КАК ЗАЩИТИТЬ ВАЖНЫЕ КОМПЬЮТЕРНЫЕ ДАННЫЕ

TACTICS GUIDES

СОДЕРЖАНИЕ

• Зашифровать и спрятать
• Как не вызвать подозрений
• Послесловие

Клаудиа и Пабло, правозащитники из одной южноамериканской страны, собирают информацию для доклада о нарушениях прав человека в регионе. Работа идет непросто. Обнаруживаются новые и новые факты угроз, избиений, пыток, несправедливого судебного разбирательства, волокиты и унижения человеческого достоинства. В отдаленных районах страны, где гражданские институты еще совсем не развиты, местные чиновники устанавливают собственные порядки, порой не считаясь ни с конституцией, ни с законами. Доклад Пабло и Клаудии может стать первым публичным исследованием на тему прав человека, подготовленным гражданами страны, а не наблюдателями из международных организаций. Пабло использует свои многочисленные знакомства в разных городах, чтобы собрать данные “из первых рук”. Он много ездит по стране, беседует с людьми, записывает, фотографирует. Клаудиа обрабатывает информацию. Она систематизирует полученные факты, формирует из них электронную базу данных. Недопустимо, чтобы эта база попала в руки властям (да и вообще посторонним). Иначе те, кто давал сведения, окажутся под угрозой. Многие люди соглашались беседовать с Пабло только при условии, что их имена и контакты ни в коем случае не будут раскрываться.

Клаудиа использует все свои знания и опыт, чтобы обеспечить базе данных хорошую защиту. Вирусам и хакерам из Интернета на компьютер путь закрыт. Сделаны резервные копии. Что еще?

ЗАШИФРОВАТЬ И СПРЯТАТЬ

Попробуем выделить два основных подхода к защите информации. Данные можно зашифровать так, что их не сможет прочесть посторонний человек. Или их можно спрятать, чтобы злоумышленник даже не подозревал о том, что данные существуют. Замечательная программа Veracrypt решает обе задачи сразу.

— Постой, постой, — возразил Пабло. — Я, как и ты, волнуюсь о сохранности базы. Но шифрование — это не слишком, а? Компьютер защищен паролем. Windows тоже требует пароль. Мне даже пришлось использовать одно и то же слово в обоих случаях, а то я постоянно путался и забывал…

— Ну и зря, — парировала Клаудиа. — Если заботишься о безопасности всерьез, не стоит использовать один и тот же пароль на все случаи жизни. Впрочем, та защита, о которой ты говоришь, условная. Любой школьник, прочитавший книжку об устройстве компьютера или даже инструкцию к материнской плате, сумеет сбросить “пароль при включении”. Нужно всего-то открыть корпус и поставить перемычку.

— Правда? — Пабло был огорчен. — А пароли для документов Word? Для архивов zip?

— Для опытного человека и это не проблема.

VERACRYPT

Зашифровать информацию — примерно то же, что и положить в хороший сейф, только надежнее. Профессионал-”медвежатник” способен взломать запоры. Сейф можно попытаться взорвать. Обладая терпением и знаниями, можно попробовать подобрать код. Компьютерные программы (многие из которых бесплатны и доступны широкому кругу людей) умеют создавать такие электронные “сейфы”, на вскрытие которых даже у крупных корпораций или спецслужб с их мощными компьютерами, деньгами и специалистами уйдут не часы и даже не дни, а годы. Veracrypt — одна из таких программ.

Veracrypt создает на диске компьютера защищенный (зашифрованный) том. Физически это файл, который может называться как угодно (по выбору пользователя). Операционная система Windows “видит” этот файл как отдельный диск. При записи на этот “диск” данные автоматически шифруются. При чтении — расшифровываются. Все происходит “на лету”, пользователь работает так, как работал бы с обычным диском.

— Никакой математики? Не нужно что-то шифровать вручную? — уточнил осторожный Пабло. Имея гуманитарное образование, он немного побаивался технических терминов. Шифрование по-прежнему казалось ему чем-то слишком трудным для простого пользователя.

— Никакой математики, — подтвердила Клаудиа. — Просто окошко, в котором ты включаешь диск, а потом работаешь с ним, как обычно. Конечно, есть программы, которые очень сложны в использовании. Но Veracrypt не из их числа.

Возможно, вы имеете дело с большим количеством информации, которую нежелательно разглашать кому попало. Это могут быть данные о нарушениях прав человека, как у Пабло и Клаудии, или черновики важных статей, или финансовая отчетность. Общее правило: не храните такую информацию по принципу “а пусть будет”. Если без нее можно обойтись — удалите.

КАК НЕ ВЫЗВАТЬ ПОДОЗРЕНИЙ

Бывает, однако, что сам факт использования шифрования способен вызвать нездоровый интерес злоумышленников (“если зашифровано, значит, что-то важное”). Для некоторых людей это является решающим аргументом против шифрования. Давайте не будем ничего менять, говорят они. Меньше подозрений — меньше риска.

— Эти люди ошибаются, — подумав, сказала Клаудиа. — С одной стороны, работать с такими серьезными материалами и делать расчет только на “авось”, на то, что удастся не привлечь внимание, — безответственно. В конце концов, люди доверили нам важную информацию. Случись что — пострадают, в первую очередь, они. С другой стороны, данные можно не только зашифровать, но и спрятать.

