Spowiedź bezpieczeństwa Adama – aktualizacja, czyli co się zmieniło przez 2 lata

dodał 29 stycznia 2018 o 17:50 w kategorii Info  z tagami:
Spowiedź bezpieczeństwa Adama – aktualizacja, czyli co się zmieniło przez 2 lata

Dwa lata temu opisałem dokładnie, z jakich mechanizmów bezpieczeństwa korzystam. Artykuł wzbudził wiele emocji i ciekawych dyskusji, zatem czas na jego aktualizację. A przez dwa lata zmieniło się niemało. Czy na lepsze? Oceńcie sami.

Jeśli nie macie pamięci idealnej, to polecam zacząć od lektury wpisów sprzed prawie dokładnie dwóch lat: Spowiedź bezpieczeństwa, czyli jak swoje dane zabezpiecza redaktor z3s oraz Spowiedzi bezpieczeństwa ciąg dalszy – odpowiedzi na Wasze pytania. Dwa lata temu zaszokowałem część Czytelników opisując w maksymalnie otwarty sposób jakich mechanizmów bezpieczeństwa używam. O ile wiem do tej pory w żaden sposób mi to nie zaszkodziło, dlatego czas na aktualizację wpisu (żebyście mogli właściwie swoje 0daye dopasować). Dla wygody Czytelników będę kursywą powtarzał elementy poprzednich wpisów, które nie uległy zmianie. Nowe i zmodyfikowane elementy zaznaczyłem na zielono. Na pewno warto powtórzyć wstęp, który jest nadal aktualny.

Nikt przy zdrowych zmysłach nie stworzy kompleksowego przewodnika po świecie bezpieczeństwa który będzie pasował każdemu użytkownikowi. Każdy inaczej postrzega potencjalne zagrożenia i inaczej może oceniać wartość posiadanych informacji. Taka ocena ryzyka jest zawsze subiektywna i subiektywny jest wybór narzędzi, które mają te ryzyka ograniczyć lub wyeliminować.

Opisane poniżej praktyki, urządzenia, programy i konfiguracje spełniają jedynie moje subiektywne potrzeby bezpieczeństwa. Sam, na podstawie kilkunastoletniego doświadczenia i praktyki, dokonałem takich, a nie innych wyborów i sam będę ponosił ich ewentualne konsekwencje. Poziom tych zabezpieczeń odpowiada mojemu postrzeganiu zagrożeń i chęci – lub jej braku – akceptacji konkretnych ryzyk oraz konieczności znajdowania równowagi między bezpieczeństwem a użytecznością. Ta konfiguracja wcale nie musi odpowiadać Waszym potrzebom – ale mam nadzieję, że zachęci Was do ciekawej dyskusji.

Wpis zainspirowany został serwisem The Security Setup a szczególnie wpisem H D Moore’a.

Moje urządzenia

Co prawda posiadane urządzenia nie determinują poziomu ich bezpieczeństwa, ale czasem narzucają pewne ograniczenia lub wymogi, dlatego zacznę od krótkiego opisu używanego przeze mnie sprzętu komputerowo-telekomunikacyjnego.

Tu nastąpiło kilka istotnych zmian. Co prawda nadal korzystam głównie z  laptopa Dell XPS 13 w średniej konfiguracji (I5, 8GB RAM, SSD), ale praktycznie porzuciłem już desktopa, a XPSa powoli zastępuje mi kupiony niedawno MacBook Pro. Na razie przestawianie się na OS X jest dla mnie dość trudnym procesem, ale myślę, że w ciągu pół roku uda mi się przenieść całkiem na MacBooka. Dlaczego MacBook? Bo przekonał mnie iPhone i postanowiłem spróbować. Ale po kolei. Jeszcze dwa lata temu używałem Nexusa 5X i BlackBerry 9320. Ponad rok temu zrezygnowałem z drugiej karty SIM (zbyt uciążliwe) i porzuciłem BlackBerry. Nexus wystarczał dopóki znienacka nie umarł (znany problem śmierci termicznej w tym modelu). Uznałem to za świetną okazję by dać szansę iPhone’owi. Po miesiącu z modelem 7 uznałem, że to była dobra decyzja. Wszystkie przydatne aplikacje z Androida bez problemu znalazły swoje odpowiedniki, a brak konieczności restartowania telefonu co kilka dni okazał się bardzo miłym dodatkiem. iPhone działa wyśmienicie – przez pół roku nie miałem z nim żadnego problemu. MacBook jest kolejnym etapem migracji do bezpieczniejszego ekosystemu – jednak przenosiny z Windowsa na OS X to dużo bardziej radykalny krok niż z Androida na iOS i proces ten trwa dużo dłużej.

