id: Гость   вход   регистрация
текущее время 21:10 28/03/2024
Автор темы: Гость, тема открыта 28/05/2010 19:11 Печать
Категории: инфобезопасность, уничтожение информации
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ИспользованиеEraserкакПравильно
создать
просмотр
ссылки

Использование Eraser (как правильно)

Правильное использование программы Eraser

Уважаемые!
Возможно, кто-то из специалистов найдет полчаса и обьяснит, как правильно использовать Eraser для гарантированного затирания следов деятельности на рабочем компьютере.


Вопрос связан не с тем, как пользоваться самой программой, а с неочевидным для непрофессионала вопросом: какие именно файлы тереть для гарантированного уничтожения следов веб-серфинга и работы с программами? Своп-файл, файлы быстрого сохранения Оффиса, кеш браузера, какие-то файлы реестр, черт знает что еще?


Как, не будучи гуру, вместить сии знания, ничего не пропустить и правильно подготовиться к грамотному уничтожению следов? Досаднее всего было бы верить, что все стер и ничего не стереть на самом деле. Если возможно, набросайте краткий обзор уязвимых мест и связанных с такой процедурой хитростей.


Заранее прошу не гневаться на вопрос: читал форум, юзал поиск, но так и не нашел достаточно развернутого ответа, включающего в себя весь минимум необходимой информации для своего уровня. Если был невнимателен, ткните носом.


Чтобы Вам не доставать хрустальные шары, моя ситуация такая:



Система Win 7
Два раздела (NTFS) на одном харде, система на С, файлы юзера и рабочий стол на D
антивирус от Microsoft
Браузеры IE, Opera (основной), FF + tb
Информация, нежелательная к разглашению обрабатывается: M Office 2007, Блокнот, Adobe reader


все програмы установлены на С, открыто, с обычными настройками


Почтовых клиентов нет
Установлен True Cript, есть шифроконтейнер, часть файлов хранится там


также интересует грамотное удаление информации, создаваемой приложением Skype



Собственно вопросы:


1. Как используя Eraser (по ссылке с Вашего сайта) грамотно уничтожить абсолютно все следы работы в указанных приложениях (модель угрозы – изьятие компьтера и последующая экспертиза без участия спецслужб и супероборудования).


2. Возможно ли это для непрофессионала? Какова, по вашему, вероятность что какие-то следы все равно будут обнаружены при профессиональном подходе? То есть реальная ли это задача, и если да, то как к ней подступиться? Ссылки на образовательные ресурсы на русском или соответсвущие разделы форума весьма приветствутся.


2. Если ответ будет "да", интересует весь перечень мер:


– списки опасных файлов и где их искать
– как часто надо чистить свободное место
– что с фрагментирование "до и после"
– какой использовать алгоритм (в смысле, какого будет достаточно с более-менее приличным сочетанием скорость/качество)
– советы по использованию планировщика


3. Если ответ "нет", прошу обьяснить почему или степень рисков


Прошу не предлагать шифрование системы, так как требуется именно убедительное отсутствие информации, а не наличие "хорошо зашифрованной".


Благодарю, если найдете возможным отозваться. Уверен, это будет очень полезно не одному мне.


 
На страницу: 1, 2 След.
Комментарии
— Гость (28/05/2010 19:52)   <#>
Если информация хоть сколько нибудь ценна (в чём я сомневаюсь, видя что большинство криптоманьяков не имеют гроша за душой) лучше всего производить компрометирующие действия на съёмном диске, который можно уничтожить в случае тревоги.
— Гость (28/05/2010 22:14)   <#>
К ТС: предлагаемое решение совершенно неоптимально и ненадёжно для поставленной задачи. Шреддеры (к классу которых относятся подобные программы) являются временным средством ограниченного действия. Не пытайтесь быть умнее миллионов кодопистелей по всему миру, пытаясь запомнить все "компрометирующие" файлы. Вместо этого нужно сделать так: скопировать все нужные файлы на сторонний бэкап-носитель, основной диск полностью и целиком зашреддить случайными данными, затем установить на основной диск новую операционную систему с опцией полного шифрования носителя (diskcryptor умеет), в которую скопировать нужные вам данные с бэкап-носителя. Убедившись в работоспособности основного носителя и системы на нём, полностью затереть случайными данными бэкап-носитель, после чего создать на нём шифрованную файловую систему и копировать туда время от времени критические данные в качестве бэкапа.

