защищенность данных на флешке

[unbinilium.livejournal.com]

Купил флешку на 16 гигабайт с U3. SanDisc Cruzer Micro.

И у меня, как параноика, возникли такие вопросы по безопасности данных (в случае утери\кражи). Хотя терморектальный метод криптоанализа взламывает любую защиту, предполагается, что бандиты мною не интересуются.

1. Надежна ли защита встроенными в U3 методами (пароль 30 символов)? Можно ли ее "взломать", просто перепаяв чип к другому контроллеру? Или там действительно серьезное шифрование? Просто включение защиты заняло меньше минуты, хотя на флешке было пару гиг данных.

2. Если ответ на первый вопрос - "ненадежна, можно взломать, шифрования нет". Есть ли программы, которые работают с флешкой, как TrueCrypt, но без прав админа?

3. Если нет, можно ли что-то добиться установив права и шифрование в NTFS? (к слову, после открытия упаковки с флешкой, я ее отформатировал в NTFS, при этом U3, естественно не удалял - повлияет ли это на что-то в худшую сторону?)

4. Не только про флешку. Допустим, полиция просит меня вспомнить пароль к флешке или системному диску, зашифрованому TrueCrypt'ом. А я не вспоминаю. Что мне за это будет?

Входные данные:
1. Наиболее вероятная система, где флешка будет использоваться - WinXP, Vista, без админских прав. То бишь потеря читабельности под Маком\Линуксом не волнует.
2. Страна (для четвертого вопроса) - Британия, Украина

Comments

[f2065.livejournal.com]

1. Ответ незнаю, но… А ты думаешь что кому-то будет не лень искать такую-же флешку и перепаивать контроллер ? Это уже надо серьёзно тобой интересоватся…

3. Ну, EFS врядли взломают. Однако, ты знаком с принципами её работы ? Там сертификаты где-то хранить надо…

4. А том TrueCrypt вобщем то можно хорошо спрятать… Плюс там есть второй скрытый том именно если кто попросит его показать.

[unbinilium.livejournal.com]

1. Просто если пользуюсь чем-то, в том числе и защитой данных, хочется знать подводные камни и ограничения.

3. Товарищ roman_pro ниже разъяснил, и появилась мысль преобразовать назад в ФАТ :)

4. Это да, просто интересны юридические вещи

[3jia5l-ca6aka.livejournal.com]

недавно было про педофила и его ноутбук - на таможне сша его ноутбук прошуршали и нашли там педо-картинки - он признался что да мол было такое. ноутбук выключили а его в суд. в суде ноутбук заставили включить - хотя он не должен свидетельствовать против себя, но именно из-за того, что он когда-то там признался - его обязали ввести пароль.

как-то так. извините за сбивчивость, загруз. но тема интересная.

[3jia5l-ca6aka.livejournal.com]

видел ниже привели - я собсно про этот случай как-раз http://www.securitylab.ru/news/311850.php
но в другой месте читал несколько другое решение суда и пр

[roman-pro.livejournal.com]

>3. можно ли что-то добиться установив права и шифрование в NTFS
Можно добиться что потом сами не расшифруете. Ибо фактически такая флешка будет нормально читаться только на одном компе - где активировалось шифрование. На другом компе учётка с таким же именем и паролем будет иметь другой SID и ключ EFS, а значит, здравствуй пушной зверёк - зашифрованные файлы недоступны. Хотя конечно есть всякие агенты восстановления, экспорт сертификатов и закрытых ключей, etc, но вроде оно хочет админских прав как минимум. Да и геморно вцелом.
Вообще, NTFS на флешке - достаточно спорный шаг, в том плане, что во-первых, для форматирования в оном надо изменять политику кэширования (иначе в списке доступных файловых систем диалога форматирования нет NTFS) и после этого обязательно извлекать устройство только через безопасное удаление. Во-вторых, умолчательные настройки безопасности после форматирования в NTFS явно не приспособлены под работу из под учётной записи пользователя - полный доступ только у группы "Администраторы", т.е. ваша флешка на чужом компе как бы и не ваша (если учётка ограниченная) - создать и записать в файл выйдет, переименовать и удалить - уже нет. Так что приходится эту всю security на флешках (в смысле права) сразу сбрасывать (полный доступ группе "Все"), ибо проку от неё в данном случае нет, одни помехи если комп с гостевой/пользовательской учёткой. Не раз сталкивался. Да и не защита это, а скорее табличка на файлах - "не влезай убьёт" :) Ну и под альтернативными ОС (ну мало ли куда занесёт) с NTFS могут быть проблемы (хотя вроде с появлением ntfs 3g они исчезли). Так что если нет необходимости в хранении на флешке файлов с размером >4 Гб, то таки лучше старый добрый FAT32.

