Nabízím desatero základních doporučení pro počítačovou bezpečnost pro politiky, aktivisty a všechny, co nechtějí, aby jim někdo cracknul emailové účty a zveřejňoval pracovní a soukromé emaily, nebo naboural twitterový či facebookový účet a podobně.
Docela zásadní rozdíl je mezi situací, kdy máte jen jedno mizerné heslo ke všem službám, ale nikdo o vás neví, protože neděláte žádné kontroverzní věci a tedy vlastně nemáte nepřátele, kteří by cíleně po vás šli a snažili se nabourat do vašich online účtů a jakkoli vám ublížit. Pak si můžete možná opravdu vystačit celý život s heslem typu „martin123“ používaným od emailu přes facebook až po registrace ve všech eshopech, ukládat si hesla nešifrovaně v prohlížeči či si je psát do texťáku na plochu a do mobilu a na post-it štítky nalepené na notebooku, monitoru či v diáři, a je jistá šance, že se vám nikdy nic nestane – i když to lze považovat v dnešním době pomalu za zázrak.
Pokud jste ale premiérem, aktivistou podporující důstojné zacházení s uprchlíky, nebo předsedou muslimské obce, tak jste v dnešní době na seznamech těch, kteří jsou ochotní proti vám aktivně jít, ukrást vaši soukromou korespondenci, online účty a maximálně vás zdiskreditovat, ohrozit vaše aktivity a rovněž vás zastrašit. Jak se bránit? Dvě základní možnosti.
První způsob tu znal skoro každý za bolševika – „drž hubu a krok“. Na to už je teď asi pozdě, evidentně tu hubu nedržíte tak, jak si to představují někteří „slušní občané bránící vlast“. Zbývá tedy řešení se urychleně dovzdělat v základech počítačové bezpečnosti a dodržovat alespoň toto desatero bezpečnostních opatření:
- Ultra-citlivé věci prostě po (nešifrovaném) telefonu, emailu, facebooku apod. neřešte. Předpokládejte, že se do nich (v závislosti na řadě faktorů) buď snadněji nebo složitěji může dostat někdo se zlým úmyslem. Pokud byste si po emailu netroufli řešit dealování drog nebo nájemnou vraždu, nepište do něho ani citlivé věci, které lze snadno zneužít v neprospěch vás nebo druhé strany, se kterou si píšete.
- Odvirujte si počítač(e), notebooky od všech virů, spywaru, rootkitů apod., ideálně začněte načisto s novou instalací operačního systému a pokračujte bezpečnostními aktualizacemi operačního systému i všech programů (zejm. internetového prohlížeče, kancelářského balíku, Java, Flash playeru) a zvažte, jestli si umíte udržet v budoucnu zcela čisté Windows, a nebo si na toho někoho najmete, nebo zvolíte raději OS X, Linux, Chrome OS či Android a nebo iOS. Nemá moc smysl měnit si hesla a používat „bezpečného“ správce hesel, pokud máte v počítači keylogger, který zaznamenává každou stisknutou klávesu a tu posílá útočníkovi. Určitě si nastavte heslo uživatele, ideálně si vytvořte uživatelské účty dva – jeden administrátorský, jehož heslo použijete jen při instalaci či aktualizaci programů a systému, a běžný neadministrátorský, na kterém děláte veškerou ostatní práci.
- Zašifrujte si celý disk a všechny disky celého počítače, notebooku, tabletu i chytrého telefonu (Ano, iOS na iPhonu i iPadu, stejně jako Android umí zašifrovat celý telefon snad s výjimkou SD karet, nutností je samozřejmě při spuštění i odemčení zadávat PIN či heslo a ne pouhé přejetí po displeji). Totéž pak udělejte i včetně všech záložních jednotek, které s sebou kdykoli nosíte, pomocí silných hesel, případně v kombinaci s hardwarovými „tokeny“ (smartcard, USB token ap.). Nešifrované můžete nechat jen něco, co není trvale připojené v síti a je fyzicky v bezpečí. Způsobů šifrování u klasických počítačů a notebooků je několik, v závislosti na hardwaru a/nebo používaném operačním systému:
- Některé moderní SSD disky (např. Crucial MX200 aj.) disponují funkcí „self-encrypting drive„ (pomocí protokolů Microsoft eDrive, IEEE-1667 či TCG Opal 2.0, případně jen s využitím standardního ATA password), tedy hardwarového šifrování víceméně nezávislém na použitém operačním systému, aktivovaném ještě před tím, než se nějaký operační systém vůbec začne spouštět. Za určitých podmínek může jít o velmi dobré a bezpečné řešení, záleží ale hodně na použitém hardwaru počítače či notebooku, jestli efektivní bezpečnost neohrožuje např. tím, že po oživení ze stavu spánku (suspend-to-ram) se disk probudí a heslo nechce, tj. počítač jej se suspendem buď vůbec nezamkl, nebo jej potichu při probuzení odemkl, a tedy měl celou dobu v paměti nešifrované heslo pro odemčení.
