Защита приватных файлов или шпион по соседству.

Не боитесь ли вы, что ваша жена наткнется на фотографии ваших бывших подружек, случайно просматривая папки на диске компьютера? Или что ребенок вдруг забредет в раздел с взрослым контентом? Или что не в меру любопытный коллега по работе, увидев, что вас нет за ноутбуком, сунет нос, куда не следовало?Подобных ситуаций, когда надо ограничить доступ к той или иной папке, на самом деле — несчетное количество. Практически каждый пользователь рано или поздно сталкивается с необходимостью защиты каких-то приватных файлов. Разница заключается лишь в том, что кому-то  требуется самая элементарная защита — просто от случайного попадания ребенка в директорию с нежелательным для его просмотра содержимым. Кому-то требуется защита чуть посерьезней, если его жена, например, умеет пользоваться Total Commander и даже  знает, что такое режим защиты от сбоев и LiveCD. И наконец, в особо тяжелых случаях может потребоваться стойкое шифрование, если надо, чтобы обломались и конкуренты, выкравшие выкравшие флэшку с вашими коммерческими тайнами, и спецслужбы, возжелавшие покопаться в вашей «черной» бухгалтерии.

ПРОСТЕЙШИЕ СРЕДСТВА

Если вы знаете, что всевозможные «злоумышленники» на самом деле никакие не злоумышленники, и наткнуться на приватный контент они могут разве что случайно, да и будь у них желание произвести разведку на вашем винчестере, им не хватит квалификации даже включить отображение скрытых файлов и папок, то можно вполне ограничиться минимальным набором средств, усилий и денег, воспользовавшись теми простыми механизмами, которые уже заложены в ОС семейства Windows.Самое простое — создать на ПК несколько учетных записей, назначить себе права Администратора, а остальным — обычных пользователей, и хранить все приватные данные в папках своего профиля, то есть в «Моих документах“. Если вы не будете забывать разлогиниваться, то никто из рядовых юзеров не сможет заглянуть в ваши файлы, не предприняв усилий, требующих приличных знаний ПК.Единственное, чтобы затруднить банальное угадывание пароля вашей учетной записи, придумайте что-нибудь  нетривиальное. Мгновенно запомнить можно на самом деле даже очень сложный пароль, если он будет иметь хоть какой-то смысл, например, пароль» $djcflekbdjujhjlt5“ — это всего лишь “$восадуливогороде5» в русской раскладке. Останется только запретить в CMOS Setup загрузку ПК с любых носителей, кроме винчестера, и запаролить сам вход в CMOS Setup, дабы никто не смог изменить ваши настройки и запустить ПК с какого-нибудь LiveCD, которому наплевать на все права доступа в NTFS. Получится защита «на вырост», которая продержится и в том случае, если «злоумышленник» слегка поднаберется знаний.Если же вам лень иметь на ПК несколько учетных записей, вы опасаетесь, что приватный файл кто-то  откроет в тот момент, когда вы просто отошли на минутку от ПК, не разлогинившись, или объем приватного контента слишком велик, чтобы его хранить в «Моих документах», то можно предпринять еще ряд простых действий. Так, вы можете секретной папке назначить атрибуты «Скрытая» и «Системная» (атрибут «Системная» удобно назначать через сторонние файловые менеджеры, такие как FAR или Total Commander).

Теперь, если в Проводнике запрещено отображение таких папок, злоумышленник их просто не увидит, а потому и войти в них не сможет (если, конечно, не умеет пользоваться другими файловыми менеджерами, но защиту от таких продвинутых юзеров мы рассмотрим ниже). Вам же надо всего лишь помнить путь к такой папке, чтобы вводить его вручную в адресную строку Проводника. Например, вы скрыли от посторонних глаз папку F:\FILMS\XXX. Открываете в проводнике путь F:\FILMS\ (а эта папка у вас осталась открытой), вручную добавляете в адресной строке XXX, жмете ENTER — и вы уже в секретной директории.

