Вашему вниманию предлагается довольно интересная статья, взятая с сайта http://www.gloffs.com/. Она, безусловно, будет полезна всем тем, кто интересуется проблемами компьютерной безопасности и защиты конфиденциальной информации в практическом смысле.
Авторы сайта http://www.gloffs.com"Оффшорные механизмы и решения для Российских компаний" регулярно просматривают страницы зарубежного Интернета в поисках информации о новейших способах компьютерной безопасности т.к. современное оффшорное налоговое планирование уже нельзя эффективно осуществлять, не построив надежную систему защиты конфиденциальной информации от третьих лиц. К сожалению актуальную и эффективную информацию находить чрезвычайно трудно т.к. большинство рассылок и сайтов, посвященных теме компьютерной безопасности, почему то в основном рассматривают только вопросы сетевой корпоративной безопасности с применением так называемой VPN (virtual private network) или рекомендуют приобретать аппаратные шифраторы в то время, как для обычного пользователя этот способ дорогостоящ и совершенно не учитывает разнообразные и коварные уязвимости, которыми обладает операционная система Windows. Публикуемая ниже информация является кратким обобщением изученных нами зарубежных материалов, а также нашими собственными мыслями по этому поводу. Данная статья будет постоянно обновляться новой информацией по мере появления новых способов защиты и взлома компьютерных систем.
Мы уделяем большое внимание тщательному изучению способов шифрования конфиденциальной информации с помощью компьютера и поэтому с особой скрупулезностью каждый раз вносим новую информацию в эту статью. После долгих поисков такой информации в Интернете нам кажется, что, по крайней мере, в Русском Интернете нет ни одного источника информации, который бы так скрупулезно и подробно рассматривал эту тему. Мы обыскали весь Русский Интернет, но так и не нашли. Может быть, вы где-нибудь встречали?
Вот, например, мы постоянно сталкиваемся с обсуждением или рекламой того или иного корпоративного продукта по обеспечению безопасности сервера корпорации от внешней сети Интернет (интранет). Только вот какой толк от этого продукта, стоящего, по крайней мере 200-300 долларов, если офис вашей фирмы был арестован сотрудниками налоговой полиции? Вы думаете, что этот продукт спасет вас от налоговой полиции? Если вы так думаете, то глубоко ошибаетесь. Вашу конфиденциальную информацию гораздо более эффективно может защитить бесплатная криптографическая программа, о чем пойдет речь ниже в этой статье.
Недавно нам на глаза попалась статья, описывающая преимущества аппаратных шифраторов. Вот, адрес этой статьи: http://www.infosecurity.r u/_gazeta/content/030701/article01.html. Автор статьи подробно рассматривает разные виды аппаратных шифраторов и в заключение рекомендует Российским компаниям не жалеть денег и приобретать аппаратные шифраторы (криптосредства) т.к. именно таким криптосредствам рекомендуется доверять самую ценную информацию. Однако, почему то автор статьи не обратил внимания на то обстоятельство, что все производители аппаратных шифраторов, упомянутые в его статье, получали в ФАПСИ лицензии на право продажи на Российском рынке этих железок, которые вставляются в компьютер.
С одной стороны, преимущества решения проблем безопасности с помощью "железа" налицо, но с другой стороны куда вы спрячете это устройство, если ваш офис будет арестован и все компьютерное оборудование доставлено в лабораторию компетентных органов для дальнейшего изучения вашей деятельности? Вы думаете, что дяди, у которых невысокая зарплата, будут руководствоваться какими-то моральными соображениями и оставят вас в покое, как только увидят, что информация зашифрована? Черта с два! А лицензии, которые получали в ФАПСИ производители этих железок, помогут этим дядям в два счета расшифровать всю вашу конфиденциальную информацию! Получается, что вместо того, чтобы использовать бесплатный Scramdisk, вы заплатите "сертифицированным" компаниям, производящим аппаратные шифраторы согласно требованиям ФАПСИ, которым безразличны ваши проблемы.
Необходимо прокомментировать еще одно предложение, которое было взято нами из вышеупомянутой статьи:
Консерватизм и некоторая инерционность мышления, вероятно, еще долго будут свойственны рынку аппаратных шифраторов. Проявлением данной тенденции служит игнорирование перспективных биометрических технологий, которые вполне можно использовать при создании электронных замков на базе аппаратных шифраторов. В этом случае пользователи не зубрили бы длинные пароли и не проклинали бы отдел защиты информации, в сотый раз ошибаясь при вводе шестнадцатого парольного символа, а легко и непринужденно проходили аутентификацию по уникальному биометрическому признаку — скажем, отпечатку пальца.
Если вас действительно интересует вопрос защиты конфиденциальной информации от третьих лиц, то не существует какого-либо другого пути, кроме "ввода шестнадцатого парольного символа", как об этом говорит автор статьи, и все эти новейшие биометрические способы защиты конфиденциальной информации не смогут вам предложить такой же надежной и в то же время бесплатной возможности окружить вашу конфиденциальную информацию толстым слоем тайны, как приведенные в нашей статье криптографические программы. Не верьте рекламным объявлениям и прочим восхвалениям, которые заказываются производителями таких железок, прежде всего руководствующимися своими материальными соображениями, а не вашими личными интересами. Никто не учтет ваши личные интересы лучше вас самих, особенно когда на них со стороны давят ФАПСИ и ФСБ.
Мы постоянно сталкиваемся или слышим о том, что большинство компьютерных пользователей грубо нарушают правила компьютерной гигиены и защиты информации. И этим грешат не только обычные компьютерные пользователи, но и юридические фирмы, занимающиеся открытием оффшорных компаний. Поэтому рекомендуем вам проверять, каким именно образом такие фирмы содержат конфиденциальную информацию о ваших делах. В США на протяжении последних лет уже было несколько крупных скандалов, связанных с тем, что хакеры залезали на компьютеры адвокатских контор и похищали конфиденциальную информацию о клиентах этих контор.
Еще один свежий пример. По адресу http://www.3dnews.ru/software/guess-who размещена рецензия на новую программу по защите от несанкционированного доступа Guess Who?, которая по словам авторов рецензии может заменить все программы, которые вы используете для защиты данных, в том числе и дорогостоящие решения для шифрования дисков и папок.
Вот, отрывок из данной рецензии:
В программе Guess Who? используется совершенно новый подход к защите личных данных. Утилита с вероятностью 98.6 процента может определить, кто в данный момент работает на компьютере. Если в результате проверки выясняется, что вы - это вы, вы можете спокойно работать дальше. Если же Guess Who? усомнится в том, что перед экраном находится хозяин компьютера, она тут же примет соответствующие меры. Но давайте обо всем по порядку.
Заявление авторов данной статьи о супервозможностях данной программы выглядят чересчур завышенными. Поверьте, что если ваш компьютер доставят в лабораторию всем нам известного ведомства, то буквально за полчаса прочитают все ваши секреты. А если еще учесть, что полная версия программы Guess Whoстоит $150, то утверждение авторов статьи на 3dnews.ru о том, что данная программа может заменить дорогостоящие решения для шифрования дисков и папок вообще выглядит нелепым. Ведь всем известно, что рассматриваемая далее программа Scramdisk бесплатна для скачивания любым желающим. Так что не верьте всему, что пишут или говорят о шифровальных программах в Интернете неспециалисты.
Использование программы PGP (http://www.gloffs.com/pgp.htm) не является 100% защитой от того, что злоумышленники не смогут прочитать ваши конфиденциальные сообщения или взломать ваш компьютер на расстоянии, пока вы ходите по Интернету.
Ниже мы разберем основные меры предосторожности, которые вам следует предпринимать при использовании компьютера в бизнесе и, особенно, в том случае, если информация, находящаяся на вашем компьютере, имеет конфиденциальный характер.
Самая большая опасность в цепочке - это вы, пользователь программы PGP. Математические формулы PGP очень надежные. Именно то, как вы пользуетесь PGP, создает опасность раскрытия конфиденциальной информации.
Сейчас мы разберем 10 стандартных операций, которые обычно используются сотрудниками ФБР для расшифровки PGP сообщений. Операции перечисляются в порядке возрастания сложности их проведения, начиная с самых простых и кончая самыми сложными.
Атака № 1. Извлечение незашифрованного текста. Злоумышленники проникают в ваш дом или офис пока вас там нет, и извлекают всю информацию, находящуюся на вашем компьютере и дискетах. Полиция также использует этот метод т.к. он очень эффективен. Мы не будем здесь говорить о том, как легко специалистам проникнуть в ваш дом или офис без вашего ведома и таким образом, что вы об этом никогда не узнаете. Кроме этого, во время проникновения в ваш дом или офис недоброжелатели могут установить на ваш компьютер клавиатурный монитор, который представляет собой устройство следующего вида:
Это устройство записывает все ваши нажатия на клавиши в течение определенного периода времени и, конечно, конфиденциальная информация, набираемая вами на компьютере, включая пароли и парольные фразы, оказывается незаметно записанной этим неприметным устройством, установленным с задней стороны вашего компьютера. После установки монитора сотрудникам органов надо будет только еще раз проникнуть в ваше помещение и снять данные с клавиатурного монитора. Две фотографии ниже показывают задний вид компьютера перед установкой клавиатурного монитора и после:
Компания, производящая это устройство (keyghost.com), говорит, что его можно установить за 12 секунд независимо от того, включен ваш компьютер или выключен. Как правило, мало кто из нас обращает внимание на заднюю часть корпуса компьютера, установленного в офисе или дома. Кроме установки клавиатурного монитора вам могут просто поменять вашу клавиатуру на другую аналогичную клавиатуру, но с заранее установленным внутри нее клавиатурным монитором.
Недавно газеты всего мира облетела новость о том, как сотрудники ФБР незаметно установили клавиатурные шпионы на компьютер преступника Никодема Скарфо, который подозревался в незаконных махинациях. Основанием для установки клавиатурного шпиона явилась информация о том, что подозреваемый использовал на своем компьютере программу PGP для шифрования данных. В результате сотрудники ФБР получили доступ к парольной фразе, которую Никодем Скарфо использовал для шифрования своих сообщений. Этот случай является отличным доказательством того, какую опасность такие устройства представляют для тех, кто в своей деятельности полагается только на надежные математические алгоритмы шифрования без учета всей используемой системы и ее самых слабых звеньев.
Даже если вы не обнаружили на задней стороне вашего компьютера такой клавиатурный монитор, то это не означает, что все в порядке. Ведь такое устройство при желании можно незаметно подцепить к задней стороне материнской карты, закамуфлировав его под какой-нибудь конденсатор или еще какую-нибудь деталь. Поэтому при проведении проверки своего компьютера необходимо заранее тщательно изучить устройство и близкий вид всей материнской платы. Почему то нам кажется, что при установке на компьютер Никодема Скарфо клавиатурного шпиона агенты ФБР использовали более хитрый и незаметный способ, чем вставку между проводом от клавиатуры и портом PS/2 бросающегося в глаза предмета достаточно большого размера.
В июне 2005 года по адресу http://c0x2.de/lol/lol.html владелец ноутбука Dell600m опубликовал статью о том, к чему привело его желание починить сломавшийся PCMCIA слот на материнской карте его портативного компьютера. Открыв свой компьютер и вытащив клавиатуру, он увидел, что от клавиатуры его ноутбука отходит маленький кабель. По указанному выше адресу вы можете посмотреть на фотографии, сделанные им во время разборки своего компьютера. К этому кабелю была прикреплена маленькая планка с чипами Atmel AT45D041A, Microchip Technology PIC16F876 и CD4066BCM. Т.к. автор данной статьи является инженер-электриком, то он пришел к выводу, что данное устройство является одним из видов клавиатурного шпиона, о которых идет речь выше в нашей статье. Тогда он позвонил в отдел технической поддержки компании Dell и ему там сказали, что данное устройство помогает владельцам портативных компьютеров Dell восстанавливать утерянную информацию. Больше ему ничего там не сказали. Однако, ему до сих пор не было ясно, зачем же в его компьютер был вмонтирован key logger? Тогда он позвонил в полицию, т.к. в США считается нарушением закона, когда в компьютер установлено устройство, выполняющее функцию key logger. В полиции ему посоветовали обратиться в департамент безопасности (Department of Homeland Security), который согласно законодательству об открытости информации обязан был предоставить ему информацию. В ответ он получил от этого департамента следующее сообщение: "Мы получили ваш запрос и пришли к выводу, что запрашиваемая вами информация не подлежит разглашению согласно положениям FOIA". В результате всего вышесказанного можно придти к выводу о том, что производитель портативных компьютеров Dell начал вставлять в выпускаемые модели компьютеров key logger, исполняющий функцию сохранения всей информации, которая создается при работе на клавиатуре, таким образом, что, например, в случае использования владельцем компьютера Dell криптографических программ, не поддающихся расшифровке, органы полиции смогут с легкостью просмотреть любую информацию, которую владелец компьютера набирал в последние несколько месяцев, включая, естественно, любые пароли или парольные фразы.
Данный случай наглядно показывает, насколько обнаглели ведущие изготовители портативных компьютеров в США, встраивая в изготовляемые компьютеры устройства, которые тайно следят за всеми нажатиями пользователей на клавиши клавиатуры.
Какой можно извлечь из всего этого вывод? Если вы покупаете настольный компьютер, то ни в коем случае не покупайте компьютер, собранный на фабрике, как в последнее время становится модным делать. Изготовители компьютеров придумали новый способ по извлечению дополнительных денег из карманов покупателей, где вместо покупки сборного компьютера, собранного на "коленках" в одной из местных компьютерных фирм и имеющего наиболее оптимальное соотношение цена-качество, покупателю предлагается приобрести компьютер якобы более высокого качества, т.к. он был собран на заводе (фабрике или еще где-то) по более высокой цене, т.к. такой компьютер якобы "круче", чем обычный сборный компьютер. Вы наверное уже поняли, что все это чистейшей воды вранье, которое создано только для извлечения дополнительной прибыли из кошельков неосведомленных покупателей ("чайников", "ламеров"). Но самая главная проблема состоит в том, что, покупая опломбированный компьютер на гарантии, мы не имеем ни малейшего понятия, что же там стоит внутри. Покупая импортный портативный компьютер (ноутбук) и особенно Американского производства, надо быть еще более осторожным при его выборе, т.к. не исключено, что в скором будущем во все компьютеры, изготавливаемые в США, будут вставляться такие неприятные устройства.
Примечание: информация о keylogger, встроенном в ноутбук, оказалась розыгрышем, т.е. враньем. Однако, из этого не следует делать вывод, что такого не может произойти никогда. Еще как может.
Атака № 2. Измененная копия программы PGP. После того, как злоумышленники проникнут в ваш дом или офис, они установят на вашем компьютеру поддельную копию PGP вместо оригинальной версии PGP, которая была ранее установлена на ваш компьютер. Все сообщения, зашифрованные с помощью поддельной программы, будут элементарно расшифровываться этими людьми. Еще одной разновидностью такой атаки является специально созданный вирус, который устанавливается на жесткий диск вашего компьютера в ваше отсутствие и который затем записывает все нажатия на клавиши, которые вы делали, в специальный файл. Естественно при этом ваш PGP пароль или парольная фраза также оказываются записанными этим вирусом, который еще также называют «Троянским конем», после чего все ваши сообщения, зашифрованные с помощью программы PGP очень просто расшифровать. При использовании PGP особенно опасно подключаться к Интернету, т.к. такой вирус может незаметно зайти на ваш компьютер в то время, пока вы будете ходить по Интернету, записать все ваши нажатия на клавиши и передать информацию обратно во время вашего очередного посещения сети Интернет.
Атака № 3. Рабочие файлы PGP. Проникнув в помещение в ваше отсутствие, злоумышленники скопируют некоторые файлы программы PGP с вашего компьютера и особенно ваш секретный ключ. После этого они обыщут весь ваш дом в надежде найти парольную фразу, которую вы могли куда-нибудь записать. Они начнут методически обыскивать все ваши бумаги, сейф, рабочий стол и т.д. Цель этого обыска состоит в том, чтобы найти вашу парольную фразу, после чего они смогут прочитывать любые сообщения, которые вы отправляете или получаете. Если они не смогут найти пароль, то попробуют использовать специальную программу по взламыванию паролей, которая основывается на том принципе, что большинство пользователей программы PGP обычно используют в качестве пароля слова или цифры, имеющие для них особое значение, например день рождения или имя своей собаки. Кроме того, существует еще так называемая парольная атака, где используется электронный словарь с расчетом на то, что в качестве пароля было использовано слово, имеющееся в словаре.
Недавно два Чешских криптографа (http://www.i.cz)обнаружили в программе PGP следующую уязвимость, которая вызвана неправильным применением сильных криптографических техник: т.к. закрытый ключ является основным и наиболее важным файлом на компьютере, то пользователь использует его для зашифровки/расшифровки сообщений, а также для создания цифровой подписи. В виду этого он защищен сильным крипто-блоком. Однако, оказывается, что эта надежность является кажущейся.
Дело в том, что авторы открытия доказали экспериментально, что атакующему необязательно атаковать этот крипто-блок, а достаточно обойти его и парольную фразу пользователя. Легкая модификация файла, содержащего закрытый ключ, после чего копируется подписанное и зашифрованное пользователем сообщение, вполне достаточна для взлома закрытого ключа. Эта задача может выполняться без обладания парольной фразой пользователя. После этого на любом офисном компьютере можно запустить специальную программу, которая, обладая зашифрованным и подписанным сообщением пользователя (жертвы), "вычисляет" закрытый ключ пользователя в течение 0.5 секунд. Теперь атакующий может заново подписать отправленное пользователем сообщение своей собственной подписью, в результате чего корреспондент, получивший это сообщение, будет полагать, что сообщение исходит от пользователя (жертвы) в то время, как в действительности, оно было изменено и подписано другим человеком. Несмотря на быструю скорость вычисления указанная программа основывается на особом криптографическом ноу-хау.
Атака № 4. Видео наблюдение. Проникнув в ваше помещение, злоумышленники установят над вашим рабочим местом миниатюрную видеокамеру, которая будет записывать ваши нажатия на клавиши клавиатуры, в то время как вы будете вводить парольную фразу.
