Salattu kovalevy voidaan murtaa auki. Murtamisen tarve riippuu tietysti tiedon arvokkuudesta. Osa menetelmistä on hankalia ja kalliita.
Varsinkin vanhemmissa koneissa on mukana valmistajan Windowsiin upottama kovalevyn salausohjelma. Näitä ei voi nykypäivänä pitää edes salaustyökaluina, ne murtuvat hetkessä USB-tikulta ajettavan Windows-käynnistäjän avulla. Nämä vanhat salaustekniikat tulisi poistaa samantien käytöstä.
Tarkemmin kovalevyn salaamisesta löytyy tämän sivuston kohdasta Tiedostojen ja kovalevyn salaus. Seuraavana lueteltu keinoja salatun kovalevyn murtamiseen. Sivun alaosassa vihje lähes murtamattoman kovalevyosion rakentamiseen.
1) Salasanan selvittäminen. Levysalasanan voi selvittää kysymällä omistajalta, kokeilemalla käyttäjän muita salasanoja (esimerkiksi verkkopalveluista ja sähköpostipalveluista), etsimällä sähköposteihin, pilvipalveluihin tai muistitikuille talletettua salasanamuistilappua. Salasanan saa urkittua myös verkossa toimivista salasanapankeista.
2) Haavoittuvan salausohjelmiston hyödyntäminen. Windows BitLocker saattaa sisältää takaportteja, joilla ainakin valtiolliset toimijat voivat murtamaan salauksen. Hyviä vaihtoehtoja ovat avoimen lähdekoodin DiskCryptor tai VeraCrypt.
BitLocker ei ole yksiselitteinen tuote. Yhdistettynä laitteiston TPM (Trusted Platform Module) piiriin BitLocker voi tarjota erinomaisen suojan. Toisaalta TPM-tekniikka mahdollistaa valtiollisen urkintakoneiston ujuttautumiseen itse suojauksen ytimeen. Ehkä yksinkertaistaen, jos haluaa suojautua rikolliselta, on BitLocker erinomainen. Jos haluaa suojautua valtiolliselta toimijalta, avoimen lähdekoodin salaus yhdistettynä ulkoiseen bootloaderiin on parempi.
3) Liian yksinkertaisen salasana. Salasana voidaan murtaa suurehkolla tietokonekapasiteetilla, ns. BruteForce-tekniikalla. Levysalasanan tulisikin olla yli 30 merkkiä pitkä, sisältäen sanoja eri kielillä ja numeroita välissä. Kuitenkaan salasanan (tai lauseen) ei tulisi olla merkityksellinen tai helposti arvattava.
4) ’Evil Maid’-menetelmä. Jos murtajalla on pääsy salatun tietokoneen luo, voidaan kone käynnistää USB-tikulta. Käynnistyksen jälkeen USB-tikulta asennetaan kovalevyn käynnistyssektoreille haittaohjelma, joka tallentaa seuraavan salasananäppäilyn. Myöhemmin Evil Maid anastaa koneen ja lukee levylle tallentuneen salasanan. Näin kovalevy saadaan auki yksinkertaisesti. Menetelmällä voidaan asentaa haittaohjelmia yleisemminkin, kunhan asentajalla on pääsy koneeseen fyysisesti.
Tämän välttämiseksi DiskCryptor tarjoaa Bootloader-menetelmän. Käynnistys tapahtuu omistajan USB-tikulta kovalevyn sijasta. Tällöin kovalevy ei sisällä käynnistymodulia, joka voitaisiin kaapata haittaohjelman käyttöön. Bootloader-asetusten tekeminen on valitettavan työlästä ja vaatii taitoja. Lisätietoa löytyy mm. tästä.
5) Horrostilassa (hibernate) oleva Windows. Käynnissä tai horrostilassa olevan Windowsin levysalasana on tallennettuna muistiin ja usein myös väliaikaistiedostoihin. Salasana voidaan lukea USB-tikulta ajettavalla urkintaohjelmalla. Tietokone tulisikin sammuttaa kokonaan, kun sitä ei käytetä. Käyttöjärjestelmälevy tulee aina salata (itse datalevyjen lisäksi), sammuttunakin Windows-tiedostoissa voi olla murtamiseen johtavaa tietoa.
