Олег Михайлец Профессионал

Как спрятать информацию? Часть 3

В первой и второй частях рассказывалось о сокрытии информации. Сейчас поговорим о правах и об ограничении доступа к данным — возможностях, которые предоставляет сама операционная система.

Кто тут в цари крайний?

Ни для кого, надеюсь, не секрет, что не все пользователи равны между собой. Есть администратор, который может практически всё, пользователи с разным уровнем доступа и бесправные гости. Постоянно использовать администраторские права заманчиво, большинство так и делает, но с точки зрения безопасности это не совсем правильно. Любая программа стартует с правами того, кто ее запустил, и что она сделает, имея слишком много прав, можно только предполагать. Да и вирусы не дремлют.

В идеале работать надо обычным пользователем, а администраторскими правами пользоваться только для настройки и конфигурации системы. Тем более что разработчики операционных систем изначально так и планировали и даже предусмотрели возможность из-под одного пользователя запускать программы от имени другого. Нажмите правой кнопкой мыши на иконке любой программы, и вы увидите кроме простого «Открыть» ещё и «Запуск от имени». А для консоли и командных файлов есть команда runas. Очень просто и удобно. Работаете пользователем, а если возникла необходимость что-то изменить в системе, то запускаете нужную программу от имени администратора.

Ты сюда не ходи, ты туда ходи!

Так что нам даёт такое разделение на пользователей? Возможность ограничить доступ к папкам и файлам! Нажмите на любой папке правую кнопку мыши и из выпавшего меню выберите пункт «Свойства». На закладке «Безопасность» (если её нет — читайте далее) видно, кто какими правами обладает и что может делать.

Сама операционная система (пользователь SYSTEM) и группа администраторов (а их может быть и не один) имеют полный доступ и все возможные права. Это логично. А вот простые смертные уже имеют ограничения. Можно добавить пользователя, которого нет в списке, или убрать существующего. Например, если лишить права «Список содержимого папки», то пользователь ничего в ней не увидит. Для него папка будет пустой. А если оставить только это право и убрать остальные, то увидит всё, но сделать ничего не сможет. Под кнопкой «Дополнительно» скрываются более подробные настройки. Можно определить владельца, настроить аудит (т.е. слежение за действиями пользователей в этой папке), определить наследуемость прав.

Если у вас нет закладки «Безопасность», то тут возможны две причины. Для пользователей Windows XP Pro всё довольно просто. Надо открыть любую папку и в меню выбрать «Сервис» — «Свойства папки» — «Вид». В открывшемся списке убрать галочку напротив пункта «Использовать простой общий доступ к файлам» и потом нажать «Ok». Для пользователей Windows XP Home всё гораздо печальнее. В ней нет такого пункта и закладка «Безопасность» не появится. Но есть возможность воспользоваться утилитой командной строки cacls. Метод более сложный и требующий некоторых навыков, но что уж есть.

Таможня даёт добро

Вроде всё красиво и элегантно. Захотел — дал права, не захотел — отнял. Но, как обычно, есть одно большое «НО». Все эти права действуют, только если загружена ваша операционная система. Достаточно загрузиться с CD, флэшки или получить доступ к жесткому диску, подключив его к другому компьютеру, и будет доступно всё. От загрузки с внешних носителей вас спасёт пароль на BIOS, но при большом желании и наличии достаточного времени для вскрытия компьютера даже это препятствие можно обойти.

Методов и способов много, но полной гарантии сохранности данных от несанкционированного доступа не даст ни один из них. Зато мы можем увеличить время, которое понадобится злоумышленнику для поиска и получения доступа к нашим данным, и не исключено, что ему просто надоест. Комбинируйте, пробуйте. Используйте разные методы в зависимости от ценности информации и не забывайте, что соотношение «цена/качество» действует и здесь. Слишком сложные методики доступа к информации могут вам скоро надоесть, и вы бросите это дело.

Берегите себя и свои тайны!

Обновлено 4.10.2008
Статья размещена на сайте 1.10.2008

Комментарии (19):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети:

  • Все эти права действуют, только если загружена ваша операционная система. Достаточно загрузиться с CD, флэшки или получить доступ к жесткому диску, подключив его к другому компьютеру, и будет доступно всё. От загрузки с внешних носителей вас спасёт пароль на BIOS, но при большом желании и наличии достаточного времени для вскрытия компьютера даже это препятствие можно обойти.
    Неправда ваша. Традиционно умалчиваете про шифрование, которое как раз и делает доступ из других операционок бессмысленным. Это и есть практически гарантированная защита. Разве не так?