Американские исследователи обнаружили еще одну уязвимость компьютерных систем: во время работы модема его индикаторы мигают в соответствии с данными, проходящими через него. Если во время работы модема записывать мигание лампочек модема, то можно элементарно записать с расстояния всю информацию, обрабатываемую модемом. К счастью эта уязвимость не так страшна т.к. информация, проходящая через модем, уже должна быть зашифрована. Ведь не будете же вы передавать конфиденциальную информацию через Интернет в открытом виде. Сначала ее необходимо зашифровать и потом уже передавать. Естественно, зашифрованную информацию путем записи мигания лампочек на модеме не расшифруешь. Единственный неприятный момент состоит в том, что злоумышленник может таким образом узнать login и пароль при использовании Интернета. Однако, login и пароль можно вычислить и другим образом, перехватывая пакеты между компьютером пользователя и удаленным сервером. Поэтому с практической точки зрения данная уязвимость большой погоды не делает. Бороться с этой проблемой очень просто: достаточно закрыть лампочки модема липкой лентой или чем-нибудь другим.
Атака № 5. Аудио наблюдение. Этот метод аналогичен методу № 4. Отличие состоит лишь в том, что вместо миниатюрной видеокамеры будет установлен жучок, который будет записывать звуки, возникающие при нажатии на клавиши клавиатуры. После этого специалисты проанализируют записанные звуки, сравнив записанные звуки со звуками нажатия на клавиши, полученными во время набирания известного им текста. Конечно, надо понимать, что атаки №4 и №5 очень трудны в смысле практического осуществления и приведены здесь только в информативных целях.
Вот, как нам прокомментировал этот вид атаки один из специалистов:
Нужен не один *жучек*, а целая система. Можно расположить специальным образом микрофоны (не менее 6) и тогда можно вычислять абсолютную координату источника звука в системе координат, образованной микрофонами , а из абсолютной координаты источника вычислить нажатую клавишу.....
Атака № 6. Анализ переменного напряжения в сети. С помощью специального оборудования, подключенного к сети напряжения, злоумышленники смогут отследить незначительные изменения в напряжении, в то время как вы набираете текст и таким образом записать все ваши нажатия на клавиши клавиатуры. Еще один комментарий этого же специалиста насчет атаки №5:
Касательно анализа импульсов в сети питания, это не реально!!! Дело в том, что, блок питания компьютера представляет собой импульсный преобразователь напряжения, т.е. переменное напряжение сети 50 Гц преобразовывается сначала в постоянный ток 220 В , а после этого схема преобразования делает из этих 220 В постоянных 220 В импульсных , причем частота преобразования возрастает до 25-30.000 Гц . После этого импульсное напряжение прикладывается к обмотке импульсного трансформатора с вторичных обмоток которого снимается пониженное до нужного уровня ИМПУЛЬСНОЕ напряжение. Это пониженное напряжение выпрямляется , т.е. преобразовывается в постоянный ток, и стабилизируется , т.е. приводится к необходимому уровню пульсяция постоянного напряжения......
Если из алгоритма работы ничего не понятно , то объясню проще:
Ток потребления контроллера, установленного в клавиатуре не превышает 0.001 А , а номинальный ток блока питания по 5 Вольтам примерно 5-6 А с коэффициентом пульсаций 0.25 % . Из этого видно, что пульсации шины клавиатуры на несколько порядков меньше собственных пульсаций БП , поэтому все пульсации системных шин компьютера будут полностью поглощены БП. Из событий которые можно определить из сети питания это например : - включение дисковода или СДРома (по запуску двигателей привода, которые потребляют достаточный ток для того чтобы был эффект) , да и то можно *заметить* увеличение потребляемой мощности , а не характер данных или тем более сами.
Атака № 7. Анализ электромагнитного излучения. Компьютерные процессоры и мониторы излучают электромагнитные волны, которые можно уловить и записать с помощью специального оборудования, установленного на машине, припаркованной неподалеку от вашего офиса. Эта тема очень сложная и вызывает большое количество споров по поводу своей практической осуществимости, но нельзя не обращать внимание на тот факт, что компьютеры и компьютерные мониторы, приобретаемые, например, Пентагоном, имеют специальные металлические кожухи, которые значительно ослабляют уровень электромагнитных излучений.
Полезный совет: говорят, что в Англии, где людям приходится платить деньги за фиксированную лицензию за просмотр телепередач, контролирующие органы, производящие мониторинг электромагнитного излучения с целью поиска тех, кто пользуется телевизорами без лицензии, не могут уловить излучение, испускаемое плазменными телевизорами.
Атака № 8. Физическое принуждение. Предыдущие атаки достаточно легки для исполнения. В действительности почти все они используются рутинно. Но, начиная с этого момента, работа по выявлению вашей парольной фразы становится достаточно дорогостоящим предприятием. Поэтому они вполне могут применить и другой более прямой подход. Конечно, в условиях России этот прямой подход может использоваться еще гораздо более интенсивно, чем за рубежом т.к. сотрудники Российских служб либо обычные уголовники, как правило, не такие «воспитанные» как их зарубежные коллеги, да и стоимость проведения операций, описанных в предыдущих способах, является гораздо более ощутимой нагрузкой для наших оперативников, чем их зарубежных коллег из ФБР.
Атака № 9. Генерация случайных чисел. Проникнув в ваше помещение, злоумышленники скопируют файл под названием randseed.bin, который используется программой PGP для генерации псевдослучайных данных при создании шифровального блока. Этот вид атаки очень сложен и чрезвычайно дорогой. К этому способу прибегают только в случае защиты национальной безопасности.
Атака № 10. Криптоанализ. Перехват зашифрованных сообщений, посланных с помощью сети Интернет - очень простое дело. После того, как ваши зашифрованные сообщения были перехвачены, то если речь идет о том, как это делается в США, они передаются в специальный отдел ФБР для проведения криптоанализа. Криптоанализ осуществляется очень дорогими компьютерами, которые называют суперкомпьютерами. На расшифровку одного сообщения с помощью криптоанализа может уйти несколько недель, месяцев, лет или десятков лет в зависимости от содержания, формата и длины вашего сообщения. Это чрезвычайно сложная и трудная работа, которая применяется только тогда, когда не удается применить ни один из описанных выше методов. В большинстве случаев расшифровка закодированных сообщений практически неосуществима.
Теперь мы возьмемся за анализ методов, которые можно успешно применять против описанных выше видов атак:
1 шаг. Почистите жесткий диск своего компьютера. Не думайте, что файлы, которые вы стерли, нельзя будет восстановить. Существуют специальные программы для извлечения и чтения всех файлов, которые когда-то были стерты с жесткого диска. Кроме этого надо иметь в виду, что программы Windows оставляют информационные следы в своп файле, который используется операционной системой Windows для ускорения работы компьютера. Для надежного удаления файлов с конфиденциальной информацией рекомендуется использовать программу под названием Eraser, которую можно бесплатно "скачать" по следующему адресу: http://www.iki.fi/st/eraser
Если вы установите эту программу на Windows-2000, то, благодаря особенности конфигурации этой операционной системы при использовании одной из настроек программы Eraser вы можете сделать так, что при каждой перезагрузке компьютера своп файл будет перезаписываться нулями и в результате конфиденциальная информация, с которой вы ранее работали и которая ранее могла попасть в своп файл, исчезнет из этого файла. Причина такого внимания к своп файлу состоит в том, что при работе с конфиденциальной информацией она может полностью или частично попасть в содержимое своп файла и остаться в этом файле на долгое время. Особенно велика вероятность попадания информации в своп файл в том случае, если вы используете буфер обмена для переноса информации из одного файла (программы) в другой (ую).
Если вы работаете на таких ОС, как Windows-95/98/ME, то для того, чтобы стереть данные, которые могли попасть в своп файл, необходимо применить DOS-овскую утилиту типа scorch, которая была специально создана для того, чтобы стирать все содержимое своп файла Windows в режиме эмуляции DOS. Утилиту scorch можно скачать по следующему адресу: http://www.bonaventura.free-online.co.uk
При работе на нескольких жестких дисках под Windows-2000 часто рекомендуется переместить своп файл на другой диск (не основной) для ускорения работы компьютера. При этом на другом диске может быть установлена такая ОС, как Windows-98. В таком случае можно поступить следующим образом: после перемещения своп файла от Windows-2000 (pagefile.sys) на диск, где установлена Windows-98, после переписывания своп файла (win386.swp) нулями с помощью утилиты scorch временно переименуйте pagefile.sys в win386.swp и проделайте эту процедуру еще раз в режиме DOS. Естественно не забудьте также временно переименовать сам своп файл от Windows-98. После того, как это будет сделано, можно вернуть обоим своп файлам их прежние имена и продолжить работу на компьютере. Теперь своп файл, используемый Windows-2000, был надежно переписан утилитой scorch. Этот довольно неудобный способ переписывания нулями своп файла, используемого Windows-2000, рекомендуется применять по той причине, что при перезагрузке Windows-2000 может оказаться так, что сама ОС Windows-2000 отпускает не все сектора своп файла для переписывания и в результате, конфиденциальная информация, ранее проникшая в своп файл, может оказаться не стертой.
Еще один эффективный способ затирания своп файла Windows-2000 (pagefile.sys) нулями с помощью программы Eraser:
возьмите из установленного каталога с программой Eraser файл eraserd.exe, который создан для работы в режиме DOS, скопируйте его в корневой директорий Windows-98, создайте исполняемый файл с расширением *.bat со следующей командой:
и поместите на рабочем столе Windows-98 ярлычок для исполнения этого файла. Теперь вы в любой момент можете перезагрузиться на другой диск с установленной на него ОС типа Windows-98 и нажав на ярлык, вызывающий исполнение созданного вами файла, надежно затереть своп файл Windows-2000.
Кроме использования программ, перезаписывающих своп файл нулями, необходимо установить жесткие размеры своп файла таким образом, чтобы динамический файл подкачки перестал динамически изменять свою величину. Для этого надо зайти в настройки установки размера своп файла и задать одинаковые значения минимального и максимального размера этого файла, например: 300 Мбайт.
Еще гораздо более эффективный способ против попадания конфиденциальной информации в своп-файл - полностью отключить своп-файл и нарастить оперативную память компьютера (RAM) до такой степени, чтобы отпала какая-либо необходимость в своп-файле.
Если вы ранее использовали компьютер для работы с конфиденциальной информацией, необходимо стереть весь диск с помощью такой программы, как Eraser, переустановить операционную систему и все другие программы.
Кроме того, необходимо систематически надежно удалять с помощью этой программы временные файлы, находящиеся во временных каталогах. На Windows-98, ME - это такие места, как c:\windows\temp, а на Windows-2000 такие как C:\Documents and Settings\Administrator\Local Settings\Temp
Кроме того, не забывайте регулярно очищать свободное место вашего жесткого диска с помощью таких утилит, как Norton Free Space Wipe или PGP Free Space Wipe. Утилита Eraser также содержит эту функцию.
Причина необходимости регулярного выполнения этой процедуры заключается в том, что многие программы, работающие под Windows, как правило, оставляют копии файлов, с которыми вы ранее работали, во временных директориях. Это происходит в частности при распечатке каких-либо документов под Windows. Поэтому необходимо тщательно проверять установки программ, в которых вы работаете с конфиденциальной информацией, и выяснять, где именно эти программы размещают копии документов, с которыми вы работаете или распечатываете.
Внимание! Оказывается, что при использовании программ по надежному удалению файлов (таких, как Eraser, PGP wipe и других) на файловой системе NTFS остается не стертым так называемый "alternate data stream". Поэтому после удаления файла таким образом рекомендуется стереть все свободное место на жестком диске по методу "wipe free space". Эта мера позволит вам полностью удалить все остатки файла, которые могли остаться в зоне "alternate data stream".
Если слежка угрожает вашей жизни, то необходимо заменить жесткий диск на новый, а старый диск разобрать и сточить с него верхний слой с помощью наждачной бумаги. После того, как у вас появился чистый жесткий диск, необходимо очищать его после каждой работы на нем.
2 шаг. Отключитесь от сети. Во время работы с конфиденциальной информацией лучше всего отключиться от сетевого источника питания и телефонного разъема. Для этого вам понадобится компьютер типа ноутбук, работающий на батареях питания. Конечно, надо понимать, что этот вид защиты не является таким приоритетным в силу того, что атака №6, описанная выше, чрезвычайно трудна для осуществления.
3 шаг. Куда-нибудь уехать. Для того чтобы расстроить планы злоумышленников, ведущих за вами наблюдение, необходимо покинуть свое обычное место работы. Если вы этого не сделаете, то установленная в вашем помещении видеокамера будет наблюдать за тем, как вы вводите пароль, а установленный радио жучок сможет записать сигналы, издаваемые вашей клавиатурой. Самые отличные места для работы с конфиденциальной информацией - это скамейки в парке, переполненное кафе или ресторан, в помещении друга или знакомого, на стоянке автобусов, аэропорту, на пляже или где-либо еще. Старайтесь быть не предугадаемыми. Весь смысл состоит в том, чтобы появиться в таком месте, которое очень сложно прослушивать или просматривать без вашего ведома.
Ни в коем случае не записывайте куда-либо вашу парольную фразу.
4 шаг. Отнеситесь к этому серьезно. Необходимо полностью пересмотреть свое отношение к вопросам безопасности и придерживаться новых процедур. Как только вам понадобится составить секретное сообщение, прежде всего, необходимо переехать в другое место. Всегда сохраняйте конфиденциальные документы на дискету. После этого можно вернуться домой или в офис, и отправить зашифрованные сообщения с другого компьютера. Использование другого компьютера жизненно необходимо. Он действует в качестве эффективной защиты и защищает ваш переносной компьютер от угрозы. Никогда не подсоединяйте ваш переносной компьютер к телефонной розетке и никогда не используйте его для хождения по Интернету. Никогда не оставляйте свой переносной компьютер без присмотра. При обычной работе на переносном компьютере можно подсоединить его к сети, но при работе с конфиденциальной информацией его необходимо отключить от сети. Если вы получили зашифрованное сообщение, то сохраните его на дискету в виде тестового файла, после чего переместитесь в другое место, проверьте дискету с помощью антивирусной программы и расшифровывайте сообщение на переносном компьютере. После этого сотрите расшифрованное сообщение и ни в коем случае не оставляйте расшифрованные сообщения на своем компьютере.
Конечно, вышеприведенные меры безопасности достаточно сложно и неудобно исполнять. Тем более в большинстве случаев применение сложных для практического осуществления методов сотрудниками налоговой полиции маловероятно. Поэтому мы предлагаем вашему вниманию более простые и как нам кажется более эффективные меры безопасности:
Во-первых, перед установкой программы PGP установите на ваш компьютер программу создания шифруемых отсеков на диске, такую, как, например Scramdisk, которую можно бесплатно скачать в Интернет по адресу: http://www.scramdisk.clara.net . Scramdisk - это эффективное средство защиты конфиденциальной информации с помощью надежных алгоритмов шифрования. По адресу, указанному выше, вы найдете официальный сайт создателей этой программы, а также сможете бесплатно скачать последнюю версию программы для Windows-95,98 и Millenium.
Недавно создатель программы Scramdisk сообщил нам о том, что программа Scramdisk для следующих операционных систем (Windows 2000) изменилась и стала по другому называться. Теперь Scramdisk был заменен на программу DriveCrypt. Адрес сайта в Интернете: www.drivecrypt.com
Изучив инструкцию по работе с программой Scramdisk, создайте на вашем компьютере логический диск нужного вам размера, куда потом можно будет установить программу PGP.
Кроме программы Scramdisk можно и рекомендуется использовать аналогичную программу, но с более расширенным набором функций: BestCrypt, которую можно скачать по следующему адресу в Интернете: http://www.jetico.com/
Эта утилита имеет следующие насколько преимуществ перед Scramdiskом:
Во-вторых, при установке программы PGP устанавливайте ее не в каталог Program files, а в каталог, находящийся внутри диска, созданного с помощью программы Scramdisk (либо BestCrypt). Везде далее в статье подразумевается, что почти во всех случаях наряду с программой Scramdisk можно использовать BestCrypt. Таким образом, вы обезопасите вашу программу PGP от возможной модификации. Перед запуском программы PGP необходимо сначала запустить Scramdisk. Теперь вы можете спокойно оставлять свой компьютер без присмотра т.к. никто не сможет получить доступ к программе PGP и ее файлам, не открыв сначала Scramdisk. С другой стороны, при установке программы PGP вы можете установить ее туда же, где устанавливаются все другие программы на вашем компьютере, т.е. в директорию Program files, но сделайте так, чтобы файлы с открытыми и закрытыми ключами (public key ring, secret key ring) этой программы были установлены внутри Scramdisk. Однако, имейте в виду, что в этом случае злоумышленник, получивший доступ к вашему компьютеру, может попробовать заменить исполняемый файл программы PGP на измененную троянскую копию этой программы.
В-третьих, купите себе второй жесткий диск и два съемных шасси для жестких дисков, после чего установите оба своих жестких дисков в съемные шасси. Теперь, у вас есть два диска. На диске № 1 можно установить полный набор программ, требующийся вам для обычной работы и хождения по Интернету. PGP и Scramdisk должны быть установлены на диске № 2, хотя копии этих программ можно установить и на диске.№1 в качестве маскировки.
Во время работы диска № 1 диск № 2 должен быть отсоединен от компьютера с помощью съемного шасси, либо с помощью отключения его через BIOS компьютера. Во время же работы диска № 2 диск № 1 должен быть отсоединен от компьютера таким же способом. Никогда нельзя допускать, чтобы оба диска были одновременно подключены к компьютеру т.к. иначе в использовании второго диска теряется какой-либо смысл и Троянский конь может просто перекочевать с диска № 1 на диск № 2, а затем обратно.
Диск № 1 можно использовать для повседневной работы с Интернетом, а на диске № 2 Интернет устанавливать нельзя.
Теперь вы можете не бояться, что во время работы с Интернетом на ваш компьютер попадет Троянский конь, который будет незаметно записывать все ваши нажатия на клавиши клавиатуры. Пускай он это делает. После получения зашифрованного сообщения его необходимо сохранить на дискете. После этого вы выключаете компьютер и вытаскивайте съемное шасси № 1 из компьютера, вставляете съемное шасси № 2 в компьютер, либо просто переключаете настройки BIOSа, что проще.
Включите компьютер и зайдите в настройку BIOS с тем, чтобы ваша материнская плата увидела второй диск. После этого сохраните изменения в настройке BIOS и загружайтесь через операционную систему, установленную на диске № 2.
