id: Гость   вход   регистрация
текущее время 18:53 29/03/2024
создать
просмотр
ссылки

Секретный ноутбук :)


Как можно обезопаситься (с точки зрения предотвращения учечки информации) пользуясь ноутбуком?
Понятно, что видеокамеру на крышке перед носом заклеить черной бумагой :)
Блютуз/вайфай отключить – как? Если есть выключатели на корпусе, этого достаточно или специальным шпионским софтом они все-равно включаются? А если выключателей нет, то как???
По поводу винчестера. В идеале хотелось бы иметь систему, которая при загрузке спрашивала бы ключ и при 2-3 неправильных ответах прибивала бы
всю информацию на винче. Ясно, что за короткий промежуток уничтожить всю информацию трудно, поэтому видится два решения:
1) Убивать ее в порядке приоритетов, а не тупо все подряд.
2) Продолжать отвлекать юзера надписями "подождите, пожалуйста", повторными запросами ключа, "тормозами" и т.п. производить уничтожение информации.


Но как можно реализовать шифрование данных? Так, чтобы подгрузчик для дешифровки позволял в процессе работать под любыми операционками
и разумеется с дисками любых объемов и в процессе работы с ОС не выдавал свое наличие?
Есть такой софт? Где его можно взять? Главное, чтобы софт был надежный (чтобы в один прекрасный момент не побил / не потерял информацию)


Аналогичный вопрос по поводу шифрования записанной информации на болванки (сд, двд)
И тут было бы лучше сделать не запрос пароля при вставлении диска в компьютер, а дешифровка по ключу сохраненному в простой файл, хранящийся в определенном месте на винчестере. Т.е., файл с кодами лежит – диск читается/пишется без проблем, файл отсутствует – диск нечитается безо всяких комментариев.
Чем все это можно реализовать?


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии
— Гость (15/06/2009 18:40)   <#>
Как можно обезопаситься (с точки зрения предотвращения учечки информации) пользуясь ноутбуком?

Защита ноутбука ничем концептуально не отличается от защиты обычного PC, за исключением дополнительных предостережний касаемо безграмотного злоупотребления засыпанием/суспендом/etc.

Понятно, что видеокамеру на крышке перед носом заклеить черной бумагой :)

Да, у меня везде заклеено. Достаточно белой бумаги, лишь бы не слишком прозрачной.

Если есть выключатели на корпусе, этого достаточно или специальным шпионским софтом они все-равно включаются? А если выключателей нет, то как???

И да и нет – смотря как глубоко хотите копать. Если ноутбук соответствует спецификации и не содержит зловредного софтваре и хардваре, то нежелательные компоненты можно отключить либо тумблером на корпусе, либо задизейблить их из самой ОС. Например, если уязвимостей нет, то достаточно файерволлом ограничить передачу каких-либо данных через wifi- или блютуз-интерфейс. На этом можно ограничиться в ответе, но если хотите знать знать как всё на самом деле (а это куда сложнее), то можете прочитать следующий абзац.

Наиболее сложные в детектировании обычными пользователями системы – это зловредные хардварные штуки, уже встроенные в PC/ноутбук. Это могут быть и аппаратные кейлоггеры и вообще всё что угодно. Отсутствие оных в распространённых продаваемых версиях основывается на мнении, что если бы стали такое делать массово – быстро бы обнаружили те, кто всё же копается в железе. Кроме хардварных гадостей, есть тонкие надргуательства через BIOS, например, системы виртуализации в BIOS, позволяющие полностью скрывать троянскую деятельность оных безотносительно используемой ОС, что может быть надёжно устранено лишь перепрограммированием BIOS'а на программаторе (т.е. не всегда можно это сделать на обычной компьюторе). Можете поискать информацию по computrace и Intel vPro, недавно обсуждавшиеся на этом форуме – это как раз официальный софт для подобных целей, встраиваемый в современные ноуты (там пока не всё так плохо, ибо vPro на современных поколениях ноутов не распространено, а computrace работает только под виндой, но "на следующей итерации" это уже будет серьёзной проблемой, и уже для всех). Кроме того, сейчас входит в повседневную практику (видимо, технология с каждым днём всё дешевеет) за рубежом, а, значит, вскоре и у нас, снятие дампа оперативной памяти с работающей машины (опять же обсуждалось на форуме). Данная процедура полностью обессмысливает вообще какое-либо дисковое шифрование, если только вы не успели нажать на reset ранее, чем кто-то к ноуту коснулся своими грязными криминалистически-экспертными лапками, т.е. никакой надёжной и рабочей процедуры защиты от этого пока не придумано, а то, что предлагается, не будет работать в современных машинах на свременных скоростях обработки информации. Если хочется быть на шаг впереди, изучайте компьютерную криминалистику и методы ведения оперативно-разыскной деятельности – там все тёмные места защиты описаны в деталях (и да, даже не думайте мнить себя защищённым с установленной Windows, если только вы не гранд как ntldr, ибо нежелательных левых следов она о себе оставляет на порядки больше UNIX-систем, от чего излечить её сложно, в UNIX же по умолчанию есть (включена) разумная модель разграничения прав). Резюме: чем меньше знаете, тем лучше спите, так что лучше забудьте всё что я в этом абзаце написал (т.е. доступ к данным на практие можно получить почти всегда, даже без терморектального).

