Κρυπτογράφηση & Disk Hardening: Σκέψου σαν Hacker, Προστάτεψε Δεδομένα

Εισαγωγή: Γιατί να Σκεφτείς σαν Hacker για την Ασφάλεια των Δεδομένων σου

Η ασφάλεια των ψηφιακών δεδομένων δεν είναι απλώς θέμα τεχνολογίας — είναι θέμα στρατηγικής σκέψης. Η φιλοσοφία «σκέψου σαν hacker» (think like a hacker) αποτελεί θεμελιώδη αρχή στον κόσμο του cybersecurity: αντί να περιμένεις παθητικά μια επίθεση, αναλύεις τα συστήματά σου με τα μάτια του επιτιθέμενου και εντοπίζεις τα σημεία αδυναμίας πριν αυτός τα εκμεταλλευτεί. Σε αυτό το άρθρο, θα εξετάσουμε πώς ένας κακόβουλος χρήστης βλέπει τον σκληρό δίσκο, τα αρχεία και τα δεδομένα ενός στόχου, και πώς μπορείς να εφαρμόσεις πρακτικές κρυπτογράφησης, disk hardening και ασφαλούς αποθήκευσης για να εξουδετερώσεις αυτές τις απειλές. Η προσέγγιση αυτή δεν απαιτεί ιδιαίτερα τεχνικές γνώσεις, αλλά απαιτεί μεθοδικότητα και κατανόηση του threat model σου.

Ο στόχος μας δεν είναι να διδάξουμε επιθετικές τεχνικές, αλλά να αναλύσουμε τις μεθόδους που χρησιμοποιούν οι επιτιθέμενοι ώστε κάθε αναγνώστης να μπορεί να αξιολογήσει τα δικά του συστήματα. Επιπλέον, θα παρέχουμε σαφείς αμυντικές συστάσεις, σύγχρονα εργαλεία κρυπτογράφησης και μια ολοκληρωμένη μεθοδολογία για τη σκλήρυνση δίσκων σε Windows, Linux και macOS. Κάθε ενότητα ακολουθεί τη δομή: τι βλέπει ο επιτιθέμενος, ποιος είναι ο κίνδυνος και πώς προστατεύεσαι αποτελεσματικά.

Threat Model: Τι Βλέπει ο Επιτιθέμενος στον Δίσκο σου

Ένας επιτιθέμενος που αποκτά φυσική ή απομακρυσμένη πρόσβαση σε έναν υπολογιστή αναζητεί πρώτα τα εξής: μη κρυπτογραφημένα αρχεία, swap space με ευαίσθητα δεδομένα, ιστορικό εφαρμογών (browser history, thumbnails, recent files), αρχεία ανάκτησης (recycle bin, shadow copies) και metadata αρχείων. Σύμφωνα με το MITRE ATT&CK framework, αυτές οι δραστηριότητες αντιστοιχούν σε τακτικές όπως Collection (T1005 — Data from Local System), Credential Access (T1552 — Unsecured Credentials) και Discovery (T1083 — File and Directory Discovery). Η κατανόηση αυτών των τακτικών είναι κρίσιμη για κάθε αμυντική στρατηγική.

Πιο συγκεκριμένα, ακόμα κι αν διαγράψεις ένα αρχείο, τα δεδομένα του παραμένουν στον δίσκο μέχρι να επανεγγραφούν. Εργαλεία forensics όπως το Autopsy ή το FTK Imager μπορούν να ανακτήσουν τα «διαγραμμένα» αρχεία σε δευτερόλεπτα. Παράλληλα, το swap space (virtual memory) μπορεί να περιέχει passwords, encryption keys ή fragments εγγράφων που ήταν ανοιχτά στη μνήμη RAM. Ωστόσο, υπάρχουν σαφείς και αποτελεσματικοί τρόποι αντιμετώπισης, τους οποίους θα αναλύσουμε στη συνέχεια.

Full Disk Encryption (FDE): Η Πρώτη Γραμμή Άμυνας

Η κρυπτογράφηση ολόκληρου του δίσκου (Full Disk Encryption) αποτελεί τη θεμελιώδη αμυντική μέθοδο κατά της φυσικής πρόσβασης. Όταν ενεργοποιείται FDE, κάθε sector του δίσκου — συμπεριλαμβανομένου του λειτουργικού συστήματος, των εφαρμογών και των αρχείων — κρυπτογραφείται με αλγόριθμο AES-256. Χωρίς το σωστό κλειδί αποκρυπτογράφησης (password ή TPM key), ο δίσκος εμφανίζεται ως ακατανόητα δεδομένα ακόμα και σε εξειδικευμένο forensic εξοπλισμό. Αυτό σημαίνει ότι αν κλαπεί ο φορητός υπολογιστής σου ή αφαιρεθεί ο σκληρός δίσκος, τα δεδομένα παραμένουν απρόσιτα.

Τα σύγχρονα λειτουργικά συστήματα παρέχουν ενσωματωμένες λύσεις FDE. Στα Windows, το BitLocker (διαθέσιμο σε εκδόσεις Pro/Enterprise) χρησιμοποιεί το TPM chip για αυτόματη αποκρυπτογράφηση κατά την εκκίνηση, ενώ παράλληλα προστατεύει από cold boot attacks. Στο macOS, το FileVault 2 χρησιμοποιεί XTS-AES-128 και ενσωματώνεται με το Secure Enclave σε Apple Silicon. Στο Linux, το LUKS (Linux Unified Key Setup) σε συνδυασμό με dm-crypt παρέχει ισοδύναμη προστασία με πλήρη διαφάνεια για τον χρήστη. Η επιλογή ανάμεσα σε αυτά εξαρτάται από το λειτουργικό σύστημα που χρησιμοποιείς, αλλά η αρχή είναι κοινή: κρυπτογράφησε τα πάντα.

Ενεργοποίηση BitLocker (Windows)

Η ενεργοποίηση του BitLocker σε Windows 10/11 Pro είναι σχετικά απλή διαδικασία. Μέσω του Control Panel ή της γραμμής εντολών, μπορείς να ξεκινήσεις την κρυπτογράφηση ολόκληρου του δίσκου. Είναι κρίσιμο να αποθηκεύσεις το recovery key σε ασφαλή τοποθεσία — σε εκτυπωμένη μορφή σε χρηματοκιβώτιο ή σε hardware security key — καθώς η απώλειά του σημαίνει μόνιμη απώλεια πρόσβασης στα δεδομένα. Σε εταιρικά περιβάλλοντα, τα recovery keys αποθηκεύονται κεντρικά μέσω Active Directory ή Microsoft Endpoint Manager, διασφαλίζοντας τη δυνατότητα ανάκτησης.

# Ενεργοποίηση BitLocker μέσω PowerShell (σε lab/δοκιμαστικό σύστημα)
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector

# Έλεγχος κατάστασης κρυπτογράφησης
manage-bde -status C:

# Αποθήκευση recovery key σε αρχείο (μόνο για αρχική δημιουργία backup)
(Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object {$_.KeyProtectorType -eq 'RecoveryPassword'}

Ενεργοποίηση LUKS (Linux)

Στις περισσότερες σύγχρονες διανομές Linux (Ubuntu, Fedora, Debian), η κρυπτογράφηση LUKS προσφέρεται κατά την εγκατάσταση ως επιλογή. Αν δεν ενεργοποιήθηκε κατά την εγκατάσταση, η μετατροπή ενός υπάρχοντος δίσκου απαιτεί backup και επανεγκατάσταση. Ωστόσο, μπορείς να δημιουργήσεις κρυπτογραφημένα containers για ευαίσθητα δεδομένα χωρίς να αλλάξεις το υπάρχον σύστημα. Το VeraCrypt, ο πνευματικός διάδοχος του TrueCrypt (που πλέον θεωρείται ανασφαλές), παρέχει αυτή τη δυνατότητα cross-platform.

# Δημιουργία κρυπτογραφημένου LUKS container σε lab σύστημα
# Δημιουργία αρχείου 2GB ως container
dd if=/dev/urandom of=/home/labuser/encrypted_vault.img bs=1M count=2048

# Αρχικοποίηση ως LUKS volume
sudo cryptsetup luksFormat --type luks2 --cipher aes-xts-plain64 --key-size 512 --hash sha512 /home/labuser/encrypted_vault.img

# Άνοιγμα και mount
sudo cryptsetup open /home/labuser/encrypted_vault.img secure_vault
sudo mkfs.ext4 /dev/mapper/secure_vault
sudo mount /dev/mapper/secure_vault /mnt/secure

# Κλείσιμο
sudo umount /mnt/secure
sudo cryptsetup close secure_vault

FileVault (macOS)

Στο macOS, η ενεργοποίηση του FileVault γίνεται μέσω System Preferences > Security & Privacy > FileVault. Σε Apple Silicon (M1/M2/M3/M4), η κρυπτογράφηση είναι hardware-accelerated και δεν επηρεάζει αισθητά την απόδοση. Η Apple αποθηκεύει κρυπτογραφικά κλειδιά στο Secure Enclave, καθιστώντας εξαιρετικά δύσκολη την εξαγωγή τους ακόμα και με φυσική πρόσβαση στη μητρική πλακέτα. Είναι σημαντικό να σημειωθεί ότι το recovery key πρέπει να αποθηκευτεί εκτός iCloud αν θέλεις μέγιστη ανεξαρτησία από τρίτους.

Secure Erase & Αντί-Forensics: Όταν η Διαγραφή δεν Αρκεί

Όπως αναφέρθηκε, η απλή διαγραφή αρχείων (Delete + Empty Recycle Bin) δεν καταστρέφει τα δεδομένα — απλώς αφαιρεί την αναφορά τους από τον πίνακα αρχείων (MFT σε NTFS, inode table σε ext4). Ένας επιτιθέμενος με forensic εργαλεία μπορεί να ανακτήσει τα «διαγραμμένα» αρχεία αν τα sectors δεν έχουν ακόμα επανεγγραφεί. Αυτή η τεχνική ονομάζεται file carving και αποτελεί βασικό βήμα σε κάθε digital forensic investigation. Ως αποτέλεσμα, χρειάζεσαι μεθόδους ασφαλούς διαγραφής που καθιστούν αδύνατη την ανάκτηση.

Ωστόσο, η ασφαλής διαγραφή διαφέρει σημαντικά μεταξύ HDD και SSD. Στους παραδοσιακούς σκληρούς δίσκους (HDD), η επανεγγραφή με μηδενικά ή τυχαία δεδομένα (overwrite) είναι αποτελεσματική. Εργαλεία όπως το shred (Linux) ή το sdelete (Windows/Sysinternals) επανεγγράφουν τα sectors πολλαπλές φορές. Αντίθετα, στους SSD, η αρχιτεκτονική wear leveling σημαίνει ότι ο controller μπορεί να αλλάξει τα φυσικά cells χωρίς τη γνώση του λειτουργικού συστήματος. Για τους SSD, η εντολή TRIM (ενεργοποιημένη by default στα σύγχρονα OS) ενημερώνει τον controller ότι ορισμένα blocks είναι ελεύθερα, αλλά η πλήρης ασφαλής διαγραφή απαιτεί ATA Secure Erase ή κρυπτογραφική διαγραφή (crypto-erase), δηλαδή αλλαγή του encryption key.

