Искусство цифровой самозащиты - Артимович Дмитрий

Специалисты компании F-Secure еще в 2018 году продемонстрировали, как можно получить доступ к ключам шифрования ноутбука, отправленного в спящий режим.

Спящий режим – это энергосберегающий режим, который переводит компьютер в состояние ожидания. На всех без исключения ноутбуках с Windows по умолчанию при закрытии крышки система переходит в спящий режим. В нем вся работа сохранится, а энергия будет использоваться для поддержания компьютера во включенном состоянии. Другими словами, потребление энергии уменьшится за счет отключения периферийных устройств – портов, дисплея, – а вот оперативная память не будет обесточена, и в ней сохранятся все данные.

Так вот, специалисты финской компании по кибербезопасности продемонстрировали в видеоролике, как, имея физический доступ к ноутбуку, отправленному в спящий режим, можно получить ключи шифрования. Для этого атакующий:

1. Открывает нижнюю крышку ноутбука и сбрасывает настройки BIOS. Это позволит обойти установленный пароль на BIOS и выбрать источник загрузки – USB-флешку.

2. Вставляет загрузочную USB-флешку с заранее подготовленным программным обеспечением для поиска ключей шифрования в памяти.

3. Замораживает модули памяти баллончиком-фризером (обычный баллончик с охладителем, который вы можете купить на Яндекс. Маркете, способен опустить температуру поверхности, на которую производится распыление, до –45° и ниже).

4. Отправляет компьютер в перезагрузку.

5. Компьютер загружается с USB-флешки. Специальная программа находит ключи шифрования в памяти.

Я, конечно, не слышал, чтобы кто-то из спецслужб применял подобного родa атаку во время задержания преступников. Но исключать то, что западные спецслужбы (в частности, американские) на это способны, нельзя. Насчет наших МВД и ФСБ я сильно сомневаюсь. Наши скорее берут на испуг – и человек сам называет пароли от зашифрованных дисков. От меня, например, следователь очень хотел получить пароль к VeraCrypt. К счастью, я ему не поверил. И правильно сделал.

Если вы шифруете полностью системный диск, то я рекомендую отключить спящий режим вообще и отправлять компьютер в гибернацию [53], когда вы отходите от него более чем на несколько минут. После гибернации достаточно подождать несколько секунд – и данные в оперативной памяти при комнатной температуре уже невозможно будет восстановить.

Откройте «Электропитание»: один из способов – в строке поиска или в меню «Выполнить» (выполнить вызывается клавишами Win+R) введите команду powercfg.cpl и нажмите клавишу Enter. С правой стороны от названия схемы, которую вы хотите изменить, нажмите на «Настройка схемы электропитания». Изменять настройки нужно у активной схемы электропитания.

Если вы пользуетесь ноутбуком, то поменяйте действие на закрытие крышки – гибернация. Для этого нажимаете те же клавиши Win+R на клавиатуре, вводите powercfg.сpl, нажимаете Enter. Слева в меню выбираете «Действие при закрытии крышки».

В пунктах «При нажатии кнопки сна», «При закрытии крышки» ставим «Гибернация». В пункте «Действие при нажатии кнопки питания» ставим «Завершение работы».

Настоятельно рекомендую при использовании шифрования всего системного диска закрывать крышку ноутбука или переводить компьютер в режим гибернации вручную, если вы далеко отходите от него, а также делать то же самое на ночь. Если к вам вдруг заявятся «оборотни в погонах», они, скорее всего, придут рано утром, чтобы застать вас врасплох.

Бекапы

Резервное копирование (англ. backup copy) – процесс создания копии данных на носителе (жестком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

Ситуации бывают разные: у вас может сломатьcя компьютер, его могут украсть, к вам домой может заявиться спецназ, и у вас изымут не только компьютер, но и все флешки и диски. Во всех этих случаях вы теряете свой компьютер и данные на нем.

Поэтому очень важно периодически делать бекапы. Хранить бекапы я рекомендую в разных местах:

1. Криптованный той же VeraCrypt внешний диск. Учтите, что если вы будете хранить такой диск в своем рабочем кабинете, в случае визита нежданных гостей из МВД или ФСБ такой диск улетит вместе с вашим рабочим компьютером.

2. Заливайте бекапы в виде одного большого зашифрованного архива в облачные хранилища. Выбор хранилищ я оставляю за вами. Достаточно ввести в Google запрос online web storage и подобрать подходящее. Многие имеют подписку Lifetime – когда вы платите один раз и пользуетесь пожизненно. Я рекомендую два хранилища на всякий случай, вдруг что-то произойдет (бывает же, что сгорают целые дата-центры).

Например, у меня написан CMD-файл [54] для создания архивных копий всех нужных мне директорий. Выглядит он примерно так:

rar a -inul «%1Desktop.rar» «C: UsersDmitryDesktop»

rar a -inul «%1Documents.rar» «C: UsersDmitryDocuments»

rar a -inul «%1Downloads.rar» «C: UsersDmitryDownloads»

%1 – это параметр «имя директории, куда складывать архивы», который передается скрипту при запуске (путь до rar должен быть прописан в глобальной переменной Path). Например:

backup 40–09.12.2022

После чего папка отправляется на диск, шифруется WinRar’ом в режиме Store и загружается на два облачных хранилища.

Моя привычка делать бекапы после дела о DDoS-атакe «Аэрофлотa» помогла мне при последнем визите «правоохранителей». А привычка всё шифровать спасла мои финансовые активы (в том числе крипто).

VPN

VPN (англ. virtual private network – «виртуальная частная сеть») – технология, позволяющая создать безопасное подключение пользователя к сети, организованной между несколькими компьютерами. Используется в том числе для обхода ограничений, а также помогает сохранять конфиденциальность в сети.

Например, VPN может использоваться для доступа к сети вашей компании. Подключившись, вы получаете доступ ко всем внутренним ресурсам, при этом сами данные, которые идут от вас до вашей корпоративной сети по обычным протоколам TCP/IP, будут зашифрованы.

Также очень часто VPN используют для подключения к удаленному серверу, который будет для вашего компьютера точкой выхода в интернет, а весь трафик до этого сервера будет шифроваться. Именно это применение нам и нужно.

Например, в 2010 году мой интернет-канал поставили «на прослушку» (СОРМ [55]) доблестные сотрудники ФСБ. Мы с братом тогда занимались продажей индийскиx дженериков (аналоги виагры, циалиса и других таблеток) в интернете. Тогда мы работали с партнерской программой RX-Promotion. Партнерские программы в интернете работают по схеме распределения прибыли: вы приводите покупателей в магазины, которые предоставляет спонсор (партнерская программа). И с каждой продажи вы получаете часть прибыли. Приводили мы покупателей через спам-рассылки. Всё это я рассказывал в книге «Я – xакер! Хроника потерянного поколения».

Мы были молодые, неопытные, VPN’ом не пользовались. RX-Promotion работала по протоколу HTTP (данные передаются без шифрования, в отличиe от HTTPS). Для того чтобы забрать свои комиссионные, нужно было просто заказать деньги из личного кабинета RX-Promo. Еще раз повторю: пароли на вход в нее передавались открытым текстом.