Spowiedź bezpieczeństwa, czyli jak swoje dane zabezpiecza redaktor z3s

dodał 8 lutego 2016 o 18:11 w kategorii Info  z tagami:
Spowiedź bezpieczeństwa, czyli jak swoje dane zabezpiecza redaktor z3s

Często pytacie mnie „czy produkt X jest bezpieczny”. Nie ma prostych odpowiedzi na to pytanie – wszystko zależy od tego co macie do ukrycia i przed kim. Mogę Wam za to opowiedzieć jak sam zabezpieczam swoje dane.

Nikt przy zdrowych zmysłach nie stworzy kompleksowego przewodnika po świecie bezpieczeństwa który będzie pasował każdemu użytkownikowi. Każdy inaczej postrzega potencjalne zagrożenia i inaczej może oceniać wartość posiadanych informacji. Taka ocena ryzyka jest zawsze subiektywna i subiektywny jest wybór narzędzi, które mają te ryzyka ograniczyć lub wyeliminować.

Opisane poniżej praktyki, urządzenia, programy i konfiguracje spełniają jedynie moje subiektywne potrzeby bezpieczeństwa. Sam, na podstawie kilkunastoletniego doświadczenia i praktyki, dokonałem takich, a nie innych wyborów i sam będę ponosił ich ewentualne konsekwencje. Poziom tych zabezpieczeń odpowiada mojemu postrzeganiu zagrożeń i chęci – lub jej braku – akceptacji konkretnych ryzyk oraz konieczności znajdowania równowagi między bezpieczeństwem a użytecznością. Ta konfiguracja wcale nie musi odpowiadać Waszym potrzebom – ale mam nadzieję, że zachęci Was do ciekawej dyskusji.

Wpis zainspirowany został serwisem The Security Setup a szczególnie wpisem H D Moore’a.

Moje urządzenia

Co prawda posiadane urządzenia nie determinują poziomu ich bezpieczeństwa, ale czasem narzucają pewne ograniczenia lub wymogi, dlatego zacznę od krótkiego opisu używanego przeze mnie sprzętu komputerowo-telekomunikacyjnego.

Najczęściej korzystam z laptopa Dell XPS 13 w średniej konfiguracji (I5, 8GB RAM, SSD). Drugim roboczym komputerem jest desktop (Intel Core2 Duo, 4GB RAM, HDD). Używam jednocześnie dwóch telefonów/smartfonów – Nexusa 5X oraz BlackBerry 9320. Praktycznie nie korzystam z tabletów (choć w domu jest) czy telefonów stacjonarnych (w domu nie ma). Telewizora ani lodówki nie podłączałem do internetu (z telewizorem próbowałem, ale ma kilka lat, brak aktualizacji oprogramowania a ostatnia wersja zrywa połączenie po paru sekundach). Posiadam także sieciowy serwer plików DNS-320L D-Linka – o nim więcej piszę w paragrafie poświęconym kopiom bezpieczeństwa.

Dostęp do internetu

Tę podstawową ludzką potrzebę realizuję na kilka sposobów, w zależności od lokalizacji. Praktycznie 90% swojego czasu spędzam w jednej z dwóch lokalizacji lub w podróży między nimi. W pierwszej lokalizacji korzystam z internetu UPC z modemem Thomson TWG870U. W drugiej lokalizacji używam internetu LTE od RedBull Mobile dzięki modemowi Huawei E3276 oraz ruterowi Airlive N450R plus dla polepszenia sygnału ruterowi Linksys WRT54GL z wgranym oprogramowaniem dd-wrt. W odwodzie stoi jeszcze ruter TP LINK WR740N również z dd-wrt. W obu lokalizacjach do sieci podłączam się poprzez WiFi zabezpieczone WPA2 (niesłownikowe hasło o długości kilkunastu znaków), tylko desktop podłączony jest kablem.

