На главную
С компьютером или без него?
Можно ли использовать компьютер (мобильные устройства) при конспиративной работе?
И да, и нет.
Прежде всего, в сам компьютер, в аппаратную часть, могут быть встроены различного рода закладки. Они могут быть встроены как из магазина (от завода изготовителя или фирмы-разработчика), так и при доставке к вам или при доступе к ним уже после их приобретения.
Например, при обыске от вас могут взять компьютер и вернуть его со встроенной закладкой.
Программные закладки, разумеется, встраивать проще, чем аппаратные.
Они могут быть встроены в программную часть аппаратуры:
* BIOS (UEFI) материнской платы
* в микросхемы на материнской плате или платах, которые туда вставляются
* в процессор
* в периферийное оборудование (жёсткие диски, флешки, принтеры и т.п.)
Они могут быть встроены непосредственно в программные системы над аппаратной частью. Это:
* начальные загрузчики систем шифрования жёсткого диска
* начальные загрузчики ОС
* ядро ОС и драйвера оборудования
* системное ПО уровня ядра, такое как антивирусы, сетевые драйверы, драйверы систем шифрования криптоконтейнеров и монтирования виртуальных дисков
* библиотеки, встраиваемые в каждую программу, а также системные библиотеки и разделяемые библиотеки
* ПО, работающее с административными привелегиями: службы и прочие программы
* прикладное ПО
Например, если у вас забрали компьютер с шифрованным жёстким диском, то самое простое для следователей, это вставить в начальный загрузчик системы шифрования жёсткого диска специальную закладку. Она сохранит пароль или ключ и позволит при повторном изъятии компьютера расшифровать диск.
Поэтому, если у вас изымали компьютер, расшифровывать жёсткие диски нельзя. Придётся удалить всю информацию на нём, заново установить операционную систему и зашифровать диск и так далее.
Отсюда сразу следует, что вся важная информация у вас должна быть резервно скопирована, например, на облако. Разумеется, в шифрованном виде.
В любой момент вы должны быть готовы потерять, как минимум, компьютер и все носители информации.
Кроме этого, при включённом компьютере возможна атака "bad-USB" (плохой USB). В ваш компьютер вставляется устройство, которое регистрирует себя дополнительной клавиатурой. Затем нажимает клавишу "Windows+R" (она же "super+R") и появляется окно для ввода команд. Под Ubuntu это может быть вызов терминала ctrl+alt+t. После этого, клавиатура вводит необходимые команды. В том числе, это же устройство может смонтировать логический жёсткий диск, с которого скопировать и запустить вредоносный файл.
Если вы не будете использовать компьтер то:
1. Вы не сможете шифровать и расшифровывать информацию стойкими способами
2. Вы не сможете скрытно хранить информацию на компьютере: она будет хранится на бумаге в открытом или закодированном виде. То есть изъятие этой бумаги может повлечь за собой раскодирование всей информации.
3. Вы не сможете передавать информацию посредством телекоммуникационных сетей. На каждый пук придётся ходить лично. Передачу информации по телефону я вообще даже не рассматриваю: это совсем жесть и возможно только в крайнем случае.
Пока оккупационная администрация не запретила использование стойкого шифрования, компьютер имеет серьёзные преимущества перед некомпьютеризированным общением.
Использование компьютера, отключённого от сети.
Так как в компьютере могут быть закладки, это означает, что всю информацию, которую он передаёт, он может передавать незаметно от нас. В том числе, незаметно от нашего межсетевого экрана.
Даже если межсетевой экран - это отдельный компьютер, кто сказал, что он также не заражён?
Поэтому, для шифрования информации может быть использован отдельный компьютер.
Этот компьютер никогда не должен подключаться к сети. Так как если он время от времени будет подключаться к сети, то он сможет собирать информацию в любое время, а потом передавать её в сеть, когда будет такая возможность.
Это как раз принцип изоляции и разделения. Важная информация изолирована от сети на отдельном компьютере. А функции шифрования отделены от функций отсылки сообщений.
Даже если сетевой компьютер будет заражён, это не будет так страшно, так как информация, поступающая на него, будет только зашифрованной.
Но здесь есть один нюанс.
Дело в том, что иногда необходимо обновлять систему. И для этого желательно использовать чистый компьютер. Хорошо, если это будет отдельный, третий компьютер, который будет подключаться к сети по необходимости только для закачки обновлённых версий ПО.
Он также может быть использован для проверки подлинности этих версий. Хотя лучше, если чистый несетевой компьютер проверит подлинность сам даже для тех обновлений, которые предназначены для сетевого компьютера.
