Физическая изоляция


С тех пор, как я начал работать с документами Сноудена, я стал прибегать к ряду приёмов, чтобы обезопасить себя от АНБ, и поделился[link1] ими. В их числе: пользование сетью Tor, использование определённых видов криптографии и, где только возможно, стандартизированных алгоритмов.

Кроме того, я посоветовал использовать "воздушный зазор"[link2], физически отделяющий один компьютер либо локальную компьютерную сеть от глобального интернета. (Название метода происходит от буквального воздушного разрыва между компьютером и интернетом; оно возникло до появления беспроводных сетей.) Однако это сложнее, чем кажется на первый взгляд, и требует дополнительных разъяснений.

Известно, что компьютеры, подключенные к интернету, уязвимы перед взломом извне, и физическая изоляция призвана защитить от подобных атак. Существует множество систем, в которых применяется (или должна применяться) физическая изоляция: секретные военные сети, системы управления атомными электростанциями, медоборудование, авионика и т.п. На физическую изоляцию полагался[link3] Усама бен Ладен. Правозащитные организации в репрессивных государствах, надеюсь, поступают так же.

Физическая изоляция концептуально проста, но на практике трудно реализуема. Суть в том, что никому не нужен компьютер, который никогда не получает файлы из интернета и никогда не отправляет их в интернет. Что в большинстве случаев нужно — это компьютер, не подключённый непосредственно к интернету, но, в то же время, имеющий некий безопасный способ для передачи файлов в том и в другом направлении.

Однако всякий раз, когда файл передаётся на компьютер или обратно, возникают потенциальные условия для атаки.

Физическую изоляцию уже преодолевали. Stuxnet — зловредная программа американо-израильского военного производства — успешно атаковал иранский ядерный центр в Натанзе: он перепрыгнул1 воздушный зазор и проник во внутреннюю сеть центра. Другой зловред под названием agent.btz[link4] (вероятно, китайского производства) успешно проник в физически изолированные американские военные сети.

Подобные атаки полагаются на уязвимости носителей информации, используемых для передачи файлов на изолированные компьютеры и обратно.

Начав работу над документами АНБ, переданными Эдвардом Сноуденом, я использовал единственный изолированный компьютер. Это оказалось труднее, чем я предполагал, и у меня есть десять правил для тех, кому потребуется делать то же самое:

  1. В процессе настройки компьютера подключайтесь к интернету как можно меньше. Полностью избежать подключений практически невозможно, но постарайтесь настроить всё за один раз и как можно более анонимным образом. Я купил свой компьютер на месте в большом магазине, затем отправился к знакомому и использовал его сеть, чтобы скачать всё необходимое в один присест. (Сверхпараноидальный вариант: купите два идентичных компьютера, настройте один из них описанным выше способом, загрузите результат на облачный антивирус, и уже результат этой процедуры перенесите на изолированную машину.)

  1. Установите самый минимум ПО, необходимый для вашей задачи, и отключите все службы операционной системы, которые вам не нужны. Чем меньше вы установите программ, тем меньше будет доступная противнику поверхность атаки. Я скачал и установил OpenOffice, читалку PDF, текстовый редактор, TrueCrypt[link5] и BleachBit[link6]. Всё. (Нет, я не знаю ничего особого, чтобы рекомендовать TrueCrypt, и многое в этой программе меня настораживает. Но в Windows полнодисковое шифрование обеспечивает лишь она, Microsoft BitLocker и Symantec PGPDisk,2 и я более опасаюсь давления АНБ на крупные американские корпорации, нежели ненадёжности TrueCrypt.)

  1. Сконфигурировав компьютер, никогда больше не подключайте его к интернету. Если возможно, физически отключите беспроводную связь, чтобы не активировать её даже случайно.

  1. Если потребуется установить какое-то дополнительное ПО, скачайте его анонимно через произвольную сеть, скопируйте на носитель данных и вручную перенесите на изолированный компьютер. Это ни в коей мере не идеально, но хотя бы в некоторой степени затрудняет противнику прицельную атаку на ваш компьютер.

  1. Отключите любые функции автозапуска (autorun). Это должно быть стандартной практикой в отношении всех имеющихся у вас компьютеров, но особенно важно для компьютера за воздушным разрывом. Agent.btz заразил военные системы через функцию autorun.

  1. Сведите к минимуму количество исполняемого кода, который переносите на изолированный компьютер. В идеале, используйте простые текстовые файлы. Файлы Microsoft Office и PDF более опасны, поскольку могут содержать встроенные макросы. Отключите все функции исполнения макросов на изолированном компьютере, какие возможно. Не беспокойтесь об обновлении системы; как правило, риск исполняемого кода значительно хуже, чем риск непропатченных программ. В конце концов, этот компьютер не подключен к интернету.

  1. Для переноса файлов на изолированный компьютер используйте только доверенные носители. Флэшка, купленная вами в магазине, более безопасна, чем переданная вам каким-то незнакомцем или найденная[link7] вами на парковке.

  1. Записываемый оптический диск (CD или DVD) более безопасен для передачи файлов, нежели флэшка. Зловредная программа может незаметно записать данные на флэшку, но она не сможет незаметно для вас раскрутить CD-R до тысячи оборотов. Это означает, что зловред сможет сделать запись на диск только когда вы делаете запись на диск. Кроме того, вы можете проверить, сколько данных было записано на CD, просто взглянув на его нижнюю сторону: если вы записали один файл, но диск выглядит так, как будто заполнен на три четверти — у вас проблема. Примечание: первая компания, которая выведет на рынок USB-флэшку с отдельным световым индикатором, показывающим операцию записи (не чтения или записи — такая и у меня есть), получит приз.

  1. Перенося файлы на изолированный компьютер и обратно, используйте носитель наименьшей ёмкости и заполняйте всё свободное пространство случайными файлами. Если изолированный компьютер окажется скомпрометирован, зловред попытается вынести с него данные с помощью этого носителя, и хотя зловред может с лёгкостью скрыть от вас похищенные файлы, он не может нарушить законы физики. Таким образом, если вы используете носитель малой ёмкости, зловред сможет похитить за раз лишь небольшой объём данных. Если же вы используете большой носитель, он сможет утащить гораздо больше. Существуют мини-CD[link8] размером с визитку, ёмкость которых — лишь 30 Мб. И я по-прежнему вижу на распродажах 1-гигабайтовые флэшки.

  1. Старайтесь шифровать всё, что переносите с компьютера и на него. Порой вы будете переносить публичные файлы, для которых конфиденциальность не принципиальна, но зачастую файлы будут секретны, и для них это не так; а если вы будете использовать оптические носители, то данные с них даже невозможно стереть. Стойкое шифрование решает все эти проблемы. Также не забудьте зашифровать диски самого компьютера; полнодисковое шифрование — наилучший вариант.

Одна вещь, которую я не делал, но о которой стоит подумать, — это использование не сохраняющей своё состояние операционной системы, такой как Tails[link9]. Вы можете настроить Tails на хранение ваших постоянных данных на определённом разделе, но ОС не будет сохранять никаких собственных изменений. Запуск Tails с DVD и хранение рабочих файлов на зашифрованной флэшке — ещё более безопасный вариант. Разумеется, он не идеален, но существенно сужает пути для атаки.

Да, всё перечисленное — советы для параноиков. И поддерживать физическую изоляцию для чего-то более сложного, чем сеть из единственного компьютера с единственным пользователем, скорее всего невозможно. Однако если уж вы рассматриваете использование изолированного компьютера, то скорее всего ожидаете прицельной атаки какого-то могущественного противника конкретно на вас. Если планируете использовать физическую изоляцию, используйте её верно.

Конечно, вы можете пойти дальше. Я встречал людей, физически удалявших из компьютера камеру, микрофон и элементы беспроводной связи. Но для меня на данный момент это слишком параноидально.

P.S. Да, я не рассматриваю TEMPEST-атаки[link10] и атаки с незаконным проникновением в мой дом.

© 2013 Брюс Шнайер[link11]
Перевод © 2013 SATtva[link12]


1Предположительно, на флэш-карте одного из сотрудников центра, — здесь и далее прим. пер.
2К сожалению, Брюс Шнайер по-прежнему не знает о DiskCryptor[link13].

Ссылки
[link1] https://www.pgpru.com/biblioteka/statji/securityagainstnsa

[link2] https://ru.wikipedia.org/wiki/Air_gap_(networking)

[link3] https://www.schneier.com/blog/archives/2011/05/bin_laden_maint.html

[link4] http://www.washingtonpost.com/national/national-security/cyber-intruder-sparks-response-debate/2011/12/06/gIQAxLuFgO_story.html

[link5] https://www.pgpru.com/soft/truecrypt

[link6] http://bleachbit.sourceforge.net/

[link7] https://www.schneier.com/blog/archives/2012/07/dropped_usb_sti.html

[link8] https://en.wikipedia.org/wiki/Mini_CD

[link9] https://tails.boum.org/

[link10] https://ru.wikipedia.org/wiki/TEMPEST

[link11] https://www.schneier.com/blog/archives/2013/10/air_gaps.html

[link12] https://www.pgpru.com/proekt/poljzovateli?profile=SATtva

[link13] https://www.pgpru.com/soft/diskcryptor