Шифрование,

или Как превратить компьютер в бесполезный кусок железа для изъявшего/укравшего его злоумышленника

Ты наверняка слышал про шифрование данных. Но, как показывают результаты соцопросов агентства «Одна Бабка Сказала», 95% пользователей пугаются даже упоминания этого слова. Давай я простым языком объясню, что это значит и как буквально за час без помощи сына маминой подруги можно зашифровать компьютер.

Представь ситуацию: сидишь дома или в офисе, работу работаешь. И тут вламываются ребята в характерных спортивных деловых костюмах и забирают твой незашифрованный компьютер. Или пошел в кинотеатр на пару часов, возвращаешься домой, а там побывал «ворюга обыкновенный» и украл незашифрованный ноутбук вместе с другими ценностями.

Чем это грозит? Ты потерял устройство, которое стоит денег. Это неприятно, но не критично. Главное то, что отныне всей информацией, которая хранилась на компьютере, против твоей воли владеют третьи лица. И они могут делать с ней все что угодно. (А теперь включи фантазию и подумай, что это может означать).
Кстати, пароль, который ты вводишь на красивом экране при включении компьютера, – не всегда про безопасность. Это защита от совсем уж примитивных воришек. Загугли «забыл пароль от Windows/MacOS/Linux» и увидишь, как за пару минут злоумышленники доберутся до твоих данных (файлов, мессенджеров, cookies браузеров и т.д.). Возможно, у тебя активировано шифрование BitLocker и TPM-модуль (Trusted Platform Module, или доверенный платформенный модуль), поэтому пароль ты вводишь на красивом экране, но это на самом деле тоже не совсем безопасно. Поэтому читай дальше.

Кстати, пароль, который ты вводишь на красивом экране при включении компьютера, – не всегда про безопасность. Это защита от совсем уж примитивных воришек. Загугли «забыл пароль от Windows/MacOS/Linux» и увидишь, как за пару минут злоумышленники доберутся до твоих данных (файлов, мессенджеров, cookies браузеров и т.д.). Возможно, у тебя активировано шифрование BitLocker и TPM-модуль (Trusted Platform Module, или доверенный платформенный модуль), поэтому пароль ты вводишь на красивом экране, но это на самом деле тоже не совсем безопасно. Поэтому читай дальше.

Как можно защититься от такой угрозы? Пожалуй, единственный простой и универсальный ответ – шифрование. Благо сегодня это работает быстро и бесплатно, а настроить его не сложнее, чем разобраться в базовых функциях Office или Photoshop (честно, дальше будут ссылки на пошаговые инструкции). А лучше всего эта защита работает тогда, когда твой компьютер выключен! Включенный при злоумышленниках компьютер = уязвимый компьютер.

1. В чем суть шифрования компьютера

Получить доступ к информации на незашифрованном компьютере можно, например, путем обхода пароля на красивом экране загрузки операционной системы. Или с помощью дисков восстановления. Или еще проще: достать жесткий диск из компьютера и с помощью бокса для внешних дисков, который продается в любом компьютерном магазине за $5-10, превратить его во флешку, с которой легко считывается и на которую так же легко записывается любая информация.
Если правильно настроить полнодисковое/дозагрузочное шифрование, то с вероятностью 90% (10% списываем на человеческий фактор, о котором ниже) злоумышленник, осуществивший физическую атаку, не получит доступ ни к каким твоим данным, пока не введет правильный пароль расшифровки. И этот пароль – единственный путь доступа к системе и информации в памяти компьютера.
Шифрование защищает твои данные только в случае физических атак: изъятия или кражи. Шифрование не защищает тебя от множества вирусов, кейлоггеров, скринсейверов, слежки интернет-провайдерами и корпорациями в рекламных целях, а также других угроз, связанных с использованием различных программ и интернета. Про это мы еще будем говорить

Шифрование защищает твои данные только в случае физических атак: изъятия или кражи. Шифрование не защищает тебя от множества вирусов, кейлоггеров, скринсейверов, слежки интернет-провайдерами и корпорациями в рекламных целях, а также других угроз, связанных с использованием различных программ и интернета. Про это мы еще будем говорить

Один из самых частых аргументов, почему люди отказываются от шифрования, звучит так: «У меня старенький слабенький компьютер, он и без того тормозит, а шифрование вообще сделает его неработоспособным». Лайфхак: замени старый жесткий диск HDD на SSD. Цена вопроса – $25, а стоимость хорошего 256-гигабайтного SSD – $50-70. Практика показывает, что после установки SSD и активации полнодискового шифрования старый медленный компьютер работает в разы быстрее, чем когда он был абсолютно новым, лет 5-10 назад. Если сомневаешься, подойдет ли тебе SSD и целесообразно ли вообще его устанавливать, проконсультируйся с сыном маминой подруги или знакомым специалистом.

Один из самых частых аргументов, почему люди отказываются от шифрования, звучит так: «У меня старенький слабенький компьютер, он и без того тормозит, а шифрование вообще сделает его неработоспособным». Лайфхак: замени старый жесткий диск HDD на SSD. Цена вопроса – $25, а стоимость хорошего 256-гигабайтного SSD – $50-70. Практика показывает, что после установки SSD и активации полнодискового шифрования старый медленный компьютер работает в разы быстрее, чем когда он был абсолютно новым, лет 5-10 назад. Если сомневаешься, подойдет ли тебе SSD и целесообразно ли вообще его устанавливать, проконсультируйся с сыном маминой подруги или знакомым специалистом.

Пожалуйста, не забывай делать резервные копии данных, особенно перед началом работы с шифрованием. Это очень важный момент. Поленишься сделать бекап – можешь потерять информацию. Увы.

Пожалуйста, не забывай делать резервные копии данных, особенно перед началом работы с шифрованием. Это очень важный момент. Поленишься сделать бекап – можешь потерять информацию. Увы.

2. С помощью чего шифровать компьютер на Windows. Бесплатно, без регистрации и СМС

Пользователям этой операционной системы рекомендую выбрать один из двух вариантов.

Первый – VeraCrypt

Это бесплатная программа с открытым исходным кодом, которая подвергается независимому аудиту, регулярно получает обновления и потому считается очень надежной: ошибки исправляются, в отличие от давно устаревшей TrueCrypt. Если не веришь аудиторам, разбираешься в программировании и есть много свободного времени, можешь даже сам почитать код VeraCrypt и сделать вывод о том, что там нет функции «автоматически отправлять ключи шифрования товарищу майору».

А еще VeraCrypt, начиная с версии 1.24, умеет шифровать ключи и пароли в ОЗУ (оперативная память), что многократно усложняет довольно простую и часто успешную DMA-атаку на комьютер. Если из прошлого предложения ничего не понял, переформулирую: я настоятельно рекомендую активировать этот пункт в настройках программы, особенно если есть реальный риск целевой физической атаки на включенный компьютер. Где искать: "Настройки" - "Параметры" - "Еще настройки" - "Быстродействие" - "Шифровать ключи и пароли в ОЗУ".

И это одна из причин, почему стоит регулярно обновлять ПО компьютера, – ведь в старых версиях программы такой функции не было. Да и в целом VC имеет множество различных параметров, которые можно настроить исходя из своих представлений о безопасности (либо оставить настройки по умолчанию, если боишься все сломать).

Минусы VeraCrypt:

- Она немного менее стабильна по сравнению с BitLocker. Вероятность того, что что-то в процессе настройки и шифрации пойдет не так, примерно 1 к 10000. Но если активация шифрования прошла гладко, программа будет работать, как родная. В любом случае перед началом полнодискового шифрования рекомендую сделать бекап всей важной информации, чтобы в случае чего не потерять данные навсегда.

- Здесь пока невозможно создать физический ключ для запуска компьютера. То есть ты должен держать пароли для открытия компьютера только в своей голове. А это сегодня довольно-таки большой недостаток в контексте авторитарной страны, потому что появляются вот такие новости:
«На предварительном следствии Николай Дедок рассказал, что во время задержания в квартире одновременно были выбиты входные двери и двери на балконе. Шестеро милиционеров (трое из них были в штатском) положили его на пол, били ногами, требовали назвать пароли от ноутбука, телефона. Он отказывался, пока силовики не стали его душить подушкой».

Еврорадио

«На предварительном следствии Николай Дедок рассказал, что во время задержания в квартире одновременно были выбиты входные двери и двери на балконе. Шестеро милиционеров (трое из них были в штатском) положили его на пол, били ногами, требовали назвать пароли от ноутбука, телефона. Он отказывался, пока силовики не стали его душить подушкой».


