Читаем Искусство цифровой самозащиты полностью

Для выполнения атаки производится «холодная перезагрузка» (cold boot) компьютера, то есть выключение питания без использования средств операционной системы и последующее включение (например, при помощи кнопки reset на корпусе или путем выключения блока питания). После включения производится загрузка специальной небольшой операционной системы (например, с USB-диска) и сохранения текущего состояния оперативной памяти в файл. Альтернативный путь выполнения атаки заключается в изъятии модулей памяти из компьютера жертвы и их установка в другой компьютер для считывания данных с них. Полученная информация затем анализируется на предмет наличия в ней ключей шифрования или иной ценной информации. Существуют специальные программы для автоматического поиска.

Специалисты компании F-Secure еще в 2018 году продемонстрировали, как можно получить доступ к ключам шифрования ноутбука, отправленного в спящий режим.

Спящий режим – это энергосберегающий режим, который переводит компьютер в состояние ожидания. На всех без исключения ноутбуках с Windows по умолчанию при закрытии крышки система переходит в спящий режим. В нем вся работа сохранится, а энергия будет использоваться для поддержания компьютера во включенном состоянии. Другими словами, потребление энергии уменьшится за счет отключения периферийных устройств – портов, дисплея, – а вот оперативная память не будет обесточена, и в ней сохранятся все данные.

Так вот, специалисты финской компании по кибербезопасности продемонстрировали в видеоролике, как, имея физический доступ к ноутбуку, отправленному в спящий режим, можно получить ключи шифрования. Для этого атакующий:

1. Открывает нижнюю крышку ноутбука и сбрасывает настройки BIOS. Это позволит обойти установленный пароль на BIOS и выбрать источник загрузки – USB-флешку.

2. Вставляет загрузочную USB-флешку с заранее подготовленным программным обеспечением для поиска ключей шифрования в памяти.

3. Замораживает модули памяти баллончиком-фризером (обычный баллончик с охладителем, который вы можете купить на Яндекс. Маркете, способен опустить температуру поверхности, на которую производится распыление, до –45° и ниже).

4. Отправляет компьютер в перезагрузку.

5. Компьютер загружается с USB-флешки. Специальная программа находит ключи шифрования в памяти.

Я, конечно, не слышал, чтобы кто-то из спецслужб применял подобного родa атаку во время задержания преступников. Но исключать то, что западные спецслужбы (в частности, американские) на это способны, нельзя. Насчет наших МВД и ФСБ я сильно сомневаюсь. Наши скорее берут на испуг – и человек сам называет пароли от зашифрованных дисков. От меня, например, следователь очень хотел получить пароль к VeraCrypt. К счастью, я ему не поверил. И правильно сделал.

Если вы шифруете полностью системный диск, то я рекомендую отключить спящий режим вообще и отправлять компьютер в гибернацию[53], когда вы отходите от него более чем на несколько минут. После гибернации достаточно подождать несколько секунд – и данные в оперативной памяти при комнатной температуре уже невозможно будет восстановить.

Откройте «Электропитание»: один из способов – в строке поиска или в меню «Выполнить» (выполнить вызывается клавишами Win+R) введите команду powercfg.cpl и нажмите клавишу Enter. С правой стороны от названия схемы, которую вы хотите изменить, нажмите на «Настройка схемы электропитания». Изменять настройки нужно у активной схемы электропитания.

Если вы пользуетесь ноутбуком, то поменяйте действие на закрытие крышки – гибернация. Для этого нажимаете те же клавиши Win+R на клавиатуре, вводите powercfg.сpl, нажимаете Enter. Слева в меню выбираете «Действие при закрытии крышки».

В пунктах «При нажатии кнопки сна», «При закрытии крышки» ставим «Гибернация». В пункте «Действие при нажатии кнопки питания» ставим «Завершение работы».

Настоятельно рекомендую при использовании шифрования всего системного диска закрывать крышку ноутбука или переводить компьютер в режим гибернации вручную, если вы далеко отходите от него, а также делать то же самое на ночь. Если к вам вдруг заявятся «оборотни в погонах», они, скорее всего, придут рано утром, чтобы застать вас врасплох.

Резервное копирование (англ. backup copy) – процесс создания копии данных на носителе (жестком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

Ситуации бывают разные: у вас может сломатьcя компьютер, его могут украсть, к вам домой может заявиться спецназ, и у вас изымут не только компьютер, но и все флешки и диски. Во всех этих случаях вы теряете свой компьютер и данные на нем.

Поэтому очень важно периодически делать бекапы. Хранить бекапы я рекомендую в разных местах:

1. Криптованный той же VeraCrypt внешний диск. Учтите, что если вы будете хранить такой диск в своем рабочем кабинете, в случае визита нежданных гостей из МВД или ФСБ такой диск улетит вместе с вашим рабочим компьютером.