Недостатки TrueCrypt:
Фиксированный размер виртуального диска. Диск создается заранее.
Файлы можно синхронизировать только после того, как Вы размонтировали диск. Получается в реальном времени синхронизации не будет.
Недостатки не критичные, если данные которые шифруются, используются не часто как в моем случаи, сделал копии и забыл. Потом вспомню, добавлю еще документов и опять забуду. Нет необходимости в синхронизации в реальном времени.
Преимущества облачного копирования:
— Защита и безопасность данных
— Управление резервным копированием
— Хранение копий.
— Скорость и простота.
— Расходы и доступ.
— Защита удаленных офисов и филиалов.
Причины выбрать облачное копирование:
— Нет своего ИТ-отдела
— Небольшие объемы данных
— Небольшое количество приложений и баз данных на локальных серверах
— Недостаток устройств для резервного копирования
— Растущее число удаленных офисов и мобильных сотрудников.
В 80% организаций вообще не уделяется внимание сохранности конфиденциальной информации и персональных данных, хотя по 158 ФЗ оператор обязан обеспечить целостность персональных данных. Про шифрование резервного копирования можно сказать тоже самое. CyberSafe притянул к себе этой полезной и нужной возможностью, будем внедрять у себя в ЦОД.
Новый продукт компании Elcomsoft ForensicDisk Decryptorпредназначен для расшифровки содержимого трёх самых популярных криптоконтейнеров. Продукт позволяет снимать защиту мгновенно, извлекая необходимые для расшифровки ключи из слепка оперативной памяти компьютера или файла гибернации и расшифровывая данные «на лету». «Все три криптоконтейнера обеспечивают действительно стойкую защиту», говорит Андрей Малышев, криптоаналитик компании ElcomSoft. «Но даже самым устойчивым ко взлому продукту никто не будет пользоваться, если пользоваться им неудобно. Неизбежные компромиссы, на которые пришлось пойти разработчикам BitLocker, PGP и TrueCrypt, являются тем самым слабым звеном, которое мы смогли использовать для снятия защиты.»
«До появления Elcomsoft Forensic Disk Decryptor с зашифрованными дисками работал только Elcomsoft Distributed Password Recovery«, говорит Юрий Коненков, ведущий крипто-аналитик компании ElcomSoft. «Программа использовала метод прямого перебора пароля. Сегодня мы представляем специальный инструмент, который использует совершенно иной подход к расшифровке дисков, защищенных с помощью PGP, True Crypt, BitLocker и BitLocker To Go. Кроме того, мы добавили возможность перебора паролей к контейнерам TrueCrypt и BitLocker To Go.CyberSafe Elcomsoft не расшифрует.
ssl/tls никогда и НЕ считалось надёжным способом передачи информации. Как и любая другая схема, завязанная на какого-то крупного центрального вендора, обеспечивающего «тайну».
ssl/tls хорош только против доморощенных хацкеров.
Закрытый ключ должен быть ТОЛЬКО у его владельца, и более НИ У КОГО.
Наконец, если необходимо скрыть большие объемы информации, то справиться с этой задачей на скорую руку можно путем переноса данных на отдельный логический диск и последующего удаления закрепленной за ним буквы. Как результат, выбранный том перестанет отображаться в списке дисков и доступ к файлам будет заблокирован. Выполнить данную операцию можно посредством оснастки «Управление дисками», предварительно зарегистрировавшись в системе с правами администратора. =)
Нельзя пройти мимо способа маскировки, предполагающего практическое использование множественных (альтернативных) потоков данных в файловой системе NTFS. Звучит несколько устрашающе, однако если ознакомиться с краткой теорией, то многое встанет на свои места. Весомым преимуществом альтернативных потоков NTFS является возможность хранить в них не только текстовые, но и бинарные данные, будь то архивы, исполняемые файлы, видео и проч. К примеру, для маскировки какого-либо экзешника внутри обычного текстового файла потребуется выполнить в консоли Windows всего одну команду:
Type имя_файла.exe > имя_файла.txt: название_потока.
А для последующего запуска скрытого файла пригодится следующая инструкция:
Start имя_файла.txt: название_потока.
Аналогичным образом, путем варьирования имен потоков, выполняется сокрытие и просмотр любых других объектов. Количество и размер потоков, создаваемых в одном файле, ограничены только объемом свободного пространства на диске компьютера. Также необходимо помнить, что последние версии Windows позволяют пользователю получать сведения о множественных потоках, и поэтому данный метод засекречивания файлов следует использовать только в самых крайних случаях.