Проверка обновлений должна производиться по известным ключам цифровой подписи. Конечно, лучше, если ключи подписи будут получаться оффлайн. В любом случае, один раз полученные сетевым способом, ключи подписи должны далее храниться на оффлайн-компьютере, так как сами ключи шифрования тоже могут быть подделаны.
В идеале, нужно получить ключи подписей разными путями и сравнить их (например, через обычный интернет, через TOR, а потом от товарищей в зашифрованном виде).
Если нет возможности использовать третий компьютер, то первый (сетевой) должен быть как можно чище.
Ещё лучше, если всё ПО на этом компьютере будет установлено заново. То есть заново установлена операционная система и зашифрован жёсткий диск и т.п.
Периодические полные переустановки могут повысить надёжность системы в том смысле, что уже заражённая система может быть удалена, а вместо неё поставлена новая, чистая.
Однако, тут могут быть и проблемы.
Вариант 1.
Вы закачали новый дистрибутив ОС с машины с установленной старой операционной системой. Но вдруг этот новый образ будет заражён, ведь если старая ОС или другое ПО заражено, то никто, кроме лени и ограниченности ресурсов хакера, не мешает старой ОС заразить образ новой ОС.
То есть вы получите плохой образ.
Здесь защита довольно проста. Вы можете проверить целостность образа новой ОС на оффлайн компьютере. Если цифровая подпись подлинна, то всё нормально. На оффлайн же компьютере, вы должны подготовить образ к установке, если это требуется.
Вариант 2.
Вы устанавливаете старый дистрибутив, а потом его обновляете. В момент закачки обновлений вас, теоретически, могут взломать. Этот вариант, вообще говоря, несколько опаснее, чем предыдущий.
Однако, вероятность взлома довольно низка, если сначала, оффлайн, вы проверите, что все настройки фаервола (межсетевого экрана) верны и он не допускает входящие соединения.
В любом случае, лучше выбрать вариант 1, если есть в наличии возможность проверить подлинность закачанного ПО с помощью уже известной цифровой подписи. Если нет, то вариант 2 может быть даже предпочтительнее, так как вероятность заражения при обновлении гораздо меньше, чем на заражённой системе.
В качестве компьютера также могут быть использованы различного рода микрокомпьютеры типа Rasberry Pi. Однако, нужно убедится, что плата микрокомпьютера не содержит в себе аккумулятора.
Безопасность шифрования обеспечивается, в том числе, возможностью мгновенного отключения устройства от питания. При отключении обычного компьютера, его оперативная память очищается в течении нескольких секунд или быстрее, так как не способна хранить информацию без электропитания.
Если же есть аккумулятор, то вопрос отключения уже гораздо более серьёзный.
Так что использование ноутбуков или микрокомпьютеров со встроенными аккумуляторами чревато тем, что у вас извлекут расшифрованную информацию или ключи шифрования прямо из памяти устройства.
Аналогично, если вы используете обычный компьютер с ИБП, то нужно озаботиться тем, что вы его можете быстро выключить. Желательно делать это одним нажатием на кнопку.
Стабилизаторы напряжений без аккумуляторов не препятствуют быстрому выключению компьютера. Достаточно лишь выключить выключатель на стабилизаторе.
Если у вас есть ИБП, поэкспериментируйте с ним, подключив к нему, например, настольную лампу и попытавшись её быстро выключить (не используя выключатель на лампе, разумеется). Учтите, что часть розеток ИБП могут быть без аккумулятора, а часть с аккумулятором. Поэтому выключение одних розеток (с одной стороны блока) не означает, что другие тоже выключились.
В каких случаях ПО можно не обновлять на оффлайн компьютере?
Если компьютер постоянно, навсегда, отсоединён от сети, (то есть оффлайн), то обновлять его, возможно, не обязательно. Это снимает проблемы с обновлением оффлайн компьютеров.
Хотя, это всё равно риск, что устаревшее ПО будет работать неверно.
Когда можно не обновлять оффлайн компьютер?
Если вы следите за критическими обновлениями криптографических продуктов. Криптографические продукты (работающие в оффлайне) можно обновлять только тогда, когда в них закрыты критические уязвимости, которые могут проявиться оффлайн.
По возможности, на этом компьютере должны быть отключены любые сетевые службы. Чтобы даже при подключении его к сети, он бы не мог с этой сетью работать (ни через LAN-кабель, ни через usb радио модем)
Из-вне на этом компьютере только txt-файлы. Обратите внимание, не doc, ни html, ни pdf. Только txt, то есть формат "только текст" (без форматирования, возможности выбора шрифта и его размера, цвета и т.п.).
Если вы смотрите на этом компьютере картинки, это уже хуже. Иногда в декодерах картинок находят серьёзные уязвимости.
Если вы смотрите видео либо работаете со сложными документами (типа pdf), то ваш компьютер должен быть обновлён.
