Как стать автором
Обновить

Комментарии 28

Мужик, я тебя люблю!
Только не прям тут.
Сделал такое еще на grub-legacy. Но c grub2 получается конечно же прямее.
Шифруем пиратский софт :)? тоже такое проходил :)
ну состояние всего софта на шифрованном разделе после этого будет снаружи не идентифицируемо, поэтому рабочая гипотиза такова, что все что под шифрованным разделом автоматически легализуется и становится вполне себе легальным личным архивом данных =)

Более того как показали поиски по интернету нет никаких правовых норм, которые могли бы какого-либо сотрудника вынуждать указывать пароль на шифрованный раздел и все притензии являются простой разводкой. Но если и этого мало, то для того чтобы быть спокойным и не дать сотруднику даже при желании показать скрытый раздел, то можно пойти еще дальше и впасть в ацкую параною: Написать простецкий скрипт, который бы удалял ключи
dd if=~/dev/sda2 of=/dev/sda count=8 bs=32256

удалял конфиг Grub2 (или только его часть, ответственную за TrueCrypt) и все это поместить в init.d
собственно, как описано выше, все это можно и обратить (ключи восстановить, конфиг вернуть), поэтому можно сделать и скрытый где-либо на флешке скрипт восстановления и получить такую схему:
  1. опасность!
  2. грузимся в Ubuntu по умолчанию
  3. раздел TrueCrypt превращается в груду мусора
  4. спокойно наблюдаем за проверками
  5. опасность миновала
  6. Если раздел не испортили, то пробуем его восстановить при помощи бекапа кусочка с ключами (как описано выше это даже через ISO TrueCrypt можно восстановить) и повторной настройкой Grub2
  7. работаем дальше! Любим родину!
В TrueCrypt встроен стандартный механизм двух паролей.
На раздел можно установить 2 пароля: один — настоящий, а по второму TrueCrypt покажет некий левый раздел, в который можно напихать «личные фото» или дневники там… короче, что-то правдоподобное, но легальное на 146%. Тогда вопросы задавать станет совсем сложно. пруф
Ну, надо попробовать поставить 2 разных системы, пока я так не пробовал (при криптовании системы поставить скрытый раздел).
А в каждом разделе — и с настоящей и с фейковой системой по зашифрованному контейнеру, соответственно, с нормальными и фейковыми данными.
А зачем? чтоб запутать всех окончательно? Или просто рекурсию углУбить? :-)
А вдруг покажется подозрительным, что в системе нет ничего зашифрованного?
то есть, это в нашей стране уже подозрительно?
Такая схема чревата в такой ситуации: командная работа, и на каждой машине свой индивидуальный пароль. Один разработчик по окончанию рабочего дня выключил машину, и ушел домой, другой же продолжает дорабатывать. И тут второму нужно данные с первой, а пароля нет. Приходится звонить, и узнавать пароль. И это хорошо если собеседник не будет в метро, или в туннеле и пароль относительно простой ~ 16 символов. Была у меня такая ситуация, а пароль оказался 30+ символов :)
SMS рулит.
Опять же — если пароль не завязан на клавиатуре (как часто бывает). Ну это я так, предостережения к возможным проблемам. Ну и в целом — это самые мелкие неприятности, в сравнении с приходом проверки :)
Разработчикам стоит использовать системы контроля версий и системы управления проектами. Да и вообще нормально организовывать работу.
Ведь, если разработчика автобус собьёт, тогда никакие sms не помогут.
Я Вас расстрою. Отказ сотрудника выдать пароль к зашифрованой информации рассматривается не просто, как отказ сотрудничать со следствием, но даже как активное препятствование и соучастие. Есть прецеденты по России. При этом следователи давят на, то что сотрудник за действия организации ответственность не несёт и потому не может отказаться сотрудничать со следствием. Что совсем забавно, так это то, что это и на директора организации распространяется — дело возбуждено не в отношении него, а в отношении юр. лица, а значит он не имеет права отказаться от дачи показаний. И не важно, что потом по результатам расследования дело может быть возбуждено против него лично (как и против любого сотрудника) — на момент допроса он обвиняемым не был. Бред конечно и беспределен, но факт имеет место быть. Можно запросто сесть за отказ сказать пароль. По-моему даже на Хабре писали, как кого-то прессовали именно по такому сценарию.
Если проверка, сотрудник говорит что я на собеседовании, или тестовое задание делаю, только что сел за аппарат, ну а директор просто плечами пожимает, мол так и продали (или там с рук брал, не разбирался что там внутри, форматнул видимые диски и все).
Это теория. Угу и сотрудник вовсе не трудоустроен? Зарплату ему в чёрную платим? ну ну. А во-вторых, находятся показания, что сотрудник вовсе не на собеседовании, после чего с начинают трясти показания угрожая посадить в КПЗ за препятствование ведению следствия.
н, у если вас заказали, то как бы все честно у вас не было в этой стране органы найдут как вам попортить кровь. Вы киньте пожалуйста ссылочку на источник из которого бы следовало что описанная вами проблема существует в значимом объеме, а пока это выглядит как «стандартный страх», обусловленный единичными явлениями.
Вы же понимаете, что в общем случае сотрудник может поплатиться и за угрозы и за незаконные посадки в КПЗ и за остановку деятельности компании тоже. Обычно достаточно направить жалобу в прокуратору чтобы все стали вычурно вежливыми и разговаривали по благовидному сценарию, регулярно отвечая «а ну, да». По крайней мере в Питере и Москве.
Если такая конструкция используется на предприятии, следует помнить, что использование таких систем не очень законно.
Указ Президента Российской федерации от 3 апреля 1995 г. N 334 «О мерах по соблюдению законности в области разработки, производстава, реализации и эксплауатации шифровальных средств, а также предоставления услуг в области шифрования информации»:
4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств

Я не юрист и могу ошибаться в понимании этого указа, но мне кажется, стоит обратить внимание.
Для объективности выбора, и в целях полноты информации следует, наверное, найти и указать какая ответственность предусмотрена за нарушение данного Указа и сравнить ее с ответственностью предусмотренной за использование зоопарка пиратского ПО. а так в нашей стране все «не очень законно»
Тут нюанс есть.
В целях обеспечения безусловного исполнения Закона Российской Федерации «О федеральных органах правительственной связи и информации», а также усиления борьбы с организованной преступностью и повышения защищенности информационно — телекоммуникационных систем органов государственной власти, российских кредитно — финансовых структур, предприятий и организаций постановляю:
— это выдержка из Указа. Точнее, его начало.
Упомянутый выше ФЗ — «Утратил силу с 1 июля 2003 года в связи с принятием Федерального закона от 30.06.2003 N 86-ФЗ.»
Следовательно, Пункт 4 Указа с его отменой потерял актуальность. А также, в 128-ФЗ ничего нет про эксплуатацию шифровальных средств. Зато есть постановление, если не ошибаюсь, 691 —
4. Настоящее Положение не распространяется на деятельность по техническому обслуживанию:
а) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;

TrueCrypt является компонентом свободного распространения. Соответственно, можно использовать в организациях — вполне законно.
Правда, насколько помню, ФСБ, кажется, в июле этого года выпустило приказ, по которому выходило, что устанавливать криптосредства может тот, у кого есть госаккредитация на проведение работ, связанных с ЗИ (т.е. диплом, где вам присудили квалификацию специалиста по ЗИ, свидетельство окончания курсов государственного образца (??) и т.д.). Но за это — не уверен.
Спасибо, на такое полное уточнение я рассчитывал.
Правда, насколько помню, ФСБ, кажется, в июле этого года выпустило приказ, по которому выходило, что устанавливать криптосредства может тот, у кого есть госаккредитация на проведение работ, связанных с ЗИ

По-моему, это в том случае, если вы устанавливаете ПО в качестве возмездной услуги другой компании. Для защиты себя и своей компании, лицензия не нужна, если вы не работаете в гос.конторе (повторюсь, на истину в первой инстанции не претендую).

Опять же, если смотреть на Положение ПКЗ-2005, пункт 4:
4. Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:
средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лицами, не являющихся государственными органами или организациями, выполняющими государственные заказы;
средств криптографической защиты информации открытых и общедоступных государственных информационных ресурсов Российской Федерации;
средств электронной цифровой подписи, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера;
информационно-телекоммуникационных систем, реализующих функции криптографической защиты информации, не относящейся к информации конфиденциального характера.
НЛО прилетело и опубликовало эту надпись здесь
Так вы я понял ставите скрытую Ос? Я выбирал просто зашифрованную, там просто: сколько диск создал столько там места и есть.
ISO, создаваемый TrueCrypt, предназначен для дешифровки разделов без использования пароля, просто альтернативный способ. Хранить его в Linux системе — несколько небезопасно. Это как ввести пароль и поставить галочку, чтобы его сохранить. Что я понял не так? Что мешает использовать этот образ для доступа к Windows-разделу постороннему?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории