Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Lekce 9 - Šifrujeme data na disku

Předchozí
Další

V předchozí lekci, Kybernetické útoky zaměřené na počítačové systémy, jsme si popsali kybernetické útoky, které se snaží napadnout náš operační systém a získat tak přístup do našeho počítače.

V předchozích dílech našeho tutoriálu na téma kybernetická bezpečnost jsme se dozvěděli, jak ochránit svá data na úrovni operačního systému. K ničemu nám to ale nebude, pokud útočník získá fyzický přístup k našemu počítači a fyzicky okopíruje náš disk nebo nám celé zařízení rovnou ukradne. V takovém případě náš disk prostě připojí jako druhý disk ke svému počítači a přečte si z něho, co bude chtít. Ochrany nastavené v našem operačním systému se vůbec neuplatní, protože v takovém případě operační systém nebude vůbec spuštěn. Proto je nutné ukládat data na disk šifrovaně. Tématu šifrování bude věnována dnešní lekce.

Šifrujeme data na disku

V zásadě máme dvě možnosti, jak chránit svá data pomocí šifrování:

  • Můžeme šifrovat celý disk včetně operačního systému. V takovém případě je nutné zadat heslo už v pre-boot time zavaděči operačního systému, bez něho logicky nelze vůbec spustit systém.
  • Nebo můžeme šifrovat pouze (virtuální) disky s konkrétními daty, případně data v konkrétních adresářích – typicky domácí adresář uživatele nebo složku Dokumenty ve Windows.

Šifrování celého systémového disku je samozřejmě bezpečnější. Automaticky chrání i integritu souborů operačního systému před vnějším zásahem. Také se nám pak nemůže stát, že nějakou citlivou informaci uložíme na nešifrované médium nedopatřením (nebo ji tam uloží sám systém – třeba stránkovací soubor paměti do swapu).

Pokud má náš počítač hardwarovou podporu pro šifrování (což dnes má snad už každý), pak není nijak významně zpomalen ani běh vlastního systému. Na druhou stranu můžeme zapomenout na různá externí „záchranná media“, která se nám po nabootování pokusí opravit původní systém nebo „zachránit“ data. Jediná oprava, která tu pak přichází v úvahu, je kompletní reinstalace systému a obnova dat z externí zálohy.

Jak vytvářet šifrované zálohy se dozvíme v lekci o zálohování.

Software pro šifrování

Pojďme si představit šifrovací software, který můžeme považovat za spolehlivý:

BitLocker

BitLocker je standardně dostupný ve Windows v edici Professional. Umí spolupracovat s čipem TPM a díky tomu nabízí několik uživatelsky příjemných vychytávek. Jedná se například o šifrování pouze vybraných adresářů pouhým zaškrtnutím volby Šifrovat obsah a zabezpečit tak data v průzkumníku pod položkou Vlastnosti -> Obecné -> Upřesnit. Dále třeba umožňuje zadání zkráceného PINu místo hesla při startu systému.

Na druhou stranu se tím pevně svážeme s proprietární technologií Microsoftu, Windows v "Profi" edici a jsme nuceni používat zařízení s podporou chipu TPM. Přesněji řečeno, Bitlocker umí fungovat i bez chipu TPM, ale pak přijdeme o ty usnadňující vychytávky a o vysokou úroveň zabezpečení. Pokud ovšem máme celou firmu primárně postavenou na Microsoft software a neplánujeme na tom nic měnit, pak není důvod toto řešení nepoužít.

VeraCrypt

Lety prověřený freeware a open source VeraCrypt je dostupný pro Windows, Linux i macOS. Šifrované kontejnery mohou být vnitřně naformátovány na typ filesystému podle naší volby a připojíme je (přes VeraCrypt) jako virtuální disk do jakéhokoli operačním systému. Místo hesel lze používat jako klíče i soubory. Řadu věcí v něm lze snadno zautomatizovat (automatický mount při připojení media nebo po přihlášení uživatele apod.). Windows verze pak obsahuje jednoduchého průvodce pro zašifrování celého systémového disku, který vytvoří i odpovídající zavaděč pro start systému. VeraCrypt umožňuje vytvářet i skryté svazky včetně celých ukrytých operačních systémů, ale o tom se stručně zmíníme až v některé z posledních lekcí.

Linux Unified Key Setup

UNIX systémy mají standardně k dispozici LUKS (standardizovaný formát šifrovaného filesystému). Pokud však budeme potřebovat data sdílet mezi více operačními systémy, zvolme raději šifrované kontejnery VeraCryptu. Nicméně pozor: VeraCrypt na Linuxu nám neumožní zpětně zašifrovat systémový disk tak, jako na Windows. Linux Ubuntu tuto volbu nabízí pouze při instalaci, a to ještě jen v případě, že si může celý instalační disk rozdělit podle sebe!

Bezpečné mazání

V této souvislosti přichází často na přetřes otázka tzv. bezpečného mazání (shredding, neboli skartace) důvěrných souborů. Tato problematika není vůbec tak jednoduchá, jak by se na první pohled mohlo zdát. Závisí mimo jiné na tom, zda máme magnetické disky nebo SSD a v jakém režimu SSD disk pracuje. Rozdíl je také v tom, jaký typ filesystému používáme, takže si prostě zapamatujme jednoduchou poučku:

Žádná důvěrná informace se nikdy nesmí na médium uložit v otevřené podobě, tj. nešifrovaně!

Proto by nastavení šifrování disku mělo přijít na řadu hned poté, co jsme si nakonfigurovali operační systém a programy pro základní práci. Tedy ještě předtím, než na něm se skutečně důvěrnými daty začneme pracovat. V opačném případě jediná stoprocentně účinná a přitom univerzální metoda, jak zničit data na jakémkoliv disku, spočívá v jeho vložení do (elektromagnetické) pece :)

Vypnutí, uspání a hibernace

Je skvělé vědět, že i pokud mi někdo sebere celý počítač, tak se stejně k žádným datům v něm nedostane. To dokonce ani v případě, že by někde v nějakém následném zabezpečení na straně Windows byla případná chyba (či útočník znal naše heslo do Windows). To platí, pokud jsme zašifrovali celý disk včetně systémového a počítač vypnuli, aby při následném startu musel o heslo k datům požádat.

Problém je v tom, že dnes už se řada počítačů (a zejména notebooků) ve skutečnosti nevypíná, ale standardně pouze přejde do energeticky úsporného režimu, tzv. uspání. Při probuzení pak po vás žádné heslo k datům na disku chtít nebude - systém drivery z disku znova nenačítá a klíč k disku má uložený v paměti RAM. Pak opět závisí ochrana našich dat pouze na nastavení operačního systému, dokud útočník počítač sám nevypne.

Byla by rozhodně škoda přijít o další (na operačním systému víceméně nezávislý) účinný stupeň ochrany našich dat kvůli takové maličkosti. Samozřejmě můžeme počítač vypnout explicitně, nicméně tím si zavřeme všechny programy s rozdělanou prací, což je řešení dosti nepraktické. Naštěstí úplně postačí, když si místo výchozího nastavení režimu spánku nastavíme ve správě napájení režim hibernace.

Otevřeme Možnosti napájení, najdeme ho v Nastavení -> Systém -> Napájení a režim spánku, v nabídce sjedeme trochu dolů a zvolíme Další nastavení napájení. V novém okně klikneme na Nastavení tlačítka napájení a pak vybereme Změnit nastavení, která nejsou momentálně k dispozici. V části Nastavení vypnutí níže zaškrtněte políčko Přepnout do režimu hibernace, pak potvrdíme kliknutím na Uložit změny:

Kybernetická bezpečnost

Nastavení chování při zavření víka notebooku je samozřejmě volitelné. Jestliže ho zavíráme po každé vyučovací hodině, pak tam samozřejmě ponecháme "sleep" chráněný pouze heslem či otiskem prstu do Windows.

S výše uvedeným nastavením se nám nestane, že bychom neměli počítač zabezpečen při jeho přenášení mimo bezpečné prostředí, například ho nechali bez dozoru v autě. Bude platit jednoduché pravidlo:

Zavřený notebook = zabezpečený notebook.

I kdyby nám do bytu vpadla třeba zásahová jednotka, jediné, co musíme pro ochranu svých dat udělat, je prostě zaklapnout notebook.

V každém případě však ještě zkontrolujeme, zda počítač přejde sám do režimu hibernace po nějaké době. Standardně je to až za 180 minut. Toto poněkud ukryté nastavení najdeme opět v nabídce Možnosti napájení, kde klikneme na Nastavení režimu spánku a Změnit pokročilé nastavení napájení:

Kybernetická bezpečnost

Nakonec si ještě určitě zkontrolujeme, zda se počítač podle našich nastavení také skutečně chová! Pokud se probouzí z uspání, musí po nás chtít heslo (či biometrické ověření) do Windows. Pokud se probouzí z hibernace, či startuje po vypnutí, musí po nás chtít heslo k samotnému disku, minimálně každé ráno, když s ním chceme začít pracovat.

Na závěr přidáme jednu poznámku pro uživatele Linuxu:

Pokud máte na stejném disku nainstalovaný ještě jiný operační systém a používáte zavaděč GRUB pro volbu operačního systému, který se má následně spustit, pak volba Hibernace ve Windows nebude fungovat a systém se spustí tak, jako by byl předtím zcela vypnut (tzv. studený start, bez zachování původně běžících programů). V takovém případě musíte buďto pro spuštění použít přímo zavaděč VeraCryptu, nebo si spouštěný operační systém navolit přímo z BIOSu, resp. UEFI.

V příští lekci, Šifrujeme jednotlivé soubory, si povíme něco o tom, kdy, jak a proč šifrovat ještě konkrétní vybrané soubory.


 

Předchozí článek
Kybernetické útoky zaměřené na počítačové systémy
Všechny články v sekci
Kybernetická bezpečnost
Přeskočit článek
(nedoporučujeme)
Šifrujeme jednotlivé soubory
Článek pro vás napsal David Janko
Avatar
Uživatelské hodnocení:
60 hlasů
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity