственные тайны. Это подтвердил и владелец Лаборатории Касперского Анатолий Касперский, а вот далее версии расходятся. Согласно данным АНБ, эти файлы были переданы российским спецслужбам, согласно данным Лаборатории Касперского, данные были незамедлительно удалены.

 Большинство антивирусов может передать на сервера компании любой подозрительный файл, документ или программу с компьютера, это необходимо для защиты пользователей и обнаружения новых угроз. В случае с криптоконтейнером, после его монтирования, антивирус просканирует содержимое и может отправить в руки специалистов любой файл, который посчитает опасным. Защита от данной угрозы – важная часть безопасной работы с криптоконтейнерами.

Решений здесь достаточно много. Во-первых, не все антивирусы индексируют смонтированные криптоконтейнеры, иногда это можно ограничить в настройках. Во-вторых, в некоторых антивирусах можно ограничить отправку файлов на сервера (например, в случае с решениями Касперского, отключив KSN). В-третьих, некоторые антивирусы отправляют только определенные типы данных: например, Windows Defender отправляет исполняемые файлы .exe и .dll, но не отправляет документы, картинки и иные файлы. Иногда лучше вообще отказаться от антивируса. 

 В рамках этой главы я не могу дать вам конкретное решение, так как это сильно зависит от вашего антивируса и ценности ваших данных. Я вернусь к этому вопросу в главе, посвященной антивирусам.

 

Совет

Оградите содержимое вашего криптоконтейнера от антивируса.

 

Секрет 2. Удаляйте данные об открытых файлах и документах.

Вы, наверное, замечали, что Microsoft Word сохраняет информацию о названиях открытых документов. Аналогичным образом работают и Pages в macOS, и иные офисные программы, медиапроигрыватели сохраняют название видео, программы для просмотра изображений – названия картинок. 

К этим данным можно получить доступ, даже когда криптоконтейнер демонтирован. Подобным образом работает софт для проведения криминалистического анализа. В случае с документами совет простой: создавайте названия, не выдающие содержание, по крайней мере, для самых важных документов. 

 

Совет

Для важных документов создавайте названия, не выдающие их содержание и важность.

 

У нас целый раздел будет посвящен безопасной работе с документами, где мы поговорим и о метаданных, и о макросах, и об информации, сохраняемой на компьютере при открытии документа. Экстренно удалить данные о просмотренных документах можно при помощи приложения Panic Button. Для этого в настройках удаляемых данных выберите удаление информации о просмотренных документах. При активации программы будет удалена информация обо всех просмотренных документах Microsoft Office и других популярных редакторах.

 

Совет

Очищайте информацию о просмотренных документах, особенно если речь идет о важных документах.

 

 В случае с картинками все немного интереснее, так как сохраняются миниатюры (thumbnails) просмотренных картинок. Так в свое время был осужден педофил, хранивший все компрометирующие материалы в криптоконтейнерах, но не знавший, что миниатюры всех открытых картинок сохраняются в незашифрованном виде и могут быть просмотрены любым мало-мальски грамотным специалистом. Эти миниатюры и стали главным доказательством в его уголовном деле.

Один из популярных в России учебников по криминалистике содержит пример с фальшивомонетчиками, погоревшими на все тех же миниатюрах. Вы можете посмотреть миниатюры, которые сохранились у вас, по адресу: %userprofile%\AppData\Local\Microsoft\Windows\Explorer (Windows 7, 8, 10).

Как решать эту проблему? Вы можете просто удалить миниатюры, и лучше при помощи шредера, так как обычное удаление всегда оставляет возможность их восстановить. Не забывайте и про резервные копии, где удаленные миниатюры могут сохраниться, обязательно отключайте теневые копии Windows.

 Для экстренного удаления данных используйте Panic Button. В опциях удаления выберите пункт «Данные о недавно открытых программах, документах и изображениях». При активации Panic Button надежно удалит информацию о просмотренных вами изображениях. 

Panic Button удаление данных

 

Download widget: Panic Button
  

Совет

Очищайте информацию о просмотренных изображениях.

 

В Windows есть возможность полностью отключить создание миниатюр, мы расскажем об этом в главе, посвященной защите от криминалистического анализа. Однако это не исключит сохранение названий просматриваемых изображений.

 

Секрет 3. Минимум необходимых прав.

 В IT-безопасности есть одно правило, которое может называться каноническим: никогда не предоставлять прав больше, чем требуется. Существует и другой вариант данного правила: всегда предоставлять только необходимый минимум прав.

 Когда вы приходите в музей, вам запрещено трогать экспонаты, такие права есть только у некоторых сотрудников организации. Вам дано право смотреть, слушать, обсуждать, так как этот минимум прав вам необходим. Дав вам права производить какие-либо действия с экспонатами, музей подвергнет неоправданному риску свое имущество. Надеюсь, смысл этого правила понятен. Теперь предлагаю спроецировать его на работу с криптоконтейнерами TrueCrypt и VeraCrypt

 Всегда ли вы изменяете файлы в смонтированном криптоконтейнере? Иногда нужно смонтировать криптоконтейнер лишь для того, чтобы посмотреть какую-либо ценную информацию или показать ее кому-нибудь. Зачем давать в этом случае системе права редактировать или удалять данные?

