Можно поставить пароль на вход в систему, но это как ставить копеечный замок на амбарные ворота — такая защита очень легко обходится сбросом пароля или загрузкой с внешнего носителя. Полнодисковое шифрование, такое как TrueCrypt или Bitlocker, защищает гораздо лучше, но этот способ не очень удобный, потому что мало кто захочет по нескольку раз в день тратить время на включение и отключение шифрования.
Существует промежуточный вариант — защитить данные средствами самого жесткого диска. Для этого в меню BIOS на диск ставится пароль, который запрашивается при каждом включении компьютера. Без пароля злоумышленник не сможет получить доступ к данным, даже если достанет диск из ноутбука.
Предупреждение: редакция ESET Russia не рекомендует неопытным пользователям шифровать и ставить пароли на жесткие диски. Существует риск забыть или потерять пароль и навсегда лишиться доступа к данным. Используйте нашу инструкцию с умом, изучайте в ознакомительных целях и не забывайте о резервном копировании.
Как работает парольная защита диска?
Для того, чтобы парольная защита работала, нужна поддержка как со стороны диска, так и со стороны ноутбука. Все современные SATA-диски (как HDD, так и SSD) поддерживают парольную защиту, а именно следующий набор Security-команд:
- SECURITY_SET_PASSWORD — задать пароль и установить защиту;
- SECURITY_UNLOCK — разблокировать диск до выключения;
- SECURITY_DISABLE_PASSWORD — снять защиту;
- SECURITY_ERASE — стереть диск;
- SECURITY_FREEZE_LOCK — заблокировать защиту.
Интересный факт: команда стирания диска также требует пароль, то есть возможна ситуация, когда диск заблокирован, и вы ничего не можете с ним сделать. До сих пор можно найти на вторичном рынке заблокированные диски, пароль для которых утерян.
Пока диск заблокирован, пользовательские данные нельзя прочитать. Можно узнать только «паспорт» диска, в котором указаны модель, серийный номер диска и другие его характеристики. На разблокировку дается от трех до пяти попыток, после чего диск необходимо выключать и включать. Общее количество попыток не ограничено.
Чаще всего функцию установки пароля на диск можно встретить в ноутбуках. Обычно эта опция располагается на вкладке Security меню BIOS:
Насколько надежна такая защита?
В стандарте SATA не описывается, как происходит проверка пароля и как он хранится в устройстве, поэтому у каждый производитель жестких дисков по-своему реализует технологию парольной защиты. Более того, помимо стандартных команд, в прошивку добавляют специальные служебные команды, которые нужны для заводской настройки, диагностики и ремонта диска. Проблема в том, что служебные команды могут использовать для обхода парольной защиты. Например, во многих сервисах по восстановлению данных применяют комплекс AceLab PC3000, в число возможностей которого входит и сброс паролей:
При запуске и определении диска, видим, что накопитель защищен паролем:

Пароль успешно сбрасывается. Кстати, его можно подсмотреть и вручную. Для этого выбираем RAM — Чтение/запись Static файлов:

И считываем модуль №2, в котором видим наш пароль:
Интересный факт: в дисках Toshiba пароль зашифрован алгоритмом, использующим в качестве ключа следующий текст:
Так или иначе, на большинстве дисков с помощью того же PC-3000 пароль можно узнать или сбросить, получив доступ к данным. Но существуют диски, для которых пароль нельзя сбросить или обойти — SED.
Самошифруемые диски (SED)
На большинстве накопителей парольную защиту можно сравнить с замком на воротах, сломав или обойдя такой «замок», злоумышленник получает доступ к данным. Совсем другое дело, когда данные зашифрованы и без корректного пароля доступ получить невозможно в принципе.Именно так устроены самошифруемые диски (SED) стандарта OPAL:
- данные всегда хранятся зашифрованными (даже когда защита выключена);
- при чтении/записи шифрование происходит на диске на лету;
- ключ шифрования данных (MEK) хранится в зашифрованном виде;
- ключ шифрования ключа (KEK) задается пользователем.
В отличие от SATA-пароля, когда сам BIOS запрашивает пароль у пользователя и передает диску, при шифровании системного диска в стандарте OPAL используется двухэтапная схема загрузки:
- с небольшого «открытого» раздела диска загружается программа авторизации (PBA);
- пользователь вводит пароль разблокировки;
- компьютер перезагружается и запускается с разблокированного диска.
К сожалению, даже наличие заявленной поддержки стандарта OPAL не гарантирует надежность хранения данных. Каждый производитель самостоятельно реализует и тестирует функции шифрования, что не гарантирует отсутствие ошибок в алгоритмах (да и вообще наличие самого шифрования). Например, голландские исследователи в 2018 году показали несовершенство методов внутридискового шифрования. Согласно результатам тестирования, с некоторых SSD дисков можно считать данные даже при активном шифровании:
Подводим итоги
С одной стороны, встроенные в современные накопители средства защиты обладают недостатками — пароль на SATA-диске можно обойти, некоторые шифрованные SED-диски можно расшифровать без пароля. С другой — наличие дополнительной защиты данных, подобно дополнительному замку на двери, усложняет доступ злоумышленнику.Программные средства полнодискового шифрования TrueCrypt и Bitlocker надежнее защищают данные, хотя и с меньшими удобствами, но это тема для отдельной статьи.
Комментарии