Шифрование

Итак, поговорим более подробно о шифровании. У вас может быть хороший пароль для входа в ваш Windows, но защищены ли вы на самом деле? Нет, любой может взять флешку с.. например дистрибутивом linux и обойти ваш пароль. Чтобы этого не случилось на надо зашифровтаь BIOS, т.к. обычно там выставляют запуск с флешки и тем самым входят в систему.

Как поставить пароль на BIOS и пароль на загрузку компьютера.

И так, для начала попадаем в BIOS. Для этого сразу после включения компьютера жмем либо DEL, либо F2 (у каждого по разному), если не знаете вообще с помощью какой клавиши конкретно у вас осуществляется вход в BIOS, тогда жмите по очереди DEL и F2.

Далее находим строчку BIOS Setting Password. Жмем Enter.

Вводим пароль и жмем Enter.

Подтверждаем пароль и жмем Enter.

Все сохраняемся и выходим - Save and Exit Setup.

Теперь при входе в BIOS у нас будут спрашивать пароль.

Если версия и производитель вашей BIOS отличается и картинка примерно следующая:

То, в этой версии BIOS пароль на вход устанавливается во вкладке Security. Перейдите на строчку Set Supervisor Password, нажмите Enter и установите пароль.

Так же в этой версии можно установить пароль на загрузку, то есть ОС не загрузится, пока вы не введете пароль, не путайте данный пароль с тем, который устанавливается непосредственно в ОС Windows.

Установка пароля на загрузку осуществляется в строчке Password on boot (из предыдущей картинки).

Для того чтобы убрать все эти пароли необходимо проделать те же действия только вместо паролей оставить пустые строчки и сохранить изменения.

 Шифрование жестких дисков и атаки на них

 Но если Вы думаете, что, зашифровавшись, Вы в безопасности, это не так.

Ниже будут рассмотрены атаки, специфичные для Debian, использующего шифрование LVM. Но надо знать, что любые зашифрованные носители имеют свои уязвимости. Не вдаваясь в подробности, остановимся на сути.   Для дискового шифрования, основанного на программном обеспечении (software-based) известны такие атаки:

   - DMA атаки (DMA/HDMI-порты используются для подключения к работающей зашифрованной системе, чтобы ее расшифровать)

   - Cold-Boot атаки (Ключи извлекаются из оперативной памяти после «холодной перезагрузки)

   - Заморозка оперативной памяти (оперативка замораживается и вставляется в систему атакующего, чтобы извлечь ключ)

   - Evil-Maid атаки (Различные способы загрузить протрояненную ОС или какой-нибудь кейлоггер)

   Для аппаратного (hardware-based) дискового шифрования существуют подобные же атаки:

   - DMA атаки (то же самое)

   - Replug атаки (жесткие диски подключаются к компьютеру атакующего, подробнее здесь (англ))

   - Reboot атаки. Жесткие диски подключаются после вынужденной перезагрузки. Пароль на БИОС обходится нажиманием F2 и потом отключается. Это работает только на некоторых компьютерах.

   - Networked-Evil-Maid атаки. Атакующий крадет загрузчик и заменяет его протрояненным. При загрузке жертва вводит пароль, который отправляется атакующему по интернету. Другой вариант: заменить ноутбук другим, аналогичной модели (в аэропорту, отеле и т.п.) и телефонным номером атакующего внизу. Жертва вводит «неправильный» пароль, который отправляется по интернету атакующему. Жертва выясняет, что ноутбук заменен, звонит атакующему, который копирует содержимое и отдает ноутбук.

   Атаки на зашифрованные контейнеры

   Они работают как и cold-boot атаки. Атакующий может достать пароль для контейнера, если компьютер работает или в режиме гибернации. Даже если контейнер открывался раньше, используя временные файлы и файлы подкачки. Этот вид шифрования можно обойти с помощью атаки, которую можно назвать расширенной версией evil-maid атаки.

Выводы

 Вы можете подумать, что использование программного и аппаратного шифрования решает проблемы. Нет. Атакующий может просто перебирать разные методы. Конечно так атакующему будет труднее, но это его не остановит. Так что единственный метод – использовать полнодискове шифрование лишь как первый эщелон защиты. 

Пожалуйста не думайте, что сценарии, описанные выше, какие-то фантастические. В Америке примерно 5000 ноутбуков теряют или оставляют одни в аэропортах каждую неделю. Европейская статистика говорит, что примерно 8% всех ноутбуков, используемых для дела, хотя бы раз были потеряны или украдены.

   Похожая проблема, если Вы оставляете комнату или квартиру, где работает Ваш зашифрованный комп. Так что первая защита от этих методов – всегда выключать комп. Всегда.

   Следующая вещь, которую нужно себе напомнить: нельзя полагаться на полнодисковое шифрование. Так что нужно предпринимать и дальнейшие шаги в деле шифрования. Это значит, нужно зашифровывать папки, содержащие важную информацию, используя другие методы, такие как контейнеры Truecrypt. В таком случае, если атакующий получит Ваш пароль, он завладеет лишь доступом к неважным файлам. Если у Вас есть важная информация, полнодискового шифрования недостаточно.

   Когда используете зашифрованные контейнеры, которые содержат важную информацию, нужно выключать компьютер после того, как используете их, чтобы очистить всю временную информацию, хранящуюся в компе, которая может быть использована атакующим для получения паролей (и тут еще оперативку чистить полезно, поищите, например, программы на гитхабе).

   Когда работаете с важной информацией, нужно иметь возможность лишить комп источника питания. Так что если недоброжелатели уже приближаются, Вам нужно лишь выключить кабель и надеяться, что им понадобится по крайней мере 30 сек., чтобы добраться до Вашей оперативки. Это может помочь предотвратить описанные выше атаки.

   А вообще чистить надо оперативку, кстати вот инструмента как в Tails, чтобы само при выключении чистило.

Pandorabomb претендует на это, командой она чистит, да, а вот автоматически по-моему нет. В любом случае, инструмент неплохой, ищите здесь.

Спасибо за прочтение!

Статья подготовлена каналом Guard Mind. Подписывайтесь!