Флешка с паролем и самоуничтожением

Самоуничтожающаяся флешка своими руками

Представьте такую картину: вы втыкаете в USB какую-то флешку, и вдруг в браузере открывается окно, где грустный клоун крутит ручку шарманки. Когда мелодия кончается, флешка делает «бам» и… в лучшем случае обсыпает вас конфетти. В этой статье я покажу, как скрестить девайс для атак BadUSB с устройством самоуничтожения и заодно научу кое-каким мейкерским приемам.

Данная статья является переводом этого материала исследователя MG. Перевел Андрей Письменный.

РЕКОМЕНДУЕМ: Espruino Pico: програмирование USB-микроконтроллера на JavaScript

Самоуничтожающаяся флешка

Если говорить об этом устройстве как о флешке, которая может испускать дым, то, конечно, полезных применений у нее будет немного — разве что использовать в качестве декораций в кино про хакеров для особо драматичной сцены (да и видео с PoC выходит отличным!). Однако есть масса способов усовершенствовать полезную нагрузку. Например, можно заменить ее на «звуковую гранату», которая подарит немного веселья команде безопасности и сдержит их импульс немедленно выдернуть посторонний предмет из компьютера.

После подключения инъектор нажатий на клавиши отработает как вам нужно, а потом завоет сирена и не будет выключаться до тех пор, пока батарейка не умрет. Это возможно потому, что софт контролирует переключатель, способный подавать столько питания, сколько дает порт USB.

Это описание проекта с основными данными об электронной схеме. Подробная информация о каких-либо опасных манипуляциях умышленно не сообщается. с демонстрацией нельзя воспроизвести без дополнительной работы, познаний и компонентов.

Мотивация

Этот небольшой проект начался с того, что я наткнулся в твиттере на нелепую картинку: на ней была изображена петарда, спрятанная внутри флешки. У всех, кто видел эту картинку, была примерно одна реакция: весело, конечно, но зло. Я стал раздумывать о возможности совместить что-то подобное с Rubber Ducky, чтобы иметь и программный пейлоад, и физический.

Не буду останавливаться на неудачных экспериментах, которыми я занимался, пока искал разные подходы и делал улучшения. Большая часть этих твиков требовала умений, которыми я не владею. Но какое же веселье, если не спотыкаешься на каждом шагу? Я раньше никогда не протипировал печатных плат, не писал прошивок, не работал ни с Android, ни с чипами AVR.

В этом проекте нет ничего особенно нового: я просто объединил разные наработки других людей. Мне помогали и вдохновляли: @evanbooth, @notdan, @Viss, @gsuberland, & @deviantollam.

Изначально я планировал использовать Hak5 Rubber Ducky, который стоит 50 долларов. Единственный выходной интерфейс у него — это LED на 3,3 В. Я подыскал миниатюрный MOSFET, который выдерживал 3 А и более при минимальном напряжении переключения около 1 В. Идеально: я мог подключиться к питанию светодиода и переключать что угодно, для чего хватит мощности USB.

Нужно было только найти способ управлять светодиодом, потому что Duckyscript делать этого не позволяет. Однако даже с кастомной прошивкой я смогу получить только очень ограниченный контроль над светодиодом. Потом я обнаружил проекты типа «USB Rubber Ducky за доллар» (или 3–5 долларов), в которых использовался чип ATtiny85. Это куда более удачный подход. В качестве бонуса в большинстве схем заодно получаем два незанятых порта GPIO!

В поисках наименее затратного способа получить такое устройство, который бы не растянулся на месяцы в ожидании товара из Китая, я понял, что Digispark за 5 долларов — это практически готовые платы, и они продаются на Amazon. Там же обнаружилось несколько клонов Digispark по 3 доллара за штуку и по 1,5 доллара — на eBay. Причем у них есть не только нужный мне ATtiny85, но и большинство других компонентов, необходимых для проекта.

Список деталей

Вот как в итоге выглядит список деталей.

Основные детали

• Здравый смысл — 1 шт. Старайся оберегать себя и других от разнообразных опасностей;
• ATtiny85 — 1 шт. (с клона Digispark);
• сопротивление на 68 Ом — 2 шт. (с клона Digispark);
• сопротивление на 1,5 кОм — 1 шт. (с клона Digispark);
• стабилитрон на 3,6 В — 2 шт. (с клона Digispark);
• МОП-транзистор (MOSFET) IRLML2502 — 1 шт. (тут есть разные варианты. Например, ZXMN2F34FHTA тоже будет неплохо работать);
• сопротивление примерно на 680 Ом (см. важное примечание о безопасности в инструкции по сборке).

Опциональные детали и инструменты

• Старая флешка в выдвижном исполнении. Нам пригодится ее корпус и штекер USB;
• печатная плата для прототипирования SMTpad 50×50 (это то, что использовал я, наверняка более опытные товарищи найдут более удачный способ собрать схему);
• медная лента (я использовал ее для замыкания соединений на плате);
• припой, паяльная паста, канифоль;
• паяльник или паяльная станция.