Praktycznie nie korzystam z tabletów (choć w domu jest) czy telefonów stacjonarnych (w domu nie ma). Telewizora ani lodówki nie podłączałem do internetu (z telewizorem próbowałem, ale ma kilka lat, brak aktualizacji oprogramowania a ostatnia wersja zrywa połączenie po paru sekundach).

Sieciowy serwer plików DNS-320L D-Linka został zastąpiony QNAPem TS-453A – o nim więcej piszę w paragrafie poświęconym kopiom bezpieczeństwa.

Wspomniany Dell – najbardziej będzie szkoda naklejek

Dostęp do internetu

Tu mamy trochę zmian, ponieważ pracuję już głównie w jeden lokalizacji – w domu. Spędzam tam praktycznie 80% swojego czasu, resztę w podróży. W domu korzystam z Neostrady (całe 10Mb/s i bez szans na więcej) z domyślnym routerem, do którego podłączony jest router TP LINK WR740N z dd-wrt. Korzystam także z urządzeń PLC by przekazać sieć na drugi koniec lokalu i tam rozsyłam takim samym TP LINK WR740N. Do sieci podłączam się poprzez WiFi zabezpieczone WPA2 (niesłownikowe hasło o długości kilkunastu znaków).

Będąc w ruchu korzystam z internetu w telefonie dzięki T-Mobile lub udostępniam sieć laptopowi. Jeśli mam w okolicy stabilne WiFi, to czasem używam, tunelując ruch przez VPNa.

Telefonia mobilna

Rezygnacja najpierw z BlackBerry a potem z Nexusa sporo w tym punkcie zmieniła. iPhone w zupełności spełnia wszystkie moje potrzeby związane z telefonią mobilną. Sam już nie wiem ile lat męczyłem się z Androidem, od wersji bodajże 2.2 na Galaxy S, potem nieustające walki z Cyanogenem aż do umarłego Nexusa z 7.0. A mogłem ten czas poświęcić na naukę chińskiego.

Mój iPhone jest na bieżąco aktualizowany, zabezpieczony odciskiem palca i sześciocyfrowym kodem PIN. Kiedyś odblokowywałem telefon opaską Xiaomi Mi Band (jeszcze za czasów Nexusa), ale opaskę zgubiłem i z tego rozwiązania zrezygnowałem. Nie korzystam z żadnych aplikacji „podnoszących bezpieczeństwo”. Lokalizator Apple działa przyzwoicie, wirusów na iPhone’a też się nie obawiam (są tylko płatne, prawda?). Z utęsknieniem czekam jeszcze na Apple Pay w Polsce.

Bezpieczeństwo Windows

Na laptopie systemem podstawowym jest Windows 8.1. Mam włączone automatyczne pobieranie wszystkich aktualizacji systemowych z opcją ręcznej instalacji. Włączyłem też opcję automatycznej aktualizacji we wszystkich aplikacjach które oferują taką możliwość. Przestałem używać Personal Software Inspector firmy Secunia – aplikacje aktualizuję sam albo one aktualizują się same (np. Chrome, Avast itp).

Używam Avasta w trybie ochrony systemu plików i ruchu WWW, nie dotyka poczty ani innych protokołów – nie widzę takiej potrzeby. Jako dodatkowe zabezpieczenie przed potencjalnymi atakami nadal stosuję Malwarebytes Anti-Exploit. Prawdopodobnie wkrótce zmienię AV na ESETa – widzę w jakim tempie ESET tworzy sygnatury na ataki spotykane w Polsce i jest to bardzo silny argument za zmianą. Poniżej przykład ciekawego tweeta od Avasta, opublikowanego tydzień po naszym artykule.

Nie używam osobnego firewalla, za to nadal korzystam z programu GlassWire Network Security, rejestrującego statystyki ruchu internetowego, które przeglądam raz w tygodniu. Program ten także informuje o nowych wersjach aplikacji używających internetu oraz o aplikacjach próbujących połączyć się z siecią a także np. zmianach serwerów DNS lub ustawień serwerów proxy w systemie operacyjnym.

Na Windowsie odpaliłem także narzędzie Hardentools, które wyłącza wiele niepotrzebnych na co dzień funkcji. Zostawiłem sobie co prawda możliwość odpalenia wiersza poleceń, ale rodzicom możecie to śmiało wyłączyć.

Bezpieczeństwo przeglądarek

Moją podstawową przeglądarką jest Google Chrome, okazjonalnie uruchamiam Firefoksa jeśli coś w Chromie nie działa. Mam włączoną opcję „kliknij aby uruchomić” dla wszystkich wtyczek takich jak Java czy Flash. Używam dodatków uBlock Origin oraz Quick Javascript Switcher. Domyślnie JavaScript jest na każdej stronie wyłączony. Blokuję wszystkie reklamy oprócz wyjątków dla kilku stron.

Moje hasła

Hasła przechowuję w KeePassie. Hasła do mniej istotnych stron zapisuję w przeglądarce – Chrome lub Safari. Dotyczy to tych haseł, które blokują dostęp do danych, których nie wytworzyłem sam – czyli np. kont na forach itp. Korzystam z KeePassa w wersji Windows oraz MiniKeePass na smartfonie (ktoś zna klienta KeePassa na OS X z autotype?). Stosuję tylko hasło zabezpieczające, bez pliku klucza. Plik z hasłami synchronizuję na wszystkich urządzeniach (2 komputery i telefon) przez jedną chmurę na bieżąco (Dropbox) oraz drugą jako kopię bezpieczeństwa (Jotta). O kopiach bezpieczeństwa i chmurach przeczytacie w jednym z kolejnych paragrafów.

Co do zasady stosuję 3 rodzaje haseł – pierwszy gatunek to trywialne (np. kluska997), drugi gatunek to trudne ale do zapamiętania (np. Makaron@Gotowany#Trzy$Minuty%678) oraz trzeci gatunek to bardzo trudne, nie do zapamiętania, generowane losowo (np. 1KvuSPm&i21F”EsW^R4H).

Haseł pierwszego gatunku (najczęściej jest to jedno i to samo lub jego drobne wariacje) używam we wszystkich serwisach, w których nie trzymam niczego istotnego a z jakiegoś powodu zostałem zmuszony do założenia konta – i prawdopodobnie nie będę do niego wracał. Hasła drugiego gatunku bronią dostępu do usług, z których korzystam często, są dla mnie ważne i czasem muszę je podawać z pamięci (np. KeePass, powtórne logowanie do usługi by zmienić jej konfigurację, logowanie z innego urządzenia niż zwykle, logowanie gdzie nie mogę użyć automatycznie menedżera haseł itp.). Haseł trzeciego gatunku używam wszędzie, gdzie mogę logować się za pomocą menedżera haseł i robię to w miarę regularnie np. banki (mój bank umożliwia korzystanie z hasła niemaskowalnego) czy strony odwiedzane codziennie.

Oczywiście hasła pierwszej i drugiej kategorii również przechowuje w menedżerze, lecz dla tych pierwszych nie widzę sensu generowania ich losowo bo to strata czasu, a dla tych drugich nie zawsze mam ochotę sięgać do menedżera (co np. na smartfonie bywa uciążliwe, szczególnie, jeśli trzeba potem hasło przepisać do komputera).

