Использование Eraser (как правильно)
Правильное использование программы Eraser
Уважаемые!
Возможно, кто-то из специалистов найдет полчаса и обьяснит, как правильно использовать Eraser для гарантированного затирания следов деятельности на рабочем компьютере.
Вопрос связан не с тем, как пользоваться самой программой, а с неочевидным для непрофессионала вопросом: какие именно файлы тереть для гарантированного уничтожения следов веб-серфинга и работы с программами? Своп-файл, файлы быстрого сохранения Оффиса, кеш браузера, какие-то файлы реестр, черт знает что еще?
Как, не будучи гуру, вместить сии знания, ничего не пропустить и правильно подготовиться к грамотному уничтожению следов? Досаднее всего было бы верить, что все стер и ничего не стереть на самом деле. Если возможно, набросайте краткий обзор уязвимых мест и связанных с такой процедурой хитростей.
Заранее прошу не гневаться на вопрос: читал форум, юзал поиск, но так и не нашел достаточно развернутого ответа, включающего в себя весь минимум необходимой информации для своего уровня. Если был невнимателен, ткните носом.
Чтобы Вам не доставать хрустальные шары, моя ситуация такая:
Система Win 7
Два раздела (NTFS) на одном харде, система на С, файлы юзера и рабочий стол на D
антивирус от Microsoft
Браузеры IE, Opera (основной), FF + tb
Информация, нежелательная к разглашению обрабатывается: M Office 2007, Блокнот, Adobe reader
все програмы установлены на С, открыто, с обычными настройками
Почтовых клиентов нет
Установлен True Cript, есть шифроконтейнер, часть файлов хранится там
также интересует грамотное удаление информации, создаваемой приложением Skype
Собственно вопросы:
1. Как используя Eraser (по ссылке с Вашего сайта) грамотно уничтожить абсолютно все следы работы в указанных приложениях (модель угрозы – изьятие компьтера и последующая экспертиза без участия спецслужб и супероборудования).
2. Возможно ли это для непрофессионала? Какова, по вашему, вероятность что какие-то следы все равно будут обнаружены при профессиональном подходе? То есть реальная ли это задача, и если да, то как к ней подступиться? Ссылки на образовательные ресурсы на русском или соответсвущие разделы форума весьма приветствутся.
2. Если ответ будет "да", интересует весь перечень мер:
– списки опасных файлов и где их искать
– как часто надо чистить свободное место
– что с фрагментирование "до и после"
– какой использовать алгоритм (в смысле, какого будет достаточно с более-менее приличным сочетанием скорость/качество)
– советы по использованию планировщика
3. Если ответ "нет", прошу обьяснить почему или степень рисков
Прошу не предлагать шифрование системы, так как требуется именно убедительное отсутствие информации, а не наличие "хорошо зашифрованной".
Благодарю, если найдете возможным отозваться. Уверен, это будет очень полезно не одному мне.
Вот гуру на то и гуру, что не шреддят пофайлово, а сразу пишут на криптографическую файловую систему. При этом не выдают советы типа но предлагают уничтожать сам ключ, которым зашифрованы данные (файловая система) на съёмном диске, но не сами данные.
Всегда пожалуйста :)
И для профессионала невозможно. Система работает с данными постоянно создавая и уничтожая какие-то файлы, при стирании файла физически он остаётся на диске. И что вы можете с этим сделать? Тереть всё свободное дисковое пространство? Это даже если отвлечься от вопроса о том, где и в каких недрах винда может хранить такие файлы. Я понимаю, у вас бы стоял Linux, тогда можно было бы уверенно сказать, что пользовательские файлы могут попасть только в /home, /tmp и /var, но даже там это вызывает проблемы. Вы опираетесь на непрофессиональный, как раз, подход. Профессионально – шифровать, а при надобности – скрывать наличие шифрования (с тем или иным успехом).
комментариев: 1 документов: 0 редакций: 0
Существующие исследования показывают, что под Windows 7 ни отрицаемое шифрование, ни работу без следов с различными файлами реализовать так просто нельзя (разумеется, речь не идет про шифрование ОС). Поэтому успех ваших попыток что-либо сокрыть напрямую зависит от организации, которая будет проводить экспертизу.
И этот список можно продолжать до бесконечности.
Одно другому не мешает. Если есть хоть какая-то вероятность получения противником криптографического ключа, всё шифрование не имеет смысла. Уничтожить диск гораздо дешевле и безопаснее, чем расхлёбывать последствия получения ключа противником.
Для справки: затирание рандомом всего диска займёт несколько часов.
Уничтожение криптографического ключа может привести к тому, что попытки получить доступ к данным могут быть продолжены. И в том числе могут увенчаться успехом. Уничтожение диска ставит точку в получении компромата.
Хотя у меня нет опыта в этом, но полагаю, что и объяснить с выгодой для себя почему был уничтожен диск будет проще, чем объяснить, почему вы не можете продемонстрировать его зашифрованное содержимое.
Шифрование это хорошо, но пытаться решить им неподходящие проблемы это не признак "гуру".
При использовании менее радикальных методов вам могут не сразу поверить, а паяльник греется быстро...
Надёжное уничтожение носителей информации – не такой простой вопрос. Есть специальные шреддеры для этого, иначе что-то могут восстановить в лаборатории. Также см. /comment19800 и /comment9294. У unknown'а был древний пост про рекомендации от какого-то американского агенства по уничтожению использованных жёстких дисков (что-то про переплавление, шреддинг, кислоту даже возможно). Найти так и не смог, но описание впечатляло. Unknown, вы могли бы дать ссылку :)
комментариев: 9796 документов: 488 редакций: 5664
Мой комментарий был здесь.
А вот ещё интересный девайс:
http://www.datadev.com/hard-drive-shredder.html
По ссылке интересен видеоролик и краткое описание. И цена :(
А здесь ещё немного фоток процесса и более подробные спецификации производителя.
Восстановление данных с упавшего Шаттла кстати было осуществлено коммерческой компанией.
По теме, как выше правильно сказали, задача, в том виде как вы её поставили, по-хорошему не решается. Затирать или подделывать следы возможно, но это плохая, неудобная, ненадёжная и рискованная практика в области безопасности. Скорее типичная задачка для противника-злоумышленника: хакера-взломщика, проникшего в систему и пытающегося скрыть следы взлома; недобросовестного эксперта, пытающегося сфальсицировать доказательства; или просто когда кто-то хочет подставить коллегу перед службой безопасности (или сам её обмануть как инсайдер, но работа в недоверяемом окружении обычно ИБ не рассматривается).
По поводу уничтожения. Многократное затирание заголовка ключа, который записан в криптоконтейнере в "хрупком" виде и по возможности привязан к неподвижному разделу винчестера, при правильном проведении всей процедуры является эффективным и быстрым и должно исключать восстановление.
Другой вопрос — противника нельзя убедить, что копия этого заголовка с ключом шифрования не хранится где-либо ещё, как впрочем и копия данных со всего винчестера к каким-бы театральным эффектам с его расплавлением вы бы не прибегали. Даже если у вас в ауле интернета нет, может вы час назад винчестер на флэшки забэкапили и в земле закопали? Задача строгого доказательства уничтожения информации между недоверяющими сторонами также нерешаема как задача защиты от копирования.
К счастью, это только небольшая часть проблемы. Основная же, это исключение попадания информации к противнику, которую можно решить надёжно.
комментариев: 9796 документов: 488 редакций: 5664
/faq/zaschitadiska#h42-14
Если противник мог получить и пароль и ключ из криптоконтейнера, то значит он имел и доступ к самим данным и их можно считать уже скопированными. На что по-другому рассчитывать? На барьер из затрат времени на копирование, малую пропускную способность канала копирования? Лучше считать, что эти трудности противник всегда может преодолеть, если он мог выполнить первую часть задачи.
Дополнительное уничтожение винчестера можно проводить перед списанием в спокойной обстановке, рассчитывать, что это можно выполнить мгновенно не следует, вдруг запал к термитной шашке слабо полыхнёт? Хотя можете попробовать комбинировать.
Затиратели отдельных файлов могут применяться при работе с консольными утилитами, которые гарантировано не пишут лишнее куда попало (например gnupg), но опять же не в среде Win. Ну может можно использовать Eraser если безопасность организована по принципу "лучше чем ничего".