Детали для пейлоада

• Тут все полностью зависит от того, что вы собираетесь добавлять. Пейлоад будет получать напряжение в 5 В на ту продолжительность времени, которую вы настроите (по крайней мере, пока устройство подключено, если нужно — добавляйте батарейку).
• Для чего-то типа «звуковой гранаты» можно напрямую подключать коннекторы 5 В.
• Для чего-то драматичного вроде дымовых шашек… эту информацию я, пожалуй, опущу, чтобы кто-нибудь из читателей не наделал глупостей. Простите, но мне придется еще в паре мест проделать с текстом такую подлянку.

Собираем все вместе

Если хотите сделать большое устройство, например в формате внешнего диска на 2,5″, тогда можете просто взять Digispark и добавить MOSFET для управления нашим физическим пейлоадом. А вот если вы захотите затолкать все в крошечный формат USB-флешки, то придется ужать все компоненты. Первым делом на составные части придется разобрать Digispark. Это мне вышло дешевле и оказалось удобнее, чем покупать все компоненты по отдельности. Так что дальше будет подразумеваться, что вы пойдете по тому же пути.

Схема

В целом тут ничего принципиально нового. Схему я успешно позаимствовал из проектов по клонированию Rubber Ducky на ATtiny85.
В моем варианте к пятому пину просто присоединен МОП-транзистор. Наименьший и наиболее чистый пример в таком варианте — это uDuck. Схема максимально простая и поддерживает самый минимум функций USB.

Стабилитроны снижают напряжение на линиях передачи данных до 3,6 В. Сопротивления помогают устройству соответствовать спецификациям USB (скорость распознавания, мощность и так далее) — важно для совместимости. Я видел схемы, в которых часть (или даже все) сопротивления и стабилитроны убирают, отчего совместимость и надежность сильно падают.

Еще несколько вещей, о которых стоит знать.

• Сопротивление между истоком и стоком МОП-транзистора требует изучения. Когда сопротивление слишком высоко или резистора вообще нет, полезная нагрузка будет срабатывать при загрузке. Дело в том, что ATtiny подает на контакты напряжение при включении. Спасибо Грэму Сазерленду (@gsuberland) за помощь в этом вопросе.
• Можно сделать двойной триггер, продублировав схему с МОП-транзистором на шестом пине.

РЕКОМЕНДУЕМ: Обзор, установка и программирование на ESP32

Дизайн платы

Учитывая нестандартный расклад печатной платы, я не знаю, как это изобразить правильно. Красный — это полоски медной ленты. Обратите внимание на места, где она загибается за углы. Зеленый — это места, где будут припаяны концы проводов, идущих к USB. Синий — контакты для проводов к физическому пейлоаду. Почему медная лента? Потому что я не знаю, что делаю, а это сработало после того, как я раз десять потерпел неудачу с другими вариантами.

Вот одна из плат обмотана лентой перед пайкой. Отверстия не используются — они просто часть платы SMTpad, которую я разрезал на кусочки. Вы, возможно, заметили, что я убрал подложку в том месте, где будет сопротивление на 600 Ом для МОП-транзистора. Это помогает избежать случайного замыкания.
Вот как все это выглядит после пайки. Видно остатки зеленой платы флешки, которую я разрезал.
А вот все установлено в корпус.

Штекер USB хорошо бы закрепить.

Программируем ATtiny85

Когда работаете с ATtiny из Digispark, программирование значительно облегчается, поскольку бутлоадер уже есть. Открываете Arduino IDE, делаете скетч, говорите ему загрузиться, а потом втыкаете плату в USB.

Кто-то уже даже сделал конвертер под названием digiduck для уже существующих скриптов на Duckyscript. В качестве бонуса можно использовать команды LIGHT ON и LIGHT OFF в скрипте, чтобы сработал пейлоад MOSFET. Функция LIGHT ON подает напряжение на пины 5 и 6, к которым он подключен. Если то же самое сделать на обычной Digispark, загорится синий светодиод, который включается, когда на пятый пин подается ток. Это очень полезно для тестирования.

Ниже приведен скетч, который использовался в исходном видео с конфетти. Открывается терминал, затем звук выкручивается на полную громкость и видео с Vimeo открывается на полный экран (мультик RedNoseStudio). Ничего потрясающего с точки зрения атак через HID. На 22-й секунде используется digitalWrite, чтобы подать напряжение на МОП-транзистор. Через три секунды подача тока к пейлоаду прекращается.

Можете заметить, что digiduck переводит LIGHT ON/OFF как digitalWrite с параметрами (0, HIGH) или (1, HIGH). Это соответствует пину 5 (0) или 6 (1) на ATtiny. Это означает несколько светодиодов или в этом случае несколько триггеров.

Убираем пятисекундную задержку при старте

Одно из раздражающих свойств Digispark — это пятисекундная задержка при загрузке. Именно эта задержка позволяет загружать новые скетчи при подключении. Если ее убрать, то для загрузки программы нужно будет замыкать два пина ATtiny. Для борьбы с задержкой понадобится новый загрузчик.

