Три простых шага к защите ноутбука
Все началось с того, что я решил купить себе нетбук. Штучка маленькая, красивая и вызывает интерес не только у девушек, но и у различного рода асоциальных личностей – поэтому я озаботился вопросом защиты данных (все, конечно, применимо и к обычным ноутбукам). Я рассмотрел различные варианты защиты (без фанатизма, для обычного рядового пользователя Windows) и в итоге остановился на следующих мероприятиях:
1. Конфиденциальность, или защита от несанкционированного доступа. Самый простой вариант нарушения конфиденциальности – кража ноутбука (хотя не менее редки случаи простой забывчивости: в такси или кафе). На мой взгляд, оптимально с этим справляется бесплатное ПО TrueCrypt (www.truecrypt.org): программа создает зашифрованные контейнеры для хранения файлов, а начиная с версии 6.0 программа может шифровать весь системный диск, чем я и воспользовался. Потеря производительности, конечно, есть... но эти 2-3% (при оптимально подобранном алгоритме) не влияют на скорость работы, а польза - налицо. Процесс первоначальной подготовки нетбука у меня занял почти 8 часов (нетбук MSI Wind U100: 1.6 GHz Intel Atom, 2 Gb ОЗУ, HDD 160 Gb, Windows 7), в результате я получил обычный нетбук, в котором просто нужно ввести пароль после включения, дальнейшая работа абсолютно ничем не отличается. Программу можно установить, зашифровать ваш старый и давно использующийся нетбук, но на устройства с менее чем 1 Гб ОЗУ и процессором менее 1 ГГц я бы это очень не советовал делать. Есть и один нюанс при установке на нетбук: TrueCrypt создает recovery образ с обязательной (по умолчанию) записью на носитель (CD-R и т.п.). Если его нет (как на нетбуке) – программа останавливается. Обходится это запуском TrueCrypt Format.exe с ключом /noisocheck или просто /n.
Да, этот способ защиты не противостоит специалистам по взлому ключей методом ректального термоанализа, но как защита от типичных продвинутых пользователей отлично подходит. То есть если нетбук потерян и попал в чужие руки – данные просто удалят форматированием при установке новой системы, и с вероятностью 99.99% они не станут доступны посторонним личностям. Согласитесь, во многих случаях новый ноутбук стоит дороже данных на нем.
2. Доступность. В нашем варианте – просто резервное копирование, или «бэкап».
Начнем с аппаратного обеспечения: моим требованиям полностью удовлетворил внешний SATA бокс 3.5" с системой охлаждения, в котором установлен винчестер на 0.5 Тб (цена вопроса - порядка $100). Бокс скрыт - прикручен под поверхностью стола, а к ноутбуку идет простой USB-кабель. Дома информацию скрывать не от кого, но если параноидально поступить – можно установить резервное хранилище с зеркалированием (аппаратным RAID 0) и защитой контейнера тем же TrueCrypt… но я считаю это лишним. Скорость записи/чтения – порядка 25 Мб/сек – полностью удовлетворяет моим требованиям.
Программная реализация. Мне нужен Incremental Backup – добавочное копирование. Это значит – в хранилище мы копируем только новые или измененные файлы (в первый раз – все, а потом – только новые или измененные). Самый простой бэкап реализуется программой xcopy (формат: “ xcopy <<<откуда>>> <<< куда >>> /d /e /c /h /r /k /y ”, /d – копировать только измененные или более новые файлы /e – копировать с пустыми директориями /c – копировать даже если будут ошибки, /h – копировать скрытые и системные файлы, /r – перезаписывать файлы только для чтения, /k – копировать с атрибутами, /y – без подтверждений о перезаписи, лишние параметры убрать, временно просто скопировал с сервера). Да, мы выигрываем в скорости, но со временем мы сильно увеличим объем копированных файлов, поэтому поможет периодическая простая чистка от мусора, или периодическое удаление бэкапа и создание его «с нуля».
3. Добавлю: нетбук - это мобильное и легкое устройство. Естественно, мы используем его не только и не столько дома, сколько на отдыхе, в общественных местах и т.п. Поэтому мое следующее приобретение - kingston lock. Да, это не панацея, но когда нетбук привязан - меньше шансов, что его тихонько заберут со стола в офисе, пока вы отлучились по нужде или когда в кафе ваше внимание полностью поглощено соседкой-блондинкой. Надеюсь, мои советы окажутся полезными.