— Все, что ты говоришь, верно, — заметил Пабло. — Но ведь и нашей организации достанется. Нам скажут: “Вы шифруете информацию! Вам есть что скрывать от своей страны! Вы занимаетесь антинародной деятельностью!” Как поступить в такой ситуации? Упереться и все отрицать? Сама знаешь, это к добру не приведет.

Действительно, в некоторых странах факт использования шифрования может стать поводом для давления и репрессий в отношении гражданских активистов.

— Можно вообще отказаться от защиты важной информации. Это просто. Но в любой момент базы могут быть изъяты, пострадают люди, закроют организацию.

“Не лучший вариант”, — подумал про себя Пабло.

— Можно использовать стеганографию: скрывать важную информацию в безобидных файлах, например, в картинках. Есть программы, которые умеют это делать. Но стеганография подразумевает ручную работу. Этот метод в большей степени подходит для единовременной передачи какой-то краткой информации по электронной почте.

— Можно хранить всю важную информацию не на своем компьютере, а на удаленном сервере. Идеальный вариант с точки зрения активиста, который опасается обыска и изъятия компьютерной техники. Но работа с удаленными данными требует аккуратности, четкого понимания происходящих процессов, подключения к Интернету (желательно высокоскоростного, если речь идет о больших объемах данных).

— Можно записывать самую важную информацию на флешку. Но такие устройства едва ли более надежны, чем жесткие диски. В конце концов, флешку нетрудно просто потерять.

Мысль о том, чтобы комбинировать описанные выше способы, заставила Пабло вздрогнуть. Конечно, защита информации — дело важное, но нельзя же посвящать ей все рабочее время!

— Для начала можно просто переименовать файл Veracrypt, — предложила Клаудиа. — Например, сделать его с расширением .avi. Он будет выглядеть как видео, скажем, кинофильм, и не вызовет подозрений.

— Неплохо, но мало, — покачал головой осторожный Пабло. — Файл-то все равно существует. Представь, что ты устроила свой сейф в стене и закрыла его картиной. Большинство людей увидит картину. Но если к нам нагрянут следователи с обыском, они перевернут весь офис и, конечно, найдут за картиной сейф.

— Найдут, — согласилась Клаудиа и подмигнула, — поэтому нужно убедить их, что они нашли именно то, что искали. Хотя на самом деле вся важная информация будет храниться в другом месте.

— Тогда удастся избежать обвинений… но как? — удивился Пабло.

Что имела в виду Клаудиа? То, что гражданский активист, обвиненный в сокрытии важной информации, может освободиться от подозрений. Veracrypt позволяет создавать “спрятанный” том внутри обычного тома. Никто, кроме вас, не знает, что “спрятанный” том вообще существует. Его невозможно увидеть и даже заподозрить. Поэтому даже если злоумышленникам в руки попадет защищенная Veracrypt информация, даже если они раздобудут пароль, они ни за что не догадаются, что внутри сейфа есть еще одно, маленькое, тайное отделение, где хранится то, что действительно важно.

ПОСЛЕСЛОВИЕ

Вскоре в офисе Пабло и Клаудии начался обыск. Следственная бригада искала “экстремистские материалы”. В первую очередь следователь изъял жесткие диски. Прошло несколько дней. Клаудию вызвали на допрос.

Следователь: — Послушайте, давайте начистоту. Мы знаем, что вы располагаете информацией о лицах, подозреваемых в экстремистской деятельности. Отпираться бессмысленно. Наши технические специалисты обнаружили на жестком диске вашего компьютера зашифрованные данные. Вот лист бумаги, напишите пароль.

Клаудиа: — Уверяю вас, мы не имеем никаких экстремистских данных.

Следователь: — Это уж нам судить. Давайте пароль.

Клаудиа: — Если я дам вам пароль, вы оставите в покое нашу организацию?

Следователь: — Смотря какую информацию мы обнаружим. Так что вы предпочитаете: пароль или обвинение в противодействии следствию?

Клаудиа: — Ну ладно, ладно! Вот. (Пишет).

Следователь: — Благоразумно с вашей стороны. Лейтенант, посмотрите, что они прячут внутри шифрованного файла, который вы обнаружили. Что там? Фотографии? Документы? Ага!

Довольный следователь уходит “с добычей”. Три дня посвящены внимательному изучению содержимого шифровки. Большинство фотографий принадлежит семейному фотоальбому Пабло (Пабло с женой, Пабло с детьми, Пабло на море, Пабло в саду и т.д.). Документы тоже не представляют большого интереса. Вся информация, которую они содержат, общеизвестна и никак не тянет на “экстремистские материалы”. Устав, протоколы собраний, копии публикаций в прессе. Ни одной фамилии, ни одного адреса!

Следователю и в голову не пришло, что списки участников мирных собраний в защиту гражданских свобод, которых он хотел упечь в тюрьму как “экстремистов”, находились у него в руках. Они были спрятаны в “секретном отделении” Veracrypt, о котором знали только Пабло и Клаудиа. Но как обвинишь человека в сокрытии того, что нельзя даже увидеть? А поскольку аккуратная Клаудиа накануне сделала резервную копию этого файла (в числе прочих), работа правозащитников продолжилась без потерь.

ЧТО ЕЩЕ ПОЧИТАТЬ

• О том, как обезопасить файлы, можно узнать в главах Шифрование и Стеганография (рус.), а также примерах Case Study 3 из руководства Digital Security and Privacy for Human Rights Defenders (“Цифровая безопасность и приватность для правозащитников”) (англ.).