Загрузить его можно при помощи программатора, но куда веселее использовать уязвимость типа «скольжение по цепочке NOP» (NOPslide), чтобы загрузить его из памяти, которая обычно используется для скетчей. Однако для записи прошивки все равно понадобится убрать некоторые предохранители внутри чипа. А это, к сожалению, все же требует использовать высоковольтный (12 В) программатор.

Говорят, в некоторых версиях Digispark биты-предохранители не выставлены, но в моей они были.

Высоковольтный программатор

Если вы выберите путь с высоковольтным программатором, то тут большой выбор устройств — например, долларов за 60. Однако вполне можно обойтись Arduino Nano v3 за 4 доллара и макетной платой. Кто-то сделал скетч для Arduino, который автоматически очищает предохранительные биты, что для нас очень удобно. Шаги 1–3 из руководства по этой операции привели меня к желаемому результату.

Вместо того чтобы подключать ATtiny напрямую к макетке, я использовал зажим SOIC-8, чтобы программировать чип напрямую. Также я заменил двенадцативольтовую батарейку на пятивольтовый бустер за 5 баксов. Все это я так часто использовал, что перенес с макетной платы на более постоянную ProtoBoard.

Пишем новый загрузчик

Теперь, когда предохранители удалены, мы можем загружать новый бутлоадер. Как я уже говорил, вы можете сделать это при помощи программатора. С минимальными изменениями сгодится уже использованный нами высоковольтный программатор. Но это далеко не так весело, как что-то, что делать не предполагалось.

Существует проект micronucleus, в рамках которого разрабатываются новые прошивки. Если покопаться в глубинах этого проекта, то найдется утилитка под названием upgrade, которая использует скольжение по NOP для загрузки новых бутлоадеров по USB. Вы пишите micronucleus BootloaderName.hex — и готово.

Я использовал бинарную версию micronucleus-1.11-entry-jumper-pb0-upgrade.hex.

Помните, что после изменения загрузчика пропадет пятисекундная задержка и у вас больше не будет возможности замыкать первый и пятый контакты (или другие, если у вас другой бутлоадер) на землю, чтобы залить новый скетч для ATtiny.

Ту-ду и вишлист

• Нормальная печатная плата для удобства пайки;
• возможность получать пользовательский ввод и расширить потенциальный набор функций.

Фейлы

Я не записывал каждый шаг, но у меня остались фотографии нескольких фейлов, случившихся в процессе.

Первый тест пятивольтового триггера.
Попытка приделать контакты к корпусу SOT-23 МОП-транзистора, чтобы использовать его на макетной плате. Ножки отвалились, стоило взять его в руки.
А вот более удачная попытка поместить MOSFET на макетную плату. Это первый раз, когда я испытал всю прелесть медной ленты!

РЕКОМЕНДУЕМ: Linux-сервер на микрокомпьютере Omega 2

Загрузка…

Источник: https://tech-geek.ru/self-destructing-usb-flash-drive/

Флеш накопитель с шифрованием и уничтожением данных Samurai Flash Drive

   Флеш-накопитель с возможностью мгновенного и необратимого уничтожения конфиденциальной информации — последующее восстановление хранившихся на нем данных НЕВОЗМОЖНО! При этом сам накопитель является многоразовым, что позволяет записывать в него данные и уничтожать их неограниченное число раз.

Имеет оригинальную встроенную клавиатуру для ввода пароля на ограничение доступа.

Поддерживает 3 варианта запуска программы для гарантированного уничтожения информации: нажатием кнопки на боковой стороне корпуса, при помощи ввода специального пароля, а также при вводе неправильного пароля для доступа к информации более 6 раз.

Кому пригодится это устройство?

    Если Вы думаете, что флешки и винчестеры с функцией самоуничтожения пригодятся только шпионам или секретным агентам, то сильно ошибаетесь. Часто бывает так, что сохранить важные финансовые, корпоративные и др. данные в секрете можно только уничтожив их.

Каждому из нас есть, что скрывать: компрометирующую или стратегически важную информацию, бухгалтерскую, техническую и научную документацию, бизнес-планы, разработки, проекты и т.п.

Не зря обеспечение информационной безопасности является важнейшей задачей любой организации.

Физическое уничтожение носителя помогает, но не всегда и везде!

    Простое стирание информации с диска — самый ненадежный метод сохранить ее в секрете, поскольку в этом случае стираются не сами данные, а путь к ним.

После стирания информация по-прежнему остается на диске, просто она теряет связь с файловой системой, а потому не видна обычному пользователю. Если проводить аналогии, то отформатированный диск похож на книгу, из которой вырвали содержание, оставив остальные страницы.

Даже начинающий хакер при помощи специальных программ-восстановителей сможет легко реанимировать его и получить всю «стертую» базу данных в целости и сохранности.

Но попробуйте сделать это, оказавшись в неловкой ситуации под моральным или физическим давлением со стороны. В то же время, механическое уничтожение носителя, разбив его об стену или растоптав, не гарантирует, что хранящаяся информация пропадет.

Даже после такого испытания микросхемы памяти практически всегда можно извлечь и переписать, что хранилось в них.