Дмитрий Грязнухин
1. Конфиденциальность, или защита от несанкционированного доступа. Самый простой вариант нарушения конфиденциальности – кража ноутбука (хотя не менее редки случаи простой забывчивости: в такси или кафе). На мой взгляд, оптимально с этим справляется бесплатное ПО TrueCrypt (www.truecrypt.org): программа создает зашифрованные контейнеры для хранения файлов, а начиная с версии 6.0 программа может шифровать весь системный диск, чем я и воспользовался. Потеря производительности, конечно, есть... но эти 2-3% (при оптимально подобранном алгоритме) не влияют на скорость работы, а польза - налицо. Процесс первоначальной подготовки нетбука у меня занял почти 8 часов (нетбук MSI Wind U100: 1.6 GHz Intel Atom, 2 Gb ОЗУ, HDD 160 Gb, Windows 7), в результате я получил обычный нетбук, в котором просто нужно ввести пароль после включения, дальнейшая работа абсолютно ничем не отличается. Программу можно установить, зашифровать ваш старый и давно использующийся нетбук, но на устройства с менее чем 1 Гб ОЗУ и процессором менее 1 ГГц я бы это очень не советовал делать. Есть и один нюанс при установке на нетбук: TrueCrypt создает recovery образ с обязательной (по умолчанию) записью на носитель (CD-R и т.п.). Если его нет (как на нетбуке) – программа останавливается. Обходится это запуском TrueCrypt Format.exe с ключом /noisocheck или просто /n.
Да, этот способ защиты не противостоит специалистам по взлому ключей методом ректального термоанализа, но как защита от типичных продвинутых пользователей отлично подходит. То есть если нетбук потерян и попал в чужие руки – данные просто удалят форматированием при установке новой системы, и с вероятностью 99.99% они не станут доступны посторонним личностям. Согласитесь, во многих случаях новый ноутбук стоит дороже данных на нем.
2. Доступность. В нашем варианте – просто резервное копирование, или «бэкап».
Начнем с аппаратного обеспечения: моим требованиям полностью удовлетворил внешний SATA бокс 3.5" с системой охлаждения, в котором установлен винчестер на 0.5 Тб (цена вопроса - порядка $100). Бокс скрыт - прикручен под поверхностью стола, а к ноутбуку идет простой USB-кабель. Дома информацию скрывать не от кого, но если параноидально поступить – можно установить резервное хранилище с зеркалированием (аппаратным RAID 0) и защитой контейнера тем же TrueCrypt… но я считаю это лишним. Скорость записи/чтения – порядка 25 Мб/сек – полностью удовлетворяет моим требованиям.
Программная реализация. Мне нужен Incremental Backup – добавочное копирование. Это значит – в хранилище мы копируем только новые или измененные файлы (в первый раз – все, а потом – только новые или измененные). Самый простой бэкап реализуется программой xcopy (формат: “ xcopy <<<откуда>>> <<< куда >>> /d /e /c /h /r /k /y ”, /d – копировать только измененные или более новые файлы /e – копировать с пустыми директориями /c – копировать даже если будут ошибки, /h – копировать скрытые и системные файлы, /r – перезаписывать файлы только для чтения, /k – копировать с атрибутами, /y – без подтверждений о перезаписи, лишние параметры убрать, временно просто скопировал с сервера). Да, мы выигрываем в скорости, но со временем мы сильно увеличим объем копированных файлов, поэтому поможет периодическая простая чистка от мусора, или периодическое удаление бэкапа и создание его «с нуля».
3. Добавлю: нетбук - это мобильное и легкое устройство. Естественно, мы используем его не только и не столько дома, сколько на отдыхе, в общественных местах и т.п. Поэтому мое следующее приобретение - kingston lock. Да, это не панацея, но когда нетбук привязан - меньше шансов, что его тихонько заберут со стола в офисе, пока вы отлучились по нужде или когда в кафе ваше внимание полностью поглощено соседкой-блондинкой. Надеюсь, мои советы окажутся полезными.
Дмитрий Грязнухин
Компьютерная газета. Статья была опубликована в номере 45 за 2009 год в рубрике безопасность