Неплохих результатов в деле сокрытия данных позволяет добиться утилита BDV DataHider, созданная коллективом разработчиков под руководством Дениса Балыкина из Житомира, что на севере Украины. Упомянутый инструментарий дает возможность не только скрывать файлы на отформатированных в FAT, FAT32 и NTFS-носителях (в том числе и портативных), но и допускает использование различных алгоритмов шифрования (Blowfish, Twofish, AES (Rijndael), Mars, Cast-256, Serpent) с 256-битным ключом для защиты маскируемых документов. Программное решение не требует инсталляции, занимает на диске всего полмегабайта и может запускаться с флеш-накопителей на любых имеющихся под рукой компьютерах под управлением Windows.
способ сокрытия данных подразумевает использование CLSID-идентификаторов для системных директорий Windows, о нюансах работы с которыми наше издание уже подробно рассказывало. Технология простая: создаем на рабочем столе папку, в которую помещаем секретные файлы, после чего переименовываем оную с использованием любого приглянувшегося параметра CLSID, например, {78F3955E-3B90-4184-BD14-5397C15F1EFC}. В результате директория обзаведется новым значком, и при попытке зайти в нее будет открываться окно утилиты «Счетчики и средства производительности» (Performance Information and Tools). Вряд ли кто из посторонних лиц с ходу догадается, что перед ним не обычный ярлык, а замаскированная папка с документами государственной важности. Впрочем, последние в силу уязвимости упомянутого метода (содержимое скрытой директории можно просмотреть любым отличным от проводника Windows файловым менеджером) лучше хранить в более надежных местах.
Небольшая утилита с названием S-Tools позволяет присоединять к графическим и музыкальным файлам другие файлы. Принцип ее работы основан на возможности добавлять дополнительную информацию к некоторым файлам (GIF, BMP, WAV). При этом происходит незначительное изменение цвета или звука, которое человеческий глаз или ухо просто не в состоянии заметить. На взгляд, две картинки ничем не отличаются одна от другой, но реально, к одной «приклеен» небольшой файлик и заметить это нет никакой возможности. Конечно, таким способом вам не удастся запихнуть в небольшую картинку базу данных на пару сотен мегабайт, но небольшой архивчик спрятать вполне реально.
Вначале надо осознать, что самая лучшая защита, это когда ищущий даже не догадывается о том, что что-то спрятано. Так что файл типа «financial documents.zip», будь он даже очень хорошо защищен паролями, может так сильно заинтересовать определенный круг специалистов, что его могут взломать либо, наняв специалистов, либо, поговорив с Вами так, что Вы и сами быстро вспомните пароль. Так что после архивирования документ переименовывается во что-нибудь нейтральное типа «nvidia», «sound32», «mem32», «sys32», «kbrd32» и т.п., изменяется расширение на dll и переносится в каталог Windows\System. Вы много знаете парней, которые с точностью могут сказать назначение каждой dll в Windows\System? Да туда кроме уж совсем на системе тронутых (типа меня) никто не лазит!
К сожалению, большинство архиваторов позволяют просматривать список файлов даже без знания пароля архива (насколько я знаю, только AIN не позволяет смотреть список файлов без пароля). Используйте двойную архивацию: архивируйте с паролем, затем архив вновь архивируйте с паролем — теперь никто не сможет так просто посмотреть список файлов.
Архиватор ZIP в начале архива всегда ставит «PK» как первые байты, наряду с изменением имени на DLL, поменяйте эти байты на «MZ» — теперь очень редкие программы смогут распознать этот файл как архив даже по внутренней структуре (к сожалению не все программы!).
Этот миф проистекает из достаточно старого Постановления Правительства от 26 июня 1995 г. №608 «О сертификации средств защиты информации» (в редакции Постановлений Правительства РФ от 23.04.1996 № 509, от 29.03.1999 № 342, от 17.12.2004 № 808), в котором есть такие строки «криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации». Однако сразу надо сказать, что данный абзац касается только средств защиты государственной тайны, а во вторых перед ним есть и другое предложение, которое все обычно забывают «Указанные средства (для защиты гостайны — А.Л.) подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации». Иными словами для защиты гостайны необходимо, чтобы система криптографической защиты была отечественного производства, использовала отечественные алгоритмы криптографической защиты и имела сертификат ФСБ. А что с иной информацией? Может быть там использование только ГОСТ 28147-89 или ГОСТ Р 34.10-2001 является «разрешением на работу»?