USB-флеш носитель «Самурай» ГАРАНТИРОВАННО уничтожает информацию программно-аппаратным методом

    Уничтожение данных с носителей информации происходит программно-аппаратным способом за счет воздействия на каждую ячейку памяти сигналов, которые выдает встроенный контроллер и аккумулятор питания. При этом носитель возвращается к исходному состоянию, его память становится чистой, а хранящиеся до этого данные невозможно восстановить никаким путем.

А если «флэшку» банально украдут?

    Существует ещё одна вероятность утечки информации, в том случае если ещё до физического уничтожения USB-накопитель украдут. Для защиты от этого нужна флешка, на доступ к которой можно установить пароль.

Если неправильно ввести его несколько раз подряд, то встроенная память возвращается к первоначальному состоянию, то есть хранящиеся данные удаляются программно-аппаратным путем и их нельзя восстановить.

USB-флеш носитель «Самурай» — как раз один из таких, поэтому является наиболее защищенным носителем информации среди других.

Преимущества USB-флеш носителя со встроенной системой экстренного уничтожения информации «Самурай»:

• Многоразовый, так как после уничтожения данных работоспособность очищенного от информации носителя сохраняется.
• Ограничение доступа к носителю обеспечивается установкой пароля при помощи встроенной клавиатуры.
• Защита от подбора пароля — он устанавливается не программно с компьютера, а аппаратно со встроенной клавиатуры.
• Защита информации при краже носителя обеспечивается функцией самоуничтожения данных при неправильном вводе пароля более 6 раз.
• Программно-аппаратное шифрование данных: информация окажется бесполезной, даже если недоброжелатели смогут её прочитать, добравшись до микросхем памяти напрямую.
• Высокая надежность носителя за счет прочного цельнометаллического корпуса.

Встроенная аппаратная клавиатура: защита данных паролем, который невозможно подобрать

    На верхней стороне корпуса USB-флеш носителя есть четыре клавиши: «1», «2», «3» и «ввод», позволяющие установить на устройство пароль, позволяющий получать доступ к нему только тем, кто знает соответствующую комбинацию цифр.

В отличие от установки на USB-накопители пароля при помощи компьютера, пароль, введенный с аппаратной клавиатуры, невозможно перехватить шпионскими программами или подобрать.

Установленный на носитель пароль Вы сможете в любой момент изменить или вовсе отменить, чтобы использовать устройство в качестве обычной «флэшки».

Многоразовый: после уничтожения данных работу USB-носителя можно восстановить

    В отличие от большинства других подобных носителей, «Самурай» после удаления данных можно восстановить, чтобы использовать вновь и вновь. Чтобы снова записывать в него информацию после использования функции уничтожения, достаточно отформатировать устройство, подключив его к компьютеру.

3 способа активации уничтожения данных

    USB-флеш носитель «Самурай» поддерживает три варианта экстренного уничтожения данных, каждый из которых защищает информацию при определенных обстоятельствах:

• Пароль на уничтожение — вводится со встроенной клавиатуры один раз и приводит к возвращению накопителя в исходное состояние. Эта функция будет полезна, если вас будут вынуждать ввести пароль, чтобы получить доступ к данным на носителе.
• Нажатие одной кнопки на боковой панели — позволяет уничтожить данные в экстренных случаях, когда времени на это совсем мало.
• Ввод неправильного пароля на доступ более 6 раз — позволяет защитить информацию при краже USB-флеш накопителя, так как после шести неудачных попыток ввода пароля для получения доступа носитель уничтожает данные.

Программно-аппаратное шифрование данных: информация окажется бесполезной, даже если недоброжелатели смогут её прочитать

    При записи информации в носитель она подвергается программно-аппаратному шифрованию, поэтому даже если посторонние смогут переписать её, добравшись до микросхем памяти напрямую, она будет представлять собой бесполезный набор символов, и её не удастся прочитать. Алгоритм шифрования, используемый в носителе, никому неизвестен, так как не требует государственной регистрации.

Цельнометаллический корпус: ваша информация не пострадает, если Вы уроните носитель или ударите его

    USB-флеш носитель заключен в цельнометаллический корпус, надежно защищающий его от механических повреждений. Это значит, что хранить в нем информацию надежнее, чем в обычном USB-носителе, не только из-за того, что посторонние не смогут получить доступ к ней, но и потому, что, если Вы по неосторожности уроните устройство или ударите его, ничего плохого с ним не произойдет.

Технические характеристики:

Предупреждение: специалисты нашего сайта www.dicmarket.ru обращают внимание, что при случайном запуске функции уничтожения информации данные стираются в соответствии со стандартным алгоритмом. Их восстановление НЕВОЗМОЖНО!

Комплект поставки:

• USB-флеш носитель «Самурай»;
• кабель для подключения к ПК;
• инструкция по эксплуатации.

Гарантийный срок: 12 месяцев.

Проиводитель: Россия.

Купите сегодня по выгодной цене Флеш накопитель с шифрованием и уничтожением данных Samurai Flash Drive в интернет-магазине в Москве!

Есть вопросы или хотите заказать этот товар? Звоните прямо сейчас:

8 (495) 740 93 52
8 (915) 167 82 97

Наши консультанты помогут сделать правильный выбор и расскажут об особенностях товара.

