VeraCrypt. Надежно скрываем данные и операционную систему

Discussion in 'Безопасность и Анонимность' started by Lolinas, 6 May 2020.

  1. Lolinas

    Lolinas Member

    Joined:
    20 Oct 2019
    Messages:
    126
    Likes Received:
    54
    Reputations:
    19
    Все знают и помнят TrueCrypt, который был закрыт в 2014 году. И эстафету принял(а) VeraCrypt. Программа служит для создания криптоконтейнера и выполнения надежного шифрования данных «на лету». Создание простого тома не составит труда, достаточно следовать советам мастера. Гораздо интереснее рассмотреть создание скрытого содержимого.

    Приступим к созданию скрытого тома. После нажатия кнопки «создать том» сражу же идет выбор последующего действия; выберем первый пункт

    [​IMG]

    Так как обычный контейнер мало чем интересен (есть файл и есть пароль). В качестве теста создадим скрытый, так называемый «с двойным дном»

    [​IMG]

    То есть, теперь будут два пароля, первый пароль монтирует внешний том, а второй пароль монтирует скрытый том внутри внешнего тома. Скрытый том создается в свободном месте в зашифрованого внешнего тома. Если у нас внешний том 10ГБ, то скрытый том не может быть больше 10ГБ

    [​IMG]

    Даже если внешний том смонтирован, невозможно доказать, что он содержит в себе еще один скрытый том, так как свободное место в любом внешнем томе VeraCrypt заполняет случайными данными. Если мы ранее создавали обычный том, то внутри можно создать скрытый том, выбрав второй пункт

    [​IMG]

    Выбираем путь, алгоритм шифрования, размер. Дополнительно к паролю можно указывать ключевые файлы и PIM. Пункт «Использовать PIM» позволяет задать «Персональный умножитель итераций», влияющий на надежность шифрования прямо и косвенно (при указании PIM, его потребуется вводить в дополнение к паролю тома, т.е. взлом перебором усложняется). В следующем окне нужно около 30ти секунд перемещать мышкой в окне программы для набора случайных данных

    [​IMG]

    Собственно, и создаем внешний том. Теперь займемся созданием скрытого. Процесс создания однотипен, поэтому не будет вдаваться в детали. Единственно, не стоит забывать, пароль от внешнего и скрытого томов должны отличатся

    [​IMG]

    Итак, том создался и успешно примонтирован. Теперь можно заполнить том необходимой информацией. Не стоит забывать про скрытый том, когда заполняете внешний. Ведь файлы могут повредить или полностью уничтожить скрытый том. К счастью, разработчики подумали об этом

    [​IMG]

    Теперь рассмотрим метод шифрования всей системы. Как и для создания шифрованного тома, здесь доступны два «режима»: обычный и скрытый. Поговорим про обычный и в меню система выберем первый пункт

    [​IMG]

    Далее столкнемся с выбором одиночной загрузки или мультизагрузки. Так как для теста взята виртуальная машина с одной операционной системой, выберем одиночную загрузку

    [​IMG]

    Можем использовать следующие алгоритмы шифрования: AES, Serpent, Twofish, Camellia, Кузнечик, а также комбинации этих алгоритмов

    [​IMG]

    Пароль должен быть сложным и не иметь ассоциаций с пользователем и его окружением. Максимальная длина пароля 128 символов

    [​IMG]

    Вводим PIM и запомним его

    [​IMG]

    Важно сохранить резервную копию загрузчика VeraCrypt

    [​IMG]

    Данные которые сейчас присутствуют на разделе необходимо «занулить», что бы их нельзя было восстановить

    [​IMG]

    Теперь программа предложит на перезагрузится и попробовать вести пароль и PIM для тестирования

    [​IMG]

    Если все удалось, то операционная система загрузится, и мы увидим следующее окно

    [​IMG]

    Шифрование целой ОС занимает много времени, подождем

    [​IMG]

    Теперь, каждый раз при загрузке компьютера или виртуальной машину придется вводить пароль и PIM

    [​IMG]

    Теперь наша операционная система надежно защищена. Однако, возможны неприятные обстоятельства, которые вынуждают вас дать пароль на расшифровку. Что бы защитится от подобных ситуаций создадим скрытую операционную систему. Как и для скрытого тома так и для скрытой системы работает правило правдоподобного отрицания, ведь скрытая ОС устанавливается именно на скрытый том.
     
