Статья Вера и контейнер (Часть "Я устал копировать"). Требования безопасности и меры предосторожности, касающиеся скрытых томов.

[ЗашелТолькоПосмотреть]

Требования безопасности и меры предосторожности, касающиеся скрытых томов​

Если вы используете

Чтобы увидеть нужно авторизоваться или зарегистрироваться.

, то обязаны соблюдать описанные здесь требования безопасности и меры предосторожности.
Отказ от ответственности: мы не гарантируем, что эта глава содержит списоквсех проблем, связанных с безопасностью, и атак, которые может предпринять вашнеприятель, чтобы получить доступ к данным, хранящимся в скрытом томе TrueCrypt, или ограничить возможность VeraCryptнадёжно хранить такие данные и обеспечивать правдоподобное отрицание наличия шифрования.

• Если неприятель имеет доступ к (размонтированному) тому VeraCrypt в нескольких точках в течение достаточно длительноговремени, он может определить, какие сектора тома изменяются. Если вы изменяете содержимое
  Чтобы увидеть нужно авторизоваться или зарегистрироваться.
  (например, создаёте/копируете новые файлы в скрытый том или изменяете, удаляете, переименовываете,перемещаете файлы в скрытом томе и т. п.), содержимое секторов (зашифрованный текст) в области, занимаемой скрытым томом,изменяется. Узнав пароль от внешнего тома, неприятель может потребовать объяснений, почему изменились эти сектора.Если вы не дадите правдоподобного объяснения, это может послужить поводом заподозрить наличие скрытого тома внутривнешнего тома.
  
  Имейте в виду, что случаи, подобные вышеописанному, также могут возникать в следующих ситуациях:
  • Файловая система, в которой у вас хранится контейнер VeraCrypt на основе файла, была дефрагментирована, и копияконтейнера VeraCrypt (или его фрагмента) остаётся в свободном пространстве хост-тома (в дефрагментированнойфайловой системе). Чтобы это предотвратить, сделайте одно из следующего:
    • вместо тома VeraCrypt на основе файла используйте том на основе раздела/устройства;
    • надёжно очищайте (затирайте) свободное пространство в хост-томе (в дефрагментированной файловой системе)после дефрагментации. В Windows это можно делать с помощью бесплатной утилиты Microsoft
      Чтобы увидеть нужно авторизоваться или зарегистрироваться.
      . В Linux длятой же цели подойдёт утилита shred из пакета GNU coreutils;
    • не дефрагментируйте файловые системы, в которых у вас хранятся тома VeraCrypt.
  • Том VeraCrypt на основе файла-контейнера хранится в журналируемой файловой системе (например, в NTFS).При этом копия контейнера VeraCrypt (или его фрагмента) может оставаться в хост-томе. Чтобы это предотвратить,сделайте одно из следующего:
    • вместо тома VeraCrypt на основе файла используйте том на основе раздела/устройства;
    • храните контейнер в нежурналируемой файловой системе (например, в FAT32).
  • Том VeraCrypt находится на устройстве или в файловой системе, где применяется механизм wear-leveling –равномерное распределение износа блоков (например, флеш-накопитель SSD или USB-флешка). В такомустройстве может оставаться копия (или её фрагмент) тома VeraCrypt. Поэтому не храните скрытые томав таких устройствах/файловых системах. Подробнее о распределении износа см. в разделе
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    , глава
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    .
  • Том VeraCrypt находится на устройстве или в файловой системе, где сохраняются данные (или на устройстве/в файловойсистеме под управлением или мониторингом системы/устройства, сохраняющих данные) (например, значениетаймера или счётчика), которые можно использовать для того, чтобы определить, что один блок был записанраньше, чем другой, и/или чтобы определить, сколько раз блок был записан/прочитан. Поэтому не хранитескрытые тома в таких устройствах/файловых системах. Выяснить, сохраняет ли устройство/система такие данные,можно в прилагаемой к устройству/системе документации или связавшись с поставщиком/производителем.
  • Том VeraCrypt находится на устройстве, склонном к износу (где есть возможность определить, что один блокбыл записан/считан больше раз, чем другой). Поэтому не храните скрытые тома в таких устройствах/файловыхсистемах. Выяснить, предрасположено ли устройство к износу, можно в документации на это устройство илиу его поставщика/производителя.
  • Вы делаете резервную копию содержимого скрытого тома, клонируя несущий его хост-том, или создаёте новыйскрытый том, клонируя его хост-том. Поэтому так поступать нельзя. Следуйте инструкциям в главе
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    и в разделе
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    .

