Шифруемся по-полной. VeraCrypt и виртуалки

Предисловие
Тот, кто уверен в собственной безопасности — абсолютно беззащитен.
© Макс Фрай, Тихий Город

Сегодня речь пойдёт о настройке системы для работы. Ничего сложного, но в случае чего это даст вам базовую гарантию безопасности. В данной статье я подробно разберу смысл, а главное, правильное применение средств защиты ваших устройств для защиты от посторонних глаз.

Немного теории (как это работает?)
Речь идет о работе системы Windows «из коробки». Речи о MacOS, Linux и прочих дистрибутивах (и/или модификациях) здесь идти не будет. Аналогично и с примерами, все действия выполняются исключительно с OS Windows.

Некоторые люди считают, что поставив пароль на свою систему, они сразу скрывают все свои данные и получить к ним доступ можно только введя пароль. Это не так. Пароль может быть использован как для шифровки / расшифровки данных, так и просто для доступа в систему. Windows не шифрует ваши данные, поставив пароль вы лишь ограничиваете доступ к своему устройству, но не к данным на нем.

Именно поэтому в последнее время становится популярнее шифрование дисков. Что это такое?

Надеюсь, вы разобрались. Если нет, то шифруя диск мы превращаем его реальное содержимое в беспорядочный разброс байтов, которые без ввода пароля (и PIM, но об этом чуть позже) невозможно просто взять и прочитать, соответственно, система будет запущена после расшифровки диска, ибо файлы системы тоже зашифрованы (при шифровке всего системного диска)

Как правильно все использовать?
VeraCrypt — французский клон TrueCrypt. В разы безопаснее и отлично устойчив к атакам. Поддерживает возможность отрицаемого шифрования, позволяя создавать внутри зашифрованного тома ещё один, «скрытый том». Кроме того, версия VeraCrypt для Windows позволяет создавать и выполнять скрытый экземпляр операционной системы Windows, чьё наличие также можно правдоподобно отрицать (об этом тоже расскажу)

VMware Workstation — программное обеспечение виртуализации. Позволяет пользователю установить одну или более виртуальных машин на один физический компьютер и запускать их параллельно с ним.

Всем понятно, что при помощи VeraCrypt мы будем шифровать диски. Зачем же нам остальные 2 программы? Что же, теперь я буду вас учить жизни и скажу: используйте виртуалки и скрытые тома. Ведь если дело касается сохранности жопы, то данные и в помине вам не нужны. Главное, чтобы никто ничего не нашел.

Допустим следующую ситуацию: к вам пришли, изъяли технику, и просят сказать пароль (а быть может, не просто просят :P). Если Вы скажете свой пароль и откроется доступ ко всем вашим данным, то хорошо это явно не кончится.

Для защиты от такой ситуации настоятельно рекомендую использовать встроенную возможность VeraCrypt'a под названием «скрытый том». Что это за зверь? Все просто: вводите один пароль (либо комбинацию пароль+PIM), открывается одна система (условно просто система, где вы просто играете в игры, делаете дизайн и все, все по-белому), вводите другой пароль (секретный) и открывается совершенно другая система. Вместо открытия системы, можно просто поставить различные данные (фотографии, текстовики с расчетами и прочее).

Выявить, что на диске находится скрытый том в странах СНГ не смогут (только если система совершенно сырая и в ней нет ни грамма данных). Вне СНГ есть компании, которые специализируются на этом, но это очень закрытая информация, и просто скажу: делитесь, меньше рискуйте, и прочитайте цитату в самом начале.

Практическая часть №1. Установка OS.
Делайте все по гайду. Если вы задаетесь вопросами в роде «а зачем так сложно?» или «к чему настолько заебываться?», то просто прочитайте то, что написано выше. Особенно последние 3 абзаца.

1. Выбор системы и диска
Для начала определитесь с версией Windows. Желательно, чтобы фейковая и основная системы были одинаковой версии (7/8/10/11). Лично я рекомендую 10, ибо 8 и 7 = старый мусор, а 11 — сырой кусок говна.

2. Перенос данных и установка системы
Теперь мы берем все данные, которые вам нужны со своей текущей системы и переносим на временный носитель (если не хватает места или нет съемного - на второй диск, который при установке новой системы форматируем)

Устанавливаем новую систему
1. Отключаем все диски кроме основного (физически: выдираем sata / откручиваем м2-накопители)
2. Вставляем загрузочную флешку в разъём
3. Ставим винду с форматированием диска (если не умеете - видео или видео)

3. Шифрование системного диска
Ставим VeraCrypt, запускаем:

Создание нового тома

Далее, выбираем одиночную загрузку, и шифрование:
— Для фейковой (не скрытой) системы выбираем AES + SHA-512 (самое быстрое)
— Для основной (скрытой) не выбирайте самое быстрое, чем более сложный вы выберите — тем медленнее будет расшифровываться при старте ваша система. Я лично ставлю AES(Twofish) + Whirlpool (или SHA-256)

4. Создание пароля

По поводу пароля от скрытой системы — никогда не используйте свои прошлые пароли. Если ваши диски изымут, то будут ****ить пароль по словарю с мутациями из ваших паролей от сервисов (они их передают, незашифрованными).

Для примера можете придумать какую-то рандомную фразу, что лично я всегда использую нечто подобное:
— huypizdaskovoroda@228
— kosh'kajena&tvoya^^
— xdddo...o&1337
— wow&unextendable

PIM — кол-во итераций. Чтобы не даваться в подробности — пин-код, который можно использовать как второй пароль, дополнительная защита. Аналогично — придумываете число (год рождения любимого актера, 1337, 4321, 2280 и пр.)

5. Установка скрытой системы
После ребута основной (когда вы только создали пароль), вас встретит меню VeraCrypt'a, которое предложит создать пароль для скрытой системы, пункт выше вам в помощь.

Просто следуйте инструкциям и во время второго ребута на скрытый том вставьте загрузочную флешку в порт и установите систему. Пароль от самой системы лучше вообще не ставить, сэкономите время.

Практическая часть №2. Криптоконтейнеры и виртуалки.
Если вы не понимаете, к чему все эти сложности, просто скажу — безопасность. Это не так сильно относится к защите железа, скорее к защите от деанонимизации и в сети, но об этом чуть позже.

Теперь по-порядку. Зачем все делить на контейнеры и виртуалки? Ответ прост — разграничивание пространства, так виды деятельности не путаются, одна виртуалка — одна задача, один контейнер — одни данные. Я лично к этому уже привык, ибо у меня разные машины для разных задач (для дизайна с сопутствующим софтом, для разработки, для проливов и т.д). Таким образом у вас не засоряется одна система и все распределено по полочкам.

Также, очень важный аспект — безопасность. Если вы натворили что-то опасное, то просто ремаете виртуалку со всеми данными о происшествии и забываете как страшный сон. Сделано это для того, чтобы если вдруг получат ваш второй пароль, то комбинацию паролей от виртуалок никто не узнает.

Что и где будем хранить. FAQ
Хранить свои данные (виртуалку или др) будем в скрытом томе. В основной (фейковый) том желательно засуньте что-то свое: фотки, текстовики, *********, архивы с программами. То, что не вызовет подозрений.

Размещать файлы желательно в папках программ с сопутствующим названием, к примеру:
— .../Program Files/NVIDIA Corporation/PhysX/memory_crash.dmp
— .../AppData/Roaming/Google/Chrome/bookmarks.tmp
— .../Program Files (x86)/Common Files/Steam/crashreport.vdf

Криптоконтейнер
Вкратце — как архив с паролем, только гораздо более устойчив ко взлому, с возможностью «скрытого тома» по второму паролю.
Шифрование — AES(Twofish(Serpent)) + SHA-512 (на оба тома), размер — столько, сколько вам нужно, большие файлы тоже по усмотрению.

Создание криптоконтейнера

Про размещение файла написано чуть выше.

Далее вводим различные пароли (см п.4 выше)

Виртуалка
Сначала создайте криптоконтейнер (см. выше), в процессе выбора размера основного тома ставьте 70-120гб (в зависимости от того, что собираетесь хранить на виртуалке), размер скрытого ставим размер основного за вычетом 5-10гб. Большие файлы — Да.

Не забыв заполнить основной том чепухой, монтируем скрытый том. Теперь все по-порядку:
1. Ставим VMWare Workstation Pro, ключи пожно нагуглить или взять здесь

2. Если не включена виртуализация

Во-первых, смотрим статьи в гугле, если не помогает то:
а) Проверьте, включена ли у вас она в BIOS
б) Ставим EasyBCD, ставим тут галочку, ребутаемся

3. Создание машины

Качаем образ, у меня уже есть, выбираем


ОБЯЗАТЕЛЬНО расположение на смонтированный контейнер!!! (у меня - Z)

Размер выбираем нашего скрытого тома (у меня — 60гб), разбивку на файлы включаем тоже (как на скрине)

Далее будет установка винды, готово

4. Настройка машины

Выставляем объем ОЗУ и кол-во ядер для комфортной работы

Далее, убираем данную галочку

Если вы поставили 11 винду, то включаем эту галочку:

Рекомендую качать US образ винды, и настраивать винду под штат и выдуманную личность. Подробнее расскажу в другой раз, т.к. это уже относится к анонимности в сети.

Заключение
Если вы это прочитали, то вы большой молодец. Кроме юмора. Тут много букав. Даже слишком.

Надеюсь, я вам помог, и вы узнали для себя что-то новое, а может, даже пошли делать. В наше время защита очень важна, и если ты занимаешься чем-то, что приносит деньги, рано или поздно кто-то да придёт (будь то федералы или наоборот, злоумышленники), но вот уйдёт он с вашими данными или останется с носом — решать только вам. Я лишь дал порцию информации, как можно себя от этого защитить и зачем вообще защищаться. Если вы этого не понимаете — постарайтесь понять, ведь потом будет слишком поздно.

Если вам есть, что добавить / изменить — пишите, на конструктив отвечу конструктивом.

P.S. На статью в том виде, в котором она есть ушло около 4 часов (формулировка, разделение на части, скриншоты, типографика). Просто забавный факт.