6) Koneeseen asennetaan haittaohjelma joka lähettää salasanat verkon yli. Haittaohjelma voidaan asentaa aiemmin mainitulla Evil Maid-menetelmällä tai ujuttamalla virus saastutetuilta verkkosivuilta, man-in-the-middle hyökkäyksellä jne. Näistä löytyy runsaasti lisätietoa tämän sivuston muista kohdista.
7) Viimeinen, hankalin ja erikoisin menetelmä on anastaa käynnissä oleva tietokone käyttäjän käsistä, avata kotelo, ja jäädyttää RAM muistipiirit siihen tarkoitetulla aineella. Jäähdytetystä muistista voidaan lukea erikoisvälineillä tallentuneet salasanat. Keino lienee harvinaisin, mutta sitä käytetään. Jäädyttäminen toimii myös rajoitetusti hiljattain sammutettuun tietokoneeseen, ehkä minuutin ajan virran katkeamisesta.
Tulevaisuudessa datan salaamiseen löytyy varmasti kehittyneempiä ratkaisuja. Testiversioita on jo olemassa työkaluista, joissa hyödynnetään salasanan säilyttämistä tietokoneen prosessorin sisällä (erityisissä debug registerissä, joihin on pääsy vain käyttöjärjestelmän ytimellä). Prosessori myös tyhjenee heti, kun virta katkeaa. Jotkut yrittävät hyödyntää tietokoneen RAM muistin salaamista, jolloin muistista luku ei onnistu urkkijalle. Jotkut yrittävät kehittää kritisoidun TPM-tekniikan tilalle luotettavampaa laitteistoon perustuvaa salausta.
Mahdollisimman murtamattoman kovalevyn rakentaminen kotikäyttäjälle:
- Älä tallenna salattavia tiedostoja Windows-levyosiolle
- Asenna Tails käyttöjärjestelmä, joka käynnistyy USB-tikulta. Asennus on hyvin helppo tehdä.
- Luo Tailsillä salattu kovalevyosio. Varmista, ettet vahingossa tuhoa Windows-käyttöjärjestelmäosiota levyltäsi.
- Tailsillä luodun kovalevyosion salasana tulee olla eri kuin mahdollinen Windows-osiosi salasana. Käytä monimutkaista salasanaa.
- Pidä arkaluontoiset asiakirjat ja tiedostot vain Tails:llä luodulla levyosiolla. Windowsista tuolle levylle ei pääse.
- Käsittele tiedostoja vain Tails-käyttöjärjestelmän alaisuudessa
- Jos tulee tarve käsitellä tiedostoja Windowsissa, siirrä yksittäinen tiedosto Tailsin avulla Windows-levylle. Käsittele tiedostoa Windowsissa mieluiten siten, että koneessa ei ole verkkoyhteyttä
- Tiedostojen siirrossa Tails <-> Windows tulee huomioida, että Tails ei voi lukea esim. DiskCryptorilla luotua levyä ja Windows ei voi lukea Tails:llä luotua levyä. Siirtoon tarvitaan siis salaamaton kovalevyosio salattujen lisäksi. (esimerkiksi DiskCryptor C: ja D: -asemat, salaamaton E: ja Tails:lla salattu F:). Tiedostojen siirto onkin usein helpointa USB-tikun kautta.
Salasanan luomiseen ja säilyttämiseen ohjeita tästä.
Oikein tehty ja hyvällä salasanalla varustettu Tails-levyosio on lähes mahdoton murtaa. Avaaminen vaatii jo huiman suorituksen, jossa koneen sisälle asennetaan vakoilulaite levysalasanan imuroimiseksi dataväylistä…
Windows 7/8/10 yksityisyyden suoja 