Kurs bezpieczeństwa IT. Część pierwsza: jak dobrze schować nasze dane?

Najprawdopodobniej każdy z nas ma dane, które są przeznaczone tylko dla jego oczu. Być może są to poufne informacje biznesowe, których ujawnienie zaszkodziłoby prowadzonym interesom. Być może są to pliki, których ujawnienie zaszkodziłoby dobremu imieniu ich posiadacza. Być może są to materiały, które prostu komuś mogą się nie spodobać. Treść nie ma jednak znaczenia – z formalnego punktu widzenia są one po prostu ciągiem bajtów. Co może zrobić człowiek, który nie chce, aby ten ciąg bajtów został odczytany przez niepowołane oczy? Okazuje się, że całkiem sporo. Ten artykuł jest właśnie dla takich osób.

Spis treści
Wprowadzenie W poszukiwaniu świętego Graala poufności Wirtualizacja: bo tak jest szczelniej Instalujemy VirtualBoksa Czas na wypełnienie wirtualnej maszyny Kryjówki w kryjówkach: TrueCrypt Instalujemy TrueCrypta Przygotowujemy schronienie Praca z szyfrowanymi wolumenami Uwaga na przecieki Alternatywa dla TrueCrypta: dm-crypt Sowy nie są tym, czym się wydają, czyli steganografia Słabości steganografii Przydatne linki

Spis treści

Wprowadzenie
W poszukiwaniu świętego Graala poufności

Przydatne linki

Wszystkie metody ochrony prywatnych danych, z których mogą korzystać użytkownicy komputerów, można podzielić pod względem przyjętej strategii na trzy rodzaje.

Pierwsza, najbardziej zawodna, to po prostu trzymanie tych danych w ukryciu i liczenie na to, że nikt ich nie znajdzie. To zakładanie np. wielokrotnie zagnieżdżonych katalogów, w których trzymane są obrazki i filmy zgrane z Sieci w trybie prywatnym przeglądarki, tak aby przypadkiem nie trafili na nie nasi rodzice czy współmałżonkowie. Zawodność tego podejścia jest zbyt duża, by w ogóle o nim poważnie rozmawiać.
Drugą metodą jest szyfrowanie danych, tak aby nieupoważnione osoby nie mogły uzyskać do nich dostępu. Jest to główny sposób ochrony naszej prywatności – wymaga jednak pewnej kompetencji technicznej, sprytu i rozsądnego zaprojektowania procedur obiegu naszych danych.
Trzecia metoda polega na takim ukrywaniu danych, aby nieupoważnione osoby nie zauważyły ich, nawet jeśli znajdą się one bezpośrednio przed ich oczami. To tzw. steganografia, sztuka znana już od starożytności. Można powiedzieć, że w naszym wypadku jest to cyfrowy odpowiednik pisania sokiem cytrynowym po kartce papieru.

W tym artykule zajmiemy się łącznym wykorzystaniem metody drugiej i trzeciej, tak aby stworzyć bezpieczne schronienie dla naszych danych, o którego istnieniu nikt poza nami nie będzie wiedział. Kolejne artykuły z naszej serii będą dotyczyły ukrywania swojej tożsamości w Sieci, bezpiecznej komunikacji z innymi osobami, poufnego uzyskiwania dostępu do miejsc, które istnieją poza oficjalnym Internetem, i przeprowadzania operacji finansowych z dala od ciekawskich oczu.

W poszukiwaniu świętego Graala poufności

O szczelność systemów operacyjnych nie jest łatwo. Zazwyczaj mamy w naszych maszynach zainstalowanych wiele aplikacji – czy jesteśmy pewni, że każda z nich robi tylko to, co powinna robić? W wypadku, gdy korzystamy z systemów o zamkniętym kodzie, nasza możliwość dokładnego ustalenia, co się w nich dzieje, nie jest zadowalająca. Co gorsza, większość narzędzi wykorzystywanych w tzw. informatyce śledczej jest właśnie nastawionych na najpopularniejsze, komercyjne systemy operacyjne.

Naiwnie jest jednak sądzić, że samo zainstalowanie Linuksa czy FreeBSD rozwiąże każdy nasz problem z prywatnością. Wolne systemy nie gwarantują nam bezpieczeństwa w sposób magiczny, a potencjalni napastnicy dysponują narzędziami, które pozwalają im na dobranie się do naszych danych – szczególnie, gdy uzyskali już fizyczny dostęp do komputera.

