Офшорные механизмы и решения для Российских компаний. Оффшоры.

http://www.gloffs.com email: tax собачка gloffs.com (gloffs собачка mail.ru) тел: +7 923 616 0718  ICQ: gloffs (277-837-615) skype: gloffs

sipnet: 2271253@sipnet.ru

Авторы сайта "Оффшорные механизмы и решения для Российских компаний" регулярно просматривают страницы зарубежного Интернета в поисках информации о новейших способах компьютерной безопасности т.к. современное оффшорное налоговое планирование уже нельзя эффективно осуществлять, не построив надежную систему защиты конфиденциальной информации от третьих лиц. К сожалению актуальную и эффективную информацию находить чрезвычайно трудно т.к. большинство рассылок и сайтов, посвященных теме компьютерной безопасности, почему то в основном рассматривают только вопросы сетевой корпоративной безопасности с применением так называемой VPN (virtual private network) или рекомендуют приобретать аппаратные шифраторы в то время, как для обычного пользователя этот способ дорогостоящ и совершенно не учитывает разнообразные и коварные уязвимости, которыми обладает операционная система Windows. Публикуемая ниже информация является кратким обобщением изученных нами зарубежных материалов, а также нашими собственными мыслями по этому поводу. Данная статья будет постоянно обновляться новой информацией по мере появления новых способов защиты и взлома компьютерных систем.

Мы уделяем большое внимание тщательному изучению способов шифрования конфиденциальной информации с помощью компьютера и поэтому с особой скрупулезностью каждый раз вносим новую информацию в эту статью. После долгих поисков такой информации в Интернете нам кажется, что, по крайней мере, в Русском Интернете нет ни одного источника информации, который бы так скрупулезно и подробно рассматривал эту тему. Мы обыскали весь Русский Интернет, но так и не нашли. Может быть, вы где-нибудь встречали?

Вот, например, мы постоянно сталкиваемся с обсуждением или рекламой того или иного корпоративного продукта по обеспечению безопасности сервера корпорации от внешней сети Интернет (интранет). Только вот какой толк от этого продукта, стоящего, по крайней мере 200-300 долларов, если офис вашей фирмы был арестован сотрудниками налоговой полиции? Вы думаете, что этот продукт спасет вас от налоговой полиции? Если вы так думаете, то глубоко ошибаетесь. Вашу конфиденциальную информацию гораздо более эффективно может защитить бесплатная криптографическая программа, о чем пойдет речь  ниже в этой статье.

Недавно нам на глаза попалась статья, описывающая преимущества аппаратных шифраторов. Вот, адрес этой статьи: <http://www.infosecurity.ru/_gazeta/content/030701/article01.html> Автор статьи подробно рассматривает разные виды аппаратных шифраторов и в заключение рекомендует Российским компаниям не жалеть денег и приобретать аппаратные шифраторы (криптосредства) т.к. именно таким криптосредствам рекомендуется доверять самую ценную информацию. Однако, почему то автор статьи не обратил внимания на то обстоятельство, что все производители аппаратных шифраторов, упомянутые в его статье, получали в ФАПСИ лицензии на право продажи на Российском рынке этих железок, которые вставляются в компьютер.

С одной стороны, преимущества решения проблем безопасности с помощью "железа" налицо, но с другой стороны куда вы спрячете это устройство, если ваш офис будет арестован и все компьютерное оборудование доставлено в лабораторию компетентных органов для дальнейшего изучения вашей деятельности? Вы думаете, что дяди, у которых невысокая зарплата, будут руководствоваться какими-то моральными соображениями и оставят вас в покое, как только увидят, что информация зашифрована? Черта с два! А лицензии, которые получали в ФАПСИ производители этих железок, помогут этим дядям в два счета расшифровать всю вашу конфиденциальную информацию! Получается, что вместо того, чтобы использовать бесплатный Scramdisk, вы заплатите "сертифицированным" компаниям, производящим аппаратные шифраторы согласно требованиям ФАПСИ, которым безразличны ваши проблемы.

Необходимо прокомментировать еще одно предложение, которое было взято нами из вышеупомянутой статьи:

Консерватизм и некоторая инерционность мышления, вероятно, еще долго будут свойственны рынку аппаратных шифраторов. Проявлением данной тенденции служит игнорирование перспективных биометрических технологий, которые вполне можно использовать при создании электронных замков на базе аппаратных шифраторов. В этом случае пользователи не зубрили бы длинные пароли и не проклинали бы отдел защиты информации, в сотый раз ошибаясь при вводе шестнадцатого парольного символа, а легко и непринужденно проходили аутентификацию по уникальному биометрическому признаку — скажем, отпечатку пальца.

Если вас действительно интересует вопрос защиты конфиденциальной информации от третьих лиц, то не существует какого-либо другого пути, кроме "ввода шестнадцатого парольного символа", как об этом говорит автор статьи, и все эти новейшие биометрические способы защиты конфиденциальной информации не смогут вам предложить такой же надежной и в то же время бесплатной возможности окружить вашу конфиденциальную информацию толстым слоем тайны, как приведенные в нашей статье криптографические программы.. Не верьте рекламным объявлениям и прочим восхвалениям, которые заказываются производителями таких железок, прежде всего руководствующимися своими материальными соображениями, а не вашими личными интересами. Никто не учтет ваши личные интересы лучше вас самих, особенно когда на них со стороны давят ФАПСИ и ФСБ.

Мы постоянно сталкиваемся или слышим о том, что большинство компьютерных пользователей грубо нарушают правила компьютерной гигиены и защиты информации. И этим грешат не только обычные компьютерные пользователи, но и юридические фирмы, занимающиеся открытием оффшорных компаний. Поэтому рекомендуем вам проверять, каким именно образом такие фирмы содержат конфиденциальную информацию о ваших делах. В США на протяжении последних лет уже было несколько крупных скандалов, связанных с тем, что хакеры залезали на компьютеры адвокатских контор и похищали конфиденциальную информацию о клиентах этих контор.

Еще один свежий пример. по адресу http://www.3dnews.ru/software/guess-who размещена рецензия на новую программу по защите от несанкционированного доступа Guess Who? которая по словам авторов рецензии может заменить все программы, которые вы используете для защиты данных, в том числе и дорогостоящие решения для шифрования дисков и папок.

Вот, отрывок из данной рецензии:

В программе Guess Who? используется совершенно новый подход к защите личных данных. Утилита с вероятностью 98.6 процента может определить, кто в данный момент работает на компьютере. Если в результате проверки выясняется, что вы - это вы, вы можете спокойно работать дальше. Если же Guess Who? усомнится в том, что перед экраном находится хозяин компьютера, она тут же примет соответствующие меры. Но давайте обо всем по порядку.

Заявление авторов данной статьи о супервозможностях данной программы выглядят чересчур завышенными. Поверьте, что если ваш компьютер доставят в лабораторию всем нам известного ведомства, то буквально за полчаса прочитают все ваши секреты. А если еще учесть, что полная версия программы Guess Who стоит $150, то утверждение авторов статьи на 3dnews.ru о том, что данная программа может заменить дорогостоящие решения для шифрования дисков и папок вообще выглядит нелепым. Ведь всем известно, что рассматриваемая далее программа Scramdisk бесплатна для скачивания любым желающим. Так что не верьте всему, что пишут или говорят о шифровальных программах в Интернете неспециалисты.

Использование программы PGP не является 100% защитой оттого, что злоумышленники не смогут прочитать ваши конфиденциальные сообщения или взломать ваш компьютер на расстоянии, пока вы ходите по Интернету.

Ниже мы разберем основные меры предосторожности, которые вам следует предпринимать при использовании компьютера в бизнесе и, особенно, в том случае, если информация, находящаяся на вашем компьютере, имеет конфиденциальный характер.

Самая большая опасность в цепочке - это вы, пользователь программы PGP. Математические формулы PGP очень надежные. Именно то, как вы пользуетесь PGP, создает опасность раскрытия конфиденциальной информации.

Виды атак

Сейчас мы разберем 10 стандартных операций, которые обычно используются сотрудниками ФБР для расшифровки PGP сообщений. Операции перечисляются в порядке возрастания сложности их проведения, начиная с самых простых и кончая самыми сложными.

Атака № 1. Извлечение незашифрованного текста. Злоумышленники проникают в ваш дом или офис пока вас там нет, и извлекают всю информацию, находящуюся на вашем компьютере и дискетах. Полиция также использует этот метод т.к. он очень эффективен. Мы не будем здесь говорить о том, как легко специалистам проникнуть в ваш дом или офис без вашего ведома и таким образом, что вы об этом никогда не узнаете. Кроме этого, во время проникновения в ваш дом или офис недоброжелатели могут установить на ваш компьютер клавиатурный монитор, который представляет собой устройство следующего вида:

Это устройство записывает все ваши нажатия на клавиши в течение определенного периода времени и, конечно, конфиденциальная информация, набираемая вами на компьютере, включая пароли и парольные фразы, оказывается незаметно записанной этим неприметным устройством, установленным с задней стороны вашего компьютера. После установки монитора сотрудникам органов надо будет только еще раз проникнуть в ваше помещение и снять данные с клавиатурного монитора. Две фотографии ниже показывают задний вид компьютера перед установкой клавиатурного монитора и после:

Компания, производящая это устройство, говорит, что его можно установить за 12 секунд независимо от того, включен ваш компьютер или выключен. Как правило, мало кто из нас обращает внимание на заднюю часть корпуса компьютера, установленного в офисе или дома. Кроме установки клавиатурного монитора вам могут просто поменять вашу клавиатуру на другую аналогичную клавиатуру, но с заранее установленным внутри нее клавиатурным монитором.

Недавно газеты всего мира облетела новость о том, как сотрудники ФБР незаметно установили клавиатурные шпионы на компьютер преступника Никодема Скарфо, который подозревался в незаконных махинациях. Основанием для установки клавиатурного шпиона явилась информация о том, что подозреваемый использовал на своем компьютере программу PGP для шифрования данных. В результате сотрудники ФБР получили доступ к парольной фразе, которую  Никодема Скарфо использовал для шифрования своих сообщений. Этот случай является отличным доказательством того, какую опасность такие устройства представляют  для тех, кто в своей деятельности полагается только на надежные математические алгоритмы шифрования без учета всей используемой системы и ее самых слабых звеньев.

Даже если вы не обнаружили на задней стороне вашего компьютера такой клавиатурный монитор, то это не означает, что все в порядке. Ведь такое устройство при желании можно незаметно подцепить к  задней стороне материнской карты, закамуфлировав его под какой-нибудь конденсатор или еще какую-нибудь деталь. Поэтому при проведении проверки своего компьютера необходимо заранее тщательно изучить устройство и близкий вид всей материнской платы. Почему то нам кажется, что при установке на компьютер Никодема Скарфо клавиатурного шпиона агенты ФБР использовали более хитрый и незаметный способ, чем вставку между проводом от клавиатуры и портом PS/2 бросающегося в глаза предмета достаточно большого размера.