Как, не будучи гуру, вместить сии знания, ничего не пропустить и правильно подготовиться к грамотному уничтожению следов?
Вот гуру на то и гуру, что не шреддят пофайлово, а сразу пишут на криптографическую файловую систему. При этом не выдают советы типа
производить компрометирующие действия на съёмном диске, который можно уничтожить в случае тревоги
но предлагают уничтожать сам ключ, которым зашифрованы данные (файловая система) на съёмном диске, но не сами данные.

Если был невнимателен, ткните носом.
Всегда пожалуйста :)
— Гость (28/05/2010 22:31)   <#>
Прошу не предлагать шифрование системы, так как требуется именно убедительное отсутствие информации, а не наличие "хорошо зашифрованной".
Отрицаемость наличия скрываемых данных? Так это даже под открытыми системами не решается типа Linux, где всё хорошо задокументировано. Или работайте с LiveCD, сохраняя все файлы на удалённых серверах.

2. Возможно ли это для непрофессионала? Какова, по вашему, вероятность что какие-то следы все равно будут обнаружены при профессиональном подходе? То есть реальная ли это задача, и если да, то как к ней подступиться? Ссылки на образовательные ресурсы на русском или соответсвущие разделы форума весьма приветствутся.
И для профессионала невозможно. Система работает с данными постоянно создавая и уничтожая какие-то файлы, при стирании файла физически он остаётся на диске. И что вы можете с этим сделать? Тереть всё свободное дисковое пространство? Это даже если отвлечься от вопроса о том, где и в каких недрах винда может хранить такие файлы. Я понимаю, у вас бы стоял Linux, тогда можно было бы уверенно сказать, что пользовательские файлы могут попасть только в /home, /tmp и /var, но даже там это вызывает проблемы. Вы опираетесь на непрофессиональный, как раз, подход. Профессионально – шифровать, а при надобности – скрывать наличие шифрования (с тем или иным успехом).
— Гость (28/05/2010 22:35)   <#>
http://emoney.al.ru/security/conspiracy2.htm, но это не отменяет написанного выше – раз, не гарантирует хоть какой-нибудь полноты и надёжности удаления – два. На ваш страх и риск, если хотите.
— forensics (28/05/2010 22:43)   профиль/связь   <#>
комментариев: 1   документов: 0   редакций: 0
То есть реальная ли это задача, и если да, то как к ней подступиться?

Существующие исследования показывают, что под Windows 7 ни отрицаемое шифрование, ни работу без следов с различными файлами реализовать так просто нельзя (разумеется, речь не идет про шифрование ОС). Поэтому успех ваших попыток что-либо сокрыть напрямую зависит от организации, которая будет проводить экспертизу.
— Гость (28/05/2010 22:51)   <#>
3. Если ответ "нет", прошу обьяснить почему или степень рисков
Например:
  1. Каждая новая версия программы может храниться другие файлы или в других местах. Где – одним разработчикам известно.
  2. Каждую отдельную прогу и каждую версию проги надо проанализировать на предмет того, где и что она может хранить. Если код программы закрыт, это очень сложная задача.
  3. Профессионалам при исследовании диска будет понятно, что вы специально тёрли "компрометирующие файлы". Чем это лучше шифрования – не ясно.
  4. Windows, а тем более её новые версии, имеет сама по себе массу шпионских функций, потому следы от работы конкретного юзера сильно размазаны по всей системе.
  5. Программы имеют свойство необратимо срать в реестре. Зачистить реестр после этого очень сложно – проще переустановить систему, чем все и занимаются при возникновении глюков.
  6. Как уже было сказано выше, часть временных файлов с нежелательной информацией трётся самими программами, безо всяких шерддеров. Как потом удалять такие файлы с диска?

И этот список можно продолжать до бесконечности.
— Гость (28/05/2010 22:58)   <#>
Если ТС всё же хочет с этим поиграть, можно посоветовать вот что: есть книги по компьютерной криминалистике/форензике, где подробно описывается что и как рекомендуется делать экспертам-криминалистам. Можно на основе этих книг пытаться моделировать поведение среднестатистического эксперта... но, в общем, вы сами понимаете :)
— Гость (29/05/2010 02:51)   <#>
сразу пишут на криптографическую файловую систему. При этом не выдают советы типа
производить компрометирующие действия на съёмном диске, который можно уничтожить в случае тревоги

Одно другому не мешает. Если есть хоть какая-то вероятность получения противником криптографического ключа, всё шифрование не имеет смысла. Уничтожить диск гораздо дешевле и безопаснее, чем расхлёбывать последствия получения ключа противником.
— Гость (29/05/2010 03:09)   <#>
Надёжное уничтожение одиного небольшого текстового зашифрованного файла с последующим нажатием reset'а намного проще, чем быстрое удаление нескольких десятков гигабайт с диска. Да и охранять один текстовый файл на мелком носителе намного проще, чем полноценный диск.
Для справки: затирание рандомом всего диска займёт несколько часов.
— Гость (29/05/2010 03:21)   <#>
Я имею ввиду буквальное уничтожение диска, если кто-то не понял.

Уничтожение криптографического ключа может привести к тому, что попытки получить доступ к данным могут быть продолжены. И в том числе могут увенчаться успехом. Уничтожение диска ставит точку в получении компромата.

Хотя у меня нет опыта в этом, но полагаю, что и объяснить с выгодой для себя почему был уничтожен диск будет проще, чем объяснить, почему вы не можете продемонстрировать его зашифрованное содержимое.

Шифрование это хорошо, но пытаться решить им неподходящие проблемы это не признак "гуру".
— Гость (29/05/2010 10:09)   <#>
Если вероятный противник может получить криптографические ключи, например заставив вас их выдать, то вас спасёт только уничтожение информации. Уничтожение НЕПРЕМЕННО должно быть аппаратным и необратимость этого процесса должна быть очевидна любому. Я рекомендую привязывать к винту термитную шашку, она расплавляет винт в лужицу металла за несколько секунд, благодаря чему любому противнику будет очевидно, что требовать информацию бесполезно, её уже нет, и вернуть её может разве что бог.
При использовании менее радикальных методов вам могут не сразу поверить, а паяльник греется быстро...
— Гость (29/05/2010 15:57)   <#>
Я имею ввиду буквальное уничтожение диска, если кто-то не понял.
Разжевать MicroSD-карточку с ключом проще, чем разбить молотком диск (как минимум, тут нужен молоток под рукой). Если нет расчёта на моментальность и внезапность, то лучше применять оба метода, но в первую очередь уничтожать MicroSD.

Надёжное уничтожение носителей информации – не такой простой вопрос. Есть специальные шреддеры для этого, иначе что-то могут восстановить в лаборатории. Также см. /comment19800 и /comment9294. У unknown'а был древний пост про рекомендации от какого-то американского агенства по уничтожению использованных жёстких дисков (что-то про переплавление, шреддинг, кислоту даже возможно). Найти так и не смог, но описание впечатляло. Unknown, вы могли бы дать ссылку :)
— unknown (29/05/2010 18:17, исправлен 29/05/2010 18:25)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Мой комментарий был здесь.


