29.01.2018 | 17:50

avatar

Adam Haertle

Spowiedź bezpieczeństwa Adama – aktualizacja, czyli co się zmieniło przez 2 lata

Dwa lata temu opisałem dokładnie, z jakich mechanizmów bezpieczeństwa korzystam. Artykuł wzbudził wiele emocji i ciekawych dyskusji, zatem czas na jego aktualizację. A przez dwa lata zmieniło się niemało. Czy na lepsze? Oceńcie sami.

Jeśli nie macie pamięci idealnej, to polecam zacząć od lektury wpisów sprzed prawie dokładnie dwóch lat: Spowiedź bezpieczeństwa, czyli jak swoje dane zabezpiecza redaktor z3s oraz Spowiedzi bezpieczeństwa ciąg dalszy – odpowiedzi na Wasze pytania. Dwa lata temu zaszokowałem część Czytelników opisując w maksymalnie otwarty sposób jakich mechanizmów bezpieczeństwa używam. O ile wiem do tej pory w żaden sposób mi to nie zaszkodziło, dlatego czas na aktualizację wpisu (żebyście mogli właściwie swoje 0daye dopasować). Dla wygody Czytelników będę kursywą powtarzał elementy poprzednich wpisów, które nie uległy zmianie. Nowe i zmodyfikowane elementy zaznaczyłem na zielono. Na pewno warto powtórzyć wstęp, który jest nadal aktualny.

Nikt przy zdrowych zmysłach nie stworzy kompleksowego przewodnika po świecie bezpieczeństwa który będzie pasował każdemu użytkownikowi. Każdy inaczej postrzega potencjalne zagrożenia i inaczej może oceniać wartość posiadanych informacji. Taka ocena ryzyka jest zawsze subiektywna i subiektywny jest wybór narzędzi, które mają te ryzyka ograniczyć lub wyeliminować.

Opisane poniżej praktyki, urządzenia, programy i konfiguracje spełniają jedynie moje subiektywne potrzeby bezpieczeństwa. Sam, na podstawie kilkunastoletniego doświadczenia i praktyki, dokonałem takich, a nie innych wyborów i sam będę ponosił ich ewentualne konsekwencje. Poziom tych zabezpieczeń odpowiada mojemu postrzeganiu zagrożeń i chęci – lub jej braku – akceptacji konkretnych ryzyk oraz konieczności znajdowania równowagi między bezpieczeństwem a użytecznością. Ta konfiguracja wcale nie musi odpowiadać Waszym potrzebom – ale mam nadzieję, że zachęci Was do ciekawej dyskusji.

Wpis zainspirowany został serwisem The Security Setup a szczególnie wpisem H D Moore’a.

Moje urządzenia

Co prawda posiadane urządzenia nie determinują poziomu ich bezpieczeństwa, ale czasem narzucają pewne ograniczenia lub wymogi, dlatego zacznę od krótkiego opisu używanego przeze mnie sprzętu komputerowo-telekomunikacyjnego.

Tu nastąpiło kilka istotnych zmian. Co prawda nadal korzystam głównie z  laptopa Dell XPS 13 w średniej konfiguracji (I5, 8GB RAM, SSD), ale praktycznie porzuciłem już desktopa, a XPSa powoli zastępuje mi kupiony niedawno MacBook Pro. Na razie przestawianie się na OS X jest dla mnie dość trudnym procesem, ale myślę, że w ciągu pół roku uda mi się przenieść całkiem na MacBooka. Dlaczego MacBook? Bo przekonał mnie iPhone i postanowiłem spróbować. Ale po kolei. Jeszcze dwa lata temu używałem Nexusa 5X i BlackBerry 9320. Ponad rok temu zrezygnowałem z drugiej karty SIM (zbyt uciążliwe) i porzuciłem BlackBerry. Nexus wystarczał dopóki znienacka nie umarł (znany problem śmierci termicznej w tym modelu). Uznałem to za świetną okazję by dać szansę iPhone’owi. Po miesiącu z modelem 7 uznałem, że to była dobra decyzja. Wszystkie przydatne aplikacje z Androida bez problemu znalazły swoje odpowiedniki, a brak konieczności restartowania telefonu co kilka dni okazał się bardzo miłym dodatkiem. iPhone działa wyśmienicie – przez pół roku nie miałem z nim żadnego problemu. MacBook jest kolejnym etapem migracji do bezpieczniejszego ekosystemu – jednak przenosiny z Windowsa na OS X to dużo bardziej radykalny krok niż z Androida na iOS i proces ten trwa dużo dłużej.

Praktycznie nie korzystam z tabletów (choć w domu jest) czy telefonów stacjonarnych (w domu nie ma). Telewizora ani lodówki nie podłączałem do internetu (z telewizorem próbowałem, ale ma kilka lat, brak aktualizacji oprogramowania a ostatnia wersja zrywa połączenie po paru sekundach).

Sieciowy serwer plików DNS-320L D-Linka został zastąpiony QNAPem TS-453A – o nim więcej piszę w paragrafie poświęconym kopiom bezpieczeństwa.

Wspomniany Dell – najbardziej będzie szkoda naklejek

Dostęp do internetu

Tu mamy trochę zmian, ponieważ pracuję już głównie w jeden lokalizacji – w domu. Spędzam tam praktycznie 80% swojego czasu, resztę w podróży. W domu korzystam z Neostrady (całe 10Mb/s i bez szans na więcej) z domyślnym routerem, do którego podłączony jest router TP LINK WR740N z dd-wrt. Korzystam także z urządzeń PLC by przekazać sieć na drugi koniec lokalu i tam rozsyłam takim samym TP LINK WR740N. Do sieci podłączam się poprzez WiFi zabezpieczone WPA2 (niesłownikowe hasło o długości kilkunastu znaków).

Będąc w ruchu korzystam z internetu w telefonie dzięki T-Mobile lub udostępniam sieć laptopowi. Jeśli mam w okolicy stabilne WiFi, to czasem używam, tunelując ruch przez VPNa.

Telefonia mobilna

Rezygnacja najpierw z BlackBerry a potem z Nexusa sporo w tym punkcie zmieniła. iPhone w zupełności spełnia wszystkie moje potrzeby związane z telefonią mobilną. Sam już nie wiem ile lat męczyłem się z Androidem, od wersji bodajże 2.2 na Galaxy S, potem nieustające walki z Cyanogenem aż do umarłego Nexusa z 7.0. A mogłem ten czas poświęcić na naukę chińskiego.

Mój iPhone jest na bieżąco aktualizowany, zabezpieczony odciskiem palca i sześciocyfrowym kodem PIN. Kiedyś odblokowywałem telefon opaską Xiaomi Mi Band (jeszcze za czasów Nexusa), ale opaskę zgubiłem i z tego rozwiązania zrezygnowałem. Nie korzystam z żadnych aplikacji „podnoszących bezpieczeństwo”. Lokalizator Apple działa przyzwoicie, wirusów na iPhone’a też się nie obawiam (są tylko płatne, prawda?). Z utęsknieniem czekam jeszcze na Apple Pay w Polsce.

Bezpieczeństwo Windows

Na laptopie systemem podstawowym jest Windows 8.1. Mam włączone automatyczne pobieranie wszystkich aktualizacji systemowych z opcją ręcznej instalacji. Włączyłem też opcję automatycznej aktualizacji we wszystkich aplikacjach które oferują taką możliwość. Przestałem używać Personal Software Inspector firmy Secunia – aplikacje aktualizuję sam albo one aktualizują się same (np. Chrome, Avast itp).