Będąc w ruchu korzystam z internetu wyłącznie na Nexusie dzięki T-Mobile. Do WiFi na co dzień podłączam się tylko w dwóch zaufanych lokalizacjach wymienionych powyżej. Jeśli muszę w drodze podłączyć do sieci laptopa, udostępniam WiFi z Nexusa.

Telefonia mobilna

Jak wspomniałem korzystam z dwóch telefonów. BlackBerry służy wyłącznie do rozmów telefonicznych oraz SMSów, z kolei Nexus służy wyłącznie do obsługi internetu. Podstawowym powodem takiej konfiguracji jest fakt, że korzystam bardzo intensywnie z Nexusa, zatem bateria potrafi się rozładować w kilka godzin i nie chcę zostać bez telefonu, a BlackBerry wystarczy ładować raz na 3-4 dni. Dodatkowym plusem jest fakt, że wszystkie SMSy z kodami autoryzującymi logowanie lub przelew przychodzą na telefon, który wydaje mi się wystarczająco bezpieczny.

Przez wiele lat używałem telefonów Samsunga – od Galaxy S, przez S2, S3 po S3 Neo. Brak regularnych aktualizacji i nikomu niepotrzebne dodatkowe oprogramowanie w końcu skłoniły mnie do przesiadki na czystego Androida. Po drodze były jeszcze liczne eksperymenty z Cyanogenem, ale ciągle coś nie działało. Na dysku pozostał folder z kilkunastoma gigabajtami różnych wersji oprogramowania, sterowników, narzędzi do flashowania itp. Sam nie wiem po co się tak męczyłem. Od kiedy przesiadłem się na Nexusa nie mam żadnych problemów. Zawsze najnowszy Android z ostatnimi łatami (aktualnie 6.0.1) i wszystko działa.

Nie korzystam z antywirusa dla Androida – testowałem kilka rozwiązań, ale żadne mi nie pasowało zatem staram się po prostu nie instalować przypadkowych aplikacji, poza tym nie spotkałem jeszcze w naszej okolicy masowych ataków na użytkowników Androida. Staram się zwracać uwagę na uprawnienia aplikacji i raczej nie zainstaluję latarki z dostępem do SMSów, ale już Facebookowi pozwalam na wszystko. Telefon zabezpieczony jest kodem PIN oraz czytnikiem linii papilarnych, jest domyślnie cały zaszyfrowany, ekran wyłącza się i blokuje sam po kilkunastu sekundach. Telefon odblokowuje moja opaska Xiaomi Mi Band (jeśli od ostatniego odblokowania PINem i palcem minęło mniej niż x godzin). To mój jedyny „inteligentny” gadżet naręczny, który jest wystarczająco mądry, by rejestrować podstawowe informacje, a jednocześnie wystarczająco głupi, że nawet jak go zgubię lub ktoś go zhakuje albo podsłucha komunikację to najwyżej dowie się że się nie wyspałem.

Z dodatkowych aplikacji podnoszących bezpieczeństwo korzystam tylko z Preya. Komunikację szyfrowaną omawiam w jednym z kolejnych paragrafów. Testowałem także aplikacje umożliwiające wykrycie prób podsłuchów na warstwie GSM jak np. SnoopSnitch, jednak nigdy nie natrafiłem na nic niepokojącego.

Bezpieczeństwo Windows

Na obu komputerach, przenośnym i stacjonarnym, systemem podstawowym jest Windows 8.1. Mam włączone automatyczne pobieranie wszystkich aktualizacji systemowych z opcją ręcznej instalacji. Włączyłem też opcję automatycznej aktualizacji we wszystkich aplikacjach które oferują taką możliwość. Dodatkowo korzystam z Personal Software Inspector firmy Secunia do weryfikacji dostępności aktualizacji, czasem pomaga także Avast.

