Шифрование,
или Как превратить компьютер в бесполезный кусок железа для изъявшего/укравшего его злоумышленника
Представь ситуацию: сидишь дома или в офисе, работу работаешь. И тут вламываются ребята в характерных спортивных деловых костюмах и забирают твой незашифрованный компьютер. Или пошел в кинотеатр на пару часов, возвращаешься домой, а там побывал «ворюга обыкновенный» и украл незашифрованный ноутбук вместе с другими ценностями.
Чем это грозит? Ты потерял устройство, которое стоит денег. Это неприятно, но не критично. Главное то, что отныне всей информацией, которая хранилась на компьютере, против твоей воли владеют третьи лица. И они могут делать с ней все что угодно. (А теперь включи фантазию и подумай, что это может означать).
Кстати, пароль, который ты вводишь на красивом экране при включении компьютера, – не всегда про безопасность. Это защита от совсем уж примитивных воришек. Загугли «забыл пароль от Windows/MacOS/Linux» и увидишь, как за пару минут злоумышленники доберутся до твоих данных (файлов, мессенджеров, cookies браузеров и т.д.). Возможно, у тебя активировано шифрование BitLocker и TPM-модуль (Trusted Platform Module, или доверенный платформенный модуль), поэтому пароль ты вводишь на красивом экране, но это на самом деле тоже не совсем безопасно. Поэтому читай дальше.
1. В чем суть шифрования компьютера
Шифрование защищает твои данные только в случае физических атак: изъятия или кражи. Шифрование не защищает тебя от множества вирусов, кейлоггеров, скринсейверов, слежки интернет-провайдерами и корпорациями в рекламных целях, а также других угроз, связанных с использованием различных программ и интернета. Про это мы еще будем говорить
Один из самых частых аргументов, почему люди отказываются от шифрования, звучит так: «У меня старенький слабенький компьютер, он и без того тормозит, а шифрование вообще сделает его неработоспособным». Лайфхак: замени старый жесткий диск HDD на SSD. Цена вопроса – $25, а стоимость хорошего 256-гигабайтного SSD – $50-70. Практика показывает, что после установки SSD и активации полнодискового шифрования старый медленный компьютер работает в разы быстрее, чем когда он был абсолютно новым, лет 5-10 назад. Если сомневаешься, подойдет ли тебе SSD и целесообразно ли вообще его устанавливать, проконсультируйся с сыном маминой подруги или знакомым специалистом.
Пожалуйста, не забывай делать резервные копии данных, особенно перед началом работы с шифрованием. Это очень важный момент. Поленишься сделать бекап – можешь потерять информацию. Увы.
2. С помощью чего шифровать компьютер на Windows. Бесплатно, без регистрации и СМС
Первый – VeraCrypt
Это бесплатная программа с открытым исходным кодом, которая подвергается независимому аудиту, регулярно получает обновления и потому считается очень надежной: ошибки исправляются, в отличие от давно устаревшей TrueCrypt. Если не веришь аудиторам, разбираешься в программировании и есть много свободного времени, можешь даже сам почитать код VeraCrypt и сделать вывод о том, что там нет функции «автоматически отправлять ключи шифрования товарищу майору».
А еще VeraCrypt, начиная с версии 1.24, умеет шифровать ключи и пароли в ОЗУ (оперативная память), что многократно усложняет довольно простую и часто успешную DMA-атаку на комьютер. Если из прошлого предложения ничего не понял, переформулирую: я настоятельно рекомендую активировать этот пункт в настройках программы, особенно если есть реальный риск целевой физической атаки на включенный компьютер. Где искать: "Настройки" - "Параметры" - "Еще настройки" - "Быстродействие" - "Шифровать ключи и пароли в ОЗУ".
И это одна из причин, почему стоит регулярно обновлять ПО компьютера, – ведь в старых версиях программы такой функции не было. Да и в целом VC имеет множество различных параметров, которые можно настроить исходя из своих представлений о безопасности (либо оставить настройки по умолчанию, если боишься все сломать).
Минусы VeraCrypt:
- Она немного менее стабильна по сравнению с BitLocker. Вероятность того, что что-то в процессе настройки и шифрации пойдет не так, примерно 1 к 10000. Но если активация шифрования прошла гладко, программа будет работать, как родная. В любом случае перед началом полнодискового шифрования рекомендую сделать бекап всей важной информации, чтобы в случае чего не потерять данные навсегда.
- Здесь пока невозможно создать физический ключ для запуска компьютера. То есть ты должен держать пароли для открытия компьютера только в своей голове. А это сегодня довольно-таки большой недостаток в контексте авторитарной страны, потому что появляются вот такие новости:
Еврорадио
«На предварительном следствии Николай Дедок рассказал, что во время задержания в квартире одновременно были выбиты входные двери и двери на балконе. Шестеро милиционеров (трое из них были в штатском) положили его на пол, били ногами, требовали назвать пароли от ноутбука, телефона. Он отказывался, пока силовики не стали его душить подушкой».
Пошаговая инструкция, как полностью зашифровать компьютер, чтобы перед его включением каждый раз нужно было вводить два пароля (пароль и PIM), доступна здесь или здесь. Если не нравятся эти инструкции, поищи другую на свой вкус – в интернете такого добра хватает. Но в любом случае обрати особое внимание на опцию «использовать PIM», когда дойдешь до придумывания пароля. Это слишком важный пункт, чтобы оставлять его по умолчанию, поверь. И придумай свою комбинацию цифр. Даже 484 выглядит в разы безопаснее, чем 485, которая установлена по умолчанию.
Тебе, жителю автократии, также стоит включить «Activate encryption of keys and passwords stored in RAM» в настройках программы и отключить все пограничные состояния своего Windows-компьютера: сон, гибернацию и быстрый запуск. Останется только два режима: либо компьютер включен, либо компьютер полностью выключен. Зачем это вообще нужно, хорошо написано здесь.
Еще VeraCrypt позволяет создавать зашифрованные файловые контейнеры: видимые и скрытые, с возможностью правдоподобного отрицания их наличия. Почитать, как сделать такое чудо чудное, можно здесь, а посмотреть здесь. Если сделаешь все правильно, доказать наличие скрытого контейнера на устройстве будет невозможно. И открыть без созданного тобой файл-ключа (для контейнеров его уже можно создавать, в отличие от полного шифрования компьютера), который хранился на «случайно» утерянной флешке во время того, как пилили дверь – невозможно.
Во-первых, в скрытый контейнер ты легко можешь поместить и вовсе независимую виртуальную ОС, следы деятельности в ней не будут видны в твоей основной операционной системе, ключи от которой ты можешь выдать в случае чрезмерного давления. Только не забудь продумать, как в случае чего объяснить товарищам в спортивных деловых костюмах наличие VirtualBox в основной ОС.
Во-вторых, в контейнерах VeraCrypt можно хранить и оттуда запускать портативные версии программ. Очень вероятно, что следы их работы не просочатся в твою основную ОС. У многих свободных программ с открытым исходным кодом есть портативные версии.
Второй вариант шифрования Windows – BitLocker
Это программа, созданная Microsoft и по умолчанию установленная во все современные версии Windows, кроме самой дешевой Windows Home. У нее есть несколько плюсов:
+ BitLocker пользоваться чуть-чуть легче, чем VeraCrypt. Но это значит, что и инфраструктура защиты твоих данных в целом будет слабее.
+ С помощью BitLocker можно создать USB-ключ из флешки, при утере которой в твой компьютер будет очень сложно (если вовсе возможно) попасть даже тебе самому. А в случае появления незваных гостей малюсенькую флешку будет очень легко «потерять». Пошаговая инструкция: как настроить такую схему защиты. Если боишься, что флешку можешь случайно потерять или сломать, есть хорошая новость: их можно создать бесконечное множество, а копии хранить подальше от места, где может быть проведен обыск – хоть в условной Новой Зеландии, где уж точно никто не будет искать.
Но минусов у BitLocker больше, чем плюсов:
- В целом в среде людей, которые действительно заботятся о собственной цифровой безопасности, BitLocker не жалуют. Вот здесь хороший разбор, почему эта защита скорее от школьников, чем от хороших специалистов.
- По умолчанию BitLocker использует TPM, что скорее про удобство, нежели про безопасность (VeraCrypt именно потому и не дружит с TPM). Так что запомни: если решишь все же использовать BitLocker, TPM нужно отключать вручную. Здесь инструкция, как это сделать.
