Если уже стучат в дверь: как защитить информацию на устройствах
Несколько предыдущих статей в нашем блоге были посвящены вопросу безопасности персональной информации, которая пересылается при помощи мессенджеров и социальных сетей. Теперь пришло время поговорить о мерах предосторожности относительно физического доступа к устройствам.
Как быстро уничтожить информацию на флешке, HDD или SSD
Часто информацию проще всего уничтожить, если она рядом. Речь идёт об уничтожении данных с накопителей — USB-флешек, SSD, HDD. Можно уничтожить накопитель в специальном шредере или просто чем-то тяжёлым, но мы расскажем о более изящных решениях.
Различные компании выпускают носители информации, которые получают функцию самоуничтожения прямо из коробки. Решений огромное количество.
Один из самых простых и наглядных примеров — USB-флешка Data Killer и ей подобные. Такое устройство внешне ничем не отличается от других флешек, но внутри есть аккумулятор. При нажатии на кнопку аккумулятор уничтожает данные на чипе путём сильного нагревания. После этого флешка не распознаётся при подключении, так что уничтожается и сама микросхема. К сожалению, подробные исследования о том, можно ли её восстановить, не проводились.
Источник картинки: хакер.ру
Есть флешки, которые не хранят никакой информации, но зато могут уничтожить компьютер или ноутбук. Если такую «флешку» положить рядом со своим ноутбуком, и товарищ майор кто-то пожелает быстро проверить, что на ней записано, то она уничтожит и себя, и ноутбук. Вот один из примеров такого киллера.
Для надёжного уничтожения информации, хранимой на жёстком диске, который находится внутри ПК, есть интересные системы.
Ранее они описывались на Хабре, но не упомянуть о них нельзя. Такие системы оснащены автономным питанием (то есть выключение электричества в здании не поможет остановить уничтожение данных). Есть и таймер на отключение электричества, который поможет, если компьютер изымают в отсутствие пользователя. Даже радио и GSM-каналы в наличии, так что уничтожение информации можно запустить удалённо. Уничтожается она путём генерации девайсом магнитного поля 450 кА/м.
С SSD так не получится, и для них как-то раз предложили вариант термического уничтожения.
Выше — кустарный метод, который ненадежён и опасен. Для SSD используются устройства иного типа, например, Импульс-SSD, уничтожающий накопитель напряжением в 20 000 В.
Стирается информация, трескаются микросхемы, накопитель приходит в полную негодность. Есть варианты и с дистанционным уничтожением (по GSM).
Продаются и механические уничтожители HDD. В частности, такой девайс выпускает LG — это CrushBox.
Вариантов гаджетов по уничтожению HDD и SSD много: они выпускаются как в РФ, так и за рубежом. Предлагаем обсудить такие устройства в комментариях — вероятно, многие читатели могут привести собственный пример.
Как защитить свой ПК или ноутбук
Как и в случае с HDD и SSD, есть много разновидностей систем защиты ноутбуков. Один из самых надёжных — шифрование всего и вся, причём таким образом, чтобы после нескольких попыток добраться до информации данные уничтожались.
Одна из самых известных систем защиты ПК и ноутбуков разработана компанией Intel. Технология называется Anti-Theft. Правда, её поддержка была прекращена несколько лет назад, так что это решение нельзя назвать новым, но в качестве примера защиты оно подходит. Anti-Theft давала возможность обнаружить украденный или потерянный ноутбук и заблокировать его. На сайте Intel говорилось, что система обеспечивает защиту конфиденциальной информации, блокирует доступ к зашифрованным данным и предотвращает загрузку ОС в случае несанкционированной попытки включить устройство.
Эта и похожие на неё системы проверяют ноутбук на наличие таких признаков стороннего вмешательства, как слишком большое количество попыток входа в систему, сбой при попытке входа на заданный ранее сервер, блокирование ноутбука через интернет.
Anti-Theft блокирует доступ к набору микросхем системной логики Intel, в результате чего вход в службы ноутбука, запуск ПО или ОС будет невозможным даже в случае замены или переформатирования HDD или SDD. Также удаляются основные криптографические файлы, которые нужны для доступа к данным.
Если ноутбук возвращается к владельцу, тот может быстро восстановить его работоспособность.
Есть вариант с использованием смарт-карт или аппаратных токенов — в этом случае в систему нельзя войти без таких устройств. Но в нашем случае (если в двери уже стучат) нужно установить еще и PIN, чтобы при подключении ключа ПК запрашивал дополнительный пароль. Пока блокиратор такого типа не подключён к системе, её почти невозможно запустить.
Работающий и сейчас вариант — написанный на Python скрипт USBKill. Он позволяет привести ноутбук или ПК негодность, если неожиданно изменяются какие-то параметры запуска. Его создал разработчик Hephaest0s, опубликовав скрипт на GitHub.
Единственное условие для работы USBKill — необходимость шифрования системного накопителя ноутбука или ПК, включая такие средства, как Windows BitLocker, Apple FileVault или Linux LUKS. Для активации USBKill есть несколько способов, в том числе подключение или отключение флешки.
Ещё один вариант — это ноутбуки с интегрированной системой самоуничтожения. Один такой в 2017 году получили военные РФ. Для уничтожения данных вместе с носителем нужно просто нажать на кнопку. В принципе, аналогичную кустарную систему можно сделать самому или приобрести в сети — их немало.
Один из примеров — мини-ПК Orwl, который может работать под управлением различных ОС и самоуничтожается при обнаружении атаки. Правда, ценник негуманный — $1699.
Блокируем и шифруем данные на смартфонах
На смартфонах под управлением iOS есть возможность стереть данные в случае многократных неудачных попыток авторизации. Эта функция штатная и включается в настройках.
Один из наших сотрудников обнаружил интересную особенность iOS-устройств: если необходимо быстро заблокировать тот же iPhone, достаточно пять раз подряд нажать на кнопку включения. В этом случае запускается режим экстренного вызова, и пользователь не сможет получить доступ к устройству по Touch или FaceID — только по код-паролю.
На Android также есть разные штатные функции защиты персональных данных (шифрование, многофакторная аутентификация для разных сервисов, графические пароли, FRP и так далее).
Из несложных лайфхаков относительно блокирования телефона можно предложить использовать отпечаток, например, безымянного пальца или мизинца. В том случае, если кто-то станет заставлять пользователя прикладывать большой палец к сенсору, после нескольких попыток телефон будет заблокирован.
Правда, для iPhone и Android существуют программно-аппаратные комплексы, которые позволяют обойти практически любую защиту. Apple предусмотрела возможность отключения Lightning-разъёма при неактивности пользователя в течение определённого времени, но помогает ли это от взлома телефона при помощи указанных комплексов, неясно.
Некоторые производители выпускают телефоны, которые защищены от прослушки и взлома, но на 100% надёжными их назвать нельзя. Создатель Android Энди Рубин два года назад выпустил телефон Essential Phone, который был назван разработчиками «самым защищенным». Но он так и не стал популярным. Плюс практически не подлежал ремонту: если телефон ломался, то на нём можно было ставить крест.
Безопасные телефоны также выпускались компаниям Sirin Labs и Silent Cirlce. Гаджеты назывались Solarin и Blackphone. Компания Boeing создала Boeing Black — девайс, который рекомендуют сотрудникам оборонных ведомств. У этого гаджета есть режим самоуничтожения, который активируется в случае взлома.
Как бы там ни было, со смартфонами в плане защиты от вмешательства стороннего лица всё обстоит несколько хуже, чем с носителями информации или ноутбуками. Единственное, что можно порекомендовать — не использовать смартфон для обмена и хранения чувствительной информации.
А что делать в общественном месте?
До настоящего момента мы говорили о том, как быстро уничтожить информацию, если кто-то стучится в дверь, а гостей вы не ждали. Но ведь есть ещё и общественные места — кафе, рестораны быстрого питания, улица. Если кто-то подойдёт со спины и заберёт ноутбук, то системы уничтожения данных не помогут. И сколько бы секретных кнопок ни было, со связанными руками нажать их не получится.
Самое простое — вообще не брать гаджеты с критически важной информацией на улицу. Если брать, то не снимать блокировку с устройства в людном месте без крайней необходимости. Как раз в этот момент, находясь в толпе, гаджет можно без проблем перехватить.
Чем больше устройств, тем проще перехватить хоть что-то. Поэтому вместо связки «смартфон + ноутбук + планшет» стоит использовать только нетбук, например, с Linux на борту. Звонить с его помощью можно, а информацию на одном гаджете проще защитить, чем данные сразу на трёх устройствах.
В общественном месте вроде кафе стоит выбирать место с широким углом обзора, и лучше сидеть спиной к стене. В этом случае можно будет видеть всех, кто приближается. В подозрительной ситуации блокируем ноутбук или телефон и ожидаем развития событий.
Блокировку можно настроить для разных ОС, и проще всего это сделать при нажатии на определённое сочетание клавиш (для Windows это системная кнопка + L, нажать можно за долю секунды). У MacOS это Command + Control + Q. Нажимается тоже быстро, особенно если потренироваться.
Конечно, в непредвиденных ситуациях можно и промахнуться, поэтому есть ещё один вариант — блокировка устройства при нажатии на несколько любых клавиш одновременно (удар кулаком по клавиатуре как вариант). Если вы знаете приложение, которое это умеет, для MacOS, Windows или Linux — поделитесь ссылкой.
В MacBook также есть гироскоп. Можно предусмотреть сценарий, когда ноутбук блокируется при поднятии устройства или внезапном быстром изменении его положения по данным встроенного гироскопического датчика.
Соответствующей утилиты мы не нашли, но если кто-то знает о таких приложениях, расскажите о них в комментариях. Если их нет, то мы предлагаем написать утилиту, за которую подарим автору многолетнюю подписку на наш VPN (в зависимости от её сложности, функциональности) и поспособствуем распространению утилиты.
Ещё один вариант — закрыть свой экран (ноутбука, телефона, планшета) от чужих любопытных глаз. Для этого идеально подходят так называемые «фильтры конфиденциальности» — специальные плёнки, затемняющие дисплей при изменении угла просмотра. Увидеть, что делает пользователь, можно только со спины.
Кстати, простой лайфхак на злобу дня: если вы всё же находитесь дома, а в дверь стучат или звонят (курьер принес пиццу, например), то гаджеты лучше заблокировать. Просто на всякий случай.
Защититься от «товарища майора», то есть от внезапной попытки внешней стороны получить доступ к личным данным, можно, но сложно. Если у вас есть собственные кейсы, которыми вы можете поделиться, очень ждём примеров в комментариях.
Источник
Методы сокрытия информации
Информация на жестком диске может быть скрыта несколькими методами. Мы будем говорить о них, начиная с простых и переходя к сложным. Статья для тех, кто прячет, а не находит. Поэтому методы сокрытия лишь обозначены. Кому потребуется более подробная информация по тому или иному методу — тот ее найдет и, главное, привнесет свой неповторимый аромат за счет смешения приправ. А конкретные рецепты были бы полезны тем, кто ищет, а не прячет.
#1. Перемещение в папки «подальше»
Метод заключается в том, чтобы переместить информацию куда-нибудь в C:\Users\Walter\AppData\Local\Temp\018iasywq8\user\10ha1pg1vythz21ds778b0ycq9r2. Таким методом, пользуются… ну те, кто в принципе знает, что компьютер работает от сети и включается при помощи кнопки.
Как можно найти? Ну, так как туда обычно прячут видео и изображения, то поиском через Total Commander: *.jpg; *.avi или *.doc; *.xls и проч.
