Preferirei che nessuno, nemmeno io, potesse crittografare i miei file. Non ne ho alcuna utilità e non lo voglio.
C'è un modo per disabilitare permanentemente qualsiasi tipo di crittografia a livello di sistema operativo?
In caso contrario, si tratta di un possibile miglioramento che un futuro file system potrebbe incorporare? O è fondamentalmente impossibile da prevenire?
I file system di sola lettura non possono essere scritti per definizione (almeno non digitalmente.) Ciò che fai con un perforatore e un magnete al neodimio sono affari tuoi). Esempi:
I file system di Versioning sono più pratici, ma non sono comuni. Tali sistemi potrebbero facilmente includere opzioni per scrivere in modo trasparente ciascuna versione di un file (o la sua differenza rispetto alla versione precedente) su un dispositivo WORM o in altro modo protetto.
Entrambi risolvono il problema sottostante: non perdere i dati originali in caso di crittografia da parte di software dannoso.
No, impossibile, a meno che tu non cambi la definizione di un file.
Un file è dati arbitrari. Dati arbitrari possono essere dati crittografati.
Anche se permettiamo solo dati strutturati, i dati strutturati possono - se non assumiamo limiti di spazio - essere abusati per memorizzare tutti i dati arbitrari * (citazione necessaria). Il che ci porta al punto di partenza.
Puoi avere un successo parziale, se introduciamo delle restrizioni. Un esempio potrebbe essere se non si desidera che i file vengano crittografati dopo averli scritti, è possibile utilizzare un scrivere una volta (o anche scrivi solo ) sistema. O se vuoi combattere gli attacchi ransomware, potresti avere un filesystem che conserva le copie originali dei file modificati per un certo periodo di tempo.
* Ad esempio, un formato di testo restrittivo che consente solo le parole "Fizz" e "Buzz" può rappresentare tutti i dati binari sostituendo 0 con "Fizz" e 1 con "Buzz".
I carichi di file system non hanno il supporto per la crittografia a livello di file system nativo. Tuttavia, i file crittografati dal software possono essere archiviati su qualsiasi file system, proprio come qualsiasi altro file. Il file system non è in grado di distinguere tra dati casuali e dati crittografati.
Is there a way to permanently disable any sort of encryption at the OS level?
Non tanto a lungo quanto il codice può essere eseguito e scrivere file su disco.
Or is it fundamentally impossible to prevent?
Senza sacrificare la funzionalità di base, sì.
Hai taggato la tua domanda ransomware però. Quello che stai cercando sono informazioni sul sandboxing dell'applicazione o sul rilevamento di ransomware basato su euristica.
Sembra esserci un equivoco tra crittografia e file system.
I due sono indipendenti, uno può fare la crittografia senza avere un file system e uno può avere un file system senza fare la crittografia.
Per esempio, i file system FAT16 / FAT32 tradizionali non "supportano" la crittografia nativa come fa NTFS con il suo sottocomponente EFS. Ciò non significa tuttavia che non è possibile modificare i dati già impegnati, né scrivere dati nel file system crittografato.
È del tutto possibile avere un sistema di file "solo scrittura" o "sola lettura", ma ciò non impedisce ancora che qualcuno copi i dati, li cripta e li tenga altrove. Puoi sicuramente impedire la cancellazione e la scrittura dei dati già sul disco (i file in Windows possono essere bloccati da un processo attivo).
Un file system è fondamentalmente un fornitore di servizi per il sistema operativo (ad esempio fornisce un modo per archiviare e recuperare in modo permanente i dati su supporti di archiviazione sottostanti) e il sistema operativo offre questo servizio a qualsiasi programma in esecuzione sul computer.
Non è nella descrizione di base del lavoro del file system che si prende cura della crittografia, e mentre ci sono alcuni file system che offrono la crittografia nativa, di solito sono gli altri livelli a occuparsene.
Il ransomware non si preoccupa di nulla di tutto ciò, comunque. Anche se si dispone di un file system che non esegue la crittografia nativa e anche se è stato rimosso qualsiasi software aggiuntivo che fornisce un livello di crittografia (come TrueCrypt, Veracrypt, ecc.), Il codice ransomware stesso utilizzerà l'interfaccia fornita dal sistema operativo. per accedere ai file sul filesystem e crittografarli. Non c'è nulla che possa proteggerti in modo affidabile da questo, tranne il backup diligente dei tuoi dati, in modo che tu possa recuperare se necessario.