Używam Avasta na laptopie oraz Aviry na desktopie (na desktopie Avast generował ogromne obciążenie dysku twardego uniemożliwiające pracę). Oba antywirusy chronią tylko system plików i ruch WWW, nie dotykają poczty ani innych protokołów – nie widzę takiej potrzeby. Jako dodatkowe zabezpieczenie przed potencjalnymi atakami długo używałem EMETa Microsoftu a obecnie przerzuciłem się na Malwarebytes Anti-Exploit. Ani jeden ani drugi  jak do tej pory nigdy nie wygenerowały prawdziwego alertu ale nie mam powodu nie wierzyć w ich skuteczność.

Nie używam osobnego firewalla, za to korzystam z programu GlassWire Network Security, rejestrującego statystyki ruchu internetowego, które przeglądam raz w tygodniu. Program ten także informuje o nowych wersjach aplikacji używających internetu oraz o aplikacjach próbujących połączyć się z siecią a także np. zmianach serwerów DNS lub ustawień serwerów proxy w systemie operacyjnym.

Bezpieczeństwo przeglądarek

Moją podstawową przeglądarką jest Google Chrome, okazjonalnie uruchamiam Firefoksa jeśli coś w Chromie nie działa. Mam włączoną opcję „kliknij aby uruchomić” dla wszystkich wtyczek takich jak Java czy Flash. Używam dodatków uBlock Origin oraz Quick Javascript Switcher. Domyślnie JavaScript jest na każdej stronie wyłączony. Blokuję wszystkie reklamy oprócz wyjątków dla kilku stron.

Moje hasła

Hasła przechowuję w KeePassie i tylko tam. Nie zapisuję haseł w przeglądarkach, plikach konfiguracyjnych klientów FTP ani nigdzie indziej. Korzystam z wersji Windows oraz KeePassDroid na smartfonie. Stosuję tylko hasło zabezpieczające, bez pliku klucza. Plik z hasłami synchronizuję na wszystkich urządzeniach (2 komputery i telefon) przez jedną chmurę na bieżąco (Dropbox) oraz drugą jako kopię bezpieczeństwa (Jotta). O kopiach bezpieczeństwa i chmurach przeczytacie w jednym z kolejnych paragrafów.

Co do zasady stosuję 3 rodzaje haseł – pierwszy gatunek to trywialne (np. kluska997), drugi gatunek to trudne ale do zapamiętania (np. Makaron@Gotowany#Trzy$Minuty%678) oraz trzeci gatunek to bardzo trudne, nie do zapamiętania, generowane losowo (np. 1KvuSPm&i21F”EsW^R4H).

Haseł pierwszego gatunku (najczęściej jest to jedno i to samo lub jego drobne wariacje) używam we wszystkich serwisach, w których nie trzymam niczego istotnego a z jakiegoś powodu zostałem zmuszony do założenia konta – i prawdopodobnie nie będę do niego wracał. Hasła drugiego gatunku bronią dostępu do usług, z których korzystam często, są dla mnie ważne i czasem muszę je podawać z pamięci (np. KeePass, powtórne logowanie do usługi by zmienić jej konfigurację, logowanie z innego urządzenia niż zwykle, logowanie gdzie nie mogę użyć automatycznie menedżera haseł itp.). Haseł trzeciego gatunku używam wszędzie, gdzie mogę logować się za pomocą menedżera haseł i robię to w miarę regularnie np. banki (mój bank umożliwia korzystanie z hasła niemaskowalnego) czy strony odwiedzane codziennie.

Oczywiście hasła pierwszej i drugiej kategorii również przechowuje w menedżerze, lecz dla tych pierwszych nie widzę sensu generowania ich losowo bo to strata czasu, a dla tych drugich nie zawsze mam ochotę sięgać do menedżera (co np. na smartfonie bywa uciążliwe, szczególnie, jeśli trzeba potem hasło przepisać do komputera).

Szyfrowanie danych na dysku

Nie stosuję szyfrowania całego dysku w Windowsie – nie odczuwam takiej potrzeby. Poufne lub prywatne dane przechowuję korzystając z szyfrowanych wolumenów TrueCrypta oraz PGP. Używam dwóch programów ze względów historycznych, jakoś nigdy nie zebrałem się by zmigrować do jednego. Gdybym miał to robić to pewnie wybrałbym TrueCrypta.