- Windows 7 (asi jen Enterprise a Ultimate), Windows 8, 8.1 a 10 Pro a Enterprise podporují tzv. „full-disk encryption“, tj. šifrování celého disku, pomocí funkce BitLocker. Lze ji spojit s aktivací čipu TPM. Pomocí „Bitlocker To Go“ lze šifrovat i flash disky a jiná vyměnitelná média. Jakékoli jiné verze Windows BitLocker nepodporují a je nutné použít TrueCrypt verze 7.1a (a je nutné najít právě a jen tuto verzi, nesmí to být 7.2, která už byla záměrně znefunkčněná!), tím lze zašifrovat jak systémový disk, tak i jiné oddíly s daty, a funguje to u všech verzí od Windows Vista až po Windows 10, problémy jsou ale u novějších počítačů, které nepoužívají klasický BIOS, ale UEFI se Secure Bootem, kde šifrování systémového disku nemusí jít použít.
- Mac OS X nabízí funkci snadného zašifrování celého disku pomocí funkce FileVault.
- GNU/Linux nabízí několik způsobů šifrování, doporučuji šifrování celého systémového oddílu pomocí LUKS, oddíl s odkládacím prostorem (swap) je buď potřeba zakázat, a nebo jej zašifrovat taky (např. uvnitř šifrovaného LVM svazku). Je možnost šifrovat jen domovskou složku pomocí ecryptfs, ale to je pomalejší a ne tak bezpečné řešení. Oba způsoby šifrování podporují instalátory Ubuntu a jeho klonů (Linux Mint), podobně to umí i ostatní mainstreamové linuxové distribuce.
- Bez ohledu na použitý způsob šifrování je jediným univerzálně bezpečným způsobem úplné vypnutí počítače, pokud končíte práci. Obvyklé uspání do paměti zaklapnutím notebooku, případně méně používaná hibernace, být bezpečná někdy může, ale nemusí, hodně záleží na konkrétní implementaci u konkrétního výrobce a značky počítače, a pokud nevíte jistě, jak to je zrovna ve vašem případě, radši počítač úplně vypínejte.
- I ponechání vypnutého, zašifrovaného notebooku v hotelovém pokoji, opouštíte-li jej, může být předmětem tzv. „evil maid“ útoku, ale ten snad hrozí jen u opravdu odhodlaného a vysoce sofistikovaného útočníka.
- Nainstalujte si správce hesel, např. KeePass2, kam si můžete při dodržení dalších opatření bezpečně (pod velmi silným heslem, které jinde nepoužíváte ap.) ukládat ostatní hesla. Do této šifrované databáze si ukládejte unikátní (ideálně vygenerovaná) hesla k jednotlivým službám, co na netu používáte a definitivně se odnaučte psát si hesla na papírky, post-it, do diáře, poznámek (nešifrovaného) mobilu, wordovského souboru na Ploše apod. Soubor s databází hesel si pravidelně zálohujte, opatrně se zálohováním do cloudových úložišť, ale při potřebě sdílet databázi s více počítači a/nebo mobilními zařízeními (mobilem, tabletem) se tomu asi nevyhnete.
- Pokud jste nepřeinstalovali celý operační systém, pročistěte všechna rozšíření prohlížeče, nejlépe vytvořte nový čistý profil prohlížeče a zvažte, jestli vůbec mít odvahu nějaké rozšíření ještě kdy používat. Dále doporučuji zcela zablokovat plugin Java a zvážit zablokování i Flash playeru.
