Инструкция по безопасности: TrueCrypt

Не так давно всех нас поразила новость об аресте админа форума DamageLab. Видеозапись момента задержания, на которой демонстрируется рабочий контакт-лист вызывает недоумение. Такие новости говорят о необходимости настройки рабочего окружения, чем мы сегодня и займёмся.

 TrueCrypt

Сабж зарекомендовал себя как инструмент надёжный и действующий на нервы заинтересованным лицам. Независимый аудит кода фатальных проблем не выявил. Есть мнение, что давление на авторов вынудило их отказаться от поддержки продукта. Но попытки компрометации продолжаются и по сей день, чего стоит только сайт распространяющий русифицированную версию с бекдором.

Проверяйте файл перед установкой, он должен иметь валидную электронную подпись. Известный мне надежный файл подписан 7 февраля 2012 и имеет такие хеши:

Давайте закроем дискуссии о том, какой из режимов работы софта предпочтительней. Использование криптоконтейнеров категорически не рекомендуется. Сторонний софт оставляет множество следов:

  • Архиватор забывший удалить файлы из %TEMP%
  • Кешированные картинки в FastStone
  • Куски памяти в pagefile.sys или hiberfil.sys
  • Ну и так далее

Единственно верным вариантом работы будет шифрование всего диска с boot-лоадером.

Требования к железу

Проблема в том, что TrueCrypt не умеет работать с UEFI. А значит необходимо пользоваться либо устаревшей материнской платой, поддерживающей только MBR, либо современной поддерживающей его симуляцию, что обычно указывается в характеристиках.

Отдельно хочу сказать про выбор диска. MBR не будет работать с дисками размером больше двух терабайт. Лучше всего взять диск на 500 гигов, современные диски предельного объема представляются мне менее надёжными.

Так же стоит периодически проверять счётчик ошибок чтения из S.M.A.R.T.

Информацию о диске можно получить с помощью софта на подобии CrystalDiskInfo.

В противном случае вы рискуете остаться с зашифрованными (и лавинообразно умирающими) секторами. Скорость чтения повреждённого сектора занимает минуты, так что даже банальное копирование повреждённого диска может растянуться на недели.

Если беда всё таки произошла, запишите Hiren’s BootCD и с помощью Victoria посекторно скопируйте диск на носитель того же объема. Только после этого попробуйте его расшифровать!

Процесс установки

  • Физически отключаем все диски от материнской платы, кроме целевого. В противном случае установщик Windows будет иметь соблазн записать общий для всех систем boot-лоадер на первый диск.
  • Ставим последнюю винду поддерживающую mbr. Насколько мне известно, это Windows 7.
  • [Опционально] Отключаем апдейты и блокируем телеметрию сторонним софтом.
  • Настраиваем впн и фаервол, смотри [1] в разделе ссылок.
  • Антивирус — лишняя дыра в безопасности, никто не может гарантировать его надёжность. Лучше пользоваться системными утилитами, вроде [3] и [4].
  • Ставим TrueCrypt и выбираем создание boot-лоадера
  • При выборе алгоритма шифрования — указываем AES. Современные процессоры имеют его аппаратную поддержку.

Выбор пароля от раздела

Для более-менее спокойной работы необходимо выбрать не-словарный пароль длиной 30+ символов, состоящий из набора: A-Z a-z 0-9 + спец символы. Для примера, он должен выглядеть как-то так:

Можно обойтись и без спец символов, но усилить пароль дополнительной длиной. О том как запоминать длинные пароли читайте в гугле.

Достаточно ли этого?

Коротко говоря — нет. Со слов знакомых мне, счастливых клиентов пенитенциарной системы, за неимением технических средств и кадров, пароли из Вас попросту достанут силовыми методами. Так что, единственным добротным снотворным может быть соблюдение общественных норм.

И шифрованный диск.

Ссылки

  1. Как устранить утечку IP
  2. Как работает протокол Socks4
  3. Выявление ring-3 малвари
  4. Выявление ring-0 малвари
  5. Как обезопасить общение
  6. Как создавать и хранить пароли
  7. Как ломают TrueCrypt

Отдельно хочу обратить Ваше внимание на книгу «Из записок районного опера», раскрывающую механизмы работы правоохранительных органов изнутри.

5 thoughts on “Инструкция по безопасности: TrueCrypt

  1. Системный раздел не шифрую … на основной системе стоят всякие проги типа Photoshop пару игрушек и браузер (которым не пользуюсь) ну и VirtualBox… Образы виртуальных систем находятся уже на зашифрованном разделе (второй SSD) в котором используется HiddenVolume с менее стойким паролем, если открыть скрытый раздел — там пара тройка гигов порнушки (особо извращенной японской блевотины), пароль за которым спрятаны образы виртуалок достаточно стойкий хоть и не использую спецсимволы (для примера: «влесуродиласьелочкаитамонарослазимойилетом») подобрать длинный пароль — проблемотично, скорее подберут пароль от скрытого раздела с порнушкой… отключены файл подкачки и еже с ним… раньше использовал файл ключей на флешкев в дополнение к паролю от truecryp, но после гибели 3й флешки решил отказаться от такого метода…

    P.S. известны случае в США (и европейских странах) когда за отказ выдать пароль от TrueCrypt люди получали срока запердельные…нужно быть готовым ко всему в том числе и выдать свой пароль…

    1. Вы удивитесь сколько левых данных можно найти в pagefile.sys
      Да и компрометация хостовой системы сделает TrueCrypt бесполезным, а скрытый раздел невероятно легко по неосторожности повредить.
      Для гарантии можно работать с boot-cd, но это не слишком удобно.

      1. Вы удивитесь, однако pagefile.sys и hiberfil.sys легко отключаются… что косается компрометации хостовой системы то с правильно выставленными правами и политиками — это становится невероятным (основные права — запись только у админа, основная политика — разрешить запуск программ только из определенных путей), это не даст гарантий, но существенно снизит вероятности… опять же скомпрометировать можно и систему с зашифрованным системным разделом…

        Помню было время даже собирал iso с кали (добавлял VirtualBox) что бы грузиться с флешки, но флешки это не надежно (пришла мысль внешний ссд использовать, так и поступлю).

  2. Форк трукрипта по имени VeraCrypt начиная с версии 1.18a умеет шифровать GPT разделы и загружаться с UEFI

Добавить комментарий