На самом деле все гораздо проще. На сегодняшний день нет единых требований по использованию систем криптографической защиты информации (СКЗИ), которые бы однозначно давали ответ на вопрос «какие алгоритмы и когда можно использовать?» Общее правило таково — режим защиты информации путем использования СКЗИ устанавливается обладателем информации, собственником (владельцем) информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации. Иными словами особые требования к используемому алгоритму государством не предъявляются, оставляя право выбора за владельцем/собственником информации или информационной системы. Он волен использовать любой алгоритм, который посчитает нужным и который не противоречит дополнительным ограничениям, прописанным в Приказе ФСБ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (положение ПКЗ-2005):
· для открытой информации действуют требования, установленные собственником/владельцем этой информации.
· для информации ограниченного доступа, подлежащей защите в соответствии с законодательством Российской Федерации (коммерческая тайна, персональные данные и т.д.), действуют требования данного законодательства и подзаконных актов, разработанных во исполнение данного законодательства и при соблюдении необходимых условий принятия и опубликования нормативно-правовых актов.
· для информации ограниченного доступа, для которой отсутствуют особые требования законодательства (например, банковская или медицинская тайна), и собственником которой является не государственный орган, действуют требования, установленные собственником/владельцем этой информации.
· для информации, обрабатываемой в государственных органах или при взаимодействии с ними, действуют требования, установленные ПКЗ-2005.
Требования же использования только российских алгоритмов криптографической защиты существуют только для защиты государственной тайны, информационно-телекоммуникационных систем и сетей критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг для государственных и муниципальных нужд.
Таким образом, можно сделать вывод, что в большинстве ситуаций можно использовать СКЗИ, поддерживающие не только ГОСТ 28147-89, но и DES, AES и другие криптографические алгоритмы (если иное явно не оговорено федеральным законодательством).
Почему-то многие считают, что реализация в системе криптографической защиты информации отечественного алгоритма шифрования, описанного в ГОСТ 28147-89, или алгоритма выработки и проверки электронной цифровой подписи (ЭЦП) ГОСТ Р 34.10-2001, автоматически делает применение таких продуктов законными. Этому заблуждению подвержены даже производители средств криптографической защиты; особенно зарубежные, которые считают, что интегрировав в свои VPN-решения или средства шифрования дисков криптографическую библиотеку, реализующую ГОСТ 28147-89, они станут легитимными на российском рынке.
Если вспомнить, что КриптоПро помимо собственной реализации пилили openssl, заимствование кода или идей вполне могло быть.
Модуль поддержки сетевой аутентификации КриптоПро TLS, входящий в состав СКЗИ КриптоПро CSP, реализует протокол Transport Layer Security (TLS v. 1.0, RFC 2246), с использованием российских криптографических стандартов.
Гост это шифр, более поздняя стадия. TLS это протокол установления соединения пришедший на замену SSL. Если у Вас используется openssl уязвимых версий с включенным hearbeat то этот баг у Вас есть. Т.е. атакующий может воровать у Вас содержимое оперативной памяти. Даст ли это что-то в случае использования гост сертификата или нет я не могу сказать.
Heartbeat только в TLS 1.2 вроде ввели.
Цель (важно умение четко ее сформировать) +структура (тут важно правильно сформировать порядок выполнения задачи) +мотивация (здесь комментарии не нужны) = ожидаемый результат от работника.
Что касается самих работников, то нужно уметь планировать пути достижения цели.
Я например использую miniplan.ru и др напоминалки — помогает.
Фиксированный размер виртуального диска. Диск создается заранее.
Файлы можно синхронизировать только после того, как Вы размонтировали диск. Получается в реальном времени синхронизации не будет.
Недостатки не критичные, если данные которые шифруются, используются не часто как в моем случаи, сделал копии и забыл. Потом вспомню, добавлю еще документов и опять забуду. Нет необходимости в синхронизации в реальном времени.
— Защита и безопасность данных
— Управление резервным копированием
— Хранение копий.
— Скорость и простота.
— Расходы и доступ.
— Защита удаленных офисов и филиалов.
Причины выбрать облачное копирование:
— Нет своего ИТ-отдела
— Небольшие объемы данных
— Небольшое количество приложений и баз данных на локальных серверах
— Недостаток устройств для резервного копирования
— Растущее число удаленных офисов и мобильных сотрудников.
В 80% организаций вообще не уделяется внимание сохранности конфиденциальной информации и персональных данных, хотя по 158 ФЗ оператор обязан обеспечить целостность персональных данных. Про шифрование резервного копирования можно сказать тоже самое. CyberSafe притянул к себе этой полезной и нужной возможностью, будем внедрять у себя в ЦОД.