Używam Avasta w trybie ochrony systemu plików i ruchu WWW, nie dotyka poczty ani innych protokołów – nie widzę takiej potrzeby. Jako dodatkowe zabezpieczenie przed potencjalnymi atakami nadal stosuję Malwarebytes Anti-Exploit. Prawdopodobnie wkrótce zmienię AV na ESETa – widzę w jakim tempie ESET tworzy sygnatury na ataki spotykane w Polsce i jest to bardzo silny argument za zmianą. Poniżej przykład ciekawego tweeta od Avasta, opublikowanego tydzień po naszym artykule.

Nie używam osobnego firewalla, za to nadal korzystam z programu GlassWire Network Security, rejestrującego statystyki ruchu internetowego, które przeglądam raz w tygodniu. Program ten także informuje o nowych wersjach aplikacji używających internetu oraz o aplikacjach próbujących połączyć się z siecią a także np. zmianach serwerów DNS lub ustawień serwerów proxy w systemie operacyjnym.

Na Windowsie odpaliłem także narzędzie Hardentools, które wyłącza wiele niepotrzebnych na co dzień funkcji. Zostawiłem sobie co prawda możliwość odpalenia wiersza poleceń, ale rodzicom możecie to śmiało wyłączyć.

Bezpieczeństwo przeglądarek

Moją podstawową przeglądarką jest Google Chrome, okazjonalnie uruchamiam Firefoksa jeśli coś w Chromie nie działa. Mam włączoną opcję „kliknij aby uruchomić” dla wszystkich wtyczek takich jak Java czy Flash. Używam dodatków uBlock Origin oraz Quick Javascript Switcher. Domyślnie JavaScript jest na każdej stronie wyłączony. Blokuję wszystkie reklamy oprócz wyjątków dla kilku stron.

Moje hasła

Hasła przechowuję w KeePassie. Hasła do mniej istotnych stron zapisuję w przeglądarce – Chrome lub Safari. Dotyczy to tych haseł, które blokują dostęp do danych, których nie wytworzyłem sam – czyli np. kont na forach itp. Korzystam z KeePassa w wersji Windows oraz MiniKeePass na smartfonie (ktoś zna klienta KeePassa na OS X z autotype?). Stosuję tylko hasło zabezpieczające, bez pliku klucza. Plik z hasłami synchronizuję na wszystkich urządzeniach (2 komputery i telefon) przez jedną chmurę na bieżąco (Dropbox) oraz drugą jako kopię bezpieczeństwa (Jotta). O kopiach bezpieczeństwa i chmurach przeczytacie w jednym z kolejnych paragrafów.

Co do zasady stosuję 3 rodzaje haseł – pierwszy gatunek to trywialne (np. kluska997), drugi gatunek to trudne ale do zapamiętania (np. Makaron@Gotowany#Trzy$Minuty%678) oraz trzeci gatunek to bardzo trudne, nie do zapamiętania, generowane losowo (np. 1KvuSPm&i21F”EsW^R4H).

Haseł pierwszego gatunku (najczęściej jest to jedno i to samo lub jego drobne wariacje) używam we wszystkich serwisach, w których nie trzymam niczego istotnego a z jakiegoś powodu zostałem zmuszony do założenia konta – i prawdopodobnie nie będę do niego wracał. Hasła drugiego gatunku bronią dostępu do usług, z których korzystam często, są dla mnie ważne i czasem muszę je podawać z pamięci (np. KeePass, powtórne logowanie do usługi by zmienić jej konfigurację, logowanie z innego urządzenia niż zwykle, logowanie gdzie nie mogę użyć automatycznie menedżera haseł itp.). Haseł trzeciego gatunku używam wszędzie, gdzie mogę logować się za pomocą menedżera haseł i robię to w miarę regularnie np. banki (mój bank umożliwia korzystanie z hasła niemaskowalnego) czy strony odwiedzane codziennie.

Oczywiście hasła pierwszej i drugiej kategorii również przechowuje w menedżerze, lecz dla tych pierwszych nie widzę sensu generowania ich losowo bo to strata czasu, a dla tych drugich nie zawsze mam ochotę sięgać do menedżera (co np. na smartfonie bywa uciążliwe, szczególnie, jeśli trzeba potem hasło przepisać do komputera).

Szyfrowanie danych na dysku

Nie stosuję szyfrowania całego dysku w Windowsie – nie odczuwam takiej potrzeby. Poufne lub prywatne dane przechowuję korzystając z szyfrowanych wolumenów TrueCrypta oraz PGP. Używam dwóch programów ze względów historycznych, jakoś nigdy nie zebrałem się by zmigrować do jednego. Gdybym miał to robić to pewnie wybrałbym TrueCrypta. Nadal nie widzę powodu by przestać ufać szyfrowaniu TrueCrypta. Cały dysk szyfruję w telefonie i w MacBooku. Gdy będę przeinstalowywał Windowsa na XPSie to także zaszyfruję cały dysk.

Nie używam także dysków z szyfrowaniem sprzętowym ani szyfrowanych napędów przenośnych. Jeśli mam na dysku przenośnym zapisać poufne dane, to szyfruję je w postaci pliku TrueCrypta albo PGP. Okresowo formatuję dyski przenośne i staram się maksymalnie ograniczać liczbę używanych nośników (moją ostatnią miłością jest SanDisk Ultra Fit).

Szyfrowanie danych w komunikacji

Pocztę elektroniczną szyfruję tylko gdy jest to faktycznie konieczne – może 1-2% wysyłanych wiadomości. Korzystam z GNU Privacy Assistant. Na co dzień czatuję za pomocą wielu narzędzi, ponieważ moi rozmówcy są pod tym kątem bardzo sfragmentowani (IRC, Hangouts, Skype, Messenger, Signal, WhatsApp, Threema (cześć Maciek)).

Jedną z dużych zmian jest to, że coraz częściej korzystam z VPNa. Oprócz włączania go w przypadku używania WiFi, często mam po prostu włączonego bez szczególnego powodu. Używam Freedome od F-Secure, ale kończy mi się abonament i jego następcą będzie chyba Nord VPN. Nie używam już wtyczki HTTPS Everywhere – większość ważnych stron sama wymusza HTTPS. Korzystam również z sieci Tor i przeglądarki Tor Browser – ale głównie do odwiedzania ukrytych usług, sporadycznie jedynie do anonimowego odwiedzania stron w zwykłej sieci. Pilnuję, by Tor Browser zawsze był aktualny.

Poczta elektroniczna

Od dawien dawna korzystam z Gmaila. Mam tam kilka kont na różne okazje. Dwa konta podstawowe – prywatne (z pseudonimem) oraz bardziej eleganckie, z nazwiskiem. Do tego kilka kont do których nie jestem w ogóle przywiązany, które podaję losowo gdy trzeba się gdzieś zarejestrować a poczta na koszmaila nie dociera. Na koncie Gmail trzymam w zasadzie większość swojego cyfrowego życia, dlatego raz na kwartał wykonuję kopię bezpieczeństwa całej jego zawartości – tak na wszelki wypadek.

Ważna zmiana – dostęp do poczty (i kilku innych usług) zabezpieczam za pomocą klucza sprzętowego YubiKey. Używam dwóch kluczy na wypadek zagubienia jednego. Mam też dobrze schowane kody awaryjne.

Konta w serwisach społecznościowych

Tutaj bez zmian. Nie unikam korzystania z serwisów społecznościowych. Mam konto na Facebooku, Twitterze, LinkedInie, G+ czy Naszej Klasie i podaję na nich swoje prawdziwe dane. Od czasu do czasu sprawdzam ich ustawienia prywatności (np. próbując zajrzeć do konta nie będąc zalogowanym) i powiązane aplikacje. To samo robię na wszelki wypadek z kontami moich bliskich – za ich zgodą.