Szyfrowanie danych na dysku

Nie stosuję szyfrowania całego dysku w Windowsie – nie odczuwam takiej potrzeby. Poufne lub prywatne dane przechowuję korzystając z szyfrowanych wolumenów TrueCrypta oraz PGP. Używam dwóch programów ze względów historycznych, jakoś nigdy nie zebrałem się by zmigrować do jednego. Gdybym miał to robić to pewnie wybrałbym TrueCrypta. Nadal nie widzę powodu by przestać ufać szyfrowaniu TrueCrypta. Cały dysk szyfruję w telefonie i w MacBooku. Gdy będę przeinstalowywał Windowsa na XPSie to także zaszyfruję cały dysk.

Nie używam także dysków z szyfrowaniem sprzętowym ani szyfrowanych napędów przenośnych. Jeśli mam na dysku przenośnym zapisać poufne dane, to szyfruję je w postaci pliku TrueCrypta albo PGP. Okresowo formatuję dyski przenośne i staram się maksymalnie ograniczać liczbę używanych nośników (moją ostatnią miłością jest SanDisk Ultra Fit).

Szyfrowanie danych w komunikacji

Pocztę elektroniczną szyfruję tylko gdy jest to faktycznie konieczne – może 1-2% wysyłanych wiadomości. Korzystam z GNU Privacy Assistant. Na co dzień czatuję za pomocą wielu narzędzi, ponieważ moi rozmówcy są pod tym kątem bardzo sfragmentowani (IRC, Hangouts, Skype, Messenger, Signal, WhatsApp, Threema (cześć Maciek)).

Jedną z dużych zmian jest to, że coraz częściej korzystam z VPNa. Oprócz włączania go w przypadku używania WiFi, często mam po prostu włączonego bez szczególnego powodu. Używam Freedome od F-Secure, ale kończy mi się abonament i jego następcą będzie chyba Nord VPN. Nie używam już wtyczki HTTPS Everywhere – większość ważnych stron sama wymusza HTTPS. Korzystam również z sieci Tor i przeglądarki Tor Browser – ale głównie do odwiedzania ukrytych usług, sporadycznie jedynie do anonimowego odwiedzania stron w zwykłej sieci. Pilnuję, by Tor Browser zawsze był aktualny.

Poczta elektroniczna

Od dawien dawna korzystam z Gmaila. Mam tam kilka kont na różne okazje. Dwa konta podstawowe – prywatne (z pseudonimem) oraz bardziej eleganckie, z nazwiskiem. Do tego kilka kont do których nie jestem w ogóle przywiązany, które podaję losowo gdy trzeba się gdzieś zarejestrować a poczta na koszmaila nie dociera. Na koncie Gmail trzymam w zasadzie większość swojego cyfrowego życia, dlatego raz na kwartał wykonuję kopię bezpieczeństwa całej jego zawartości – tak na wszelki wypadek.

Ważna zmiana – dostęp do poczty (i kilku innych usług) zabezpieczam za pomocą klucza sprzętowego YubiKey. Używam dwóch kluczy na wypadek zagubienia jednego. Mam też dobrze schowane kody awaryjne.

Konta w serwisach społecznościowych

Tutaj bez zmian. Nie unikam korzystania z serwisów społecznościowych. Mam konto na Facebooku, Twitterze, LinkedInie, G+ czy Naszej Klasie i podaję na nich swoje prawdziwe dane. Od czasu do czasu sprawdzam ich ustawienia prywatności (np. próbując zajrzeć do konta nie będąc zalogowanym) i powiązane aplikacje. To samo robię na wszelki wypadek z kontami moich bliskich – za ich zgodą.

Hosting

Tutaj kilka zmian. Oprócz z3s (o którym za chwilę) posiadam kilka innych stron i zarządzam kilkoma innymi dla znajomych. Dla większości posiadanych domen włączyłem opcje ukrywania danych ich posiadacza. Strony w większości oparte na WordPressie trzymałem w dwóch polskich hostowniach, ale w końcu z pomocą fachowców przeniosłem wszystko na DigitalOcean. Mam większe zaufanie, że nagle nie zniknie.