4. http://www.securitylab.ru/news/311850.php (http://www.securitylab.ru/news/311850.php)

Касаемо проблемы безопасности - 7z portable на флешку и все секретные данные в 7z архивах с нормальным паролем хранить - вот и вся премудрость. Никаких админских прав не надо, да и под альтернативными ОС 7z есть если что. Программа OpenSource, всяко лучше неизвестной проприетарщины от разработчиков флешки. А то окажется что шифровать то, оно шифрует но банальным XOR'ом :\

[unbinilium.livejournal.com]

3. Спасибо за развернутый ответ. Затея с шифрованием на уровне файловой системы уже не кажется такой заманчивой. А если так - оставить NTFS, права на данные установить для "Все", а для "авторан.ини" и т.п. - для родного админа (на родном компе)? Хотя бы для защиты от авторан-вирусов?

4. Это, конечно, п!?%%ц. Надо будет добраться до текстов оригинальных документов. Такая формулировка, как в статье по ссылке, ставит под сомнение наличие в Британии презумции невиновности.

что до 7z portable - идея ясна, но все же хотелось бы совместить безопасность с удобной работой (постоянное архивирование-разархивирование, в отличии от "шифрования на лету" весьма портит юзабилити)

[roman-pro.livejournal.com]

3. Ну для защиты от autorun вирусов чаще всего применяют 2 решения:
1)Если используются NTFS, то создают папку а ля Data, а затем полностью запрещают всем запись в корень (даже админу). На папку Data (и подпапки/файлы) уже даётся полный доступ для всех, дабы беспроблемно там держать данные. Как результат в корень не только autorun.inf не может записаться, но и само тело вируса. Минус - слегка снижается юзабилити, в частности из меню "Отправить" папку/файл на флешку уже не закинуть, приходится явно в папку Data закидывать.
2)В случае использования FAT/FAT32 - вот здесь новейшее решение (http://habrahabr.ru/blogs/infosecurity/54187/) против autorun.inf, проверил - отлично работает.

4. Это да, лучше поискать первоисточник, а то частенько журналисты любители из мухи слона делать.

Насчёт шифрования диска "на лету" вроде как единственный документированный способ - это через драйвер, соответственно подобные продукты будут требовать админских прав и/или предварительной установки. Так что тут либо юзабилити при наличии прав, либо работа в ограниченных условиях, ценой потери юзабилити. Хотя, может я чего-то не знаю.

[unbinilium.livejournal.com]

кстати, нашел у сандиска

http://kb.sandisk.com/cgi-bin/sandisk_en.cfg/php/enduser/std_adp.php?p_faqid=62&p_created=1221335157&p_sid=xayMKDsj&p_brand=&p_accessibility=0&p_redirect=&p_lva=&p_sp=cF9zcmNoPTEmcF9zb3J0X2J5PSZwX2dyaWRzb3J0PSZwX3Jvd19jbnQ9Nyw3JnBfcHJvZHM9MCZwX2NhdHM9JnBfcHY9JnBfY3Y9JnBfcGFnZT0xJnBfc2VhcmNoX3RleHQ9ZW5jcnlwdGlvbg**&p_li=&p_topview=1

правда не пишут, что за защита - програмная или аппаратная

[haviras.livejournal.com]

3.1 Очень легко правится изменением каталога Send To. Правда на всех компах такое сделать никто не даст. Но на домашнем\рабочем - запросто

[ex-voday.livejournal.com]

http://habrahabr.ru/blogs/i_am_clever/53720/ почитайте статью и комменты.
думаю на большую часть вопросов там даны ответы

[unbinilium.livejournal.com]

к сожалению, метод, там описанный, не работает.
пробовал до того как задать вопрос здесь

он работает только если:
а. есть права админа на компе, куда включили флешку
б. установлен TrueCrypt (а чтобы установить его там где его нет, опять-таки нужны права админа)

автор статьи об этом почему-то молчит, а в комментариях ему об этом, кстати, говорят.

помимо моего компутера, где я могу работать под админом, мне флешка нужна на работе, где прав админа у меня в принципе быть не может.

[ex-voday.livejournal.com]

вы это мне пишите?

[ex-voday.livejournal.com]

вы это мне пишите?
да,кстати.без прав администратора особо не разгуляешься.
используйте шифрованный винрар(без них.на самом деле, все альтернативы будут примерно такми же по качеству)