• При шифровании раздела/устройства, внутри которого вы намереваетесь создать скрытый том, убедитесь, чтовыключено быстрое форматирование.
• В среде Windows убедитесь, что вы не удаляли никаких файлов в томе, внутри которого собираетесь создатьскрытый том (при сканировании карты кластеров удалённые файлы не определяются).
• В среде Linux или Mac OS X (macOS), если вы собираетесь создать скрытый том внутри тома VeraCrypt на основефайла, убедитесь, что этот том – не на основе разрежённого (sparse) файла (Windows-версия VeraCrypt этопроверяет самостоятельно, не позволяя создавать скрытые тома внутри разрежённых файлов).
• Когда скрытый том смонтирован, операционная система и сторонние приложения могут выполнять запись в нескрытыетома (обычно в незашифрованный системный том) незашифрованной информации о данных, хранящихся в скрытом томе(например, имена и расположение файлов, к которым недавно было обращение, базы данных, созданные утилитамииндексирования файлов, и др.), самих данных в незашифрованном виде (временные файлы и т. п.), незашифрованнойинформации о файловой системе в скрытом томе (что может быть использовано, например, для идентификации файловойсистемы и определения, является ли файловая система той, что во внешнем томе), пароля/ключа для скрытого томаили других конфиденциальных данных. Поэтому необходимо соблюдать следующие требования и предостережения:
  • Windows: Создайте скрытую операционную систему (о том, как это сделать, см. раздел
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    ) и монтируйте скрытые тома только тогда, когда запущена скрытая операционная система.Примечание. Когда работает скрытая операционнаясистема, VeraCrypt гарантирует, что все локальные незашифрованные файловые системы и нескрытые тома VeraCryptдоступны только для чтения (то есть никакие файлы не могут быть записаны в такие файловые системы или томаVeraCrypt).
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    Запись данных в файловые системы разрешена внутри
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    . В качестве альтернативного варианта, если применение скрытой операционнойсистемы невозможно, используйте "live-CD" с системой Windows PE (целиком хранящейся на CD/DVD и оттуда жезагружающейся), гарантирующей, что все данные, записываемые в системный том, записываются в RAM-диск (диск в ОЗУ).Монтируйте скрытые тома только тогда, когда работает система с такого "live-CD" (если нельзя использоватьскрытую операционную систему). Кроме того, в течение такого "live-CD"-сеанса в режиме чтения-записи можномонтировать только файловые системы, расположенные в скрытых томах VeraCrypt (внешние или незашифрованныетома/файловые системы необходимо монтировать в режиме только для чтения, либо они не должны монтироваться/бытьдоступными вовсе). В противном случае вы должны удостовериться, что во время "live-CD"-сеанса приложенияи операционная система не выполняют запись никаких конфиденциальных данных (см. выше) в нескрытые тома/файловые системы.
  • Linux: Загрузите или создайте версию "live-CD" вашей операционной системы(то есть live-систему Linux, целиком хранящуюся на CD/DVD и оттуда же загружающуюся), это гарантирует, чтолюбые записанные в системный том данные записаны в RAM-диск (диск в ОЗУ). Монтируйте скрытые тома только тогда,когда запущена такая "live-CD"-система. В течение сеанса только файловые системы внутри скрытых томов VeraCryptмогут быть смонтированы в режиме чтения-записи (внешние или незашифрованные тома/файловые системы должнымонтироваться как только для чтения или оставаться вовсе несмонтированными/недоступными). Если вы не можетесоблюсти это требование и не в состоянии гарантировать, что приложения и операционная система не выполняютзапись никаких конфиденциальных данных (см. выше) в нескрытые тома/файловые системы, вы не должны монтироватьили создавать скрытые тома VeraCrypt в среде Linux.
  • Mac OS X: Если вы не гарантируете, что приложения и операционная системане выполняют запись никаких конфиденциальных данных данных перечисленных выше критических типов в нескрытыетома (или файловые системы), монтировать или создавать скрытые тома VeraCrypt в среде Mac OS X нельзя.
• Когда смонтирован внешний том с включённой
  Чтобы увидеть нужно авторизоваться или зарегистрироваться.
  (см. раздел
  Чтобы увидеть нужно авторизоваться или зарегистрироваться.
  ), необходимо следовать тем же требованиям и предостережениям, что ипри монтировании скрытого тома (см. выше). Причина этого в том, что из операционной системы может "утечь"пароль/ключ для скрытого тома в нескрытый или незашифрованный том.
• Если вы используете операционную систему, находящуюся внутри скрытоготома (см. раздел
  Чтобы увидеть нужно авторизоваться или зарегистрироваться.
  ), то в дополнение к вышесказанному необходимо соблюдать следующие требованиябезопасности и предостережения:
  • Следует использовать обманную операционную систему так часто, как вы пользуетесь своим компьютером.В идеале её следует использовать всегда, когда не требуется задействовать засекреченные данные.В противном случае может пострадать правдоподобность отрицания наличия скрытой операционной системы(если вы сообщили неприятелю пароль от обманной операционной системы, он сможет выяснить, что этасистема использовалась не слишком часто, что может навести на мысль о существовании в компьютерескрытой операционной системы). Обратите внимание, что вы можете сохранять данные в разделе с обманнойсистемой в любой момент и без какого-либо риска повредить скрытый том (так как обманная системане установлена во внешнем томе).
  • Если операционную систему требуется активировать, это нужно сделать до того, как она будет клонирована(клонирование это часть процесса создания скрытой ОС — см. раздел
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    ), а скрытая операционная система (то есть клон) никогда не должна бытьактивирована повторно. Причина в том, что скрытая операционная система создана путём копирования содержимогосистемного раздела в скрытый том (поэтому если операционная система не активирована, скрытая операционнаясистема также будет неактивированной). В случае активации или повторной активации скрытой операционной системы,дата и время активации (и другая информация) могут быть зафиксированы на сервере Microsoft (и в скрытойоперационной системе), но не в
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    . Поэтому если неприятель получит доступ к сохранённым на сервере даннымили перехватит ваш запрос серверу (и если вы сообщили ему пароль от обманной операционной системы), он сможетвыяснить, что обманная операционная система была активирована (или повторно активирована) в другое время,а это способно навести на мысль о существовании в компьютере скрытой операционной системы.
    По аналогичным причинам любое ПО, требующее активации, должно быть установлено и активировано до того,как вы приступите к созданию скрытой операционной системы.
  • Когда вам нужно завершить работу скрытой операционной системы и запустить обманную систему, неперезагружайте компьютер. Вместо этого завершите работу системы или переведите её в состояние гибернации (сна),после чего оставьте компьютер выключенным в течение хотя бы нескольких минут (чем дольше, тем лучше), итолько после этого включите его и загрузите обманную систему. Это требуется, чтобы очистить память, в котороймогут содержаться конфиденциальные данные. Подробности см. в разделе
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    , глава
    Чтобы увидеть нужно авторизоваться или зарегистрироваться.
    .
  • Компьютер может быть подключён к сети (в том числе к Интернету), только когда запущена обманная операционнаясистема. Когда выполняется скрытая ОС, компьютер не следует подключать ни к какой сети, включая Интернет(один из самых надёжных способов гарантировать это – отключить от ПК кабель сетевого адаптера, если таковойимеется). Обратите внимание, что при загрузке данных с/на удалённый сервер, на сервере обычно фиксируютсядата и время соединения и другая информация. Разного сорта данные также протоколируются и в операционнойсистеме (например, данные автоматического обновления Windows, отчёты приложений, протоколы ошибок и т. п.).Таким образом, если неприятель получил доступ к хранящимся на сервере данным или перехватил ваш запрос серверу(и если вы сообщили ему пароль от обманной операционной системы), он сможет узнать, что соединение быловыполнено не из обманной ОС, и это способно навести его на мысль о существовании в вашем компьютере скрытойоперационной системы.
    