Еврорадио

В случае использования физического ключа (обычная малюсенькая MicroSD флешка) для открытия зашифрованного компьютера, ключ можно быстро сломать. Да, ты потеряешь доступ к своей информации, но и выбившие двери люди не доберутся до твоих документов, друзей и коллег. Это доступно в BitLocker, о котором чуть ниже.
Пошаговая инструкция, как полностью зашифровать компьютер, чтобы перед его включением каждый раз нужно было вводить два пароля (пароль и PIM), доступна здесь или здесь. Если не нравятся эти инструкции, поищи другую на свой вкус – в интернете такого добра хватает. Но в любом случае обрати особое внимание на опцию «использовать PIM», когда дойдешь до придумывания пароля. Это слишком важный пункт, чтобы оставлять его по умолчанию, поверь. И придумай свою комбинацию цифр. Даже 484 выглядит в разы безопаснее, чем 485, которая установлена по умолчанию.

Пошаговая инструкция, как полностью зашифровать компьютер, чтобы перед его включением каждый раз нужно было вводить два пароля (пароль и PIM), доступна здесь или здесь. Если не нравятся эти инструкции, поищи другую на свой вкус – в интернете такого добра хватает. Но в любом случае обрати особое внимание на опцию «использовать PIM», когда дойдешь до придумывания пароля. Это слишком важный пункт, чтобы оставлять его по умолчанию, поверь. И придумай свою комбинацию цифр. Даже 484 выглядит в разы безопаснее, чем 485, которая установлена по умолчанию.

Вся процедура не отнимет много времени. Возможно, час-полтора с учетом чтения инструкции. Сложность: минимальная; увеличение уровня стойкости к физическим атакам: +100500. Как дальше все будет работать: нажимаешь на кнопку включения компьютера, вводишь пароль и PIM. Компьютер будет загружаться каждый раз чуть медленнее, чем когда он был не зашифрован (+2-60 секунд, в зависимости от величины выбранного тобой PIM: чем больше его значение, тем дольше). Зато дальше, в процессе работы ты не заметишь разницы в скорости.
Тебе, жителю автократии, также стоит включить «Activate encryption of keys and passwords stored in RAM» в настройках программы и отключить все пограничные состояния своего Windows-компьютера: сон, гибернацию и быстрый запуск. Останется только два режима: либо компьютер включен, либо компьютер полностью выключен. Зачем это вообще нужно, хорошо написано здесь.

Тебе, жителю автократии, также стоит включить «Activate encryption of keys and passwords stored in RAM» в настройках программы и отключить все пограничные состояния своего Windows-компьютера: сон, гибернацию и быстрый запуск. Останется только два режима: либо компьютер включен, либо компьютер полностью выключен. Зачем это вообще нужно, хорошо написано здесь.

Еще VeraCrypt позволяет создавать зашифрованные файловые контейнеры: видимые и скрытые, с возможностью правдоподобного отрицания их наличия. Почитать, как сделать такое чудо чудное, можно здесь, а посмотреть здесь. Если сделаешь все правильно, доказать наличие скрытого контейнера на устройстве будет невозможно. И открыть без созданного тобой файл-ключа (для контейнеров его уже можно создавать, в отличие от полного шифрования компьютера), который хранился на «случайно» утерянной флешке во время того, как пилили дверь – невозможно.

Еще VeraCrypt позволяет создавать зашифрованные файловые контейнеры: видимые и скрытые, с возможностью правдоподобного отрицания их наличия. Почитать, как сделать такое чудо чудное, можно здесь, а посмотреть здесь. Если сделаешь все правильно, доказать наличие скрытого контейнера на устройстве будет невозможно. И открыть без созданного тобой файл-ключа (для контейнеров его уже можно создавать, в отличие от полного шифрования компьютера), который хранился на «случайно» утерянной флешке во время того, как пилили дверь – невозможно.

Правда, если будешь открывать файлы из скрытых контейнеров, то в операционной системе (истории), скорее всего, останутся следы наличия файлов. И тогда вряд ли получится отрицать существование скрытого контейнера, когда эту информацию из тебя будут очень настойчиво выбивать. Но есть два простых лайфхака, как защититься и от такого:

Во-первых, в скрытый контейнер ты легко можешь поместить и вовсе независимую виртуальную ОС, следы деятельности в ней не будут видны в твоей основной операционной системе, ключи от которой ты можешь выдать в случае чрезмерного давления. Только не забудь продумать, как в случае чего объяснить товарищам в спортивных деловых костюмах наличие VirtualBox в основной ОС.

Во-вторых, в контейнерах VeraCrypt можно хранить и оттуда запускать портативные версии программ. Очень вероятно, что следы их работы не просочатся в твою основную ОС. У многих свободных программ с открытым исходным кодом есть портативные версии.


