Контекст


Что имеем:
  • Информационные ресурсы освещают тему приватности однобоко, не делая различия между приватностью и компрометацией владельца.
  • Информация в литературе разрознена, четких руководств нет.
  • Использование индивидуальной компрометации владельца в современном мире вообще ставит под сомнение любые права и «свободы» личности. Решение проблемы комплексной индивидуальной системы защиты от компрометации финансово невыгодно, требует глубоких знаний и временных затрат.

Любой антивирусный «suite» или аналог как всегда «рекламирует» приватность, абсолютно забывая, что в случае преднамеренной компрометации и в дальнейшем при физическом попадании компьютера в «чужие» руки, их защита не выдержит «минимальных» способов извлечения целевой информации. Огромное количество программ, да и сама OS, оставляют следы своей деятельности на жестком диске, по которым косвенно можно судить о действиях владельца ПК. Кроме того существуют специально написанные трояны, которые будучи установленными через дыру в вашу OS не только будут сохранять ваши пароли, но и могут без вашего ведома сохранить на вашем же компьютере компрометирующие вас данные.

Решение проблемы


Суть решения — «заморозка» ОС и шифрование данных. Уточню момент — под «заморозкой» подразумевается, что чтение будет с жесткого диска, а запись в память.
Во-первых можно использовать специальные live cd. Удобства работы это конечно не прибавляет, в дополнение приходится решать вопрос: «где сохранять свои данные»?
Во-вторых можно грамотно настроить локальный компьютер самому.

Преднастройки windows системы



  1. OS ставится с нуля, с минимальным доверенным набором приложений (чем меньше тем лучше).
  2. Режим гибернации отключаем (hiberfil.sys). Гибернация и любая криптография и защита вещи вообще не совместимы.
  3. Защита pagefile.sys и системного (или всего) диска от записи. На рынке множество решений по «заморозке», но большинство из них создают специальный контейнер на диске, т.е. все таки какие-то данные на диск попадают. Оптимальным решением будет свой написанный аналог защиты от записи на секторном уровне. Из уже имеющегося Enhanced Write Filter (EWF) . Менее оптимальным shadowdefender , но если система UEFI, то shadowdefender единственный вариант (обязательно смотрите настройки сохранения в память). Упомяну так же bcwipe — только функция шифрования файла подкачки. PS: Теоретически EWF и shadowdefender могут фильтровать запись в pagefile.sys — не проверял (для проверки подымите vmware с осью и проверьте чек сумму pagefile.sys между перегрузками). Так же чем больше памяти в компьютере, тем лучше и быстрее он будет работать — часть ее будет использована для кэширования записи
  4. Создаем truecrypt контейнер для сохранения данных не на системном диске (не на том который защищен от записи)


Правила использования


  • Программы типа почты, баузера, мессенджеры и т.д. должны быть в portable версии и помещаться внутри truecrypt контейнера. Туда же все нужные документы.
  • При работе все что может быть сохранено на диск, должно сохранятся только в зашифрованный truecrypt контейнер или писаться в память (на диск попадать не должно).
  • Важно различать 2 режима работы: без подключенного truecrypt контейнера вы можете свободно заниматься «серфингом» web страниц, с подключенным — «серфить» можно только доверенные и запускать только доверенные приложения.
  • Нельзя, не перегрузившись, после серфинга небезопасных web страниц или запуска любых приложений (игр) подключать truecrypt контейнер.
  • Нельзя, не перегрузившись, после подключения и последующего отключения truecrypt контейнера заниматься серфингом небезопасных web страниц или запускать программы (игры).


PS: в статье рассматривается только локальная защита ПК, без рассмотрения сетевой защиты. За счет «заморозки» параллельно решается проблема антивирусной защиты, причем в большинстве случаем универсально. Однако нужно четко соблюдать правила использования. Например, если у вас хранятся закрытые ключи корневых сертификатов для подписи, то любые сетевые коммуникации отключаются еще до ввода пароля truecrypt контейнера.