    Оценка статьи: 4

    • Конкретнее можно в чем неправда?

      Про шифрование уже отвечал - я НЕ доверяю встроенному шифрованию винды, т.к. проблемы с ним уже были. Про сторонние утилиты (PGP и т.п.) решил тут не упоминать, т.к. они достойны отдельной статьи, которую вы, кстати, могли бы и написать, как приверженец шифрования как метода.

      PS Все три части написаны подряд, как единое целое, и о традиции тут речь вести не стоит.

      • Mike Mike Читатель 6 ноября 2008 в 18:17 отредактирован 6 ноября 2008 в 18:18

        Конкретнее можно в чем неправда?
        Куда ж конкретнее, написал прямо и недвусмысленно.
        Еще раз:
        Достаточно ... и будет доступно всё
        при большом желании и наличии достаточного времени для вскрытия компьютера даже это препятствие можно обойти
        Это является неправдой для шифрованных дисков, папок или файлов. И точка. Об этом в статье - ни слова.

        НЕ доверяю встроенному шифрованию винды, т.к. проблемы с ним уже были. Про сторонние утилиты (PGP и т.п.) решил тут не упоминать, т.к. они достойны отдельной статьи, которую вы, кстати, могли бы и написать, как приверженец шифрования как метода.
        Вопрос личного доверия/не доверия не может быть причиной для некорректного освещения вопроса. Сторонние утилиты, может быть, и достойны статьи, но здесь это здравое решение даже не упоминается! Дело не в моей приверженности, я просто не понимаю, каким образом можно в статье "Как спрятать информацию?" даже не определить прямым текстом шифрование как ОБЩЕИЗВЕСТНЫЙ, ОБЩЕДОСТУПНЫЙ и, фактически, единственный (программный) способ что-либо надежно спрятать.

        Оценка статьи: 4

        • Это является неправдой для шифрованных дисков, папок или файлов. И точка. Об этом в статье - ни слова.
          Mike, вы сначала напридумываете себе непонятно что, а потом это с жаром обличаете. Прочитайте статью внимательно и не вырывайте фразы из контекста.
          "Захотел – дал права, не захотел – отнял. Но, как обычно, есть одно большое «НО». Все эти права действуют, только если загружена ваша операционная система. Достаточно загрузиться с CD, флэшки или получить доступ к жесткому диску..."
          Речь идет о правах.

          Вопрос личного доверия/не доверия не может быть причиной для некорректного освещения вопроса
          Как автор я могу сам выбирать уровень освещения темы. Кроме шифрования еще не упомянул и про аппаратные средства от НСД, сканеры отпечатков пальцев, использование файловых потоков или баз данных, использование файловых систем, отличных от FAT-NTFS. Даже про банальные слои в doc-документах не рассказал.

          • Mike Mike Читатель 6 ноября 2008 в 23:16 отредактирован 6 ноября 2008 в 23:19

            Прочитайте статью внимательно и не вырывайте фразы из контекста.
            Речь идет о правах
            Увы, от внимательного прочтения чуда не происходит. Для чего нужны права? Чтобы свою информацию мог прочитать только владелец (упростим). А некий "чужой" не должен. Вы утверждаете, что если загрузиться по-левому или сдернуть диск, то "чужой" может получить доступ, т.е. права не сработают. Ок, так и есть (права оказываются весьма хлипкой вещью). НО! Берем для примера упоминаемую Win XP Pro с нелюбимыми Вами шифрованными папками. И что? "Чужой" НЕ ПОЛУЧАЕТ доступ ни так, ни эдак. Итог: права в данном случае не имеют "черного хода" и вполне надежны. Так что речь идет о правах или не идет?