В июне 2005 года по адресу http://c0x2.de/lol/lol.html владелец ноутбука Dell600m опубликовал статью о том, к чему привело его желание починить сломавшийся PCMCIA слот на материнской карте его портативного компьютера. Открыв свой компьютер и вытащив клавиатуру, он увидел, что от клавиатуры его ноутбука отходит маленький кабель. По указанному выше адресу вы можете посмотреть на фотографии, сделанные им во время разборки своего компьютера. К этому кабелю была прикреплена маленькая планка с чипами Atmel AT45D041A, Microchip Technology PIC16F876 и CD4066BCM. Т.к. автор данной статьи является инженер-электриком, то он пришел к выводу, что данное устройство является одним из видов клавиатурного шпиона, о которых идет речь выше в нашей статье. Тогда он позвонил в отдел технической поддержки компании Dell и ему там сказали, что данное устройство помогает владельцам портативных компьютеров Dell восстанавливать утерянную информацию. Больше ему ничего там не сказали. Однако, ему до сих пор не было ясно, зачем же в его компьютер был вмонтирован key logger? Тогда он позвонил в полицию, т.к. в США считается нарушением закона, когда в компьютер установлено устройство, выполняющее функцию key logger. В полиции ему посоветовали обратиться в департамент безопасности (Department of Homeland Security), который согласно законодательству об открытости информации обязан был предоставить ему информацию. В ответ он получил от этого департамента следующее сообщение: "Мы получили ваш запрос и пришли к выводу, что запрашиваемая вами информация не подлежит разглашению согласно положениям FOIA". В результате всего вышесказанного можно придти к выводу о том, что производитель портативных компьютеров Dell начал вставлять в выпускаемые модели компьютеров key logger, исполняющий функцию сохранения всей информации, которая создается при работе на клавиатуре, таким образом, что, например, в случае использования владельцем компьютера Dell криптографических программ, не поддающихся расшифровке, органы полиции смогут с легкостью просмотреть любую информацию, которую владелец компьютера набирал в последние несколько месяцев, включая, естественно, любые пароли или парольные фразы.

Данный случай наглядно показывает, насколько обнаглели ведущие изготовители портативных компьютеров в США, встраивая в изготовляемые компьютеры устройства, которые тайно следят за всеми нажатиями пользователей на клавиши клавиатуры. 

Какой можно извлечь из всего этого вывод? Если вы покупаете настольный компьютер, то ни в коем случае не покупайте компьютер, собранный на фабрике, как в последнее время становится модным делать. Изготовители компьютеров придумали новый способ по извлечению дополнительных денег из карманов покупателей, где вместо покупки сборного компьютера, собранного на "коленках" в одной из местных компьютерных фирм и имеющего наиболее оптимальное соотношение цена-качество, покупателю предлагается приобрести компьютер якобы более высокого качества, т.к. он был собран на заводе (фабрике или еще где-то) по более высокой цене, т.к. такой компьютер якобы "круче", чем обычный сборный компьютер. Вы наверное уже поняли, что все это чистейшей воды вранье, которое создано только для извлечения дополнительной прибыли из кошельков неосведомленных покупателей ("чайников", "ламеров"). Но самая главная проблема состоит в том, что, покупая опломбированный компьютер на гарантии, мы не имеем ни малейшего понятия, что же там стоит внутри. Покупая импортный портативный компьютер (ноутбук) и особенно Американского производства, надо быть еще более осторожным при его выборе, т.к. не исключено, что в скором будущем во все компьютеры, изготавливаемые в США, будут вставляться такие неприятные устройства.

Примечание: информация о keylogger, встроенном в ноутбук, оказалась розыгрышем, т.е. враньем. Однако, из этого не следует делать вывод, что такого не может произойти никогда. Еще как может.

Атака № 2. Измененная копия программы PGP. После того, как злоумышленники проникнут в ваш дом или офис, они установят на вашем компьютеру поддельную копию PGP вместо оригинальной версии PGP, которая была ранее установлена на ваш компьютер. Все сообщения, зашифрованные с помощью поддельной программы, будут элементарно расшифровываться этими людьми. Еще одной разновидностью такой атаки является специально созданный вирус, который устанавливается на жесткий диск вашего компьютера в ваше отсутствие и который затем записывает все нажатия на клавиши, которые вы делали, в специальный файл. Естественно при этом ваш PGP пароль или парольная фраза также оказываются записанными этим вирусом, который еще также называют «Троянским конем», после чего все ваши сообщения, зашифрованные с помощью программы PGP очень просто расшифровать. При использовании PGP особенно опасно подключаться к Интернету, т.к. такой вирус может незаметно зайти на ваш компьютер в то время, пока вы будете ходить по Интернету, записать все ваши нажатия на клавиши и передать информацию обратно во время вашего очередного посещения сети Интернет.

Атака № 3. Рабочие файлы PGP. Проникнув в помещение в ваше отсутствие, злоумышленники скопируют некоторые файлы программы PGP с вашего компьютера и особенно ваш секретный ключ. После этого они обыщут весь ваш дом в надежде найти парольную фразу, которую вы могли куда-нибудь записать. Они начнут методически обыскивать все ваши бумаги, сейф, рабочий стол и т.д. Цель этого обыска состоит в том, чтобы найти вашу парольную фразу, после чего они смогут прочитывать любые сообщения, которые вы отправляете или получаете. Если они не смогут найти пароль, то попробуют использовать специальную программу по взламыванию паролей, которая основывается на том принципе, что большинство пользователей программы PGP обычно используют в качестве пароля слова или цифры, имеющие для них особое значение, например день рождения или имя своей собаки. Кроме того, существует еще так называемая парольная атака, где используется электронный словарь с расчетом на то, что в качестве пароля было использовано слово, имеющееся в словаре.

Недавно два Чешских криптографа обнаружили в программе PGP следующую уязвимость, которая вызвана неправильным применением сильных криптографических техник: т.к. закрытый ключ является основным и наиболее важным файлом на  компьютере, то пользователь использует его для зашифровки/расшифровки сообщений, а также для создания цифровой подписи. В виду этого он защищен сильным крипто-блоком. Однако, оказывается, что эта надежность является кажущейся.

Дело в том, что авторы открытия доказали экспериментально, что атакующему необязательно атаковать этот крипто-блок, а достаточно обойти его и парольную фразу пользователя. Легкая модификация файла, содержащего закрытый ключ, после чего копируется подписанное и зашифрованное пользователем сообщение, вполне достаточна для взлома закрытого ключа. Эта задача может выполняться без обладания парольной фразой пользователя. После этого на любом офисном компьютере можно запустить специальную программу, которая, обладая зашифрованным и подписанным сообщением пользователя (жертвы), "вычисляет" закрытый ключ пользователя в течение 0.5 секунд. Теперь атакующий может заново подписать отправленное пользователем сообщение своей собственной подписью, в результате чего корреспондент, получивший это сообщение, будет полагать, что сообщение исходит от пользователя (жертвы) в то время, как в действительности, оно было изменено и подписано другим человеком. Несмотря на быструю скорость вычисления указанная программа основывается на особом криптографическом ноу-хау.

Атака № 4. Видео наблюдение. Проникнув в ваше помещение, злоумышленники установят над вашим рабочим местом миниатюрную видеокамеру, которая будет записывать ваши нажатия на клавиши клавиатуры, в то время как вы будете вводить парольную фразу.

Американские исследователи обнаружили еще одну уязвимость компьютерных систем: во время работы модема его индикаторы мигают в соответствии с данными, проходящими через него. Если во время работы модема записывать мигание лампочек модема, то можно элементарно записать с расстояния всю информацию, обрабатываемую модемом. К счастью эта уязвимость не так страшна т.к. информация, проходящая через модем, уже должна быть  зашифрована. Ведь не будете же вы передавать конфиденциальную информацию через Интернет в открытом виде. Сначала ее необходимо зашифровать и потом уже передавать. Естественно, зашифрованную информацию путем записи мигания лампочек на модеме не расшифруешь. Единственный неприятный момент состоит в том, что злоумышленник может таким образом узнать login и пароль при использовании Интернета. Однако, login и пароль можно вычислить и другим образом, перехватывая пакеты между компьютером пользователя и удаленным сервером. Поэтому с практической точки зрения данная уязвимость большой погоды не делает. Бороться  с этой проблемой очень просто: достаточно закрыть лампочки модема липкой лентой или чем-нибудь другим.

Атака № 5. Аудио наблюдение. Этот метод аналогичен методу № 4. Отличие состоит лишь в том, что вместо миниатюрной видеокамеры будет установлен жучок, который будет записывать звуки, возникающие при нажатии на клавиши клавиатуры. После этого специалисты проанализируют записанные звуки, сравнив записанные звуки со звуками нажатия на клавиши, полученными во время набирания известного им текста. Конечно, надо понимать, что атаки №4 и №5 очень трудны в смысле практического осуществления и приведены здесь только в информативных целях.

Вот, как нам прокомментировал этот вид атаки один из специалистов:

Атака № 6. Анализ переменного напряжения в сети. С помощью специального оборудования, подключенного к сети напряжения, злоумышленники смогут отследить незначительные изменения в напряжении, в то время как вы набираете текст и таким образом записать все ваши нажатия на клавиши клавиатуры. Еще один комментарий этого же специалиста насчет атаки №5:

Атака № 7. Анализ электромагнитного излучения. Компьютерные процессоры и мониторы излучают электромагнитные волны, которые можно уловить и записать с помощью специального оборудования, установленного на машине, припаркованной неподалеку от вашего офиса. Эта тема очень сложная и вызывает большое количество споров по поводу своей практической осуществимости, но нельзя не обращать внимание на тот факт, что компьютеры и компьютерные мониторы, приобретаемые, например, Пентагоном, имеют специальные металлические кожухи, которые значительно ослабляют уровень электромагнитных излучений.

Полезный совет: говорят, что в Англии, где людям приходится платить деньги за фиксированную лицензию за просмотр телепередач, контролирующие органы, производящие мониторинг электромагнитного излучения с целью поиска тех, кто пользуется телевизорами без лицензии, не могут уловить излучение, испускаемое плазменными телевизорами.

Атака № 8. Физическое принуждение. Предыдущие атаки достаточно легки для исполнения. В действительности почти все они используются рутинно. Но, начиная с этого момента, работа по выявлению вашей парольной фразы становится достаточно дорогостоящим предприятием. Поэтому они вполне могут применить и другой более прямой подход. Конечно, в условиях России этот прямой подход может использоваться еще гораздо более интенсивно, чем за рубежом т.к. сотрудники Российских служб либо обычные уголовники, как правило, не такие «воспитанные» как их зарубежные коллеги, да и стоимость проведения операций, описанных в предыдущих способах, является гораздо более ощутимой нагрузкой для наших оперативников, чем их зарубежных коллег из ФБР.

Атака № 9. Генерация случайных чисел. Проникнув в ваше помещение, злоумышленники скопируют файл под названием randseed.bin, который используется программой PGP для генерации псевдослучайных данных при создании шифровального блока. Этот вид атаки очень сложен и чрезвычайно дорогой. К этому способу прибегают только в случае защиты национальной безопасности.

Атака № 10. Криптоанализ. Перехват зашифрованных сообщений, посланных с помощью сети Интернет - очень простое дело. После того, как ваши зашифрованные сообщения были перехвачены, то если речь идет о том, как это делается в США, они передаются в специальный отдел ФБР для проведения криптоанализа. Криптоанализ осуществляется очень дорогими компьютерами, которые называют суперкомпьютерами. На расшифровку одного сообщения с помощью криптоанализа может уйти несколько недель, месяцев, лет или десятков лет в зависимости от содержания, формата и длины вашего сообщения. Это чрезвычайно сложная и трудная работа, которая применяется только тогда, когда не удается применить ни один из описанных выше методов. В большинстве случаев расшифровка закодированных сообщений практически неосуществима.

