VII Международная студенческая научная конференция Студенческий научный форум - 2015

В работе рассматриваются методы противодействия локальному сбору, исследованию и анализу данных на компьютере, а также съёму короткоживущей информации. Особое внимание уделяется обеспечению возможности "работы под контролем" и правдоподобного отрицания (plausibledeniability) существования защищаемой информации.

Практическая часть работы состоит в разработке концепций обеспечения безопасности системы и их реализации и использовании при установке и работе с операционной системе DebianLinux.

Конечной целью является создание вариантов систем защиты, часть из которых будет ориентирована на полнодисковое шифрование, часть - на сокрытие самого факта наличия операционной системы. Все варианты разработанных систем представлены на виртуальных машинах.

Одной из наиболее интересных и малоизученных тем в информационной безопасности является противодействие компьютерной криминалистике. Этим обусловлен мой интерес к проблеме, поэтому я заинтересовался изучением её методов и попытался разработать основные концепции защиты компьютера от локального сбора, исследования и анализа хранящейся на нём информации.

Изучив соответствующую литературу, я попытался создать схему системы обеспечения безопасности компьютера, позволяющей избежать компрометации данных в случае его кражи или потери и максимально быстро уничтожить их без какого-либо контакта с компьютером. Ниже я предлагаю свои решения этих проблем, рассматривая мои требования к системе и описывая их практическую реализацию.

В том случае, если не требуется скрывать как наличие защищаемой информации, так и меры, применяемые для её защиты, следует использовать такую конфигурацию[3]:

1) Необходимо использовать безсигнатурное полнодисковое шифрование.

2) Загрузчик системы вместе с ключами от дисков от дисков должен находиться на съемном носителе (он должен быть иметь аппаратную защиту или быть достаточно хрупким для того, чтобы его можно было уничтожить в случае опасности). При этом он должен уметь только запускать вторичный загрузчик, защищенный известным пользователю паролем, что должно защитить информацию от раскрытия даже при краже как загрузчика, так и компьютера.

3) Для противодействия cold-boot атакам необходимо установить пароль на BIOS и переводить компьютер в режим гибернации в то время, когда он не контролируется пользователем, что сильно затруднит реализацию многих локальных атак.

Для реализации данной схемы была создана модификация загрузчика, умеющая манипулировать заголовком тома таким образом, что при этом невозможно определить наличие шифрования по каким-то паттернам и содержимое диска неотличимо от набора случайных чисел, что заставляет считать его неформатированным и поддерживающая шифрование раздела с initrd и ядром системы, поэтому для эффективной атаки нужен одновременный «захват» компьютера, пользователя и ключей, что достаточно сложно осуществить (см. рисунок 1 и 2).

Рисунок 1  Модель ситуации: пользователю нужно несколько секунд на уничтожение носителя с загрузчиком, в то время как злоумышленник должен «захватить» компьютер, загрузчик и заставить пользователя раскрыть пароль

Рисунок 2  Скриншот программы запроса пароля перед расшифровкой раздела с ядром

Если же необходимо скрыть само наличие защищаемой информации, то вводятся дополнительные требования:

1) Используемые программные средства должны скрывать сам факт наличия операционной системы.

2) При этом факт использования средств шифрования должен быть недоказуемым или контейнер должен допускать возможность двоякой расшифровки.

При реализации в initrd была встроен Truecrypt, так как в нем есть поддержка убедительной отрицаемости наличия защищаемой информации и его диски не могут быть идентифицированы по каким-либо паттернам, и добавлены соответствующие модули ядра (см. рисунок 3).

Рисунок 3  Скриншот программы CAINE (Computer Aided Investigative Environment) не может отличить шифрованный раздел от неформатированного (слева), а в загрузчике не защищена только та часть (раздел /dev/sda1), которая используется для расшифровки второй части (/dev/sda2)

В этом варианте корневая файловая система монтируется из файла-контейнера, находящегося в разделе жесткого диска, отформатированного в NTFS/ext2/ext3 и содержащего в себе т.н. hiddenvolume(скрытый том), для чего в initrd были добавлены модули для работы с NTFS.

Скрытый том

Есть много ситуаций, когда вы просто не можете отказаться от раскрытия пароля третьим лицам (например, вследствие шантажа или по юридическим причинам). Использование так называемого скрытого тома позволяет справиться с такими ситуациями, не раскрывая защищаемые данные.

Принцип защиты заключается в том, что контейнер с этими данными создан в другом томе TrueCrypt(см. рисунок 4). Поэтому даже после монтирования внешнего тома, невозможно доказать наличие в нём скрытого контейнера, так как он расположен в пределах свободного пространства, которое в любом томе TrueCrypt всегда заполняется случайными данными. [2]

Рисунок 4  Структура томов

Рисунок 5  Скриншот программы (корневая ФС смонтирована из файла “crypto”, находящегося в NTFS разделе, смонтированного в этой же системе в /mnt/stego)

В реальной ситуации этот раздел может содержать другую популярную операционную систему, используемую в целях дезинформации и непривлечения внимания. Файл-контейнер при этом может в то же время содержать псевдосекретную информацию, которую при необходимости можно раскрыть без вреда для защищаемой ОС, за счёт использования двоякого шифрования. [1]

Выводы: В работе предложена практическая реализация методов защиты от большинства типов локальных атак, направленных на нарушение конфиденциальности хранящейся на компьютере информации. Программа имеет открытый исходный код и свободна для копирования и изменения. Использование программы не требует увеличения затрат на эксплуатацию системы, но приводит к незначительному снижению производительности типового оборудования, что вполне допустимо для современных систем.

Список использованных источников

1. Федотов, Н. Форензика - компьютерная криминалистика – М.: Юридический Мир, 2007. – 432 с.

2. Hidden Volume – Available. [Электронный ресурс]. – Режим доступа:: http://www.truecrypt.org/docs/hidden-volume

3. McNamara, J. Secrets of Computer Espionage: Tactics and Countermeasures. – John Wiley & Sons, Incorporated, 2003. – 348 с.

Код для цитирования: Скопировать