    #1 Lolinas, 6 May 2020
    Last edited: 26 Mar 2021
    GoodGoogle and Zroot like this.
  2. Lolinas

    Lolinas Member

    Joined:
    20 Oct 2019
    Messages:
    126
    Likes Received:
    54
    Reputations:
    19
    Рассмотрим процесс создания скрытой ОС. Пропустим некоторые шаги, которые уже были разобраны в алгоритме «обычное шифрование ОС». Сначала мастер проверит что в вашей системе есть подходящий раздел жесткого диска (раздел 2) для размещения скрытой ОС

    [​IMG]

    Требуется создать раздел, который будет больше чем нынешний системный раздел. Создадим его (том Е)

    [​IMG]

    Следуем указанием мастера и очень внимательно читаем

    [​IMG]

    Зашифруем внешний том (том Е)

    [​IMG]

    Мы зашифровали том Е и мастер предложит создать скрытый том. Читаем предупреждение

    [​IMG]

    Выбираем алгоритм, придумываем пароль и создаем скрытый том. Мастер предложит клонировать ОС

    [​IMG]

    Перезагружаемся и ждем окончания

    [​IMG]

    После окончания процесса вводим пароль к скрытой ОС. Читаем

    [​IMG]

    [​IMG]

    Теперь следует очистить исходную ОС, которая была раньше установлена на жестком диске

    [​IMG]

    Чтобы добиться правдоподобного отрицания причастности, нужно создать обманную (приманку) ОС

    [​IMG]

    VeraСrypt предупреждает, что windows должна быть той же версии что и работающая сейчас. Это необходимо потому, что обе ОС будут использовать общий загрузочный раздел. Монтируем образ и устанавливаем windows

    [​IMG]

    Нельзя создавать никаких разделов между разделами с обманной и скрытой системами

    [​IMG]

    Что же, устанавливаем, и тем самым перезапишем загрузчик VeraСrypt на windows’ый. Ничего страшного, этот загрузчик восстановится, после того, как обманную ОС нам следует будет зашифровать.
    После установки windows (обманная) шифруем (зашифровать системный раздел) ее тем же алгоритмом и хешированием, что и скрытую ОС, иначе скрытая ОС будет недоступна. Причина этого требования в том, что обманная и скрытая системы используют один и тот же загрузчик, поддерживающий только один алгоритм, выбранный пользователем (для каждого алгоритма есть свой загрузчик VeraCrypt). В итоге мы имеем два пароля, от обманной и скрытой ОС. Но есть еще и третий пароль, который принадлежит внешнему тому (в котором и находится скрытая ОС). Если вы сообщите неприятелю пароль от обманной ОС, и он спросит, почему свободное место на (обманном) системном разделе содержит случайные данные, вы сможете, например, ответить: "Этот раздел раньше содержал систему, зашифрованную VeraCrypt, но я забыл(а) пароль предзагрузочной аутентификации (или система повредилась и перестала загружаться), поэтому мне пришлось переустановить Windows и снова зашифровать раздел".


    Еще есть одна интересная «штука». Можно изменить загрузчик VeraCrypt, вплоть до того, что вообще нечего не будет отображаться

    [​IMG]

    Так выглядит загрузчик. Похоже на типичную проблему windows, когда у нее проблемы с загрузчиком (мигает полоска в левом верхнем углу)

    [​IMG]
    Это может быть полезным, чтобы кто-то посторонний, наблюдающий за вашим пк не знал, что вы пользуетесь VeraCrypt. Можно также вписать туда третью ошибку MBR’а – Missing operating system

    [​IMG]

    Увидев такое, некто и не подумает, что системный диск зашифрован с помощью VeraCrypt, однако это легко можно выяснить, путем анализа загрузчика.