Когда диск № 2 загрузится, запустите Scramdisck и затем PGP. Теперь откройте дискету и перепишите зашифрованное сообщение с дискеты на диск № 2, вытащите дискету из дисковода и расшифровывайте сообщение с помощью программы PGP. При работе с дискетой необходимо следить за тем, чтобы посредством этой дискеты на диск № 2 не проник вирус в виде Троянского коня.
Расшифрованные сообщения можно не стирать, а поместить внутри диска, созданного с помощью программы Scramdisk. Внимательно изучите правила работы с программой Scramdisk для того, чтобы не совершать грубых ошибок и не оставлять на своем компьютере конфиденциальную информацию в таком виде, когда ее очень просто обнаружить и скопировать.
Если вам необходимо подготовить ответ и выслать его в зашифрованном виде через Интернет, то зашифруйте ваше сообщение, находясь на диске № 2 и перепишите полученный зашифрованный текст на дискету. После чего закройте Scramdisk, выключите компьютер, предварительно проделав процедуру по выключению Windows.
Теперь можно вытащить диск № 2 из компьютера (либо отключить его только с помощью BIOS), вставить диск № 1, запустить его и отправить зашифрованное сообщение во время очередного сеанса с сетью Интернет. Таким образом, вы создадите систему физической изоляции двух дисков друг от друга, что не позволит "троянскому коню" или вирусу перекочевать с одного диска на другой и узнать вашу парольную фразу.
В четвертых, старайтесь как можно чаще дефрагментировать жесткий диск, на котором ранее находилась конфиденциальная информация, т.к. процесс дефрагментации позволяет более надежно удалять остатки информации, которая могла быть стерта недостаточно эффективно.
В пятых, старайтесь при удалении конфиденциальной информации отключать кэширование или буфферизацию жесткого диска т.к. оказывается, что функция VCACHE в системе ОС Windows настолько хитрая, что при поступлении команды на надежное удаление файла с последующим переписыванием места, где находился файл, эта команда не исполняется полностью, если кэш не был полностью заполнен следующим блоком информации.
Примечание: в более ранних версиях программы PGP была утилита PGP disk, которая, подобно скрамдиску, создает на жестком диске компьютера зашифрованный виртуальный диск. Краткое описание использования PGP diskа можно найти здесь: http://www.gloffs.com/pgp.htm. Однако в последующих выпусках PGP disk был убран из бесплатной версии этой программы и остался только в платной версии. Если вы очень хотите поставить на свой компьютер PGP disk, то если вы зайдете на официальный сайт PGP по адресу www.pgpi.com то сможете там найти PGP disk hack, что представляет собой компонент PGP disk, который был извлечен из комплекта PGP версии 6.5.3. Этот компонент можно установить в более позднюю версию программы PGP, например 6.5.8 или 7.0.3. Преимущество этого компонента состоит в том, что он легко устанавливается на windows-2000 в то время как бесплатная версия scramdisk на windows-2000 не ставится.
Однако, с другой стороны, у Sscramdiskа имеется несколько следующих преимуществ перед PGP disk:
Еще несколько слов о программе PGP. После создания версии 6.5.8 первоначальный создатель этой программы Филлип Циммерман ушел из компании Network Associates. Во время ухода он опубликовал открытое письмо, в котором он утверждал, что последующие версии PGP, а именно версии 7.0.1 и 7.0.3 не содержат скрытых уязвимостей и что он полностью уверен в этих версиях . Однако, при этом надо учитывать следующие обстоятельства:
Внимание! Недавно была обнаружена уязвимость, связанная с функционированием программы PGP вместе с программкой (Outlook plug in), которая помогает автоматически рас/зашифровывать сообщения, пересылаемые или отправляемые через почтовый клиент Microsoft Outlook. Данная уязвимость затрагивает программу PGP версий 7.0.2 и 7.0.3. Похоже, что владельцам версии 6.5.8 опасаться нечего. Эта уязвимость атакует ошибку, найденную в маленькой программке Outlook plug in, которая сильно облегчает жизнь пользователям PGP. Сущность этой ошибки состоит в том, что путем отсылки на компьютер с установленными на нем вышеуказанными программами специального сформированного сообщения, содержащего в себе вирус, у хакера появляется возможность дистанционно управлять вашим компьютером, как только вы откроете это сообщение. При этом прилагаемый к сообщению файл открывать не обязательно и он запустится автоматически, что даст хакеру возможность получить доступ к вашей парольной фразе и вообще установить полный контроль над вашим компьютером. Сразу после опубликования данной уязвимости компания Network Associates разместила на своем сайте заплатку, устраняющую данную уязвимость, по следующему адресу: http://www.nai.c om/naicommon/download/upgrade/patches/patch-pgphotfix.asp
Тем, кто использует программу PGP с другими почтовыми клиентами, такими, как The Bat, Outlook Express, Eudora и т.д., опасаться нечего, т.к. эта проблема возникает только в отношении почтового клиента Microsoft Outlook в комбинации с установленными совместно с ним PGP версий 7.0.2, 7.0.3 и Outlook plug in.
В августе 2002 г. была обнаружена еще одна уязвимость программы PGP. Ее сущность использует тот факт, что многие пользователи конфигурируют свои системы таким образом, что вся поступающая шифрованная корреспонденция автоматически расшифровывается. При этом используется следующий сценарий: злоумышленник перехватывает зашифрованное сообщение, посланное пользователю, и хочет его прочитать. Для того, чтобы это сделать, злоумышленник модифицирует перехваченное сообщение и посылает его адресату. Как только адресат получает высланное ему сообщение, его компьютер автоматически его расшифровывает. Однако сообщение было составлено таким образом, что перед глазами получателя возникает какая-то белиберда, и тогда пользователь отвечает злоумышленнику, выслав ему свое сообщение типа "Ты что за чепуху мне выслал? Не могу ничего прочитать!" Вместе с этим ответом он высылает ему расшифрованную "белиберду", которая получилась после автоматической расшифровки. А злоумышленнику этого только и надо, т.к. получив эту белиберду, он теперь сможет расшифровать и прочитать оригинал сообщения, которое было ранее им перехвачено.
Поэтому если вы вдруг получите от вашего корреспондента зашифрованное сообщение и не сможете его прочитать, то при ответе ему не высылайте расшифрованный вариант полученного от него сообщения, а либо ответьте ему, что не можете прочитать его сообщение, либо полностью зашифруйте ваше ответное сообщение его открытым ключом. Ведь люди в погонах могут с легкостью проникнуть в компьютер вашего Интернет провайдера в том случае, если вы пользуетесь для конфиденциальной переписки почтовым сервером вашего провайдера, либо перехватить сообщение путем анализа вашего Интернет траффика.
Вот по этому адресу: http://www.counterpane.com/pgp-attack.html можно подробно ознакомиться с документом анализирующим данную уязвимость.
В процессе анализа этих уязвимостей и дискуссий с другими экспертами мы решили полностью отказаться от использования PGP плагинов, которые позволяют автоматически расшифровывать получаемые сообщения, а работать только через окно. При установке программы PGP в системном трее появляется замочек, служащий для быстрого вызова функций PGP. При необходимости зашифовки/расшифровки сообщения можно сделать окно, содержащее сообщение, активным, после чего исполнить команду
Для того, чтобы избавиться от плагина, необходимо деинсталлировать программу PGP, а затем снова ее установить, но теперь уже без плагинов.
Последняя информация:
Недавно нам в руки попалась последняя версия пособия Доктора Ху о компьютерной безопасности. Ниже мы приведем некоторые наиболее интересные отрывки из этого руководства. Центральное место в этом пособии уделено объяснению особенностей использования последней второй версии программы DriveCrypt (http://www.drivecrypt.com под названием DriveCrypt Plus Pack (сокращенно DCPP). Эта новая утилита позволяет полностью зашифровать содержимое всего жесткого диска. Вот, что по этому поводу написано в пособии доктора Ху:
5. Какую программу вы рекомендуете для шифрования всего жесткого диска?
DCPP. Ее легко установить и использовать. Как только вы установите эту утилиту, вся ваша работа на компьютере станет безопасной т.к. она будет происходить на зашифрованном жестком диске. Крайне важно понимать, что DCPP - это программа, шифрующая данные на лету. Сам же жесткий диск все время остается зашифрованным. Все необходимое шифрование осуществляется в оперативной памяти компьютере (RAM). Таким образом, даже если произойдет зависание компьютера, то вся информация останется зашифрованной. В виду этого не надо волноваться по поводу того, что могло остаться в своп файле а также любых других недостатков ОС Windows.
Еще одно огромное преимущество утилиты DCPP состоит в том, что парольная фраза вводится на уровне БИОСа перед загрузкой Windows. Важность этого момента трудно переоценить.
Это означает, что ни одна программа, которая может выполнять функцию клавиатурного шпиона, не сможет захватить вашу парольную фразу. Введение парольной фразы на уровне БИОСа является своего рода Святым Граалем компьютерной безопасности, т.к. в таких условиях ее чрезвычайно сложно перехватить на уровне софта. Но DCPP идет еще дальше и специально функционирует на пониженной скорости при вводе парольной фразы для того, чтобы противнику, получившему доступ к вашему компьютеру было бы очень трудно перебирать парольные фразы. В действительности задача противника осложняется еще тем, что у него есть только три попытки ввести парольную фразу, после чего система останавливается и требует перезагрузку для последующих попыток ввода парольной фразы. DCPP была сконструирована общепризнанным крипто экспертом, который является автором программы Scramdisk.
6. А есть еще другие программы для шифрования?
Да, есть еще несколько полезных утилит, но в настоящее время утилита DCPP самая лучшая из них т.к. только она позволяет вводить пароль на уровне БИОСа.
Наш комментарий по поводу DCPP.
К сожалению мы пока еще не успели поработать с данной утилитой, однако цена у нее кусается: $150. Конечно защита парольной фразы с помощью ее ввода на уровне БИОСа -громадное преимущество, но надо понимать, что если враг умудрится установить на вашем компьютере клавиатурный шпион на аппаратном уровне, т.е. маленькой штучки, подсоединенной к клавиатурному входу на материнской плате или еще каким-либо образом, то тогда от клавиатурного шпиона не спастись.
Ну и конечно, DCPP вас не спасет если вы будете активно использовать жесткий диск для работы в Интернете, хотя с другой стороны ввод парольной фразы на уровне БИОСа может оказаться очень эффективным т.к. если даже троянец и сможет забраться на ваш диск, то он не сможет перехватить вашу парольную фразу, вводимую перед загрузкой Windows. Но с другой стороны, если вы расслабитесь и полностью доверитесь DCPP, то троянский конь, забравшийся на ваш диск, может помаленьку начинать передавать содержимое файлов, находящихся на вашем зашифрованном жестком диске, включая данные о вашем банковском счете и пароль доступа к нему.
Внимание:
В сети появился очень полезный ресурс на тему PGP и вообще криптографии: www.pgpru.com. На этом сайте есть форум, где проблемы и решения криптографии обсуждаются квалифицированными специалистами. Если вы хотите повысить уровень своего владения данным предметом, то настоятельно рекомендуем его посетить.
При установке на ваш компьютер программы "Банк-Клиент", предоставляемой банком для управления счетом через Интернет или просто по модемной связи, очень полезно устанавливать ее внутри зашифрованного виртуального диска. Таким образом, вы не только установите двойную защиту пароля к запуску банковской программы, но и скроете само ее существование от кого бы то ни было. Предположим, вас обвиняют в невозврате валютных средств из-за границы и при обыске изымают компьютер, на котором установлена программа управления счетом через Интернет. Быстрый анализ жесткого диска вашего компьютера не только быстро установит наличие на нем системы "Банк-Клиент", что является прямой уликой нарушения вами валютного законодательства, но и покажет выписки, полученные вами из банка через эту систему, что докажет ваше прямое участие в управлении счетом. В том же случае, если вы поставите программу "Банк-Клиент" внутри виртуального диска, то не оставите своим врагам каких-либо улик вашей "противоправной" деятельности, с помощью которой вы всего лишь хотели обезопасить свои сбережения от посягательства третьих лиц.
Людям, профессионально занимающимся обналичиванием, программа типа Scramdisk просто абсолютно необходима. Практически любой Российский банк в настоящее время предлагает управление счетом через компьютер. Зарегистрировав фирму по паспортам лиц, которых вы ни разу не видели в глаза, вы можете установить программу управления счетом внутри виртуального диска и в результате налоговая полиция будет бессильна доказать ваше причастие к деятельности этой компании. То же самое можно делать с печатями и подписями номинальных лиц, которые якобы являются директорами такой фиктивной компании. Сколько уже раз вам приходилось читать о том, как при обыске руководителей какой-либо фирмы или предприятия были найдены печати фиктивных компаний? Приобретите себе сканер и хороший струйный цветной принтер, отсканируйте печать и поместите файл с ее оттиском внутри виртуального диска. Теперь вам не страшен обыск вашего офиса или квартиры т.к. никаких печатей у вас там не найдут. Все официальные документы, имеющие какое-либо отношение к фиктивной компании, можно отсканировать, превратить в графические файлы и поместить внутри секретного диска. И опять вы не оставите каких-либо улик, свидетельствующих о вашей "незаконной" деятельности.
Существует неплохая программа для создания печатей на компьютере под названием Stamp http://www.stampz.ru
Даже деловую переписку, осуществляемую с помощью почтовых программ типа Outlook Express, Microsoft Outlook можно спрятать внутри такого диска. Для того, чтобы это сделать, изучите механизм работы этих программ, а именно путь, где находятся архивные файлы этих программ. Например, программа Outlook Express помещает все ваши полученные и исходящие сообщения по следующему адресу: С:\WINDOWS\Application Data\Identities\{F9973180-7C11-11D3-980E-A7243090A826}\Microsoft\Outlook Express\. Все, что вам нужно сделать, это только переместить файлы, находящиеся внутри этой папки, внутрь секретного диска и стереть файлы, находящиеся по старому адресу.
Теоретически может произойти такое, что программу Scramdisk или PGP, установленную на вашем компьютере, могут незаметно заменить на троянскую копию этой программы, т.е. копию, которая, например, может зашифровывать конфиденциальную информацию ключом тех людей, которые установили ее на ваш компьютер. Против такой изощренной атаки можно применять функцию PGP подписи (sign) исполняемого файла программы PGP или Scramdisk с помощью программы PGP, т.е. после установки программ PGP и Scramdisk вы можете подписать с помощью своего PGP ключа и время от времени проверять целостность исполняемого файла программы, которой вы пользуетесь.
В последнее время мы начинаем слышать о том, как органы налоговой полиции врываются в офисы компаний и проверяют их компьютеры на предмет наличия на них незарегистрированных (пиратских) копий программ. В случае установления факта наличия на компьютере пиратского софта компьютер может быть конфискован, а фирме предъявлен штраф за незаконное использование программного обеспечения. В данной статье мы не будем поднимать полемику о том, хорошо это или плохо, а только предложим интересный выход из этого положения.
По адресу: http://www.safeboot.com можно найти интересную программу под названием Safe Boot (версия 3.5), которая позволяет зашифровать содержимое всего диска таким образом, что перед загрузкой Windows сначала загружается эта программа, которая приглашает пользователя ввести пароль, после чего уже загружается Windows. Если пароль не будет введен, то Windows не загрузится, и не просто не загрузится, а перед глазами компьютерных специалистов, работающих в налоговой полиции, предстанет содержимое всего диска в виде непонятного компьютерного кода. В результате у органов налоговой полиции не будет возможности убедиться в том, какая именно программа установлена на вашем(их) компьютере(ах) и предъявить вам обвинение в том, что на вашем компьютере стоит нелицензионный софт.
При разработке эффективных способов обеспечения компьютерной безопасности снова и снова приходят в голову мысли о программах, выполняющих роль "клавиатурных шпионов". Какой бы надежной не казалась нам защита конфиденциальной информации с помощью такой программы, как Scramdisk или PGP, клавиатурный шпион может записать в замаскированный файл все ваши нажатия на клавиши клавиатуры и затем незаметно передать его куда-то как только вы подключитесь к Интернету, либо ваш офис или дом могут посетить сотрудники налоговой полиции, которые извлекут этот файл и узнают вашу парольную фразу. Как с этим бороться?
Недавно мы узнали о программе Anti Snoop Password Dropper (http://32-bitfreeware.virtualave.net/), которая помогает решать именно эти проблемы. Данная программа хранит все ваши пароли в зашифрованном виде и позволяет избежать необходимости ручного ввода пароля или парольной фразы, таким образом, что при необходимости ввода пароля вы открываете программу Anti Snoop Password Dropper, копируете пароль в буфер обмена и вставляете в окошко ввода пароля. В результате установленный на вашем компьютере клавиатурный шпион не сможет захватить вашу парольную фразу. Эта программа также позволяет создавать очень сложные пароли с высокой степенью энтропии (о том, что такое "энтропия", написано ниже) и теперь нет необходимости запоминать пароли т.к. они действительно могут не поддаваться словарной атаке. Еще одно преимущество этой программы состоит в том, что при ее запуске главный пароль вводится с помощью мышки, т.е. не надо набирать пароль на клавиатуре, т.к. даже если вы избежали необходимости ввода пароля для открытия конфиденциальной информации, то вам необходимо крайне тщательно и скрупулезно позаботиться о безопасности главного пароля (мастер пароля), отгадав который ваш противник с легкостью получит доступ ко всем вашим другим паролям, после чего вся ваша конфиденциальная информация станет известной вашим врагам. Это - очень важный момент. Однако, с другой стороны нам не понравилась, что эта программа стоит $20. Представьте себе, что Scramdisk для Windows-2000 стоит $20. Но ведь Scramdisk то выполняет гораздо больше функций, чем Anti Snoop Password Dropper, которая всего лишь хранит все ваши пароли в зашифрованном виде и позволяет вводить мастер пароль с помощью мышки. Стоит ли за это платить $20?
К счастью мы сумели найти эффективную замену программе Anti Snoop Password Dropper. Это - Password Safe (парольный сейф), созданный известным профессионалом в области криптографии Брюсом Шнайером (выдержки из книги которого приведены ниже в этой статье). Программа Password Safe распространяется бесплатно и ее можно скачать по следующему адресу в Интернете: http://www.counterpane.com/passsafe.html
Еще одним убедительным аргументом в пользу "Парольного Сейфа" служит тот факт, что код программы Anti Snoop Password Dropper не был раскрыт, а ее автор не известен в криптографических кругах. Поэтому, неизвестно насколько эффективно эта программа может противостоять усилиям профессионалов. Ведь дело не только в том, насколько надежный алгоритм шифрования используется в этой программе. Достаточно часто происходило такое, когда программы, использующие надежный алгоритм шифрования, имели изъяны в своем интерфейсе, с помощью которых атакующие элементарно "ломали" эти "неподдающиеся расшифровке" программы, а пользователи программ, заплатившие за них деньги, оказывались в дураках.
Интерфейс "Парольного Сейфа" интуитивно понятный и достаточно удобный, однако существенным недостатком Парольного Сейфа является невозможность ввода мастер пароля не используя клавиатуру. Однако, эту проблему можно решать достаточно эффективно, если применить нестандартные способы мышления.
Например, можно поместить пароль в виде открытого текста в одном из тысячи файлов, находящихся на вашем компьютере. Желательно, чтобы это был большой текстовой файл, например, книга или еще что-нибудь подобное. Откуда ваши враги могут знать в каком именно файле хранится ваш мастер пароль? Пускай они попробуют перелопатить всю эту тысячу файлов. В качестве дополнительной меры защиты можно выделить парольную фразу белым цветом таким образом, что при просмотре файла третье лицо даже не увидит ваш мастер пароль. Несмотря на то, что ваш пароль выделен белым цветом, его можно копировать в буфер обмена и затем вводить в окошко ввода пароля Парольного Сейфа. Кроме того, можно применить еще один нестандартный способ хранения мастер пароля: открываете один из документов в формате Word, заходите в меню file-properties и открываете свойства документа. Посмотрите, как много там разных отделов и окошек? В одном из них можно также спрятать мастер пароль. Кроме того мастер пароль можно разбить на две (три?) части и хранить в двух разных файлах. Много, что можно придумать по этому поводу. Главная задача состоит только в том, чтобы не набирать мастер пароль посредством клавиатуры.
Недавно мы узнали об очень полезной и хитрой утилите, которая предлагает свой способ борьбы с клавиатурными шпионами. Известно, что каждый контейнер, созданный программой Scramdisk, состоит из двух частей:
Идея состоит в том, что можно разделить две эти части и спрятать первую часть контейнера таким образом, чтобы противник не смог ее найти. А для того, чтобы "отрезать" первый кусок от второго и была создана программа SCRAMDICER <sdc.exce>, которую можно найти в Интернете по следующему адресу: http://www.freewebz.com/scramdicer/
Тогда, даже если ваш противник смог разгадать или вычислить ваш пароль, он не сможет расшифровать зашифрованный контейнер Scramdisk, пока не найдет первую часть контейнера, которую вы можете спрятать в любом другом файле на вашем компьютере. Кроме того, данная утилита позволяет зашифровать первую часть контейнера шифром, в роли ключа для создания которого может выступить один из множества тысяч файлов, имеющихся на вашем компьютере.
Утилитой Scramdicer не очень удобно пользоваться т.к. она имеет только командный интерфейс. К счастью автор этой программы выслал нам бета-версию графической оболочки Scramdicer, которую можно скачать с нашего сайта здесь.
Есть еще одна интересная утилита, которая может облегчить жизнь пользователям Scramdisk: Secure Tray Utility.
Эта бесплатная утилита интересна прежде всего тем, что она создана для неуязвимого для клавиатурных шпионов способа ввода парольной фразы при использовании одной из следующих 4 программ:
При вводе парольной фразы в окошко ввода парольной фразы, присутствующее в одной из вышеперечисленных программ, Secure Tray Utility как бы пропускает парольную фразу через себя, но таким образом, что сильно усложняется задача клавиатурных мониторов (шпионов) (которые могут оказаться установленными на компьютере пользователя без его ведома) по захвату парольной фразы.
При этом имеются три варианта ввода парольной фразы:
Автор утилиты Secure Tray Utility утверждает, что последние два способа помогают полностью защититься от угрозы, представляемой возможностью установки вашими врагами клавиатурного шпиона между клавиатурой и системным блоком.
Кроме того, утилита Secure Tray Utility содержит в себе функцию настройки самоуничтожения, которая позволяет вам мгновенно уничтожить всю вашу конфиденциальную информацию путем нажатия клавишной последовательности, либо путем передачи команды на уничтожение файлов через один из портов компьютера, а также файлы можно уничтожить на дистанции через Интернет, что особенно интересно.
С помощью указанной утилиты можно эффективно решить проблему с запоминанием парольных фраз для нескольких scramdisk контейнеров следующим образом: создается маленький scramdisk контейнер, в который помещаются ключевые файлы, содержащие парольные фразы к другим scramdisk контейнерам. Теперь можно позволить себе сделать все эти парольные фразы очень сложными (случайная последовательность букв и цифр на четырех строчках, т.е. парольная фраза, содержащая свыше 100 знаков). Такую парольную фразу практически невозможно расшифровать т.к. ее невозможно отгадать, запомнить или смоделировать. В данном случае все, что вам нужно сделать, это создать и запомнить только одну главную парольную фразу, которая открывает маленький (ключевой) scramdisk контейнер, в котором содержатся парольные фраз ко всем другим контейнерам.
А если использовать в комбинации с данной утилитой описанный чуть выше Scramdicer, то можно очень эффективно запутать всю вашу систему безопасности до такой степени, что вашим врагам будет чрезвычайно сложно (практически невозможно) догадаться, где что находится и как работает.
В последнее время мы все больше и больше слышим о том, как органы ФСБ схватили того или иного гражданина по обвинению в нарушении государственной или какой-то иной тайны. При этом на руках у него были обнаружены какие-нибудь военные чертежи, которые он собирался передать сотрудникам иностранной разведки. Несколько лет тому назад был арестован некий Американский гражданин, который согласно разоблачениям ФСБ являлся бывшим сотрудником ЦРУ. А совсем недавно где-то на Дальнем Востоке арестовали какого-то бывшего военного, который под видом макулатуры выносил с военного завода секретные чертежи военной техники.
Так вот, что нас удивляет во всем этом - это полнейшая безграмотность всех этих людей в вопросах компьютерной безопасности! Неужели так сложно купить сканер за $100 и использовать его для быстрого сканирования всех полученных чертежей и ввода их в компьютер??? Мы поставили три восклицательных вопроса т.к. никак не можем понять, почему, казалось бы, такие квалифицированные люди совершают такие безрассудные и непродуманные ошибки. Это просто бред какой-то. Ну возьми, ты, прогони чертежи через сканер, сожги чертежи, зашифруй полученные графические файлы, а для еще большей безопасности засунь полученные файлы (которые уже зашифрованы) в какой-нибудь графический или звуковой файл с расширением gif или mp3! Это же так просто! Современные технологии шифрования доступны любому человеку, у которого есть компьютер, многие программы даже бесплатны и в то же время при правильном выборе парольной фразы зашифрованные файлы практически невозможно расшифровать даже органам разведки, в которых есть специалисты. Представляете, какая безнаказанность? Никак не укладываются в голове эти возможности с поведением людей, которые должны были знать, на что шли.
Время от времени нам приходится сталкиваться со следующими предложениями некоторых специалистов:
Кроме этого, мы предлагаем сервис по защите информации – подключение к удаленному серверу в Швейцарии и работа с информацией через удаленные каналы. На вашем компьютере вообще не находится никакой информации. Вы выходите в Интернет, заходите на сайт и работаете там. Вся ваша информация хранится в Швейцарском бункере, на серверах. Имеет несколько степеней защиты и практически недоступна для вскрытия или взлома.
Казалось бы, вот оно долгожданное решение проблемы. Завел всю конфиденциальную информацию на такой удаленный сервер, который практически недоступен для вскрытия или взлома и все в порядке. Люди, предлагающие такой сервис, вероятно, действительно верят в то, что пишут. Ведь они продают вам готовое решение, за которое хотят получить с вас деньги.
К сожалению, действительность оказывается не такой, какой она кажется с первого взгляда. Давайте рассмотрим недостатки такого вида хранения информации:
1. Также как в случае с неизвестными криптографическими программами, код которых не был никому раскрыт для тщательного изучения и поиска в нем возможных "дырок" или программных недоработок, вам предлагается поверить на слово и доверить всю свою конфиденциальную информацию людям, которые находятся в Швейцарии. А как вы думаете, если вас обвинят в отмывании денег или торговле наркотиками (это же ведь не так и сложно, как кажется с первого взгляда. Разве так трудно для профессионала подбросить вам в машину пакетик белого цвета?) данные господа откажутся раскрыть вашу информацию чиновникам из силового ведомства? А если сюда подключится государственный орган США, то станет ли компания, оказывающая данные услуги, вставать в позу? Ведь даже банки не встают в позу, а частенько предпочитают втихушку раскрыть информацию, что же можно сказать об обычной компании, которая не обладает какими-либо серьезными ресурсами для того, чтобы вставать в позу? Вы наверное уже и сами поняли ответ на этот вопрос. А если информация будет правильно спрятана на жестком диске вашего компьютера, то к кому органы смогут обратиться с просьбой получить доступ к информации? Только к вам и больше ни к кому. Тут уж вам самим решать, открывать или не открывать. Вы же ведь лучше других знаете, торговали вы наркотиками или нет.
2. При пользовании данной системой хранения информации клиенту необходимо регулярно выходить в Интернет для закачки и скачки информации. Все это время ваш компьютер подключен к сети и на него десятками тысяч рвутся разные вредоносные программы и вирусы. Каждый день хакеры создают все новые и новые вирусы, которые проникают в разные программные ошибки операционной системы и особенно файерволла, который должен стоять на вашем компьютере. (Вы же ведь не пользуетесь встроенным файерволлом Windows???) После внимательного прочтения всей информации, приведенной в данной статье, уже даже дураку должно быть понятно, что самая большая угроза вашей безопасности - это постоянное подключение вашего компьютера к сети Интернет и особенно по выделенной линии. Естественно, компании, предлагающие такие удаленные решения защиты конфиденциальной информации, будут вам говорить о полной безопасности и невозможности взломать удаленный сервер, находящийся в бункере в Швейцарии. Однако, не забывайте о том, что безопасность всей системы зависит прежде всего от безопасности самого слабого звена системы, а самое слабое звено в данном случае представляет ваш компьютер, на котором стоит "коряво" сделанная операционная система (в которой каждый день хакеры находят множество ошибок), файерволл, который также имеет определенные и пока неизвестные вам ошибки и посреди всего этого хаоса вы, находясь в сети у всех на виду, вводите имя пользователя и пароль. Ну разве это не смешно? Обсуждаемые выше способы защиты конфиденциальной информации очень тщательно анализируют способы отключения компьютера от сети во время ввода парольной фразы, а тут вы, раз, заходите в сеть, вводите пароль, а потом еще проводите в сети достаточно большое количество времени для работы с "конфиденциальной" информацией, которая уже перестала такою быть, а превратилась в публичную информацию. Всеобщее connectivity (обилие самых разных сетей, интернет, интранет) очень опасно для конфиденциальности.
Ну, и чтобы быть полностью справедливым, надо бы рассмотреть и преимущества данного способа хранения информации. А преимущество тут видно только одно:
Размещение информации на удаленном сервере и не на вашем компьютере.
Да, это хороший аргумент, но только в том случае, если никто не сможет получить доступ к этому серверу. Но никто не может этого гарантировать. Ведь и пароль, и программа для передачи информации на удаленный сервер все равно будет находиться на вашем компьютере, и вам все равно придется эти данные прятать на вашем компьютере. И все равно у вас тут возникают те же самые проблемы. Вашим врагам достаточно будет только найти пароль доступа к удаленному серверу и ваша песенка будет спета. Ведь вы же сами облегчите им работу, заходя на удаленный сервер через публичную сеть Интернет.
И напоследок, хотелось бы сказать, что не следует верить профессиональным регистраторам, когда они говорят вам о том, что вся информация о ваших компаниях находится на зарубежных серверах, а не на их компьютерах. В 99% случаев профессиональные регистраторы компаний и вообще юристы являются "чайниками" в деле сохранения конфиденциальной информации. Специалисты силового ведомства с легкостью получат доступ ко всем их паролям, если захотят. Даже Швейцарские банкиры не один раз лоханулись. Например, была такая история с одним представителем Швейцарского банка, когда он приезжал в США для личной встречи с рядом клиентов в США. Когда данный банкир приехал в США, то агенты ФБР заинтересовались этим банкиром и сделали так, что банкир на какое-то время вышел из номера, а ноутбук остался в номере. Воспользовавшись этим случаем, агенты ФБР проникли в его номер и быстренько переписали все содержимое жесткого диска банкира на свой компьютер, а когда данные передали в лабораторию ФБР, то оказалось, что данный банкир держал у себя на компьютере данные о всех клиентах банка, включая клиентов из США в НЕЗАШИФРОВАННОМ ВИДЕ! После этого случая почти всем клиентам данного банка, проживающим в США, были предъявлены обвинения в неуплате налогов и многие их них попали в тюрьму.
Попробуйте как-нибудь провести такой эксперимент: во время очередной встречи с офшорным консультантом проверьте, в каком виде информация о вас и о других клиентах хранится на его компьютере. В 99 случаях из 100 она хранится в открытом виде. Бери компьютер, копируй с него всю информацию и заводи уголовные дела.
Из всего вышесказанного можно сделать только один вывод: нельзя никому доверять, кроме себя.
Хотелось бы сказать несколько слов о так называемых firewalls или "межсетевых экранах", как их называют на русском языке. На рынке существует большое количество платных и бесплатных вариантов этих программ. Один из бесплатных видов этой программы под названием Zone Alarm (http://www.zonelabs.com/, созданный компанией Zonelabs (http://www.zonelabs.com/, вполне подойдет для пользователя домашнего компьютера. При использовании такой программы может возникнуть ложное чувство уверенности или неуязвимости т.к. она позволяет пользователю полностью контролировать то, какие программы имеют доступ к Интернету и при необходимости отключать те подозрительные программы, которые пытаются соединиться с Интернетом. Однако это ощущение полного контроля является ложным т.к. с каждым годом операционные системы становятся все более и более сложными и хакеры находят в них все больше и больше уязвимостей, используя которые можно посылать на другие компьютеры вирусы и "троянских коней". Получается какая-то гонка: пользователи покупают лицензионный софт с тем, чтобы избежать троянцев, которые могут быть установлены на пиратских дисках, периодически изучают бюллетени по компьютерной безопасности и регулярно ставят заплатки, выпускаемые Microsoft и другими компаниями. Система защиты с каждым месяцем и годом становится все более и более сложной. А чем она сложнее, тем больше вероятности, что где-то что-то пропустишь, недоглядишь или заплатку не успеют выпустить. А хакерам этого и надо.
Поэтому надо понять, что самая надежная защита против хакеров, троянских коней и прочей нечести состоит в конфигурации защитных мер на низком уровне, т.е. на уровне БИОСа, а не на уровне софта. Чем ниже уровень защиты, тем он эффективнее.
Кстати, на сайте Стива Гибсона, посвященному проблемам компьютерной безопасности в сети <http://www.grc.com> вы можете прочитать о том, какие firewalls уязвимые, а какие - нет. Там же вы можете проверить свой компьютер на предмет того, насколько легко он просматривается и виден в сети. Согласно последним исследованиям Стива Гибсона единственно надежной программой против троянцев, которые с целью обмана firewall могут переименовать себя в такие благопристойные названия, как, например word.exe или outlook.exe, и таким образом обмануть систему защиту, является программа ZoneAlarm, о которой говорилось чуть выше. Если вы заглянете на сайт Стива Гибсона по адресу http://grc.com/lt/scoreboard.htm, то найдете на этой странице список firewalls, где вы обнаружите, что такие известные программы, как AtGuard, Conseal Desktop, Symantec's Norton Internet Security (NIS) и другие бессильны против такой изощренной атаки. Это еще раз доказывает, что целиком полагаться на firewalls нельзя.
Недавно мы прочитали интересную заметку (http://www.mischel.dhs.org/index.asp), автор которой анализировал особенности функционирования новой троянской программы под названием Buschtrommel. Оказалось, что эта программа содержит в себе настройки по дистанционному управлению (отключению) настроек наиболее известных firewalls. Т.е. с помощью этой программы можно сделать так, что этот троянец проникнет в реестр Windows и изменит в нем записи, касающиеся какого-либо файерволла, например, прикажет программе The Cleaner при сканировании диска компьютера игнорировать файлы с расширением .exe. В результате, и файерволл, и антивирусная (анти троянская) программа потеряют свою функциональность и станут совершенно бесполезными. В конце статьи автор констатировал, что авторы троянских программ с каждым годом становятся все хитрее и изворотливее и у борьбы между антивирусными (антитроянскими) программами и вредоносными вирусами и троянами не будет конца. Это - война с переменным успехом то в одну сторону, то - в другую.
Еще один способ защиты модификации исполняемых файлов программы ZoneAlarm, которые могут быть незаметно изменены троянской программой, прокравшейся на ваш компьютер, состоит в использовании функции подписывания файлов программой PGP. Для этого надо подписать два файла, относящиеся к программе ZoneAlarm: Zonealarm.exe и Zoneband.dll. После того, как вы подпишете эти два файла, то в той же папке вы увидите два новых файла с теми же именами, но с расширением *.sig. Если вы запустите любой из этих файлов, то запустится программа проверки целостности подписанного вами ранее файла. Если файл был изменен или заменен на другой (троянский), то появится сообщение "bad signature" (плохая подпись). Скопируйте все эти файлы, включая их подписи, в секретный контейнер. Эти копии будут гарантией против возможных атак на ваш компьютер и в частности исполняемого файла программы ZoneAlarm. Затем создайте ярлыки к этим файлам (файлам, находящимся в папке ZoneAlarm) и поместите их в папку автозагрузки. Теперь при каждом запуске ОС Windows указанные sig файлы будут автоматически проверять целостность исполняемых файлов и если какой-то хакер сумеет пробраться на ваш компьютер и подменить исполняемый файл ZoneAlarm на его троянскую копию, то вам об этом сразу же станет известно.
Известно, что с троянами можно активно бороться с помощью анти-троянских программ, которые сканируют компьютер и ищут троянцев также, как антивирусная программа ищет вирусы. На рынке можно найти не один десяток программ против троянцев. Список наиболее продвинутых программ можно найти по следующем сайте, посвященном компьютерной безопасности: http://www.wilders.org/anti_trojans.htm Из всех анти-троянских программ, представленных в этом списке, особенно выделяется своей функциональностью утилита Trojan Defense Suite 3 (TDS3), которую можно скачать прямо с сайта авторов этой программы: http://tds.diamondcs.com.au Несмотря на то, что эта программа стоит около $60, вы можете скачать с указанного сайта демо версию этой программы, действующую в течение 30 дней, после чего программа откажется работать, пока вы ее не зарегистрируете. Однако, при большом желании 30 дневный срок можно значительно продлить.
Недавно наше внимание привлекла программа, специально созданная для выявления и уничтожения клавиатурных шпионов. Эту программу можно скачать по адресу: http://www.anti-keyloggers.com/index.html Эта программа также не бесплатна и для ее регистрации опять потребуется выложить $60, однако, к счастью, несмотря на то, что эта программа переходит в полный режим работы только после ее регистрации (за деньги), даже усеченная версия программы по крайней мере бесплатно выполняет первую фазу своей работы, а именно выявление клавиатурных шпионов путем сканирования компьютера. Для того же, чтобы она уничтожила выявленные клавиатурные шпионы, т.е. выполнила заключительную фазу своей работы, необходимо использовать платную версию программы. Но, из этого положения есть выход: дайте этой программе выполнить первую часть своей работы, после чего она покажет вам подозрительные модули на вашем компьютере, которые могут выполнять роль клавиатурных шпионов. Запишите названия этих модулей и файлов, относящихся к ним, закройте программу и деактивируйте найденные этой программой модули другим образом: либо с помощью описанной выше анти-троянской программы TDS-3, либо путем проверки всех модулей, загруженных в память компьютера (список активных задач) с помощью таких бесплатных утилит, как Process Explorer.
Некоторые специалисты по компьютерной безопасности советуют использовать для работы открытые операционные системы типа Linux, код которой открыт для широкой публики и для которой пока не написано столько троянских коней или вирусов, сколько для Windows в виду того, что она не используется так широко, как Windows. Однако при использовании такой открытой ОС, как Linux сложно найти для нее приложения, с которыми также удобно работать, как с приложениями, написанными под Windows. Кроме того, известно, что вирусы и троянские кони созданы для размножения в ОС Windows преимущественно по причине ее распространенности, а не потому что изначально Linux надежнее, чем Windows. Т.е. если вдруг окажется так, что ОС Linux станет использоваться более широко, чем Windows, то вирусописатели начнут создавать вирусы для этой ОС.
При общем анализе существующих принципов безопасности последние можно разделить на три основных способа:
Понятно, что большинство людей используют третий способ т.к. он наиболее прост в применении. Однако мы считаем, что второй способ гораздо более эффективен, чем первый и третий. С другой стороны, можно попытаться найти компромисс между вторым и третьим способом, что позволит несколько упростить систему защиты, использующую принцип работы на двух дисках. Например, в качестве примера можно привести конфигурацию, где в качестве безопасного, удаленного диска используется диск с Windows-2000, а в качестве фронтального диска, соприкасающегося с Интернетом - Windows-98. В виду того, что Windows-98, использующий файловую систему FAT-32, не видит файловую систему NTFS, которую использует Windows-2000, вирус или троян, попавший на фронтальный диск, не сможет перебраться на "безопасный" диск, и даже если он заново отформатирует диск с Windows-98, то это - не беда в том случае, если вы регулярно делаете back ups фронтального диска с помощью такой утилиты как, например, Norton Ghost.
Если вы не хотите мучиться с переключением с одного жесткого диска на другой, можно использовать возможность работы Windows-2000 с несколькими пользователями, т.е. создайте учетную запись простого пользователя и дайте ему ограниченные права, после чего при каждом посещении сети Интернет заходите в Интернет только через пользователя с ограниченными правами, а через учетную запись администратора заходите только тогда, когда необходимо установить/удалить программу, не находясь в сети Интернет. Указанная мера предосторожности защитит ваш компьютер от вирусов и троянов даже если вы случайно запустите одного из них на своем компьютере т.к. при работе через учетную запись пользователя с ограниченными правами ни вирус, ни троянский конь не сможет получить доступ к реестру и, следовательно, нанести вред вашему компьютеру.
Кроме того, специалисты по компьютерной безопасности рекомендуют изменить название учетной записи администратора, обладающего абсолютными правами, на другое название, т.е. создать учетную запись другого администратора (с другим названием), причем первоначальный администратор станет как бы притворным администратором. Тогда, если какой-либо хакер проникнет в ваш компьютер, то зайдя в учетную запись администратора, он не сможет причинить вред вашему компьютеру т.к. в действительности он не получит абсолютных прав администратора.
Внимание! Мы нашли еще один эффективный способ защиты компьютера от Интернета. В последнее время начинают появляться программы, которые позволяют установить внутри одной ОС другую ОС таким образом, что они полностью изолированы друг от друга,, т.е. если у вас на компьютере стоит ОС Windows-2000 или Windows-XP, то внутри нее можно поставить другую внутреннюю систему, например Windows-98 и использовать ее исключительно для работы в сети и вообще для тестирования нового софта, в котором вы не уверены. Одна из таких программ называется VMWare <http://www.vmware.com> и основное ее предназначение состоит в возможности установки на вашем компьютере виртуального компьютера с отдельным жестким диском и другими девайсами. Внутри этого виртуального компьютера можно установить любую другую ОС, такую как Windows-98, Windows-ME, Windows-2000 или Windows-XP, Linux и т.д. Теперь внешнюю ОС можно вообще не подключать к Интернету, а внутреннюю ОС использовать только для работы в сети, не обременяя себя различными мерами по защите от вирусов и троянских коней. Пускай эти маленькие гады на нее залезают. Все равно они не смогут с нее выбраться! Как только вирус начнет свою разрушительную активность вы можете откатиться на предыдущее состояние внутренней ОС и таким образом с легкостью от него избавиться. Хотя программа VMWare позволяет создать между двумя ОС сеть, мы не рекомендуем вам этого делать, т.к. сеть может помочь вирусу или троянскому коню перебраться на внешнюю ОС, где находится конфиденциальная информация. Вполне достаточно того, что обе системы имеют доступ к флоппи дисководу и CDROMу, с помощью которых файлы можно перемещать между одной ОС и другой. Этот способ по эффективности очень похож на способ использования двух дисков, только преимущество его состоит в том, что не надо ждать, пока ваш компьютер перезагрузится на другую ОС. Вы можете одновременно работать в обеих ОС и даже имеется возможность переносить между ними информацию через буфер обмена. Т.к. программа VMWare создает виртуальную видеокарту, жесткий диск, звуковую карту и материнскую плату, то хотелось бы посмотреть, каким образом Чернобыльский вирус сможет разрушить BIOS виртуальной материнской платы. Ведь это не настоящая плата, а только виртуальная. Еще одно значительное преимущество данного способа защиты компьютера состоит в том, что программа VMWare позволяет в любой момент погрузить внутреннюю ОС в спящий режим, подобный режиму hibernation, только в данном случае он работает надежно на все 100%, не преподнося пользователю таких неприятных сюрпризов, когда после выхода их хибернации машина зависает намертво.
Как то мы получили от одного из наших читателей (nolaf собачка mail.ru) информацию насчет того, каким образом можно организовать конфигурацию взаимодействия виртуальной операционной системы VMWare с другими компонентами компьютерной системы пользователя:
Хочу предложить одну схему компьютерной "организации", которую удалось
ввести в действие в начале 2004 года, благодаря появлению достаточно мощного
компьютерного оборудования.
Кратко ее можно описать так: виртуальные компьютеры (на основе VMWare Work
Station), работающие изнутри шифрованных дисков (на основе Jetico BestCrypt).
Немного более развернуто эту схему можно описать так. Сначала - терминология:
- хост - платформа (настоящее оборудование и операционная система (ОС) на нем),
где работает эмулятор (VMWare, в данном случае; хотя VMWare и не такой чистый
эмулятор, как, например: Connectix (Microsoft) Virtual PC) и системы шифрования
данных;
- гость - платформа, состоящая из виртуального оборудования, созданного
эмулятором и какой либо ОС, установленной на этом виртуальном железе.
Организация хоста:
- железо: компьютер x86 c 0,5 - 2 ГБ памяти; процессор класса P4 c частотой в
районе 3 ГГц (объем памяти наиболее важен - отдавайте предпочтение ему в ущерб
всему остальному); жесткий диск достаточного объема для установки ОС хоста и
некоторого ПО (см. далее) - я использую ноутбук с 1ГБ памяти и процессором
Centrino первого поколения 1,6 ГГц;
- ОС: можно взять любую из наиболее распространенных Линуксов, тогда отпадут
возможные претензии по поводу нелицензионного ПО - использую Windows XP;
- ПО: эмулятор VMWare; система шифрования BestCrypt для создания контейнеров
(где будут гости) и шифрования файла виртуальной памяти хоста (есть версии
VMWare и BestCrypt под линукс); антивирус (KAV, DrWeb), анти-шпион (Ad-Aware) и
система аудита (Aida) - делает "снимки" конфигурации системы (для последующего
сравнения и выявления вторжений);
- другое: дополнительно можно применить аппаратное (IDE-шифраторы) или
программное - (DriveCrypt Plus Pack - предпочтительнее) шифрование содержимого
диска хоста; в этом случае включать шифрование файла виртуальной памяти
BestCrypt'ом не нужно;
- конфигурация: отключите все лишние сервисы ОС; логически отключите все сетевые
соединения (если необходимо использовать одно из сетевых соединений хоста в
качестве моста гостями, то сделайте "отвязку" (unbinding) протокола TCP/IP в
свойствах сетевого соединения сетевого адаптера); ужесточите системную политику
безопасности (на всякий случай).
Итак, хост используется для единственной цели - запуск гостей с шифрованных
Bestcrypt'ом контейнеров с помощью эмулятора VMWare. Пробраться на хост
кому-либо кроме Вас, становится очень затруднительным.
Организация гостя/ей:
- железо: отдельный жесткий диск объема, достаточного для хранения шифрованных
контейнеров с гостями и вашими проектами - использую 2,5" ноутбучный жесткий
диск в USB 2.0 боксе;
- контейнеры: можете создать скрытую часть; не давайте контейнерам очевидные
имена и описания, типа "MyProjects" - просто назовите файлы "1.jbc", "2.jbc" ...
и не задавайте им описания;
- ОС: те, которые Вам нужны;
- обязательное ПО (только для гостей, с которых Вы выходите в сеть): антивирус,
анти-шпион, система аудита (см. выше) и файрволл (важно: работая с сетями (как
и, вообще, с чем-либо) Вы должны понимать принципы работы сети; файрволл - это
не волшебная программа, которая Вас защитит, а то что исполняет ВАШИ ПРАВИЛА
относительно сетевого траффика);
- другое ПО: по вашему усмотрению (однако, старайтесь не использовать наиболее
широко распространенного ПО (в нем больше всего ищут (и находят) дыр),
стандартных сетевых портов, и стандартных мест размещения критических файлов);
можете также поставить туда BestCrypt и монтировать в гостя контейнер с вашими
проектами, профилями ПО, ключами и т.п.;
- конфигурация: отключите все лишние сервисы ОС; ужесточите системную политику
безопасности; в эмуляторе задайте запрос на фиксирование/откладывание/отброс
транзакций к виртуальному диску по завершение работы гостя.
Итак, здесь принцип тот же (только для сетевых гостей применять его надо
жестче): отключаем/блокируем все лишнее по принципу - нет программы, нет
проблемы.
Общие замечания.
Регулярно проводите антивирусное, антишпионское сканирование и аудит хоста и
сетевых гостей (перед началом работы, после загрузки, можно сделать аудит -
всего 5 минут, а раз в неделю - сканирования). На хост ставьте только крупные
обновления ОС типа сервис-паков. На сетевых гостях придется помучится с
установкой всех критических обновлений ОС (заплаток) - которые выходят между
сервис-паками (ни в коем случае не в автоматическом режиме) - подпишитесь на
рассылку безопасности по данной ОС.
Если Вы не устанавливали никакого ПО и не проводили конфигурацию гостя в течение
последнего сеанса работы (особенно в сети), то незачем фиксировать транзакции на
виртуальный диск гостя по завершении - вдруг Вас протроянили (ваши проекты,
смонтированные в гостя отдельным BestCrypt-конетейнером - сохранятся). Проводите
работы по переконфигурации гостей с последующей фиксацией изменений на
виртуальный диск гостя в "доверенном" состоянии (проведены сканирования и
аудит).
Описанная схема, кроме повышенного уровня безопасности, обладает еще и
прекрасной переносимостью. Вы можете развернуть хосты в нескольких местах, где
Вам приходится бывать и ходить туда-сюда с диском с рабочим набором (в данный
момент - это чуть более 100 грамм массы при объеме 100 Гб). А про этот кошмар с
установкой ПО можно забыть:
поставили и настроили один раз - и все - вы носите ваши "компьютеры" с собой.
На рабочий диск можете вместе с шифрованными контейнерами положить
самораспаковывающийся запароленный архив WinRAR с образом диска с дистрибутивом
ОС для хоста, дистрибутивами VMWare и BestCrypt. Это позволит Вам быстро
развернуть защищенную конфигурацию на любом подходящем железе, где бы Вы ни
оказались...
Построили свою информационную модель? Так,.. а теперь встаньте на другую сторону
и попробуйте оценить ее в качестве цели для взлома. Помните - уровень
безопасности/надежности любой системы, как правило, определяется самым слабым ее
звеном. Сделайте самое слабое звено таким стойким, чтобы затраты на его
преодоление превысили стоимость информации, которое оно прикрывает. И не
забывайте, что остается еще одно очень слабое звено - Вы (не болтайте и не
"светитесь" - блин, зачем я все это рассказал)...
Помните также про регулярное резервное копирование (правило: как только затраты
на восстановление информации в случае сбоя начинают превышать затраты на
резервирование - надо делать резервную копию).
И еще один момент, играющий немаловажную роль при определении подходящей конфигурации, состоит в том, что уязвимость вашего компьютера напрямую зависит то того, сколько времени вы проводите в сети. Если ваш компьютер постоянно подключен к сети Интернет, то построение максимально эффективной конфигурации абсолютно необходимо для защиты вашего компьютера от возможных неприятностей. В том же случае, если вы заходите в Интернет через dial up только для отправки/приема почты на 2-3 минуты и время от времени делаете непродолжительные (5-10 минут) прогулки по Интернету, то тогда требования к конфигурации вашего компьютера могут быть менее жесткими, приближаясь к варианту №3.
Недавно нам стало известно о новой программе под названием "Magic Lantern" ("Волшебный фонарь"), которая разрабатывается ФБР. Эта программа засылает на компьютер подозреваемого преступника специальный компьютерный вирус, задача которого состоит в том, чтобы найти и "украсть" парольную фразу, вводимую с клавиатуры во время расшифровки сообщения, зашифрованного с помощью программы PGP. С этой целью данная программа проверяет наличие установленной на компьютере пользователя программы PGP и если эта программа обнаруживается, то затем делается попытка захватить парольную фразу, а также секретный PGP ключ, который требуется для расшифровки сообщения. В статье говорится о том, что данный компьютерный вирус, созданный в недрах ФБР, засылается на компьютер пользователя как электронное почтовое сообщение. Затем делается попытка отправить полученную информацию на сервер ФБР, куда должна поступать информация о паролях и секретных PGP ключах разных пользователей.
Эта информация нас нисколько не удивляет и мы предполагаем с большой долей вероятности, что либо ФБР поделится этой программой со своими коллегами из спецслужб других стран, включая ФСБ, либо у ФСБ уже имеется подобная программа. В любом случае мы считаем, что элементарные способы компьютерной безопасности, изложенные в настоящей статье, позволят вам избежать проникновения такого вируса на ваш компьютер. Кроме того, надо понимать, что раз размер парольной фразы имеет мизерную величину, а секретный PGP ключ не превышает одного-двух килобайтов, то естественно на незаметную передачу такой информации на удаленный сервер может уйти буквально несколько секунд.
Вполне возможно, что создатели данной программы позаботились о том, чтобы она отключала работу firewall, если он установлен на компьютере пользователя и, таким образом, нельзя будет полагаться на то, что firewall запретит соединение этой программы с Интернетом, когда будет сделана попытка передать захваченную информация на какой-то удаленный сервер. Естественно, для того, чтобы поставить эффективную защиту на пути такого "волшебного фонаря", необходимо прятать секретный PGP ключ внутри зашифрованного отсека такого, как, например, Scramdisk. Кроме того, не рекомендуем вам производить расшифровку сообщения (введение парольной фразы) во время соединения с Интернетом. Мы уверены, что с помощью изложенных в нашей статье способов и методов обеспечения компьютерной безопасности можно эффективно заблокировать попытки третьих лиц установить на наш компьютер такие программы. Естественно, необходимо подозрительно относиться ко всякого рода файлам, прикрепленным к почтовым сообщениям, получаемым вами, осознавая, что любой прикрепленный файл, который нас просят запустить, может содержать в себе либо обычный вирус, который заново отформатирует ваш жесткий диск во время очередной перезагрузки, либо специальный вирус, созданный для другой цели. И, вообще, возьмите за правило никогда не читать поступающие почтовые сообщения находясь в режиме on-line, т.е. сначала отключитесь от соединения с Интернетом и только потом уже начинайте просматривать поступившую почту.
И еще один полезный совет: старайтесь как можно чаще переустанавливать Windows на чистый жесткий диск, т.е. предварительно переформатировав жесткий диск с помощью обычной команды format c: Тогда даже если какой-либо троянец или вирус залезет на ваш компьютер, то во время форматирования жесткого диска он будет надежно удален. Чем чаще мы делаем переустановки операционной системы с полным форматированием жесткого диска, тем сложнее будет нашим врагам осуществлять дистанционное управление вашим компьютером!