Он может не обновляться только в одном случае: если после каждого использования вы устанавливаете операционную систему на этот компьютер заново либо используете операционную систему без установки (например, Tails).
Дистрибутив такой ОС должен быть подмонтирован только для чтения (без прав на запись).
Однако, и в таком случае (операционная система без переустановки), на необновлённой машине будет опасность использования уязвимостей. Так как, теоретически, уязвимостей может быть так много, что вирус сможет себя всё равно записать на диск с ОС, в BIOS или куда-то ещё в аппаратную часть.
Поэтому, рекомендуется ограничиться txt-форматом и шифровкой/расшифровкой либо организовать обновление компьютера.
Напомню, что периодическое подключение компьютера к сети даёт ему возможности отослать собранную о вас информацию. Даже если это самая свободная и независимая ОС, никто не может дать гарантии, что именно у вас её не взломали. Бывают случаи, когда уязвимость вносится в дистрибутив специально. Открытые исходные коды и известный коллектив - не гарантия, что что-либо найдут. Уязвимость может существовать месяцами или даже годами (а может быть исправлена за пару дней - но кому-то и пары дней хватит).
В Ubuntu Linux примерно с 2012 года до 2016-ого года существовала официальная передача информации из оболочки рабочего стола Unity в магазины, например, Amazon. Передача была включена по умолчанию, Canonical (разработчик Ubuntu) получала процент с продаж, т.к. данные, которые пользователь вводил локально в поиск, не желая ничего искать в интернете, передавались в магазины. Обычные пользователи даже не знали об этом. Наличие информации где-то ещё не значит, что она вам известна. Поэтому, даже дистрибутивы Linux - это не значит, что это очень конфиденциально.
В 2017-ом году Facebook, чтобы помочь ФБР США поймать преступника, внести в Tails уязвимость (см. Бастер Эрнандес, он же Brian Kil). Кто-то говорит, что уязвимость не вносили, а просто использовали ту, что уже есть. В любом случае, операция прошла в секрете и скрывалась 3 года. Поэтому, наличие хотя бы одноразового подключения компьютера к сети может стоить утечки информации.
Кроме этого, не стоит забывать и про Intel Management Engine и аналогичные технологии фирмы AMD (Secure Technology), возможность заражения другой аппаратуры. То есть даже чистая ОС может не спасти, если кому-то будет очень надо.
В то же время, чем больше защиты - тем сложнее атаковать. Поэтому, если вы защищены, то "очень надо" может оказаться слишком дорого и сложно. И ваш компьютер могут и не взломать.
Если же вас не сильно хотят взломать, то и самых обычных мер защиты, вполне возможно, будет достаточно (с подключением к интернету).
Использование одноразового шифроблокнота.
Можно ли использовать какие-либо варианты с компьютером так, чтобы производить шифрование без него?
Вообще говоря, нет.
Практически все варианты шифрования без компьютерной подготовки являются некриптостойкими.
Теоретически, вы можете сгенерировать на доверенном компьютере специальный шифроблокнот, а потом увезти его куда-то, где нет доверенного компьютера и вводить там часть или всю информацию в кодированном виде.
Однако. Само наличие шифроблокнота может вас выдать. Кроме этого, наличие шифроблокнота не только вас выдадет. Его могут незаметно от вас скопировать, а потом, с помощью него, расшифровать сообщения.
В любом случае, придётся специально писать какую-то программу, адаптированную к работе с таким блокнотом.
Если у вас есть такой блокнот, нужно запомнить главное правило: после шифрования или расшифрования использованная часть шифроблокнота замарывается ручкой или чернилами и/или уничтожается. Так, даже если у вас найдут шифроблокнот, не смогут расшифровать то, что вы зашифровали ранее.
Также можно использовать бумагу с некоторыми кодами. Например, вместо платформы "Зелёный Бор" вы можете указать "котельная". Главное, чтобы там рядом не было котельной. Чтобы поиски по котельной не привели к месту встречи.
Далее вы будете писать или говорить что-то типа "Встретимся тёплым вечером на котельной плюс двадцать".
Тёплый вечер будет означать 4:13, "плюс двадцать" - время, которое надо добавить, будет 4:33. Котельная - специальное, заранее согласованное место около платформы "Зелёный Бор". Никакого отношения к котельным не имеющее.
Недостатки такого метода аналогично шифроблокноту: если найдут, то расшифруют. Кроме этого, связь шифром, даже при случайном прослушивании человеком, будет хорошо ясна с точки зрения факта использования таких шифров. В будущем, ИИ тоже сможет распознавать такую речь.
Поэтому, если у вас нет доверенного устройства, то лучше вообще ничего не сообщать.
Даже если очень надо, не дай бог блокнот будет утерян.