#2. Скрытие в архиве
Метод понятен. Заархивировать 10 фотографий, назвать архив hjskdhklgd.zip и совместить с методом № 1. Тут уже должен быть пользователь, представляющий себе, что такое архиватор.
Как можно найти? Также как и в первом пункте, только указать «искать в архивах».
#3. Переименование файла
Light. Метод хотя и прост на первый взгляд, но, при углубленном использовании, может дать некоторые результаты. Зависит от того, насколько опытен пользователь. Если его знания ограничены уровнем, описанным выше, тогда файл «моя_черная_бухгалтерия.doc» будет назван «кодекс_строителя_коммунизма.doc». Найти можно также, как и выше.
Medium. Если человек знает, как включать расширения файлов или дружит с ТК или FAR, а также понимает, что при переименовании файл не теряет своих вкусовых качеств, тогда он может переименовать его, например, в intraweb.dat, совместив с первым + вторым способом и получить некоторый эффект. Найти можно только запустив поиск по начальным символам содержания файла на предмет выявления нужного типа. *.* искать текст «II*» это tiff и проч.
#4. Применение атрибутов
Метод тоже понятен. Правая кнопка мыши, атрибут «скрытый». В командной строке attrib –s –h. Очень распространенный совет при запросе в гугл «Hide files». Не знаю, на кого он рассчитан. Найти? Догадайтесь с 3-х раз, называется.
#5. Переименование папки
Light. Один из самых смешных способов, но при его ярком визуальном эффекте он многих впечатляет. Рекомендуют папку на рабочем столе переименовать в 255 при нажатом ALT. При этом имя папки будет пустым. А иконку папки сменить на пустую картинку. И как по волшебству папка становится визуально невидимой.
Найти? Удерживая кнопку мыши выделить всю область рабочего стола.
Medium. Еще есть пользователи, которые присваивают папке имя системной. Она тогда принимает вид Fonts.<21ec2020-3aea-1069-a2dd-08002b30309d>, например, панели управления и при 2-м клике действительно туда ведет. Найти можно, зная, что в папке «Мои документы» ссылки на панель управления у обычных людей не бывает. Ну и способы 1-2, само собой.
#6. Архив с шифрованием
Сейчас мы говорим не о том, как информацию просмотреть, а о том, как ее найти. Поэтому само шифрование и пароли не обсуждаются. Дело в том, что современные архиваторы имеют возможность скрывать название файлов в архиве при шифровании. Здесь мы уже подошли к чему-то интересному. Пользователь как минимум потратил несколько часов, чтобы узнать о таком методе и в нем разобраться.
Найти? Найти можно только сам архив, и определить, что он зашифрован таким непростым способом. Файлы в нем ни за что не видны. То есть, обнаружится факт сокрытия информации на компьютере. Для данной статьи этого уже достаточно.
#7. Установка специальных программ
Методы программ для скрытия информации такие же, как написано выше или, в основном, ниже. Но само существование такой программы уже говорит о факте сокрытия информации. И, конечно, после ее деинсталляции, все файлы как на ладони. Этот метод полезен для тех, к кому на компьютер попадают любопытные. Обычно такие программы под паролем, поэтому так просто, в том числе и при получении доступа к компьютеру по сети, их не деинсталлировать.
Но… все существующие программы, рассчитанные на рядового пользователя, выдают факт сокрытия информации, и привлекают к себе внимание больше, чем сама такая информация. Они ставят огромные красные знаки на папках, запускаются в автозапуске и трее, имеют глупые названия на подобие «Мои скрытые файлы».