Второй вариант шифрования Windows – BitLocker

Это программа, созданная Microsoft и по умолчанию установленная во все современные версии Windows, кроме самой дешевой Windows Home. У нее есть несколько плюсов:

+ BitLocker пользоваться чуть-чуть легче, чем VeraCrypt. Но это значит, что и инфраструктура защиты твоих данных в целом будет слабее.

+ С помощью BitLocker можно создать USB-ключ из флешки, при утере которой в твой компьютер будет очень сложно (если вовсе возможно) попасть даже тебе самому. А в случае появления незваных гостей малюсенькую флешку будет очень легко «потерять». Пошаговая инструкция: как настроить такую схему защиты. Если боишься, что флешку можешь случайно потерять или сломать, есть хорошая новость: их можно создать бесконечное множество, а копии хранить подальше от места, где может быть проведен обыск – хоть в условной Новой Зеландии, где уж точно никто не будет искать.

Но минусов у BitLocker больше, чем плюсов:

- В целом в среде людей, которые действительно заботятся о собственной цифровой безопасности, BitLocker не жалуют. Вот здесь хороший разбор, почему эта защита скорее от школьников, чем от хороших специалистов.

- По умолчанию BitLocker использует TPM, что скорее про удобство, нежели про безопасность (VeraCrypt именно потому и не дружит с TPM). Так что запомни: если решишь все же использовать BitLocker, TPM нужно отключать вручную. Здесь инструкция, как это сделать.

- Зашифровать весь диск, включая браузеры, мессенджеры, историю пользования компьютера, можно только если у тебя установлена версия Windows PRO. В более дешевых версиях ОС с помощью BitLocker можно шифровать только папки, а в Windows Home Edition программа и вовсе недоступна.

- Не шифрует ключи в оперативной памяти, откуда их довольно легко извлечь при физическом доступе злоумышленника ко включенному компьютеру. В то время как в VeraCrypt такая настройка есть. Поэтому зашифрованный BitLocker’ом компьютер нужно вообще всегда выключать, даже если в публичном месте или переполненном гостями доме отходишь от него на минуточку.
Обязательно отключи все пограничные состояния своего зашифрованного компьютера: сон, гибернацию и быстрый запуск. Останется только два режима: либо компьютер включен, либо компьютер полностью выключен. Зачем это вообще нужно, хорошо написано здесь.

Обязательно отключи все пограничные состояния своего зашифрованного компьютера: сон, гибернацию и быстрый запуск. Останется только два режима: либо компьютер включен, либо компьютер полностью выключен. Зачем это вообще нужно, хорошо написано здесь.

3. Шифрование MacOS

Говорят, техника Apple защищена изначально, неуязвима и все такое. Так вот: по умолчанию компьютеры Apple НЕ зашифрованы. Да, возможно, в них чуть тяжелее залезть, чем в незашифрованный Windows, но не настолько, чтобы операция поставила в тупик даже средненького специалиста. И это плохая новость.

Хорошая новость: в Apple все же встроен довольно надежный шифровальщик, но нужно уделить 5-10 минут, чтобы его активировать и сделать пару дополнительных настроек.

Во-первых, тебе нужно активировать встроенный шифровальщик FileVault (FileVault 2). Вот инструкция от Apple, как это сделать.
Во время активации и настройки нужно будет выбрать способ снятия защиты с диска и сброса пароля на тот случай, если ты забудешь свой пароль. Настоятельно не рекомендую доверять в этом деле бекапу на iCloud, потому что отдавать свои самые важные данные на аутсорс огромным корпорациям, где ты не сможешь их контролировать, – очень плохая идея.

На сторонних серверах могут быть поломки, утечки, уязвимости, какая-то особая небезопасная фишечка, либо кто-то вынудит раскрыть твои данные как в этой новости: Трамп заставил Apple тайно предоставить данные как минимум двух политиков. Лучше создай локальный ключ восстановления и сохрани его в надежном месте.

Во время активации и настройки нужно будет выбрать способ снятия защиты с диска и сброса пароля на тот случай, если ты забудешь свой пароль. Настоятельно не рекомендую доверять в этом деле бекапу на iCloud, потому что отдавать свои самые важные данные на аутсорс огромным корпорациям, где ты не сможешь их контролировать, – очень плохая идея.


На сторонних серверах могут быть поломки, утечки, уязвимости, какая-то особая небезопасная фишечка, либо кто-то вынудит раскрыть твои данные как в этой новости: Трамп заставил Apple тайно предоставить данные как минимум двух политиков. Лучше создай локальный ключ восстановления и сохрани его в надежном месте.

Во-вторых, удели время на то, чтобы сделать пару нехитрых настроек в твоем компьютере от Apple. Если коротко, то нужно выключить режим сна и запретить быстрое переключение пользователей. Это старая инструкция, но в ней есть схема, которая за очень небольшими изменениями актуальна до сих пор. Пользуйся!
Всегда, когда отходишь от компьютера в месте, где до него могут физически добраться недоброжелатели, выключай его! Потому что ключ хранится в оперативной памяти, откуда его легко извлечь.

Всегда, когда отходишь от компьютера в месте, где до него могут физически добраться недоброжелатели, выключай его! Потому что ключ хранится в оперативной памяти, откуда его легко извлечь.

VeraCrypt, про которую мы много говорили выше, в шифровании Windows, доступна также и для MacOS. Подумай, возможно, тебе все же стоит воспользоваться этим способом дополнительной защиты информации и сделать скрытые контейнеры для конфиденциальных вещей?

4. Шифрование Linux

Про Linux, увы, я ничего не могу утверждать однозначно. Во-первых, существуют десятки дистрибутивов, и охватить их все физически невозможно. Во-вторых, считаю, что если ты решил пользоваться Linux, то совершенно точно отдаешь отчет в своих действиях и понимаешь, как работает эта система. Помнишь, что при установке Linux нужно активировать шифрование. Знаешь, зашифрована ли твоя домашняя директория, надежно ли закрыт /USR… И знаешь, что можно вбить в поисковике фразу «Забыл пароль от Ubuntu» и найти инструкцию, по которой буквально за 3 минуты недоброжелатель может открыть твой компьютер, если он дополнительно не защищен.
VeraCrypt, про которую мы много говорили выше, в шифровании Windows, доступна также и для Linux. Подумай, возможно, тебе все же стоит воспользоваться этим способом дополнительной защиты или хотя бы сделать скрытые контейнеры для конфиденциальных вещей?

VeraCrypt, про которую мы много говорили выше, в шифровании Windows, доступна также и для Linux. Подумай, возможно, тебе все же стоит воспользоваться этим способом дополнительной защиты или хотя бы сделать скрытые контейнеры для конфиденциальных вещей?

5. Как человеческий фактор играет против тебя и что с этим делать

Какое бы крутое шифрование ты ни использовал, все может испортить пресловутый человеческий фактор. В контексте этого разговора давай проговорим типичные ошибки:

1. Незашифрованный компьютер. Ни о какой безопасности без шифрования мы не можем говорить. Я зря написал столько текста, а ты зря потратил столько времени на его чтение. Я понимаю, что когда репрессивная машина обнаружит зашифрованные данные, это резко увеличит вероятность разного рода воздействия на тебя. Однако и ты должен понимать, что сегодня в новостях таких, как ты, слишком много – возможно, твой компьютер отправят на экспертизу в последнюю очередь, после тех, кто не позаботился о своей цифровой безопасности. Поэтому следует хотя бы попытаться усложнить жизнь злоумышленникам.

2. Оставил включенным компьютер в небезопасном месте, где до него могут физически добраться недоброжелатели? Считай, принес ключи от своих данных на блюдечке.
Только выключенный зашифрованный компьютер – это практически неуязвимый компьютер. Включенный при непрошенных гостях компьютер, даже если он зашифрован, – уязвимый компьютер.

Только выключенный зашифрованный компьютер – это практически неуязвимый компьютер. Включенный при непрошенных гостях компьютер, даже если он зашифрован, – уязвимый компьютер.

3. Поленился провести дополнительную настройку, хотя бы зашифровать ключи в ОЗУ при работе в офисе/публичном месте или выключить пограничные режимы сна – значит увеличил риск взлома в разы.

4. Зашифровал, но поставил слабенький пароль? Или вводишь свой суперкрутой пароль под камерами в кафешке? Никакого толку от такого шифрования, так и знай. Кстати, поговаривают, что самый разыскиваемый ФБР киберпреступник использовал кличку своего кота в качестве пароля дешифрования: Chewy123. Представляешь?

Поэтому давай про пароли поговорим отдельно в следующей главе.
Содержание
Навигатор по энциклопедии ⏬
Содержание 
Навигатор по энциклопедии ⏬