Idealmente, i dati crittografati dovrebbero essere indistinguibili dai dati casuali . Non si tratta di "nascondere" se sono presenti o meno dati crittografati (vale a dire la steganografia, di cui parleremo più avanti) ma si tratta di garantire che un utente malintenzionato non possa trovare modelli nei dati che potrebbero, a sua volta, essere utilizzati per capire la chiave per decodificarlo.
Questo causa problemi al sistema desiderato, perché i dati casuali potrebbero, in teoria, contenere qualsiasi sequenza di bit . Non è necessariamente probabile che una sequenza casuale di bit risulterebbe essere, per esempio, un JPEG casuale, ma è successo . Combina questo con la steganografia, in cui i dati sono nascosti all'interno di altri dati (spesso usati per nascondere dati crittografati all'interno di altri dati non crittografati), e la situazione sembra più cupa per il tuo scenario.
Per questo motivo non c'è davvero un modo per sapere se una determinata parte di dati è crittografata o meno, o contiene un'altra porzione di dati che potrebbe essere crittografata . Il più vicino a un filesystem che non può assolutamente contenere dati crittografati è uno che non può contenere alcun dato e ci sono pochissimi usi per un filesystem del genere.
Come altri hanno già detto, non puoi impedire la crittografia a livello di filesystem, ma l'alternativa più vicina che non ho già visto è Controllo di accesso obbligatorio .
Fondamentalmente, puoi impostare permessi extra in modo che le tue applicazioni che hanno accesso a Internet abbiano un accesso estremamente limitato al tuo disco. Il tuo browser web, ad esempio, potrebbe essere impostato per essere in grado di scrivere solo nelle sue impostazioni, nella cache e nella directory dei download. Qualsiasi tentativo da parte di quel processo di scrivere al di fuori di quelle cartelle verrebbe negato dal sistema operativo.
Quindi ciò che accade se viene sfruttata una vulnerabilità è invece che l'intero disco viene crittografato, solo la directory dei download può essere crittografata. Ovviamente non sicuro al 100% (nulla lo è), ma è un altro livello che di solito gli aggressori non si aspettano.
Il lato negativo è che è difficile da configurare e scomodo da mantenere, e si sente inutile dopo un po 'quando gli attacchi di alto profilo lasciano l'occhio del pubblico.
Immagino che il tuo ragionamento sia dovuto alla preoccupazione di essere vulnerabili al ransomware. Se questo non è il caso, allora la mia risposta diventa anche "perché"? Tutti i file system che supportano la crittografia offrono le opzioni per non utilizzarlo. In questo modo non si ha il sovraccarico che rallenta i propri accessi ai file e non bisogna preoccuparsi della corruzione del disco rendendo illeggibile l'intero file system.
Non penso che nessuna delle varietà ransomware sfrutti le capacità di crittografia dei file system. Lo fanno da soli, quindi disabilitare la crittografia a livello di file system non sarà di aiuto.
Per impedire al ransomware di essere in grado di crittografare i file, è necessario rendere il file system di sola lettura o manipolare le autorizzazioni. Potresti togliere la tua capacità di scrivere / modificare / cancellare i tuoi file di dati, e specificatamente darti quei diritti solo quando vuoi aggiornare un file. Non molto fattibile. Recentemente ho fatto una piccola prova di concetto con un tipo di app lockbox, che rimuoveva tutte le autorizzazioni di modifica in una cartella rendendola di sola lettura a te, agli amministratori, ecc. Quindi quando vuoi abilitare la possibilità di cambiare file, sblocchi la cartella.
Non ci sono andato molto oltre perché non vedo ancora che sia fattibile dal punto di vista dell'utente.
La migliore protezione da ransomware continua a essere quella di fare frequenti backup dei tuoi file. Windows 7/10 ha la funzionalità "versioni precedenti" che è piacevole perché mantiene una cronologia dei file man mano che cambiano. Quindi se i tuoi file vengono crittografati, cancellati, ecc. Una settimana fa, ma non te ne sei accorto fino ad oggi, troverai comunque le versioni non danneggiate.
Potresti installare Windows 7/10 per attivare l'UAC quando i tuoi file di dati vengono modificati se li metti nella cartella "Programmi".
Se la preoccupazione è impedire che i file vengano resi inaccessibili, un filesystem con versione (come il VMS), impostare in modo che l'eliminazione di vecchie versioni non sia banalmente possibile, è probabilmente tra le migliori.
Leggi altre domande sui tag encryption ransomware file-system