Искусство цифровой самозащиты
Шрифт:
PRISM (программа разведки)
Установите пароли на всё
Представьте такую ситуацию. Вы предприняли все меры к защите данные: зашифровали диск, установили длинный сложный пароль и ушли за кофе, не заблокировав компьютер.
В это время через окно в ваш кабинет проникает «злостный хакер» и копирует всю конфиденциальную информацию на флешку, после чего так же бесшумно исчезает через то же окно.
Мораль
Пароли должны быть сложнее стандартных qwerty, password, «пароль» или 12345. Желательно, чтобы это были цифры и буквы разных регистров (большие и маленькие). К тому же пароль от VeraCrypt или подобного программного обеспечения должен быть длинным.
Настройте скринсейвер [51] на автоматическoе включение через 5 минут, а возврат в систему – только с вводом пароля.
Теперь можно пойти за кружечкой кофе. Если только вас не взяли в разработку американские спецслужбы…
Отключите спящий режим
Пока ваш компьютер включен, ключи шифрования от системного диска находятся в оперативной памяти ОЗУ [52] . Поэтому возникает резонный вопрос: а можно ли эти ключи оттуда достать? Оказывается, можно – для этого нужен физический доступ к вашему компьютеру.
51
Скринсейвер (англ. Screensaver; заставка, хранитель экрана) – функция или отдельная программа гашения экрана при простое компьютера (или иного устройства), призванная снизить непроизводительный износ оборудования и его отдельных частей, а иногда и энергопотребление. Заставки призваны снизить яркость изображения (в том числе погасить экран полностью) и снизить общий износ, и/или устранить статичность рабочего изображения для снижения локального износа – выгорания люминофора на статических элементах, что актуально для устройств на основе электронно-лучевой трубки и плазменных экранов.
52
Оперативная память (англ. Random Access Memory, RAM – память с произвольным доступом) – в большинстве случаев энергозависимая часть системы компьютерной памяти, в которой во время работы компьютера хранится выполняемый машинный код (программы), а также входные, выходные и промежуточные данные, обрабатываемые процессором. Оперативное запоминающее устройство (ОЗУ) – техническое устройство, реализующее функции оперативной памяти
Cold boot attack (platform reset attack, атака методом холодной перезагрузки) – в криптографии это класс атак, при которых злоумышленник, имеющий физический доступ к компьютеру, может извлечь из него ключи шифрования или ценные данные. Атака требует полной перезагрузки компьютера либо выключения и изъятия из него модулей памяти. В атаке используется эффект сохранения данных в ОЗУ типа DRAM и SRAM после выключения питания. Данные частично сохраняются в течение периода от нескольких секунд до нескольких минут. Если же охладить микросхемы памяти жидким азотом, то время сохранения данных возрастает многократно.
Для выполнения атаки производится «холодная перезагрузка» (cold boot) компьютера, то есть выключение питания без использования средств операционной системы и последующее включение (например, при помощи кнопки reset на корпусе или путем выключения блока питания). После включения производится загрузка специальной небольшой операционной системы (например, с USB-диска) и сохранения текущего состояния оперативной памяти в файл. Альтернативный путь выполнения атаки заключается в изъятии модулей памяти из компьютера жертвы и их установка в другой компьютер для считывания данных с них. Полученная информация затем анализируется на предмет наличия в ней ключей шифрования или иной ценной информации. Существуют специальные программы для автоматического поиска.
Специалисты компании F-Secure еще в 2018 году продемонстрировали, как можно получить доступ к ключам шифрования ноутбука, отправленного в спящий режим.
Спящий режим – это энергосберегающий режим, который переводит компьютер в состояние ожидания. На всех без исключения ноутбуках с Windows по умолчанию при закрытии крышки система переходит в спящий режим. В нем вся работа сохранится, а энергия будет использоваться для поддержания компьютера во включенном состоянии. Другими словами, потребление энергии уменьшится за счет отключения периферийных устройств – портов, дисплея, – а вот оперативная память не будет обесточена, и в ней сохранятся все данные.
Так вот, специалисты финской компании по кибербезопасности продемонстрировали в видеоролике, как, имея физический доступ к ноутбуку, отправленному в спящий режим, можно получить ключи шифрования. Для этого атакующий:
1. Открывает нижнюю крышку ноутбука и сбрасывает настройки BIOS. Это позволит обойти установленный пароль на BIOS и выбрать источник загрузки – USB-флешку.
2. Вставляет загрузочную USB-флешку с заранее подготовленным программным обеспечением для поиска ключей шифрования в памяти.
3. Замораживает модули памяти баллончиком-фризером (обычный баллончик с охладителем, который вы можете купить на Яндекс. Маркете, способен опустить температуру поверхности, на которую производится распыление, до –45° и ниже).
4. Отправляет компьютер в перезагрузку.
5. Компьютер загружается с USB-флешки. Специальная программа находит ключи шифрования в памяти.
Я, конечно, не слышал, чтобы кто-то из спецслужб применял подобного родa атаку во время задержания преступников. Но исключать то, что западные спецслужбы (в частности, американские) на это способны, нельзя. Насчет наших МВД и ФСБ я сильно сомневаюсь. Наши скорее берут на испуг – и человек сам называет пароли от зашифрованных дисков. От меня, например, следователь очень хотел получить пароль к VeraCrypt. К счастью, я ему не поверил. И правильно сделал.
Если вы шифруете полностью системный диск, то я рекомендую отключить спящий режим вообще и отправлять компьютер в гибернацию [53] , когда вы отходите от него более чем на несколько минут. После гибернации достаточно подождать несколько секунд – и данные в оперативной памяти при комнатной температуре уже невозможно будет восстановить.
Откройте «Электропитание»: один из способов – в строке поиска или в меню «Выполнить» (выполнить вызывается клавишами Win+R) введите команду powercfg.cpl и нажмите клавишу Enter. С правой стороны от названия схемы, которую вы хотите изменить, нажмите на «Настройка схемы электропитания». Изменять настройки нужно у активной схемы электропитания.
53
Гибернация (англ. hibernation – «зимняя спячка») – энергосберегающий режим операционной системы компьютера, при котором содержимое оперативной памяти сохраняется на энергонезависимое устройство хранения данных (жесткий диск) перед выключением питания. В отличие от спящего режима, в режиме гибернации после сохранения данных оперативной памяти подача электроэнергии полностью прекращается. После включения питания компьютера содержимое памяти восстанавливается (загружается с диска в память), и пользователь сможет продолжить работу с того же места, на котором он остановился, так как все запущенные ранее программы продолжат выполняться.
Если вы пользуетесь ноутбуком, то поменяйте действие на закрытие крышки – гибернация. Для этого нажимаете те же клавиши Win+R на клавиатуре, вводите powercfg.сpl, нажимаете Enter. Слева в меню выбираете «Действие при закрытии крышки».
В пунктах «При нажатии кнопки сна», «При закрытии крышки» ставим «Гибернация». В пункте «Действие при нажатии кнопки питания» ставим «Завершение работы».