    В статье были детально рассмотрены алгоритмы создания скрытого тома, шифрования системного раздела и создание скрытой ОС. И на этом возможности VeraCrypt заканчиваются, однако есть утилита, способна создать в контейнере VeraCrypt больше двух скрытых томов – DcsWinCfg.
    vk.com/id58924119​
     
    #2 Lolinas, 6 May 2020
    Last edited: 26 Mar 2021
    GoodGoogle and Spinus like this.
  3. Spinus

    Spinus Level 8

    Joined:
    23 Sep 2018
    Messages:
    504
    Likes Received:
    2,941
    Reputations:
    12
    Я тоже помниться писал про Веру крипт.:) https://forum.antichat.ru/threads/448576/#post-4057572
    https://forum.antichat.ru/threads/448576/
    Но это тебя не должно расстраивать. Попроси ГудГугла дать тебе какую нибудь злободневную тему, заодно сам почитаешь и нас просветишь. Безопасность тема всегда актуальная. Удачи тебе.
     
  4. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,107
    Likes Received:
    8,492
    Reputations:
    25
    Перевод с расово-арийского на нормальный выглядит как-то так:
    * Венда - очень ненадежная ось
    1) Несмотря на то что у вас имеется шифрованный диск - она вполне может закешировать некоторые веселые файлы где-нибудь в AppData.
    2) Если вы ее обновляете - сам черт не знает какие данные уходят куда-то дяденькам. Это потребует многих человеко-часов анализа который никому не вперся. Но явно что-то уходит.
    3) Если вы ее НЕ обновляете - старые баги в безопасности остаются и уже ни один авер не спасет вас от проникновения извне.
    4) Закладки. В сущности не единожды было доказано наличие "ошибок" в Венде, приводящих к ее взлому.
    Кто сказал что эти "ошибки" не могли быть внесены намеренно ? Никто.
    5) Авер... ну да, как же это я забыл про авера. Он подозрительные файлы отправляет к себе в базу совершенно точно. Какой файл он может счесть подозрительным ? Хм... Кроме того в нем имеется функция кейлоггера. Она необходима (реально необходима) ему для работы. Но как ее использовать - это уже его дело :)

    * Бубунта - сама по себе представляет угрозу безопасности поскольку одна из основ безопасности в Linux - разнообразие софта и библиотек.
    Сам черт не знает какая версия либ стоит у конкретного пользователя. Соответственно пробить безопасность гораздо сложнее. Если же дистрибутив популярный и его особо никто
    не видоизменял - то все становится более или менее понятно. Баги есть везде, в Линухах тоже. Хотя, конечно, это все-равно несколько безопаснее Венды.

    ==============
    Но в целом - почему-бы и нет. VeraCrypt имеет открытый исходный код так что...
    Мелкософт не будет заниматься вашими мелкими делишками если внезапно ФБР не интересуется вашей задницей. А родные милимпомперы
    хрен чего найдут даже если им аккуратно в одну папочку сложить... но пошифровать не помешает. Т.ч. годится :)
     
    #4 DartPhoenix, 6 May 2020
    Last edited: 6 May 2020
  5. Lolinas

    Lolinas Member

    Joined:
    20 Oct 2019
    Messages:
    126
    Likes Received:
    54
    Reputations:
    19
    1. все решается довольно просто. пусть винда хеширует что угодно, все сотрется снапшотом виртуальной машины.
    2. вообще не сторонник обновлений. Без них винда работает просто идеально
    3. винда не имеет выхода в и-нет
     
  6. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,107
    Likes Received:
    8,492
    Reputations:
    25
    Ну если так - да. Если заморочиться - можно что-то да и придумать :)
     
  7. Lolinas

    Lolinas Member

    Joined:
    20 Oct 2019
    Messages:
    126
    Likes Received:
    54
    Reputations:
    19
    Я пишу статьи не на заказ, а как "карта ляжет" (публикую в своей группе вк, а сюда копирую), эту написал чисто случайно(была другая цель) и всю ночь промучался со скриншотами.

    Это безопасность, она стоит того, что бы над ней "заморачивались".
     
    #7 Lolinas, 6 May 2020
    Last edited by a moderator: 7 May 2020
    DartPhoenix and Spinus like this.
  8. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    1,107
    Likes Received:
    8,492
    Reputations:
    25
    Ну если таково ваше кредо и все так серьезно - значит ОС Маздай, которая спроектирована так чтобы сдавать с потрохами, изначально не годится для запуска с:
    1) Устройства снабженного какой-либо железкой подразумевающей связь с другими устройствами.
    2) Носителя, на который возможна запись. Только CD-R достаточно надежен. Ибо последующий анализ компетентными органами может раскрыть чувствительные данные.

    Соответственно Блитц прав :)

    UPD: элементарное обоснование: чтобы не оставлять следов можно постоянно следить за тем, чего касаешься и вытирать отпечатки платочком. А можно надеть перчатки один раз и забыть об отпечатках.
    Использование Венды - это первый случай. Использование правильно настроенной ОС из числа безопасных - похоже на надевание перчаток. Один раз сделал и забыл навсегда.

    Примеры ? Их есть у меня. Было дело настроили мы безопасность для определенных работ. Но вот тормозит интернет очень если использовать безопасное подключение. Поэтому подключения у нас было два. В один прекрасный момент VPN рухнул и весь трафик пошел через обычное подключение :) Это доставило нам множество незабываемых мгновений... А все потому что понадеялись на ПО и не протестили. В любом случае всегда остаются ошибки, все не протестишь...

    Поэтому в любой секурной ОС используется правило: запрещено все что не разрешено. Это значит если что-то упало - оно само не переподключится и не поднимется если ты специально не позаботился об этом. В этом же случае Бубунта тоже не рулит. Она слишком много чего делает самостоятельно. Для удобства пользователя конечно но... удобство и безопасность - плохо уживаются. Удобство приходит со временем, когда ты сам себе его обеспечишь.
     
    #8 DartPhoenix, 6 May 2020
    Last edited: 6 May 2020
  9. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Надёжен - Blu Ray https://nerdtechy.com/best-blank-blu-ray-discs
    Приобрёл Sony, читатель и писатель в этом формате, для архивации голеньких девочек и голых мальчеков на пляжах.
    На пляжах общественных - там можно, смотреть и видеть ))

    А вот те CD, что записал в начале 2000 - нечитабельны теперь.
    Можно конечно, отвезти в студию компьютерных игр, есть у них специальный дисковод для чистки CD. И стоит это - 5 EUR диск.
     
  10. Lolinas

    Lolinas Member

    Joined:
    20 Oct 2019
    Messages:
    126
    Likes Received:
    54
    Reputations:
    19
    по такому принципу я и живу. запрещено все по умолчанию, и потом разрешаю в индивидуальном порядке. у меня около 20 виртуальных машин и все это работает. разумеется, если упадет впн, трафик напрямую не пойдет, а пойдет через резервный впн.

    я долго не думаю и не обижаюсь, любого можно заблокировать у себя в браузере, его сообщения просто не отображаются - li[data-author*=altblitz] {display: none !important;}
     
    #10 Lolinas, 7 May 2020
    Last edited by a moderator: 7 May 2020
    Spinus likes this.
  11. Anticor

    Anticor New Member

    Joined:
    20 May 2020
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Я домашнего пользования пойдет, пользовался, претензий нет. Как VPN для работы нет, нужно что-то посерьезней, тем более, сейчас волна киберугроз, на работе стоит Traffic Inspector Next Generation, подключили по удаленному доступу все ок, косяков не было