А теперь небольшой рекламный блок от Гугла:

Способы защиты

Теперь мы возьмемся за анализ методов, которые можно успешно применять против описанных выше видов атак:

1 шаг. Почистите жесткий диск своего компьютера. Не думайте, что файлы, которые вы стерли, нельзя будет восстановить. Существуют специальные программы для извлечения и чтения всех файлов, которые когда-то были стерты с жесткого диска. Кроме этого надо иметь в виду, что программы Windows оставляют информационные следы в своп файле, который используется операционной системой Windows для ускорения работы компьютера. Для надежного удаления файлов с конфиденциальной информацией рекомендуется использовать программу под названием Eraser, которую можно бесплатно "скачать" по следующему адресу:  http://www.iki.fi/st/eraser

Если вы установите эту программу на Windows-2000, то, благодаря особенности конфигурации этой операционной системы при использовании одной из настроек программы Eraser вы можете сделать так, что при каждой перезагрузке компьютера своп файл будет перезаписываться нулями и в результате конфиденциальная информация, с которой вы ранее работали и которая ранее могла попасть в своп файл, исчезнет из этого файла. Причина такого внимания к своп файлу состоит в том, что при работе с конфиденциальной информацией она может полностью или частично попасть в содержимое своп файла и остаться в этом файле на долгое время. Особенно велика вероятность попадания информации в своп файл в том случае, если вы используете буфер обмена для переноса информации из одного файла (программы) в другой (ую).

Если вы работаете на таких ОС, как Windows-95/98/ME, то для того, чтобы стереть данные, которые могли попасть в своп файл, необходимо применить DOS-овскую утилиту типа scorch, которая была специально создана для того, чтобы стирать все содержимое своп файла Windows в режиме эмуляции DOS. Утилиту scorch можно скачать по следующему адресу:  http://www.bonaventura.free-online.co.uk/

При работе на нескольких жестких дисках под Windows-2000 часто рекомендуется переместить своп файл на другой диск (не основной) для ускорения работы компьютера. При этом на другом диске может быть установлена такая ОС, как Windows-98. В таком случае можно поступить следующим образом: после перемещения своп файла от Windows-2000 (pagefile.sys) на диск, где установлена Windows-98, после переписывания своп файла (win386.swp) нулями с помощью утилиты scorch временно переименуйте pagefile.sys в win386.swp и проделайте эту процедуру еще раз в режиме DOS. Естественно не забудьте также временно переименовать сам своп файл от Windows-98. После того, как это будет сделано, можно вернуть обоим своп файлам их прежние имена и продолжить работу на компьютере. Теперь своп файл, используемый Windows-2000, был надежно переписан утилитой scorch. Этот довольно неудобный способ переписывания нулями своп файла, используемого Windows-2000, рекомендуется применять по той причине, что при перезагрузке Windows-2000 может оказаться так, что сама ОС Windows-2000 отпускает не все сектора своп файла для переписывания и в результате, конфиденциальная информация, ранее проникшая в своп файл, может оказаться не стертой.

Еще один эффективный способ затирания своп файла Windows-2000 (pagefile.sys) нулями с помощью программы Eraser: 

возьмите из установленного каталога с программой Eraser файл eraserd.exe, который создан для работы в режиме DOS, скопируйте его в корневой директорий Windows-98, создайте исполняемый файл с расширением *.bat со следующей командой:

eraserd -file c:\pagefile.sys -nodel -passes 3

и поместите на рабочем столе Windows-98 ярлычок для исполнения этого файла. Теперь вы в любой момент можете перезагрузиться на другой диск с установленной на него ОС типа Windows-98 и нажав на ярлык, вызывающий исполнение созданного вами файла, надежно затереть своп файл Windows-2000.

Кроме использования программ, перезаписывающих своп файл нулями, необходимо установить жесткие размеры своп файла таким образом, чтобы динамический файл подкачки перестал динамически изменять свою величину. Для этого надо зайти в настройки установки размера своп файла и задать одинаковые значения минимального и максимального размера этого файла, например: 300 Мбайт. 

Еще гораздо более эффективный способ против попадания конфиденциальной информации в своп-файл - полностью отключить своп-файл и нарастить оперативную память компьютера (RAM) до такой степени, чтобы отпала какая-либо необходимость в своп-файле.

Если вы ранее использовали компьютер для работы с конфиденциальной информацией, необходимо стереть весь диск с помощью такой программы, как Eraser, переустановить операционную систему и все другие программы.

Кроме того, необходимо систематически надежно удалять с помощью этой программы временные файлы, находящиеся во временных каталогах. На Windows-98, ME - это такие места, как c:\windows\temp, а на Windows-2000 такие как C:\Documents and Settings\Administrator\Local Settings\Temp

Кроме того, не забывайте регулярно очищать свободное место вашего жесткого диска с помощью таких утилит, как Norton Free Space Wipe или PGP Free Space Wipe. Утилита Eraser также содержит эту функцию.

Причина необходимости регулярного выполнения этой процедуры заключается в том, что многие программы, работающие под Windows, как правило, оставляют копии файлов, с которыми вы ранее работали, во временных директориях. Это происходит в частности при распечатке каких-либо документов под Windows. Поэтому необходимо тщательно проверять установки программ, в которых вы работаете с конфиденциальной информацией, и выяснять, где именно эти программы размещают копии документов, с которыми вы работаете или распечатываете.

Внимание! Оказывается, что при использовании программ по надежному удалению файлов (таких, как Eraser, PGP wipe  и других) на файловой системе NTFS остается не стертым так называемый "alternate data stream". Поэтому после удаления файла таким образом рекомендуется стереть все свободное место на жестком диске по методу "wipe free space". Эта мера позволит вам полностью удалить все остатки файла, которые могли остаться в зоне "alternate data stream".

Если слежка угрожает вашей жизни, то необходимо заменить жесткий диск на новый, а старый диск разобрать и сточить с него верхний слой с помощью наждачной бумаги. После того, как у вас появился чистый жесткий диск, необходимо очищать его после каждой работы на нем.

2 шаг. Отключитесь от сети. Во время работы с конфиденциальной информацией лучше всего отключиться от сетевого источника питания и телефонного разъема. Для этого вам понадобится компьютер типа ноутбук, работающий на батареях питания. Конечно, надо понимать, что этот вид защиты не является таким приоритетным в силу того, что атака №6, описанная выше, чрезвычайно трудна для осуществления.

3 шаг. Куда-нибудь уехать. Для того чтобы расстроить планы злоумышленников, ведущих за вами наблюдение, необходимо покинуть свое обычное место работы. Если вы этого не сделаете, то установленная в вашем помещении видеокамера будет наблюдать за тем, как вы вводите пароль, а установленный радио жучок сможет записать сигналы, издаваемые вашей клавиатурой. Самые отличные места для работы с конфиденциальной информацией - это скамейки в парке, переполненное кафе или ресторан, в помещении друга или знакомого, на стоянке автобусов, аэропорту, на пляже или где-либо еще. Старайтесь быть не предугадаемыми. Весь смысл состоит в том, чтобы появиться в таком месте, которое очень сложно прослушивать или просматривать без вашего ведома.

Ни в коем случае не записывайте куда-либо вашу парольную фразу.

4 шаг. Отнеситесь к этому серьезно. Необходимо полностью пересмотреть свое отношение к вопросам безопасности и придерживаться новых процедур. Как только вам понадобится составить секретное сообщение, прежде всего, необходимо переехать в другое место. Всегда сохраняйте конфиденциальные документы на дискету. После этого можно вернуться домой или в офис, и отправить зашифрованные сообщения с другого компьютера. Использование другого компьютера жизненно необходимо. Он действует в качестве эффективной защиты и защищает ваш переносной компьютер от угрозы. Никогда не подсоединяйте ваш переносной компьютер к телефонной розетке и никогда не используйте его для хождения по Интернету. Никогда не оставляйте свой переносной компьютер без присмотра. При обычной работе на переносном компьютере можно подсоединить его к сети, но при работе с конфиденциальной информацией его необходимо отключить от сети. Если вы получили зашифрованное сообщение, то сохраните его на дискету в виде тестового файла, после чего переместитесь в другое место, проверьте дискету с помощью антивирусной программы и расшифровывайте сообщение на переносном компьютере. После этого сотрите расшифрованное сообщение и ни в коем случае не оставляйте расшифрованные сообщения на своем компьютере.

Основной рекомендуемый способ защиты конфиденциальной информации

Конечно, вышеприведенные меры безопасности достаточно сложно и неудобно исполнять. Тем более в большинстве случаев применение  сложных для практического осуществления  методов сотрудниками налоговой полиции маловероятно. Поэтому мы предлагаем вашему вниманию более простые и как нам кажется более эффективные меры безопасности:

Во-первых, перед установкой программы PGP установите на ваш компьютер программу создания шифруемых отсеков на диске, такую, как, например Scramdisk, которую можно бесплатно скачать в Интернет по адресу: http://www.scramdisk.clara.net. Scramdisk - это эффективное средство защиты конфиденциальной информации с помощью надежных алгоритмов шифрования. По адресу, указанному выше, вы найдете официальный сайт создателей этой программы, а также сможете бесплатно скачать последнюю версию программы для Windows-95,98 и Millenium.

Недавно создатель программы Scramdisk сообщил нам о том, что программа Scramdisk для следующих операционных систем (Windows 2000) изменилась и стала по другому называться. Теперь Scramdisk был заменен на программу DriveCrypt. Адрес сайта в Интернете:  www.drivecrypt.com

Изучив инструкцию по работе с программой Scramdisk, создайте на вашем компьютере логический диск нужного вам размера, куда потом можно будет установить программу PGP.

Кроме программы Scramdisk можно и рекомендуется использовать аналогичную программу, но с более расширенным набором функций: BestCrypt, которую можно скачать по следующему адресу в Интернете: http://www.jetico.com/

Эта утилита имеет следующие насколько преимуществ перед Scramdiskом:

1. Функция шифрования своп-файла, которая позволяет защищать конфиденциальные данные, которые могли попасть в своп-файл во время работы с конфиденциальной информацией.

2. Последняя версия программы BestCrypt № 7 позволяет создать внутри зашифрованного отсека еще один тайный отсек, существование которого невозможно доказать, не зная правильной парольной фразы для открытия этого тайного отсека. Т.е. если силовые структуры изымут ваш компьютер и обнаружат на нем зашифрованный контейнер, созданный с помощью программы BestCrypt, то после того, как на вас начнут оказывать давление или физическое принуждение, вы можете "расколоться" и раскрыть вашим врагам парольную фразу, открывающую "видимый" отсек. О том же, что в этом отсеке существует еще один, тайный отсек, доказать невозможно, т.к. это не видно ни с первого взгляда, ни после тщательного изучения этого отсека специалистами".

Во-вторых, при установке программы PGP устанавливайте ее не в каталог Program files, а в каталог, находящийся внутри диска, созданного с помощью программы Scramdisk (либо BestCrypt). Везде далее в статье подразумевается, что почти во всех случаях наряду с программой Scramdisk можно использовать  BestCrypt . Таким образом, вы обезопасите вашу программу PGP от возможной модификации. Перед запуском программы PGP необходимо сначала запустить Scramdisk. Теперь вы можете спокойно оставлять свой компьютер без присмотра т.к. никто не сможет получить доступ к программе PGP и ее файлам, не открыв сначала Scramdisk. С другой стороны, при установке программы PGP вы можете установить ее туда же, где устанавливаются все другие программы на вашем компьютере, т.е. в директорию Program files, но сделайте так, чтобы файлы с открытыми и закрытыми ключами (public key ring, secret key ring) этой программы были установлены внутри Scramdisk. Однако, имейте в виду, что в этом случае злоумышленник, получивший доступ к вашему компьютеру, может попробовать заменить исполняемый файл программы PGP на измененную троянскую копию этой программы.

В-третьих, купите себе второй жесткий диск и два съемных шасси для жестких дисков, после чего установите оба своих жестких дисков в съемные шасси. Теперь, у вас есть два диска. На диске № 1 можно установить полный набор программ, требующийся вам для обычной работы и хождения по Интернету. PGP и Scramdisk должны быть установлены на диске № 2, хотя копии этих программ можно установить и на диске.№1 в качестве маскировки.

