Глава 9
Защита от утечки данных
Во время работы компьютера доступ к информации контролируется средствами
операционной системы и программного обеспечения. Порядок настройки прав дос-
тупа не представляет особой сложности и успешно реализуется администраторами.
Но как только данные выходят из-под контроля операционной системы (например,
компьютер выключается, или данные переносятся на сменный носитель), то ис-
ключить их попадание в чужие руки крайне сложно.
Шифрование данных
Шифрование данных на сегодня является самым надежным способом обеспечения
конфиденциальности информации.
Применение шифрования ограничено действующим законодательством (например,
требуется лицензия, необходимо применять только сертифицированные алгоритмы
шифрования и т. п.), но на практике существуют и применяются много вариантов
кодирования данных.
Шифрование данных на устройствах хранения
П
РИМЕЧАНИЕ
При работе с зашифрованной информацией важно исключить утечку по другим кана-
лам — например, через временные файлы, которые система создает при обработке
данных, через электромагнитное излучение монитора, на котором воспроизведен
текст, и т. п.
Шифрование архивов
Шифрование при архивировании — самый простой способ, но далеко не самый на-
дежный. Для многих архиваторов существуют программы подбора паролей, и, учи-
тывая склонность пользователей к простым вариантам паролей, информация из
архивов может быть вскрыта за конечное время.
Нужно также учитывать, что коммерческие варианты архиваторов могут иметь так
называемые
инженерные
пароли, с помощью которых соответствующие службы
при необходимости прочтут зашифрованные вами данные.
Бесплатные программы шифрования данных
Существует несколько программ, которые позволяют шифровать данные с высокой
степенью надежности. Мы же хотим здесь порекомендовать форк популярной ути-
литы TrueCrypt — программу шифрования VeraCrypt (
https://www.veracrypt.fr/
en/Home.html
). Это бесплатное кроссплатформенное решение, версии которого
есть для Windows, macOS и Linux. Косвенно качество программы подтверждает
факт ее применения в вооруженных силах Израиля. При желании вы можете ис-
пользовать и TrueCrypt (если раздобудете), но скачать с официального сайта ее уже
не получится (см. далее).
Безопасность
471
П
РИМЕЧАНИЕ
К сожалению, разработчики прекратили поддержку TrueCrypt, о чем официально объ-
явили на своем сайте
http://www.truecrypt.org/
, при этом обвинив свою программу
в ненадежности. Сообщество пользователей программы усомнилось в справедливо-
сти этих обвинений и провело независимый аудит, подтвердивший нескомпрометиро-
ванность TrueCrypt (
http://habrahabr.ru/post/254777/
). Так что, вы можете пользовать-
ся этой программой совершенно спокойно.
Утилита TrueCrypt создает виртуальный зашифрованный диск и монтирует его как
реальный. Шифрование данных осуществляется в режиме реального времени и не
требует никаких дополнительных операций. При этом виртуальный зашифрован-
ный диск может быть просто файлом на диске или сменном носителе компьютера
или же полностью преобразованным логическим диском (в том числе и систем-
ным). Программа использует строгие алгоритмы (AES-256, Twofish и др.) и имеет
среди прочих и русский интерфейс.
Среди особенностей программы отметим возможность создания
скрытого тома
.
Дело в том, что вы можете попасть в такую ситуацию, когда будете вынуждены
раскрыть пароль зашифрованного диска (специалисты смогут обнаружить на ва-
шем компьютере контейнер, используемый для хранения зашифрованной инфор-
мации, и вынудить вас выдать пароль). Для такого случая TrueCrypt позволяет соз-
дать для одного контейнера
два
последовательно зашифрованных диска, доступ
к которым осуществляется по различным паролям. Вы можете сообщить вымогате-
лям первый пароль и расшифровать диск, на котором будете хранить ничего не
значащую информацию. Обнаружить же на свободной части этого диска наличие
зашифрованных данных второго диска
невозможно
— там будут просто случайные
данные, шум.
П
РИМЕЧАНИЕ
Скрытый том создается вторым этапом на свободном месте первого зашифрованного
диска. Программа никак не может контролировать запись данных на это место при ра-
боте с первым диском. Поэтому сначала нужно создать «открытый» вариант зашиф-
рованного диска, заполнить его некими данными, а потом на оставшемся свободном
месте создать скрытый том. И больше не записывать данные на первый диск.
Максимум, чем вы рискуете в такой ситуации, так это потерей данных на скрытом
томе, поскольку не знающий о такой возможности специалист может дописать
данные на первый диск и исключить тем самым возможность дешифрования скры-
того тома.
Программу TrueCrypt
можно использовать и без установки на компьютер — это
обеспечивает ее переносной (portable) вариант. Для этого на этапе установки про-
граммы нужно на втором шаге выбрать опцию
Extract
и распаковать в нужную
папку переносную версию.
На рис. 9.15 изображена программа TrueCrypt, запущенная на Windows Server 2012
(это видно по обрамлению окна). Зашифрованный раздел размером 68 Гбайт под-
монтирован как диск
Z:
.
Как уже отмечалось ранее, по непонятным причинам разработка программы
TrueCrypt прекращена. Последняя ее версия (7.2) может только расшифровывать
472
Глава 9
данные, созданные предыдущими версиями программы. Если вы хотите использо-
вать программу TrueCrypt для шифрования данных, вам нужно найти ее предпо-
следнюю версию: 7.1а. Однако свято место пусто не бывает, и на смену программе
TrueCrypt появились ее аналоги: CipherShed (
https://ciphershed.org/
) и уже упомя-
нутая ранее VeraCrypt. Это тоже бесплатные программы для шифрования, обла-
дающие теми же функциями, что и TrueCrypt.
Рис. 9.15.
Программа TrueCrypt
Шифрование дисков: коммерческие программы
Существует достаточное количество программ сторонних фирм, позволяющих реа-
лизовать возможность шифрования
всего
диска. Например, PGP Desktop, которая
дает возможность не только шифровать диски, но и осуществлять безопасную
переписку по электронной почте (рис. 9.16).
Существуют и отечественные решения для шифрования данных. Нельзя не отме-
тить программу CyberSafe Top Secret (
http://cybersafesoft.com/rus/products/
topsecret/
). Программа позволяет шифровать разделы жесткого диска, создавать
виртуальные диски-контейнеры, выполнять прозрачное шифрование папок и шиф-
ровать отдельные файлы (рис. 9.17).
Сравнение программ PHP Desktop, CyberSafe Top Secret и Folder Lock можно найти
по адресу:
http://habrahabr.ru/company/cybersafe/blog/252561/
.
Безопасность
473
Рис. 9.16.
Для создания зашифрованного диска в программе PGP
достаточно определить только несколько параметров
Рис. 9.17.
Программа CyberSafe Top Secret, позволяющая шифровать не только диски и файлы,
но и электронную почту
474
Do'stlaringiz bilan baham: |