Hosting

Tutaj kilka zmian. Oprócz z3s (o którym za chwilę) posiadam kilka innych stron i zarządzam kilkoma innymi dla znajomych. Dla większości posiadanych domen włączyłem opcje ukrywania danych ich posiadacza. Strony w większości oparte na WordPressie trzymałem w dwóch polskich hostowniach, ale w końcu z pomocą fachowców przeniosłem wszystko na DigitalOcean. Mam większe zaufanie, że nagle nie zniknie.

Jakiś czas temu miała miejsce migracja hostingu z3s. Z zaprzyjaźnionej serwerowni powędrowała do OVH (serwer dedykowany HOST-32L). Serwer działa pod kontrolą CentOS i jest to jedyna witryna obsługiwana na tej maszynie. Do serwera można się połączyć po HTTPS i SSH. Przez SSH można się zalogować tylko na konto zwykłego użytkownika, wymuszone jest logowanie za pomocą klucza. Sam serwer znajduje się za CloudFlare (co pomaga także w dużym stopniu ignorować próby ataków DDoS). Kopie bezpieczeństwa wszystkich istotnych danych serwera wykonywane są w cyklach dobowych na inny serwer.

Poczta elektroniczna z3s była obsługiwana przez Microsoft, ale nie wytrzymałem i przeniosłem do Google. Interfejs Microsoftu był w porównaniu z Google okropny, ciągle coś nie działało.

Bankowość

Jedna drobna zmiana. Mam konta w kilku bankach, ale w zasadzie w ponad 90% korzystam tylko z mBanku. Zrezygnowałem z kodów SMS na rzecz potwierdzania transakcji w aplikacji mobilnej.  Strona internetowa banku to chyba jedyna, gdzie przy każdej wizycie sprawdzam, czy kłódka jest i czy jest w odpowiednim kolorze. Do banku nigdy nie loguję się z cudzych komputerów. Używam mobilnej aplikacji mBanku z limitem transakcji (poza zdefniowanymi) w standardowej wysokości 200 PLN.

Na rachunku bieżącym, do którego podpięta jest karta płatnicza, trzymam środki pozwalające mi na swobodne przeżycie całego miesiąca. Raz na miesiąc nadwyżkę przenoszę na inny rachunek, do którego nie mam karty.

Staram się przynajmniej raz na tydzień sprawdzić wyciąg mojej karty kredytowej. Używam jej rzadko, ale ze względu na długą datę ważności pewnie wylądowała już w kilkudziesięciu systemach. Jak do tej pory najwyraźniej nie trafiła w ręce przestępców.

Przed skorzystaniem z bankomatu lub innej maszyny czytającej karty oceniam, czy nie ma na nich dziwnych narośli skanujących karty lub odczytujących naciśnięte klawisze. Najczęściej korzystam ze znanych mi dobrze urządzeń, więc zadanie jest proste. Gorzej w trakcie wycieczek – wtedy bywa, że poszarpię trochę wystające elementy. Zasłaniam też dłonią palce w momencie wpisywania kodu PIN. Jeśli mogę, wypłacam BLIKiem – nie tylko nie pokazuję wtedy nikomu karty, ale nie ma reklam!

Korzystam swobodnie z płatności zbliżeniowych. Nie trzymam karty płatniczej z antenką w specjalnym futerale, nie wyłączyłem funkcji zbliżeniowej, nie przecinałem także antenki. Nie spotkałem się z przypadkiem kradzieży danych z takiej karty w świecie rzeczywistym, za to wiele razy słyszałem o skradzionych portfelach i też nie przywiązałem swojego na stalowej żyłce.

Kopie bezpieczeństwa

Kiedyś korzystałem z płyt DVD, potem dysków USB, aż w końcu skonfigurowałem sieciowy serwer plików z dwoma dyskami twardymi w trybie RAID 1. Z D-Linka przeszedłem na QNAPa. Używam go do kopii TimeMachine a dane z Windowsa przenoszę ręcznie raz na jakiś czas.

Po dłuższych poszukiwaniach kupiłem usługę Jotta bez limitu ilości danych za 100 dolarów rocznie. Lądują tam automatycznie kopie danych wszystkich urządzeń mobilnych oraz dedykowanego folderu na dysku twardym. Dodatkowo, na wszelki wypadek, kopię kopii trzymam na dysku USB w odległym miejscu. Przymierzam się jednak do zmiany Jotty na coś innego, bo nie jestem zadowolony z obsługi klienta a aplikacje stają się coraz bardziej skomplikowane.

Bezpieczeństwo w podróży

Tu bez zmian. W podróże staram się zabierać ze sobą minimalną ilość gadżetów i danych, choć zależy to także od lokalizacji. Jeśli zabieram gdzieś komputer to upewniam się, że mam aktualną kopię bezpieczeństwa wszystkich danych. W podróż do krajów takich jak Chiny czy Rosja zapewne zabrałbym ze sobą nowy dysk twardy z czystym systemem i zważył sprzęt przed wyjazdem z dużą dokładnością oraz pomalował śrubki farbą z brokatem – bardziej dla rozrywki niż z obawy, że coś się w nim znajdzie, ale i tak wybrałbym sprzęt, z którego nie będę korzystał po powrocie.

W przypadku podróży w trakcie których spodziewam się, że będę korzystał z kafejek internetowych (np. wyjazdy bez komputera w bardziej egzotyczne miejsca) przed wyjazdem tworzę specjalne, nowe konto pocztowe, na które przekierowuję swoją pocztę przychodzącą. Powiadamiam też najbliższe osoby o nowym adresie. Bywa, że loguję się w miejscu, gdzie nie ma dostępu do sieci komórkowej, zatem musiałbym zabierać ze sobą wydrukowane kody jednorazowe – wolę wariant nowego konta. Po powrocie takie konto po prostu kasuję.

W trakcie podróży małych lub dużych prawie nigdy nie spuszczam z oka lub zasięgu ręki telefonu i komputera. Oczywiście zdarza mi się np. wyjść z sali konferencyjnej w której zostają pozostali uczestnicy spotkania wraz z moim komputerem, jednak zawsze komputer jest zablokowany (nie korzystam z automatycznego blokowania ekranu, robię to ręcznie wstając od klawiatury). Komputera nigdy nie zostawiam w bagażu rejestrowanym, bagażniku samochodu czy przedziale pociągu. Jedyny wyjątek to hotelowy sejf lub miejsca prywatne takie jak domy znajomych lub rodziny u których przebywam.

Inne narzędzia

Tu także bez nowości. Skasowane dane odzyskuję w razie potrzeby za pomocą Recuvy. Dane kasuję Eraserem. Do analizy złośliwego oprogramowania używam wielu narzędzi, w zależności od potrzeb. Najczęściej są to VirtualBox, Wireshark, Fiddler, Process Explorer oraz takie serwisy jak VirusTotal, Malwr, HybridAnalysis.

Po co ja to wypisuję

Komentarz zostawiam również bez zmian, ponieważ jest nadal aktualny. Niektórzy pewnie stwierdzą, że zwariowałem, czekam też z utęsknieniem na głosy typu „Windows 8? rezygnuję z lektury tego portalu!”. Ja natomiast marzę o dniu, w którym decyzje o poziomie zabezpieczeń będą inspirowane wyważoną, przemyślaną analizą ryzyka a nie nagłówkami z żółtego paska stacji telewizyjnych. Każdą Czytelniczkę i Czytelnika zapraszam do przeprowadzenia własnego rachunku sumienia – czy potrafilibyście opisać z podobnym poziomem szczegółowości swoje zasady bezpieczeństwa bez obawy, że narazicie się w ten sposób na utratę ważnych informacji?

Czy są pytania?

Czy są pytania?