Dlatego w naszym myśleniu o ochronie danych będziemy stosować wielowarstwową strategię, obliczoną na zarówno ukrycie naszych treści, jak i zdezorientowanie przeciwnika – pokazanie mu, że na komputerze, do którego uzyskał już dostęp, nie ma nic ciekawego. Pierwszą warstwą tej strategii będzie wirtualizacja.

Protip: budując nasze środowisko do pracy z poufnymi danymi, warto zastanowić się, czy chcemy, by system wyglądał „niewinnie”. Jeśli zdecydujemy się na pełne zaszyfrowanie dysku, to z jednej strony otrzymujemy dodatkową warstwę bezpieczeństwa, z drugiej jednak od razu dajemy znać atakującemu, że jest tam coś ciekawego. Tak samo jest, kiedy pokażemy, że w systemie zainstalowaliśmy TrueCrypta. Być może wówczas szyfr wytrzyma, ale czy my wytrzymamy próby wydobycia z nas kluczy dostępowych?

«poprzednia 1 2 3 4 ... 7 następna »

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

12 skomentuj »

Komentarze

#1 kikut 2010-03-01 11:18:52 0
dobry tekst, warto się wczytać, poziom bezpieczeństwa godny pani rutkowskiej
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6 (.NET CLR 3.5.30729)
#2 dAREuS^® 2010-03-01 11:23:53 0
Myślę, że przy tej okazji warto przypomnieć nasz wywiad z Panią Rutkowską: http://webhosting.pl/Izolacja.to.podstawa.bezpieczenstwa.Wywiad.z.Joanna.Rutkowska.zalozycielka.Invisible.Things.Lab
IP: 188.121.11.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.89 Safari/532.5
#3 eimi^® 2010-03-01 11:52:07 0
Jeszcze jeden protip. Dzisiaj dyski twarde są duże i tanie. Można mieć wiele maszyn wirtualnych, do różnych celów. Nasza maszyna do celów prywatnych może zniknąć w tłumie.

"Po co panu te maszyny wirtualne? A tak sobie gram w stare gry w nich, stronki testuję itp". To też wiarygodne wytłumaczenie.
IP: 95.160.206.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100213 Firefox/3.6
#4 show must go on 2010-03-01 22:18:44 0
To jest chyba na miejscu:

IP: 83.10.86.[...] Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.43 Safari/532.5
#5 wojtekm^® 2010-03-04 09:38:29 0
zastanawia mnie tylko, czy faktycznie policja przeklikuje się przez system operacyjny użytkownika podziwiając nasze zylion maszyn wirtualnych.

Czy nie lepiej wyjąć dysk, podłączyć do czarodziejskiej maszyny i odpalić full scan, który wykryje przynajmniej ile i jakich danych jest na dysku?

Wtedy ukryta partycja nie ma sensu, bo technik i tak dowie się, że jest coś jeszcze.

Wg mnie owszem takie rozwiązania może i mają sens w przypadku szpiega obcego wywiadu (chociaż tu lepiej zamontować moduł autodestrukcji) ale kompletnie nie mają sensu w przypadku statystycznego użytkownika. I są strasznie niewygodne u osoby która w taki sposób chce grac w pirackie gierki i oglądać pirackie filmy.

Więc komu to służy?

ps. czemu komentarze sa tak dziwnie łamane jak sie je wkleja?
IP: 85.219.135.[...] Mozilla/5.0 (Windows; U; Windows NT 5.2; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8 (.NET CLR 3.5.30729)
#6 eimi^® 2010-03-04 10:33:26 0
Powód, dla którego postawiliśmy tutaj na pracę w izolowanych maszynach

wirtualnych stanie się jasny w kolejnej części kursu, dotyczącej

anonimowego korzystania z Sieci.

Ale na razie: w najlepszym razie "czarodziejska maszyna" pokaże, że na dysku coś jest. Coś. Nie pokaże, co to są za dane. Czarodziejskie maszyny techników policyjnych aż tak dobre nie są... wychodzisz poza świat FAT32/NTFS i już jest słabo. Zwykle to służbom nie przeszkadza, bo i tak praktycznie nigdy nie spotyka się niczego innego.