Во время работы диска № 1 диск № 2 должен быть отсоединен от компьютера с помощью съемного шасси, либо с помощью отключения его через BIOS компьютера. Во время же работы диска № 2 диск № 1 должен быть отсоединен от компьютера таким же способом. Никогда нельзя допускать, чтобы оба диска были одновременно подключены к компьютеру т.к. иначе в использовании второго диска теряется какой-либо смысл и Троянский конь может просто перекочевать с диска № 1 на диск № 2, а затем обратно.

Диск № 1 можно использовать для повседневной работы с Интернетом, а на диске № 2 Интернет устанавливать нельзя.

Теперь вы можете не бояться, что во время работы с Интернетом на ваш компьютер попадет Троянский конь, который будет незаметно записывать все ваши нажатия на клавиши клавиатуры. Пускай он это делает. После получения зашифрованного сообщения его необходимо сохранить на дискете. После этого вы выключаете компьютер и вытаскивайте съемное шасси № 1 из компьютера, вставляете съемное шасси № 2 в компьютер, либо просто переключаете настройки BIOSа, что проще.

Включите компьютер и зайдите в настройку BIOS с тем, чтобы ваша материнская плата увидела второй диск. После этого сохраните изменения в настройке BIOS и загружайтесь через операционную систему, установленную на диске № 2.

Когда диск № 2 загрузится, запустите Scramdisck и затем PGP. Теперь откройте дискету и перепишите зашифрованное сообщение с дискеты на диск № 2, вытащите дискету из дисковода и расшифровывайте сообщение с помощью программы PGP. При работе с дискетой необходимо следить за тем, чтобы посредством этой дискеты на диск № 2 не проник вирус в виде Троянского коня.

Расшифрованные сообщения можно не стирать, а поместить внутри диска, созданного с помощью программы Scramdisk. Внимательно изучите правила работы с программой Scramdisk для того, чтобы не совершать грубых ошибок и не оставлять на своем компьютере конфиденциальную информацию в таком виде, когда ее очень просто обнаружить и скопировать.

Если вам необходимо подготовить ответ и выслать его в зашифрованном виде через Интернет, то зашифруйте ваше сообщение, находясь на диске № 2 и перепишите полученный зашифрованный текст на дискету. После чего закройте Scramdisk, выключите компьютер, предварительно проделав процедуру по выключению Windows.

Теперь можно вытащить диск № 2 из компьютера (либо отключить его только с помощью BIOS), вставить диск № 1, запустить его и отправить зашифрованное сообщение во время очередного сеанса с сетью Интернет. Таким образом, вы создадите систему физической изоляции двух дисков друг от друга, что не позволит "троянскому коню" или вирусу перекочевать с одного диска на другой и узнать вашу парольную фразу.

В четвертых, старайтесь как можно чаще дефрагментировать жесткий диск, на котором ранее находилась конфиденциальная информация, т.к. процесс дефрагментации позволяет более надежно удалять остатки информации, которая могла быть стерта недостаточно эффективно.

В пятых, старайтесь при удалении конфиденциальной информации отключать кэширование или буфферизацию жесткого диска т.к. оказывается, что функция VCACHE в системе ОС Windows настолько хитрая, что при поступлении команды на надежное удаление файла с последующим переписыванием места, где находился файл, эта команда не исполняется полностью, если кэш не был полностью заполнен следующим блоком информации.

Примечание: в более ранних версиях программы PGP была утилита PGP disk, которая, подобно скрамдиску,  создает на жестком диске компьютера зашифрованный виртуальный диск. Краткое описание использования PGP diskа можно найти здесь. Однако в последующих выпусках PGP disk был убран из бесплатной версии этой программы и остался только в платной версии. Если вы очень хотите поставить на свой компьютер PGP disk, то если вы зайдете на официальный сайт PGP по адресу www.pgpi.com то сможете там найти PGP disk hack, что представляет собой компонент PGP disk, который был извлечен из комплекта PGP версии 6.5.3. Этот компонент можно установить в более позднюю версию программы PGP, например 6.5.8 или 7.0.3. Преимущество этого компонента состоит в том, что он легко устанавливается на windows-2000 в то время как бесплатная версия scramdisk на windows-2000 не ставится.

Однако, с другой стороны, у Sscramdiskа имеется несколько следующих преимуществ перед PGP disk:

Еще несколько слов о программе PGP. После создания версии 6.5.8 первоначальный создатель этой программы Филлип Циммерман ушел из компании Network Associates. Во время ухода он опубликовал открытое письмо, в котором он утверждал, что последующие версии PGP, а именно версии 7.0.1 и 7.0.3 не содержат скрытых уязвимостей и что он полностью уверен в этих версиях . Однако, при этом надо учитывать следующие обстоятельства:

Внимание! Недавно была обнаружена уязвимость, связанная с функционированием программы PGP вместе с программкой (Outlook plug in), которая помогает автоматически рас/зашифровывать сообщения, пересылаемые или отправляемые через почтовый клиент Microsoft Outlook. Данная уязвимость затрагивает программу PGP версий 7.0.2 и 7.0.3. Похоже, что владельцам версии 6.5.8 опасаться нечего. Эта уязвимость атакует ошибку, найденную в маленькой программке Outlook plug in, которая сильно облегчает жизнь пользователям PGP. Сущность этой ошибки состоит в том, что путем отсылки на компьютер с установленными на нем вышеуказанными программами специального сформированного сообщения, содержащего в себе вирус, у хакера появляется возможность дистанционно управлять вашим компьютером, как только вы откроете это сообщение. При этом прилагаемый к сообщению файл открывать не обязательно и он запустится автоматически, что даст хакеру возможность получить доступ к вашей парольной фразе и вообще установить полный контроль над вашим компьютером. Сразу после опубликования данной уязвимости компания Network Associates разместила на своем сайте заплатку, устраняющую данную уязвимость, по следующему адресу:  http://www.nai.com/naicommon/download/upgrade/patches/patch-pgphotfix.asp

Тем, кто использует программу PGP с другими почтовыми клиентами, такими, как The Bat, Outlook Express, Eudora и т.д., опасаться нечего, т.к. эта проблема возникает только в отношении почтового клиента Microsoft Outlook в комбинации с установленными совместно с ним PGP версий 7.0.2, 7.0.3 и Outlook plug in.

В августе 2002г. была обнаружена еще одна уязвимость программы PGP. Ее сущность использует тот факт, что многие пользователи конфигурируют свои системы таким образом, что вся поступающая шифрованная корреспонденция автоматически расшифровывается. При этом используется следующий сценарий: злоумышленник перехватывает зашифрованное сообщение, посланное пользователю, и хочет его прочитать. Для того, чтобы это сделать, злоумышленник модифицирует перехваченное сообщение и посылает его адресату. Как только адресат получает высланное ему сообщение, его компьютер автоматически его расшифровывает. Однако сообщение было составлено таким образом, что перед глазами получателя возникает какая-то белиберда, и тогда пользователь отвечает злоумышленнику, выслав ему свое сообщение типа "Ты что за чепуху мне выслал? Не могу ничего прочитать!" Вместе с этим ответом он высылает ему расшифрованную "белиберду", которая получилась после автоматической расшифровки. А злоумышленнику этого только и надо, т.к. получив эту белиберду, он теперь сможет расшифровать и прочитать оригинал сообщения, которое было ранее им перехвачено.

Поэтому если вы вдруг получите от вашего корреспондента зашифрованное сообщение и не сможете его прочитать, то при ответе ему не высылайте расшифрованный вариант полученного от него сообщения, а либо ответьте ему, что не можете прочитать его сообщение, либо полностью зашифруйте ваше ответное сообщение его открытым ключом. Ведь люди в погонах могут с легкостью проникнуть в компьютер вашего Интернет провайдера в том случае, если вы пользуетесь для конфиденциальной переписки почтовым сервером вашего провайдера, либо перехватить сообщение путем анализа вашего Интернет траффика.

Вот по этому адресу: http://www.counterpane.com/pgp-attack.html можно подробно ознакомиться с документом анализирующим данную уязвимость.

В процессе анализа этих уязвимостей и дискуссий с другими экспертами мы решили полностью отказаться от использования PGP плагинов, которые позволяют автоматически расшифровывать получаемые сообщения, а работать только через окно. При установке программы PGP в системном трее появляется замочек, служащий для быстрого вызова функций PGP. При необходимости зашифовки/расшифровки сообщения можно сделать окно, содержащее сообщение, активным, после чего исполнить команду current window - decrypt & verify либо encrypt & sign и, таким образом, проделать с сообщением все необходимые манипуляции, не прибегая к необходимости использования для этого плагина.

Для того, чтобы избавиться от плагина, необходимо деинсталлировать программу PGP, а затем снова ее установить, но теперь уже без плагинов.

Последняя информация:

Недавно нам в руки попалась последняя версия пособия Доктора Ху о компьютерной безопасности. Здесь приведен полный текст версии 17 этого пособия на английском языке. Ниже мы приведем некоторые наиболее интересные отрывки из этого руководства. Центральное место в этом пособии уделено объяснению особенностей использования последней второй версии программы DriveCrypt под названием DriveCrypt Plus Pack (сокращенно DCPP). Эта новая утилита позволяет полностью зашифровать содержимое всего жесткого диска. Вот, что по этому поводу написано в пособии доктора Ху:

5. Какую программу вы рекомендуете для шифрования всего жесткого диска?

DCPP. Ее легко установить и использовать. Как только вы установите эту утилиту, вся ваша работа на компьютере станет безопасной т.к. она  будет происходить на зашифрованном жестком диске. Крайне важно понимать, что DCPP - это программа, шифрующая данные на лету. Сам же жесткий диск все время остается зашифрованным. Все необходимое шифрование осуществляется в оперативной памяти компьютере (RAM). Таким образом,  даже если произойдет зависание компьютера, то вся информация останется зашифрованной. В виду этого не надо волноваться по поводу того, что могло остаться в своп файле а также любых других недостатков ОС Windows. 

Еще одно огромное преимущество утилиты DCPP состоит в том, что парольная фраза вводится на уровне БИОСа перед загрузкой Windows. Важность этого момента трудно переоценить.

Это означает, что ни одна программа, которая может выполнять функцию клавиатурного шпиона, не сможет захватить вашу парольную фразу. Введение парольной фразы на уровне БИОСа является своего рода Святым Граалем компьютерной безопасности, т.к. в таких условиях ее чрезвычайно сложно перехватить на уровне софта. Но DCPP идет еще дальше и специально функционирует на пониженной скорости при вводе парольной фразы для того, чтобы противнику, получившему доступ к вашему компьютеру было бы очень трудно перебирать парольные фразы. В действительности задача противника осложняется еще тем, что у него есть только три попытки ввести парольную фразу, после чего система останавливается и требует перезагрузку для последующих попыток ввода парольной фразы. DCPP была сконструирована общепризнанным крипто экспертом, который является автором программы Scramdisk.

6. А есть еще другие программы для шифрования?

Да, есть еще несколько полезных утилит, но в настоящее время утилита DCPP самая лучшая из них т.к. только она позволяет вводить пароль на уровне БИОСа.

Наш комментарий по поводу DCPP.

К сожалению мы пока еще не успели поработать с данной утилитой, однако цена у нее кусается: $150. Конечно защита парольной фразы с помощью ее ввода на уровне БИОСа -громадное преимущество, но надо понимать, что если враг умудрится установить на вашем компьютере клавиатурный шпион на аппаратном уровне, т.е. маленькой штучки, подсоединенной к клавиатурному входу на материнской плате или еще каким-либо образом, то тогда от клавиатурного шпиона не спастись.

Ну и конечно, DCPP вас не спасет если вы будете активно использовать жесткий диск для работы в Интернете, хотя с другой стороны ввод парольной фразы на уровне БИОСа может оказаться очень эффективным т.к. если даже троянец и сможет забраться на ваш диск, то он не сможет перехватить вашу парольную фразу, вводимую перед загрузкой Windows. Но с другой стороны, если вы расслабитесь и полностью доверитесь DCPP, то троянский конь, забравшийся на ваш диск, может помаленьку начинать передавать содержимое файлов, находящихся на вашем зашифрованном жестком диске, включая данные о вашем банковском счете и пароль доступа к нему.