# Ασφαλής διαγραφή αρχείου σε Linux (lab σύστημα)
shred -vzn 3 /home/labuser/sensitive_document.pdf

# Διαγραφή ελεύθερου χώρου σε partition (HDD μόνο)
sfill -vzll /home/labuser/

# SSD TRIM — ενεργοποίηση και χειροκίνητη εκτέλεση
sudo fstrim -av

# Windows: Sysinternals SDelete (lab σύστημα)
# sdelete -z C:   (zero free space)
# sdelete -p 3 C:\Users\labuser\sensitive.docx   (3-pass overwrite)

Swap Space & Virtual Memory: Ο Αόρατος Κίνδυνος

Ένα από τα πιο υποτιμημένα σημεία ευπάθειας είναι το swap space (virtual memory). Όταν η φυσική μνήμη RAM γεμίζει, το λειτουργικό σύστημα μεταφέρει τμήματα της μνήμης στον δίσκο — στο pagefile.sys (Windows), στο /swap ή swap partition (Linux), ή στο sleepimage (macOS). Αυτά τα αρχεία μπορεί να περιέχουν passwords, encryption keys, documents που ήταν ανοιχτά, ή ακόμα και plaintext δεδομένα από HTTPS sessions πριν κρυπτογραφηθούν. Ένας forensic analyst μπορεί να εξετάσει αυτά τα αρχεία και να εξαγάγει πολύτιμες πληροφορίες.

Η αμυντική στρατηγική εδώ περιλαμβάνει δύο προσεγγίσεις. Η πρώτη είναι η κρυπτογράφηση του swap space: στα Windows, το BitLocker κρυπτογραφεί αυτόματα το pagefile όταν ενεργοποιηθεί FDE. Στο Linux, μπορείς να δημιουργήσεις encrypted swap partition με LUKS ή να χρησιμοποιήσεις swap encryption with a random key (που αλλάζει σε κάθε boot). Στο macOS, το FileVault κρυπτογραφεί επίσης το swap. Η δεύτερη προσέγγιση, για χρήστες με αρκετή RAM (16GB+), είναι η πλήρης απενεργοποίηση του swap — αν και αυτό μπορεί να επηρεάσει τη σταθερότητα σε περιπτώσεις υψηλής κατανάλωσης μνήμης.

# Linux: Κρυπτογραφημένο swap με random key (αλλάζει σε κάθε boot)
# Στο /etc/crypttab:
# cryptswap  /dev/sdX2  /dev/urandom  swap,cipher=aes-xts-plain64,size=512

# Απενεργοποίηση swap (Linux lab)
sudo swapoff -a

# Επαλήθευση — δεν πρέπει να εμφανιστεί swap
free -h

# Windows: Έλεγχος κατάστασης pagefile (PowerShell)
Get-CimInstance -ClassName Win32_PageFileSetting | Format-List Name, InitialSize, MaximumSize

Κρυπτογραφημένα Containers & Hidden Volumes: Σύγχρονη Προσέγγιση

Πέρα από την κρυπτογράφηση ολόκληρου του δίσκου, υπάρχουν περιπτώσεις όπου χρειάζεσαι κρυπτογραφημένους χώρους αποθήκευσης (containers) για συγκεκριμένα δεδομένα. Αυτή η προσέγγιση ήταν ιστορικά δημοφιλής μέσω του TrueCrypt, ενός εργαλείου που τερμάτισε την ανάπτυξη το 2014 λόγω πιθανών ζητημάτων ασφαλείας. Ο πνευματικός διάδοχός του, το VeraCrypt, συνεχίζει με ενισχυμένη κρυπτογράφηση και ενεργή ανάπτυξη. Η βασική ιδέα παραμένει ισχυρή: δημιουργείς ένα αρχείο που λειτουργεί ως κρυπτογραφημένος εικονικός δίσκος, προσβάσιμο μόνο με τον σωστό κωδικό.

Μια ενδιαφέρουσα λειτουργία του VeraCrypt είναι τα Hidden Volumes — κρυπτογραφημένοι χώροι κρυμμένοι μέσα σε άλλους κρυπτογραφημένους χώρους, με ξεχωριστό κωδικό πρόσβασης. Αυτή η τεχνική παρέχει plausible deniability: ακόμα κι αν αναγκαστείς να αποκαλύψεις τον κωδικό, μπορείς να δώσεις τον κωδικό του outer volume (που περιέχει αβλαβή δεδομένα), ενώ το hidden volume παραμένει αόρατο. Αν και αυτό αποτελεί χρήσιμο χαρακτηριστικό για δημοσιογράφους, ακτιβιστές ανθρωπίνων δικαιωμάτων και επαγγελματίες ασφαλείας, η χρήση του πρέπει πάντα να γίνεται εντός νόμιμου πλαισίου.