Один из самых известных вендоров в этой области Symantec делает папку с громадной вывеской NORTNON PROTECTED. Представьте себе ситуацию, когда некие злоумышленники решили спрятать украденный двухкассетный магнитофон у себя дома перед обыском. Они идут в магазин, берут паспорт (а именно так приобретают программы за границей) и покупают дорогой супер сейф. Ставят его посреди своей квартиры и кладут туда двухкасетник. Приходят служивые, обходят весь дом, двухкасетника нет. Естественно, спрашивают: «А что это за сейф посреди квартиры?» А те им: «Не ваше дело! Это наша Private property!» Ну, понятно, пальцы в дверном проем и сейф открыт… Так что хуже таких программ может быть только размещение всей секретной информации на рабочем столе с надписью: «Здесь хранятся мои секретные файлы. ».
#8. Виртуальные диски
Метод очень распространенный и… очень неэффективный. True Crypt, например, создает шифрованный файл размером в сотни мегабайт и потом монтирует его как диск. При этом вся информация, а не только нужные на данный момент файлы, видны и по сети и при получении негласного наблюдения. А главное — если необходимо скрыть сам факт сокрытия информации, то это самый примитивный способ. Найти файл размером, скажем, 700 Мб, который при этом зашифрован, совсем не сложно.
#9. Скрытие логических дисков
Метод неплохой, учитывая, что при этом больших файлов нет, поиском информацию не найдешь. Смысл заключается в том, что Windows дает возможность подключать и отключать диски. Если диск отключен — то он невиден… до тех пор, пока не запустится любой дисковый редактор. А это конечно, не так сложно. И опять же, во время работы вся информация открывается. И видна как по сети, так и при удаленной атаке. Минус еще в том, что на ходу разбивать уже существующий диск дело небезопасное. То есть, лучше при форматировании учесть этот момент.
Стенографировать можно как вручную, так и при помощи специальных инструментов. Информация обычно прячется в графических и видео файлах. Там, где можно подрезать цветовую гамму и на глаз разницы не увидишь. Начиная с этого пункта, я не буду писать, как сокрытую информацию можно найти, только буду говорить о том, какой нужен уровень специалиста для ее обнаружения.
Если неизвестно, при помощи какого инструмента была спрятана информация и в каком именно файле она спрятана, то я бы оценил уровень специалиста по нахождению как достаточно высокий. Отдельно о категориях людей, которые могут найти сокрытую информацию, поговорим ниже.
#11. Потоки данных NTFS (ADS)
NTFS позволяет цеплять к одному файлу сколько угодно потоков данных. Такие данные не видны невооруженным глазом, не поможет ни подключение другой ОС, ни безопасный режим, ни просмотр DOSом. С одной стороны обнаружить не так сложно, но… только для специалиста. Не специалист такую информацию не обнаружит.
С другой стороны, метод не особо распространенный. Если учесть, что информацию можно повесить на служебные данные самого NTFS, то поиск вообще можно сильно усложнить. Если сочетать вместе с ADS другие способы, то задача становится просто сложной. Потребуется специалист высокого и среднего уровня, в зависимости от комбинирования разных способов с ADS.
#12. Перехват родных функций Windows
Не смотря на то, что этот метод используют многие программы, он так глупо преподнесен, что теряется вся прелесть. А ведь эта настоящая свобода, нет границ, Windows превращается в послушный шарик пластилина. Она больше не зависит от воли старика Гейтса, все становится в наших руках.
Смысл заключается в перехвате запросов операционной системы к диску и выдаче значений с фильтром. Не смотря на то, что Windows изо всех сил старается показать файл «совершенно_секретно.doc», примененный «хук» заставляет ее считать, что этого файла не существует. Здоровый минус в том, что если наш хук снести, Windows опять будет работать правильно. Конечно, когда начинаешь творить, то такие вещи, как «снести хук», тоже не особо позволяешь сделать, комбинируя этот метод с другими методами высокого уровня.
На NTFS есть такой нехороший файл, называется MFT. Так вот, он тщательно протоколирует все наши записи на диск. Не трудно догадаться, что можно делать, умея его приструнять в таком рвении. Здесь и индексы объектов, и аплинки и подмена и проч. Но, начиная с этого пункта, инструментов для такого рода волшебства нет. Тут должны быть мозги. Зато вкусовая разница — как между общепитом и дорогим рестораном.