Nie używam także dysków z szyfrowaniem sprzętowym ani szyfrowanych napędów przenośnych. Jeśli mam na dysku przenośnym zapisać poufne dane, to szyfruję je w postaci pliku TrueCrypta albo PGP. Okresowo formatuję dyski przenośne i staram się maksymalnie ograniczać liczbę używanych nośników (moją ostatnią miłością jest SanDisk Ultra Fit).

Szyfrowanie danych w komunikacji

Pocztę elektroniczną szyfruję sporadycznie – może 5 do 10% wysyłanych wiadomości. Korzystam z GNU Privacy Assistant. Na co dzień czatuję za pomocą wielu narzędzi (IRC, Hangouts, Facebook), choć szyfrowane czaty to szybko rosnący ułamek mojej komunikacji i używam wtedy Pidgina + OTR lub Signala. Rozmawiam też czasami za pomocą Signala – zdarza mi się może raz w tygodniu.

Internet przeglądam najczęściej bez dodatkowego szyfrowania. Korzystam z wtyczki HTTPS Everywhere, która zapewnia, że tam, gdzie to możliwe, używam HTTPS. Z VPNa korzystam najczęściej po to, by uzyskać dostęp do niektórych serwisów filtrujących ruch na podstawie adresów źródłowych (dużo prościej jest dodać do listy adres IP serwera VPN niż kilka zakresów w zależności od tego, skąd akurat się łączę). VPNa mam swojego, prywatnego, na własnym VPSie (OpenVPN). Drugim zastosowaniem VPNa jest korzystanie z sieci WiFi do której nie mam zaufania (poza miejscami, gdzie sam nią zarządzam lub znam osoby zarządzające). Korzystam również z sieci Tor i przeglądarki Tor Browser – ale głównie do odwiedzania ukrytych usług, sporadycznie jedynie do anonimowego odwiedzania stron w zwykłej sieci. Pilnuję, by Tor Browser zawsze był aktualny.

Poczta elektroniczna

Od dawien dawna korzystam z Gmaila. Mam tam kilka kont na różne okazje. Dwa konta podstawowe – prywatne (z pseudonimem) oraz bardziej eleganckie, z nazwiskiem. Do tego kilka kont do których nie jestem w ogóle przywiązany, które podaję losowo gdy trzeba się gdzieś zarejestrować a poczta na koszmaila nie dociera. Konta podstawowe są zabezpieczone kodami SMS oraz hasłami drugiej kategorii (skomplikowane ale do zapamiętania).

Na koncie Gmail trzymam w zasadzie większość swojego cyfrowego życia, dlatego raz na kwartał wykonuję kopię bezpieczeństwa całej jego zawartości – tak na wszelki wypadek.

Konta w serwisach społecznościowych

Nie unikam korzystania z serwisów społecznościowych. Mam konto na Facebooku, Twitterze, LinkedInie, G+ czy Naszej Klasie i podaję na nich swoje prawdziwe dane. Od czasu do czasu sprawdzam ich ustawienia prywatności (np. próbując zajrzeć do konta nie będąc zalogowanym) i powiązane aplikacje. To samo robię na wszelki wypadek z kontami moich bliskich – za ich zgodą.

Hosting

Oprócz z3s (o którym za chwilę) posiadam kilka innych stron i zarządzam kilkoma innymi dla znajomych. Dla większości posiadanych domen włączyłem opcje ukrywania danych ich posiadacza. Strony w większości oparte na WordPressie trzymam w dwóch polskich firmach – jednej dużej (te ważniejsze) i drugiej dużo mniejszej (projekty porzucone lub odwiedzane przez trzy osoby miesięcznie). Taka struktura rozproszenia usług jest bardziej wynikiem niedokończonej migracji niż jakiegoś konkretnego zamysłu, ale mi nie przeszkadza.

