" title="Написать письмо">Написать письмо
Донаты на карту ВТБ:
2200 4002 2461 6363

Статистика

Пользователи : 1
Статьи : 2172
Просмотры материалов : 8114653
 
Защита данных ноутбука (09.04.2025). Печать E-mail
2025 - Апрель
09.04.2025 17:33
Save & Share
В прошлом, в командировке: нарвался с ноутбуком на противостояние полицейских и пьянчуг, которые отреагировали на противостояние пьянчуг с пьянчугами - с поножовщиной. Сейчас, на предприятии, нарвался на комиссию с левыми личностями. Данные нужно защищать от любого левака - однако нельзя сказать гопнику, чтобы он подождал, пока данные стираются. Поэтому пришлось разработать алгоритм, как защитить данные ноутбука от кражи: данные в настоящее время сильно дороже железа.

Вначале нужно выполнить требования местной СБ: никакой Windows на компьютерах - только Astra. Несмотря на то, что Astra SE 1.7.4.0 сильно забагована, - её можно использовать как базу для создания незабагованных ОС и программ. Не все устройства она может определить - но разные сетевые устройства определяются хорошо. Выбор отдельного раздела /home - очень выгодно разбивает диск на 2 раздела: 30ГБ под ОС и прочий шлак, весь остальной размер под полезные данные.

Далее:
- устанавливается именно VirtualBox (зная заранее, какой обвес ей нужен). На примере v.7.0.7.0.10: пакеты build-essential и libкакой-то-там в составе дистрибутива Develop Base, внешний libvpx5_1.7.0-3+deb10u2_amd64.deb;
- добавляется плагин шифрования именно к конкретной версии VirtualBox вида "Oracle_VM_VirtualBox_Extension_Pack-7.0.20.vbox-extpack" (его даже переименовывать нельзя - вообще не дышать на него при установке, иначе всё может сломаться). По какому-то невероятному везению, билд плагина 20 подошёл к билду 7;
- к ярлыку Oracle на рабочем столе - добавить команду "sudo": для успешного взаимодействия флешки между гостевой и родительской системой.

Выбор гостевых систем - теперь получается уже свободный. Пока вопрос малоизучен, идут эксперименты (ноутбук информационно засран так, что даже названия пакетов вспомнить не получается, - не говоря уже о версиях). Однако у него такой огромный потенциал, что материал родился уже сейчас.

Общее:
- флешка должна быть вставлена и примонтирована в родительской ОС. Тогда её можно будет добавить во вкладке USB свойств виртуальной машины. Точно так же можно поступить с Bluetooth-адаптером - правда, неясно, зачем кому-то сейчас такое старьё;
- успешный обмен трафиком между внешней сетью и виртуалкой - через адаптер родительской ОС;
- пароль на шифрование виртуальных дисков лучше всего ставить 16-значный, используя простые факты из своей жизни. У меня пароль 20 символов: ночью проснусь - вспомню: он состоит из достаточно запоминающихся моментов жизни. Сучка, ты здесь тоже есть;
- замечена порча виртуального диска, если бездумно играться между зашифрованными и незашифрованными дисками. Похоже, что если шифрованный диск удалить, не расшифровав, - потом подключить другой диск и зашифровать - предыдущий шифрованный диск обратно добавить не получится. То есть, требуется не хаос, а абсолютно точная последовательность действий для избежания ошибок. Не исключено, что это из-за неправильной версии плагина шифрования.

Если гостевая ОС Windows:
- даже при отсутствии ISO-шника VirtualBox Guest Additions - даёт возможность переключать флешку между родительской и гостевой ОС. При присутствии - есть большая вероятность создания общей папки между ОС;
- есть небольшая вероятность, что перенесённая уже готовая виртуальная машина: при включении шифрования диска - не будет загружаться (проблема ОС). Пока замечено только на Windows 7 конкретной версии (старая Ultimate 7600): при загрузке ОС - включается режим восстановления ОС. С Windows 10 v.22H2 - всё в порядке.

Если гостевая ОС Astra:
- для общей флешки придётся поплясать: в гостевой ОС добавить к учетной записи пользователя группу "vboxusers";
- как делать общую папку - пока непонятно.

Разбор стандартной ситуации: тупой гопник с ножом подходит и, поигрывая им, сердобольно просит отдать ему ноутбук во временное пользование. В ситуации без шифрования и виртуальных машин:
- вы будете защищать ноутбук, получите перо в лёгкие и успешно завершите жизненный путь - с последующим пожиранием червями в гробу;
- вы будете убегать именно с ноутбуком - а он, определённо, мешает бегу. Есть вероятность случайно самостоятельно упасть на нож 7 раз или случайно задохнуться в луже;
- вы отдаёте ноутбук, все бездействуют - увольнение с работы за "халатность" или уголовное дело за "кражу конфиденциальных данных".

В ситуации с виртуальными машинами и их шифрованием:
- не защищена только родительская ОС - поэтому она и используется как база для виртуальных машин;
- виртуалка для доступа к сети: родительская ОС ничего не знает о её запросах и данных, историю посещения ресурсов и т.д. Виртуалка для работы какого-нибудь продукта - то же самое. Ни одна виртуалка не знает ничего ни о других виртуальных, ни о родительской ОС - особенно, если вместо общей папки используется флешка. Полная изоляция всего ото всех;
- в итоге, гопник никогда не расшифрует ни одну виртуалку с AES256 и 16-значным паролем. Всё, что он получит, - кусок железа и кусок говна (родительскую ОС);
- ну и отдайте с миром ему этот ноутбук и быстро бегите счастливо. Гопник не будет бежать с ноутбуком: он получил уже достаточно ценный товар. И бросить он его не может: другой гопник заберёт, пока за вами бегать будет.

И самый главный финт шифрования именно VirtualBox: если виртуальная машина изымается на другой ПК - она никогда не будет расшифрована даже с введением корректного пароля: будет потерян какой-то там ключ, имеющийся только у VirtualBox именно в этой, единственной, родительской ОС. Кто сказал, что родительская и дочерние ОС должны быть на одном физическом диске? Можно отдать гопникам ноутбук с диском внутри, заливая про ценные данные на нём: лишь бы второй диск/флешку с родительской ОС в кармане не заметил, - и совершенно спокойно скрыться от гопника в тени под люком канализационного коллектора.

А ведь эта парадигма распространяется не только на ноутбук. Это идеальный механизм хранения данных на жёстких дисках в принципе. Данные в носителях шифрованных виртуалок - будут доступны только в одной-единственной ОС (или расклонированной ОС на несколько необходимых ПК). Своруют жёсткие диски - да плевать: равносильно тому, что они для вора пустые.

Или при архивации данных с помощью TeraByte Image: паролить архивы - в зашифрованном виде они не будут представлять опасности считывания данных. Однако за любое шифрование придётся заплатить и временем, и местом: и архивы, и виртуальные машины - становятся несжимаемыми для сторонних архиваторов.

(добавлено 10.04.2025) У виртуальных жёстких дисков можно менять расширение на любое. Krysa_Idi_Na_Fig.158 - может быть любым виртуальным диском, от VDI до VMDK. И тогда поиском такие диски найти не выйдет.

Если в настройках виртуалки выключить сетевой интерфейс (а лучше удалить его полностью) - она будет полностью изолирована от сетевых воздействий. Говорят, можно 2 виртуалки вообще только друг с другом соединить: там в сетевом интерфейсе куча устройств и куча настроек.

Можно все файлы настроек виртуалок хранить в одной папке, а все их диски - в другой.

Нужно помнить, что ярлык запускается под sudo - и все новые виртуалки создаются в /root. В итоге, забыл - системный раздел переполнился - и астра умерла (чёрный экран с курсором при загрузке всегда). Пришлось:
- грузиться с диагностической флешки от Стрельца;
- подключать поддержку Ext4;
- чистить системный диск;
- делать проверку файловой системы (была 1 ошибка, мешающая загрузке ОС даже после очистки диска);
- переустанавливать VirtualBox (удалять полностью - устанавливать).

(добавлено 11.04.2025) Тестирование со всеми ОС Windows показало некорректную работоспособность следующих виртуалок, если их зашифровать именно после установки ОС, а не до (алгоритм шифрования не имеет значения):
- Windows 7 x32 Ultimate v.6.1.7600 (без обновлений и с обновлениями). Чёрный экран с неисправностью ошибка 0xc0000221 (CI.dll и ntoskrnl.exe соответственно);
- Windows 7 x64 Корпоративная v.6.1.7600 (без обновлений) и v.6.1.7601 SP1 (с обновлениями). Запуск экрана восстановления системы;
- Windows 10 Pro x32 v.10.0.10240, Windows 10 Pro x32 v.10.0.14393 (1607). Запуск экрана восстановления системы;
- Windows 10 Pro x64 v.10.0.10240 (без обновлений и с обновлениями). Запуск экрана восстановления системы;
- а вот Windows 10 Pro v.22H2 - нормально. И Windows 11 Pro v.22H2 - тоже. И Windows 98, 2000 - и куча XP разных разрядностей и степени новизны!

