Bize habercilerden veya telefonla ulaşın.

whatsapp telegram viber phone email
+79214188555

Basic principles of information security

Демитрий

Private access level
Katılım
12 Ara 2017
Mesajlar
422
Tepkime puanı
451
Puanları
193
Konum
г.Ейск, ул.Коммунистическая, 12/1, офис 308
Basic principles of information security.

I’m sure you have something to hide. Each of us has files that are not intended for outsiders. But, oddly enough, most people still keep everything open. Today I’ll talk about how to hide my data so that they couldn’t be accessed by special services, hackers, or anyone else without your permission.


To begin with, let's make sure that your data is stored with you. If you use any cloud service - your data does not belong to you. Once you place the file in the cloud, you cannot even be sure that you can delete it later. For example, everyone knows that VKontakte never removes photos posted there. If you decide to delete a photo, VK will simply hide it from users, but the files will still be available through direct links for a long time. This problem is found wherever distributed file systems are used. That is, just in the cloud services. The quick physical deletion of data for them is fraught with big technical problems, so it is simply more profitable for them to spend extra time on holding “deleted” files. This is not done to keep an eye on you - it's just cheaper.


By uploading files to the clouds, you lose control over access to them. Even if the service you have chosen does not have serious security problems, your data may be available to hackers and special services. Under the law, special services can access any data by sending a request. Acting illegally, they may not attack the service itself - this is usually problematic - but your account. For example, having gained control of your phone number and email, they can easily "recover" the password. And if your account is not tied to a phone number, then just one mail is enough. The price for hacking a mailbox is on average from 5 to 100 dollars. And the phone number can be duplicated to receive SMS.


Despite these risks, cloud services continue to gain popularity. Can I use them safely? The best answer is no. However, if you store there not files, but a cryptocontainer, the risks will be significantly lower. Encryption is the foundation of privacy.


<Creating a cryptocontainer>
A cryptocontainer is, roughly speaking, a very securely encrypted drive, access to which can only be accessed with a password. To create and use it you will need special software. Among paid and free programs, specialists usually single out one - the freely distributed and open VeraCrypt. The name may remind you of TrueCrypt - everything is true, this is its continuation. You can download it here: https://www.veracrypt.fr/ and here is a step-by-step instruction for beginners: VeraCrypt - Free Open source disk encryption with strong security for the Paranoid


I recommend creating cryptocontainers as files, not partitions on disk, and not making them too large. It is better to make several separate cryptocontainers than one global one. Treat them like folders. In the same way as you (I hope) do not put all the usual files in one folder, do not put all the secret files in one cryptocontainer. And do not connect all cryptocontainers at the same time! This will protect you even if someone gets access to your computer. The cryptocontainers opened at this moment will become available to the cracker, but at least some of the information will remain protected. And try not to leave the cryptocontainer open when you leave your computer unattended. Treat him like a safe. When leaving, close the key.


Regarding the keys themselves, the cryptocontainer can be protected by password and by key file. I recommend using both options at the same time. Think of a password that will not be very difficult to remember, but it will be difficult to pick up. This could be, for example, a fragment from a song or a long quote from a movie. These passwords are hard to pick up if you don’t tell anyone what methods you use. For each cryptocontainer, have a separate password. You can make passwords look alike, but don't make them the same. And do not record them anywhere. Maximum, write down a hint for yourself, which will be clear only to you. The value of the password is that it cannot be entered without your knowledge and consent, while the key file can simply be stolen.


But, if you use the file key along with the password, this will significantly increase reliability. You can generate it or use a seemingly ordinary file located on your computer as a key. It can be an mp3 file with the same song as in the password, a saved picture, the text of this article, whatever. Any file is suitable for these purposes, the main thing is that it is not too small (less than 1 kb) or too obvious. Do not call it "My_Secret_key.jpg" and then they are unlikely to find it: o) It is in order for the key file to be hard to find, I recommend not using it, but using a normal file.


<Secure File Systems>
If you want to continue to increase the level of security, you can start using secure file systems. These are systems originally created to be encrypted. The most popular among them - LUKS and eCrypt - are initially present in most Linux distributions. So, if you haven’t switched to Linux yet, it might motivate you further. It's no secret that security on Windows is much more difficult. Almost all popular Linux distributions offer encryption of the hard disk and the user's home folder even when installing the OS.


You can also encrypt the drive and home folder when installing Windows, but, as is typical for Microsoft products, the standard offer could not do without nuances. This option has become available since version 8.1, and in the 10th it was even turned on by default. It would seem that what could go wrong? The nuance is that the encryption key in this case is sent to the Microsoft server, and you can use your data only if you log in to the Microsoft account. In other words, your disk can be easily decrypted at the request of law enforcement agencies. Or if Microsoft has a data leak. Data leaks from large companies are no longer a rarity and therefore there is no reason to trust them. Instead, it’s better to use the functionality of the already mentioned VeraCrypt. In addition to creating cryptocontainers, it allows you to encrypt the entire disk.