ZaufanaTrzeciaStrona stoi w jeszcze innej, zaprzyjaźnionej serwerowni (znam hostmastera osobiście od wielu lat). Korzystam z serwera wirtualnego pod kontrolą CentOS 7 i obok PIWIKa jest to jedyna witryna obsługiwana przez ten serwer. Do serwera można się połączyć po HTTPS i SSH. Przez SSH można się zalogować tylko na konto zwykłego użytkownika, wymuszone jest logowanie za pomocą klucza. Sam serwer znajduje się za CloudFlare (co pomaga także w dużym stopniu ignorować próby ataków DDoS). Kopie bezpieczeństwa wszystkich istotnych danych serwera wykonywane są w cyklach dobowych na serwer w jeszcze innej serwerowni. Poczta elektroniczna obsługiwana jest przez serwer Microsoftu (wybór podyktowany tym, że w momencie zakładania skrzynki była to jedna z niewielu sensownych darmowych ofert poczty we własnej domenie, ale wkrótce planuję migrację poczty ze względu na bardzo słaby interfejs WWW Outlook.com).

Bankowość

Mam konta w kilku bankach, ale w zasadzie w ponad 90% korzystam tylko z mBanku. Używam standardowego zabezpieczenia, czyli kodów SMS, które przychodzą na mój telefon. Strona internetowa banku to chyba jedyna, gdzie przy każdej wizycie sprawdzam, czy kłódka jest i czy jest w odpowiednim kolorze. Do banku nigdy nie loguję się z cudzych komputerów. Używam mobilnej aplikacji mBanku z limitem transakcji (poza zdefniowanymi) w standardowej wysokości 200 PLN.

Na rachunku bieżącym, do którego podpięta jest karta płatnicza, trzymam środki pozwalające mi na swobodne przeżycie całego miesiąca. Raz na miesiąc nadwyżkę przenoszę na inny rachunek, do którego nie mam karty.

Staram się przynajmniej raz na tydzień sprawdzić wyciąg mojej karty kredytowej. Używam jej rzadko, ale ze względu na długą datę ważności pewnie wylądowała już w kilkudziesięciu systemach. Jak do tej pory najwyraźniej nie trafiła w ręce przestępców.

Przed skorzystaniem z bankomatu lub innej maszyny czytającej karty oceniam, czy nie ma na nich dziwnych narośli skanujących karty lub odczytujących naciśnięte klawisze. Najczęściej korzystam ze znanych mi dobrze urządzeń, więc zadanie jest proste. Gorzej w trakcie wycieczek – wtedy bywa, że poszarpię trochę wystające elementy. Zasłaniam też dłonią palce w momencie wpisywania kodu PIN.

Korzystam swobodnie z płatności zbliżeniowych. Nie trzymam karty płatniczej z antenką w specjalnym futerale, nie wyłączyłem funkcji zbliżeniowej, nie przecinałem także antenki. Nie spotkałem się z przypadkiem kradzieży danych z takiej karty w świecie rzeczywistym, za to wiele razy słyszałem o skradzionych portfelach i też nie przywiązałem swojego na stalowej żyłce.

Kopie bezpieczeństwa

Kiedyś korzystałem z płyt DVD, potem dysków USB, aż w końcu skonfigurowałem sieciowy serwer plików z dwoma dyskami twardymi w trybie RAID 1. Obecnie włączam go raz na pół roku, by zgrać najważniejsze dane. Przez pewien czas używałem Dropboksa, jednak ze względu na ograniczoną pojemność również zrezygnowałem z niego jako podstawowej kopii bezpieczeństwa. Używam go tylko do synchronizowania pliku z hasłami KeePassa.