Chyba że trafi na spryciarzy. We Wrocławiu do tej pory policja płacze nad dyskami pewnego popularnego huba DC, którego admini byli ludźmi kompetentnymi i dobrze się zabezpieczyli.

Co do wygody... jak komuś tylko na wygodzie zależy, to może przygotować automontowanie kryptowolumenu na poziomie systemu-gospodarza, a klucze umieścić na karcie SD czy pendrive. Tyle, że to, jak pokazał Bruce Schneier z kolegami, prowadzi do sporego ryzyka - właśnie przeciekania poufnych danych poza ukryty wolumen. Niemniej, lepsze to niż nic, szczególnie jeśli dysk z krypto jest podpięty np do routera gdzieś w domu, który robi jako serwerek plików.
IP: 95.160.206.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100213 Firefox/3.6
#7 wojtekm^® 2010-03-05 15:00:31 0
ok, poczytałem o tym całym truecrypcie i z tego co widzę, do się to zorganizować nawet tak, że faktycznie nie da się wykryć, że cokolwiek poza systemem na pożarcie jest na dysku. Więc można mieć nadzieję, że również ewentualna osoba łamiąca system nie będzie w stanie tego dowieść.

O wygodzie myślałem w sensie działania z jak najmniejszą ingerencją użytkownika i to zupełnie nietechnicznego. Tj. instaluje truecrypta handlowcowi, ten wpisuje jedno hasło do truecrypta, ewentualnie drugie do windowsa i loguje się do systemu. Tym sposobem zapewniamy ochronę wrażliwych danych firmy przed ewentualnym złodziejem czy konkurencją.

Ukrywanie wolumenów można odpuścić-handlowiec nie będzie raczej bity kluczem, a ewentualne nielegalne treści to już nie moje tylko jego zmartwienie.

Czy to się sprawdza w tego typu zastosowaniach?
IP: 85.219.135.[...] Mozilla/5.0 (Windows; U; Windows NT 5.2; pl; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8 (.NET CLR 3.5.30729)
#8 eimi^® 2010-03-05 16:38:24 0
wojtekm: tak, ale właśnie handlowiec może najbardziej być bity kluczem, szczególnie jeśli ma poufne, cenne dla konkurencji dane. (swoją drogą autor XKCD: hardcore). W tej sytuacji dobrym rozwiązaniem wydaje mi się trzymanie plików kluczy do ukrytego wolumenu na łatwych do zniszczenia nośnikach - np karcie microSD, którą w ostateczności można połknąć, albo jako obrazka w kolekcji wielu tysięcy - tylko handlowiec wie, który to obrazek jest.

W zewnętrznej warstwie zaś nie hc porno, bo to nie miałoby sensu - ale normalne biznesowe dokumenty, wyglądające bardzo nudno. A że zaszyfrowano? No to bardzo ważne firmowe dokumenty w końcu :).
IP: 95.160.206.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100213 Firefox/3.6
#9 Janosik 2010-03-10 23:50:32 0
Autor nie wnosi tym tekstem zadnych nowosci, narzędzia znane od lat wielu i opisywane na portalach tematycznych wiele razy.
IP: 83.145.159.[...] Mozilla/5.0 (Windows; U; Windows NT 5.2; pl; rv:1.9.2) Gecko/20100115 Firefox/3.6
#10 braun 2010-03-19 14:29:33 0
przyjemnie sie to czytalo :)
IP: 83.238.109.[...] Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.10
#11 Weto 2010-08-07 14:17:53 0
Chwila, chwila... tytuł sugeruje, że miało być o bezpieczeństwie IT a tymczasem jest o tym jak sie obronic przed policją czyli chronić pirackie (czytaj ukradzione) windowsy, mp3 i filmiki. Fuj...

Idea tego artykułu jest więc żenująca
IP: 85.221.160.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 ( .NET CLR 3.5.30729)
#12 tommat 2011-05-11 21:35:49 0
Dzięki ! :)
IP: 91.215.0.[...] Mozilla/5.0 (X11; Linux i686; rv:2.0.1) Gecko/20100101 Firefox/4.0.1

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.