id: Гость   вход   регистрация
текущее время 05:26 29/03/2024
создать
просмотр
редакции
ссылки

Физическая изоляция


С тех пор, как я начал работать с документами Сноудена, я стал прибегать к ряду приёмов, чтобы обезопасить себя от АНБ, и поделился ими. В их числе: пользование сетью Tor, использование определённых видов криптографии и, где только возможно, стандартизированных алгоритмов.


Кроме того, я посоветовал использовать "воздушный зазор", физически отделяющий один компьютер либо локальную компьютерную сеть от глобального интернета. (Название метода происходит от буквального воздушного разрыва между компьютером и интернетом; оно возникло до появления беспроводных сетей.) Однако это сложнее, чем кажется на первый взгляд, и требует дополнительных разъяснений.


Известно, что компьютеры, подключенные к интернету, уязвимы перед взломом извне, и физическая изоляция призвана защитить от подобных атак. Существует множество систем, в которых применяется (или должна применяться) физическая изоляция: секретные военные сети, системы управления атомными электростанциями, медоборудование, авионика и т.п. На физическую изоляцию полагался Усама бен Ладен. Правозащитные организации в репрессивных государствах, надеюсь, поступают так же.


Физическая изоляция концептуально проста, но на практике трудно реализуема. Суть в том, что никому не нужен компьютер, который никогда не получает файлы из интернета и никогда не отправляет их в интернет. Что в большинстве случаев нужно — это компьютер, не подключённый непосредственно к интернету, но, в то же время, имеющий некий безопасный способ для передачи файлов в том и в другом направлении.


Однако всякий раз, когда файл передаётся на компьютер или обратно, возникают потенциальные условия для атаки.


Физическую изоляцию уже преодолевали. Stuxnet — зловредная программа американо-израильского военного производства — успешно атаковал иранский ядерный центр в Натанзе: он перепрыгнул1 воздушный зазор и проник во внутреннюю сеть центра. Другой зловред под названием agent.btz (вероятно, китайского производства) успешно проник в физически изолированные американские военные сети.


Подобные атаки полагаются на уязвимости носителей информации, используемых для передачи файлов на изолированные компьютеры и обратно.


Начав работу над документами АНБ, переданными Эдвардом Сноуденом, я использовал единственный изолированный компьютер. Это оказалось труднее, чем я предполагал, и у меня есть десять правил для тех, кому потребуется делать то же самое:


  1. В процессе настройки компьютера подключайтесь к интернету как можно меньше. Полностью избежать подключений практически невозможно, но постарайтесь настроить всё за один раз и как можно более анонимным образом. Я купил свой компьютер на месте в большом магазине, затем отправился к знакомому и использовал его сеть, чтобы скачать всё необходимое в один присест. (Сверхпараноидальный вариант: купите два идентичных компьютера, настройте один из них описанным выше способом, загрузите результат на облачный антивирус, и уже результат этой процедуры перенесите на изолированную машину.)

  1. Установите самый минимум ПО, необходимый для вашей задачи, и отключите все службы операционной системы, которые вам не нужны. Чем меньше вы установите программ, тем меньше будет доступная противнику поверхность атаки. Я скачал и установил OpenOffice, читалку PDF, текстовый редактор, TrueCrypt и BleachBit. Всё. (Нет, я не знаю ничего особого, чтобы рекомендовать TrueCrypt, и многое в этой программе меня настораживает. Но в Windows полнодисковое шифрование обеспечивает лишь она, Microsoft BitLocker и Symantec PGPDisk,2 и я более опасаюсь давления АНБ на крупные американские корпорации, нежели ненадёжности TrueCrypt.)

  1. Сконфигурировав компьютер, никогда больше не подключайте его к интернету. Если возможно, физически отключите беспроводную связь, чтобы не активировать её даже случайно.

  1. Если потребуется установить какое-то дополнительное ПО, скачайте его анонимно через произвольную сеть, скопируйте на носитель данных и вручную перенесите на изолированный компьютер. Это ни в коей мере не идеально, но хотя бы в некоторой степени затрудняет противнику прицельную атаку на ваш компьютер.

  1. Отключите любые функции автозапуска (autorun). Это должно быть стандартной практикой в отношении всех имеющихся у вас компьютеров, но особенно важно для компьютера за воздушным разрывом. Agent.btz заразил военные системы через функцию autorun.

