Базовые принципы защиты информации

Тема в разделе "Информационная безопасность.", создана пользователем Демитрий, 2 апр 2018.

  1. Демитрий

    Демитрий Действительный члены НП "МОД" Наблюдатель в Совете НП "МОД". Приватный уровень доступа

    Сообщения:
    238
    Симпатии:
    253
    Баллы:
    63
    Базовые принципы защиты информации.

    Уверен, тебе есть что скрывать. У каждого из нас есть файлы, не предназначенные для посторонних. Но, как ни странно, большинство людей до сих пор хранит всё в открытом виде. Сегодня я расскажу о том, как скрывать свои данные так, чтобы их не смогли достать ни спецслужбы, ни хакеры, ни кто-либо ещё без твоего разрешения.


    Для начала, давай убедимся, что твои данные хранятся именно у тебя. Если ты используешь какой-нибудь облачный сервис -- твои данные тебе не принадлежат. Один раз разместив файл в облаке, ты не можешь быть уверен даже в том, что ты сможешь его потом удалить. Например, всем известно, что ВКонтакте никогда не удаляет размещённые там фотографии. Если ты решишь удалить какое-то фото, ВК просто скроет его от пользователей, но файлы всё равно ещё долгое время будут доступны по прямым ссылкам. Эта проблема встречается везде, где используются распределённые файловые системы. То есть, как раз у облачных сервисов. Быстрое физическое удаление данных для них сопряжено с большими техническими проблемами, поэтому им попросту выгоднее лишнее время подержать у себя "удалённые" файлы. Это делается не для того чтобы следить за тобой -- это просто дешевле.


    Выложив файлы в облака, ты теряешь контроль над доступом к ним. Даже если у выбранного тобой сервиса нет серьёзных проблем с защитой, твои данные могут доступны хакерам и спецслужбам. В рамках закона, спецслужбы могут получить доступ к любым данным, отправив запрос. Действуя незаконно, они могут атаковать не сам сервис -- обычно это проблематично -- а твою учётную запись. Например, заполучив контроль над твоим номером телефона и электронной почтой, они легко смогут "восстановить" пароль. А если твой аккаунт не привязан к номеру телефона, то и вовсе достаточно одной почты. Цена за взлом почтового ящика в среднем составляет от 5 до 100 долларов. А номер телефона может быть продублирован для принятия SMS.


    Не смотря на эти риски, облачные сервисы продолжают набирать популярность. Можно ли ими пользоваться безопасно? Лучший ответ -- "нет". Однако, если ты будешь хранить там не файлы, а криптоконтейнера, риски будут существенно ниже. Шифрование -- это фундамент приватности.


    < Создание криптоконтейнера >
    Криптоконтейнер -- это, грубо говоря, очень надёжно зашифрованный диск, доступ к которому можно получить только по паролю. Для его создания и использования понадобится специальный софт. Среди платных и бесплатных программ специалисты обычно выделяют одну -- свободно распространяемый и открытый VeraCrypt. Название может тебе напомнить TrueCrypt -- всё верно, это его продолжение. Скачать его можно тут:

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    а здесь находится пошаговая инструкция для начинающих:

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !




    Я рекомендую создавать криптоконтейнеры в виде файлов, а не разделов на диске, и не делать их слишком большими. Лучше сделать несколько отдельных криптоконтейнеров, чем один глобальный. Относись к ним, как к папкам. Точно так же, как ты (надеюсь) не кладёшь все обычные файлы в одну папку, не клади все секретные файлы в один криптоконтейнер. И не подключай все криптоконтейнеры одновременно! Это защитит тебя даже в случае, если кто-нибудь получит доступ к твоему компьютеру. Открытые в этот момент криптоконтейнеры станут доступны взломщику, но хотя бы какая-то часть информации останется защищённой. И постарайся не оставлять криптоконтейнер открытым, когда ты оставляешь свой компьютер без присмотра. Относись к нему, как к сейфу. Уходя, закрывай на ключ.


    По поводу самих ключей -- криптоконтейнер можно защитить по паролю и по файлу-ключу. Я советую использовать оба варианта одновременно. Придумай такой пароль, который будет не очень сложно запомнить, но будет тяжело подобрать. Это может быть, например, фрагмент из какой-нибудь песни или длинная цитата из фильма. Такие пароли тяжело подбирать, если ты никому не расскажешь, какую методику ты используешь. Для каждого криптоконтейнера заведи отдельный пароль. Ты можешь сделать пароли похожими, но не делай их одинаковыми. И не записывай их нигде. Максимум, запиши для себя подсказку, которая будет понятна только тебе. Ценность пароля в том, что его невозможно ввести без твоего ведома и согласия, в то время как файл-ключ можно просто украсть.