Jakiś czas temu miała miejsce migracja hostingu z3s. Z zaprzyjaźnionej serwerowni powędrowała do OVH (serwer dedykowany HOST-32L). Serwer działa pod kontrolą CentOS i jest to jedyna witryna obsługiwana na tej maszynie. Do serwera można się połączyć po HTTPS i SSH. Przez SSH można się zalogować tylko na konto zwykłego użytkownika, wymuszone jest logowanie za pomocą klucza. Sam serwer znajduje się za CloudFlare (co pomaga także w dużym stopniu ignorować próby ataków DDoS). Kopie bezpieczeństwa wszystkich istotnych danych serwera wykonywane są w cyklach dobowych na inny serwer.

Poczta elektroniczna z3s była obsługiwana przez Microsoft, ale nie wytrzymałem i przeniosłem do Google. Interfejs Microsoftu był w porównaniu z Google okropny, ciągle coś nie działało.

Bankowość

Jedna drobna zmiana. Mam konta w kilku bankach, ale w zasadzie w ponad 90% korzystam tylko z mBanku. Zrezygnowałem z kodów SMS na rzecz potwierdzania transakcji w aplikacji mobilnej.  Strona internetowa banku to chyba jedyna, gdzie przy każdej wizycie sprawdzam, czy kłódka jest i czy jest w odpowiednim kolorze. Do banku nigdy nie loguję się z cudzych komputerów. Używam mobilnej aplikacji mBanku z limitem transakcji (poza zdefniowanymi) w standardowej wysokości 200 PLN.

Na rachunku bieżącym, do którego podpięta jest karta płatnicza, trzymam środki pozwalające mi na swobodne przeżycie całego miesiąca. Raz na miesiąc nadwyżkę przenoszę na inny rachunek, do którego nie mam karty.

Staram się przynajmniej raz na tydzień sprawdzić wyciąg mojej karty kredytowej. Używam jej rzadko, ale ze względu na długą datę ważności pewnie wylądowała już w kilkudziesięciu systemach. Jak do tej pory najwyraźniej nie trafiła w ręce przestępców.

Przed skorzystaniem z bankomatu lub innej maszyny czytającej karty oceniam, czy nie ma na nich dziwnych narośli skanujących karty lub odczytujących naciśnięte klawisze. Najczęściej korzystam ze znanych mi dobrze urządzeń, więc zadanie jest proste. Gorzej w trakcie wycieczek – wtedy bywa, że poszarpię trochę wystające elementy. Zasłaniam też dłonią palce w momencie wpisywania kodu PIN. Jeśli mogę, wypłacam BLIKiem – nie tylko nie pokazuję wtedy nikomu karty, ale nie ma reklam!

Korzystam swobodnie z płatności zbliżeniowych. Nie trzymam karty płatniczej z antenką w specjalnym futerale, nie wyłączyłem funkcji zbliżeniowej, nie przecinałem także antenki. Nie spotkałem się z przypadkiem kradzieży danych z takiej karty w świecie rzeczywistym, za to wiele razy słyszałem o skradzionych portfelach i też nie przywiązałem swojego na stalowej żyłce.

Kopie bezpieczeństwa

Kiedyś korzystałem z płyt DVD, potem dysków USB, aż w końcu skonfigurowałem sieciowy serwer plików z dwoma dyskami twardymi w trybie RAID 1. Z D-Linka przeszedłem na QNAPa. Używam go do kopii TimeMachine a dane z Windowsa przenoszę ręcznie raz na jakiś czas.

Po dłuższych poszukiwaniach kupiłem usługę Jotta bez limitu ilości danych za 100 dolarów rocznie. Lądują tam automatycznie kopie danych wszystkich urządzeń mobilnych oraz dedykowanego folderu na dysku twardym. Dodatkowo, na wszelki wypadek, kopię kopii trzymam na dysku USB w odległym miejscu. Przymierzam się jednak do zmiany Jotty na coś innego, bo nie jestem zadowolony z obsługi klienta a aplikacje stają się coraz bardziej skomplikowane.

Bezpieczeństwo w podróży

Tu bez zmian. W podróże staram się zabierać ze sobą minimalną ilość gadżetów i danych, choć zależy to także od lokalizacji. Jeśli zabieram gdzieś komputer to upewniam się, że mam aktualną kopię bezpieczeństwa wszystkich danych. W podróż do krajów takich jak Chiny czy Rosja zapewne zabrałbym ze sobą nowy dysk twardy z czystym systemem i zważył sprzęt przed wyjazdem z dużą dokładnością oraz pomalował śrubki farbą z brokatem – bardziej dla rozrywki niż z obawy, że coś się w nim znajdzie, ale i tak wybrałbym sprzęt, z którego nie będę korzystał po powrocie.

W przypadku podróży w trakcie których spodziewam się, że będę korzystał z kafejek internetowych (np. wyjazdy bez komputera w bardziej egzotyczne miejsca) przed wyjazdem tworzę specjalne, nowe konto pocztowe, na które przekierowuję swoją pocztę przychodzącą. Powiadamiam też najbliższe osoby o nowym adresie. Bywa, że loguję się w miejscu, gdzie nie ma dostępu do sieci komórkowej, zatem musiałbym zabierać ze sobą wydrukowane kody jednorazowe – wolę wariant nowego konta. Po powrocie takie konto po prostu kasuję.

W trakcie podróży małych lub dużych prawie nigdy nie spuszczam z oka lub zasięgu ręki telefonu i komputera. Oczywiście zdarza mi się np. wyjść z sali konferencyjnej w której zostają pozostali uczestnicy spotkania wraz z moim komputerem, jednak zawsze komputer jest zablokowany (nie korzystam z automatycznego blokowania ekranu, robię to ręcznie wstając od klawiatury). Komputera nigdy nie zostawiam w bagażu rejestrowanym, bagażniku samochodu czy przedziale pociągu. Jedyny wyjątek to hotelowy sejf lub miejsca prywatne takie jak domy znajomych lub rodziny u których przebywam.

Inne narzędzia

Tu także bez nowości. Skasowane dane odzyskuję w razie potrzeby za pomocą Recuvy. Dane kasuję Eraserem. Do analizy złośliwego oprogramowania używam wielu narzędzi, w zależności od potrzeb. Najczęściej są to VirtualBox, Wireshark, Fiddler, Process Explorer oraz takie serwisy jak VirusTotal, Malwr, HybridAnalysis.

Po co ja to wypisuję

Komentarz zostawiam również bez zmian, ponieważ jest nadal aktualny. Niektórzy pewnie stwierdzą, że zwariowałem, czekam też z utęsknieniem na głosy typu „Windows 8? rezygnuję z lektury tego portalu!”. Ja natomiast marzę o dniu, w którym decyzje o poziomie zabezpieczeń będą inspirowane wyważoną, przemyślaną analizą ryzyka a nie nagłówkami z żółtego paska stacji telewizyjnych. Każdą Czytelniczkę i Czytelnika zapraszam do przeprowadzenia własnego rachunku sumienia – czy potrafilibyście opisać z podobnym poziomem szczegółowości swoje zasady bezpieczeństwa bez obawy, że narazicie się w ten sposób na utratę ważnych informacji?

Czy są pytania?

Czy są pytania?

Zapraszam także do zadawania pytań – jeśli będzie ich wystarczająco dużo, to powstanie druga część artykułu w której postaram się odpowiedzieć na wszystkie zarzuty i komentarze. A może ktoś z Was chciałby podzielić się swoim zestawem zasad bezpieczeństwa? Są na sali samobójcy? :)

Przydatne linki

Aplikacje używane na komputerze:

Dodatki do przeglądarki Chrome:

Oprogramowanie do haseł:

Szyfrowanie:

Podobne wpisy