U komentarima me je jedan posetilac upitao zašto toliko forsiram VeraCrypt/TrueCrypt kad i obično šifrovanje fajla WinRAR-om završava posao. Ranije me je čovek koji već podosta vremena radi kao sistem admin iznenadio kad je rekao da sve lozinke za sve produkcione servere i VPN naloge koje ima čuva u kriptovanom 7-zip fajlu jer je to najbezbedniji način za čuvanje!?

U razgovoru sa jednim drugarom krenula je priča oko toga šta bi se desilo ako bi mu neko ukrao laptop (i pisao sam o tome ranije, link ovde). On je rekao da ne razmišlja, pošto su mu sve lozinke i bitni fajlovi sačuvani kao Excel tabele po 7-zip arhivama, a on zna da one ne mogu da se probiju – i tako je pala opklada da ću mu lozinke koje čuva u Excelu unutar šifrovanog 7-zipa, provaliti za 10 minuta na njegovom laptopu.

Metodologija kojom sam to odradio je u opisana u kratkim crtama…dalje…samo je umesto Excel-a u primeru ispod korišćen Notepad ali je sve ostalo isto.

Zašto NE čuvati poverljive fajlove u šifrovanom WinRAR-u ili 7Zip-u | Praktičan primer.

U ovom primeru ćemo napraviti fajl „lozinka.txt“ i u njoj tekst „Zajebana lozinka“ – a potom taj fajl zazipovati 7-Zipom sa sve šifrovanjem naziva fajla i postaviti lozinku.Prilikom otvaranja fajla – uredno ćete biti upitani za lozinku.

Lozinke

Unesete lozinku i otvorite fajl – sve je regularno.

Lozinke

Zatvorite fajl, zatvorite 7-Zip (WinRAR…) arhivu a možete je i obrisati. A šta sad dalje….

Skinete sa neta besplatan program koji se zove Recuva i služi oporavku fajlova koji su obrisani sa kompjutera i iz Recycle Bin-a. Njime ću da uradim dubinsko skeniranje svih fajova iz foldera koje Vindovs koristi za privremene fajlove, u mom slučaju folder: C:\Users\Draza\AppData\Local\Temp

Posle 10-tak minuta skeniranja, pretražio sam fajove koji su se pre brisanja nalazili u folderu „7z*“, fajl je detektovan i na izvol’te je (podsećam, fajl je bio zatvoren, kao i arhiva – koja je onako šifrovana obrisana), te sam ga prekopirao na neku drugu particiju i otvorio – najnormalnije, bez ikakvih lozinki i čuda.

Oporavljen fajl, sačuvan na drugoj lokaciji, bez ikakvih šifri

Oporavljen fajl, sačuvan na drugoj lokaciji, bez ikakvih šifri

Ovo je urađeno besplatnim alatom Recuva – pitaj boga šta bi sve moglo da se izbunari nekim sofisticiranijim softverom.

Dakle ukratko – iako imate 7-Zip ili bilo koji fajl zaštićen lozinkom u nekom arhiveru – on neće biti siguran od onog trenutka od kad ga otvorite.

Otvaranjem fajla – kreira se njegova kopija u privremenom folderu koja se briše kad zatvorite fajl – ali se može, kao što sam pokazao u primeru oporaviti u roku od 10 minuta. Ovakav fajl ostaje dostupan oporavku sve dok ga neki drugi fajl ne pregazi i kao takav može postojati na fajl sistemu od 5 minuta do 5 godina 🙂

Drugo, imajte u vidu da je prvenstvena namena alata poput 7-Zip, WinRAR-a, Excel-a (možete zaštititi tabele u Excel-u ili ceo Excel) nije šifrovanje već nešto drugo. Enkripcija je samo jedna od sekundarnih funkcija.

Kad koristiti šifrovanje arhiverima?

Prvenstveno kad imate fajl koji nije ko zna koliko poverljiv (ali jeste poverljiv) a koji trebate poslati putem interneta (imejla, klaud servisa…). On će biti bezbedan u transportu jer se šalje enkriptovan, te potencijalni napadač i ako upeca fajl – može da se slika ako je lozinka komplikovana – ali, morate znati da fajl postaje ranjiv onog trenutka kad ga neko otvori (pa zatvori, obriše, svejedno).

KeePass Password Safe – ispravan način za čuvanje lozinki i drugih osetljivih podataka

Za šifrovanje uvek treba koristiti programe kojima je to i namena (i Fića može da poleti ako mu se stave krila, ali nije mu to namena), a da su po mogućstvu otvorenog koda, jer na taj način cela zajednica ima uvid u sam izvor programa, te ako se pojavi nešto sumnjivo, tipa „backdoor“ za NSA/Mosad/Milančetovu pekaru – ALARM, ispravka a rupa biva javno dostupna zajednici – te program može izgubiti debelo na poverenju ukoliko se ispostavi da je taj „exploit“ namerno postavljen.

Kod programa zatvorenog koda – pojma nemate šta je u sam program implemetirano već verujete samo u reč proizvođača, a koji možda ima dil sa ko zna kojom UDBA-om, level „mi turimo rupu u programu, vi nam turite milionče ili milijardče u džep“.

Dakle, po meni, kad govorimo o šifrovanju poverljivih fajlova govorimo o: programima VeraCrypt, KeePass Password Safe, PGP enkripciji, full-disk enkripciji na Linuksu.