- Зашифровать весь диск, включая браузеры, мессенджеры, историю пользования компьютера, можно только если у тебя установлена версия Windows PRO. В более дешевых версиях ОС с помощью BitLocker можно шифровать только папки, а в Windows Home Edition программа и вовсе недоступна.
- Не шифрует ключи в оперативной памяти, откуда их довольно легко извлечь при физическом доступе злоумышленника ко включенному компьютеру. В то время как в VeraCrypt такая настройка есть. Поэтому зашифрованный BitLocker’ом компьютер нужно вообще всегда выключать, даже если в публичном месте или переполненном гостями доме отходишь от него на минуточку.
Обязательно отключи все пограничные состояния своего зашифрованного компьютера: сон, гибернацию и быстрый запуск. Останется только два режима: либо компьютер включен, либо компьютер полностью выключен. Зачем это вообще нужно, хорошо написано здесь.
3. Шифрование MacOS
Хорошая новость: в Apple все же встроен довольно надежный шифровальщик, но нужно уделить 5-10 минут, чтобы его активировать и сделать пару дополнительных настроек.
Во-первых, тебе нужно активировать встроенный шифровальщик FileVault (FileVault 2). Вот инструкция от Apple, как это сделать.
На сторонних серверах могут быть поломки, утечки, уязвимости, какая-то особая небезопасная фишечка, либо кто-то вынудит раскрыть твои данные как в этой новости: Трамп заставил Apple тайно предоставить данные как минимум двух политиков. Лучше создай локальный ключ восстановления и сохрани его в надежном месте.
Во время активации и настройки нужно будет выбрать способ снятия защиты с диска и сброса пароля на тот случай, если ты забудешь свой пароль. Настоятельно не рекомендую доверять в этом деле бекапу на iCloud, потому что отдавать свои самые важные данные на аутсорс огромным корпорациям, где ты не сможешь их контролировать, – очень плохая идея.
На сторонних серверах могут быть поломки, утечки, уязвимости, какая-то особая небезопасная фишечка, либо кто-то вынудит раскрыть твои данные как в этой новости: Трамп заставил Apple тайно предоставить данные как минимум двух политиков. Лучше создай локальный ключ восстановления и сохрани его в надежном месте.
Всегда, когда отходишь от компьютера в месте, где до него могут физически добраться недоброжелатели, выключай его! Потому что ключ хранится в оперативной памяти, откуда его легко извлечь.
4. Шифрование Linux
VeraCrypt, про которую мы много говорили выше, в шифровании Windows, доступна также и для Linux. Подумай, возможно, тебе все же стоит воспользоваться этим способом дополнительной защиты или хотя бы сделать скрытые контейнеры для конфиденциальных вещей?
5. Как человеческий фактор играет против тебя и что с этим делать
1. Незашифрованный компьютер. Ни о какой безопасности без шифрования мы не можем говорить. Я зря написал столько текста, а ты зря потратил столько времени на его чтение. Я понимаю, что когда репрессивная машина обнаружит зашифрованные данные, это резко увеличит вероятность разного рода воздействия на тебя. Однако и ты должен понимать, что сегодня в новостях таких, как ты, слишком много – возможно, твой компьютер отправят на экспертизу в последнюю очередь, после тех, кто не позаботился о своей цифровой безопасности. Поэтому следует хотя бы попытаться усложнить жизнь злоумышленникам.
2. Оставил включенным компьютер в небезопасном месте, где до него могут физически добраться недоброжелатели? Считай, принес ключи от своих данных на блюдечке.
Только выключенный зашифрованный компьютер – это практически неуязвимый компьютер. Включенный при непрошенных гостях компьютер, даже если он зашифрован, – уязвимый компьютер.
4. Зашифровал, но поставил слабенький пароль? Или вводишь свой суперкрутой пароль под камерами в кафешке? Никакого толку от такого шифрования, так и знай. Кстати, поговаривают, что самый разыскиваемый ФБР киберпреступник использовал кличку своего кота в качестве пароля дешифрования: Chewy123. Представляешь?
Поэтому давай про пароли поговорим отдельно в следующей главе.