IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

8. diel - Šifrujeme dáta na disku

Predchádzajúci
Ďalší

V predchádzajúcej lekcii, Nastavujeme operačný systém - Súkromie, antivírusy a ďalšie SW , sme sa dozvedeli niečo o nastavení súkromia, antivírusovom softvéri, bezpečnej inštalácii programov a dôležitosti aktualizácií.

V predchádzajúcich dieloch nášho tutoriálu na tému kybernetická bezpečnosť sme sa dozvedeli, ako ochrániť svoje dáta na úrovni operačného systému. K ničomu nám to ale nebude, pokiaľ útočník získa fyzický prístup k nášmu počítaču a fyzicky okopíruje náš disk alebo nám celé zariadenie rovno ukradne. V takom prípade náš disk jednoducho pripojí ako druhý disk k svojmu počítaču a prečíta si z neho, čo bude chcieť. Ochrany nastavené v našom operačnom systéme sa vôbec neuplatnia, pretože v takom prípade operačný systém nebude vôbec spustený. Preto je nutné ukladať dáta na disk šifrovane. Téme šifrovania bude venovaná dnešnej lekcie.

Šifrujeme dáta na disku

V zásade máme dve možnosti, ako chrániť svoje dáta pomocou šifrovania:

  • Buď budeme šifrovať celý disk vrátane operačného systému. V takom prípade je nutné zadať heslo už v pre-boot time zavádzači operačného systému, bez neho logicky nie je možné vôbec spustiť systém.
  • Alebo môžeme šifrovať iba (virtuálne) disky s konkrétnymi dátami, prípadne dáta v konkrétnych adresároch – typicky domáci adresár používateľa alebo zložku Dokumenty vo Windows.
Šifrovanie celého systémového disku je samozrejme bezpečnejšie. Automaticky chráni aj integritu súborov operačného systému pred vonkajším zásahom. Tiež sa nám potom nemôže stať, že nejakú citlivú informáciu uložíme na nešifrované médium nedopatrením (alebo ju tam uloží sám systém – napríklad stránkovací súbor pamäte do swapu).

Pokiaľ má náš počítač hardvérovú podporu pre šifrovanie (čo dnes má snáď už každý), potom nie je nijako významne spomalený ani beh vlastného systému. Na druhú stranu môžeme zabudnúť na rôzne externé „záchranné médiá“, ktoré sa nám po nabootovaní pokúsia opraviť pôvodný systém alebo „zachrániť“ dáta. Jediná oprava, ktorá tu potom prichádza do úvahy, je kompletná reinštalácia systému a obnova dát z externej zálohy.

Ako vytvárať šifrované zálohy sa dozvieme v lekcii o zálohovaní.

Softvér na šifrovanie

Poďme si predstaviť šifrovací softvér, ktorý môžeme považovať za spoľahlivý:

BitLocker

BitLocker je štandardne dostupný vo Windows v edícii Professional. Vie spolupracovať s čipom TPM a vďaka tomu ponúka niekoľko užívateľsky príjemných vychytávok. Ide napríklad o šifrovanie iba vybraných adresárov jednoduchým zaškrtnutím voľby Šifrovať obsah a zabezpečiť tak dáta v prieskumníku pod položkou Vlastnosti -> Všeobecné -> Upresniť. Ďalej napríklad umožňuje zadanie skráteného PINu namiesto hesla pri štarte systému.

Na druhú stranu sa tým pevne zviažeme s proprietárnou technológiou Microsoftu, Windows v "Profi" edícii a sme nútení používať zariadenia s podporou chipu TPM. Presnejšie povedané, Bitlocker vie fungovať aj bez chipu TPM, ale potom prídeme o tie uľahčujúce vychytávky ao vysokú úroveň zabezpečenia. Pokiaľ však máme celú firmu primárne postavenú na Microsoft software a neplánujeme na tom nič meniť, potom nie je dôvod toto riešenie nepoužiť.

VeraCrypt

Rokmi preverený freeware a open source VeraCrypt je dostupný pre Windows, Linux aj macOS. Šifrované kontajnery môžu byť vnútorne naformátované na typ filesystému podľa našej voľby a pripojíme ich (cez VeraCrypt) ako virtuálny disk do akéhokoľvek operačnom systéme. Namiesto hesiel je možné používať ako kľúče aj súbory. Veľa vecí v ňom možno ľahko zautomatizovať (automatický mount pri pripojení média alebo po prihlásení užívateľa a pod.). Windows verzia potom obsahuje jednoduchého sprievodcu pre zašifrovanie celého systémového disku, ktorý vytvorí aj zodpovedajúci zavádzač pre štart systému. VeraCrypt umožňuje vytvárať aj skryté zväzky vrátane celých ukrytých operačných systémov, ale o tom sa stručne zmienime až v niektorej z posledných lekcií.

Linux Unified Key Setup

UNIX systémy majú štandardne k dispozícii LUKS (štandardizovaný formát šifrovaného filesystému). Pokiaľ však budeme potrebovať dáta zdieľať medzi viacerými operačnými systémami, zvoľme radšej šifrované kontajnery VeraCryptu. Avšak pozor: VeraCrypt na Linuxe nám neumožní spätne zašifrovať systémový disk tak ako na Windows. Linux Ubuntu túto voľbu ponúka iba pri inštalácii, a to ešte len v prípade, že si môže celý inštalačný disk rozdeliť podľa seba!