#14. Межпозвоночная грыжа (МПГ)
Есть такие пространства между файлами, которые образуются за счет того, что файл весит 500 байт, а размер сектора составляет 4 Кб. Так вот этот файл весь-то сектор и занимает. А свободное пространство тогда кто займет? Поместить туда информацию вообще мало кому под силу, а про специальные инструменты вообще следует забыть. Зато эффект! Ну и, конечно, заподозрить, что исследуемый компьютер имеет МПГ?! Поэтому специалисты нужны высочайшего класса.
Интересно, что эта простая процедура находится у нас на самом высоком уровне. Да, удалив файл, вы его спрятали, причем очень надежно. Не буду здесь долго распространяться на предмет того, что информацию с жесткого диска удаляет только доменная печь. И я не говорю про банальное удаление в корзину (кстати, есть такие пользователи, которые прячут файлы в RECYCLE). Я говорю о среднем удалении файла. Когда Windows и ее приложения не найдут информацию никогда. Конечно, другой вопрос — как с такой информацией работать. Тут надо много знать, много уметь. И, честно говоря, здесь больше теории, но… такому искусству отдам почетное место №15.
Кто может найти скрытую информацию
Говоря об этом, любители блеснуть своей эрудицией и произвести впечатление на окружающих произносят мистическое словосочетание «спецслужбы». Некоторые, особенно «приближенные», выдают аббревиатуры NSA, а кто-то и расшифровку знает (National Security Agency), СВР, ФСБ, ГРУ и проч.
Мне всегда становится смешно по 2-м причинам. Именно специальные службы, которые существуют в 5-6 городах земного шара, не заинтересуются информацией и персоной рядовых пользователей. Поэтому об этих службах, их возможностях и методах, мы скромно умолчим.
В реальности информацию прячут от «коммерсантов» в погонах, которые изымают ПК во время очередной «акции». Чтобы уплатить стандартную сумму, а не платить еще и за некоторые секреты, которые могут быть обнаружены, можно информацию прятать. Или если от этой же категории «служащих» прячут нелицензионное ПО. У «коммерсантов» познания в этой области обычно не очень глубоки, поэтому методы 2+ можно считать достаточными в таком случае.
Можно прятать личную, сугубо интимную часть своей жизни просто от всех. Если это домашние, то подойдут почти все методы, если, конечно, один из домашних не представитель как раз той самой NSA. Если на работе, где есть админ, то ситуация усложняется тем, что обычно нет прав админа, которые нужны для более простых методов. Так что, из простых остается 6, 8 (например, если TrueCrypt настроить работать без прав админа). А из реальных 10, 11. Но, конечно, держать такую информацию на работе глупо. Тем более, что все больше организаций ведут негласное наблюдение за компьютерами сотрудников при помощи множества различных утилит, например ActualSpy. И тогда смысл сокрытия вообще теряется.
Но это все вещи рутинные и банальные. Настоящие специалисты сидят не в спецслужбах, а в компаниях «Toyota», «Газпром», «Nokia», «Adobe», «Oriflame» и проч. Реальную ценность представляет та информация, где есть супер конкурентная многомиллиардная среда. Такие компании тратят значительную часть бюджета на конкурентную разведку и контрразведку, а их специалисты, методы и технологии опережают Пентагон и МОССАД на несколько лет. Для таких специалистов методы, описанные выше, лишь вопрос непродолжительного времени.
Вывод очень прост и однозначен: никакие известные методы сокрытия информации не могут предотвратить ее обнаружения. Так что, если информация нуждается в 100% защите, она должна быть зашифрована. Однако, если информация надежно зашифрована и не спрятана, то рекомендую изучить главу «Допрос» бессмертного произведения А.И. Солженицина «Архипелаг ГУЛАГ» и вам сразу станет ясно, что никто не будет заниматься криптоанализом, если мы живем в стране с такими «славными» традициями ЧК.
Источник