«До появления Elcomsoft Forensic Disk Decryptor с зашифрованными дисками работал только Elcomsoft Distributed Password Recovery«, говорит Юрий Коненков, ведущий крипто-аналитик компании ElcomSoft. «Программа использовала метод прямого перебора пароля. Сегодня мы представляем специальный инструмент, который использует совершенно иной подход к расшифровке дисков, защищенных с помощью PGP, True Crypt, BitLocker и BitLocker To Go. Кроме того, мы добавили возможность перебора паролей к контейнерам TrueCrypt и BitLocker To Go.CyberSafe Elcomsoft не расшифрует.
ssl/tls хорош только против доморощенных хацкеров.
Закрытый ключ должен быть ТОЛЬКО у его владельца, и более НИ У КОГО.
Type имя_файла.exe > имя_файла.txt: название_потока.
А для последующего запуска скрытого файла пригодится следующая инструкция:
Start имя_файла.txt: название_потока.
Аналогичным образом, путем варьирования имен потоков, выполняется сокрытие и просмотр любых других объектов. Количество и размер потоков, создаваемых в одном файле, ограничены только объемом свободного пространства на диске компьютера. Также необходимо помнить, что последние версии Windows позволяют пользователю получать сведения о множественных потоках, и поэтому данный метод засекречивания файлов следует использовать только в самых крайних случаях.
К сожалению, большинство архиваторов позволяют просматривать список файлов даже без знания пароля архива (насколько я знаю, только AIN не позволяет смотреть список файлов без пароля). Используйте двойную архивацию: архивируйте с паролем, затем архив вновь архивируйте с паролем — теперь никто не сможет так просто посмотреть список файлов.
Архиватор ZIP в начале архива всегда ставит «PK» как первые байты, наряду с изменением имени на DLL, поменяйте эти байты на «MZ» — теперь очень редкие программы смогут распознать этот файл как архив даже по внутренней структуре (к сожалению не все программы!).
На самом деле все гораздо проще. На сегодняшний день нет единых требований по использованию систем криптографической защиты информации (СКЗИ), которые бы однозначно давали ответ на вопрос «какие алгоритмы и когда можно использовать?» Общее правило таково — режим защиты информации путем использования СКЗИ устанавливается обладателем информации, собственником (владельцем) информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации. Иными словами особые требования к используемому алгоритму государством не предъявляются, оставляя право выбора за владельцем/собственником информации или информационной системы. Он волен использовать любой алгоритм, который посчитает нужным и который не противоречит дополнительным ограничениям, прописанным в Приказе ФСБ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (положение ПКЗ-2005):
· для открытой информации действуют требования, установленные собственником/владельцем этой информации.
· для информации ограниченного доступа, подлежащей защите в соответствии с законодательством Российской Федерации (коммерческая тайна, персональные данные и т.д.), действуют требования данного законодательства и подзаконных актов, разработанных во исполнение данного законодательства и при соблюдении необходимых условий принятия и опубликования нормативно-правовых актов.
· для информации ограниченного доступа, для которой отсутствуют особые требования законодательства (например, банковская или медицинская тайна), и собственником которой является не государственный орган, действуют требования, установленные собственником/владельцем этой информации.
· для информации, обрабатываемой в государственных органах или при взаимодействии с ними, действуют требования, установленные ПКЗ-2005.
Требования же использования только российских алгоритмов криптографической защиты существуют только для защиты государственной тайны, информационно-телекоммуникационных систем и сетей критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг для государственных и муниципальных нужд.
Таким образом, можно сделать вывод, что в большинстве ситуаций можно использовать СКЗИ, поддерживающие не только ГОСТ 28147-89, но и DES, AES и другие криптографические алгоритмы (если иное явно не оговорено федеральным законодательством).
Модуль поддержки сетевой аутентификации КриптоПро TLS, входящий в состав СКЗИ КриптоПро CSP, реализует протокол Transport Layer Security (TLS v. 1.0, RFC 2246), с использованием российских криптографических стандартов.
Гост это шифр, более поздняя стадия. TLS это протокол установления соединения пришедший на замену SSL. Если у Вас используется openssl уязвимых версий с включенным hearbeat то этот баг у Вас есть. Т.е. атакующий может воровать у Вас содержимое оперативной памяти. Даст ли это что-то в случае использования гост сертификата или нет я не могу сказать.
Heartbeat только в TLS 1.2 вроде ввели.
Что касается самих работников, то нужно уметь планировать пути достижения цели.
Я например использую miniplan.ru и др напоминалки — помогает.