Svojevremeno sam za čuvanje lozinki koristio klaud servis koji se zove LastPass, a koji je broj jedan i ekstremno lak za korišćenje i ima podosta odbrambenih mehanizama od zabrane logovanja van države koju odaberete pa do dvostepene autentifikacije ali sam od njega odustao jer:

  1. Neka kompanija stoji iza njega, šifruje lokalno lozinke koje unesem pa tako šifrovane čuva šifrovane na svojim serverima i navodno ne može da im pristupi jer su šifrovani lokalno, u šta zaista verujem – ali ne dovoljno.
  2. Ne postoji besplatna varijanta za korišćenje te aplikacije na mobilnim telefonima, tačnije postoji, putem veb brauzera na telefonu ali je interfejs u tom slučaju ravan pogrebnom preduzeću Topalović d.o.o.
  3. Koliko znam – ne mogu se čuvati fajlovi (VPN ključevi, QR kodovi…)
KeePass Password Safe je program otvorenog koda, dostupan za Vindovs i Linuks (kroz Mono ili Wine) ali i portovan za Linuks, MacOS X, iOS, Android pa i onaj nesrećni Windows Phone. On sve podatke koje unesete čuva u jednom fajlu .kdb ili .kdbx koji je šifrovan AES ili TwoFish enkripcijom i do sad, zvanično, niko nikad nije uspeo da brutforsuje bazu ili da je nekako provali.

Jedini mogući način za „probijanje“ tako šifrovane baze jeste instalacija Keylogger-a koji će pratiti rad na tastaturi, klipbordu i mišu ali ako imate dobar antivirus – džaba sve.

Pročitajte i: Ovaj besplatan antivirus ja preporučujem

Sam program podržava dodatke (link ovde) tako da mu funkcionalnost možete proširiti u nebesa, ali priznaću vam ne koristim ni jedan dodatak. Ono što ja radim je standardno šifrovanje zajebanom lozinkom uz dodatno šifrovanje fajlom koji samo ja znam a koji je javno dostupan na netu na više lokacija, tipa neka mp3 pesma negde – a koja je skinuta na moj kompjuter ili telefon.

Za korišćenje na Android mobilnom telefonu koristim port ovog programa koji se zove KeePass2Android a koji možete povezati tako da enkriptovanu bazu povlači iz recimo vašeg Dropboks (Dropbox) naloga – samo prvo zaštitite i taj Dropboks nalog dvostepenom autentifikacijom, zlu ne trebalo, tako da izmene da će izmene koje budete napravili nad bazom (promena lozinki, korisničkih imena) biti vidljive na svim uređajima koji koriste KeePass.

Ako se neko nekako i domogne tog fajla na Dropboksu, opet mu džaba ako ne zna kako da otključa, te ako ste stavili dovoljno komplikovanu lozinku plus dodatni sloj zaštite fajlom gratis – sve je bezbedno. Bar zvanično. Čitao sam na nekom forumu da je NSA (oni što špijuniraju ceo svet, kamen im u usta) izjavila da je ovo najbezbedniji i neprobojni program, ali, iskreno, ako NSA hvali neki program – ne znam šta da mislim, da li je to dobro ili loše.

KeePass2Android

KeePass2Android

Iako je centralizovano rešenje putem Dropboks naloga odlično i ultra praktično – izbegavam ga. Enriptovanu bazu čuvam lokalno, a lozinke kada menjam promenim na kompjuteru pa uradim „upload“ na telefon – i naravno, napravim i bekap te baze te sačuvam sa nekom drugom lozinkom i nekim drugim programom (može i 7-zip ali najbolje VeraCrypt kontejner od 1MB) na nekom drugom klaud servisu, za svaki slučaj – a otvoriću ga samo ako ostanem iz nekog razloga bez pristupa primarnoj lokaciji fajla.

Ukoliko lozinke čuvate u Excel-u, txt fajlu i slično – imate u KeePass-u opciju import gde je podržano bogaoca formata za import, tako da ne morate da prekucavate i kopipejstujete do smrti.

Ostale karakteristike ovog programa koje bih izdvojio: password generator (otprilike sve moje lozinke su njime i napravljene), clipboard autoclear, program autoclose (u slučaju da zaboravite da ga zatvorite na kompjuteru pa odete), grupisanje lozinki, odlična pretraga po bilo kom kriterijumu (tražite lozinku za Fejsbuk ukucate Face i dobićete rezultat), brisanje dupliranih unosa i praznih grupa, kreiranje trigera, mogućnosti autentifikacije putem Vindovs naloga, OTP pina (o-te-pe pin), import-eksport lozinki u različitim formatima, mogućnosti dodavanja novih polja, dodavanja bilo kakvih fajlova u bazu (korisno za VPN ključeve)….

Mane programa

Jedino rešenje ako zaboravite master lozinku

Jedino rešenje ako zaboravite master lozinku

Po meni jedna i jedina mana jeste ta što ako kojim slučajem zaboravite lozinku kojom ste zaključali fajl ili bilo šta drugo što koristite kao autentifikaciju (fajl, OTP)….možete da se upucate zoljom.

Ne postoji nikakav mehanizam da ikako dobijete pristup bazi podataka sem ako nisu sve autentifikacine metode koje ste postavili – ispravne. Tako da, ako imate problema sa pamćenjem ili napišite lozinku na papirče pa sačuvajte negde u stanu, pasošu, šta-ti-ja-znam, ako imate autentifikacioni fajl sačuvajte ga po imejlovima, klaud servisima, na više različitim mesta…ili odustanite od ovog programa.

Master lozinka ne mora baš da bude „Kompjuteraš Approve“, postoji i način da bude dovoljno složena a opet laka za pamćenje a više o tome pročitajte ovde.

Link za skidanje programa za kompjuter: KeePass Password Safe (skinite Professional verziju)