 Mount volume as read-only - опция монтирования криптоконтейнера с возможностью только чтения решает эту проблему. Вы монтируете криптоконтейнер, получаете доступ к файлам, но не можете вносить какие-либо изменения в содержимое криптоконтейнера.

 Как смонтировать криптоконтейнер с опцией «только чтение»?  Начните процедуру монтирования криптоконтейнера, на этапе ввода пароля к криптоконтейнеру выберите Mount Options в VeraCrypt и Options в TrueCrypt. 

Option VeraCrypt

 Выберите опцию Mount volume as read-only и нажмите OK.

 Mount volume as read-only VeraCrypt

Теперь введите пароль, укажите файл-ключ, если вы его используете, и смонтируйте криптоконтейнер в режиме «только чтение».

 

Совет

Никогда не предоставляйте приложениям больше прав, чем это требуется. Если приложению достаточно чтения файла, не надо давать ему право редактировать или удалять файл.

 

Секрет 4. Используйте горячие клавиши. 

 Криптоконтейнер надежно защищает доступ к вашей конфиденциальной информации, когда он размонтирован. При надежном пароле в связке с файлом-ключом получить доступ к файлам техническими средствами - задача практически невыполнимая. Но криптоконтейнер защищен ничуть не более обычной папки, когда смонтирован.

 В критической ситуации вам может потребоваться максимально быстро размонтировать все смонтированные криптоконтейнеры. Как в таком случае поступить? Лучшим решением будет заблаговременно настроить комбинацию горячих клавиш. К сожалению, такая возможность есть только у пользователей TrueCrypt и VeraCrypt в операционной системе WIndows.

 Открываем VeraCrypt или TrueCrypt. Выбираем Settings>Hot Keys…

Settings Hot Keys

 Первым делом нужно выбрать список действий, который будет производиться при активации горячих клавиш.  Мы рекомендуем выбрать Force Dismount All, Wipe Cache & Exit - размонтировать все криптоконтейнеры, удалить кэш пароля и закрыть программу. Затем надо выбрать комбинацию клавиш, нажатие которых будет приводить к выбранным ранее действиям. Укажите любую букву, которая войдет в комбинацию, и нажмите Assign.

Wipe cache VeraCrypt trueCrypt

 Что такое кэш пароля и зачем его удалять? Когда вы работаете с криптоконтейнером, шифруя и расшифровывая файлы, информация кодируется с помощью ключа шифрования. Этот ключ должен где-то храниться до демонтирования криптоконтейнера. Кэш ключа для шифрования и дешифрования хранится в оперативной памяти. Демонтирование криптоконтейнера обязательно должно сопровождаться удалением кэша, это установлено в настройках и TrueCrypt, и VeraCrypt по умолчанию. 

 Если ключ удален не будет, то при помощи специального криминалистического программного обеспечения его можно будет извлечь и расшифровать ваши данные. При выборе действий мы настоятельно рекомендуем выбирать очистку кэша (Wipe Cache).

 По завершении процедуры создания комбинация клавиш отразится в списке. Нажмите OK. Теперь смонтируйте криптоконтейнер и нажмите выбранную комбинацию. Программа должна демонтировать криптоконтейнер, очистить кэш пароля и закрыться.

 

Секрет 5. Никогда не оставляйте неиспользуемые криптоконтейнеры смонтированными.

 Это сложно назвать полноценным секретом, скорее совет. Но поверьте, об этом забывает большинство пользователей, когда переходят к полноценному использованию криптоконтейнеров.

 Вы должны завести у себя привычку: прекратили использование смонтированного криптоконтейнера, сразу демонтируйте его. Сразу, даже если у вас включена опция автоматического демонтирования критоконтейнера по истечении определенного срока, не стоит ждать. Это должно быть отработано до автоматизма.

 

Совет

Демонтируйте криптоконтейнер сразу после завершения его использования.

 

Если вы отошли от своего компьютера, у вас не должно оставаться смонтированных криптоконтейнеров, это очевидно и банально, это все понимают и также успешно затем забывают об этом.

 

Совет

Демонтируйте все криптоконтейнеры, когда оставляете свой компьютер.

 

 Не так сложно научиться использовать криптоконтейнеры, внедрить их в свою повседневную деятельность, как научиться безопасно работать с ними. В этой статье были описаны первые шаги, в следующих параграфах мы расскажем вам еще много интересного.

Злоумышленник получил доступ к компьютеру?

Присоединяйтесь к анонимному сообществу белых хакеров и
любителей анонимной и безопасной работы в сети.

Присоедениться

© 2018. WebGears Services Ltd. All rights reserved