Различия
Показаны различия между двумя версиями страницы.
— | wiki:articles:pib [10/01/2014 07:27] (текущий) – создано - внешнее изменение 127.0.0.1 | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
+ | ^**Некоторые принципы информационной безопасности в среде Linux**^ | ||
+ | **Операционные системы: | ||
+ | |||
+ | =====Монтирование файловых систем===== | ||
+ | |||
+ | Один из простейших способов сокрытия данных: | ||
+ | Алгоритм: | ||
+ | - Создается пустой файл необходимых размеров; | ||
+ | - Форматируется (mkfs) в определенную файловую систему; | ||
+ | - Монтируется как отдельное устройство (с loop параметром). | ||
+ | |||
+ | **Преимущества: | ||
+ | - Простота использования; | ||
+ | - Перед монтированием в папку можно накидать безобидной информации, | ||
+ | **Недостатки: | ||
+ | - Секретная информация была и остается на поверхности жесткого диска, а значит, | ||
+ | - //Bash//, как известно, | ||
+ | - Само по себе наличие монтируемого файла. Можно попытаться спрятать файл в системную папку и заменить им какой-либо системный файл, который практически не используется в работе системы. Минус этого способа в том, что все родные файлы //nix// систем имеют незначительный объем, и наличие 10-и гигабайтного /// | ||
+ | |||
+ | Впрочем, | ||
+ | |||
+ | =====Создание файла заглушки===== | ||
+ | |||
+ | Способ, | ||
+ | Алгоритм: | ||
+ | - Создаем секретную директорию и небольшой файлик-заглушку; | ||
+ | - Записываем в директорию секретную информацию, | ||
+ | - Если поток секретных данных непрерывен – заглушка монтируется в момент опасности. Если поток данный регулярный – заглушка монтируется автоматически. | ||
+ | **Преимущества: | ||
+ | - Простота использования; | ||
+ | - Спрятать файл-заглушку небольшого размера проще в дебрях ОС. | ||
+ | |||
+ | **Недостатки: | ||
+ | - Обязательно физическое наличие строки в //fstab//, монтирующего заглушку при загрузке ОС и (или) скрипта, | ||
+ | - Если не автоматизировать процесс монтирования (п. 1), то при изъятии системного блока или перезагрузке, | ||
+ | |||
+ | =====Методы стеганографии===== | ||
+ | |||
+ | <note tip> | ||
+ | В отличие от криптографии, | ||
+ | Преимущество стеганографии над чистой криптографией состоит в том, что сообщения не привлекают к себе внимания. Сообщения, | ||
+ | |||
+ | **Использование Steghide**. | ||
+ | Программа, | ||
+ | // | ||
+ | - В большом массиве фотографий, | ||
+ | - Расшифровать зашифрованную в файле информацию можно только зная пароль, | ||
+ | - Поддержка //jpeg, .bmp, .wav, и .au//; | ||
+ | - Поддержка большого количества алгоритмов шифрования. | ||
+ | - Легко запустить порчу такой базы данных, | ||
+ | |||
+ | **Недостатки: | ||
+ | - Ограничения по объему кодируемой информации по отношению к объему исходного файла. Причем больше всего умещается строковой информации (0,7-1 : 1), меньше всего – графической и бинарной (0, | ||
+ | - При завершении количества свободных бит, используются младшие биты изображения, | ||
+ | - Неизвестно, | ||
+ | |||
+ | **Использование Outguess.** | ||
+ | Стеганограф аналогичен // | ||
+ | **Использование MP3Stego**. Формат – //mp3//. Считается лучшим по сравнению с графической стеганографией. | ||
+ | |||
+ | =====Монтирование области RAM===== | ||
+ | |||
+ | Один из наиболее удачных методов хранения данных. При нарушении спокойствия, | ||
+ | Алгоритм аналогичен монтированию обычной файловой системы: | ||
+ | - Создаем диск в /// | ||
+ | - Форматируем; | ||
+ | - Монтируем; | ||
+ | - Работаем. | ||
+ | Одной из возможностей использования этого метода является непосредственное хранение данных на виртуальном рамдиске, | ||
+ | **Преимущества: | ||
+ | - Возможно бесследное уничтожение секретной информации, | ||
+ | - В любой момент можно вывести нужную информацию на ПЗУ; | ||
+ | - Повышение скорости управления данными. | ||
+ | **Недостатки: | ||
+ | - При сбое в питании информация будет уничтожена; | ||
+ | - Необходимо иметь «срочную кнопку» для моментального отключения целевого компьютера. | ||
+ | |||
+ | =====Использование систем шифрования===== | ||
+ | |||