Po dłuższych poszukiwaniach kupiłem usługę Jotta bez limitu ilości danych za 100 dolarów rocznie. Lądują tam automatycznie kopie danych wszystkich urządzeń mobilnych oraz dedykowanego folderu na dysku twardym. Dodatkowo, na wszelki wypadek, kopię kopii trzymam na dysku USB w odległym miejscu.

Bezpieczeństwo w podróży

W podróże staram się zabierać ze sobą minimalną ilość gadżetów i danych, choć zależy to także od lokalizacji. Jeśli zabieram gdzieś komputer to upewniam się, że mam aktualną kopię bezpieczeństwa wszystkich danych. W podróż do krajów takich jak Chiny czy Rosja zapewne zabrałbym ze sobą nowy dysk twardy z czystym systemem i zważył sprzęt przed wyjazdem z dużą dokładnością oraz pomalował śrubki farbą z brokatem – bardziej dla rozrywki niż z obawy, że coś się w nim znajdzie, ale i tak wybrałbym sprzęt, z którego nie będę korzystał po powrocie.

W przypadku podróży w trakcie których spodziewam się, że będę korzystał z kafejek internetowych (np. wyjazdy bez komputera w bardziej egzotyczne miejsca) przed wyjazdem tworzę specjalne, nowe konto pocztowe, na które przekierowuję swoją pocztę przychodzącą. Powiadamiam też najbliższe osoby o nowym adresie. Bywa, że loguję się w miejscu, gdzie nie ma dostępu do sieci komórkowej, zatem musiałbym zabierać ze sobą wydrukowane kody jednorazowe – wolę wariant nowego konta. Po powrocie takie konto po prostu kasuję.

W trakcie podróży małych lub dużych prawie nigdy nie spuszczam z oka lub zasięgu ręki telefonu i komputera. Oczywiście zdarza mi się np. wyjść z sali konferencyjnej w której zostają pozostali uczestnicy spotkania wraz z moim komputerem, jednak zawsze komputer jest zablokowany (nie korzystam z automatycznego blokowania ekranu, robię to ręcznie wstając od klawiatury). Komputera nigdy nie zostawiam w bagażu rejestrowanym, bagażniku samochodu czy przedziale pociągu. Jedyny wyjątek to hotelowy sejf lub miejsca prywatne takie jak domy znajomych lub rodziny u których przebywam.

Inne narzędzia

Skasowane dane odzyskuję w razie potrzeby za pomocą Recuvy. Dane kasuję Eraserem. Do analizy złośliwego oprogramowania używam wielu narzędzi, w zależności od potrzeb. Najczęściej są to VirtualBox, Wireshark, Fiddler, Process Explorer oraz takie serwisy jak VirusTotal, Malwr, HybridAnalysis.

Po co ja to wypisuję

Niektórzy pewnie stwierdzą, że zwariowałem, czekam też z utęsknieniem na głosy typu „Windows 8? rezygnuję z lektury tego portalu!”. Ja natomiast marzę o dniu, w którym decyzje o poziomie zabezpieczeń będą inspirowane wyważoną, przemyślaną analizą ryzyka a nie nagłówkami z żółtego paska stacji telewizyjnych. Każdą Czytelniczkę i Czytelnika zapraszam do przeprowadzenia własnego rachunku sumienia – czy potrafilibyście opisać z podobnym poziomem szczegółowości swoje zasady bezpieczeństwa bez obawy, że narazicie się w ten sposób na utratę ważnych informacji?

Czy są pytania?

Czy są pytania?

Zapraszam także do zadawania pytań – jeśli będzie ich wystarczająco dużo, to powstanie druga część artykułu w której postaram się odpowiedzieć na wszystkie zarzuty i komentarze. A może ktoś z Was chciałby podzielić się swoim zestawem zasad bezpieczeństwa? Są na sali samobójcy? :)

Przydatne linki

 

Aplikacje mobilne:

Aplikacje używane na komputerze:

Dodatki do przeglądarki Chrome:

Oprogramowanie do haseł:

Szyfrowanie:

Oprogramowanie do komunikacji: