С наступившим тебя !
Есть такая идея:
Берем комп, который умеет грузиться с USB (вроде, сейчас уже есть такие). Ставим на него винду, делаем полную дефрагментацию, определяем номер цилиндра, начиная с которого диск свободен. На флэшку пишем загрузчик, например, FreeBSD, у которой есть система шифрования блочных устройств -- GBDE. Туда-же пишем крипто-ключи. На свободном пространстве диска создаем криптованную партицию, при этом не трогая таблицу разделов, а просто забив ее смещение в конфиг на флэшке. После инициализации такой партиции вся область диска будет (по заверениям разработчиков) забита "белым шумом", и никаких сигнатур содержать не будет. На эту партицию ставится система и пишутся все данные. Таким образом, получается картина: если при включении компа в USB вставлена спецфлэшка, то загрузка идет с нее и грузится FreeBSD с криптованной партиции (потом флэшку можно и вытащить). Если в порт ничего не вставлено -- грузится девственно чистая винда, имеющая признаки напрочь почищенного диска -- полная дефрагментация и забитие свободного места псевдослучайной последовательностью. Из признаков "теневой" системы -- только последовательность загрузки в BIOS (да и то, можно каждый раз еe выставлять ручками и после загрузки системы исправлять обратно через прямую запись в nvram). Для пущего эффекта можно вставить в плату дохлую батарейку и инсталляцию винды производить при "нулевой" дате, чтобы времена модификации файлов не навели на мысль, что системой вообще никогда не пользовались. А фря вполне может и по ntp часы себе выставлять
Pasha.K
То есть, идея - грузить с флэшки FreeBSD (или любую другую подходящую ОС), из неё подцеплять шифрованный диск и отдавать его по сети, флэшку вынимать. При загрузке без флэшки - "голая винда" с пустым диском.
Идея отличная, но я её чуть модифицировал бы. "Голая винда" на пустом диске, да ещё без признаков того что её вообще запускали за последние полгода (легко выясняется по датам модификации файлов или по записям в системном логе), при условии что на момент обыска машина была включена, а на рабочих станциях вполне могут остаться признаки того, что с них ходили на какой-то локальный сервер, на данный момент в сети почему-то отсутствующий - подозрительно. И может привести к тому же ректотермальному криптоанализу, против которого бессильна даже GBDE.
Поэтому модификация такая.
- Грузимся не просто с флэшки, а с SD (или CF, не суть важно) карточки, через ридер. Карточку после загрузки - втыкаем в фотоаппарат: туда вряд ли полезут искать данные
- На этак половину объема раздела - накидываем "мусора": киношек в divx, музыки, картинок всяких, и прочей требухи, которая обычно сама собой стремится занять всё дисковое пространство. Дефрагментируем, остаток отдаем под шифрованный диск (разумеется, без каких-либо записей об этом на самом жестком диске, вся информация о шифрованном разделе хранится на флэшке).
- В качестве "обманной системы" - ставим... ту же FreeBSD с максимально похожими настройками! И раздел этот - отдаем по сети с тем же именем (а так же под тем же логином-паролем и с того же "имени компьютера") что и шифрованный раздел до этого. Обнаруженные на рабочих станциях ссылки на этот сетевой диск - приведут на вполне рабочий раздел с "мусором" (а что, файлообменная помойка выглядит вполне разумно) - собственно, эти ссылки и маскировать не надо, можно прямо на рабочий стол повесить гордый ярлык на сетевой диск - ведь он приведет на "обманную" систему.
- Система, загрузившаяся с флэшки, должна максимально точно делать вид, что загрузилась она не с флэшки
Не в том смысле, чтобы подключивши монитор нельзя было понять что система загружена не с диска (этого не требуется - при обыске никто не будет подключать монитор), а том смысле, что логи (или их имитация) о загрузке системы, запуске сервисов, и прочей жизни системы - писались бы туда же, куда их пишет система, загруженная с жесткого диска. Возможно, потребуется их фильтрация и/или подделка на ходу - если в логах содержится информация, выдающая наличие флэшки - но это не так сложно. При этом мы утром втыкаем флэшку, грузимся и прячем её в фотоаппарат, а при обыске - спокойно смотрим, как конфискуют компьютер. После следующей загрузки - все пути буду вести на невинную файлопомойку, при этом все логи будут показывать, что именно эту систему загружали какждый день приходя, и шатдаунили перед уходом. Вуаля - данных как бы нет, а на месте их - настоящая и выглядящая так будто она тут и работала всё время система.
...один тонкий момент. В "юниксовых" FS, с их "размазанной" по разделу служебной информацией, может оказаться невозможным найти непрерывный кусок раздела, на котром можно не повредив исходную FS разместить шифрованный диск. Это не страшно - просто будет поврежден (не фатально, он скорее всего спокойо смонтируется и даже будет читаться) раздел. Если не взводить dirty flag - то "обманная" система не запустит fsck, и ничего не произойдет. Но если в процессе экспертизы разок перегрузятся ресетом или по другой причине запустят fsck - содержимое шифрованного диска улетит в никуда. А в принципе - разве мы ровно этого не хотели?
