Это первая публикация в новом разделе «операционная безопасность», который нацелен не на защиту самой «информационной системы», а на пояснение, как же этой «системой» правильно пользоваться.
Изначальное название этой публикации — «Храним файлы как Эпштейн», ведь, как следует из последнего материала американского издания New York Post, Джеффри использовал именно этот метод для успешного сокрытия улик от американского же правосудия.
Начнём с основ. Существует только два способа хранить информацию в цифровом виде (далее — файлы):
- Горячий — когда носитель подключен к ЛЭП (важно только это — даже подключение к компьютеру по порту S/ATA является вторичным фактором)
- Холодный — когда носитель продолжительное время лежит «мертвым грузом» и используется исключительно редко. Именно о нем далее пойдёт речь.
У «горячего» метода есть очевидные минусы, вроде постоянного риска «накрыть» носитель из-за скачка напряжения в ЛЭП/блоке питания, а также возможности «выкрасть» с него данные.
Для этого существуют как классические уязвимости, в случае если компьютер с носителем подключен к сети, так и методики «bridge the gap», которые используются для кражи информации даже из компьютеров без сетевых портов в принципе. К ним, например, относится пресловутый TEMPEST.
У «холодного» хранения подобных минусов, разумеется, нет, ведь носитель не получает электричество, но есть другие — как пример, жёсткие диски подвержены искажению информации через длительное время без электропитания (т. н. bit rot).
Тем не менее, хранить хоть сколько-то ценные файлы нужно на «холодную» в нескольких копиях, находящихся в географически отличных местах. Этим, Джеффри, к слову, и занимался.
Стоит отметить, что «просто так» записывать файлы все ещё нельзя — вам нужно использовать шифрование, желательно на абсолютно новом носителе. «Золотой рецепт» автора «Может, вам повезёт?» — dm-crypt в режиме plain с использованием шифра Serpent.
Использовать Bitlocker, FileVault, а также другие подобные проприетарные (закрытые) программы крайне не рекомендуется. Если «очень надо» зашифровать диск под macOS или Windows, где утилиты dm-crypt нету — используйте VeraCrypt, хоть он и несколько хуже.
Касательно выбора носителя — это должен быть жёсткий диск (о причинах этого ещё выйдет публикация), желательно нацеленный на корпоративный сектор (тот же Western Digital/HGST Ultrastar), так как «потребительские» варианты имеют соответствующий срок жизни и «качество».
Единственное, что можно порекомендовать в заключение — заведите себе отдельный компьютер для доступа к подобным «холодным хранилищам», который «видеть» любые сетевые интерфейсы не будет. «От греха подальше», так сказать.