+ | По сути дела, каждая система шифрования состоит из набора программ, | ||
+ | В поле наблюдения попали три основных среды шифрования – **TrueCrypt, | ||
+ | В тестировании я использовал систему // | ||
+ | <note warning> | ||
+ | |||
+ | Алгоритм: | ||
+ | - качаем сырец; | ||
+ | - распаковываем; | ||
+ | - собираем; | ||
+ | - устанавливаем. | ||
+ | |||
+ | Почему-то не создалась нужная директория, | ||
+ | |||
+ | < | ||
+ | Initializing BestCrypt. | ||
+ | touch: невозможно выполнить touch для `/ | ||
+ | |||
+ | < | ||
+ | xolod:/ | ||
+ | Initializing BestCrypt.</ | ||
+ | |||
+ | Pапускаем //bctool//, ужасаемся обилию возможностей, | ||
+ | |||
+ | Cоздаем новый раздел на винте (100 мегабайт, | ||
+ | |||
+ | xolod:/ | ||
+ | generating random seed, randomly move your mouse or press keys to speed the process | ||
+ | random seed generation: 1024\1024 bits (100%) | ||
+ | new password: | ||
+ | verify password: | ||
+ | Container successfuly created | ||
+ | Please do not forget to format the container</ | ||
+ | |||
+ | Форматируем в //ext3//: | ||
+ | |||
+ | < | ||
+ | password: | ||
+ | mke2fs 1.41.3 (12-Oct-2008) | ||
+ | Filesystem label= | ||
+ | OS type: Linux | ||
+ | Block size=1024 (log=0) | ||
+ | Fragment size=1024 (log=0) | ||
+ | 25688 inodes, 102396 blocks | ||
+ | 0 blocks (0.00%) reserved for the super user | ||
+ | First data block=1 | ||
+ | Maximum filesystem blocks=67371008 | ||
+ | 13 block groups | ||
+ | 8192 blocks per group, 8192 fragments per group | ||
+ | 1976 inodes per group | ||
+ | Superblock backups stored on blocks: | ||
+ | 8193, 24577, 40961, 57345, 73729 | ||
+ | |||
+ | Writing inode tables: done | ||
+ | Creating journal (4096 blocks): done | ||
+ | Writing superblocks and filesystem accounting information: | ||
+ | |||
+ | This filesystem will be automatically checked every 25 mounts or | ||
+ | 180 days, whichever comes first. | ||
+ | |||
+ | Создаем дополнительный скрытый раздел внутри уже созданного секретного (50% от него) с параллельным форматированием: | ||
+ | |||
+ | < | ||
+ | Enter existing password: | ||
+ | Enter password for hidden part: | ||
+ | verify password: | ||
+ | generating random seed, randomly move your mouse or press keys to speed the process | ||
+ | random seed generation: 1024\1024 bits (100%) | ||
+ | mke2fs 1.41.3 (12-Oct-2008) | ||
+ | Filesystem label= | ||
+ | OS type: Linux | ||
+ | Block size=1024 (log=0) | ||
+ | Fragment size=1024 (log=0) | ||
+ | 12824 inodes, 51200 blocks | ||
+ | 0 blocks (0.00%) reserved for the super user | ||
+ | First data block=1 | ||
+ | Maximum filesystem blocks=52428800 | ||
+ | 7 block groups | ||
+ | 8192 blocks per group, 8192 fragments per group | ||
+ | 1832 inodes per group | ||
+ | Superblock backups stored on blocks: | ||
+ | 8193, 24577, 40961 | ||
+ | |||
+ | Writing inode tables: done | ||
+ | Creating journal (4096 blocks): done | ||
+ | Writing superblocks and filesystem accounting information: | ||
+ | |||
+ | This filesystem will be automatically checked every 22 mounts or | ||
+ | 180 days, whichever comes first. | ||
+ | |||
+ | Монтируем секретный контейнер (аналогично – скрытую часть): | ||
+ | < | ||
+ | xolod:/ | ||
+ | password: | ||
+ | Container successfuly mounted | ||
+ | xolod:/ | ||
+ | |||
+ | Размонтирование: | ||
+ | |||
+ | < | ||
+ | Container successfuly unmounted</ | ||
+ | |||
+ | В дополнение ко всему хотелось бы привести **некоторые возможности этой системы**: | ||
+ | |||
+ | |||
+ | 1. Возможности монтирования: | ||
+ | |||
+ | < | ||
+ | -u user set mountpoint owner (can be used by root only), e.g. | ||
+ | -u jukka -g group set mountpoint group (can be set by root only), e.g. | ||
+ | -g bros -r mount container read-only</ | ||
+ | |||
+ | 2. Возможности программы: | ||
+ | |||
+ | < | ||
+ | Raw mode link to device (virtual drive) | ||
+ | Encrypted swap space | ||
+ | Монтирование на отдельные носители в тч и RAM (raw block device)</ | ||
+ | |||
+ | С такой свободой действий легко можно создавать сложную систему защиты информации, | ||
+ | |||
+ | |||
+ | ---- | ||
+ | Автор: [[http:// | ||
+ | [[http:// |