            Кроме шифрования еще не упомянул и про аппаратные средства от НСД, сканеры отпечатков пальцев, использование файловых потоков или баз данных, использование файловых систем, отличных от FAT-NTFS. Даже про банальные слои в doc-документах не рассказал.
            Не надо соскальзывать с темы непонятно куда, я говорю об общеизвестных и доступных способах. Не требующих железяк и денег. Давайте еще взрывающиеся при НСД диски обсудим Небольшие замечания. Сканеры отпечатков пальцев - и есть аппаратное средство от НСД. Большинство аппаратных средств от НСД как раз и основаны на шифровании.

            Как автор я могу сам выбирать уровень освещения темы
            Да-да, конечно! В статье о сокрытии информации Ваше полное право не упоминать основной способ.

            Оценка статьи: 4

            • Олег Михайлец Профессионал 7 ноября 2008 в 16:11 отредактирован 7 ноября 2008 в 16:32

              "Чужой" НЕ ПОЛУЧАЕТ доступ ни так, ни эдак.
              Без проблем

              Сканеры отпечатков пальцев - и есть аппаратное средство от НСД
              Аппаратно-программное. Кроме этого есть еще и Аккорды и Даллас-Локи и прочие, которые могут работать и чисто аппаратно и аппаратно-программно.

              Да-да, конечно!
              Тогда в чем проблема? Написал о чем хотел, вы добавили своё мнение в комментариях - все довольны.

              • Чужой" НЕ ПОЛУЧАЕТ доступ ни так, ни эдак.
                Без проблем

                Без проблем, говорите? Вы это чудо нашли небрежным поиском, судя по всему. Сами-то пробовали? И вышло? Тогда Вы знаете нечто большее, чем сами разработчики. Так как расшифровать можно только старье - Win2000. А для XP - извините, НУЖНО ЗНАТЬ ПАРОЛЬ ВЛАДЕЛЬЦА. Основное ее предназначение - вернуть ХОЗЯИНУ информацию в случае форс-мажоров с системой. Так что, пальцем в небо... Или я ошибаюсь?

                Оценка статьи: 4

                • Ошибаетесь. ;)

                  Поискал, почитал форумы и MSDN, достал с пыльной полки ноут, накатил XP Pro, зашифровал файлы, создал простого юзера, поднял ему права (из под него) до админа, и взломал зашифрованные файлы. Только не вышеупомянутой программой (покупать не вижу смысла, а на варезных сайтах не нашел), а Passware Kit Enterprise.

                  Итого потратил на ваш сарказм еще полтора часа своего личного времени, а мог бы спокойно пить пиво или спать сейчас.

                  Может хватит? Или вы даже опыту не верите?

                  ЗЫ Кстати, MSDN натолкнул на мысль как читать такие файлы и без взлома, вполне легально. Только надо до начала использования пользователем шифрования получить доступ к компу минут на пять.

                  • Mike Mike Читатель 8 ноября 2008 в 01:03 отредактирован 8 ноября 2008 в 01:04

                    Ошибаетесь.
                    Вы, однако, ловкач... Не надо делать хорошую мину при плохой игре. Я разве ошибся в том, что предложенная ВАМИ ЖЕ программа НЕ ВЗЛАМЫВАЕТ шифрованные папки В ПРИНЦИПЕ? И зачем же ее покупать-то?

                    Passware Kit Enterprise
                    Шоу продолжается. Requirements: Encryption password must be known or SAM database must be present (Windows 2000). Та же засада. Без пароля никак.

                    создал простого юзера, поднял ему права (из под него) до админа, и взломал зашифрованные файлы
                    Только надо до начала использования пользователем шифрования получить доступ к компу минут на пять.
                    Я ценю Вашу богатую фантазию, это все, вообще, о чем? Лишь бы хоть как-то что-то взломать? Да можно и из-за плеча подсмотреть. Только к предмету спора это никак не относится. В какие, однако, дебри Вас занесло...

                    Есть чужая операционка, доступна загрузка, доступен винчестер, вперед - взламывайте шифрованные папки! Опишите технологию, если найдете (а вдруг? ). Пока что, извините, только лозунги на параллельные темы.

                    PS: Не настаиваю, можете выбрать пиво

                    Оценка статьи: 4

                    • Я разве ошибся в том, что предложенная ВАМИ ЖЕ программа НЕ ВЗЛАМЫВАЕТ шифрованные папки В ПРИНЦИПЕ
                      Написано что взламывает. Возможности проверить нет, поэтому взял другую, аналогичную.

                      Без пароля никак.
                      Говорю же получилось без пароля. Попробуйте сами.

                      В какие, однако, дебри Вас занесло...
                      Всё в пределах предложенной темы по доступу к зашифрованным файлам.

                      Опишите технологию, если найдете
                      Выше описана. Опустите процедуру установки и будет как про чужой комп.

                      Не настаиваю, можете выбрать пиво
                      Так и будет. Ваши предпосылки проверил - шифрованные файлы взламываются. Если вы не верите или просто не хотите верить - ваши проблемы.

                      • Mike Mike Читатель 8 ноября 2008 в 17:27 отредактирован 8 ноября 2008 в 17:27

                        Написано что взламывает
                        Сайт производителя: www.elcomsoft.com/help/aefsdr/index.html
                        Known problems and limitations:
                        • The program can decrypt protected files only if encryption keys (at least, some
                        of them) are still exist in the system and have not been tampered.
                        • Only Basic (but not Dynamic) NTFS partitions are supported.
                        For all systems but Windows 2000, the password of user who encrypted the
                        files (or Recovery Agent) is needed for decryption.
                        - вот, что там написано -
                        НЕ ВЗЛАМЫВАЕТ. Остальное - реклама, фантазии и интерпретации. Со второй программой аналогично (текст уже приводил). НУЖНЫ ПАРОЛИ! Вам виднее, чем разработчикам?

                        накатил XP Pro, зашифровал файлы, создал простого юзера, поднял ему права (из под него) до админа, и взломал зашифрованные файлы
                        Каким образом подняли права до администратора? И как взломали без пароля или секретного ключа пользователя? Может, администратор был агентом восстановления или еще какой юзер? Никакой конкретики. Ну поделитесь же ноу-хау

                        Оценка статьи: 4

                        • Сегодня был случай проверить - у знакомого умерла винда XP SP2 и как раз были зашифрованные файлы на диске. Случайно нашел на Alkid LiveCD (одна из загрузочных систем у меня на флэшке) "Advanced EFS Data Recovery". Загрузился с флэшки, запустил - восстанавливает зашифрованные файлы. Пароль администратора не спрашивает, хотя он был и я его знал. Так что всё гораздо проще, не надо было возиться с правами, пользователями и прочим.

                          Надеюсь на этом дискуссию закончим.

                          • Зря надеетесь Это уже сказка про белого бычка какая-то. В мануале этой программы четко сказано - нужен пароль пользователя. Даже кнопка есть - "add user password". Все разжевано, зачем и почему. Что-то Вы темните, не очень понятно чего там расшифровывается Может, там пароль 123? Вы ж специалист, объясните, ну нашла программа private key, а дальше-то что? ОТКУДА она пароль берет? Не отделывайтесь общими фразами (если понимаете суть процесса), а то выглядит как-то бездоказательно.

                            Оценка статьи: 4

                            • Use simple passwords to decrypt master keys

                              If this option is enabled, AEFSDR tries to decrypt the master keys using about 100 commonly-used passwords. For files encrypted on Windows 2000, it almost does not affect the performance; for XP/2003 and especially Vista and WIndows Server 2008, however, the process of decrypting the keys runs much slower, especially when there are many users in the system, so use this option only as a last resort (when the password is not known).

                              Пароль был 8мизначный, но довольно простой, поэтому программа его подобрала. В принципе его можно было сбросить другими средствами и установить новый, который и ввести. Или подобрать брут-форсом.

                              • В принципе его можно было сбросить другими средствами и установить новый, который и ввести
                                Увы, это не поможет, так как старый пароль (база для private key) УЖЕ БЫЛ использован и новый пароль остается не у дел.

                                Или подобрать брут-форсом
                                НОРМАЛЬНЫЙ пароль таким образом не больно-то подберешь, с этим, надеюсь, не будете спорить?

                                Итого: прочесть шифрованные папки с нормальным паролем ОЧЕНЬ нелегко, мягко говоря. Рассчитывать можно только на примитивные пароли, типа "Маруся1980". А с такими можно прочесть все, что угодно, архивы, сайты, учетки, мейлы и т.д.

                                Оценка статьи: 4

  • Спасибо за полезную информацию! Прочла все три части. Написано легко, доступно, с юмором.

    Оценка статьи: 5