Внимание:

В сети появился очень полезный ресурс на тему PGP и вообще криптографии: www.pgpru.com На этом сайте есть форум, где проблемы и решения криптографии обсуждаются квалифицированными специалистами. Если вы хотите повысить уровень своего владения данным предметом, то настоятельно рекомендуем его посетить.  

Полезные советы

При установке на ваш компьютер программы "Банк-Клиент", предоставляемой банком для управления счетом через Интернет или просто по модемной связи, очень полезно устанавливать ее внутри зашифрованного виртуального диска. Таким образом, вы не только установите двойную защиту пароля к запуску банковской программы, но и скроете само ее существование от кого бы то ни было. Предположим, вас обвиняют в невозврате валютных средств из-за границы и при обыске изымают компьютер, на котором установлена программа управления счетом через Интернет. Быстрый анализ жесткого диска вашего компьютера не только быстро установит наличие на нем системы "Банк-Клиент", что является прямой уликой нарушения вами валютного законодательства, но и покажет выписки, полученные вами из банка через эту систему, что докажет ваше прямое участие в управлении счетом. В том же случае, если вы поставите программу "Банк-Клиент" внутри виртуального диска, то не оставите своим врагам каких-либо улик вашей "противоправной" деятельности, с помощью которой вы всего лишь хотели обезопасить свои сбережения от посягательства третьих лиц.

Людям, профессионально занимающимся обналичиванием, программа типа Scramdisk просто абсолютно необходима. Практически любой Российский банк в настоящее время предлагает управление счетом через компьютер. Зарегистрировав фирму по паспортам лиц, которых вы ни разу не видели в глаза, вы можете установить программу управления счетом внутри виртуального диска и в результате налоговая полиция будет бессильна доказать ваше причастие к деятельности этой компании. То же самое можно делать с печатями и подписями номинальных лиц, которые якобы являются директорами такой фиктивной компании. Сколько уже раз вам приходилось читать о том, как при обыске руководителей какой-либо фирмы или предприятия были найдены печати фиктивных компаний? Приобретите себе сканер и хороший струйный цветной принтер, отсканируйте печать и поместите файл с ее оттиском внутри виртуального диска. Теперь вам не страшен обыск вашего офиса или квартиры т.к. никаких печатей у вас там не найдут. Все официальные документы, имеющие какое-либо отношение к фиктивной компании, можно отсканировать, превратить в графические файлы и поместить внутри секретного диска. И опять вы не оставите каких-либо улик, свидетельствующих о вашей "незаконной" деятельности.

Существует неплохая программа для создания печатей на компьютере под названием Stamp http://www.stampz.ru 

Здесь вы найдете более полную информацию об этой программе.

Здесь вы можете найти нашу переписку с автором этой программы, детально объясняющую недостатки этой программы.

Даже деловую переписку, осуществляемую с помощью почтовых программ типа Outlook Express, Microsoft Outlook можно спрятать внутри такого диска. Для того, чтобы это сделать, изучите механизм работы этих программ, а именно путь, где находятся архивные файлы этих программ. Например, программа Outlook Express помещает все ваши полученные и исходящие сообщения по следующему адресу: С:\WINDOWS\Application Data\Identities\{F9973180-7C11-11D3-980E-A7243090A826}\Microsoft\Outlook Express\. Все, что вам нужно сделать, это только переместить файлы, находящиеся внутри этой папки, внутрь секретного диска и стереть файлы, находящиеся по старому адресу.

Теоретически может произойти такое, что программу Scramdisk или PGP, установленную на вашем компьютере, могут незаметно заменить на троянскую копию этой программы, т.е. копию, которая, например, может зашифровывать конфиденциальную информацию ключом тех людей, которые установили ее на ваш компьютер. Против такой изощренной атаки можно применять функцию PGP подписи (sign) исполняемого файла программы PGP или Scramdisk с помощью программы PGP, т.е. после установки программ PGP и Scramdisk вы можете подписать с  помощью своего PGP ключа и время от времени проверять целостность исполняемого файла программы, которой вы пользуетесь.

В последнее время мы начинаем слышать о том, как органы налоговой полиции врываются в офисы компаний и проверяют их компьютеры на предмет наличия на них незарегистрированных (пиратских) копий программ. В случае установления факта наличия на компьютере пиратского софта компьютер может быть конфискован, а фирме предъявлен штраф за незаконное использование программного обеспечения. В данной статье мы не будем поднимать полемику о том, хорошо это или плохо, а только предложим интересный выход из этого положения.

По адресу: http://www.safeboot.com можно найти интересную программу под названием Safe Boot (версия 3.5), которая позволяет зашифровать содержимое всего диска таким образом, что перед загрузкой Windows сначала загружается эта программа, которая приглашает пользователя ввести пароль, после чего уже загружается Windows. Если пароль не будет введен, то Windows не загрузится, и не просто не загрузится, а перед глазами компьютерных специалистов, работающих в налоговой полиции, предстанет содержимое всего диска в виде непонятного компьютерного кода. В результате у органов налоговой полиции не будет возможности убедиться в том, какая именно программа установлена на вашем(их) компьютере(ах) и предъявить вам обвинение в том, что на вашем компьютере стоит нелицензионный софт.

При разработке эффективных способов обеспечения компьютерной безопасности снова и снова приходят в голову мысли о программах, выполняющих роль "клавиатурных шпионов". Какой бы надежной не казалась нам защита конфиденциальной информации с помощью такой программы, как Scramdisk или PGP, клавиатурный шпион может записать в замаскированный файл все ваши нажатия на клавиши клавиатуры и затем незаметно передать его куда-то как только вы подключитесь к Интернету, либо ваш офис или дом могут посетить сотрудники налоговой полиции, которые извлекут этот файл и узнают вашу парольную фразу. Как с этим бороться?

Недавно мы узнали о программе Anti Snoop Password Dropper (http://32-bitfreeware.virtualave.net/), которая помогает решать именно эти проблемы. Данная программа хранит все ваши пароли в зашифрованном виде и позволяет  избежать необходимости ручного ввода пароля или парольной фразы, таким образом, что при необходимости ввода пароля вы открываете программу Anti Snoop Password Dropper, копируете пароль в буфер обмена и вставляете в окошко ввода пароля. В результате установленный на вашем компьютере клавиатурный шпион не сможет захватить вашу парольную фразу. Эта программа также позволяет создавать очень сложные пароли с высокой степенью энтропии (о том, что такое "энтропия", написано ниже) и теперь  нет необходимости запоминать пароли т.к. они действительно могут не поддаваться словарной атаке. Еще одно преимущество этой программы состоит в том, что при ее запуске  главный пароль вводится с помощью мышки, т.е. не надо набирать пароль на клавиатуре, т.к. даже если вы избежали необходимости ввода пароля для открытия конфиденциальной информации, то вам необходимо крайне тщательно и скрупулезно позаботиться о безопасности главного пароля (мастер пароля), отгадав который ваш противник с легкостью получит доступ ко всем вашим другим паролям, после чего вся ваша конфиденциальная информация станет известной вашим врагам. Это - очень важный момент. Однако, с другой стороны нам не понравилась, что эта программа стоит $20. Представьте себе, что Scramdisk для Windows-2000 стоит $20. Но ведь Scramdisk то выполняет гораздо больше функций, чем Anti Snoop Password Dropper, которая всего лишь хранит все ваши пароли в зашифрованном виде и позволяет вводить мастер пароль с помощью мышки. Стоит ли за это платить $20?

К счастью мы сумели найти эффективную замену программе Anti Snoop Password Dropper. Это - Password Safe (парольный сейф), созданный известным профессионалом в области криптографии Брюсом Шнайером (выдержки из книги которого приведены ниже в этой статье). Программа Password Safe распространяется бесплатно и ее можно скачать по следующему адресу в Интернете: http://www.counterpane.com/passsafe.html

Еще одним убедительным аргументом в пользу "Парольного Сейфа" служит тот факт, что код программы Anti Snoop Password Dropper не был раскрыт, а ее автор не известен в криптографических кругах. Поэтому, неизвестно насколько эффективно эта программа может противостоять усилиям профессионалов. Ведь дело не только в том, насколько надежный алгоритм шифрования используется в этой программе. Достаточно часто происходило такое, когда программы, использующие надежный алгоритм шифрования, имели изъяны в своем интерфейсе, с помощью которых атакующие элементарно "ломали" эти "неподдающиеся расшифровке" программы, а пользователи программ, заплатившие за них деньги, оказывались в дураках.

Интерфейс "Парольного Сейфа" интуитивно понятный и достаточно удобный, однако существенным недостатком Парольного Сейфа является невозможность ввода мастер пароля не используя клавиатуру. Однако, эту проблему можно решать достаточно эффективно, если применить нестандартные способы мышления.

Например, можно поместить пароль в виде открытого текста в одном из тысячи файлов, находящихся на вашем компьютере. Желательно, чтобы это был большой текстовой файл, например, книга или еще что-нибудь подобное. Откуда ваши враги могут знать в каком именно файле хранится ваш мастер пароль? Пускай они попробуют перелопатить всю эту тысячу файлов. В качестве дополнительной меры защиты можно выделить парольную фразу белым цветом таким образом, что при просмотре файла третье лицо даже не увидит ваш мастер пароль. Несмотря на то, что ваш пароль выделен белым цветом, его можно копировать в буфер обмена и затем вводить в окошко ввода пароля Парольного Сейфа. Кроме того, можно применить еще один нестандартный способ хранения мастер пароля: открываете один из документов в формате Word, заходите в меню file-properties и открываете свойства документа. Посмотрите, как много там разных отделов и окошек? В одном из них можно также спрятать мастер пароль. Кроме того мастер пароль можно разбить на две (три?) части и хранить в двух разных файлах. Много, что можно придумать по этому поводу. Главная задача состоит только в том, чтобы не набирать мастер пароль посредством клавиатуры.

Недавно мы узнали об очень полезной и хитрой утилите, которая предлагает свой способ борьбы с клавиатурными шпионами. Известно, что каждый контейнер, созданный программой Scramdisk, состоит из двух частей:

Идея состоит в том, что можно разделить две эти части и спрятать первую часть контейнера таким образом, чтобы противник не смог ее найти. А для того, чтобы "отрезать" первый кусок от второго и была создана программа SCRAMDICER <sdc.exce>, которую можно найти в Интернете по следующему адресу: http://www.freewebz.com/scramdicer/

Тогда, даже если ваш противник смог разгадать или вычислить ваш пароль, он не сможет расшифровать зашифрованный контейнер Scramdisk, пока не найдет первую часть контейнера, которую вы можете спрятать в любом другом файле на вашем компьютере. Кроме того, данная утилита позволяет зашифровать первую часть контейнера шифром, в роли ключа для создания которого может выступить один из множества тысяч файлов, имеющихся на вашем компьютере.

Утилитой Scramdicer не очень удобно пользоваться т.к. она имеет только командный интерфейс. К счастью автор этой программы выслал нам бета-версию графической оболочки Scramdicer, которую можно скачать с нашего сайта здесь.

Есть еще одна интересная утилита, которая может облегчить жизнь пользователям Scramdisk: Secure Tray Utility. Адрес в Интернете: http://www.fortunecity.com/skyscraper/true/882/SecureTrayUtil.htm

Эта бесплатная утилита интересна прежде всего тем, что она создана для неуязвимого для клавиатурных шпионов способа ввода парольной фразы при использовании одной из следующих 4 программ:

При вводе парольной фразы в окошко ввода парольной фразы, присутствующее в одной из вышеперечисленных программ,  Secure Tray Utility как бы пропускает парольную фразу через себя, но таким образом, что сильно усложняется задача клавиатурных мониторов (шпионов)  (которые могут оказаться установленными на компьютере пользователя без его ведома) по захвату парольной фразы.

При этом имеются три варианта ввода парольной фразы:

Автор утилиты Secure Tray Utility утверждает, что последние два способа помогают полностью защититься от угрозы, представляемой возможностью установки вашими врагами клавиатурного шпиона между клавиатурой и системным блоком.

Кроме того, утилита Secure Tray Utility содержит в себе функцию настройки самоуничтожения, которая позволяет вам мгновенно уничтожить всю вашу конфиденциальную информацию путем нажатия клавишной последовательности, либо путем передачи команды на уничтожение файлов через один из портов компьютера, а также файлы можно уничтожить на дистанции через Интернет, что особенно интересно.

С помощью указанной утилиты можно эффективно решить проблему с запоминанием парольных фраз для нескольких scramdisk контейнеров следующим образом: создается маленький scramdisk контейнер, в который помещаются ключевые файлы, содержащие парольные фразы к другим scramdisk контейнерам. Теперь можно позволить себе сделать все эти парольные фразы очень сложными (случайная последовательность букв и цифр на четырех строчках, т.е. парольная фраза, содержащая свыше 100 знаков). Такую парольную фразу практически невозможно расшифровать т.к. ее невозможно отгадать, запомнить или смоделировать. В данном случае все, что вам нужно сделать, это создать и запомнить только одну главную парольную фразу, которая открывает маленький (ключевой) scramdisk контейнер, в котором содержатся парольные фраз ко всем другим контейнерам.

А если использовать в комбинации с данной утилитой описанный чуть выше Scramdicer, то можно очень эффективно запутать всю вашу систему безопасности до такой степени, что вашим врагам будет чрезвычайно сложно (практически невозможно) догадаться, где что находится и как работает.

В последнее время мы все больше и больше слышим о том, как органы ФСБ схватили того или иного гражданина по обвинению в нарушении государственной или какой-то иной тайны. При этом на руках у него были обнаружены какие-нибудь военные чертежи, которые он собирался передать сотрудникам иностранной разведки. Несколько лет тому назад был арестован некий Американский гражданин, который согласно разоблачениям ФСБ являлся бывшим сотрудником ЦРУ. А совсем недавно где-то на Дальнем Востоке арестовали какого-то бывшего военного, который под видом макулатуры выносил с военного завода секретные чертежи военной техники.

Так вот, что нас удивляет во всем этом - это полнейшая безграмотность всех этих людей в вопросах компьютерной безопасности! Неужели так сложно купить сканер за $100 и использовать его для быстрого сканирования всех полученных чертежей и ввода их в компьютер??? Мы поставили три восклицательных вопроса т.к. никак не можем понять, почему, казалось бы, такие квалифицированные люди совершают такие безрассудные и непродуманные ошибки. Это просто бред какой-то. Ну возьми, ты, прогони чертежи через сканер, сожги чертежи, зашифруй полученные графические файлы, а для еще большей безопасности засунь полученные файлы (которые уже зашифрованы) в какой-нибудь графический или звуковой файл с расширением gif или mp3! Это же так просто! Современные технологии шифрования доступны любому человеку, у которого есть компьютер, многие программы даже бесплатны и в то же время при правильном выборе парольной фразы зашифрованные файлы практически невозможно расшифровать даже органам разведки, в которых есть специалисты. Представляете, какая безнаказанность? Никак не укладываются в голове эти возможности с поведением людей, которые должны были знать, на что шли.

Время от времени нам приходится сталкиваться со следующими предложениями некоторых специалистов:

Кроме этого, мы предлагаем сервис по защите информации – подключение к удаленному серверу в Швейцарии и работа с информацией через удаленные каналы. На вашем компьютере вообще не находится никакой информации. Вы выходите в Интернет, заходите на сайт и работаете там. Вся ваша информация хранится в Швейцарском бункере, на серверах. Имеет несколько степеней защиты и практически недоступна для вскрытия или взлома.

Казалось бы, вот оно долгожданное решение проблемы. Завел всю конфиденциальную информацию на такой удаленный сервер, который практически недоступен для вскрытия или взлома и все в порядке. Люди, предлагающие такой сервис, вероятно, действительно верят в то, что пишут. Ведь они продают вам готовое решение, за которое хотят получить с вас деньги.

К сожалению, действительность оказывается не такой, какой она кажется с первого взгляда. Давайте рассмотрим недостатки такого вида хранения информации:

1. Также как в случае с неизвестными криптографическими программами, код которых не был никому раскрыт для тщательного изучения и поиска в нем возможных "дырок" или программных недоработок, вам предлагается поверить на слово и доверить всю свою конфиденциальную информацию людям, которые находятся в Швейцарии. А как вы думаете, если вас обвинят в отмывании денег или торговле наркотиками (это же ведь не так и сложно, как кажется с первого взгляда. Разве так трудно для профессионала подбросить вам в машину пакетик белого цвета?) данные господа откажутся раскрыть вашу информацию чиновникам из силового ведомства? А если сюда подключится государственный орган США, то станет ли компания, оказывающая данные услуги, вставать в позу? Ведь даже банки не встают в позу, а частенько предпочитают втихушку раскрыть информацию, что же можно сказать об обычной компании, которая не обладает какими-либо серьезными ресурсами для того, чтобы вставать в позу? Вы наверное уже и сами поняли ответ на этот вопрос. А если информация будет правильно спрятана на жестком диске вашего компьютера, то к кому  органы смогут обратиться с просьбой получить доступ к информации? Только к вам и больше ни к кому. Тут уж вам самим решать, открывать или не открывать. Вы же ведь лучше других знаете, торговали вы наркотиками или нет.

2. При пользовании данной системой хранения информации клиенту необходимо регулярно выходить в Интернет для закачки и скачки информации. Все это время ваш компьютер подключен к сети и на него десятками тысяч рвутся разные вредоносные программы и вирусы. Каждый день хакеры создают все новые и новые вирусы, которые проникают в разные программные ошибки операционной системы и особенно файерволла, который должен стоять на вашем компьютере. (Вы же ведь не пользуетесь встроенным файерволлом Windows???) После внимательного прочтения всей информации, приведенной в данной статье, уже даже дураку должно быть понятно, что самая большая угроза вашей безопасности - это постоянное подключение вашего компьютера к сети Интернет и особенно по выделенной линии. Естественно, компании, предлагающие такие удаленные решения защиты конфиденциальной информации, будут вам говорить о полной безопасности и невозможности взломать удаленный сервер, находящийся в бункере в Швейцарии. Однако, не забывайте о том, что безопасность всей системы зависит прежде всего от безопасности самого слабого звена системы, а самое слабое звено в данном случае представляет ваш компьютер, на котором стоит "коряво" сделанная операционная система (в которой каждый день хакеры находят множество ошибок), файерволл, который также имеет определенные и пока неизвестные вам ошибки и посреди всего этого хаоса вы, находясь в сети у всех на виду, вводите имя пользователя и пароль. Ну разве это не смешно? Обсуждаемые выше способы защиты конфиденциальной информации очень тщательно анализируют способы отключения компьютера от сети во время ввода парольной фразы, а тут вы, раз, заходите в сеть, вводите пароль, а потом еще проводите в сети достаточно большое количество времени для работы с "конфиденциальной" информацией, которая уже перестала такою быть, а превратилась в публичную информацию. Всеобщее connectivity (обилие самых разных сетей, интернет, интранет) очень опасно для конфиденциальности.

Ну, и чтобы быть полностью справедливым, надо бы рассмотреть и преимущества данного способа хранения информации. А преимущество тут видно только одно:

Размещение информации на удаленном сервере и не на вашем компьютере.

Да, это хороший аргумент, но только в том случае, если никто не сможет получить доступ к этому серверу. Но никто не может этого гарантировать. Ведь и пароль, и программа для передачи информации на удаленный сервер все равно будет находиться на вашем компьютере, и вам все равно придется эти данные прятать на вашем компьютере. И все равно у вас тут возникают те же самые проблемы. Вашим врагам достаточно будет только найти пароль доступа к удаленному серверу и ваша песенка будет спета. Ведь вы же сами облегчите им работу, заходя на удаленный сервер через публичную сеть Интернет.

И напоследок, хотелось бы сказать, что не следует верить профессиональным регистраторам, когда они говорят вам о том, что вся информация о ваших компаниях находится на зарубежных серверах, а не на их компьютерах. В 99% случаев профессиональные регистраторы компаний и вообще юристы являются "чайниками" в деле сохранения конфиденциальной информации. Специалисты силового ведомства с легкостью получат доступ ко всем их паролям, если захотят. Даже Швейцарские банкиры не один раз лоханулись. Например, была такая история с одним представителем Швейцарского банка, когда он приезжал в США для личной встречи с рядом клиентов в США. Когда данный банкир приехал в США, то агенты ФБР заинтересовались этим банкиром и сделали так, что банкир на какое-то время вышел из номера, а ноутбук остался в номере. Воспользовавшись этим случаем, агенты ФБР проникли в его номер и быстренько переписали все содержимое жесткого диска банкира на свой компьютер, а когда данные передали в лабораторию ФБР, то оказалось, что данный банкир держал у себя на компьютере данные о всех клиентах банка, включая клиентов из США в НЕЗАШИФРОВАННОМ ВИДЕ! После этого случая почти всем клиентам данного банка, проживающим в США, были предъявлены обвинения в неуплате налогов и многие их них попали в тюрьму.

Попробуйте как-нибудь провести такой эксперимент: во время очередной встречи с офшорным консультантом проверьте, в каком виде информация о вас и о других клиентах хранится на его компьютере. В 99 случаях из 100 она хранится в открытом виде. Бери компьютер, копируй с него всю информацию и заводи уголовные дела.

Из всего вышесказанного можно сделать только один вывод: нельзя никому доверять, кроме себя.

Межсетевые экраны (firewall)

Хотелось бы сказать несколько слов о так называемых firewalls или "межсетевых экранах", как их называют на русском языке. На рынке существует большое количество платных и бесплатных вариантов этих программ. Один из бесплатных видов этой программы под названием Zone Alarm, созданный компанией Zonelabs,  вполне подойдет для пользователя домашнего компьютера. При использовании такой программы может возникнуть ложное чувство уверенности или неуязвимости т.к. она позволяет пользователю полностью контролировать то, какие программы имеют доступ к Интернету и при необходимости отключать те подозрительные программы, которые пытаются соединиться с Интернетом. Однако это ощущение полного контроля является ложным т.к. с каждым годом операционные системы становятся все более и более сложными и хакеры находят в них все больше и больше уязвимостей, используя которые можно посылать на другие компьютеры вирусы и "троянских коней".  Получается какая-то гонка: пользователи покупают лицензионный софт с тем, чтобы избежать троянцев, которые могут быть установлены на пиратских дисках, периодически изучают бюллетени по компьютерной безопасности и регулярно ставят заплатки, выпускаемые Microsoft и другими компаниями. Система защиты с каждым месяцем и годом становится все более и более сложной. А чем она сложнее, тем больше вероятности, что где-то что-то пропустишь, недоглядишь или заплатку не успеют выпустить. А хакерам этого и надо.

Поэтому надо понять, что самая надежная защита против хакеров, троянских коней и прочей нечести состоит в конфигурации защитных мер на низком уровне, т.е. на уровне БИОСа, а не на уровне софта. Чем ниже уровень защиты, тем он эффективнее.