По поводу винчестера. В идеале хотелось бы иметь систему, которая при загрузке спрашивала бы ключ и при 2-3 неправильных ответах прибивала бы
всю информацию на винче. Ясно, что за короткий промежуток уничтожить всю информацию трудно, поэтому видится два решения:
1) Убивать ее в порядке приоритетов, а не тупо все подряд.
2) Продолжать отвлекать юзера надписями "подождите, пожалуйста", повторными запросами ключа, "тормозами" и т.п. производить уничтожение информации.

Во-первых, экспертиза покажет наличие системы самоуничтожения постфактум, что будет работать не вашу пользу (противодействие следствию, сокрытие улик или как там?). Во-вторых, по уму делается всё совершенно не так. Для эффективного уничтожения доступа к информации достаточно уничтожить лишь секретный ключ, коим она зашифрована. Таким образом, на практике предпочтительнее схема наподобие таковой: дисковые разделы монтируются с использованием файла-привязки (salt), хранящегося на стороннем носителе и вводимой с клавиатуры пассфразы. В результате вычисляется криптографический ключ, загружаемый в оперативную память, с которым и работает система. В случае внезапного "Oops!" достатоно нажать на reset (правда, быстрого reset на ноутбуках нет – надо подолгу держать нопку power, что тоже проблема) и всё, систему загрузить в её рабочей конфигурации уже нельзя, пока не скопируете в память файл привязки и не проведёте процедуру монтирования. Файл привязки можно прятать на съёмном носителе, хранить его далеко от рабочей машины, и уничтожать при "аварийной ситуации" (к примеру, поинтересуйтесь карточками microSD – их нужно просто удачно прятать в команте, можно хоть в шариковую ручки поместить, впрочем, есть "импульсные сканеры" по поиску электроники, ну там в фольгу ещё заверните или что там... не компетентен в этом я).

Но как можно реализовать шифрование данных? Так, чтобы подгрузчик для дешифровки позволял в процессе работать под любыми операционками
и разумеется с дисками любых объемов и в процессе работы с ОС не выдавал свое наличие?

Загрузчик, умеющий шифровать себя и грузить ядра любых ОС... не в курсе, есть ли такое (grub не поддерживает?). Другой вопрос: а зачем? Вам достаточно следить лишь за тем, чтобы код загрузчика и системных разделов не был протроянен, а данные прятать в "якобы неиспользуемых местах" (при надлежащей настройке софта и "линии защиты" всегда можно сказать, что в текущий момент скрытые разделы уже не использовуются, хотя когда-то они там были). И такой подход вам даст хорошую карту в руки: вы можете с честным лицом заявлять, что данные вы не скрываете, всё загружается, и файлы доступны для анализа. Т.е. нужно вести как бы двойную жизнь: одну писать в логи для правдоподобной отрицаемости, а другую – только в скрытые разделы, и чтобы "вы там" и "вы здесь", а равно и соответствующие данные, никаким образом не коррелировлаи и не пересекались (это проблемно будет сдать, так как предварительная стадия экспертизы включает в себя сбор информации о ваших сетевых соединениях, что само по себе может быть поставлено как улика, даже без соответствующих записей на диске – прецеденты за бугром, пишут, что уже были). Загрузчик кроме того можно (а можно и вместе с ядром и базовыми компонентами) хранить на внешнем носителе, загружаться с него, а потом его отключать – до перезапуска ОС всё будет прозрачно работать (UNIX это позволяет). Некоторые рассматривают вариант работа только с LiveCD для "правдоподобной отрицаемости" – здесь уже вам решать, какую линию защиты вы предполагаете и что вы будут говорить "гостям".