<Secure Storage Media>
Another option is to use a hardware solution. For example, Kingston has a whole line of flash drives with hardware encryption and beautiful buttons for entering a password. Although it really looks cool, I find it inappropriate to use them. It is easier and cheaper to create an encrypted flash drive yourself. In addition, the same thing can be done with any external media - SD-card, SSD-drive and anything else.


For these purposes, we will use the already known methods: full media encryption using VeraCrypt or the use of cryptographic file systems. In order to use these systems under Windows, you can use the application tdk / LibreCrypt Under Linux, their support is implemented out of the box and there it is quite simple when formatting to select one of them from the list.


An important advantage of external media is their fragility. If any data may need to be destroyed urgently and irrevocably, I recommend storing them on SD cards. For irreversible destruction of data on a hard disk, one has to use rather complicated methods - applying high voltage, press, long demagnetization and the like. The SD card can simply be broken in half with two fingers. The more reliable and most common method is to put it in a regular blender. The powder obtained in a few seconds will be impossible to recover.


<To summarize>
From my point of view, there is not much encryption. Combine different options. Each of them will increase reliability. I recommend encrypting the entire hard drive and the user's home folder with two different algorithms. Store your private data in cryptocontainers, and place them yourself on encrypted external media. Remember passwords, not write them down. And do not forget to make backups. Encrypted data is much worse to recover, so it is always better to have at least one backup in stock.


Encryption makes using data a little less convenient than you might be used to. But, I am sure that it is better to enter a couple of passwords than to provide your data to everyone.
***
Source:
Basic principles of information security
 
Original message
Базовые принципы защиты информации.

Уверен, тебе есть что скрывать. У каждого из нас есть файлы, не предназначенные для посторонних. Но, как ни странно, большинство людей до сих пор хранит всё в открытом виде. Сегодня я расскажу о том, как скрывать свои данные так, чтобы их не смогли достать ни спецслужбы, ни хакеры, ни кто-либо ещё без твоего разрешения.


Для начала, давай убедимся, что твои данные хранятся именно у тебя. Если ты используешь какой-нибудь облачный сервис -- твои данные тебе не принадлежат. Один раз разместив файл в облаке, ты не можешь быть уверен даже в том, что ты сможешь его потом удалить. Например, всем известно, что ВКонтакте никогда не удаляет размещённые там фотографии. Если ты решишь удалить какое-то фото, ВК просто скроет его от пользователей, но файлы всё равно ещё долгое время будут доступны по прямым ссылкам. Эта проблема встречается везде, где используются распределённые файловые системы. То есть, как раз у облачных сервисов. Быстрое физическое удаление данных для них сопряжено с большими техническими проблемами, поэтому им попросту выгоднее лишнее время подержать у себя "удалённые" файлы. Это делается не для того чтобы следить за тобой -- это просто дешевле.


Выложив файлы в облака, ты теряешь контроль над доступом к ним. Даже если у выбранного тобой сервиса нет серьёзных проблем с защитой, твои данные могут доступны хакерам и спецслужбам. В рамках закона, спецслужбы могут получить доступ к любым данным, отправив запрос. Действуя незаконно, они могут атаковать не сам сервис -- обычно это проблематично -- а твою учётную запись. Например, заполучив контроль над твоим номером телефона и электронной почтой, они легко смогут "восстановить" пароль. А если твой аккаунт не привязан к номеру телефона, то и вовсе достаточно одной почты. Цена за взлом почтового ящика в среднем составляет от 5 до 100 долларов. А номер телефона может быть продублирован для принятия SMS.


Не смотря на эти риски, облачные сервисы продолжают набирать популярность. Можно ли ими пользоваться безопасно? Лучший ответ -- "нет". Однако, если ты будешь хранить там не файлы, а криптоконтейнера, риски будут существенно ниже. Шифрование -- это фундамент приватности.


< Создание криптоконтейнера >
Криптоконтейнер -- это, грубо говоря, очень надёжно зашифрованный диск, доступ к которому можно получить только по паролю. Для его создания и использования понадобится специальный софт. Среди платных и бесплатных программ специалисты обычно выделяют одну -- свободно распространяемый и открытый VeraCrypt. Название может тебе напомнить TrueCrypt -- всё верно, это его продолжение. Скачать его можно тут: https://www.veracrypt.fr/ а здесь находится пошаговая инструкция для начинающих: VeraCrypt - Free Open source disk encryption with strong security for the Paranoid


Я рекомендую создавать криптоконтейнеры в виде файлов, а не разделов на диске, и не делать их слишком большими. Лучше сделать несколько отдельных криптоконтейнеров, чем один глобальный. Относись к ним, как к папкам. Точно так же, как ты (надеюсь) не кладёшь все обычные файлы в одну папку, не клади все секретные файлы в один криптоконтейнер. И не подключай все криптоконтейнеры одновременно! Это защитит тебя даже в случае, если кто-нибудь получит доступ к твоему компьютеру. Открытые в этот момент криптоконтейнеры станут доступны взломщику, но хотя бы какая-то часть информации останется защищённой. И постарайся не оставлять криптоконтейнер открытым, когда ты оставляешь свой компьютер без присмотра. Относись к нему, как к сейфу. Уходя, закрывай на ключ.