- Začněte systematicky měnit vaše jediné oblíbené heslo používané na všechno od emailových schránek přes ebanking až po eshopy. Na všechny eshopy a fóra apod. kam pravidelně nechodíte si hned asi ani nevzpomenete, klíčové je ale především mít na jednotlivé emailové schránky nová složitá hesla, podobně tak i pro facebook, twitter, linkedin, různé informační systémy, samozřejmě ebanking apod. a všechny podobné další důležité služby, co používáte. Buď si hesla uložte v KeePassu či jiném správci hesel, který má databázi lokálně a ne někde na serveru a nechte si rovnou vygenerovat třeba 20znaké kódy, které si už nebudete pamatovat a budete je odteď jen kopírovat ze správce hesel, a nebo pokud trváte na zapamatovatelných heslech, tak zajistěte, ať to nejsou slova, co lze hrubou silou (delší než 12 znaků) či slovníkovým útokem (slova v jakémkoli jazyce a snadné kombinace) prorazit , a nebo snadno odhadnout sociálním inženýrstvím (data narození, jména apod). V rámci možností hesla do důležitých služeb po čase měňte.
V nastavení facebooku, googlu apod. zkontrolujte, jakým aplikacím třetích stran jste kdy v minulosti dali právo přistupovat na váš účet, a cokoli trochu podezřelého okamžitě zablokujte. Pokud to služba nabízí, zapněte tzv. dvoufaktorovou autentizaci, což znamená např. potvrzování přihlášení pomocí ověřovacího kódu v SMS, nebo Google Autentikátorem u Androidu, iOS či Blackberry. Zkontrolujte funkčnost a platnost a bezpečnost všech záložních kontaktních emailů, telefonních čísel ap. u jednotlivých služeb, a promažte triviální kontrolní otázky a odpovědi, které může útočník vyplnit, aby získal kontrolu nad vaším účtem. - Nikdy nenechávejte zapnutý (a vlastně ani vypnutý) počítač bez dozoru, snad s výjimkou, kdy jste sami doma a je vysoce nepravděpodobné, že po dobu vaší krátké nepřítomnosti se do domu nikdo nevloupe. Pokud necháváte přesto počítač zapnutý na veřejnějších místech, při odchodu vždy zamkněte plochu tak, aby vyžadoval heslo uživatele při odemčení, a nastavte automatické zamykání po krátké chvíli neaktivity pokud na to náhodou zapomenete zamknout počítač ručně (a ideálně zajistěte stroj pomocí Kensington zámku). Zamčení obrazovky heslem lze svázat např. i s tím, pokud se ztratí bluetooth spojení s vaším telefonem ap. Po oživení ze stavu spánku (suspend-to-ram) i hibernace (suspend-to-disk), je absolutně nutné, aby počítač nutil zadat heslo uživatele.
- Ideálně počítač, tablet či mobil s nikým dalším nesdílejte. Pokud to jinak nejde, vytvořte partnerovi/partnerce druhý, oddělený uživatelský účet v operačním systému, bez administrátorských práv. Dětem kupte jiný počítač či tablet, dnes jsou tak levné, že šetřit a riskovat kompromitaci citlivých dat se vůbec nevyplatí. Úplně za hubičku jsou repasované business-grade počítače a notebooky z velkých firem. Velký pozor na použití tabletu či notebooku na nějaké oslavě/akci, kde se nechá zapnuté a odemčené zařízení komukoli k dispozici jako jukebox např. s puštěným Spotify. Opět je lepší na to použít úplně jiné zařízení, kde žádná citlivá data nejsou, a pokud to jinak nejde, vytvořte předtím úplně jiný uživatelský účet hosta, který rozhodně nemá přístup k žádným vašim dokumentům, emailům a heslům. Na veřejnějších akcích přidejte i Kensington řetěz.
