Секретный ноутбук :)
Как можно обезопаситься (с точки зрения предотвращения учечки информации) пользуясь ноутбуком?
Понятно, что видеокамеру на крышке перед носом заклеить черной бумагой :)
Блютуз/вайфай отключить – как? Если есть выключатели на корпусе, этого достаточно или специальным шпионским софтом они все-равно включаются? А если выключателей нет, то как???
По поводу винчестера. В идеале хотелось бы иметь систему, которая при загрузке спрашивала бы ключ и при 2-3 неправильных ответах прибивала бы
всю информацию на винче. Ясно, что за короткий промежуток уничтожить всю информацию трудно, поэтому видится два решения:
1) Убивать ее в порядке приоритетов, а не тупо все подряд.
2) Продолжать отвлекать юзера надписями "подождите, пожалуйста", повторными запросами ключа, "тормозами" и т.п. производить уничтожение информации.
Но как можно реализовать шифрование данных? Так, чтобы подгрузчик для дешифровки позволял в процессе работать под любыми операционками
и разумеется с дисками любых объемов и в процессе работы с ОС не выдавал свое наличие?
Есть такой софт? Где его можно взять? Главное, чтобы софт был надежный (чтобы в один прекрасный момент не побил / не потерял информацию)
Аналогичный вопрос по поводу шифрования записанной информации на болванки (сд, двд)
И тут было бы лучше сделать не запрос пароля при вставлении диска в компьютер, а дешифровка по ключу сохраненному в простой файл, хранящийся в определенном месте на винчестере. Т.е., файл с кодами лежит – диск читается/пишется без проблем, файл отсутствует – диск нечитается безо всяких комментариев.
Чем все это можно реализовать?
комментариев: 11558 документов: 1036 редакций: 4118
Нет. Обычные режимы storage-шифрования типа XTS. К невосстановимости зашифрованной ФС приведёт только повреждение/уничтожение криптоключа.
Из работы "Implementing BitLocker Drive Encryption for Forensic Analysis" от Jesse D. Kornblum:
Поэтому ответ: да, хранит.
Вот именно, что возможность есть. Но никто этой возможностью не пользуется в полной мере – иначе бы количество сообщений о вскрытии криптоконтейнеров и криптодисков в ходе суд. экспертизы не увеличивалось ;)
Лжёте. Есть люди, которые досконально проверяют исходники по той или иной надобности, или же от пущей паранои. Их очень мало, но важно что они есть. Будучи посетителем этого сайта втечение некоторого времени, могу заметить насущный пример: автор DiskCryptor'а проверял исходники TrueCrypt'а, и, более того, даже нашёл багу, и даже рассказал нам об этом, и в итоге TC-команда её пофиксила.
комментариев: 11558 документов: 1036 редакций: 4118
1. Пользователь выбирает тип ПЛИС и вставляет его (т.е. ПЛИС :) в сие устройство
2. Пользователь выбирает и загружает open-прошивку для ПЛИС
3. Пользователь генерит ключи и т.д.
В результате пользователь имеет действительно надёжный модуль доверительной загрузки ака эл.замок :)
З. Ы. Соответственно, должно существовать open source сообщество, которое будет заниматься этими прошивками, иначе никак
комментариев: 9796 документов: 488 редакций: 5664
Новость о взломе TPM на крипточипах от Infineon подводит вполне закономерный итог дискуссии.
комментариев: 13 документов: 0 редакций: 1
Ну по-настоящему защиенным ноут с такой дырой как биос быть не может. Вот http://www.coreboot.org/Welcome_to_coreboot это достаточно удобная замена для него + пароль может требовать на загрузку и шифровать вообще все – от инициализации железа до полного шифрования прошивок других микросхем (сетевая карта, и прочее) и диска конечно. Единственная проблема – он не поддерживает ноутбуки ввиду использования в них дополнительных микросхем EC (Embedded Controller). Поэтому если хотите такую штуку и у себя на ноуте – помогите проекту. http://www.coreboot.org/Laptop
Помощь может быть такой – Посмотрите какое железо используется в ноуте – чипсет + Super I/O чип + EC чип (может быть встроен в Super I/O) + флеш-микросхема. Сделайте дампы:
lscpi -nnvvvxxxx
lspnp
dmesg
dmidecode
biosdecode
superiotool
ectool
inteltool
flashrom -V
Надеюсь на отклик :-)
P. S. Будет конечно очень хорошо если при этом еще и даташиты на super i/o и ec найдете.
комментариев: 13 документов: 0 редакций: 1
Если кто будет делать – можете дампы слать в рассылку coreboot@coreboot.org или (что более предпочтительно) на мою вики http://wiki.xvilka.org/index.php?title=Main_Page – добавите страничку вниз со своим ноутом и по образу и подобию напишете про свой.
комментариев: 111 документов: 9 редакций: 22
Суть в том, что:
1. защита от НСД – осуществляет Drivecrypt Plus Pack (посекторная шифрация всех дисков ДО загрузки ОС). Регулярные автобэкапы делаем Acronis True Image Home – они получаются зашифрованными и читаются лишь при наличии файла-ключа в системе. Полезно бэкапить на внешний винт (ноутбучный)... храним его вдали от рабочего места и подключаем к ноуту лишь в день совершения бэкапа (например, по средам).
2. не оставляем следов. анонимизация инет-соединений – Permeo + TOR. Permeo – воронка, которая широким концом собирает ВСЕ инет-соединения в ноутбуке и транслирует их на свой узкий конец, который подключен к ТОР, что позволяет забыть о настройках прокси в любом софте. Например, банковская программа будет коннектиться ВСЕГДА только через ТОР. В Permeo можно настроить обход воронки для указанных IP/хостов и указанных программ. Почта – Gmail по защищённым протоколам через ТОР. Skype через ТОР.
3. защита от вирусов-троянов – NOD32. Тут всё ясно... и не использовать ИЕ и Аутлук.
Сделано примерно 8 таких ноутбуков, два из них были изъяты во время обыска. Защита устояла, никто не требовал пароль, т.к. запрос пароля замаскирован под аварию диска.
Подробнее я больше ничего не скажу – и так слишком разболтался...
Permeo — софт с закрытым кодом (впрочем как и то для чего он написан), он платный (требует регистрации). И главное это всего-лишь системный соксификатор, который только подменяет библиотечные функции при работе с сокетами и никаких "ВСЕ" он собрать не может по определению.
комментариев: 111 документов: 9 редакций: 22