Все большее и большее проникновение Интернета в нашу жизнь и удешевление услуг Интернет провайдеров приводит к тому, что безопасность наших компьютеров все больше зависит от того, насколько надежной является операционная система Windows, в которой хакеры каждую неделю находят все новые и новые уязвимости и потайные двери. Например, известно, что хакеры сумели неоднократно проникнуть на сервер компании Microsoft. Что они там делали, нам неизвестно, но высказываются предположения о том, что они могли незаметно поместить в компьютерный код разрабатывающихся в компании операционных систем свои шпионские программы, которые могут выполнять разные задачи, начиная с таких простых, как запись в тайные файлы всех нажатий пользователя на клавиатуру и кончая более сложными, о которых можно только догадываться.
Еще один скандал разразился, когда компания Verisign обнаружила, что в конце января 2001г. кто-то зарегистрировал ложный сертификат подлинности, к которому обращается ОС Windows при установке нового программного обеспечения и самый неприятный момент состоит в том, что с этим уже нельзя ничего поделать т.к. в Windows не предусмотрено возможности отзыва ложных сертификатов.
Кроме того, эксперты по компьютерной безопасности постоянно находят все новые и новые "дырки" и коварные уязвимости в Интернет обозревателе Internet Explorer, который устанавливается на компьютер при установке Windows. Один из таких экспертов заявил следующее об этой проблеме: "Безопасность - это постоянно обнаруживаемые уязвимости в программе Internet Explorer т.к. это такая сложная программа, которая взаимодействует с таким количеством других приложений , что даже экспертам чрезвычайно сложно выявить все эти уязвимости".
В связи с этим можно сделать вывод, что какими бы хорошими и надежнымий не были программы защиты компьютера от Интернета, известные как "firewalls" или брэндмауэры, они не способны обеспечить 100% защиту от возможных уязвимостей, которые могли быть "встроены" в Windows то ли специально, то ли по ошибке.
Следующая операционная система, известная как Windows XP, содержит в себе функцию под названием "shared desktop", т.е. "общий рабочий стол", что позволит специалистам, не выезжая на место, дистанционно осуществлять ремонт и настройку операционной системы, установленной на компьютере пользователя. При этом пользователю не придется вникать в сложности настройки операционной системы т.к. эта функция позволяет управлять всеми настройками компьютера пользователя на расстоянии. Из этого не сложно сделать вывод, что после выхода этой системы хакеры всех мастей примутся за тщательное изучение этой функции т.к. их работа по проникновению на компьютер жертвы теперь упростится и им больше не придется мучиться с засылкой и установкой на компьютер жертвы программы удаленного администрирования.
Каким образом firewalls будут с этим бороться? Неизвестно.
Более того, по заявлению компании Microsoft система автоматического обновления программ будет работать незаметно для пользователя, не отвлекая его внимание на объяснение того, что в данный момент происходит на его компьютере. И опять можно задать вопрос, ответ на который неизвестен: каким образом пользователь может быть уверен в том, что во время такого автоматического обновления незаметно установленная внутри кода Windows шпионская программа не отсылает куда-либо файл, содержащий все нажатия пользователя на клавиатуру за последний месяц?
Недавно нам стало известно, что новая версия браузера Internet Explorer 6.0 и привязанной к нему почтовой программы Outlook Express теперь позволяет хакерам и прочим паразитам засылать на ваш компьютер вирусов и троянцев т.к. оказывается, что теперь даже принятие почтового сообщения в обычном текстовом формате не спасает вас от автоматического исполнения вашим компьютером скриптов. Дело тут в том, что версия Outlook Express №6 позволяет прятать в тексте почтового сообщения, набранного в текстовом формате, автоматически исполняемые скрипты. Интересная получается ситуация. Несмотря на постоянные обвинения в свой адрес компания Microsoft просто игнорирует элементарные правила компьютерной безопасности и таким образом пользователям ОС Windows постоянно приходится искать способы защиты против автоматизации, встраиваемой в ОС Windows. Отсюда можно сделать только один вывод: все те, кто устанавливает пиратские копии версии Windows, поступает правильно.
Не торопитесь ставить на свою машину Windows XP, размер которой еще больше, чем Windows 2000. Или, по крайней мере, не используйте диск, на котором установлена эта ОС, для хранения конфиденциальной информации.
Все перечисленные выше аргументы убедительно доказывают неоспоримое преимущество использования системы безопасности с помощью загрузки компьютера с разных жестких дисков (вариант №2).
Кстати, нам также стало известно о том, что в Windows XP теперь стоит защита против любителей "грабить" аудиодиски и превращать их в формат MP3. Хоть эта новость, как будто бы, и не имеет отношения к компьютерной безопасности, но это неудобство наглядно показывает, как гигант софт индустрии начинает ущемлять права своих пользователей. Стоит ли отдавать такие хорошие деньги за ОС, которая так предательски относится к своим пользователям?
Давайте рассмотрим более подробно какие именно недоработки и "дыры" на данный момент были найдены в операционной системе Windows:
Недавно мы прочитали интересную заметку на одной из конференций о компьютерной безопасности, с сокращенным переводом которой хотели бы вас ознакомить:
Новая операционная система Windows XP такая огромная, что в ней очень просто спрятать море информации о том, каким образом пользователь использует свой компьютер, на какие сайты заходит и что делает. С помощью встроенной системы криптографии такую информацию стало еще проще прятать от владельца компьютера. Микрософт (и ее подручники) точно знают, где эта информация размещается на компьютере пользователя и теперь могут в любое время выдернуть ее с компьютера как только он подключится к Интернету. После этого с помощью улик, собранных таким образом, можно засадить любого человека в тюрьму на очень долгое время.
Смотрите статью по адресу http://www.infoworld. com/articles/hn/xml/01/09/28/010928hneffata.xml ( в данной статье идет речь о новом законопроекте, подготавливающемся в Конгрессе США, согласно которому хакеры и лица, способствующие и помогающие им, могут получить статус террориста и соответствующие тюремные заключения). Недоработки операционной системы Windows позволят хакерам и других лицам подставлять обычных пользователей путем незаметного размещения на их компьютерах компрометирующей их информации.
Не мешало бы спросить компанию Микрософт (которая почему то с легкостью идет на уступки государственным органам) почему она не принимает никаких мер против обеспечения безопасности своих операционных систем, которые используются во всем мире. Естественно эти недоработки и в частности "raw sockets" позволяют определенным лицам осуществлять эффективный мониторинг тех пользователей, которые регулярно заходят или постоянно подключены к Интернету. С помощью этих "дыр" в операционной системе Windows такие агентства, как ФБР и NSA (Национальное Агентство Безопасности) могут легко следить за действиями пользователей ОС Windows в сети Интернет. Недавнее решение государственных органов США "простить" компанию Микрософт и не разбивать ее на несколько разных компаний в результате расследования монопольной деятельности компании Микрософт, по моему, является прямым результатом того, что компания Микрософт игнорирует проблемы безопасности в ОС Windows.
К тому времени, когда новая ОС Windows-XP станет широко распространенной операционной системой, установленной на компьютерах пользователей во всем мире, у правительства появится возможность невиданного ранее контроля за своими подданными.
Еще одно подтверждение того, что Агентство Национальной Безопасности США (NSA) может иметь доступ ко всей информации, находящейся на компьютере пользователя с установленной на нем Windows, заключается в том, что уже два года тому назад независимые компьютерные исследователи обнаружили в системе Windows ключ под названием "NSAKEY". Представители компании Microsoft не отрицали того факта, что на всех системах Windows имеется такой ключ, но отказываются разъяснить, для чего он там находится.
Если материал этого раздела не убедил вас в предательски опасных чертах Windows-XP, то мы советуем вам почитать большую статью, подробно описывающую все те гадости, которая были уготовлены компанией Microsoft ничего не подозревающему пользователю. Вот, адрес этой статьи: http://www.hevanet.com/peace/microsoft.htm К сожалению статья эта на английском языке, но написана она интересно и очень подробно раскрывает все те маленькие и большие гадости, которая Microsoft готовила для своих пользователей на протяжении нескольких последних лет.
Если вы помните о программе VMWare, которую удобно использовать для изолирования диска с конфиденциальной информацией от враждебного Интернета (о ней рассказано выше в этой статье), то весной 2003 года произошло неприятное событие состоящее в том, что компания Microsoft заявила о намерении купить с потрохами компанию, создавшую VMWare. Казалось бы, что в этом может быть неприятного? Аппетиты у компании Microsoft крупные и вполне естественно, что она решила прибрать к рукам удачный программный продукт. Что нам по этому поводу сокрушаться то? Но не все так просто, как кажется с первого взгляда. Давайте посмотрим на это событие следующим образом: есть операционная система Windows, в которой имеется множество раскрытых и еще больше нераскрытых багов и уязвимостей, с помощью которых кто-то может собирать информацию о всех миллионах пользователей, которые поставили на свои компьютеры Windows. Затем появилась VMWare, которая позволяет этим пользователям эффективно прятать свои диски с конфиденциальной информацией от всяких разных гадов, вроде троянов, вирусов и прочей нечести, создаваемой в недрах ЦРУ и ФСБ якобы для борьбы с преступниками и террористами. Вам конечно же должно быть понятно, что, используя программу VMWare, можно мгновенно отрубать всех этих маленьких гадов и, что особенно приятно, можно полностью плюнуть на все эти баги и уязвимости, которые может быть были специально созданы в недрах компании Microsoft. И вот компания Microsoft - гигант софт индустрии делает заявление о покупке прав на программу VMWare, которую она теперь интегрирует с системой Windows. От этого слова "интегрирует" у нас прямо пробегает холодок, когда начинаешь понимать, какие теперь возможности появляются у Билла Гейтса. Внедрив в VMWare небольшую потайную "дверку", у него появится возможность проникать сквозь изоляцию, которая появлялась при использовании VMWare для работы в Интернете от имени притворной, виртуальной операционной системы и, таким образом, засылать троянцев собственного изготовления на диск с конфиденциальными данными.
Конечно, мы не можем быть на 100% уверенными в том, что эти мысли не являются паранойей и что за решением компании Microsoft стоят не только деловые интересы. Однако, паранойя еще никогда не была лишней в борьбе против бюрократов и их прихвостней, которые любыми способами (например, под предлогом борьбы с терроризмом) пытаются забраться на ваш компьютер, чтобы узнать, в каком именно банке у вас открыт счет и сколько там есть денег.
Поэтому, нам кажется, что если вы решите воспользоваться VMWare для создания непреодолимой преграды между враждебным Интернетом и вашим компьютером, то лучше всего инсталлировать ту версию VMWare, которая была создана до поглощения этой программы Микрософтом.
Пришло время новой операционной системы Windows Vista. Одним словом, это операционная система, которая может ударить вас ниже пояса, если вы будете хранить на ней свои тайны. Вот, почитайте комментарий одного товарища по поводу Висты на форуме, который вы взяли вот отсюда: https://www.pgpru.com/Новости/Безопасность/2006/12-27-ПитерГутманРезкоРаскритиковалDRMVista?show_ comments=1#comments
Что до висты – микрософт потерял всякий стыд и совесть в погоне за длинным баксом и юзера считает за быдло. За его же денежки. Ну вот пусть быдло и покупает эту систему, а мне не нужны троянские фичи в моей системе нацеленные против меня за мои же денежки. Когда-то я уважал Микрософт. А сейчас честно говоря начинаю ненавидеть – используют методы достойные шайки жулья и сборища рэкетиров, а не солидной корпорации. Вероятно они решили что в погоне за длинным баксом все средства хороши. Более того, виста ОЧЕНЬ опасна для использования в ответственных местах. Во первых, активация. Без одобрения редмонда вы не сможете пользоваться системой. Во вторых, сертификаты драйверов позволяют устраивать удаленный саботаж. В 64-битной висте драйвера не загружаются если нет цифровой подписи или она не валидна. Итого микрософт не только будет всем диктовать как жить и что делать но и всегда может отозвать драйвер, запросто сорвав этим работу системы. При этом вас забудут спросить, хотите вы этого или нет. Итого в критичный момент система может подвести, просто потому что господам из редмонда и медиа-барыгам видите ли захотелось отозвать драйвер. Впрочем микрософт уже показал свое лицо раздав под видом срочного апдейта WGA-шпиона. Извините, после этого я этому вендору не доверяю. А виста лишний раз показывает их нехорошую морду. Система где браузер по дефолту стучит куда вы ходили «для борьбы с фишерами», где вас не пускают в ядро чтобы вы не дай боже не сломали DRM, где апдейт может скачать нежелательные компоненты, где в ядро встроено подобие руткита чтобы вы не совались в их DRM, надежной и доверяемой никак не является.
Если вы прибегали или собираетесь обратиться к Российским компаниям, имеющим лицензию на распространение шифровальных продуктов, не думайте, что ваша конфиденциальная информация находится в безопасности, т.к. шифровальные продукты, распространяемые по лицензиям, полученным от государственных органов, имеют потайные ходы, которые позволят компетентным органам расшифровать информацию, зашифрованную с помощью таких программ. Давайте к примеру возьмем программу шифрования данных, построенную на базе Российского государственного стандарта. Знает ли кто из вас, что это за стандарт такой?
К большому облегчению для обычного человека, не являющегося профессиональным криптографом, никем не контролируемое развитие глобальной сети Интернет позволяет нам эффективно решать задачи по шифрованию конфиденциальной информации, не прибегая к услугам фирм, имеющих лицензии. С помощью сети Интернет новости об уязвимостях той или иной шифровальной программы распространяются мгновенно и государство ничего не может с этим поделать. В данном случае на страже интересов обычного пользователя стоят тысячи независимых криптографов во всем мире, которые тщательно анализируют криптографические продукты и поднимают шум как только находят в какой-либо программе какую-нибудь недоработку или потайной ход. Поэтому при принятии решения об использовании криптографической программы необходимо прежде всего узнать, раскрыли ли создатели программы ее код т.к. в том случае, если этого не было сделано, то вы можете полагаться только на честное слово тех, кто рекламирует или продает эту программу. А честному слову, как вы понимаете, в таких случаях верить нельзя.
Например, известно, что создатель программы PGP Филлип Циммерман сделал код программы открытым для любого, кто хотел бы проверить как она работает. Уже на протяжении многих лет криптографы всего мира пытаются найти в программе PGP потайные двери и ничего не могут найти. Один этот факт уже говорит в пользу программы PGP. Недавно найденная двумя Чешскими криптографами в этой программе недоработка не является серьезной проблемой т.к. она может оказать эффект только при условии проникновения злоумышленника на ваш компьютер. Филлип Циммерман в ответ на опубликование открытия, сделанного Чешскими криптографами, заявил, что эта проблема не релевантна т.к. если злоумышленник сумеет получить доступ к вашему компьютеру, то он может натворить гораздо больше зла, чем просто подделать вашу электронную подпись.
Поэтому ни в коем случае не попадайтесь на удочку тем, кто рекламирует вам преимущества какой-либо новой криптографической программы, а в ответ на вопрос о том, где можно взять код этой программы, отвечает, что это - коммерческая тайна. Доверяйте и используйте в своей деятельности только такие программы, которые, подобно программе PGP или Scramdisk, имеют открытый код и были изучены не одним криптографом.
При восстановлении информации, которая была стерта с жесткого диска компьютера, применяется метод "магнитной микроскопии" (Magnetic force microscopy - MFM). Даже у неопытного пользователя время, затраченное на получение снимков со стертой с жесткого диска информацией, займет около 5 минут. Для того, чтобы получить полную картину информации, размещенной ранее на жестком диске, требуется знание формата жестких дисков, которое можно найти в специальной документации, и после того, как на жестком диске было найдено место, где находится стертая информация, на получение одного магнитного снимка у оператора уйдет от 2 до 10 минут. При использовании более дорогостоящих устройств этот процесс можно автоматизировать и теоретически получить снимок всего жесткого диска.
Согласно данным производителей устройств магнитной микроскопии во всем мире в настоящее время используется несколько тысяч таких устройств. Если цена такого устройства кому-то кажется слишком высокой, то такое же устройство можно собрать самостоятельно, используя в качестве контролера обычный компьютер и потратив на его сборку около $1400.
После появления на рынке устройств магнитной микроскопии надежно удалить информацию с жесткого диска стало чрезвычайно сложно. Проблема здесь заключается в том, что когда информация записывается на диск, головка записи изменяет полярность большинства, но не всех магнитных сфер. Это частично объясняется тем, что головка записи не может каждый раз производить новую запись в точно определенном месте. Это можно еще объяснить тем, что при записи единицы на диск записывается единица, а при записи нуля - записывается ноль. Однако при записи сверху нуля единицы в действительности результат составляет около 0.95, а если сверху единицы записывается единица, то получается около 1.05. Электрическая схема обычного жесткого диска работает таким образом, что обе эти величины читаются как единицы, в то время как при использовании специального устройства можно вычислить, какую величину содержал предыдущий слой. Восстановление по крайней мере одного или двух слоев ранее записанной на диск информации, которая затем была стерта - не слишком сложная задача, если прочитать сигнал с помощью аналоговой головки с высококачественным осциллоскопом, после чего загрузить его на компьютер в форме звуковой волны и провести анализ полученного сигнала в специальной программе.
Такой процесс восстановления ранее стертой с жесткого диска информации можно выполнить достаточно давно после того, как головка жесткого диска уже не может ничего на нем прочитать. В результате каждая дорожка жесткого диска содержит всю информацию, когда-либо на него записанную, но вклад каждого слоя становится тем меньше, чем давнее была сделана запись на него информации. Органы разведки имеют большой опыт в восстановлении таких образов.
В связи с тем, что более новые жесткие диски имеют большую плотность записи и информация на них записывается в более маленькие по размеру магнитные сферы, использование для хранения и удаления конфиденциальной информации более новых жестких дисков с более высокой скоростью вращения и большей емкостью делает процесс восстановления стертой информации более трудным. Более того, надо заметить, что диск с более высокой плотностью записи использует более сложную обработку сигнала просто для считывания информации. Соответственно процесс считывания предыдущих слоев такого диска становится также более сложным.
Программы удаления с диска конфиденциальной информации используют специальные типы сигналов, которые наносятся поверх удаленной информации. Если диск, на котором происходит удаление информации с помощью одной из таких программ (например, программой Eraser, о которой речь идет выше) имеет встроенную функцию кэширования или буферизации данных, то эту функцию необходимо отключить с тем, чтобы каждая запись на диск происходила с каждым новым проходом вместо увязывания и потери всех этих проходов в буфере жесткого диска. И еще один момент, который надо иметь в виду при удалении конфиденциальной информации, состоит в том, что если вы используете диск с более высоким протоколом, например, SCSI, то этот протокол интерпретирует поступающие команды достаточно вольно и вместо форматирования диска может просто произвести операцию чтения всего диска.
Если конфиденциальная информация находится на флоппи диске, то рекомендуется извлечь из него магнитный слой и полностью его сжечь. Обычно флоппи диски (дискеты) очень хорошо горят.
Степень стираемости информации еще зависит от количества времени, в течение которого эта информация находилась на диске, но не зависит от возраста самого диска. Поэтому старайтесь хранить файлы с конфиденциальной информацией только внутри виртуальных зашифрованных дисков, созданных с помощью таких программ, как Scramdisk или PGP disk. Чем больше времени файл с конфиденциальной информацией находился на вашем жестком диске в открытом виде, тем больше вероятность того, что специалисты смогут восстановить эту информацию даже если вы сотрете и перезапишите файлы с информацией с помощью программ типа Eraser.
Еще одна проблема, которую надо иметь в виду, состоит в том, что последние устройства для хранения информации содержат в себе специальные схемы исправления ошибок данных, которые могут появиться в результате порчи жесткого диска. Т.е. если с вашим жестким диском что-то произойдет, то встроенная в него система восстановления информации поможет вам восстановить ее, что делает такой диск более надежным для хранения информации. Однако, это же "удобство" может сослужить отличную службу тем, кто захочет позднее восстановить информацию, стертую с жесткого диска. Поэтому, если даже какая-то информация была надежно стерта, то ее можно восстановить с помощью встроенной в схему жесткого диска возможности исправления ошибок. В связи с этим при стирании информации с такого жесткого диска необходимо стирать не только дорожки, содержащие данные, но и служебные дорожки диска, с помощью, например, такой команды стандарта SCSI-2, как WRITE LONG.
В заключение необходимо еще раз отметить, что данные, которые были стерты и перезаписаны другой информацией один или два раза, могут быть восстановлены специалистами с помощью специальной аппаратуры. Даже данные, которые были стерты и перезаписаны другой информацией много раз, можно восстановить при условии, что новая информация записывается не в то же самое место, где содержалась предыдущая информация. Поэтому практически невозможно полностью удалить с жесткого диска конфиденциальную информацию просто ее перезаписывая другой информацией независимо от того, сколько раз это делается. Однако при соблюдении простых методов, изложенных в этой главе, работа по восстановлению стертой информации может стать очень сложной или даже экономически невыгодной в том случае, если стоимость конфиденциальной информации меньше, чем стоимость работ по восстановлению этой информации.
Последняя ОС Windows XP поддерживает функцию шифрования данных, а программа PGP версии 7.0.3 поддерживает функцию их надежного уничтожения во время удаления. Если настроить функцию уничтожения файлов, а затем изменить свойства папки на зашифрованный статус, то копии удаляемых файлов останутся в файловой системе Windows XP в открытом виде.
Дело в том, что когда проводник Windows перерабатывает файловую систему, шифруя ее содержание, он сначала меняет название исходного файла на другое название типа "EFSn.TMP", после чего шифрует этот файл и присваивает ему такое же название, что и у исходного файла. После этого временный файл удаляется. Однако если вы настроите опции вашей программы PGP версии 7.0.3 на то, чтобы она автоматически уничтожала удаляемые файлы, похоже, что PGP перехватывает команду на удаление файла, но т.к. она работает на правах пользователя, то у нее недостаточная привилегия для исполнения этой команды и файл остается не стертым в файловой системе.
Любое лицо, просматривающее содержимое жесткого диска, может свободно открыть эти оставшиеся временные файлы и прочитать их.
Решение проблемы: Если вы используете в Windows XP функцию шифрования файловой системы NTFS, не включайте функцию автоматического уничтожения файлов в программе PGP. Подробную информацию об этой уязвимости можно найти на английском языке по следующему адресу в Интернете: http://archives.neohapsis .com/archives/bugtraq/2002-05/0052.html.
Что касается программы PGP, то владелец программы выпустил заплатку, исправляющую эту уязвимость, которую можно скачать по следующему адресу: http://www.nai.com/naicom mon/download/upgrade/upgrades-patch.asp.
Пользователям Windows 2000 также необходимо иметь в виду, что система шифрования EFS, установленная в этой ОС, НЕ УНИЧТОЖАЕТ содержимое файлов, которые шифруются согласно шагам, показанным выше. Для того, чтобы вся стертая информация была надежно удалена, необходимо затереть все свободное место на диске, используя, например, такую утилиту, как PGP Free Space wipe.
Функция Windows Scripting Host, которая присутствует во всех последних операционных системах Windows (98, ME, 2000), позволяет автоматизировать многие процессы, происходящие на вашем компьютере. К сожалению, эта же функция вызвала новое поколение вирусов, которые могут поступить в ваш почтовый ящик и запуститься без вашего ведома. Т.е. некоторые вирусы уже достигли такого совершенства, что могут запускаться на вашем компьютере даже без вашего участия. Для этого вам надо только принять почту с помощью почтовой программы, которая может принимать/читать сообщения в формате html.
Ниже мы приводим ссылки к некоторым полезным утилитам, которые рекомендуется использовать вместе с антивирусными программами для того, чтобы защититься от таких вирусов:
Script Sentry <http://www.jasons-toolbox.com/scriptsentry.asp> Защищает ваш компьютер от коварных скриптов, которые могут запустить на вашем компьютере вредоносный вирус.
EBURGER <http://www.staff.uiuc.edu/~ehowes/ resource2.htm#EBURGER> Программа по удалению функции автоматического исполнения скриптов.
HTAStop <http://www.wilders.org/downloads.htm> Маленькая программа, позволяющая заблокировать и при необходимости разблокировать выполнение функции Hypertext Application (HTA), которая может заслать на ваш компьютер вирус при посещении какого-нибудь сайта.
В Интернете по адресу http://www.spywarewarrior.com/uiuc/main-nf.htm располагается страничка, перечисляющая ссылки к программам, которые помогают защитить компьютер от хакеров, вирусов, троянцев и прочей гадости. Рекомендуем вам время от времени заходить на эту страничку. Все вышеуказанные программы имеются на этой страничке.
Несовершенство и недоработки программы Internet Explorer (встроенного в ОС Windows браузера) грозит тем, что благодаря языку программирования Java и Active X при посещении сайта, созданного злобным хакером или вирусописателем, пользователь, сам того не ведая, может нарваться на вируса или трояна, который находится на сайте в ожидании очередной жертвы. Достаточно только кликнуть мышкой по какой-нибудь ссылке и на ваш компьютер проникнет вирус или троян. Бороться с этим достаточно просто: перед использованием браузера для изучения какого-либо неизвестного вам сайта, а особенно хакерского сайта с креками, необходимо сделать некоторые изменения в настройках браузера следующим образом: исполнить команды tools - Internet options - security и установить уровень безопасности (security level) в крайнее высокое положение (high). Но и на этом успокаиваться нельзя и рекомендуется зайти в точные настройки и отключить (disable) такие функции, как Active X, Java, Active scripting, т.е. отключить все имеющиеся там функции. К сожалению многие сайты активно используют язык Java и они могут просто отказаться нормально работать если такие функции, как Java и Active scripting отключены на компьютере пользователя. Перед тем, как включить эти функции на своем браузере подумайте, доверяете ли вы создателям сайта, на который вы зашли, в том, что они не зашлют на ваш компьютер какого-нибудь трояна или вирус. Ведь, включив эти функции, вы полностью находитесь в их власти и они могут делать с вашим компьютером все, что им заблагорассудится. Некоторые продвинутые юзеры, озабоченные безопасностью своего компьютера при хождении по Интернету, относятся к этому вопросу принципиально, т.е. отказываются посещать сайты с включенными функциями, а если сайт не работает при отключенных функциях, то они уходят с него без какого-либо сожаления. В конце концов проигрывает здесь, прежде всего, владелец сайта пониженным траффиком.
Недавно была обнаружена еще интересная "дыра" в браузере Internet Explorer, которая имеет отношение к этим настройкам. Дело в том, что оказывается при нажатии на кнопку "back" (назад) несмотря на то, что вы заблаговременно отключили указанные выше функции, при переходе на один шаг назад в программе Internet Explorer автоматически включаются все функции, которые вы заранее отключили. Т.е. возможен следующий сценарий:
Но самое интересное, что по этому поводу говорит компания Microsoft: "это не наша недоработка. В этом виноват пользователь т.к. нажал на кнопку back в то время, как на нее не следовало было нажимать!"
В последнее время все чаще на наши почтовые ящики начинают поступать вирусные сообщения, которые содержат в себе разновидность вируса, известного как Klez. Особенность этого вируса состоит в том, что для того, чтобы вирус проникнул на ваш компьютер, необязательно открывать полученное сообщение, содержащее этот вирус. Достаточно только зайти в Интернет и получить сообщения с помощью почтовой программы Outlook Express или Microsoft Outlook, после чего прикрепленный к сообщению исполняемый файл, содержащий в себе вирус, автоматически запустится. Еще в марте 2001г. компания Microsoft выпустила заплатку, которая закрывает эту уязвимость. Скачать заплатку можно по следующему адресу: http://www.micr osoft.com/windows/ie/downloads/critical/q290108/default.asp
Наряду с этой заплаткой необходимо запретить исполнение скриптов в поступающей на ваш компьютер почте в формате html. Для этого необходимо строго соблюдать следующие три правила:
Для еще большей надежности, чтобы никакой коварный вирус не смог проникнуть на нашу машину, мы также взяли за правило не открывать почту, поступающую в почтовый ящик, не убедившись в том, что это за сообщение, и поступаем с полученной почтой следующим образом:
Похоже, что хакеры и вирусописатели своего добились: в результате всех этих манипуляций пользователь постоянно будет проклинать продукты компании Microsoft т.к. указанные выше манипуляции сильно ограничивают функциональность Windows и встроенных в нее почтовых клиентов.
▬▬▬▬▬▬▬▬▬▬▬
Сокращенный перевод с английского из книги "Secrets and lies" известного в мировых криптографических кругах специалиста по криптографии и сетевой безопасности Брюса Шнайера (http://www.counterpane.com)
Самый простой способ сравнения одного криптографического алгоритма с другим - это сравнение длины ключа, используемого алгоритмом. Пресса любит фокусировать внимание читателей на длине ключа т.к. журналистам, ничего не смыслящим в криптографии, легко об этом писать. Но, в действительности, ситуация гораздо сложнее. Хотя маленький ключ и плох, из этого не следует автоматически, что длинный ключ лучше короткого.
Криптографический ключ - это секретная величина, которая делает криптографический алгоритм уникальным для тех, кто им владеет. Если Алиса и Боб владеют ключом, они могут использовать алгоритм для того, чтобы обмениваться секретными сообщениями. Если Ева (шпион) не имеет ключа, то ей придется попытаться взломать алгоритм.
Это можно попытаться сделать за счет перебора всех возможных ключей, и называется такая атака прямым перебором (brute force attack). Если ключ имеет длину n, то надо перебрать 2 в степени n. Тогда, если ключ имеет 40 битовую длину, существует около миллиарда возможных вариантов ключа, которые надо перебрать. Для Евы такая задача окажется невыносимо скучной, но компьютерам скука не страшна. На практике компьютеру необходимо будет перебрать около половины всех возможных ключей перед тем, как он найдет искомый ключ. Из этого следует, что компьютеру, который в состоянии перебрать миллиард ключей в секунду, потребуется около 18 минут для того, чтобы взломать 40 битовый ключ. В 1998 году организация Electronic Frontier Foundation построила компьютер, который мог взломать ключ DES. Этот компьютер под названием DES Deep Crack перебирал 90 миллиардов ключей в секунду. Он смог вычислить 56 битовый DES ключ примерно в течение 4.5 дней.
Все такие атаки прямым перебором имеют линейный характер, т.е. для перебора вдвое большего количества ключей требуется в два раза большее количество компьютеров. Достаточно добавить только один бит и атака прямым перебором становится в два раза труднее. Добавьте два бита, и она станет в четыре раза сложнее. Добавьте десять бит, и она станет в тысячу раз сложнее.
Преимущество атаки прямым перебором состоит в том, что она эффективна против любого алгоритма.
В 1996 году группа криптографов (включая меня) исследовала разнообразные технологии, которые можно было применить для атаки методом прямого перебора и рекомендовала минимальную длину ключа размером 90 бит, что обеспечивало безопасность ключа вплоть до 2016 года. Тройной DES имеет длину ключа размером 112 бит, а большинство современных алгоритмов имеет длину ключа не менее 128 бит. Даже у машины, работающей в миллиард раз быстрее, чем Deep Crack, уйдет миллион лет для прямого перебора 2, возведенной в степень 112 и более чем в 1000 раз больше времени на взлом 128 битного ключа. Конечно, к этим цифрам нужно относиться скептически. Я не предсказатель будущего и не могу с уверенностью знать, какое влияние на стойкость ключа может оказать прогресс в компьютерной технологии в ближайшем будущем.
В отношении открытых ключей (публичной криптографии) дела обстоят гораздо сложнее. В настоящее время эксперты рекомендуют использовать длину ключа не менее 1024 бит. Параноики используют ключи большего размера (2048 бит). Крайне сложно делать какие-либо прогнозы возможностей вычисления ключей прямым перебором в ближайшем будущем т.к. не существует математического доказательства того, что эти проблемы имеют определенную степень сложности.
В криптографии имеет значение не только длина ключа, но и его качество. Для лучшего понимания этого момента необходимо рассмотреть, что такое «энтропия».
Энтропия - это степень беспорядка, хаоса или более конкретно в контексте криптографии, мера неопределенности. Чем больше в чем-то энтропии, тем больше неопределенности.
Из того, что алгоритм использует ключи размером 128 бит, не следует, что он обладает энтропией размером 128 бит. Или, говоря другими словами, самый верный способ взломать 128 битовое шифрование состоит не в прямом переборе всех возможных ключей. «128 бит» - это просто мера максимального количества времени, требующегося для взлома алгоритма шифрования и извлечения ключа. Но эта величина ничего не говорит о минимальном времени.
Большинство ключей генерируются из паролей или парольных фраз. Система, принимающая 10 буквенные пароли в формате ASCII, может быть представлена, как 80 битовая система, но ее энтропия гораздо меньше, чем 80 бит. Как правило, в качестве паролей используются реальные слова (либо слегка измененные слова), которые имеют определенную предсказуемость. В стандартном английском языке каждая буква имеет менее 1.3 бит энтропии; пароли имеют менее 4 битов энтропии в одной букве. Это значит, что 8 буквенный пароль примерно равен 32 битному ключу. А если вам нужен 128 битный ключ, то вы должны использовать парольную фразу размером 98 букв.
Тут все дело в том, что хитрая атака прямым перебором не будет упрямо и глупо перебирать каждый возможный ключ. Сначала она возьмется за наиболее вероятные ключи, а затем за другие в определенном порядке. Она начнет перебирать общеупотребляемые пароли такие, как, например "password" или «1234», затем весь словарь английского языка, после чего варианты всех перебранных слов с большими буквами в разных местах с добавлением цифр и т.д. Это называется «словарной атакой». Существует программа по взлому паролей под названием L0phtcrack. На 400 Мг компьютере Pentium II она может сравнить зашифрованный пароль с 8 мегабайтным словарем часто используемых паролей за считанные секунды.
Именно поэтому становится смешно, когда такие компании, как Microsoft хвастаются 128 битным шифрованием и затем основывают свой ключ на пароле из 8 букв. Используемые ими алгоритмы шифрования могут использовать 128 битный ключ, но энтропия пароля неизмеримо меньше. В действительности, совершенно не имеет значения, насколько хорош используемый алгоритм шифрования или какова длина ключа т.к. слабый пароль всегда сломает надежность системы.
Некоторые пытались решать эту проблему за счет использования все более и более сложных паролей т.к. более сложный пароль угадать гораздо труднее и навряд ли он может присутствовать в словаре. Некоторые системы генерируют для пользователей случайные пароли, сочетая слова и символы, например: "FOT78hif#elf". Программа PGP рекомендует использовать парольные фразы, состоящие из сложных предложений с добавлением какой-нибудь бессмыслицы. Но эта техника становится все менее и менее надежной. На протяжении последних нескольких десятилетий закон Мура сделал возможным прямой перебор ключей со все более большим количеством энтропии. В то же время существует максимальный предел энтропии, присутствующей в парольной фразе пользователя, которую он может запомнить. Трудно ожидать от пользователя, что он сможет запомнить пароль из случайного сочетания 32 букв и цифр, но именно это должно произойти, если он хочет добиться 128 битной энтропии.
Выбрать подходящий алгоритм шифрования непросто. Мы не можем сравнивать один алгоритм шифрования с другим так, как мы сравниваем алгоритмы сжатия. Сжатие сделать просто: вы можете с легкостью продемонстрировать, что один алгоритм сжатия сжимает данные быстрее, чем другой. Безопасность имеет совершенно иную специфику. Хотя вы можете доказать слабость какого-либо алгоритма, вы не можете показать, что один алгоритм, метод взлома которого вы не знаете, надежнее, чем другой. При отсутствии абсолютных величин мы можем использовать имеющиеся у нас данные: мнение экспертов.
Криптография - сложная дисциплина. Она сочетает несколько видов математики с изучением компьютерных технологий. Даже профессиональные криптографы иногда делают плохие криптографические продукты.
Проблема состоит в следующем: любой человек может взять и создать криптографический алгоритм и он может не суметь его сломать, несмотря на его примитивность. Это очень важно. Это значит, что любой человек может сесть за стол и создать примитивный криптографический алгоритм, затем попытаться его взломать и если у него это не получится, то провозгласить на весь мир: «Я создал надежный алгоритм шифрования!». Что он скажет этим в действительности, это то, что он создал алгоритм, который ОН сломать не может и, следовательно, это надежный алгоритм. Первый вопрос, который ему можно бы было задать в этой связи: «А ты что за черт? Кто ты вообще такой? Почему это мы должны верить, что твой алгоритм надежен, если ТЫ не можешь его сломать? Какую ты имеешь репутацию, чтобы поддержать заявление, что если ты не сумел сломать свой алгоритм, то и другие не смогут этого сделать?»