Кстати, на сайте Стива Гибсона, посвященному проблемам компьютерной безопасности в сети <http://www.grc.com> вы можете прочитать о том, какие firewalls уязвимые, а какие - нет. Там же вы можете проверить свой компьютер на предмет того, насколько легко он просматривается и виден в сети. Согласно последним исследованиям Стива Гибсона единственно надежной программой против троянцев, которые с целью обмана firewall могут переименовать себя в такие благопристойные названия, как, например word.exe или outlook.exe,  и таким образом обмануть систему защиту, является программа ZoneAlarm, о которой говорилось чуть выше. Если вы заглянете на сайт Стива Гибсона по адресу http://grc.com/lt/scoreboard.htm, то найдете на этой странице список firewalls, где вы обнаружите, что такие известные программы, как AtGuard, Conseal Desktop, Symantec's Norton Internet Security (NIS) и другие бессильны против такой изощренной атаки. Это еще раз доказывает, что целиком полагаться на firewalls нельзя.

Недавно мы прочитали интересную заметку (http://www.mischel.dhs.org/index.asp), автор которой анализировал особенности функционирования новой троянской программы под названием Buschtrommel. Оказалось, что эта программа содержит в себе настройки по дистанционному управлению (отключению) настроек наиболее известных firewalls. Т.е. с помощью этой программы можно сделать так, что этот троянец проникнет в реестр Windows и изменит в нем записи, касающиеся какого-либо файерволла, например, прикажет программе The Cleaner при сканировании диска компьютера игнорировать файлы с расширением .exe. В результате, и файерволл, и антивирусная (анти троянская) программа потеряют свою функциональность и станут совершенно бесполезными. В конце статьи автор констатировал, что авторы троянских программ с каждым годом становятся все хитрее и изворотливее и у борьбы между антивирусными (антитроянскими) программами и вредоносными вирусами и троянами не будет конца. Это - война с переменным успехом то в одну сторону, то - в другую.

Еще один способ защиты модификации исполняемых файлов программы ZoneAlarm, которые могут быть незаметно изменены троянской программой, прокравшейся на ваш компьютер,  состоит в использовании функции подписывания файлов программой PGP. Для этого надо подписать два файла, относящиеся к программе ZoneAlarm: Zonealarm.exe и Zoneband.dll. После того, как вы подпишете эти два файла, то в той же папке вы увидите два новых файла с теми же именами, но с расширением *.sig. Если вы запустите любой из этих файлов, то запустится программа проверки целостности подписанного вами ранее файла. Если файл был изменен или заменен на другой (троянский), то появится сообщение "bad signature" (плохая подпись). Скопируйте все эти файлы, включая их подписи, в секретный контейнер. Эти копии будут  гарантией против возможных атак на ваш компьютер и в частности исполняемого файла программы ZoneAlarm. Затем создайте ярлыки к этим файлам (файлам, находящимся в папке ZoneAlarm) и поместите их в папку автозагрузки. Теперь при каждом запуске ОС Windows указанные sig файлы будут автоматически проверять целостность исполняемых файлов и если какой-то хакер сумеет пробраться на ваш компьютер и подменить исполняемый файл ZoneAlarm на его троянскую копию, то вам об этом сразу же станет известно.

Известно, что с троянами можно активно бороться с помощью анти-троянских программ, которые сканируют компьютер и ищут троянцев также, как антивирусная программа ищет вирусы. На рынке можно найти не один десяток программ против троянцев. Список наиболее продвинутых программ можно найти по следующем сайте, посвященном компьютерной безопасности: http://www.wilders.org/anti_trojans.htm Из всех анти-троянских программ, представленных в этом списке, особенно выделяется своей функциональностью утилита Trojan Defense Suite 3 (TDS3), которую можно скачать прямо с сайта авторов этой программы: http://tds.diamondcs.com.au/ Несмотря на то, что эта программа стоит около $60, вы можете скачать с указанного сайта демо версию этой программы, действующую в течение 30 дней, после чего программа откажется работать, пока вы ее не зарегистрируете. Однако, при большом желании 30 дневный срок можно значительно продлить.

Недавно наше внимание привлекла программа, специально созданная для выявления и уничтожения клавиатурных шпионов. Эту программу можно скачать по адресу: http://www.anti-keyloggers.com/index.html Эта программа также не бесплатна и для ее регистрации опять потребуется выложить $60, однако, к счастью, несмотря на то, что эта программа переходит в полный режим работы только после ее регистрации (за деньги), даже усеченная версия программы по крайней мере бесплатно выполняет первую фазу своей работы, а именно выявление клавиатурных шпионов путем сканирования компьютера. Для того же, чтобы она уничтожила выявленные клавиатурные шпионы, т.е. выполнила заключительную фазу своей работы, необходимо использовать платную версию программы. Но, из этого положения есть выход: дайте этой программе выполнить первую часть своей работы, после чего она покажет вам подозрительные модули на вашем компьютере, которые могут выполнять роль клавиатурных шпионов. Запишите названия этих модулей и файлов, относящихся к ним, закройте программу и деактивируйте найденные этой программой модули другим образом: либо с помощью описанной выше анти-троянской программы TDS-3, либо путем проверки всех модулей, загруженных в память компьютера (список активных задач) с помощью таких бесплатных утилит, как Process Explorer. 

Обобщение разных способов

Некоторые специалисты по компьютерной безопасности советуют использовать для работы открытые операционные системы типа Linux, код которой открыт для широкой публики и для которой пока не написано столько троянских коней или вирусов, сколько для Windows в виду того, что она не используется так широко, как Windows. Однако при использовании такой открытой ОС, как Linux сложно найти для нее приложения, с которыми также удобно работать, как с приложениями, написанными под Windows. Кроме того, известно, что вирусы и троянские кони созданы для размножения в ОС Windows преимущественно по причине ее распространенности, а не потому что изначально Linux надежнее, чем Windows. Т.е. если вдруг окажется так, что ОС Linux станет использоваться более широко, чем Windows, то вирусописатели начнут создавать вирусы для этой ОС.

При общем анализе существующих принципов безопасности последние можно разделить на три основных способа:

1. использование ОС Linux

2. использование нескольких жестких дисков по принципу, описанному в данной статье

3. использование одной операционной системы Windows в связке с антивирусными, анти-троянскими программами, межсетевыми экранами (firewalls) и т.д. и т.п.

Понятно, что большинство людей используют третий способ т.к. он наиболее прост в применении. Однако мы считаем, что второй способ гораздо более эффективен, чем первый и третий. С другой стороны, можно попытаться найти компромисс между вторым и третьим способом, что позволит несколько упростить систему защиты, использующую принцип работы на двух дисках. Например, в качестве примера можно привести конфигурацию, где в качестве безопасного, удаленного диска используется диск с Windows-2000, а в качестве фронтального диска, соприкасающегося с Интернетом - Windows-98. В виду того, что Windows-98, использующий файловую систему FAT-32, не видит файловую систему NTFS, которую использует Windows-2000, вирус или троян, попавший на фронтальный диск, не сможет перебраться на "безопасный" диск, и даже если он заново отформатирует диск с Windows-98, то это - не беда в том случае, если вы регулярно делаете back ups фронтального диска с помощью такой утилиты как, например, Norton Ghost.

Если вы не хотите мучиться с переключением с одного жесткого диска на другой, можно использовать возможность работы Windows-2000 с несколькими пользователями, т.е. создайте учетную запись простого пользователя и дайте ему ограниченные права, после чего при каждом посещении сети Интернет заходите в Интернет только через пользователя с ограниченными правами, а через учетную запись администратора заходите только тогда, когда необходимо установить/удалить программу, не находясь в сети  Интернет. Указанная мера предосторожности защитит ваш компьютер от вирусов и троянов даже если вы случайно запустите одного из них на своем компьютере т.к. при работе через учетную запись пользователя с ограниченными правами ни вирус, ни троянский конь не сможет получить доступ к реестру и, следовательно, нанести вред вашему компьютеру.

Кроме того, специалисты по компьютерной безопасности рекомендуют изменить название учетной записи администратора, обладающего абсолютными правами, на другое название, т.е. создать учетную запись другого администратора (с другим названием), причем первоначальный администратор станет как бы притворным администратором. Тогда, если какой-либо хакер проникнет в ваш компьютер, то зайдя в учетную запись администратора, он не сможет причинить вред вашему компьютеру т.к. в действительности он не получит абсолютных прав администратора.

Внимание! Мы нашли еще один эффективный способ защиты компьютера от Интернета. В последнее время начинают появляться программы, которые позволяют установить внутри одной ОС другую ОС таким образом, что они полностью изолированы друг от друга,, т.е. если у вас на компьютере стоит ОС Windows-2000 или Windows-XP, то  внутри нее можно поставить другую внутреннюю систему, например Windows-98 и использовать ее исключительно для работы в сети и вообще для тестирования нового софта, в котором вы не уверены. Одна из таких программ называется VMWare <http://www.vmware.com> и основное ее предназначение состоит в возможности установки на вашем компьютере виртуального компьютера с отдельным жестким диском и другими девайсами. Внутри этого виртуального компьютера можно установить любую другую ОС, такую как Windows-98, Windows-ME, Windows-2000 или Windows-XP, Linux и т.д. Теперь внешнюю ОС можно вообще не подключать к Интернету, а внутреннюю ОС использовать только для работы в сети, не обременяя себя различными мерами по защите от вирусов и троянских коней. Пускай эти маленькие гады на нее залезают. Все равно они не смогут с нее выбраться! Как только вирус начнет свою разрушительную активность вы можете откатиться на предыдущее состояние внутренней ОС и таким образом с легкостью от него избавиться. Хотя программа  VMWare позволяет создать между двумя ОС сеть, мы не рекомендуем вам этого делать, т.к. сеть может помочь вирусу или троянскому коню перебраться на внешнюю ОС, где находится конфиденциальная информация. Вполне достаточно того, что обе системы имеют доступ к флоппи дисководу и CDROMу, с помощью которых файлы можно перемещать между одной ОС и другой. Этот способ по эффективности очень похож на способ использования двух дисков, только преимущество его состоит в том, что не надо ждать, пока ваш компьютер перезагрузится на другую ОС. Вы можете одновременно работать в обеих ОС и даже имеется возможность переносить между ними информацию через буфер обмена. Т.к. программа VMWare создает виртуальную видеокарту, жесткий диск, звуковую карту и материнскую плату, то хотелось бы посмотреть, каким образом Чернобыльский вирус сможет разрушить BIOS виртуальной материнской платы. Ведь это не настоящая плата, а только виртуальная. Еще одно значительное преимущество данного способа защиты компьютера состоит в том, что программа VMWare позволяет в любой момент погрузить внутреннюю ОС в спящий режим, подобный режиму hibernation, только в данном случае он работает надежно на все 100%, не преподнося пользователю таких неприятных сюрпризов, когда после выхода их хибернации машина зависает намертво.

Как то мы получили от одного из наших читателей (nolaf собачка mail.ru) информацию насчет того, каким образом можно организовать конфигурацию взаимодействия виртуальной операционной системы VMWare с другими компонентами компьютерной системы пользователя:

Хочу предложить одну схему компьютерной "организации", которую удалось ввести в действие в начале 2004 года, благодаря появлению достаточно мощного компьютерного оборудования.

Кратко ее можно описать так: виртуальные компьютеры (на основе VMWare Work Station), работающие изнутри шифрованных дисков (на основе Jetico BestCrypt).

Немного более развернуто эту схему можно описать так. Сначала - терминология:
- хост - платформа (настоящее оборудование и операционная система (ОС) на нем), где работает эмулятор (VMWare, в данном случае; хотя VMWare и не такой чистый эмулятор, как, например: Connectix (Microsoft) Virtual PC) и системы шифрования данных;
- гость - платформа, состоящая из виртуального оборудования, созданного эмулятором и какой либо ОС, установленной на этом виртуальном железе.