Zapraszam także do zadawania pytań – jeśli będzie ich wystarczająco dużo, to powstanie druga część artykułu w której postaram się odpowiedzieć na wszystkie zarzuty i komentarze. A może ktoś z Was chciałby podzielić się swoim zestawem zasad bezpieczeństwa? Są na sali samobójcy? :)

Przydatne linki

Aplikacje używane na komputerze:

Dodatki do przeglądarki Chrome:

Oprogramowanie do haseł:

Szyfrowanie:

Powrót

Komentarze

  • avatar
    2018.01.29 18:47 Rektor MIT

    O rany. Mi by się nie chciało. Za dużo tych programików. Preferuję czapkę z folii aluminiowej i rzucanie za siebie co 20 minut baterii AAA żeby zmylić satelity. Pozdrawiam.

    Odpowiedz
  • avatar
    2018.01.29 18:51 Maciek

    Dlaczego nie szyfrujesz nośników zewnętrznych i wewnętrznych (w Windows)? Jest ryzyko że przez nieuwagę wylądują tam jakieś poufne dane, a co gorsza mogą tam zostać i dać się odzyskać (HDD).
    Skąd niechęć do sprzętowego szyfrowania?
    Uważam że na Windowsie BitLocker jest bardzo wygodny, a eDrive działa z bardzo dużą liczbą SSD na rynku.
    Czy telefon na Androidzie zaszyfrowałeś? Nexus 5x miał to włączone domyślnie.

    Odpowiedz
  • avatar
    2018.01.29 19:05 Rafał

    Nord VPN polecam :) Od 3 lat korzystam i nie mam zastrzeżeń.
    Jak ktoś jest zainteresowany zakupem tam konta to polecam link do rejestracji: https://ref.nordvpn.com/?id=10812796
    Dostaje się 20% kwoty zakupu na konto punktowe, które później można wykorzystać do przedłużenia ważności konta.

    Odpowiedz
  • avatar
    2018.01.29 19:26 Bartosz

    Witaj Adamie,

    cieszę się z nowej wersji Twojego spojrzenia na bezpieczeństwo:) Moim zdaniem jest bardzo rozsądna. Mam tylko pytanie o automatyczne aktualizacje: Personal Software Inspector firmy Secunia. Ostatnio ktoś na wykładzie polecał tą aplikację a Ty z niej zrezygnowałeś. Dlaczego przerzuciłeś się na ręczną aktualizację ?

    Odpowiedz
  • avatar
    2018.01.29 19:45 Tomasz Klim

    Ja bym potrafił. Generalna różnica w moim przypadku, to nie robię na smartfonie niczego, czego mógłbym żałować w przypadku, gdyby został on mi siłą odebrany. Z tego powodu 100% haseł trzymam w KeePassie, na komputerze stacjonarnym, odpowiednio zabezpieczonym również na poziomie fizycznym. I 100% haseł, od kiedy KeePassa używam, jest trudnych i nie do zapamiętania. Co ma tą dodatkową zaletę, że nikomu nie uda się mnie np. zmusić siłą do wydania jakiegoś hasła – bo po prostu tych haseł nie znam.

    A druga różnica warta wymienienia, to staram się nie przywiązywać do żadnej konkretnej firmy, głównie odnośnie poczty. Całą pocztę trzymam na własnym serwerze IMAP, nowe maile dociągam fetchmailem, a klientem jest Thunderbird. Dzięki temu jeśli np. Google czy Home.pl mi zablokuje któreś z kont (a nie raz mieli na to zakusy), to zablokuje tylko/aż adres, natomiast nie odetnie mi dostępu do zawartości skrzynki.

    Odpowiedz
    • avatar
      2018.01.30 11:40 cuthlu

      Wybacz, ale zawsze rozbrajają mnie argumenty typu „100% haseł trzymam w KeePassie, na komputerze stacjonarnym, odpowiednio zabezpieczonym również na poziomie fizycznym”. Czego ma to dowieść? Że nikt nie dostanie się do Twojego KeePassa? Taki dostęp tak naprawdę to tylko kwestia wielkości młotka, który w krytycznej sytuacji lądowałby na Twoim kolanie. A jeśli te dane są, za przeproszeniem, g… warte to można hasła wydrukować na kartce i powiesić w kuchni na lodówce bo i tak pies z kulawą nogą się nimi nie zainteresuje :)

      Odpowiedz
      • avatar
        2018.01.30 22:02 Tomasz Klim

        No i to właśnie miałem na myśli: nawet z przyłożonym do głowy pistoletem nie jestem w stanie podać żadnych haseł, bo albo są w KeePassie, albo (do samego KeePassa) wymagają dostępu do kilku różnych, zapisanych w różny sposób elementów, które są dostępne tylko na miejscu.

        Odpowiedz
        • avatar
          2018.01.31 14:21 hmmm

          Czyli przy odpowiedniej wielkosci mlotka i tak powiesz jak sie dostac do menadzera hasel.

          Odpowiedz
          • avatar
            2018.02.01 10:16 malpiadama

            Historia pokazuje, że wielu zostało zatłuczonych „odpowiednim młotkiem”, by nie sprzedać swojej wiedzy. Inne czasy, oczywiście, ale życie to nie tylko ciepły pokój, kapcie na nogach, mama podająca kanapki i bicie piany na z3s. Obyś(my) nie musiał się nigdy przekonywać jak bardzo życiowe jest powiedzenie o tym kiedy poznaje się prawdziwych przyjaciół.

  • avatar
    2018.01.29 19:55 zakius

    nowoczesne systemy są tak bezpieczne jak świadomy jest ich użytkownik
    a ios i mak są tak niewygodne, a w wypadku maka jeszcze brakuje oprogramowania, że dla złudnego bezpieczeństwa jednak nie warto

    stosowanie avasta jest bardziej niebezpieczne, niż nie stosowanie żadnego AV: fałszywe poczucie bezpieczeństwa + idiotyczne błędy

    Odpowiedz
    • avatar
      2018.01.30 11:56 X

      Ten brak aplikacji to chyba pomyliłeś z Linuksem. To nie 2005 rok i macOS ma bardzo duży zestaw aplikacji (no oprócz gier ofc, ale u i tak jest kilometry dalej niż gnuj linuks)

      Odpowiedz
  • avatar
    2018.01.29 19:56 dobaczenko

    Sprzętowe szyfrowanie jest pełne dziur które trudno załatać. Ale szyfrowanie całostkowe to moim zdaniem powinien być standard, nawet nie tyle z powodu jakichś szpiegów, co zgubienia czy oddania dysku na gwarancję.

    Bardzo podoba mi się też idea kopii zapasowej w innej lokalizacji. Sam po poprzednim artykule zacząłem ją stosować, chociaż to mało wygodne więc ta kopia jest aktualizowana raz kilka miesięcy (a nawet rok).

    Do VPN nie nie dojrzałem, mam ze sobą zawsze modem Play. Poza tym, to mój pomysł bezpieczeństwa jest całkiem podobny.

    Tylko pytanie o kopie mobilnych urządzeń. Rozumiem że takie kopie są nieszyfrowane (chyba że to kopia zrzucona na komputer i potem dopiero do chmury). Czy to nie jest jednak luka (tu odzywa się we mnie idea szyfrowania każdego dysku)? Mówię tu zwłaszcza o treści SMS, które są moim zdaniem dość wrażliwymi danymi.

