Razem z Windows 2000 i NTFS 3.0 (wówczas zwanym NTFS 5.0) pojawił się EFS. EFS pozwalał na szyfrowanie poszczególnych plików, nie pozwalał i nie pozwala na szyfrowanie całych partycji lub dysków. Równolegle pojawiło się kilka narzędzi komercyjnych, które pozwalały szyfrować całe dyski i wymagały uwierzytelnienia użytkownika przed uruchomieniem systemu. Możliwość szyfrowania partycji systemowej pojawiła się również w TrueCrypt od wersji 5.0. Od czasu, gdy pojawiła się taka możliwość w TrueCrypt, dysk systemowy mojego “roboczego” laptopa jest zaszyfrowany. Dlaczego whole disk encryption a nie EFS?
Czy warto szyfrować cały dysk? Tak. Dowód “nie wprost” znajduje się tutaj: TrueCrypt's Deniable File System. Nie, nie chodzi mi tu o DFS, tylko o to, że system i aplikacje ciekną. Szyfrując cały dysk, problem plików tymczasowych, pliku pagefile.sys , hiberfil.sys , rejestru (The Windows Registry as a Log File), narzędzi indeksujących i innych tego typu “niespodzianek” znacznie się zmniejsza. Oczywiście, należy pamiętać choćby o możliwości odzyskania kluczy z pamięci (Lest We Remember: Cold Boot Attacks on Encryption Keys)... A szyfrowanie na wyższych warstwach (kontenery TC, EFS, szyfrowane archiwa, ...) też się przydaje. Oczywiście z kluczem/hasłem innym, niż przy starcie systemu.
Ostatnio miał miejsce gigantyczny wyciek danych osobowych z PEKAO S.A.. Można się spierać, czy był on rzeczywiście taki gigantyczny, ale nie o tym chcę pisać. Jeśli ktoś jeszcze o tym nie słyszał, może zacząć swoją lekturę tu. Chcę pokazać dlaczego do takich zdarzeń dochodzi i będzie dochodzić.
W informacjach dotyczących phishingu jak mantrę powtarza się zalecenie, by sprawdzić adres strony, oraz to, czy adres zaczyna się od https. Problem w tym, że to nie daje wiele, o czym już zresztą pisałem. Owszem, zalecenia te mogą być wystarczające, gdy jest to “czysty” phishing, gorzej, gdy pojawia się wrogi kod.
Tak jakoś nagle pojawiła się nowa wersja TrueCrypt, tym razem jest to wersja 6.0. Jest już również dostępna odpowiednia tcgina. Nowych funkcji jest trochę, ale dla mnie chyba najbardziej będą użyteczne zmiany związane z wydajnością. Implementować ukrytego systemu operacyjnego u siebie nie zamierzam...
Zgodnie z Guidelines for Evidence Collection and Archiving jednym z elementów, które należy (w miarę szybko) pobrać jest pamięć. Można zrzucić pamięć fizyczną i następnie analizować ją choćby przy pomocy pakietu Volatility. Można też do sprawy podejść inaczej.