Один мой знакомый в этом году переехал в Санкт-Петербург, он заблаговременно разместил резюме на сайте из «Рук в руки», как результат он легко нашёл работу в СПб. Вернемся к методам защиты, основанных на шифровании информации. Есть достаточно много программных продуктов, выполняющих шифрование не только отдельных файлов, но целых логических дисков. Одна из самых известных – программа TrueCrypt, которая имеет открытый код и распространяется бесплатно. TrueCrypt может на лету шифровать системный раздел или полностью системный диск. За такой вид шифрования данных автоматически зашифровываются и расшифровываются перед их чтением или сохранением без какого-либо участия пользователя. Файловая система при этом шифруется в полном объеме (шифруются имена файлов, каталогов, содержание каждого файла, свободное место, метаданные и т.д.). Шифрование исполняется по алгоритму Advanced Encryption Standard (AES), известным, как Rijndael. Шифрование системы включает Аутентификацию перед загрузкой операционной системы путем ввода пароля. Перед загрузкой аутентификация осуществляется TrueCrypt Boot Loader, который размещается на первом цилиндре загрузочного диска. Таким образом, при использовании TrueCrypt изменяется алгоритм загрузки компьютера. Изменения касаются прежде условий запуска IPL2. После старта IPL1 и поиска координат загрузочного диска в Partition Table управление передается не IPL2, а TrueCrypt Boot Loader, с помощью которого происходит парольная аутентификация пользователя. Только при успешном выполнении аутентификации выполняется расшифровка содержимого загрузочного диска и передается управление загрузчику IPL2. То есть в алгоритм загрузки компьютера добавилась еще одно звено — аутентификация, которая выполняется между запусками загрузчиков IPL1 и IPL2. С целью выяснения механизма защиты автором было проведено исследование НЖМД, зашифровано программой TrueCrypt. Выяснилось, что шифрование касается только информационных разделов логических дисков. Системные разделы и раньше остаются незашифрованными, ибо иначе будет невозможно запустить TrueCrypt Boot Loader, поскольку его тоже пришлось бы расшифровать . Это дает возможность проведения атаки на TrueCrypt путем сбора информации о содержание физических секторов винчестера. Автору удалось без особого труда обнаружить на зашифрованный на винчестере Boot Sector логического диска, а также фрагменты записей из таблицы MFT, поскольку на логическом диске была развернута файловая система NTFS. Такие уязвимости поставили под сомнение надежность использования шифрования, как единственного метода защиты, даже на основе передовых алгоритмов криптозащиты. Подтверждения своим сомнениям автор получил очень скоро, обнаружив описание способа получения пароля аутентификации при защите на основе TrueCrypt.
Master Boot Record НЖМД, защищен программой TrueCrypt
Как рекомендации разработчикам подобного компьютера не может считаться абсолютно надёжным хранилищем секретных данных: состояние ОЗУ не настолько чувствительно к поддержке напряжения, как считалось ранее, и противник с физическим доступом к машине способен извлечь содержимое памяти в исходном виде даже после холодной перезагрузки. Независимый специалист по информационной безопасности Принстонского университета Шерри Давидофф объясняет, что пароль, который ввел пользователь при аутентификации в TrueCrypt, хранящегося в кеше ОЗУ в незашифрованном виде, что позволяет обнаружить и прочитать его в процессе поиска. Также было обнаружено счетчик длины пароля, путь к нему и имя файла криптоконтейнера. Сам процесс раскрытия пароля TrueCrypt был
смонтирован в виде учебного видеоролика, который опубликован на сайте YouTube, где де-
тально и поэтапно продемонстрированы все действия.
Предлагается проводить тщательный анализ собственного кода, а также кода всех общих библиотек и методов операционной системы, используемые приложением, а также обфускацию паролей в памяти, чтобы осложнить их обнаружение с простыми текстовыми подстроками.