Password Management: Η Αδυναμία που οι Hackers Εκμεταλλεύονται Πρώτη

Σε κάθε penetration test, η ανίχνευση plaintext credentials αποτελεί μια από τις πρώτες νίκες για τον ethical hacker. Αρχεία .env, σημειωματάρια με κωδικούς, sticky notes στο desktop, browser-saved passwords χωρίς master password — όλα αυτά αποτελούν πραγματικούς κινδύνους. Σύμφωνα με τη Verizon DBIR 2025, πάνω από το 60% των παραβιάσεων σχετίζεται με compromised credentials. Η χρήση password manager (KeePassXC, Bitwarden, 1Password) με strong master password αποτελεί θεμελιώδη πρακτική ασφαλείας.

Ένα password manager αποθηκεύει κρυπτογραφημένα όλους τους κωδικούς σε ένα vault, προσβάσιμο μόνο μέσω ενός master password. Τα σύγχρονα password managers υποστηρίζουν auto-fill, TOTP 2FA, secure notes και ανίχνευση breached passwords μέσω APIs (Have I Been Pwned integration). Η σύσταση είναι σαφής: κάθε λογαριασμός πρέπει να έχει μοναδικό, τυχαίο κωδικό τουλάχιστον 16 χαρακτήρων. Η μνήμη δεν επαρκεί για αυτό — χρειάζεσαι εργαλείο. Επιπλέον, η ενεργοποίηση MFA (Multi-Factor Authentication) σε κάθε σημαντικό λογαριασμό μειώνει δραματικά τον κίνδυνο ακόμα κι αν ο κωδικός κλαπεί.

BIOS/UEFI Security & Physical Access Controls

Η φυσική πρόσβαση σε έναν υπολογιστή παρέχει στον επιτιθέμενο δυνατότητες που δεν μπορεί να αποκτήσει απομακρυσμένα. Μπορεί να εκκινήσει από USB stick με live OS (π.χ. Kali Linux) παρακάμπτοντας πλήρως τον κωδικό σύνδεσης του Windows ή Linux. Μπορεί να αφαιρέσει τον σκληρό δίσκο και να τον συνδέσει σε δικό του σύστημα. Μπορεί ακόμα να εγκαταστήσει hardware keylogger μεταξύ πληκτρολογίου και υπολογιστή, καταγράφοντας κάθε πλήκτρο που πατάς. Αυτές οι τεχνικές αντιστοιχούν στο MITRE ATT&CK Initial Access: T1200 Hardware Additions.

Η αντιμετώπιση απαιτεί πολυεπίπεδη προστασία. Πρώτον, ορίζεις password στο BIOS/UEFI ώστε να μην μπορεί κανείς να αλλάξει τη σειρά εκκίνησης ή να εκκινήσει από εξωτερικό μέσο. Δεύτερον, ενεργοποιείς Secure Boot, που επαληθεύει ότι το bootloader δεν έχει τροποποιηθεί. Τρίτον, σε εταιρικά περιβάλλοντα, χρησιμοποιείς Kensington locks ή κλειδωμένα rack cabinets. Τέταρτον, η κρυπτογράφηση δίσκου (FDE) εξουδετερώνει την εξαγωγή δεδομένων ακόμα κι αν αφαιρεθεί φυσικά ο δίσκος. Αυτά τα μέτρα σε συνδυασμό δημιουργούν ένα defense-in-depth σχήμα που καθιστά εξαιρετικά δύσκολη τη φυσική επίθεση.