Bezpečné mazanie

V tejto súvislosti prichádza často na pretras otázka tzv. bezpečného mazania (shredding, čiže skartácia) dôverných súborov. Táto problematika nie je vôbec taká jednoduchá, ako by sa na prvý pohľad mohlo zdať. Závisí okrem iného od toho, či máme magnetické disky alebo SSD av akom režime SSD disk pracuje. Rozdiel je tiež v tom, aký typ filesystému používame, takže si jednoducho zapamätajme jednoduchú poučku:

Žiadna dôverná informácia sa nikdy nesmie na médium uložiť v otvorenej podobe, tj nešifrovane!

Preto by nastavenie šifrovania disku malo prísť na rad hneď potom, čo sme si nakonfigurovali operačný systém a programy pre základnú prácu. Teda ešte predtým, než na ňom so skutočne dôvernými dátami začneme pracovať. V opačnom prípade jediná stopercentne účinná a pritom univerzálna metóda, ako zničiť dáta na akomkoľvek disku, spočíva v jeho vložení do (elektromagne­tickej) pece :)

Vypnutie, uspanie a hibernácia

Je skvelé vedieť, že aj keď mi niekto zoberie celý počítač, tak sa rovnako k žiadnym dátam v ňom nedostane. To dokonca ani v prípade, že by niekde v nejakom následnom zabezpečení na strane Windows bola prípadná chyba (či útočník poznal naše heslo do Windows). To platí, ak sme zašifrovali celý disk vrátane systémového a počítač vypli, aby pri následnom štarte musel o heslo k dátam požiadať.

Problém je v tom, že dnes už sa rad počítačov (a najmä notebookov) v skutočnosti nevypína, ale štandardne iba prejde do energeticky úsporného režimu, tzv. uspania. Pri prebudení potom po vás žiadne heslo k dátam na disku chcieť nebude - systém drivery z disku znova nenačíta a kľúč k disku má uložený v pamäti RAM. Potom opäť závisí ochrana našich dát iba na nastavení operačného systému, kým útočník počítač sám nevypne.

Bola by rozhodne škoda prísť o ďalší (na operačnom systéme viac-menej nezávislý) účinný stupeň ochrany našich dát kvôli takej maličkosti. Samozrejme môžeme počítač vypnúť explicitne, avšak tým si zatvoríme všetky programy s rozrobenou prácou, čo je riešenie dosť nepraktické. Našťastie úplne postačí, keď si namiesto východiskového nastavenia režimu spánku nastavíme v správe napájania režim hibernácie.

Otvoríme Možnosti napájania, nájdeme ho v Nastavenia -> Systém -> Napájanie a režim spánku, v ponuke zídeme trochu dole a zvolíme Ďalšie nastavenia napájania. V novom okne klikneme na Nastavenie tlačidla napájania, a potom vyberieme Zmeniť nastavenia, ktoré nie sú momentálne k dispozícii. V časti Nastavenie vypnutia nižšie zaškrtnite políčko Prepnúť do režimu hibernácie, potom potvrdíme kliknutím na Uložiť zmeny:

Kybernetická bezpečnosť

Nastavenie správania pri zatvorení veka notebooku je samozrejme voliteľné. Ak ho zatvárame po každej vyučovacej hodine, potom tam samozrejme ponecháme „sleep“ chránený iba heslom či odtlačkom prsta do Windows.

S vyššie uvedeným nastavením sa nám nestane, že by sme nemali počítač zabezpečený pri jeho prenášaní mimo bezpečného prostredia, napríklad ho nechali bez dozoru v aute. Bude platiť jednoduché pravidlo:

Zavretý notebook = zabezpečený notebook.

Aj keby nám do bytu vpadla napríklad zásahová jednotka, jediné, čo musíme pre ochranu svojich dát urobiť, je jednoducho zaklapnúť notebook.

V každom prípade však ešte skontrolujeme, či počítač prejde sám do režimu hibernácie po nejakej dobe. Štandardne je to až za 180 minút. Toto trochu ukryté nastavenie nájdeme opäť v ponuke Možnosti napájania, kde klikneme na Nastavenie režimu spánku a Zmeniť pokročilé nastavenia napájania:

Kybernetická bezpečnosť

Nakoniec si ešte určite skontrolujeme, či sa počítač podľa našich nastavení tiež skutočne správa! Ak sa prebúdza z uspania, musí po nás chcieť heslo (či biometrické overenie) do Windows. Pokiaľ sa prebúdza z hibernácie, či štartuje po vypnutí, musí po nás chcieť heslo k samotnému disku, minimálne každé ráno, keď s ním chceme začať pracovať.

Na záver pridáme jednu poznámku pre užívateľov Linuxu:

Pokiaľ máte na rovnakom disku nainštalovaný ešte iný operačný systém a používate zavádzač GRUB pre voľbu operačného systému, ktorý sa má následne spustiť, potom voľba Hibernácie vo Windows nebude fungovať a systém sa spustí tak, ako by bol predtým úplne vypnutý (tzv. studený štart, bez zachovania pôvodne bežiacich programov). V takom prípade musíte buď na spustenie použiť priamo zavádzač VeraCryptu, alebo si spúšťaný operačný systém navoliť priamo z BIOSu, resp. UEFI.

V budúcej lekcii, Šifrujeme jednotlivé súbory , si povieme niečo o tom, kedy, ako a prečo šifrovať ešte konkrétne vybrané súbory.


 

Predchádzajúci článok
Nastavujeme operačný systém - Súkromie, antivírusy a ďalšie SW
Všetky články v sekcii
Kybernetická bezpečnosť
Preskočiť článok
(neodporúčame)
Šifrujeme jednotlivé súbory
Článok pre vás napísal David Janko
Avatar
Užívateľské hodnotenie:
1 hlasov
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity