Без особой необходимости не берите с собой электронные устройства с конфиденциальной информацией. Если вы все-таки их берете, попробуйте обойтись минимальным их количеством. И если вам нужно взять с собой мобильный телефон, вероятно, имеет смысл использовать одноразовое устройство во время своего путешествия. Тем более что стоимость звонков и пересылки данных в роуминге чрезвычайно высока.
Вы можете подумать, что прохождение таможенного контроля — это самая кошмарная часть любой поездки. Однако обыскать могут и ваш номер в отеле.
В 2008 году я совершил несколько поездок в Колумбию помимо той, после которой меня задержали в Атланте. Во время одной из поездок, совершенных мной в том году, в моем номере в Боготе произошло нечто странное. И это был не какой-нибудь сомнительный отель; это была одна из гостиниц, где часто останавливались колумбийские чиновники.
Возможно, в этом и была проблема.
Я отправился на ужин со своей девушкой, и когда мы вернулись, индикатор моего дверного замка загорелся желтым цветом, когда я вставил ключ. Не зеленым. Не красным. Желтый цвет индикатора обычно означает, что дверь заперта изнутри.
Я спустился к стойке регистрации и попросил у клерка новую ключ-карту. Индикатор снова загорелся желтым цветом. Я повторил все сначала. Тот же результат. После третьего раза я убедил служащих отеля отправить со мной кого-нибудь. Дверь открылась.
Внутри ничего не вызвало подозрений. Фактически тогда я просто убедил себя в том, что замок был неисправным. Только вернувшись в Соединенные Штаты, я понял, что произошло.
Прежде чем покинуть Соединенные Штаты, я позвонил своей бывшей девушке, Дарси Вуд, которая раньше работала техническим руководителем Tech TV, и попросил ее приехать ко мне домой и заменить жесткий диск на моем ноутбуке Macbook Pro. В то время жесткие диски Macbook Pro было нелегко извлечь. Однако ей это удалось. Вместо старого диска она установила новый, мне пришлось его отформатировать и установить операционную систему macOS.
Несколько недель спустя, когда я вернулся из этой поездки в Колумбию, я попросил Дарси снова приехать ко мне в Лас-Вегас, чтобы заменить диски.
Она сразу же заметила, что изменилось. Она сказала, что кто-то затянул винты жесткого диска намного сильнее, чем она. Очевидно, кто-то в Боготе вынул диск, вероятно, для копирования его содержимого, когда меня не было в номере.
Совсем недавно то же самое произошло со Стефаном Эссером, исследователем, хорошо известным благодаря взлому продуктов iOS. Он опубликовал в Twitter фотографию своего неправильно установленного на место жесткого диска.
Даже на диске с небольшим количеством данных содержится какая-то информация. К счастью, я использовал программу PGP Whole Disk Encryption компании Symantec для шифрования всего содержимого моего жесткого диска. (Вы также можете использовать программу WinMagic для операционной системы Windows или FileVault 2 в среде macOS.) Таким образом, копия содержимого моего жесткого диска абсолютно бесполезна в отсутствие ключа для его разблокировки. Именно из-за того, что, как мне кажется, произошло в Боготе, в путешествии я теперь всегда беру свой ноутбук с собой, даже отправляясь на ужин. Если я не могу этого сделать, я никогда не оставляю его в спящем режиме. Я его выключаю. Если ноутбук не выключен, то злоумышленник может создать файл дампа памяти и получить мои ключи шифрования PGP Whole Disk268. Поэтому я отключаю свой ноутбук.
В начале книги мы говорили о множестве предосторожностей, которые использовал Эдвард Сноуден для обеспечения конфиденциальности информации, которой он обменивался с Лорой Пойтрас. Когда украденные Сноуденом секретные данные были готовы к обнародованию, ему и Пойтрас понадобилось выбрать место для их хранения. Такие распространенные операционные системы, как Windows, iOS, Android и даже Linux, не лишены уязвимостей. Это касается любого программного обеспечения. Поэтому им нужна была безопасная операционная система, зашифрованная с самого начала и не доступная без специального ключа.
Шифрование жесткого диска работает следующим образом: при загрузке компьютера вы вводите безопасный пароль, вернее, кодовую фразу типа «We don’t need no education» из знаменитой песни группы Pink Floyd. Затем загружается операционная система, и вы можете получить доступ к своим файлам и выполнять любые задачи, не замечая при этом никакой задержки, поскольку драйвер осуществляет прозрачное шифрование в режиме реального времени. Тем не менее, если вы оставите свое устройство без присмотра хотя бы на мгновение, существует вероятность того, что кто-нибудь сможет получить доступ к вашим файлам (поскольку они разблокированы). Запомните: когда ваш зашифрованный жесткий диск разблокирован, вам необходимо принять меры предосторожности, чтобы сохранить его в безопасности. Как только вы выключите компьютер, ключ шифрования престанет быть доступным для операционной системы, то есть он исчезнет из памяти, и к хранящимся на диске данным нельзя будет получить доступ.269.
Tails — это операционная система, которая может быть запущена на любом современном компьютере, чтобы не оставлять на его жестком диске (предпочтительно защищенном от записи) никаких данных, которые можно было бы восстановить270. Установите Tails на DVD-диск или USB-накопитель, а затем настройте последовательность загрузки устройств в BIOS или EFI (macOS), выбрав DVD-диск или USB-накопитель для запуска Tails. Будет запущена операционная система, предусматривающая несколько инструментов для обеспечения конфиденциальности, в том числе Tor Browser. Эти инструменты позволяют шифровать электронную почту с помощью PGP, шифровать USB-накопители и жесткие диски, а также защищать сообщения с помощью протокола OTR (Off-the-Record Messaging).
Вместо всего жесткого диска вы можете зашифровать отдельные файлы. Бесплатный инструмент TrueCrypt по-прежнему доступен, но больше не поддерживается и не обеспечивает полного шифрования диска. Отсутствие поддержки не позволяет устранить любые актуальные уязвимости. Если вы продолжаете использовать программу TrueCrypt, учитывайте эти риски. Альтернативой TrueCrypt 7.1a
[25] является программа VeraCrypt, которая представляет собой продолжение проекта TrueCrypt.
Также существует несколько платных программ. Одной из них является Windows BitLocker, которая, как правило, включается в профессиональные версии операционной системы Windows. Для работы с BitLocker откройте программу Проводник Windows (Windows Explorer), щелкните правой кнопкой мыши по логическому диску C и в открывшемся контекстном меню выберите пункт Включить BitLocker (Turn on BitLocker). BitLocker задействует специальную микросхему на вашей материнской плате — доверенный платформенный модуль (Trusted Platform Module, TPM). Он разблокирует ключ шифрования только после подтверждения того, что ваша программа-загрузчик не была изменена. Это идеальная защита от атак типа Evil Maid («злая горничная»), о которых я расскажу чуть позже. Вы можете настроить BitLocker на разблокировку при включении устройства, или только при вводе ПИН-кода, или при наличии специального USB-устройства. Последние варианты намного безопаснее. У вас также есть возможность сохранить ключ в своей учетной записи Microsoft. Не делайте этого, поскольку в этом случае вы предоставите корпорации Microsoft свои ключи (которыми, как вы увидите далее, она может уже обладать).