Единственный способ отличить хорошую криптографию от плохой - выслушать мнения экспертов, которые ее изучили. Анализ криптографии - чрезвычайно сложная задача и в мире существует только горстка людей, которые могут делать это профессионально. Поэтому перед тем, как какой-либо алгоритм может считаться надежным, его необходимо исследовать специалистам на протяжении многих лет.
Вот почему криптографы предпочитают старые и проверенные годами алгоритмы шифрования перед новыми и неизвестными.
Некоторые компании заявляют о том, что их собственные алгоритмы являются надежным решением проблемы. При этом они не раскрывают подробностей т.к. либо алгоритм является частной собственностью, либо ожидается получение патента на алгоритм. Вам приходится доверять этим людям. Они могут заявить, что такой-то алгоритм, который они создали, лучше любого другого, существующего сейчас. Они могут сказать, что их специалисты сделали революцию в математике. Они могут говорить о чем угодно лишь бы заставить вас раскошелиться и купить криптографический продукт с использованием этого алгоритма.
Иногда мы слышим аргументы о том, что тайная криптография надежнее публичной т.к. она тайная, а публичная криптография более рискованная т.к. она открыта публике. Сначала это кажется убедительным, но после размышлений на эту тему начинаешь видеть глупость этого утверждения. Публичные алгоритмы шифрования созданы надежными именно потому, что они публичные и открыты для широкой публики. Поэтому никакого риска в том, что они публичные нет. Если же есть какой-либо тайный алгоритм шифрования, то он останется тайным только до тех пор, пока кто-нибудь не сломает его и не заявит об этом на весь Интернет. Это не означает, что все новое плохо, а только, что все новое - подозрительно. Новые криптографические алгоритмы рождаются в академических кругах, а затем оказываются в демонстрационных системах. Если какой-то определенный алгоритм действительно лучше, то, в конце концов, криптографы всего мира начнут доверять ему. И только затем появится смысл использовать его в реальных криптографических продуктах.
Использование закрытого частного алгоритма подобно визиту к врачу, который изобрел новый доселе неизвестный способ лечения (который он отказывается раскрывать). Хотите ли вы оказаться в роли подопытной свинки?
Самые лучшие и надежные способы криптографии используют коллективное мышление и аналитический опыт большого количества криптографов. Ни одна компания (кроме военных) не обладает достаточными финансовыми ресурсами для анализа какого-либо сложного криптографического алгоритма.
В криптографии безопасность алгоритма полагается на следование за толпой других. Какие-то неизвестные и малоизвестные алгоритмы не подвергаются сотням тысячам часов криптоанализа, которые были потрачены на изучение DES и RSA. Ни один частный протокол шифрования не может вызывать такое же спокойствие и уверенность, как алгоритм PGP. Следуя за другими, вы полагаетесь на криптографический опыт экспертов с мировым именем, а не на несколько недель, проведенных неизвестным никому студентом-аналитиком.
И бойтесь доктора, который может заявить, что он изобрел и запатентовал совершенно новый способ лечения, основанный на распылении порошка, который еще нигде не применялся.
Защита конфиденциальной переписки от несанкционированного доступа третьих лиц и особенно государственных органов с каждым годом становится все более важной.
Многие считают, что, используя программу PGP, можно с успехом скрывать свои дела от заинтересованных лиц т.к. алгоритм шифрования PGP не имеет изъянов.
Однако если при использовании PGP ваш враг может перехватывать ваши сообщения и анализировать их по другим признакам, то ваши дела уже не находятся под непроницаемым покровом тайны. Ведь сообщения, шифруемые с помощью PGP, содержат в себе адрес вашего корреспондента, ваш IP адрес и IP адрес вашего корреспондента. Кроме того, по интенсивности вашей переписки и по отношению зашифрованных сообщений к общему количеству принятых/отправленных вами сообщений можно уже строить догадки и предположения о характере вашей переписки.
Именно поэтому сторонники анонимности в Интернете рекомендуют шифровать все свои сообщения с помощью программы PGP. При отправке сообщений через бесплатные электронные адреса типа mail.ru или hotmail.com каждое отправленное вами сообщение содержит в себе ваш IP адрес, по которому легко вычислить вашего Интернет провайдера, т.е. через кого вы заходили в Интернет для того, чтобы отправить свое сообщение.
Все эти размышления наглядно показывают, насколько уязвимой является система переписки через почтовые сервера Интернет.
Вплоть до 11 октября 2001г. против тотального контроля со стороны государственных органов за электронными сообщениями своих граждан можно было эффективно применять программу шифрования Freedom, созданную ведущей Канадской Интернет компанией Zero Knowledge Systems. Адрес этой компании в Интернете: http://www.freedom.net
Однако неожиданно для пользователей этой программы компания Zero Knowledge Systems объявила, что, начиная с 11 октября, анонимные почтовые сервера компании не будут больше принимать сообщения, а с 22 октября компания полностью прекратит предоставление услуг шифрования почтового трафика, обеспечивающего абсолютную анонимность пользователей системы Freedom.
Согласно комментариям ведущих практиков анонимности в Интернете компания Zero Knowledge прекратила деятельность по анонимному шифрованию в виду слишком малого количества клиентов. Президент компании Anonimyzer, предоставляющей услуги по шифрованию Интернет трафика, сказал, что система Freedom была очень дорогой и совершенно себя не окупила. Дело тут в том, что наряду с пакетами реального трафика система Freedom специально генерировала ложный трафик с целью затруднения работы органов разведки по мониторингу за пользователями сети Интернет. Весь почтовый трафик проходил через несколько серверов, которые были подключены к системе Freedom и автоматически шифровали проходящий через них трафик.
В виду этих прискорбных событий, к нашему большому сожалению, нам пришлось заняться поисками других вариантов защиты переписки от третьих лиц. Поэтому далее мы приводим информацию о том, какие способы сохранения анонимности и тайны нашей переписки от третьих лиц мы смогли найти.
Как уже говорилось выше, при отправке почтового сообщения через бесплатный почтовый сервер он автоматически вносит в реквизиты сообщения IP адрес отправителя сообщения. Само собою понятно, что при использовании почтовых серверов Российских поставщиков Интернет услуг задача третьих лиц по контролю за вашим почтовым трафиком максимально упрощается. Тут вообще делать ничего не надо. Сиди себе за компьютером, да просматривай сообщения, которые отправляют ничего не подозревающие абоненты сети Интернет.
Многие заводят себе адреса на бесплатных почтовых Интернет серверах типа mail.ru или зарубежных типа hotmail.com или yahoo.com. Конечно, использование таких серверов и особенно зарубежных затрудняет работу по мониторингу вашего почтового трафика, но не делает ее невозможной. Достаточно настроить на ваш IP адрес программу под названием traffic sniffer и любое заинтересованное лицо, будь то хакер или государственный служащий, без труда сможет прочитать все ваши сообщения, отправляемые через такие сервера. И, кстати, он сможет не только прочитать ваши сообщения, но и вычислить имя пользователя и пароль, применяемый вами для соединения с почтовым сервером.
В ответ этой угрозе был специально разработан новый стандарт под названием SSL (secure socket layer), который позволяет шифровать почтовый и Интернет трафик при соединении с почтовыми и другими серверами. SSL - это замочек желтого цвета, который можно иногда увидеть в нижней части вашего браузера при соединении с некоторыми сайтами, которые предлагают опцию надежного ввода информации, защищенной от третьих лиц, например, при совершении покупки через Интернет, когда вам предлагается через специальную форму ввести номер вашей кредитной карточки.
Так вот, самое интересное состоит в том, что стандарт SSL был также разработан и для почтовых серверов и работает он таким образом, что при отправке и приеме почтового сообщения между вашим компьютером и почтовым сервером устанавливается зашифрованный канал связи, который шифрует не только ваши сообщения, но и всю прочую информацию, включая адрес вашего корреспондента, ваш IP адрес, имя пользователя и пароль для установки соединения с почтовым сервером.
Однако надо понимать, что это шифрование осуществляется только на первом этапе прохождения вашего сообщения, после чего оно идет открытым текстом. Если в качестве почтового сервера использовать зарубежный сервер, то лица, находящиеся в вашей стране (т.е. в России) и имеющие доступ к вашему трафику, уже не смогут вычислить, куда и какие сообщения вы отправляете или откуда вы их получаете. Все, что они могут увидеть за экранами своих компьютеров, так это факт установления соединения между вашим компьютером и зарубежным сервером. В виду этого, естественно нет никакого смысла использовать для этой цели почтовые сервера Российских провайдеров (или Украинских, если вы находитесь на Украине) т.к. все знают о том, что они давно уже находятся под колпаком органов и вынуждены с ними сотрудничать по этим вопросам.
Поэтому мы начали поиск провайдеров почтовых ящиков, которые используют шифрованные каналы связи, а именно SSL.
В виду того, что большинство пользователей в странах СНГ оплачивают услуги Интернет в зависимости от наработанного в сети времени, т.е. поминутно, то самый большой интерес, конечно, представляют провайдеры, предлагающие почтовые адреса, доступ к которым осуществляется по протоколу POP-3 (прием) и SMTP (передача), т.е. вы набираете сообщение в режиме offline в такой программе, как Outlook Express или The Bat, после чего заходите на минутку в Интернет для того, чтобы отправить сообщение и опять отключиться от Интернета. Компании, предоставляющие услуги Интернет, конечно, не заинтересованы в том, чтобы их абоненты заходили в Интернет и сразу же выскакивали из него, как партизаны. Они хотели бы, чтобы пользователи сидели в Интернете часами, принося Интернет провайдерам хорошие доходы. Причина тут в том, что в России связь Интернет по сравнению с США дорогая. В США можно получить неограниченный доступ в Интернет всего за $20 в месяц!
Именно поэтому найти бесплатный адрес, работающий в режиме POP3 SMTP, очень даже непросто, но в то же время совсем несложно найти провайдера бесплатных электронных адресов с управлением через интерфейс вашего браузера. Их в Интернете буквально тысячи. Ведь при использовании почтового адреса с управлением через браузер клиент находится на сайте провайдера и на него с экрана монитора постоянно смотрят разнообразные баннеры, за показ которых провайдер бесплатных электронных адресов получает деньги от рекламодателей.
Ту же самую картину, но только в меньших масштабах можно наблюдать в отношении компаний, предлагающих услуги бесплатного электронного адреса, защищенного протоколом SSL.
Среди провайдеров бесплатных адресов с управлением через браузер и шифрованием по протоколу SSL можно назвать следующих:
• http://mail2web.com/
• http://www.ziplip.com/
Все вышеназванные провайдеры предоставляют бесплатные электронные адреса, однако они имеют один существенный недостаток: для использования этих почтовых серверов необходимо длительное время проводить в сети Интернет как для чтения поступивших сообщений, так и для составления исходящих сообщений. Кроме того, для тех, кто ведет большую переписку через Интернет, неудобно держать всю свою корреспонденцию на удаленном сервере. Тут уже не сможешь сортировать сообщения и разбивать их по разным папкам так, как это удобно делать в почтовой программе Microsoft Outlook.
В виду этих неудобств мы поставили перед собой задачу найти провайдера бесплатной почты, защищаемой SSL, но... так и не нашли. Мы обыскали весь Интернет, спрашивали в разных конференциях и выяснили, что никто не хочет предоставлять такие услуги бесплатно по протоколу POP-3 SMTP.
В принципе понятно, что ничего бесплатного в этом мире не бывает.
Поэтому нам пришлось разбираться с условиями провайдеров, предоставляющих платные услуги электронной почты по протоколу POP-3 SMTP и шифрованием с помощью стандарта SSL.
После тщательных поисков мы остановились примерно на десяти разных провайдерах. Затем мы начали сопоставлять условия, на которых они предлагали услуги своих серверов с запрашиваемыми ими ценами. К сожалению, мы не могли всерьез рассматривать предложения Российских провайдеров в виду их зависимости от государственных служб по контролю за Российским Интернетом.
В результате, мы остановились на компании, специализирующейся на распространении среди пользователей Интернета информации о компьютерной безопасности (адрес в Интернете: http://www.cotse.com) и заодно предлагающей для своих членов услуги по отправке/приему защищенной от возможного перехвата электронной почты пользователя с помощью стандарта SSL. Стоит у них эта услуга $5.95 в месяц. Это конечно не бесплатный электронный адрес, но на данный момент это наиболее дешевый вариант, который мы смогли найти в Интернете. Другие же провайдеры подобных услуг запрашивают за доступ к почте через SSL до $30 в месяц или свыше $100 в год.
Внимание! Мы все-таки сумели найти провайдера, предоставляющего бесплатные электронные адреса в формате POP без необходимости проводить в сети много времени. Это: https://www.privacyx.com. Эта служба предоставляет в пользование бесплатные электронные адреса в режиме POP. При использовании этого сервиса рекомендуется применять почтовую клиентскую программу Outlook Express.
Основными чертами этой системы являются:
К сожалению единственным недостатком этого сервиса является отсутствие шифрования по стандарту SSL между компьютером пользователя и почтовым сервером. Поэтому если вы хотите защитить вашу переписку от чекистов, то вам придется шифровать свои сообщения и высылать их только тем из ваших корреспондентов, кто также подключился к этому сервису. А если он не подключился? Что тогда? Тогда чекисты смогут читать ваши сообщения. Из этого можно сделать вывод, что сервис службы privacyx ничем не лучше использования программы PGP на обычном почтовом адресе. Ведь для того, чтобы шифровать переписку с помощью PGP на компьютере вашего корреспондента также должна быть установлена программа PGP. Все таки бесплатный SSL пока еще никто не предлагает.
Для тех, у кого много свободного времени и кто не хочет заплатить ни копейки, есть еще один вариант анонимной переписки. Это - анонимные римейлеры (anonymous remailers), с помощью которых можно организовать отправку/получение сообщения через несколько анонимных серверов таким образом, что сообщение, составленное специальным образом и зашифрованное публичным ключом анонимного сервера, проходит через несколько серверов, где оно автоматически расшифровывается и доставляется адресату в открытом виде.
Надо отметить, что использовать анонимные римейлеры непросто в виду того, что сообщения, высылаемые таким образом, должны быть составлены в специальном формате. К счастью для решения этой проблемы было создано несколько программ, облегчающих труд тех, кто предпочитает отправлять свои сообщения через римейлеры. Одну из таких программ под названием JBN можно скачать по следующему адресу в Интернете: http://www.skuz.net/potatoware/jbn2/
Но эта программа все таки не сможет решить все проблемы, в виду чего использовать анонимные римейлеры гораздо труднее, чем обычный почтовый ящик по протоколу POP-3 SSL. Одной из самых серьезных проблем является необходимость постоянной проверки работоспособности серверов, работающих в режиме анонимного римейлера. Рекомендуется проверять эти сервера каждые 6-12 часов и все равно после отправки сообщения нет твердой гарантии того, что ваше сообщение достигло адресата т.к. при отрицательном результате отправленное сообщение не вернется обратно на ваш компьютер, как это обычно делается в протоколе POP3 SMTP. Поэтому при использовании такого способа связи много времени всегда будет уходить на постоянное тестирование системы анонимных римейлеров, иначе надежность связи значительно ухудшится.
Однако, с другой стороны, преимуществом этого способа является тот факт, что анонимные римейлеры при правильном использовании действительно обеспечивают почти 100% надежность того, что ваш реальный электронный адрес не смогут вычислить даже органы разведки.
Внимание! Последнее издание авторитетного самоучителя доктора Ху по компьютерной безопасности, материалы из которого можно встретить в настоящей статье, рекомендует использовать для безопасной отправки корреспонденции через электронную почту программу Quicksilver, которая поддерживает создание анонимных псевдонимов ("нимов"). Эта программа проста в изучении и использует для отправки сообщений римейлеры системы Mixmaster, которые считаются более надежными, чем римейлеры Cypherpunk. Данную программу можно скачать по следующему адресу в Интернете: http://quicksilver.skuz.net/
Согласно рекомендациям доктора Ху наиболее эффективный, но дорогостоящий способ сохранения абсолютной анонимности во время работы в Интернете состоит в использовании шифрования типа SSH. Вот как этот способ описывается доктором Ху:
Используйте шифрование по стандарту SSH. SSH - это тип шифрования, гарантирующий, что вся информация, уходящая с вашего компьютера, автоматически шифруется. Для эффективного использования этого способа вам необходимо подключиться, по крайней мере, к двум удаленным серверам. Один из вариантов такого подключения - это услуги компании Anonymizer.com. На сайте этой компании объясняется процедура скачивания и установки рекомендуемой этой компанией 5-ой версии программы F-secure. Существует несколько других коммерческих версий SSH, включая бесплатные, но я предпочитаю именно программу, рекомендуемую этой компанией т.к. ее очень легко использовать.
Насколько я понимаю можно найти много других сайтов, предлагающих шифрование по стандарту SSH, но для получения доступа к ним необходимо зарегистрировать свой домен, с помощью чего я смогу использовать их последовательно, таким образом, скрывая своего местного Интернет провайдера (и чекиста, который там следит за вашим трафиком) от удаленного провайдера.
Последняя информация:
Можно назвать еще двух провайдеров бесплатных почтовых ящиков, которые можно использовать для приватной переписки:
• http://safe-mail.net/
• http://www.mailvault.com/
Мы не будем здесь углубляться в обсуждение недостатков и преимуществ этих двух провайдеров. Единственный момент, на который надо обратить внимание, это то, что не стоит доверять алгоритмам шифрования, предлагаемым любым почтовым сервером, несмотря на то, бесплатный он или нет. Если вы действительно хотите скрыть вашу переписку от третьих лиц, то перед тем, как размещать текст сообщения в окошке почтового сервера, зашифруйте его на своем компьютере с помощью бесплатной программы PGP и тогда не придется терзать себя сомнениями.
Попробуем перечислить основные способы маскировки IP адреса, которые нам известны:
Последняя информация:
Появились новые провайдеры, позволяющие скрыть свой IP адрес от третьих лиц:
• JAP http://anon.inf.tu-dresden.de/index_en.html
• Metropipe http://www.metropipe.net/index.shtml
Первый бесплатный, а второй платный.
Если вам требуется более сильная степень защиты, то рекомендуется использовать следующие два механизма:
• http://mixminion.net/
• http://mixmaster.sf.net/