    Odpowiedz
  • avatar
    2018.01.29 19:57 asdf

    Czy używasz Erasera z przyzwyczajenia z HDD czy masz informacje o jego słuszności na dyskach SSD? Z tego, co próbowałem dowiedzieć się w necie, nie ma słusznego sposobu na trwałe usunięcie danych z SSD. Natomiast w przypadku formatu całego dysku najlepiej go zaszyfrować i zrobić zwykły format. Niech mnie ktoś poprawi, jeśli to bzdury :)

    Odpowiedz
    • avatar
      2018.01.30 08:18 #

      Kilkukrotne nadpisanie losowymi danymi powinno wystarczyć. Kilkukrotne dlatego, że nośnik ma pewien zapas pojemności i trzeba go zmusić do zapisania tego obszaru. Nie polecam ATA Secure Erase (kiedyś na jednym dysku SSD wykonało się to zdecydowanie za szybko). Można to zrobić dopiero na końcu (po nadpisywaniu). Nie polecam również nadpisywania zerami, bo nośnik może mieć jakąś optymalizację polegającą tylko na oznaczeniu komórek pamięci jako nieużywane.

      Odpowiedz
  • avatar
    2018.01.29 20:33 M

    Również zrezygnowałem z PSI. W moim przypadku zaczęło strasznie spowalniać system. Korzystam teraz z KC Sumo. Co prawda automatycznie nie aktualizuje oprogramowania, ale z przetestowanych przez mnie, dostarcza najwięcej informacji o nich.

    Ktoś poleci jakiś dobry firewall dla Windowsa? Obecny z BitDefendera mnie dobija.

    Odpowiedz
    • avatar
      2018.01.30 01:05 Monter

      W miarę dobry jest systemowy z nakładką o nazwie Windows Firewall Control.

      Odpowiedz
  • avatar
    2018.01.29 20:43 QkiZ

    Z jednej strony kładziesz lache na bezpieczeństwo (Windows, iPhone, brak szyfrowania) a z drugiej strony tworzysz jakieś lewe konta na czas wyjazdu, zabawa wydaje mi się zbędna.

    Odpowiedz
  • avatar
    2018.01.29 20:47 BGP

    „z telewizorem próbowałem, ale ma kilka lat, brak aktualizacji oprogramowania a ostatnia wersja zrywa połączenie po paru sekundach”

    Samsung po wifi? :)

    Odpowiedz
  • avatar
    2018.01.29 20:48 Jakub

    Adamie: Dlaczego korzystasz z Windows zamiast z jakiejś dystrybucji GNU/Linux? Nie jestem ekspertem z dziedziny bezpieczeństwa komputerowego, ale programistą PHP oraz pasjonatem informatyki. Z tego co wiem, podatności na dystrybucje GNU/Linux najczęściej łatane są szybciej, a z powodu mniejszej popularności, mniejsza jest również ilość pojawiających zagrożeń. Do tego pełna otwartość oprogramowania. Ja od Windows odszedłem całkowicie w 2006 roku i obecnie niczego mi nie brakuje – nawet pograć czasami można w coś dobrego.

    Odpowiedz
  • avatar
    2018.01.29 21:09 dany

    Zdziwiło mnie kilka rzeczy:
    1. Brak wzmianki o wydzielonej sieci wifi dla gości. U mnie taka jest ma łatwe hasło które mogę głośno podać przy stole każdemu chętnemu a śpię spokojnie że jak na swoich telefonach czy komputerach mają syf to mnie zarażą. Albo jak za chwilę ktoś wykradnie z ich urządzenia listę sieć hasło to się dostanie do mojej sieci.
    2. Brak korzystania z haseł jednorazowych w mBanku na rzecz potwierdzenia dawniej przez SMS a teraz aplikacją czyli każdy kto Ci ukradnie odblokowany telefon dostaje automat do potwierdzania operacji bankowych. Tymczasem by ukraść listę haseł trzeba się włamać i wiedzieć gdzie jej szukać – to „trochę” trudniejsze niż wyrwać komuś telefon na przystanku autobusowym.
    3. Backup danych w sieci. Nie dlatego że to „niebezpieczne” ale po co? Dwa dyski w dwóch lokacjach (na wypadek pożaru) i tyle. W normalnych czasach to wystarcza, a w przypadku najazdu zielonych ludzików na tyle szerokiego że zajmą i mój dom i dwa inne moich przyjaciół brak danych będzie moim najmnijeszym zmartwieniem, a na pewno w takiej sytuacji stracę też dostęp do sieci.
    4. Dziwi mnie przejście z Windy na Maca. Jeśli to miało być przejście na system o wyższym poziomie bezpieczeństwa to powinien być raczej Linuks. Sam wiesz jak często pisałeś o dziurach na Makach i jak często pisali o nich inni, ale rozumiem że wygrała wygoda „ekosystemu”.
    5. Dziwi też że tak długo wytrzymałeś na Androidzie, choć z drugiej strony akurat Nexus aktualizacje otrzymywał na bieżąco.
    6. Dziwi też pozostanie na Win 8 zamiast migracji do Win 10, ale skoro i tak przechodzisz na MAca to może szkoda zachodu.
    7. Bardzo dziwi korzystanie z płatnego antywirusa. Po co? Jeśli jest jakaś kampania to akurat Ty o niej dowiesz się w dniu gdy startuje. Nawet jeśli Eset zareaguje najszybciej (a to potwierdzam że na polskie kampanie reaguje naprawdę szybko) to i tak dzień lub dwa po Tobie. Osobiście mam Eseta (firma funduje) ale nie mogę powiedzieć bym dzięki temu czuł się cokolwiek bezpieczniej niż w czasach gdy go nie miałem i bazowałem tylko na tym wbudowanym w Windowsa.

    Odpowiedz
    • avatar
      2018.01.30 13:09 emef

      Potwierdzenia aplikacja na iphonie wymagaja kazdorazowego uzycia palca – trzeba krasc telefon razem z reka ;)

      Odpowiedz
    • avatar
      2018.01.31 01:40 szok2

      cytat: ” dany #
      Zdziwiło mnie kilka rzeczy:

      2. Brak korzystania z haseł jednorazowych w mBanku na rzecz potwierdzenia dawniej przez SMS a teraz aplikacją czyli każdy kto Ci ukradnie odblokowany telefon dostaje automat do potwierdzania operacji bankowych. Tymczasem by ukraść listę haseł trzeba się włamać i wiedzieć gdzie jej szukać – to „trochę” trudniejsze niż wyrwać komuś telefon na przystanku autobusowym.”

      Jak nie zna PIN-u do aplikacji mbanku to złodziej nic nie zrobi. Poza tym wiele osób ma wirusy na PC i zatwiwrdzali transakcje złodziejskie na podstawionych stronach własnie kodem z listy, a w przypadku sms czy apki wystarczy przeczytać taki SMS czy powiadomienie z aplikacji mobilnej, tylko trzeba umieć czytać…

      Odpowiedz
  • avatar
    2018.01.29 21:21 paranoik

    Chciało się komuś porównywać funkcjonalność 'utwardzaczy’? Chodzi głównie o Hardentools, czy ktoś zna/testował jakąś konkurencję? Ja kojarzę OSArmor i Hard_Configurator…

    Odpowiedz
  • avatar
    2018.01.29 21:47 Alex

    Czy trzymanie haseł w pliku testowym jest bezpieczne, ale nie pod względem kradzieży przez osoby trzecie, a pod katem możliwości ich przeskanowania przez programy antywirusowe, itp

    Odpowiedz
    • avatar
      2018.01.30 09:04 jonasz

      Dorzuć jakies dane losowe to nikt się nie zorientuje. Np. dla takich danych do ukrycia:
      a.pl, user1, pwd1
      b.pl, user2, pwd2
      c.pl, user3, pwd3
      Zrób taki plik:
      a.pl, user1
      pkpk.pl, user7
      http://www.wp.pl, user2
      moda.com.pl, user3
      o2011.uk, user4
      b.pl, user2

      i tak dalej

      hsło do serwisu jest schowane w literach kolejnych serwisów na liście. Kolejne serwisy są dodane tylko po to by tworzyć tło i ukrywać hasła do tych istotnych.

      Jakikolwiek automat jedyne co tu znajdzie to listę serwisów i loginów bez haseł. Jeśli chcesz też „schować” loginy to możesz postąpić analogicznie – obok prawdziwego adresu fejkowy login a prawdziwy tworzony z liter następnych.

      Odpowiedz
  • avatar
    2018.01.29 22:15 aaaa

    TY jesteś amz?

    Odpowiedz
  • avatar
    2018.01.29 23:43 Maciej

    KeePass Touch z tego co pamiętam ma autotype, ma też przyjaźniejszy wygląd, FTP sync i możliwość odblokowania z palca lub ustawionym kodem PIN.

    Odpowiedz
  • avatar
    2018.01.29 23:49 Zzed

    A propos drugiego i trzeciego gatunku hasła, to polecam: https://xkcd.com/936/ bo okazuje się, że drugi gatunek jest trudniejszy do złamania. Przy pewnych warunkach – jak na przykład w artykule – również słownikowo.

    Odpowiedz
  • avatar
    2018.01.30 00:33 Dj

    Adam, chyba nie chcesz zostać chińskim szpiegiem? xD

    Odpowiedz
    • avatar
      2018.01.30 12:13 oburzony

      Ja myślałem, że z tym chińskim to tylko figura retoryczna. Naprawdę autor chciał się uczyć chińskiego??

      > to nie robię na smartfonie niczego, czego mógłbym żałować w
      > przypadku, gdyby został on mi siłą odebrany

      Podoba mi się to podejście kolegi Tomka.

      I też nie rozumiem, jaki jest sens siedzieć na Windowsie. W razie potrzeby można go uruchamiać w maszynie wirtualnej.

      Nie rozumiem też nieużywania FDE na Windowsie.
      W razie zgubienia albo zarekwirowania sprzętu (grozi to KAŻDEMU!), narażona jest prywatność nie tylko Twoja, ale i wszystkich, którzy z Tobą korespondują… Poza tym system operacyjny zapisuje sporo rzeczy na dysk – to nie tylko logi, ale i dane w pliku/partycji wymiany.

      Odpowiedz
      • avatar
        2018.01.30 21:16 Dj

        Adam jest poliglotą, który włada biegle 4 językami. Dlatego wziąłem to o chińskim całkiem poważnie :)

        Odpowiedz
        • avatar
          2018.01.30 22:07 Adam

          Plotki z tym czwartym. Może za kilka lat, tylko nie mogę się zdecydować którym ;)

          Odpowiedz
  • avatar
    2018.01.30 00:50 Robert

    KeepassXC ma autotype i TOTP :-)

    Odpowiedz
  • avatar
    2018.01.30 05:52 Grzegorz

    Czy ereaser radzi sobie już z usuwaniem danych z dysków SSD ? Chyba że o czymś nie wiem ?

    Odpowiedz
    • avatar
      2018.01.30 10:40 dfgg

      Nie potrzebujesz eraserów do czyszczenia dysków – wystarczy użyć komendy SECURE ERASE ;)

      https://www.thomas-krenn.com/pl/wiki/SSD_Secure_Erase

      Co ciekawe – działa też, na talerzowe.

      Odpowiedz
      • avatar
        2018.01.30 16:47 Grzegorz

        A czasami nie trzeba zmienić kluczy np. Samsung…. Tzn. tak robiłem ?

        Odpowiedz
      • avatar
        2018.01.31 09:13 #

        Niektóre dyski SSD tylko udają, że to robią.

        Odpowiedz
        • avatar
          2018.01.31 15:32 Grzegorz

          Jakieś przykłady ?

          Odpowiedz
          • avatar
            2018.02.01 08:21 #

            Jakiś dysk ADATA. ATA Secure Erase robiło się kilka sekund, a „blkdiscard” kilka minut.

          • avatar
            2018.02.06 05:51 Grzegorz

            Może to wystarczyło ? Nie wiem zgaduje. Ale taka operacja na Samsungu nie pozwala odzyskać niczego. Możliwe że producent dysponuje technologią odwrotną ale…..po co? ?

  • avatar
    2018.01.30 10:01 BB

    Kto mie ma wtyczki 'The Great Discarder’ ten męczy się strasznie! :)

    Odpowiedz
  • avatar
    2018.01.30 10:01 tty

    A ja z zupełnie innej beczki:
    czy nie jest tak, że zestaw naklejek na laptopie stanowi wyjątkowy „odcisk palca” i umożliwia jednoznaczną identyfikację sprzętu?
    Może lepiej żeby komputer/telefon nie posiadał zewnętrznych wyróżniających go cech umożliwiających łatwą identyfikację?

    Odpowiedz
  • avatar
    2018.01.30 10:14 Michal

    Kapitalny przykład analizy ryzyka i dopasowania mechanizmów bezpieczeństwa do zagrożeń, które Adama dotyczą.

    Nauczyłem się w pracy rozpoczynać dyskusję na temat bezpieczeństwa każdego systemu od krótkiej analizy – jakie dane chronimy i przed czym? Prywatnie też.
    (Jak moderator chce, to wrzucę pouczające linki i sznurki, albo napiszę szerzej)

    Zdziwieni, że Adam nie podskakuje 3 literkom i innym Fedom? Nie Da Się. Można szybko dostać głową w sufit. Też im nie podskakuję. Jak będą chcieli, dostaną to co będą chcieli. Na szczęście, nikt nie będzie na mnie pieniędzy marnował, nie wiem nic co oni nie wiedzą.

    Troli ustawiających systemy i telefony w szeregu, czy to z braku wiedzy, zamknięcia na fakty czy dla zabawy ignorujmy. Grunt, to nie karmić trola! Albo przeczytać (ze zrozumieniem!!) https://www.apple.com/business/docs/iOS_Security_Guide.pdf oraz to co robi MS w temacie bezpieczeństwa od lat.

    Odpowiedz
    • avatar
      2018.01.30 14:36 mirek

      > Zdziwieni, że Adam nie podskakuje 3 literkom i innym Fedom?

      Czy skrywanie *prywatnej* korespondencji przed *masową* inwigilacją to „podskakiwanie”, czy może jednak obrona godności swojej i innych?

      > Nie Da Się. Można szybko dostać głową w sufit.
      > Też im nie podskakuję.
      > Jak będą chcieli, dostaną to co będą chcieli.

      Zwykle tak, ale nie zawsze. Jest parę kombinacji różnych technologii (na tej stronie nie muszę chyba wymieniać jakich) które bardzo mocno utrudniają im pracę i powodują, że figurant jest bardzo trudny, a w pewnych okolicznościach niemożliwy do śledzenia/podsłuchiwania.

      > Na szczęście, nikt nie będzie na mnie pieniędzy
      > marnował, nie wiem nic co oni nie wiedzą.

      Nie chodzi o wiedzę, bo rzeczywiście większość ludzi nie posiada strategicznie ważnych i tajnych informacji.

      W stosowanej przez służby inwigilacji *masowej* w przeciwieństwie do tej zwykłej, „targetowanej”, chodzi o zbieranie kwitów na wszelki wypadek, na każdego, bo może za 30 lat się przydać do szantażu albo jako przewaga w negocjacjach itp. I wbrew temu co piszesz, całkiem spore pieniądze są – niestety – przeznaczane na inwigilowanie także i Ciebie, mimo że nic interesującego nie wiesz.