Кроме этого, вы должны согласовать места так, чтобы все наименования присваивались только для этого раза. Только для этой поездки, для этого шифроблокнота.
Например, Рома с Колей назначают встречу на котельной. Это платформа "Зелёный бор".
Коля передаёт информацию на встречу Ирине. Но у них эта же платформа обозначена как "Перекрёсток на Олимпийском".
Допустим, пока никто никаких встреч не назначал.
Рома поехал куда-то и его задержали. Блокнот попал полицаям.
Коля назначает встречу с Ириной в перекрёстке на Олимпийском (без Ромы).
Полицаи ищут в блокноте Ромы такое наименование, но не находят. Они не понимают, что это - встреча на платформе "Зелёный бор", так как код этой платформы для Ромы не такой, как для Ирины.
Если же коды будут одинаковые, то полицаи, взяв Рому, устроят засаду на Ирину и Колю, которые ещё не знаю, что Рома задержан.
Это принцип разделения в действии: одни коды для одних связей, другие для других. При этом, как только коды можно сменить, они сменяются. Так как в поездке у Ромы могли незаметно для него скопировать шифроблокнот.
Таким образом, бумаги лучше избегать, если только это не совершенно необходимо.
Есть ещё один момент. Если человек не владеет компьютером, то, теоретически, с ним, возможно, лучше использовать бумажный оборот как более привычный.
Однако, нужно понимать, что такой человек, вероятнее всего, представляет больший риск в случае раскрытия.
Если вы часто встречаетесь лично, конечно, вы можете передавать даже нешифрованные сообщения. Однако, помните, что даже разведчик ГРУ спалился один раз на потерянном кейсе с письмом в ЦРУ с предложениями о помощи. Причём письмо было скатано в трубочку и положено в пачку от сигарет.
Если вы совсем не доверяете компьютеру, особенно, если вы плохо понимаете, как там всё работает, бумажный вариант с постоянными встречами исключать совсем нельзя.
Разумеется, после прочтения бумагу нужно уничтожать.
Уничтожение бумаги
Но лучше научиться пользоваться компьютером.
Конспиративные компьютеры за границей.
Когда что-либо проходит границу, это могут досмотреть. Мало того, обычно таможенники знают, кому это предназначается или чьё это.
Поэтому, любое устройство, которое вы провозите через границу в любом направлении, может подвергнуться не только негласному или гласному досмотру, но ещё и встраиванию в него следящего ПО или даже аппаратуры.
Поэтому, такое устройство непригодно для дальнейшей конспиративной работы, если в вашей модели угроз есть органы государственной власти какой-либо страны или ОПГ, способные повлиять на таможенников.
Так как во многих странах на границе у вас могут просто изъять устройство законным способом, а то и посадить за то, что вы не дали к нему пароль (или к шифрованным файлам), на устройстве не должно быть ничего шифрованного.
На всякий случай, не должно быть даже ничего стеганографированного. Потому что неизвестно, обнаружат ли эту стеганографию или нет.
Исключением может являться стеганография ещё не использованного ключа шифрования. То есть ключ шифрования зашифрован, а потом, дополнительно, застеганографирован в группу фотографий.
При этом, даже если у вас обнаружат стеганографию и спросят пароль, вы спокойно скажете это пароль.
Просто в дальнейшем вы не будете использовать такой ключ, о чём передадите специальный сигнал.
Вы также должны будете объяснить, какую именно информацию и зачем вы не только зашифровали, но ещё и застеганографировали. Лучше изучить законы страны, вдруг у них вообще стеганография незаконна.
Если ваш ключ нашли, использовать его нельзя. Но ничего страшного, ведь вы ещё ни разу его не использовали (я очень надеюсь). Правда, вы остались без ключа шифрования.
Если же не нашли, то вы можете скопировать на другое устройство этот ключ, расшифровать его и использовать.
При этом, нужно сначала скопировать застеганографированную информацию на новый, купленный в этой стране, компьютер, а потом уже на этом компьютере расшифровать ключ.
Помните, устройство, которое прошло таможню, нужно считать заражённым!
Не обязательно, что его заразили, но лучше так считать.
Разумеется, вы можете также зашифровать и застеганографировать ключи проверки цифровой подписи, чтобы потом, изнутри той страны, можно было скачивать общедоступное ПО (например, TOR) и проверять его подлинность этими ключами.
Однако, если вы уже и так пронесли один ключ, в остальном вы можете просто скачать по интернету зашифрованный этим ключом архив, где уже будут заранее сохранены все ключи цифровой подписи. Разумеется, если для скачивания архива вам нужен TOR, то нужен, как минимум, открытый ключ цифровой подписи для проверки целостности TOR.
Обмен асимметричными ключами.