    Зато, если использовать файл-ключ вместе с паролем, это существенно увеличит надёжность. Ты можешь его сгенерировать или использовать в качестве ключа какой-нибудь с виду обычный файл, размещённый на твоём компьютере. Это может быть mp3-файл с той же песней, что и в пароле, сохранённая картинка, текст этой статьи, что угодно. Для этих целей подойдёт любой файл, главное чтобы он не был слишком маленьким (менее 1 кб) или слишком очевидным. Не называй его "Мой_секретный_ключ.jpg" и тогда его вряд ли найдут :о) Именно для того чтобы файл-ключ было тяжело найти я рекомендую не генерировать его, а воспользоваться нормальным файлом.


    < Безопасные файловые системы >
    Если ты хочешь продолжать повышать уровень защищённости, ты можешь начать использовать безопасные файловые системы. Это системы, изначально созданные быть зашифрованными. Наиболее популярные среди них -- LUKS и eCrypt -- изначально присутствуют в большинстве Linux-дистрибутивов. Так что, если ты пока ещё не перешёл на Linux, возможно, это тебя дополнительно мотивирует. Не секрет, что безопасность на Windows достигается гораздо сложнее. Почти все популярные Linux-дистрибутивы предлагают шифрование жёсткого диска и домашней папки пользователя ещё при установке ОС.


    Зашифровать диск и домашнюю папку можно и при установке Windows, но, как это свойственно продуктам от Microsoft, стандартное предложение не обошлось без нюансов. Эта опция стала доступна, начиная с версии 8.1, а в 10-й её даже стали включать по умолчанию. Казалось бы, что может пойти не так? Нюанс в том, что ключ шифрования в этом случае отправляется на сервера Microsoft, а воспользоваться своими данными ты сможешь только если залогинишься в Microsoft-аккаунт. Иначе говоря, твой диск может быть легко расшифрован по запросу правоохранительных органов. Или же в случае если у Microsoft случится утечка данных. Утечки данных из крупных компаний перестали быть редкостью и поэтому нет причин доверять им. Вместо этого лучше воспользоваться функционалом уже упомянутого VeraCrypt. Помимо создания криптоконтейнеров, он позволяет зашифровать диск целиком.



    < Безопасные носители данных >
    Ещё один вариант -- воспользоваться аппаратным решением. Например, Kingston имеет целую линейку флешек с аппаратным шифрованием и красивыми кнопками для ввода пароля. Хотя это действительно выглядит круто, я считаю, что использовать их нецелесообразно. Проще и дешевле создать зашифрованную флешку самостоятельно. Кроме того, всё то же самое можно проделать с любым внешним носителем -- SD-картой, SSD-диском и чем угодно ещё.


    Для этих целей мы применим уже известные методы: полное шифрование носителя при помощи VeraCrypt или использование криптографических файловых систем. Для того чтобы использовать эти системы под Windows, ты можешь воспользоваться приложением

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    Под Linux их поддержка внедрена из коробки и там достаточно просто при форматировании выбрать одну из них из списка.


    Важным достоинством внешних носителей является их хрупкость. Если какие-нибудь данные может понадобиться срочно и безвозвратно уничтожить, я рекомендую хранить их на SD-картах. Для необратимого уничтожения данных на жёстком диске приходится использовать довольно сложные способы -- подачу высокого напряжения, пресс, длительное размагничивание и тому подобные вещи. SD-карту можно просто сломать пополам двумя пальцами. Более надёжный и самый распространённый метод -- помести её в обычный блендер. Получившийся за несколько секунд порошок будет невозможно восстановить.


    < Подытожим >
    С моей точки зрения, шифрования не бывает много. Совмещай различные варианты. Каждый из них увеличит надёжность. Я советую зашифровать весь жёсткий диск и домашнюю папку пользователя двумя разными алгоритмами. Храни свои приватные данные в криптоконтейнерах, а их самих размещай на зашифрованных внешних носителях. Запоминай пароли, а не записывай их. И не забывай делать бекапы. Зашифрованные данные гораздо хуже поддаются восстановлению, поэтому всегда лучше иметь в запасе хотя бы одну резервную копию.


    Шифрование делает использование данных чуть менее удобным, чем ты, возможно, привык. Но, я уверен, что лучше ввести пару паролей, чем предоставить свои данные всем желающим.
    ***
    Источник:

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

     

Поделиться этой страницей

Яндекс.Метрика
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie.
    Скрыть объявление