      Odpowiedz
      • avatar
        2018.01.30 19:36 Michal

        1. Jeśli będę podskakiwał fedom, to (w zależności od kraju i sytuacji) mają szeroki wachlarz represji, który mogą zastosować. Technologia niewiele pomoże, jeśli kogoś do domu nie wpuszczą i wyleci z pracy (USA i wizy pracownicze), nie pojedzie na negocjacje biznesowe (USA i wizy biznesowe), zamkną bo utrudniasz śledztwo (Polska?) czy zamkną tak po prostu (Iran, Izrael, Saudi Arabia, Rosja, Chiny). Każdy jest tylko człowiekiem a opór kończy się na dobrym śledczym. Zwykle wystarczy groźba skomplikowania życia ;)

        2. Jeśli służby będą chciały kogoś szantażować, to zbiorą odpowiedni materiał po kilku tygodniach. Każdemu można coś znaleźć z dziś na jutro, zgrabnie opisane, booom. Zwykle są znacznie prostsze metody, żeby przekonać kogoś do współpracy. Szantaż to trochę bruteforce.

        Tak jak pisałem, służby to nie mój threat model. I tak mam specjalne traktowanie na prawie każdym lotnisku :(

        Odpowiedz
        • avatar
          2018.01.31 20:13 mirek

          @Michal

          Zgoda że służby mają cały wachlarz represji. Ale żeby je zastosować, to muszą wiedzieć, wobec kogo – a przecież jest parę sposobów, by się ukryć w sieci dość skutecznie.

          Czy należy się w ogóle nie ukrywać i podawać służbom swoje maile, zdjęcia i dokumenty na tacy tylko dlatego, że „można podpaść”? Jak się mieszka w Chinach czy Arabi Saudyjskiej to tak ale w Polsce? Podaj przykład sytuacji gdzie zastosowano w Polsce areszt wydobywczy albo ( co sam zasugerowałeś ) skazano kogoś za utrudnianie postępowania bo odmówił podania haseł do zaszyfrowanych plików.

          Służby to też nie jest threat model dla mnie, więc niespecjalnie się boję, że będą się do mnie włamywać,jestem szarym człowiekiem, nie mam żadnych tajemnic, na 99,9999999% nie będą tego robić. Ale przejmuję się zbieraniem wszystkiego na wszystkich na wszelki wypadek, o czym już pisałem powyżej. Dlatego np. szyfruję dyski i używam narzędzi takich jak Signal. Dlaczego nie rozróżniasz tych dwóch kwestii: włamywania się czy namierzania określonego celu od masowej inwigilacji? Uważam że to bardzo ważne rozróżnienie.

          Zgadzam się że „każdy jest tylko człowiekiem”, ale według mnie nie masz racji gdy piszesz że „opór kończym się na dobrym śledczym”. Ja sam na pewno bym się złamał na torturach, ale są ludzie, którzy potrafią bardzo dużo wytrzymać, historia dostarcza sporo przykładów

          Odpowiedz
          • avatar
            2018.02.04 22:39 Tomasz Klim

            Dlatego istnieją również techniki np. zapamiętywania haseł opartych na rozkładzie dłoni czy innych „naturalnych” czynnikach, dzięki którym np. po połamaniu palców fizycznie nie będziesz w stanie już odtworzyć hasła, bo nie będziesz go w ogóle znać w formie jasnej.

            Czyli najwyżej Cię zabiją, ale hasła nie wydobędą (co ma oczywiście sens wtedy, gdy chronisz dane na tyle gorące, że lepiej aby Cię od razu zabili, niż żeby zostały ujawnione).

  • avatar
    2018.01.30 10:46 Luke

    co do Eseta – hxxps:(ciach ciach)imgart(kropulusia)net/gallery/ScreenShot_yzdu0.png

    Ściąga plik scr. Powstrzymałem kolegę przed kliknięciem „uruchom” :)

    https://www.virustotal.com/#/file/f3b2fb922a7ff7d24022642e9a06e590d84bed341fad5b0ee076cabf5db9dfa4/detection

    Do dziś Eset nie wykrywa…

    Odpowiedz
    • avatar
      2018.01.30 21:01 Adam

      Zaraz będzie wykrywał ;) Ale zaręczam Ci, że dla każdego AV znajdziesz plik którego nie wykrywa. Chodzi o statystykę, nie pojedyncze przypadki.

      Odpowiedz
  • avatar
    2018.01.30 12:14 Rafał

    W sumie to mi się podobają wnioski z tekstu: nie ma co za bardzo przejmować się bezpieczeństwem. Trochę nie pasuje do tego paranoja w Chinach i w Rosji, ale może autor ma jakieś szczególne powody.

    Odpowiedz
    • avatar
      2018.01.30 23:12 Michal

      Kompletnie nie o tym był artykuł :(
      Zrozum swój scenariusz zagrożenia, dopasuj do niego środki bezpieczeństwa, znajdź środek między security a usability.

      Odpowiedz
  • avatar
    2018.01.30 12:17 Rafal

    Jako managera hasel polecić moge darmowy enpass albo płatny 1password. Jeżeli jesteś podzielony pomiędzy Mac i Windows i iOS to sprawdzi się rewelacyjnie.
    Do kopi danych polecam Amazon Glacier

    Odpowiedz
    • avatar
      2018.01.30 21:10 rob006

      Ktoś tu nie testuje swoich kopii zapasowych. :D

      Odpowiedz
  • avatar
    2018.01.30 16:10 pl911911

    Witam, dziękuje za artykuł – świetnie opisany i w przeciwieństwie do innych rozumiem pewne wygodne założenia z racji tego że nie każdy paranoik jest ścigany przez służby i oszczędza czas by nie komplikować sobie życia szyfrowaniem całego OS i wpisywać 60 znakowe hasło.

    „Windows 8? rezygnuję z lektury tego portalu!” – tak tak też pamiętam ten komentarz :)

    Czy zablokowanie ekranu komputera z zaszyfrowaniem (filevault/luks/bitlocker) dysku MacOS/linuxa/Win10 uniemożliwia dostanie się do systemu/dysku/zawartości komputera wtym kradzieży klucza szyfrującego cały dysk oraz kradzieży klucza/hasha hasła administratora lub innego usera ?
    W przypadku gdy służby zabezpieczą włączony komputer z zablokowanym ekranem ?

    Przydałby się artykuł jak zabezpieczyć i skonfigurować Macbooka
    z kontem administratora oraz kontem z obniżonymi prawami do codziennego używania komputera.

    Czy w IOS masz wyłaczony iCloud ? Dla bepieczeństwa lepiej wyłączyć ale iCloud oferuje bardzo przydatne funkcje ułatwiające życie

    Odpowiedz
  • avatar
    2018.01.30 19:57 Emilian

    Dlaczego nie przejdziesz na Windę 10? W tym systemie dodali sporo łatek bezpieczeństwa. Nawet sam Gynvael Coldwind powiedział, że Windows 10 jest kilka kroków przed GNU/Linuxem, jeśli chodzi o bezpieczeństwo. Wiele kroków przed poprzednimi Windowsami, i wiele kroków w tył w porównaniu do OpenBSD :)

    Odpowiedz
    • avatar
      2018.01.30 21:57 Fachura

      dodaj jeszcze informacje ze sam Gynvael Coldwind nie wie co to jest TOR :)

      Odpowiedz
      • avatar
        2018.01.31 21:58 Marianna

        Jak rozumieć ten komentarz? Nieprawdę pisze, że Win10 jest znacznie lepiej zabezpieczony niż poprzednie wersje? Bo w to że G.C. nie wie o Torze, nie wierzę…

        Odpowiedz
    • avatar
      2018.02.04 14:11 jasc

      A przy okazji – Windows 10 to też milowy krok w masowej inwigilacji użytkowników na niespotykaną dotąd skalę! :)

      Odpowiedz
  • avatar
    2018.01.31 00:28 Andrzej

    Gmail w wersji podstawowej czy dla firm?