Επιχειρησιακές Βέλτιστες Πρακτικές & Checklist Σκλήρυνσης

Η σκλήρυνση (hardening) δεν είναι μια εφάπαξ ενέργεια αλλά μια συνεχής διαδικασία. Ένα ολοκληρωμένο hardening checklist για endpoints περιλαμβάνει τόσο τεχνικά μέτρα όσο και οργανωτικές πολιτικές. Τα CIS Benchmarks παρέχουν λεπτομερείς οδηγίες ανά λειτουργικό σύστημα, ενώ frameworks όπως το NIST 800-53 και το ISO 27001 Annex A προσφέρουν τη στρατηγική εικόνα. Η εφαρμογή αυτών των πλαισίων δεν απαιτεί εξειδικευμένο προσωπικό — αρκούν μεθοδικότητα και συνέπεια.

Πιο συγκεκριμένα, κάθε χρήστης και κάθε οργανισμός μπορεί να ξεκινήσει με μια βασική λίστα ελέγχου που καλύπτει τους πιο σημαντικούς κινδύνους. Η λίστα αυτή πρέπει να αναθεωρείται τακτικά, ιδανικά κάθε τρίμηνο, καθώς νέες απειλές εμφανίζονται διαρκώς. Παράλληλα, η αυτοματοποίηση μέσω configuration management tools (Ansible, InTune, JAMF) μειώνει τα ανθρώπινα λάθη και εξασφαλίζει ομοιόμορφη εφαρμογή σε όλα τα endpoints ενός οργανισμού.

Blue Team Perspective: Monitoring & Detection

Η σκλήρυνση δίσκων και η κρυπτογράφηση είναι preventive controls — αποτρέπουν την απειλή. Όμως, ένα ολοκληρωμένο αμυντικό πλαίσιο απαιτεί και detective controls που ανιχνεύουν πιθανές παραβιάσεις. Σε επίπεδο endpoint, τα σύγχρονα EDR (Endpoint Detection and Response) εργαλεία παρακολουθούν ύποπτες δραστηριότητες: πρόσβαση σε volumes χωρίς εξουσιοδότηση, απόπειρες απενεργοποίησης BitLocker, σύνδεση μη εγκεκριμένων USB devices, ή αλλαγές στις ρυθμίσεις Secure Boot. Αυτά τα events πρέπει να συλλέγονται κεντρικά σε SIEM (Security Information and Event Management) πλατφόρμα.

Ειδικότερα, κάποια events που αξίζει να παρακολουθούνται σε ένα SOC περιβάλλον περιλαμβάνουν: Windows Event ID 24 (BitLocker recovery mode triggered), Event ID 4624 Type 2 (interactive logon — ενδεχομένως φυσική πρόσβαση), Event ID 6416 (new external device recognized), Linux auditd rules για mount events σε κρυπτογραφημένα volumes, και μεταβολές στο integrity monitoring (FIM) για κρίσιμα configuration files. Η ρύθμιση αυτών των κανόνων σε Elastic SIEM, Wazuh ή Splunk παρέχει ορατότητα σε πραγματικό χρόνο και επιτρέπει ταχεία αντίδραση σε ύποπτη δραστηριότητα.

MITRE ATT&CK Mapping

Συμπέρασμα

Η ασφάλεια δεδομένων ξεκινά από τον δίσκο — τη φυσική τοποθεσία όπου αποθηκεύονται όλα τα ψηφιακά μας αγαθά. Η φιλοσοφία «σκέψου σαν hacker» μας βοηθά να κατανοήσουμε ότι ένας επιτιθέμενος αναζητεί μη κρυπτογραφημένα αρχεία, swap remnants, deleted file fragments και plaintext credentials — και η κρυπτογράφηση ολόκληρου του δίσκου, η ασφαλής διαγραφή, η προστασία boot process και η χρήση password manager αποτελούν αποτελεσματικές αντιδράσεις σε αυτές τις απειλές. Τα σύγχρονα εργαλεία (BitLocker, LUKS, FileVault, VeraCrypt) καθιστούν αυτές τις πρακτικές προσιτές σε κάθε χρήστη, ενώ τα CIS Benchmarks και τα EDR/SIEM solutions παρέχουν το πλαίσιο για οργανωτική εφαρμογή σε κλίμακα.