А вот ещё интересный девайс:


http://www.datadev.com/hard-drive-shredder.html


The Jackhammer Hard Drive Shredder is a very heavy duty shredder designed to physically destroy hard drives, backup tapes, CDs and DVDs, keyboards, cell phones, laptop computers (option requiring wider throat), and all assorted e-waste in order to ensure the information contained on this material is no longer accessible. The machine incorporates a feed opening of 10.75" x 2.5" (maximum thickness of media to be destroyed is 2 inches). It also includes adjustable wear plates to maintain cutter clearance at all times.

По ссылке интересен видеоролик и краткое описание. И цена :(
А здесь ещё немного фоток процесса и более подробные спецификации производителя.


Восстановление данных с упавшего Шаттла кстати было осуществлено коммерческой компанией.


По теме, как выше правильно сказали, задача, в том виде как вы её поставили, по-хорошему не решается. Затирать или подделывать следы возможно, но это плохая, неудобная, ненадёжная и рискованная практика в области безопасности. Скорее типичная задачка для противника-злоумышленника: хакера-взломщика, проникшего в систему и пытающегося скрыть следы взлома; недобросовестного эксперта, пытающегося сфальсицировать доказательства; или просто когда кто-то хочет подставить коллегу перед службой безопасности (или сам её обмануть как инсайдер, но работа в недоверяемом окружении обычно ИБ не рассматривается).


По поводу уничтожения. Многократное затирание заголовка ключа, который записан в криптоконтейнере в "хрупком" виде и по возможности привязан к неподвижному разделу винчестера, при правильном проведении всей процедуры является эффективным и быстрым и должно исключать восстановление.


Другой вопрос — противника нельзя убедить, что копия этого заголовка с ключом шифрования не хранится где-либо ещё, как впрочем и копия данных со всего винчестера к каким-бы театральным эффектам с его расплавлением вы бы не прибегали. Даже если у вас в ауле интернета нет, может вы час назад винчестер на флэшки забэкапили и в земле закопали? Задача строгого доказательства уничтожения информации между недоверяющими сторонами также нерешаема как задача защиты от копирования.

— Гость (29/05/2010 19:22)   <#>
Другой вопрос — противника нельзя убедить, что копия этого заголовка с ключом шифрования не хранится где-либо ещё, как впрочем и копия данных со всего винчестера к каким-бы театральным эффектам с его расплавлением вы бы не прибегали. Даже если у вас в ауле интернета нет, может вы час назад винчестер на флэшки забэкапили и в земле закопали? Задача строгого доказательства уничтожения информации между недоверяющими сторонами также нерешаема как задача защиты от копирования.

К счастью, это только небольшая часть проблемы. Основная же, это исключение попадания информации к противнику, которую можно решить надёжно.
— unknown (29/05/2010 23:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Если всё-таки правильно использовать стойкие криптоконтейнеры, то ключ в них складывается и из пароля и из служебных заголовков (и дополнительной съедаемой флэшки, как тут вам намекают). Если контейнер не расположен поверх файловой системы, то стирание даже части битов служебных заголовков уменьшает знание противника о ключе почти также, как если бы стёрли весь заголовок (принцип "хрупкого" хранения ключа).
/faq/zaschitadiska#h42-14

Если противник мог получить и пароль и ключ из криптоконтейнера, то значит он имел и доступ к самим данным и их можно считать уже скопированными. На что по-другому рассчитывать? На барьер из затрат времени на копирование, малую пропускную способность канала копирования? Лучше считать, что эти трудности противник всегда может преодолеть, если он мог выполнить первую часть задачи.

Дополнительное уничтожение винчестера можно проводить перед списанием в спокойной обстановке, рассчитывать, что это можно выполнить мгновенно не следует, вдруг запал к термитной шашке слабо полыхнёт? Хотя можете попробовать комбинировать.

Затиратели отдельных файлов могут применяться при работе с консольными утилитами, которые гарантировано не пишут лишнее куда попало (например gnupg), но опять же не в среде Win. Ну может можно использовать Eraser если безопасность организована по принципу "лучше чем ничего".
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3