Phoenix,
Приведенный Вами мини-howto про то, как
"оставить "с носом" того, кто будет пытаться ковыряться в Ваших данных", далеко не один во всем Рунете, подобные мануалы есть практически на каждом крупном форуме по инфобезу, достаточно лишь поискать. Поэтому, на мой взгляд, писать всё это каждый раз заного не имеет смысла, к тому же, топикстартер может быть в курсе всех этих возможностей и ему всего-лишь нужно мнение людей "по другую сторону баррикад".
При описании методик противодействия Вы скатывайтесь в крайности, как и Ваш товарищ Пол Генри (можете поискать видео его презентации на Youtube по словам "LayerOne 2006 - Paul Henry - Anti-Forensics"), считая, что компьютерная криминалистика и ее методы стоят на месте, а методы противодействия только идут вперед.
В качестве примера разберем этот Ваш howto по кусочкам:
Использование известных "уязвимых мест" в текущий реализации программы. Противодействие: использовать только программы с открытым кодом, длительной историей развития, и регулярно следить в новостях об обнаруженных уязвимостях.
Слышали про историю OpenSSL в Debian? Библиотека с исходным кодом, Debian - один из старейших дистрибутивов Linux, однако это не мешало длительное время (сентябрь 2006 - май 2008) сводить на нет всю защиту TLS из-за того, что генератор случайных чисел выдавал не такие уж и случайные числа. Где гарантии, что после того, как жесткий диск попадет в чужие руки не будет обнаружено подобной уязвимости в каком-нибудь TrueCrypt?
Вывод один - все пространство, куда операционная система может что-то записать без вашего ведома - должно быть зашифровано. Иными словами, используйте программы, которые умеют шифровать целые диски, включая операционную систему и свободное место на диске, и используйте их именно в этом режиме. Создание "криптоконтейнеров" в виде отдельных файлов, монтирующихся "как диск", следует использовать лишь как дополнение к полному шифрованию диска, например, для переноса данных на "флешке".
Далеко не у всех есть возможность шифровать весь диск, поэтому они ограничиваются шифрацией одного раздела или используют контейнер в виде файла. Однако, как показали последние исследования, современные ОС могут "разглашать" содержимое зашифрованных контейнеров. Пример я привел в начале топика.
Кстати, различные криптографические продукты продолжают писать, что они надежно защищают данные без шифрации всего диска, включая ОС. Это, кстати, может "обмануть" наивного пользователя, который прочитал Ваш howto и решил, что диск нужно шифровать только для защиты свопа и удаленных файлов с паролями
жестко ограничивайте сетевой трафик (используйте брандмауэры с максимально жесткими настройками - если кейлоггер будет отправлять пароли в сеть/интернет, брундмауэр будет для этого препятствием), следите за списком выполняющихся процессов и используйте руткит-детекторы для отслеживания скрытых процессов, никогда не запускайте программы, которым (или месту, в которых они хранились), Вы не доверяете.
В общем случае это не сработает, т.к. если кейлоггер получит полные привилегии в системе, то ничего не мешает ему модифицировать ОС так, чтобы этот Ваш "брундмауэр" ничего не заметил. Тут идет обычная борьба снаряда и брони - руткит, который может идти в комплекте с кейлоггером, всегда может быть на шаг впереди.
Поэтому я бы не рекомендовал умышленно отказываться от выдачи пароля в случае такой угрозы. Вместо этого его можно "забыть". Как вариант - использование программы TrueCrypt в режиме Hidden Operating System, с выдачей пароля от "ложной" (decoy) ОС.
Hidden Operating System тоже не панацея, существует огромное количество всяких "но" при ее использовании - отказ от оборудования, которое может писать время загрузки компьютера, отказ от использования компьютера в сети, отказ от использования сменных носителей и т.п. Не все осознают весь спектр действий, которые могут привести к раскрытию факта присутствия скрытой ОС (один человек, кстати, был удивлен, почему это нельзя использовать скрытую ОС для работы в сети
). Осветили ли Вы хоть часть этого в своем howto? Нет.
PS. А по-тихоньку, за бугром, в практику изъятия компьютерной техники входит копирование содержимого энергозависимой памяти (ОЗУ), что теоритически сводит на нет использование всех программ для шифрации жесткого диска, если в процессе снятия дампа ОЗУ контейнер был примонтирован.