Аналогичный вопрос по поводу шифрования записанной информации на болванки (сд, двд)

Решается спокойно многими стандартными средствами, зависит от используемой ОС.

И тут было бы лучше сделать не запрос пароля при вставлении диска в компьютер, а дешифровка по ключу сохраненному в простой файл, хранящийся в определенном месте на винчестере. Т.е., файл с кодами лежит – диск читается/пишется без проблем, файл отсутствует – диск нечитается безо всяких комментариев.

Близко, но не совсем. Ответ как лучше сделать монтирование уже написан мной выше (кстати, файл привязки можно загружать и из сети – здесь уж кто во что горазд).

Чем все это можно реализовать?

Зависит от ОС, в которой хотите работать и всё это настраивать.
— Гость (15/06/2009 18:46)   <#>
И ещё вдогонку, если подойти афоризматически:

Как можно обезопаситься (с точки зрения предотвращения учечки информации) пользуясь ноутбуком?

Не пользоваться ноутбуком. Эта рекомендация проста в исполнении, надёжна, и работает наверняка. Кстати, здесь есть мысль: минимизируйте по возможности объём секретных сведений, с которыми вы работаете – это всегда повышает вашу безопасность (самая лучшая защита – отсутствие каких-либо секретов). Часто бывают ситуации, когда оптимальнее отказаться от некоторых средств и удобств вместо того, чтобы настраивать в них защиту.
— Гость (15/06/2009 18:50)   <#>
касаемо безграмотного злоупотребления засыпанием/суспендом/etc.

Т.е. не спите за компом: враг не дремлет! // не хлопайте ушами :)
— Гость (16/06/2009 00:12)   <#>
Если у вас винда, используйте DiskCryptor.net
— Гость (18/06/2009 08:31)   <#>
Благодарю за ответы. Вы можете назвать конкретных производителей, которые самые первые ставят в свои ноутбуки "поганые примочки" и наоборот те, которые лучше подходят для модернизации в "секретный ноут"? Насколько я слышал, лидирует Тошиба + они сильно дружат с мелкософтом.
Если назовете конкретные модели будет еще лучше. Ну или хотя бы направление (AMD, Intel, архитектура) укажите. Спасибо.
— Гость (18/06/2009 14:54)   <#>
Вы можете назвать конкретных производителей, которые самые первые ставят в свои ноутбуки "поганые примочки"

Например (список моделей). Но это только под винду будет работать, если вы ставите, например, Linux, вам бояться нечего.

и наоборот те, которые лучше подходят для модернизации в "секретный ноут"?

У SATtva'ы попросить погонять его секретный ноут :-)

А вообще, читайте тщательно коменты к вот этому топику, включая ссылки, на которые там указывалось. Всё необходимое уже сказано.

Можете поискать информацию по computrace и Intel vPro, недавно обсуждавшиеся на этом форуме

Я ожидал, что эта фраза вас сразу же сподвигнет к поиску computrace site:pgpru.com в гугле... и вы набредёте сами на вышеуказанный топик с обсуждением, а раз этого не произошло, вам ещё, полагаю, рановато так серьёзно заботиться о своей безопасности (в смысле, это бы не помешало, но опыта настройки не хватит).
— SATtva (18/06/2009 19:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
У SATtva'ы попросить погонять его секретный ноут :-)

Я свой боевой BenQ покупал пару лет назад, но вроде и сегодня они во всяких крамольных списках не замечены. Единственное, с чем стоит быть осторожным: они очень любят Виндоуз, и некоторые их компоненты под Линуксом работают не совсем полноценно (у меня не работают только наушники, но на новых моделях со всякими внешними экранами и прочими рюшками совсем не уверен, что их удастся завести).
— Гость (09/09/2009 15:23)   <#>


Не поможет, обязательно следует ее отпаивать, и припаивать лишь перед применением, если паять не умеете, видеокамеру нужно залить эпоксидкой, поверх – 5 мм черного полипропилена на суперклее или моменте.

встроенный микрофон тоже следует отпаивать на время простоя, впрочем, как и блютуз и вайфай модули. Но и это может не помочь. Храните ноутбук в отдельной звуко и радиоизолированной комнате – стены желательно из сплошной 300-450 мм стали с прослойками из свинца – ведь в нотбуке могу быть различные аппаратные закладки, скрытые приемного-передающие модули.