    Также имейте в виду, что аналогичные проблемы возможны, если у вас в среде скрытой операционной системыесть какие-либо файловые системы с общим доступом через сеть (вне зависимости от того, удалённая файловаясистема или локальная). Поэтому во время работы скрытой операционной системы никаких файловых систем с общимдоступом по сети (в любом направлении) быть не должно.
    
    
  • Любые действия, которые могут быть обнаружены неприятелем (или любые действия, модифицирующие какие-либоданные вне смонтированных скрытых томов), должны выполняться, только когда работает обманная операционнаясистема (если только у вас нет альтернативного правдоподобного объяснения, например, использование системына "live-CD" для выполнения таких действий). Скажем, параметр Автоматический переход на летнее время и обратноможно включать только в обманной операционной системе.
  • Если BIOS, EFI или любой другой компонент журналирует выключения питания или любые другие события, которыемогут свидетельствовать об использовании скрытого тома/системы (например, путём сравнения таких событий ссобытиями в протоколе Windows), вы обязаны либо отключить подобное журналирование, либо обеспечить надёжноеудаление журнала после каждого сеанса (или иначе избежать подобной проблемы соответствующим образом).

 

[0x42]

Чот ты не хило заморочился.)
Можно было создать одну тему и ссылки приложить с описанием.)
Много текста, но пусть будет может кто-что узнает нового, тулза хорошая, она на линукс вроде тоже есть...

 

[ЗашелТолькоПосмотреть]

Чот ты не хило заморочился.)
Можно было создать одну тему и ссылки приложить с описанием.)
Много текста, но пусть будет может кто-что узнает нового, тулза хорошая, она на линукс вроде тоже есть...

Долг общества - заботиться о старшем поколении.