Можно скрыть в Проводнике и целые дисковые разделы- с помощью оснастки «Управление дисками». Просто выделите нужный раздел, щелкните на нем правой кнопкой мыши и выберите пункт, отвечающий за смену буквы раздела, после чего назначение буквы отключите. Диск, у которого не назначена никакая буква, не будет виден ни в Проводнике, ни в любых других файловых менеджерах, а для того чтобы все-таки получить к нему доступ, вам придется провернуть такую же операцию, но уже назначив ему букву.

Если использования скрытых папок недостаточно, то можно закрыть доступ к папкам и файлам с помощью программ типа Hide Folders. Эта утилита независимо от Windows «вешает» пароль на выбранные директории, делая их недоступными и, при необходимости невидимыми. Поддерживаются всяческие дополнительные меры защиты, вроде очистки папки с ярлыками на последние открываемые документы, очистки корзины, скрытия самой Hide Folders в списке процессов, работающей защиты даже в режиме Safe Mode, защиты даже от пользователей, имеющих права Администратора и так далее.Нужно только не забыть запретить поиску Windows индексировать секретные папки, иначе может получиться конфуз. Еще хуже — если приватный файл вы забудете в Корзине.На сайте http://www.3dnews.ru/software/ можно почитать о подобных программах.

ЗАЩИТА ОТ ПРОДВИНУТОГО ЮЗЕРА

Если нужна защита от продвинутого пользователя,то для этого в системе предусмотрена надстройка над NTFS — EFS (Encrypted File System). Точно так же, как вы присваивали папке атрибут «Скрытая», вы можете присвоить ей еще и атрибут «Шифрованная», в результате чего данные из этой папки не попадут к злоумышленнику, даже если он сумеет загрузить ПК с внешнего носителя и получит прямой доступ ко всем папкам на диске. Если вы войдете в систему как все зашифрованные данные автоматически становятся доступны для любого, кто сядет за ваш компьютер. Есть очень интересный вариант на такой случай — использование утилит Bluetooth PC LockltNow! (bLueshareware.com/Lockitnow.asp) или BLuetooth Passport (bLuetoothpassport.com), автоматически блокирующих ПК, как только вы от него удаляетесь на расстояние, при котором теряется Bluetooth- соединение между вашим телефоном и ПК. Но в общем случае проблемы все те же злоумышленник может скопировать ваши файлы, просто улучив момент, когда вы отошли от компьютера, не заблокировав его. Или же другой вариант — взломать пароль вашего аккаунта, что можно сделать самыми разными способами, начиная с банального перехвата с помощью кейлоггера и заканчивая брутфорсом с помощью утилиты типа SAMInside. К сожалению, защита пароля учетной записи в Windows не на высоте, особенно если у вас простой и короткий пароль.

BitLocker в Windows Vista и Windows 7 этой проблемы полностью, к сожалению, не решает — член семьи постоянно находится рядом с вами и вполне может как подсмотреть пароль учетной записи и PIN-код BitLocker, так и узнать, где вы храните флэшку с ключом BitLocker. Даже коллега по работе при желании может направить веб-камеру на вашу клавиатуру, сделав из нее подобие кейлоггера. Так что BitLocker хорош в том случае, если вы ПК потеряли, но не при защите от продвинутого члена семьи, которому для вычисления всех ваших паролей нужно лишь запастись терпением. Хотя, безусловно, шифрование всего системного тома с помощью BitLocker — это уже гораздо более серьезная защита, нежели шифрование отдельных папок. Ведь приватные данные могут утечь и через папку временных файлов или даже файл подкачки (хотя, как ни странно, до сих пор, похоже, нет утилиты, вытаскивающей из свопа отдельные файлы). Так, совершенно элементарно выдать все свои секреты через журнал интернет-пейджера или дневник PuntoSwitcher. Все такие папки и файлы, в которые может ненароком попасть секретная информация, отследить очень сложно, поэтому шифрование всего системного диска — отличное решение.

Наиболее же надежным вариантом, пожалуй, будет сочетание двух способов шифрования. Bo-первых, шифрования системного раздела целиком, дабы приватные данные не утекли через неизвестные вам щели типа временных файлов. И второе — создание специального шифрованного раздела для секретных данных, причем с помощью сторонней программы, коих на свете очень много:  en.wikipedia.org/wiki. В этом случае вы сможете подключать этот шифрованный раздел или папку только тогда, когда вам требуется с ним поработать, и отключать, не выходя из Windows.

СЕРЬЕЗНЫЕ МЕРЫ

И наконец, самый крайний случай — вам не надо ждать подлянки со стороны отпрысков, других продвинутых членов семьи и коллег по работе. Опасность для вас представляют коварные конкуренты, мечтающая отличиться рвением служба безопасности работодателя, темные криминальные структуры или даже не в меру ретивые органы власти или вражеские спецслужбы. В этом случае защиту надо строить исходя из предположения, что противостоять вам будет не продвинутый пользователь, умеющий взламывать пароль учетной записи с помощью, скачанной из интернета программы, а специалист в области IT-безопасности, имеющий в своем распоряжении недоступные простым людям программно-аппаратные мощности.

Ваша тактика при этом опять должна строиться на полном шифровании всего диска. Но не просто шифровании, а на таком, в котором вы можете быть уверены. И тут все зависит от того, насколько глубоко в вас проник червь паранойи. С одной стороны, Microsoft клятвенно уверяет, что в BitLocker никаких черных ходов для американских спецслужб нет, и если бы такие их заставили сделать, они просто отказались бы от самой идеи шифрования, дабы себя не дискредитировать. С другой стороны, учитывая тесное сотрудничество корпорации с АНБ на этапе создания ОС, всевозможные «Патриотические Акты» и «Эшелоны» и вообще — медленное сползание США к тоталитаризму, в это верится с трудом.С одной стороны, сертификация шифровальных продуктов в нашей стране вроде бы гарантирует надежность предоставляемой ими защиты. С другой — вы верите, что сертификация проводится только для того, чтобы что-то  вам как потребителю гарантировать? С одной стороны, все производители шифровальных продуктов клянутся, что в их творениях нет «черных ходов» для спецслужб. С другой — PGP, система, основанная на открытом коде, что практически гарантирует отсутствие бэкдоров, запрещена в некоторых странах (как и другие программы с длинным ключом), а некоторые известные инциденты показали, что взломать ее грубой силой не может пока ни ФБР, ни полиция (но, возможно, может АНБ?).Таким образом, решайте для себя сами — чему вы больше верите. Всевозможным сертификатам и клятвам или открытому коду, который может проверить каждый желающий.Если открытому коду, то выход один — ставить PGP (платная), которая вроде бы пока себя никак не скомпрометировала хотя скептики есть и тут. И совсем уж круто — накладывать две разные программы друг на друга. Например, создать зашифрованный диск средствами PGP, а уже на нем — зашифрованный файл-контейнер с помощью другой открытой программы — TrueCrypt (бесплатная).Или вообще маскировать само существование зашифрованной информации с помощью стеганографии (самая известная утилита — Steganos Privacy Suite), но параноикам, неверное, лучше поискать что-то  OpenSource). Тем, кто активно пользуется TotalCommander, стоит взглянуть на плагин DarkCryptTC. В нем доступно 40 алгоритмов шифрования. Кроме того, поддерживает стеганографию — в качестве контейнера для зашифрованной информации может использоваться текстовый файл (СР-1251), BMP-24.TIFF-24 (LZW, DEFLATE), PNG-24, JPEG2000, PSD. TGA, MNG, WAVE Audio (16 bit, Stereo), потоки NTFS (любой файл).

Но, честно говоря, я не представляю, какие данные обычный пользователь должен защищать с такими неимоверными усилиями.

Безопасность

27.10.2010, 1557 просмотров.