Организация хоста:
- железо: компьютер x86 c 0,5 - 2 ГБ памяти; процессор класса P4 c частотой в районе 3 ГГц (объем памяти наиболее важен - отдавайте предпочтение ему в ущерб всему остальному); жесткий диск достаточного объема для установки ОС хоста и некоторого ПО (см. далее) - я использую ноутбук с 1ГБ памяти и процессором Centrino первого поколения 1,6 ГГц;
- ОС: можно взять любую из наиболее распространенных Линуксов, тогда отпадут возможные претензии по поводу нелицензионного ПО - использую Windows XP;
- ПО: эмулятор VMWare; система шифрования BestCrypt для создания контейнеров (где будут гости) и шифрования файла виртуальной памяти хоста (есть версии VMWare и BestCrypt под линукс); антивирус (KAV, DrWeb), анти-шпион (Ad-Aware) и система аудита (Aida) - делает "снимки" конфигурации системы (для последующего сравнения и выявления вторжений);
- другое: дополнительно можно применить аппаратное (IDE-шифраторы) или программное - (DriveCrypt Plus Pack - предпочтительнее) шифрование содержимого диска хоста; в этом случае включать шифрование файла виртуальной памяти BestCrypt'ом не нужно;
- конфигурация: отключите все лишние сервисы ОС; логически отключите все сетевые соединения (если необходимо использовать одно из сетевых соединений хоста в качестве моста гостями, то сделайте "отвязку" (unbinding) протокола TCP/IP в свойствах сетевого соединения сетевого адаптера); ужесточите системную политику безопасности (на всякий случай).
Итак, хост используется для единственной цели - запуск гостей с шифрованных Bestcrypt'ом контейнеров с помощью эмулятора VMWare. Пробраться на хост кому-либо кроме Вас, становится очень затруднительным.

Организация гостя/ей:
- железо: отдельный жесткий диск объема, достаточного для хранения шифрованных контейнеров с гостями и вашими проектами - использую 2,5" ноутбучный жесткий диск в USB 2.0 боксе;
- контейнеры: можете создать скрытую часть; не давайте контейнерам очевидные имена и описания, типа "MyProjects" - просто назовите файлы "1.jbc", "2.jbc" ... и не задавайте им описания;
- ОС: те, которые Вам нужны;
- обязательное ПО (только для гостей, с которых Вы выходите в сеть): антивирус, анти-шпион, система аудита (см. выше) и файрволл (важно: работая с сетями (как и, вообще, с чем-либо) Вы должны понимать принципы работы сети; файрволл - это не волшебная программа, которая Вас защитит, а то что исполняет ВАШИ ПРАВИЛА относительно сетевого траффика);
- другое ПО: по вашему усмотрению (однако, старайтесь не использовать наиболее широко распространенного ПО (в нем больше всего ищут (и находят) дыр), стандартных сетевых портов, и стандартных мест размещения критических файлов); можете также поставить туда BestCrypt и монтировать в гостя контейнер с вашими проектами, профилями ПО, ключами и т.п.;
- конфигурация: отключите все лишние сервисы ОС; ужесточите системную политику безопасности; в эмуляторе задайте запрос на фиксирование/откладывание/отброс транзакций к виртуальному диску по завершение работы гостя.
Итак, здесь принцип тот же (только для сетевых гостей применять его надо жестче): отключаем/блокируем все лишнее по принципу - нет программы, нет проблемы.

Общие замечания.
Регулярно проводите антивирусное, антишпионское сканирование и аудит хоста и сетевых гостей (перед началом работы, после загрузки, можно сделать аудит - всего 5 минут, а раз в неделю - сканирования). На хост ставьте только крупные обновления ОС типа сервис-паков. На сетевых гостях придется помучится с установкой всех критических обновлений ОС (заплаток) - которые выходят между сервис-паками (ни в коем случае не в автоматическом режиме) - подпишитесь на рассылку безопасности по данной ОС.
Если Вы не устанавливали никакого ПО и не проводили конфигурацию гостя в течение последнего сеанса работы (особенно в сети), то незачем фиксировать транзакции на виртуальный диск гостя по завершении - вдруг Вас протроянили (ваши проекты, смонтированные в гостя отдельным BestCrypt-конетейнером - сохранятся). Проводите работы по переконфигурации гостей с последующей фиксацией изменений на виртуальный диск гостя в "доверенном" состоянии (проведены сканирования и аудит).

Описанная схема, кроме повышенного уровня безопасности, обладает еще и прекрасной переносимостью. Вы можете развернуть хосты в нескольких местах, где Вам приходится бывать и ходить туда-сюда с диском с рабочим набором (в данный момент - это чуть более 100 грамм массы при объеме 100 Гб). А про этот кошмар с установкой ПО можно забыть:
поставили и настроили один раз - и все - вы носите ваши "компьютеры" с собой.
На рабочий диск можете вместе с шифрованными контейнерами положить самораспаковывающийся запароленный архив WinRAR с образом диска с дистрибутивом ОС для хоста, дистрибутивами VMWare и BestCrypt. Это позволит Вам быстро развернуть защищенную конфигурацию на любом подходящем железе, где бы Вы ни оказались...

Построили свою информационную модель? Так,.. а теперь встаньте на другую сторону и попробуйте оценить ее в качестве цели для взлома. Помните - уровень безопасности/надежности любой системы, как правило, определяется самым слабым ее звеном. Сделайте самое слабое звено таким стойким, чтобы затраты на его преодоление превысили стоимость информации, которое оно прикрывает. И не забывайте, что остается еще одно очень слабое звено - Вы (не болтайте и не "светитесь" - блин, зачем я все это рассказал)...

Помните также про регулярное резервное копирование (правило: как только затраты на восстановление информации в случае сбоя начинают превышать затраты на резервирование - надо делать резервную копию).
 

И еще один момент, играющий немаловажную роль при определении подходящей конфигурации, состоит в том, что уязвимость вашего компьютера напрямую зависит то того, сколько времени вы проводите в сети. Если ваш компьютер постоянно подключен к сети Интернет, то построение максимально эффективной конфигурации абсолютно необходимо для защиты вашего компьютера от возможных неприятностей. В том же случае, если вы заходите в Интернет через dial up только для отправки/приема почты на 2-3 минуты и время от времени делаете непродолжительные (5-10 минут) прогулки по Интернету, то тогда требования к конфигурации вашего компьютера могут быть менее жесткими, приближаясь к варианту №3.

Недавно нам стало известно о новой программе под названием "Magic Lantern" ("Волшебный фонарь"), которая разрабатывается ФБР. Эта программа засылает на компьютер подозреваемого преступника специальный компьютерный вирус, задача которого состоит в том, чтобы найти и "украсть" парольную фразу, вводимую с клавиатуры во время расшифровки сообщения, зашифрованного с помощью программы PGP. С этой целью данная программа проверяет наличие установленной на компьютере пользователя программы PGP и если эта программа обнаруживается, то затем делается попытка захватить парольную фразу, а также секретный PGP ключ, который требуется для расшифровки сообщения. В статье говорится о том, что данный компьютерный вирус, созданный в недрах ФБР, засылается на компьютер пользователя как электронное почтовое сообщение. Затем делается попытка отправить полученную информацию на сервер ФБР, куда должна поступать информация о паролях и секретных PGP ключах разных пользователей.

Эта информация нас нисколько не удивляет и мы предполагаем с большой долей вероятности, что либо ФБР поделится этой программой со своими коллегами из спецслужб других стран, включая ФСБ, либо у ФСБ уже имеется подобная программа. В любом случае мы считаем, что элементарные способы компьютерной безопасности, изложенные в настоящей статье, позволят вам избежать проникновения такого вируса на ваш компьютер. Кроме того, надо понимать, что раз размер парольной фразы имеет мизерную величину, а секретный PGP ключ не превышает одного-двух килобайтов, то естественно на незаметную передачу такой информации на удаленный сервер может уйти буквально несколько секунд.

Вполне возможно, что создатели данной программы позаботились о том, чтобы она отключала работу firewall, если он установлен на компьютере пользователя и, таким образом, нельзя будет полагаться на то, что firewall запретит соединение этой программы с Интернетом, когда будет сделана попытка передать захваченную информация на какой-то удаленный сервер. Естественно, для того, чтобы поставить эффективную защиту на пути такого "волшебного фонаря", необходимо прятать секретный PGP ключ внутри зашифрованного отсека такого, как, например, Scramdisk. Кроме того, не рекомендуем вам производить расшифровку сообщения (введение парольной фразы) во время соединения с Интернетом. Мы уверены, что с помощью изложенных в нашей статье способов и методов обеспечения компьютерной безопасности можно эффективно заблокировать попытки третьих лиц установить на наш компьютер такие программы. Естественно,  необходимо подозрительно относиться ко всякого рода файлам, прикрепленным к почтовым сообщениям, получаемым вами, осознавая, что любой прикрепленный файл, который нас просят запустить, может содержать в себе либо обычный вирус, который заново отформатирует ваш жесткий диск во время очередной перезагрузки, либо специальный вирус, созданный для другой цели. И, вообще, возьмите за правило никогда не читать поступающие почтовые сообщения находясь в режиме on-line, т.е. сначала отключитесь от соединения с Интернетом и только потом уже начинайте просматривать поступившую почту.

И еще один полезный совет: старайтесь как можно чаще переустанавливать Windows на чистый жесткий диск, т.е. предварительно переформатировав жесткий диск с помощью обычной команды format c: Тогда даже если какой-либо троянец или вирус залезет на ваш компьютер, то во время форматирования жесткого диска он будет надежно удален. Чем чаще мы делаем переустановки операционной системы с полным форматированием жесткого диска, тем сложнее  будет нашим врагам осуществлять дистанционное управление вашим компьютером!

Коварные уязвимости ОС Windows

Все большее и большее проникновение Интернета в нашу жизнь и удешевление услуг Интернет провайдеров приводит к тому, что безопасность наших компьютеров все больше зависит от того, насколько надежной является операционная система Windows, в которой хакеры каждую неделю находят все новые и новые уязвимости и потайные двери. Например, известно, что хакеры сумели неоднократно проникнуть на сервер компании Microsoft. Что они там делали, нам неизвестно, но высказываются предположения о том, что они могли незаметно поместить в компьютерный код разрабатывающихся в компании операционных систем свои шпионские программы, которые могут выполнять разные задачи, начиная с таких простых, как запись в тайные файлы всех нажатий пользователя на клавиатуру и кончая более сложными, о которых можно только догадываться.

Еще один скандал разразился, когда компания Verisign обнаружила, что в конце января 2001г. кто-то зарегистрировал ложный сертификат подлинности, к которому обращается ОС Windows при установке нового программного обеспечения и самый неприятный момент состоит в том, что с этим уже нельзя ничего поделать т.к. в Windows не предусмотрено возможности отзыва ложных сертификатов.

Кроме того, эксперты по компьютерной безопасности постоянно находят все новые и новые "дырки" и коварные уязвимости в Интернет обозревателе Internet Explorer, который устанавливается на компьютер при установке Windows. Один из таких экспертов заявил следующее об этой проблеме: "Безопасность - это постоянно обнаруживаемые уязвимости в программе Internet Explorer т.к. это такая сложная программа, которая взаимодействует с таким количеством других приложений , что даже экспертам чрезвычайно сложно выявить все эти уязвимости".

В связи с этим можно сделать вывод, что какими бы хорошими и надежнымий не были программы защиты компьютера от Интернета, известные как "firewalls" или брэндмауэры, они не способны обеспечить 100% защиту от возможных уязвимостей, которые могли быть "встроены" в Windows то ли специально, то ли по ошибке.

Следующая операционная система, известная как Windows XP, содержит в себе функцию под названием "shared desktop", т.е. "общий рабочий стол", что позво