- Dávejte velký pozor, pokud počítač připojujete do veřejných wifi sítí. Je skoro jedno, jestli je wifi síť nešifrovaná, nebo se (sdíleným) heslem (pro všechny hosty kavárny). Odposlech je poměrně triviální, navíc napadený může být i router poskytovatele. Pokud se už připojujete přes veřejnou wifi síť, nezapínejte sdílení souborů a složek, žádná hesla neposílejte přes nešifrované spojení (http:// v adrese a nikoli https://, emailový klient se nesmí připojovat na nešifrované POP3/IMAP/SMTP ap.), a neberte na lehkou váhu varování o neplatných SSL certifikátech u webů, které normálně hlásí platné certifikáty – může opravdu jít o pokus dešifrovat takovou komunikaci podvrhnutým certifikátem, na což novější prohlížeče oprávněně a důrazně upozorňují. Bezpečnějším než veřejné wifi je vlastní mobilní hotspot přes bluetooth či (šifrovanou) wifi, a u veřejných wifi stojí za zvážení pořízení šifrovaného VPN tunelu od důvěryhodného poskytovatele nebo zprovoznění tohoto VPN na vlastním (virtuálním) serveru. Za jistých okolností může být řešením místo VPNky použití TORu přes Tor browser. Nepoužívejte tzv. „anonymní“, free proxy servery.
- V tuto chvíli byste už měli mít zabezpečení počítače, notebooku, tabletu a mobilu řádově lepší, než 99 % lidí všude kolem vás. Sice ještě nejste zcela imunní (to nebude nikdy), ale „za začátek celkem dobrý“. Klíčový problém přesto zůstává – jsou stejně zabezpečení i všichni na „druhém konci“, s nimiž komunikujete a řešíte jakékoli citlivé a potenciálně kompromitující věci? Bohužel asi vůbec ne. Takže jim pomozte si všechno zabezpečit tak jako jste si to udělali vy sami, patrně s pomocí. Do té doby hodně opatrně, co jim napíšete. V tomto desateru už nebyl moc prostor na téma šifrování emailové komunikace, ale ta je další důležitou věcí, takže aspoň na závěr telegraficky: Pohodlná a bezpečná asymetrická kryptografie pomocí emailu dnes existuje, a jmenuje se např. ProtonMail. Pošle-li jeden uživatel ProtonMailu zprávu jinému uživateli ProtonMailu, nezná obsah zprávy ani poskytovatel ProtonMailu, jedná se o end-to-end šifrování. Pokud je jedna strana na Gmailu či Seznamu, už to samozřejmě tak hezky nefunguje, ale pořád se dá využít aspoň symetrického šifrování pomocí sdíleného hesla a funkce auto-destrukce zprávy po jejím prvním přečtení. Obecně je technologie asymetrického šifrování (a spolu s tím i ověření identity odesilatele pomocí digitálního podpisu) použitelná u jakéhokoli emailu jakéhokoli poskytovatele, jmenuje se to OpenPGP a otevřená svobodná implementace GnuPG je použitelná např. pomocí rozšíření Enigmail v oblíbeném emailovém klientu Mozilla Thunderbird. Pokud si s druhou stranou vyměníte veřejné klíče a máte jistotu, že se jedná o veřejný klíč té správné osoby a ne třeba útočníka, máte oba funkční program pro šifrování pomocí GnuPG, můžete poslat zprávu šifrovanou veřejným klíčem příjemce, a přečte ji jen příjemce vlastnící soukromý klíč a heslo, kterým navíc tento klíč musí odemknout. Skoro dokonalé řešení, jen nikdo nesmí za žádnou cenu odcizit ten soukromý klíč natož pak i včetně hesla, které jej drží.
V případě zájmu se můžeme domluvit na přednášce či workshopu na míru podle potřebné situace, případně poskytnout analýzu situace a rizik a poradit, jak zjištěné problémy vyřešit. Vyhrazuji si právo kohokoli odmítnout bez udání důvodu.
martin-zavináč-martim-tečka-cz (GnuPG 0x1ADD5499)
email na protonmailu na žádost
+420 737740166
Opravy a tipy na doplnění doporučení jsou vítány.
fyi Zuska Lenhartová et al.
Možná ještě stojí za zmínku Signal od https://whispersystems.org/ – opensource, šifrovaný, autoritami v oboru používaný software pro Android, iOS, zanedlouho i na desktopu – umí zprávy/chat i telefonování.
Oproti všem možným Skypům, Viberům, WhatsAppům, o nějakých ICQ a podobně ani nemluvě, je bezpečnost komunikace úplně někde jinde.
Na jednorázové řešení citlivých věcí se taky může hodit https://crypto.cat/