Но, все равно, лучше работайте за ноутбуком в защитной маске черного цвета, желательно плотной. Если есть опасность слежки – поверх маски желательно одеть противогаз – так вас не узнают. Исключается работа с клавиатурой без перчаток – ноутбуки часто оборудованы модулем распознания отпечатков. Подойдут любые плотные кожанные перчатки (обязательно проверьте их на наличие закладок). Для того, чтобы затруднить съемку, работайте в плотной фуфайке, на несколько размеров больше – так будет сложнее проанализировать ваше телосложение. Никогда не разговаривайте перед нотбуком – даже удаление микрофона и выпайка аудиоэлектроники не гарантирует отсутствие радиозакладок. Чтобы исключить передачу информации путем анализа теплового излучения работайте, сидя в хорошо прогретой ванной – это не позволить корректо сработать тепловизорам, термоэлементам. Чтобы иметь возможность гарантированно уничтожить информацию, оборудуйте под нотбуком резервуар печь для плавки металла и держите ее постоянно в рабочем состоянии..
— DDRTL2009 (09/09/2009 16:17)   профиль/связь   <#>
комментариев: 115   документов: 19   редакций: 17
это же какой уровень паранои должен быть , чтобы все выполнить?)
— Гость (09/09/2009 16:59)   <#>
а ведь есть ещё и экстрасенсы! :)
— Гость (09/09/2009 17:22)   <#>
Тогда добавьте в список шлем из сетки подключенный к заземлению. Заземление следует вкапывать собственноручно, и контролировать целостность провод на всем его протяжении, иначе экстрасенс сможет через специальную установку навязывать вам свои мысли.
И вообще, ментальная безопасность – это целая наука, но так как все исследования засекречены, то нам остается пользоваться опытом других энтузиастов. Читайте http://psiterror.ru/p/content/content.php?cat.4 Раньше на ихнем форуме были интересные обсуждения, но недавно их потерли, а на http://mindcontrol.borda.ru/ сделали приватными. КГБ и ZOG не дремлют, спешите освоить защиту разума по материалам http://web.archive.org/web/200.....ru/p/forum/forum.php пока их еще не удалили.
— Constanto__0 (11/09/2009 02:46)   <#>
а, значит, вскоре и у нас, снятие дампа оперативной памяти с работающей машины (опять же обсуждалось на форуме). Данная процедура полностью обессмысливает вообще какое-либо дисковое шифрование, если только вы не успели нажать на reset ранее, чем кто-то к ноуту коснулся своими грязными криминалистически-экспертными лапками, т.е. никакой надёжной и рабочей процедуры защиты от этого пока не придумано, а то, что предлагается, не будет работать в современных машинах на свременных скоростях обработки информации.


хм... в принципе, проблема может и решаема ( но это с любом случае требует дополнительных опытов), а именно: в момент аларма организовать "лавину нулей и единиц (белый шум)" в оперативку на максимально высокой частоте и в максимальном объеме (но так, чтобы не сгорела, [хотя по спецкнопке можно и сжечь]) – например, приличный кондер разряжается на память через генератор белого шума, не обязательно высококачественного – главное, за короткое время произвести максимально возможное число операций [пере]записи в одни и те же ячейки нулей/единиц.
— Гость (11/09/2009 17:15)   <#>
Не стоит овчинка выделки. Всё равно такая схема заточена под своевременное нажатие красной кнопки, а раз так, то достаточно обычного резета (или при резете оперативная память не перезаписывается, пока не будет востребована вновь загружающейся ОС?). Если пользователь успел нажать на резет, в случае современных планок оперативной памяти у атакующего есть секунды на изъятие памяти и помещение её в азот. Можно за секунды вскрыть корпус, допустим, ноутбука и вынуть оперативную память, не повредив содержащиеся на ней данные? Даже для произвольного наперёд заданного системного блока обычного PC это слишком малореалистично. От силы, чтобы произвести такое действие, нужно уже детально "натоптать место" изучив комп, схемы крепления и т.п., но раз так, то его можно и вскрыть сразу нужным методом без риска резета, что обессмысливает атаку. В итоге всё сводится к тому, что противник будет с вероятностью 99% уповать на случай (и специально готовить его), что пользователь не успеет нажать ту самую кнопку (резет).
— Гость (11/09/2009 17:17)   <#>
Возможно, в посте выше надо было сделать %s/резет/power/g
— SATtva (12/09/2009 12:46)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Психическая мутотень Обсуждение защиты от ментальных воздействий отделено в другую тему.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3