По поводу самих ключей -- криптоконтейнер можно защитить по паролю и по файлу-ключу. Я советую использовать оба варианта одновременно. Придумай такой пароль, который будет не очень сложно запомнить, но будет тяжело подобрать. Это может быть, например, фрагмент из какой-нибудь песни или длинная цитата из фильма. Такие пароли тяжело подбирать, если ты никому не расскажешь, какую методику ты используешь. Для каждого криптоконтейнера заведи отдельный пароль. Ты можешь сделать пароли похожими, но не делай их одинаковыми. И не записывай их нигде. Максимум, запиши для себя подсказку, которая будет понятна только тебе. Ценность пароля в том, что его невозможно ввести без твоего ведома и согласия, в то время как файл-ключ можно просто украсть.


Зато, если использовать файл-ключ вместе с паролем, это существенно увеличит надёжность. Ты можешь его сгенерировать или использовать в качестве ключа какой-нибудь с виду обычный файл, размещённый на твоём компьютере. Это может быть mp3-файл с той же песней, что и в пароле, сохранённая картинка, текст этой статьи, что угодно. Для этих целей подойдёт любой файл, главное чтобы он не был слишком маленьким (менее 1 кб) или слишком очевидным. Не называй его "Мой_секретный_ключ.jpg" и тогда его вряд ли найдут :о) Именно для того чтобы файл-ключ было тяжело найти я рекомендую не генерировать его, а воспользоваться нормальным файлом.


< Безопасные файловые системы >
Если ты хочешь продолжать повышать уровень защищённости, ты можешь начать использовать безопасные файловые системы. Это системы, изначально созданные быть зашифрованными. Наиболее популярные среди них -- LUKS и eCrypt -- изначально присутствуют в большинстве Linux-дистрибутивов. Так что, если ты пока ещё не перешёл на Linux, возможно, это тебя дополнительно мотивирует. Не секрет, что безопасность на Windows достигается гораздо сложнее. Почти все популярные Linux-дистрибутивы предлагают шифрование жёсткого диска и домашней папки пользователя ещё при установке ОС.


Зашифровать диск и домашнюю папку можно и при установке Windows, но, как это свойственно продуктам от Microsoft, стандартное предложение не обошлось без нюансов. Эта опция стала доступна, начиная с версии 8.1, а в 10-й её даже стали включать по умолчанию. Казалось бы, что может пойти не так? Нюанс в том, что ключ шифрования в этом случае отправляется на сервера Microsoft, а воспользоваться своими данными ты сможешь только если залогинишься в Microsoft-аккаунт. Иначе говоря, твой диск может быть легко расшифрован по запросу правоохранительных органов. Или же в случае если у Microsoft случится утечка данных. Утечки данных из крупных компаний перестали быть редкостью и поэтому нет причин доверять им. Вместо этого лучше воспользоваться функционалом уже упомянутого VeraCrypt. Помимо создания криптоконтейнеров, он позволяет зашифровать диск целиком.



< Безопасные носители данных >
Ещё один вариант -- воспользоваться аппаратным решением. Например, Kingston имеет целую линейку флешек с аппаратным шифрованием и красивыми кнопками для ввода пароля. Хотя это действительно выглядит круто, я считаю, что использовать их нецелесообразно. Проще и дешевле создать зашифрованную флешку самостоятельно. Кроме того, всё то же самое можно проделать с любым внешним носителем -- SD-картой, SSD-диском и чем угодно ещё.


Для этих целей мы применим уже известные методы: полное шифрование носителя при помощи VeraCrypt или использование криптографических файловых систем. Для того чтобы использовать эти системы под Windows, ты можешь воспользоваться приложением t-d-k/LibreCrypt Под Linux их поддержка внедрена из коробки и там достаточно просто при форматировании выбрать одну из них из списка.


Важным достоинством внешних носителей является их хрупкость. Если какие-нибудь данные может понадобиться срочно и безвозвратно уничтожить, я рекомендую хранить их на SD-картах. Для необратимого уничтожения данных на жёстком диске приходится использовать довольно сложные способы -- подачу высокого напряжения, пресс, длительное размагничивание и тому подобные вещи. SD-карту можно просто сломать пополам двумя пальцами. Более надёжный и самый распространённый метод -- помести её в обычный блендер. Получившийся за несколько секунд порошок будет невозможно восстановить.


< Подытожим >
С моей точки зрения, шифрования не бывает много. Совмещай различные варианты. Каждый из них увеличит надёжность. Я советую зашифровать весь жёсткий диск и домашнюю папку пользователя двумя разными алгоритмами. Храни свои приватные данные в криптоконтейнерах, а их самих размещай на зашифрованных внешних носителях. Запоминай пароли, а не записывай их. И не забывай делать бекапы. Зашифрованные данные гораздо хуже поддаются восстановлению, поэтому всегда лучше иметь в запасе хотя бы одну резервную копию.


Шифрование делает использование данных чуть менее удобным, чем ты, возможно, привык. Но, я уверен, что лучше ввести пару паролей, чем предоставить свои данные всем желающим.
***
Источник:
Базовые принципы защиты информации