    Odpowiedz
  • avatar
    2018.01.31 17:46 Dariusz

    Używasz jakiegoś oprogramowania antywirusowego, dodatkowej ochrony na MacBooku Pro?

    Odpowiedz
  • avatar
    2018.01.31 19:54 Dnl

    Skoro już dysponujesz Qnapem polecam postawić na nim VM z Sophos GH. Masz fajny firewall NG z pełną funkcjonalnością (oprócz sandbox) za darmo do użytku domowego i własny VPN. Dołożyłem Ram do 16GB i nie ma problemu z wydajnością ani transferem a cały ruch w domu na wszystkich urządzeniach włącznie z mobilnymi jest chroniony.

    Odpowiedz
  • avatar
    2018.02.01 15:26 Łukasz

    Jaką konfigurację sprzętową MacBooka posiadasz ? :)

    Odpowiedz
  • avatar
    2018.02.01 19:50 R

    Dwa grosze:

    1. Co sądzicie o szyfrowaniu dysków LUKSem? Są jakieś znane podatności? Używam od lat. Nie zauważam spadku wydajności nawet na słabych sprzętach. Danych (chyba) nigdy nie straciłem pomimo wielu przypadków wyczerpania baterii w laptopie.

    2. Trochę paranoicznie: trzymając zarówno podstawowy komputer jak i jego backup w domu narażamy się na utratę wszystkiego w przypadku katastrofy (pożar, powódź, trzęsienie ziemi, atak zombie itp). Może opcją jest jakaś chmura lub okresowy rsync na dysk zewnętrzny zaszyfrowany LUKSem trzymany zazwyczaj w innej lokalizacji (samochód lub piwnica u teściowej)

    R.

    Odpowiedz
  • avatar
    2018.02.02 00:52 VPNuser

    Człowiek w chmurze, czy to znak obecnych czasów? Zgoda na pełną inwigilację łącznie ze skanowaniem palucha.
    1. Aplikacja mbąka zbiera mnóstwo danych o nas. Ja się na to nie godzę.
    2. Dane w „chmurze” nie są nasze, tak jak pieniądze w banku nie są nasze (było to już w Grecji).
    3. Moje zabezpieczenia, to jak najmniej chmury.
    – dyski szyfrowane (LUKS), podmontowywane ręcznie po restarcie serwera,
    – zabezpieczenie szafy z serwerami, otwarcie, podnoszenie = błyskawiczne odmontowanie zaszyfrowanych dysków,
    – wirtualizacja, czyli vmware + iSCSI + NAS i na tym Linux do pracy (dostęp przez VNC),
    – dostęp zdalny przez SSH z kluczem albo z hasłem TOTP, dzięki temu notek lub tablet jest tylko terminalem (działało nawet w Pakistanie), co więcej można to na szybko skonfigurować z pamięci z obcego komputera (vncviewer + Putty w Winzgrozie),
    – zawsze VPN skonfigurowany na routerach brzegowych (pfSense),
    – NordVPN działa nieźle ale część serwerów jest na czarnych listach (USA, ale nie Ukraina).
    – backup przez rsync co 12 godzin na drugi serwer.
    – konta na społecznościówkach z fałszywymi danymi + SMS na prepaida (na Ukrainie nie trzeba rejestrować).
    – poczta oficjalna we własnej domenie odbierana przez POP3, dzięki temu jest składowana lokalnie a nie w „chmurze”, do tego kilka kont Google (prepaid – Ukraina, jw.),
    – do sprzedaży samochodu lub podobnych zastosowań czasowych nowy nr telefonu, który wywalam po zakończeniu używania (koszt 5 zł lub kilkadziesiąt hrywien),
    – do mbąka osobny numer tel. i osobny telefon (stara Nokia 3210, SIM z PINem) włączany tylko na czas zatwierdzenia transakcji,
    – całkowita rezygnacja z kart płatniczych i wycofanie pieniędzy z banku (tak, rozważam zamknięcie konta).
    Pozdrawiam z pogodnej Odessy… albo innego tam Vancouver :-)

    Odpowiedz
    • avatar
      2018.02.04 14:39 jasc

      Dość interesujące – czyżby Kolega prowadził zawodowo jakąś giełdę, kopalnię, albo inną samoobsługową pralnię? :D

      Odpowiedz
  • avatar
    2018.02.03 18:31 Patryk

    Co myślisz o używaniu urządzeń Chińskich marek takich jak Hawei, Xiaomi? Czy należy obawiać się, że są one w stanie szpiegować i w ekstremalnej sytuacji wykraść środki z konta bankowego?

    Odpowiedz
    • avatar
      2018.02.04 14:34 jasc

      Oczywiście, że telefony niektórych chińskich (para)marek, o których mało kto słyszał, a ich największą zaletą jest to, że są najtańsze – wysyłają wszystko co popadnie na serwery w Chinach; tak było też (nadal jest?) np, z ich przeglądarką Maxthon Browser.
      Huawei czy Xiaomi to globalne marki, które mają tyle do stracenia, że nawet na takie podejrzenia nie mogłyby sobie pozwolić.
      Pieniędzy – Chiny mają już tyle, że nie wiedzą co z nimi robić :), ale taka Korea Północna chętnie przygarnie każde EUR, USD, BTC czy PLN :P

      Odpowiedz
  • avatar
    2018.02.03 18:50 Patryk

    Co myślisz o używaniu chińskich urządzeń takich jak Hawei, Xiaomi? Czy Twoim zdaniem wykradają one dane dla Chińskiego rządu?

    Odpowiedz
  • avatar
    2018.02.04 15:02 jasc

    W kwestii odzyskiwania danych: Recurva itp. narzędzia są wygodne do podręcznych zastosowań, ale…
    Miałem kiedyś problem z partycją (windowsową), na której było całe moje archiwum, wówczas jeszcze bez żadnego mirrora, i po którymś kolejnym podmontowaniu zaczęła być widoczna jako RAW. Podejrzewam że Winda postanowiła sprawdzić, czy nie da się na niej zrobić ReadyBoost – i kompletnie rozwaliła system plików.
    Recurva i reszta podobnych poległa – zadziałał dopiero TestDisc (http://www.cgsecurity.org/wiki/TestDisk_Download).

    Odpowiedz
  • avatar
    2018.02.05 02:35 Za duzo pytam

    Hmmm, 6-cyfrowy PIN w iPhonie… Czyżby jakaś data? Podpowiedz czy jesteś pasjonatem historii czy raczej typem rodzinnym? ;)

    Odpowiedz
    • avatar
      2018.02.05 09:32 adamh

      Zgadujcie!

      Odpowiedz
  • avatar
    2018.03.04 19:50 Maks

    A czemu nie Veracrypt?

    Odpowiedz
    • avatar
      2018.03.04 20:04 Adam

      Bo nie widzę potrzeby zmiany.

      Odpowiedz
  • avatar
    2018.11.20 01:01 CyberPancake

    Polecam LittleSnitch + Microsnitch na MBP, coś jak Glasswire. Trochę kosztuję ale warto, tym bardziej, że Black Friday tuż tuż… :)

    Odpowiedz
  • avatar
    2020.01.30 15:07 FanCykluSpowiedziZ3S

    Mamy 2020, czyli minęły kolejna 2 lata, Adamie można prosić o aktualizację?! :)

    – FanCykluSpowiedziZ3S

    Odpowiedz
  • avatar
    2021.05.23 08:50 alex

    Dziękuję, tak po prostu

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Spowiedź bezpieczeństwa Adama – aktualizacja, czyli co się zmieniło przez 2 lata

Komentarze