  1. Сведите к минимуму количество исполняемого кода, который переносите на изолированный компьютер. В идеале, используйте простые текстовые файлы. Файлы Microsoft Office и PDF более опасны, поскольку могут содержать встроенные макросы. Отключите все функции исполнения макросов на изолированном компьютере, какие возможно. Не беспокойтесь об обновлении системы; как правило, риск исполняемого кода значительно хуже, чем риск непропатченных программ. В конце концов, этот компьютер не подключен к интернету.

  1. Для переноса файлов на изолированный компьютер используйте только доверенные носители. Флэшка, купленная вами в магазине, более безопасна, чем переданная вам каким-то незнакомцем или найденная вами на парковке.

  1. Записываемый оптический диск (CD или DVD) более безопасен для передачи файлов, нежели флэшка. Зловредная программа может незаметно записать данные на флэшку, но она не сможет незаметно для вас раскрутить CD-R до тысячи оборотов. Это означает, что зловред сможет сделать запись на диск только когда вы делаете запись на диск. Кроме того, вы можете проверить, сколько данных было записано на CD, просто взглянув на его нижнюю сторону: если вы записали один файл, но диск выглядит так, как будто заполнен на три четверти — у вас проблема. Примечание: первая компания, которая выведет на рынок USB-флэшку с отдельным световым индикатором, показывающим операцию записи (не чтения или записи — такая и у меня есть), получит приз.

  1. Перенося файлы на изолированный компьютер и обратно, используйте носитель наименьшей ёмкости и заполняйте всё свободное пространство случайными файлами. Если изолированный компьютер окажется скомпрометирован, зловред попытается вынести с него данные с помощью этого носителя, и хотя зловред может с лёгкостью скрыть от вас похищенные файлы, он не может нарушить законы физики. Таким образом, если вы используете носитель малой ёмкости, зловред сможет похитить за раз лишь небольшой объём данных. Если же вы используете большой носитель, он сможет утащить гораздо больше. Существуют мини-CD размером с визитку, ёмкость которых — лишь 30 Мб. И я по-прежнему вижу на распродажах 1-гигабайтовые флэшки.

  1. Старайтесь шифровать всё, что переносите с компьютера и на него. Порой вы будете переносить публичные файлы, для которых конфиденциальность не принципиальна, но зачастую файлы будут секретны, и для них это не так; а если вы будете использовать оптические носители, то данные с них даже невозможно стереть. Стойкое шифрование решает все эти проблемы. Также не забудьте зашифровать диски самого компьютера; полнодисковое шифрование — наилучший вариант.

Одна вещь, которую я не делал, но о которой стоит подумать, — это использование не сохраняющей своё состояние операционной системы, такой как Tails. Вы можете настроить Tails на хранение ваших постоянных данных на определённом разделе, но ОС не будет сохранять никаких собственных изменений. Запуск Tails с DVD и хранение рабочих файлов на зашифрованной флэшке — ещё более безопасный вариант. Разумеется, он не идеален, но существенно сужает пути для атаки.


Да, всё перечисленное — советы для параноиков. И поддерживать физическую изоляцию для чего-то более сложного, чем сеть из единственного компьютера с единственным пользователем, скорее всего невозможно. Однако если уж вы рассматриваете использование изолированного компьютера, то скорее всего ожидаете прицельной атаки какого-то могущественного противника конкретно на вас. Если планируете использовать физическую изоляцию, используйте её верно.


Конечно, вы можете пойти дальше. Я встречал людей, физически удалявших из компьютера камеру, микрофон и элементы беспроводной связи. Но для меня на данный момент это слишком параноидально.


P.S. Да, я не рассматриваю TEMPEST-атаки и атаки с незаконным проникновением в мой дом.


© 2013 Брюс Шнайер
Перевод © 2013 SATtva


1Предположительно, на флэш-карте одного из сотрудников центра, — здесь и далее прим. пер.
2К сожалению, Брюс Шнайер по-прежнему не знает о DiskCryptor.


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— Гость (13/10/2013 14:08)   <#>
К сожалению, Брюс Шнайер по-прежнему не знает о DiskCryptor.
DC не универсален. зашифрованные им диски не могут быть доступны в unix системах.
— Гость (13/10/2013 20:53)   <#>
Благодаря gonzo уже знает.
— Гость (14/10/2013 00:56)   <#>

При чём тут они, когда Stuxnet использовал local root в ядре винды?


Чаво?!


Бэкграундом запись туда же всегда идёт (обнуление ячеек) для ускорения последующего процесса записи. Непонятно, что имел в виду Шнайер.
— Гость (17/10/2013 20:52)   <#>
развивая тему защиты air gap.

использование аналогового транспорта: например, распечатка и последующее сканирование (повторение шутки циммермана :).

tempest: включение заgapированного компа в лесу, в землянке, в непроходимых болотах tambovstchina. в 2-3 км от ближайшей tropka.
— Гость (18/10/2013 07:43)   <#>
насчёт флешек скорее всего имелось ввиду индикация любого доступа в тч и бекграудового. у самого несколько флешек – трасценд с индикацией и кингстон без, при покупке трансценд был пустой а кингстон напичкан разными свистелками-минииграми и авторанами естественно все это было в заводской упаковке. ТОлько после -rm всех файлов, пересоздании партиции и перезаписи рандомных файлов из под никса использую ее. Эта категоря вообще очень коварна усб свистки.
— Гость (18/10/2013 14:39)   <#>

Заметим, что советы подобного уровня, рассказывая о своем опыте, дает один из ведущих специалистов по безопасности (этой несчастной планеты :). Сложно не стать луддитом, если всё так далеко и определенно ушло куда-то не туда. За смешные 20 лет.

(Кстати, я могу понять дизайнеров и т.д., у которых под линукс нет ничего, но ему-то виндоуз зачем, если он работает с текстом?)
Кстати, программа работает через Wine? Есть портабельный вариант? Кто-нибудь пробовал?
— unknown (18/10/2013 14:49)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Как ему бизнес-отчёты, декларации и офис-доки просматривать? Это криптографы из IACR могут отказаться от голосования, потому что JAVA-машину себе на комп не поставят по принципиальным соображениям.

А Шнайер — в основном бизнесмен. Он же не скажет «не буду подписывать с вами контракт, пока вы его в LaTeX не перепишете; ваши глючные вордодоки в моём OpenLibro-офисе не открываются и PDF-формы в линуксовом ридере не заполняются».
— SATtva (18/10/2013 14:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
не знает о DiskCryptor.

Кстати, программа работает через Wine?

Какой вайн для драйверов виртуальных устройств?
— Гость (18/10/2013 15:11)   <#>
В целом да, понятно, он должен тестировать и проч. И те, кого он консультирует, работают на Маках и Винде. Но тут он говорит про работу с документами Сноудена.

По моему опыту, офис в полном порядке, Adobe Reader дает аналогичный функционал. Даже чисто майкрософтовские извращения больше гарантий открыть на либрофисе (у Майкрософт слишком много несочетабельных версий).

Нету DPS (Scribus не в тренде, и не будет), плюс нет и не будет узкоспециальных приложений, критичных для очень специфических бизнесов, с числом покупателей от сотни до тысячи (разрабатывались в 90-е под винду и мак, либо переводились из более ранних наработок).

В остальных случаях использование мака-винды извиняет только неосведомленность :). (Кстати, в линуксе есть функционал, в винде невозможный: работа с несколькими мониторами и т.д. — то, что для текстов доктор прописал).
— SATtva (18/10/2013 15:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Кстати, в линуксе есть функционал, в винде невозможный: работа с несколькими мониторами
О чём Вы? Мультидисплейные конфигурации там работают точно так же.
— Гость (18/10/2013 15:32)   <#>

Так чтобы был не проектор, а продолжение рабочего стола, плюс несколько рабочих столов, из коробки, без установки доп. обеспечения. Когда мышь из одного монитора может переместиться в другой (к другим окнам). Я не видел, что в восьмерке, в семерке этого нет.

В Линуксе достаточно воткнуть монитор. Всё.
— SATtva (18/10/2013 16:05, исправлен 18/10/2013 16:06)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

http://windows.microsoft.com/e.....ng-multiple-monitors


То же самое в Win7 и, уверен, 8. IIRC, там этот функционал со времён XP.

— Гость (18/10/2013 17:49)   <#>
Extended desktop display — у меня этого не было (не проф. издание виндовз). Ok, вы правы.

Но десктоп-то только один, и как с этим жить? :)

Плюс — больная тема для всех OS кроме Мак — растеризация шрифтов. С этой стороны на восьмерку я уже посмотрел, она лучше. Но хуже, чем Линукс с Infinality.
— Гость (18/10/2013 17:58)   <#>

и убунты.
— Гость (18/10/2013 18:02)   <#>

Они где-то выкладывают все эти конфиги и настройки, надо сличить. Не могу отделаться от ощущения, что раньше было лучше :).
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3