При этом:
- если установить некорректные ОС с нуля на предварительно зашифрованный диск - нормально;
- если расшифровать диск с некорректной ОС обратно - нормально.

Linux, включая Astra, - всё корректно.

Не стоит забывать, что версия самой VirtualBox 7.0, - значительно старовата; не исключено, что в новых версиях данных багов нет.

Если ставить шифрованые нескольких незашифрованных дисков - каждый из них будет последовательно отображаться как "зашифровано 0/1", когда по факту должно быть "зашифровано x/y". Нельзя указать отдельное шифрование для каждого диска. Если подменить шифрованный диск на нешифрованный - настройки виртуальной машины сами меняются; т.е., флаг шифрования встроен в сам диск. Пароль для нескольких дисков в одной виртуальной машине - одинаковый. Что будет, если в 1 месте собрать разнопарольные шифрованные диски, - не пробовал. Шифрование-расшифрование диска несколько раз - норма на всех итерациях.

При работе с виртуалками, было отмечено в очередной раз:
- каждая новая версия ОС - больше места, RAM и тормозов;

(добавлено 14.04.2025) Если пакеты Astra Develop Base находятся на системном диске, и им присвоены права 777, и в менеджере пакетов написать в репозиториях "file///путь" (используя за основу строку с пакетами инсталлятора "cd-rom:"), и обновить данные о пакетах - пакеты будут подгружаться автоматически из этого локального репозитория. Тогда виртуальная машина не требует никаких пакетов, кроме внешнего, - и ставится корректно.

(добавлено 16.04.2025) Не то, чтобы шифрованная виртуалка навсегда привязана к конкретному железу. Её можно расшифровать, перенести в нужное место и зашифровать там - уже с другим уникальным ключом, привязывающим её к новому железу. Просто это занимает время (но не требует дополнительного места на диске). Скорость шифрования и расшифровки, по факту, зависит от скорости HDD. При SSD - вероятно, слабое место может сместиться в сторону процессора, если он совсем шлак: например, ноутбучный I5-7200U  с 2 ядрышками 2.5ГГц. Моё серверное говно, за 6.3к комплект, - мощнее него в 6 раз почти.

(добавлено 17.04.2025) Никто не запрещает использовать в Linux скрытые папки с точкой в начале названия, а также мимикрировать виртуальные диски в системных директориях под системные файлы.

Также можно написать автозапускаемый бинарник: проверка, на месте ли стоит системник; и если нет - удалить список виртуалок в меню VirtualBox (где-то точно XML-файл с его настройками лежит), логи виртуалок, логи родительской ОС и т.д.

(добавлено 19.04.2025) Использование опции архивирования Terabyte Image "Пропускать $UsbJrnl" - не приводит к очистке зоны MFT после архивирования-зачистки-восстановления раздела: похоже, записи удалённых файлов продолжают храниться в самом образе диска. Нужно искать другой путь.

(добавлено 20.04.2025) Cipher.exe /w:E не смог удалить записи об удалённых файлах из MFT (Windows 7) - интернет на эту тему врёт безбожно.

(добавлено 29.04.2025) В самом начале анализа, как удалять информацию о ранее подключенном оборудовании, выяснилось: в Astra SE - USB-устройства пишутся в логи ОС ещё до авторизации.

(добавлено 30.04.2025) Чтобы виртуальная машина увидела именно локальную сеть - нужно в настройках сетевого адаптера изменить NAT на сетевой мост.
Обновлено ( 30.04.2025 20:30 )
 
 

Последние новости


©2008-2025. All Rights Reserved. Разработчик - " title="Сергей Белов">Сергей Белов. Материалы сайта предоставляются по принципу "как есть". Автор не несет никакой ответственности и не гарантирует отсутствие неправильных сведений и ошибок. Вся ответственность за использование материалов лежит полностью на читателях. Размещение материалов данного сайта на иных сайтах запрещено без указания активной ссылки на данный сайт-первоисточник (ГК РФ: ст.1259 п.1 + ст.1274 п.1-3).

Много статей не имеет срока устаревания. Есть смысл смотреть и 2011, и даже 2008 год. Политика сайта: написать статью, а потом обновлять ее много лет.
Рекламодателям! Перестаньте спамить мне на почту с предложениями о размещении рекламы на этом сайте. Я никогда спамером/рекламщиком не был и не буду!
Top.Mail.Ru