Источник: http://dicmarket.ru/zashita_ot_proslushki/unichtozenie_dannich/samurai_flash_drive

Шифрование флешки

Статья о способах защиты данных на флеш-накопителях, а также программах для шифрования флешек и отдельных файлов на них.

Ещё каких-то лет 10 назад при отсутствии Интернета мы передавали друг другу различные данные на дискетах и дисках. Дискета в этом плане была удобнее, ибо на неё можно было «скидывать» информацию напрямую без перезаписи всего содержимого, как, например, на RW-дисках. Единственным недостатком дискет был малый объём (всего чуть больше мегабайта).

Любая флешка среди прочего файлового «хлама», порой, хранит довольно важные данные, видеть которые кому попало нежелательно. Поэтому сегодня предлагаю Вам зашифровать свою флешку и личную информацию на ней.

Немного теории

Прежде чем рассмотреть конкретные примеры шифрования флешки, стоит немного разобраться с видами самого шифрования, а также его принципами. Применимо к флешкам сегодня существует два типа защиты данных на них: аппаратный и программный.

Аппаратное шифрование реализуется за счёт внедрение в конструкцию накопителя дополнительных устройств, которые блокируют возможность его подключения к компьютеру. При этом такие устройства могут иметь различный принцип действия: от физического блокирования доступа к флешке вообще, до использования современных сканеров отпечатков пальца!

Можно выделить три основных типа программного шифрования. Первый тип подразумевает шифрование всего носителя и доступ к нему по паролю. Второй – создание дополнительного зашифрованного раздела на носителе (нечто вроде, скрытой папки) с парольной защитой. Третий же вариант – «точечное» шифрование отдельных важных файлов.

У каждого из методов есть как свои достоинства, так и недостатки, однако, хочется сразу сказать, что идеального, увы, не существует… Плюс, Вы рискуете забыть пароль и навсегда потерять свои данные!

Поэтому, перед тем как решить нужно ли Вам шифровать флешку, подумайте, может, не такие уж и продвинутые пользователи будут видеть её содержимое? Вполне возможно, что для них достаточно будет сделать важную папку скрытой или просто изменить расширение секретного файла ;).

Шифрование при помощи BitLocker

Пользователям профессиональных редакций Windows (начиная с 7) доступен один весьма полезный и удобный инструмент под названием BitLocker. Это встроенное решение для шифрования локальных и съёмных носителей информации «на лету» без необходимости менять файловую систему на зашифрованную (например, EFS), и с простой разблокировкой доступа к ним по паролю.

Для установки пароля на флешку при помощи BitLocker нам будет достаточно подключить её к ПК, открыть окно «Компьютер» и в контекстном меню нашего съёмного диска выбрать пункт «Включить BitLocker». После непродолжительной инициализации перед нами появится такое окно:

В этом окошке нам предложат два варианта шифрования: при помощи пароля и посредством подключения смарт-карты. Думаю, с дополнительными карточками возиться особого смысла нет, поэтому оставляем выбор на первом пункте и дважды вводим в специальные поля свой пароль. Последний должен быть не короче 8 символов и содержать как буквы, так и цифры.

После нажатия кнопки «Далее» мы перейдём к окну создания ключа восстановления, который сможет снять блокировку, если мы вдруг забудем пароль. Этот ключ может быть сохранён в Вашей учётной записи пользователя онлайн, в отдельном текстовом файле на локальном компьютере или же распечатан на принтере. Наиболее удобный вариант, думаю, локальное сохранение. Выбираем его и сохраняем текстовый файл с нужным именем и в нужной папке.

После сохранения файла с ключом Вам предложат выбрать тип шифрования флешки. Первый вариант предлагает более быстрое шифрование только занятого места на флешке, второй – более длительное, но полное. Первый вариант рекомендуется только для новых дисков, на которых ещё нет информации, однако, опытным путём было установлено, что он вполне подходит и для непустых носителей, поэтому можете смело выбирать его и дожидаться окончания шифрования.

После того как флешка зашифруется, безопасно извлеките её, а затем снова подключите к порту. Если всё было сделано верно, то в окне «Компьютер» Ваша флешка будет иметь дополнительную иконку с замком, а при попытке её открыть, система попросит Вас ввести пароль

Альтернативным программным решением может стать приложение DiskCryptor. Оно также позволяет зашифровать всю флешку, однако, требует установки на всех компьютерах, к которым зашифрованная флешка будет подключаться. Иначе, система просто предложит отформатировать её!!!

Создание зашифрованного раздела

Учитывая, что BitLocker может не работать на старых системах и Home-редакциях без прав администратора, некоторым может понадобиться альтернативное решение для шифрования данных на флешке. Идеально было бы создать рядом с обычными данными зашифрованную папку, однако, в силу особенностей Windows и съёмных накопителей вообще, такого способа не существует!

Но Вы можете имитировать его за счёт создания на флешке зашифрованного раздела, замаскированного под любой файл! Раньше для этого идеально было использовать программу под названием TrueCrypt. Однако с конца прошлого года (2014) разработчики прекратили её поддержку (говорят, не обошлось без АНБ…) и объявили её алгоритмы небезопасными.

В принципе, если Вы не думаете, что Ваша флешка попадёт в руки крутых хакеров, которые подберут пароль брутфорсом, можете использовать последнюю рабочую версию TrueCrypt 7.1a (доступна на нашем сайте по ссылке в предыдущем абзаце). Если же желания к компромиссам нет, можете воспользоваться популярной альтернативой TrueCrypt под названием VeraCrypt.

Эта программа практически полностью повторяет интерфейс TrueCrypt и использует те же исходные коды, однако имеет иной алгоритм шифрования, который ещё никто не смог взломать! При этом может работать прямо с флешки, что нам и требуется. Качаем VeraCrypt, запускаем инсталлятор и видим окошко с выбором варианта установки (точно такое, как и у TrueCrypt):

Нам нужно выбрать второй вариант «Extract» и распаковать программу в папку прямо на флешке. Она наверняка, на нас «ругнётся» по-английски, предупреждая о том, что в портативном варианте могут не работать некоторые функции, но мы проигнорируем «ругань» и продолжим до конца.

Когда программа будет уже на флешке, запустим её. Если Вы раньше работали с TrueCrypt, то Вас встретит знакомый интерфейс (правда, на английском). Чтобы его русифицировать достаточно пройти в меню «Settings» и вызвать пункт «Language». В открывшемся окошке выбираем «Русский» и жмём «Ok»:

Теперь нам нужно создать на нашей флешке зашифрованный раздел. В качестве раздела у нас должен фигурировать любой файл, под который данный раздел будет замаскирован. Для крупных хранилищ идеально подойдёт формат видеофайла (AVI или MP4), поскольку, текстовый файл или картинка размером в пару гигабайт будет выглядеть подозрительно :). Кидаем на флешку любой видеофайл (он будет уничтожен!) и жмём кнопку «Create Volume» («Создать том»):

Запустится мастер создания зашифрованного раздела. В принципе, там всё расписано по-русски и особых проблем быть не должно. Тем более, что все этапы подготовки совпадают с этапами работы в TrueCrypt, которые описаны здесь. Вкратце же скажу, что нам нужно будет сделать:

1. Выбрать создание зашифрованного файлового контейнера в виде обычного тома.
2. Указать файл для контейнера (тот видеофайл, что мы скидывали на флешку).
3. Выбрать алгоритмы шифрования (можно оставить по умолчанию).
4. Указать размер зашифрованного хранилища в килобайтах, мегабайтах или гигабайтах (по желанию, но не больше объёма свободного места).
5. Задать пароль доступа к хранилищу (желательно подлиннее).
6. Запустить процесс создания хранилища.
7. Закрыть окно Мастера после завершения создания зашифрованного тома

Результатом успешной работы будет видимый на флешке «видеофайл», который невозможно воспроизвести ни одним плеером… Теперь как его открыть. Снова возвращаемся в основной интерфейс VeraCrypt, в списке дисков выбираем любую свободную букву (например, O), жмём кнопку «Файл» и указываем путь к «видеофайлу», после чего жмём «Смонтировать» и дожидаемся завершения процесса.

Когда монтирование будет окончено, в окне «Компьютер» Вы обнаружите новый «Локальный диск (О:) (буква будет та, которую Вы выбрали), на который Вы сможете записать любую нужную Вам информацию. По завершении же работы с зашифрованным разделом снова вернитесь в основной интерфейс программы и нажмите кнопку «Размонтировать»:

Виртуальный диск исчезнет из системы и никто (кроме Вас) не узнает, откуда он брался и как в него зайти

Альтернативой для частичного шифрования и создания скрытых разделов может служить программа FreeOTFE и её форки. Однако, в портативном режиме работы в новых Windows Вы столкнётесь с проблемой необходимости ручной установки драйверов, поэтому подойдёт такое решение только для Windows XP и младше, где с политикой работы драйверов всё несколько попроще…

Шифрование файлов

Последним вариантом шифрования является установка пароля для доступа только к одному важному файлу. Действительно, иной раз незачем создавать целый скрытый раздел, если нам нужно закрыть доступ только к парочке файлов. Для этой цели рекомендую портативную программу AxCrypt2Go:

Она на английском, но, думаю, стандартный вид Проводника Windows знаком всем, поэтому особых проблем с пониманием интерфейса не возникнет. В левой части в дереве папок нам нужно выбрать нашу флешку, а в правой части вызвать контекстное меню файла, который нужно зашифровать, и нажать первый пункт «Encrypt»:

В появившемся окошке дважды введём нужный пароль и нажмём «Ok». Опционально можно также сделать проверку по файлу-ключу, но это необязательно. Результатом манипуляций станет появление в папке нового файла, одноимённого с зашифрованным, но с расширением AXX. Оригинал удаляем, а зашифрованный файл в любой момент можем расшифровать при помощи команды «Decrypt» и ввода заданного пароля.

На сайте производителя имеются две её версии: для старых систем (XP/Vista) и новых (7/8). Убедитесь, что качаете ту версию, которая подходит Вам! После скачивания и распаковки архива на флешку запустим программу и русифицируем её, выбрав в разделе «Language Choose» пункт «Русский».

Принцип работы с данной программой аналогичен принципу работы с AxCrypt2Go, однако, имеет ряд преимуществ. Во-первых, файлы можно шифровать массово. А во-вторых, имеется опция «Удалить изначальные файлы», которая позволяет нам быстро удалить незашифрованные данные, оставив только их запароленные варианты!

Вообще же программы шифрования отдельных файлов, как класс, представлены довольно широко. Они встречаются и в виде модулей в комплексных утилитах по обслуживанию ПК (например, Glary Utilities), и в виде самостоятельных (часто портативных) решений. Интересным примером последнего типа можно назвать программу bmpCoder, которая позволяет зашифровать небольшие текстовые фрагменты прямо в изображения в формате BMP без нарушения работоспособности картинки!

Выводы

Подводя итог, хочется сказать, что реально поставить пароль на флешку позволяет только системный инструмент BitLocker. Иным способом заблокировать съёмный носитель, чтоб он, как в кино, выдал красивую надпись «Access Denied» в природе не существует!

Однако, как мы могли убедиться, имеется масса способов бесплатно зашифровать данные на флешке. Это и создание скрытых разделов, замаскированных под обычные файлы, и шифрование отдельных файлов, и даже, скрытие информации в обычных изображениях!

Словом, за многие годы существования ПК и флешек способов скрыть от посторонних свои конфиденциальные данные было придумано множество. Нам остаётся только определиться с тем, который нужен именно нам и успешно использовать опыт наших предшественников-конспирологов

P.S. Разрешается свободно копировать и цитировать данную статью при условии указания открытой активной ссылки на источник и сохранения авторства Руслана Тертышного.

Источник: https://www.bestfree.ru/article/device/usb-flash-locking.php

LiNX – решения от профессионалов

Мы уже писали о полезности шифрования данных на портативных носителях, в частности, в статье Как создать зашифрованную флешку в Mac OS X.

В качестве логического продолжения, рассмотрим специальные флеш-накопители Kingston DataTraveler Vault Privacy, которые не нужно специальным образом форматировать, так как шифрование в них реализовано на аппаратном уровне.

Такие специальные накопители с аппаратным шифрованием имеют ряд преимуществ по сравнению с программным шифрованием, о чем мы и поговорим в этой статье.

Тот, кто приносит значительную свободу в жертву временной безопасности, не заслуживает ни безопасности, ни свободы.
Бенджамин Франклин

Для начала напомним, что конфиденциальность личных данных – это право каждого человека. В век расцвета информационных технологий это право нужно особо тщательно охранять. Практически все что мы делаем и что как-то связано с электроникой, где-то записывается.

Сотовый оператор, который нас обслуживает, хранит базу данных с информацией где мы находились и с кем разговаривали. В некоторых странах (не только в тоталитарных, но и в демократических), вводятся законы обязывающие провайдеров Интернет хранить копию информации скачанную пользователем из сети на протяжении от нескольких последних лет до бесконечности.

Крупные компании собирают огромные объемы информации при помощи дисконтных карт и RFID меток, превращая граждан в статистических потребителей.

Широко известные IT компании, используют технологии шпионского и вирусного ПО, сознательно заражая компьютеры клиентов программами, собирающими информацию, чтобы наблюдать за активностью и даже контролировать что пользователь может делать со своим собственным компьютером, и все это под лозунгом борьбы с пиратством.

Поэтому, конфиденциальность собственной информации – это вопрос, на который уже давно нельзя закрывать глаза, и говорить что этим должны заниматься специалисты. О безопасности и конфиденциальности нужно думать постоянно, покупаете ли вы продукты, рассчитываясь карточкой или заполняете анкету, регистрируясь в интернет-магазине.

Безопасность – это процесс, а не результат.
Брюс Шнайер

Самый простой способ обезопасить информацию, которую вы носите с собой – использовать накопители с шифрованием. В прошлой статье мы рассмотрели самый простой вариант, который можно реализовать самостоятельно, имея абсолютно любой флеш-накопитель или даже жесткий диск. Но у описанного способа есть недостатки – такой зашифрованный накопитель можно будет открыть (введя пароль) на компьютере Мак с операционной системой 10.7 (Lion) и выше. На более старых Mac OS X, и на Windows он работать не будет.

Если вам необходима работа с разными ОС, более универсальным решением в этом случае будет специализированный флеш-накопитель Kingston DataTraveler Vault Privacy.

Но для всех этих 6 моделей есть главная общая особенность: в них реализовано аппаратное шифрование.

Аппаратное шифрование означает, что кодированием информации занимается не процессор компьютера, а микросхема находящаяся внутри «флешки». Аутентификацией пользователя также занимается флеш-накопитель, а не компьютер. Это в свою очередь означает, что на компьютер не нужно доустанавливать дополнительные программы или драйвера для работы с таким накопителем – все это уже есть на флешке (поддерживается работа с Windows, Mac, Linux).

Рассмотрим как происходит работа с такой флешкой.

Когда вы в первый раз подключаете Kingston DataTraveler Vault Privacy к компьютеру, она появляется как компакт-диск DTVP – это отдельная read-only область на флешке, где содержатся программы для Mac и Windows, которые помогут настроить накопитель для использования, и в дальнейшем будут отвечать за аутентификацию пользователя. Запустим DTVP.app из папки Mac (если у вас Windows, запустите DTVP_Launcher.exe если он не запустится автоматически).

Нас попросят выбрать язык. Выбор там не большой, русского нет, поэтому оставляйте английский:

Принимаем лицензионное соглашение, формальность без которой никак:

Потом нас попросят задать пароль, который будет служить паролем для открытия накопителя. Пароль должен быть достаточно сложным, и по правилам Kingston, состоять от 6 до 16 символов и включать любые 3 характеристики из 4:

• Символы в верхнем регистре
• Символы в нижнем регистре
• Цифры
• Специальные символы

Также вы можете ввести подсказку для пароля, если боитесь его забыть, но это не обязательно.

Рекомендуем ознакомиться со статьей по созданию правильных паролей. С одной стороны, пароль должен быть устойчив к подбору, с другой – вы должны его помнить – задача не так проста как может показаться, поэтому упомянутую статью обязательно примите к сведению.

Безопасность – это искусство компромиссов.
Брюс Шнайер

На последнем, 4 шаге вам будет предложено ввести свои личные данные – имя и компанию в которой вы работаете.

Флеш-накопитель будет отформатирован и готов к использованию. Теперь каждый раз, при подключении флешки к компьютеру, необходимо будет вводить пароль через программу DTVP.app (или DTVP_Launcher.exe).

Как это работает?

Вся информация на основном разделе накопителя шифруется с помощью 256-битного ключа по алгоритму AES. (AES принят в качестве стандарта шифрования правительством США, и является самым распространенным алгоритмом симметричного шифрования). Ключ шифрования генерируется с помощью заданного пользователем пароля.

Логика флешки устроена таким образом, что при вводе неправильного пароля 10 раз подряд, стирается 256-битный ключ, делая все содержимое накопителя бесполезным набором бит.

Другими словами, если вы назначили неочевидный, но простой пароль типа misha87, то методом прямого перебора (bruteforce) его можно подобрать, скажем, за несколько дней. Но другое дело, если у вас (или у того кто нашел вашу флешку) есть только 10 попыток, после чего будет стерт ключ, и единственное что предложит накопитель – выполнить форматирование.

Резюмируем преимущества аппаратного шифрования:

• Используется процессор, физически расположенный на внешнем накопителе, что освобождает хост-систему от кодирования;
• Кодирующий аппарат привязан к накопителю, поэтому возможность кодирования доступна постоянно, не требуется установка дополнительных драйверов или программ на хост-компьютере;
• Защита ключей и критически важных параметров безопасности производится аппаратными кодирующими средствами, аппаратная защита от грубого перебора;
• Данные защищены от наиболее распространенных атак, таких как «холодная» перезагрузка, вредоносный код, грубый подбор пароля;

Что выбрать?

Компания Kingston предлагает несколько моделей флеш-накопителей с аппаратным шифрованием. В семейство Vault Privacy входят:

• DataTraveler Vault Privacy
• DataTraveler Vault Privacy Managed
• DataTraveler 4000 (FIPS 140-2 Level 2)
• DataTraveler 4000 Managed
• DataTraveler 5000 (FIPS 140-2 Level 2 Military Grade Encryption)
• DataTraveler 6000 (FIPS 140-2 Level 3 Military Grade Encryption)

Слово «Managed» в названии означает что эти модели могут управляться централизованно. Для них возможна централизованная настройка политик паролей, удаленный сброс паролей, удаленное стирание, резервное копирование, аудит файловой активности. Все это осуществляется через веб-сервис SafeConsole for Kingston доступный по платной подписке. Хорошее корпоративное решение, но для личного использования не принципиально.

Для обычных пользователей можем рекомендовать самые простые модели – «Vault Privacy». Они выпускаются в вариантах на 2, 4, 8, 16, 32, 64Гб. В них реализовано настоящее AES-256 шифрование, но нет «экстра» функций безопасности, которые доступны в более дорогих вариантах.

Модели 4000, 5000 и 6000 предназначены для профессионального применения различного уровня. По американским стандартам они сертифицированы для использования военными и правительством.

Для наглядности приведем сравнительную диаграмму возможностей флеш-накопителей с сайта kingston.com:

Надеемся, серией статей по безопасности нам удалось убедить вас в важности такого вопроса как безопасность и конфиденциальность личных данных. В следующих статьях мы продолжим рассмотрение актуальных проблем и решений касающихся безопасности.

Хотите узнать больше о флеш-накопителях с аппаратным шифрованием от Kingston? – отправьте заявку через форму обратной связи и мы свяжемся с вами.

Рекомендуем прочесть другие статьи из серии «Безопасность»:

Источник: http://linx.net.ua/flesh-nakopiteli-s-apparatnym-shifrovaniem-ot-kingston/