Шта би се десило уколико би вам неко – украо лаптоп?
Ви сте један од новинара, директора великих предузећа, банке или сте систем администратор који одржава базе података великим предузећима. Шта би се десило уколико би вам неко овог тренутка – украо лаптоп?
Сем физичке вредности украденог уређаја, које би све информације успео „бесплатно“ да добије крађом тог уређаја? Да ли би имао приступ маржама које ваше предузеће има, вашој стратегији, поверљивим информацијама о производу које сте планирали да пласирате на тржиште, поверљивим документима, имејловима, вашим приватним снимцима, вашој пословној стратегији на којој сте потрошили силно време?
Прочитајте још и: Како подићи безбедност рачунара и фајлова?
Ево појаснићу вам укратно уобичајене грешке које прави већина људи, како оних на високим позицијама попут генералних директора, министара, банкара и осталих, тако и обичних кућних корисника. Признаћу, неке од доле наведених грешака сам правио и ја.
ГРЕШКА СВИХ ГРЕШАКА: Диск или партиција са подацима вам није шифрована, или фајлове чувате ван шифрованог контејнера
Ово је обавезна ставка ако имате поверљиве фајлове на лаптопу – поента је да све и да вам неко украде лаптоп…не може ништа са фајловима на њему, може само да види да постоји диск и то је то – те све што може да уради јесте да исформатира диск и користи га од нуле. Кључне речи су: BitLocker и VeraCrypt. BitLocker је софтвер за шифровање диска који добијате уз ПРО верзије Windowsa (колико знам) док је VeraCrypt независтан софтвер покретљив на скоро свим оперативним системима – а којим можете направити шифровани портабилни фајл-контејнер унутар којег ћете чувати критичне фајлове а који је заштићен само вама знаном лозинком или кључним фајлом. Можете овим програмом направити и шифровану партицију али не бих вам препоручио јер није баш најбоље решење. На овако шифрованој партицији треба да вам буду си битни фајлови, од докумената, преко лозинки, профила за браузере па до свега осталога.
Ако сте рецимо зашифровали BitLocker-ом цео диск и ставили му зезнуту лозинку, доста ставки доле можете да игноришете. Прочитајте више о шифровању VeraCrypt-ом (наследник TrueCrypta) као и о потенционалним проблемима са губитком фајлова јер нису били шифровани овде и овде.
Треба да знате и да постоје варијанте да се чак и овакви видови заштите пробију методом такозваног cold boot-a (хладног боота) ако компјутер није угашен него само закључан, тако што се док компјутер ради – RAM меморија брзински смрзне течним азотом, пребаци на други компјутер па се из њен садржај помоћу специјализованог софтвера ишчита и из њега ишчупа енкрпциони кључ – тако да би идеална варијанта била да кад кренете кући – лаптоп угасите како би се диск вратио у закључано стање и како би овај вид пробијања био немогућ. Проценат успеха оваквог начина пробијања заштите је наводно 50% али ако сте угасили компјутер ту више шансе нема…па је ДЕБЕЛА препорука…зашифрујте партицију или контејнер и кад вам компјутер није више потребан за рад – угасите га.
ГРЕШКА БРОЈ 1: LastPass екстензија за Firefox/Chrome/Operu (или други менаџер лозинки)
Алат који служи за бекаповање свих ваших лозинки на неки удаљени сервер који није под вашом контролом и аутоматско попуњавање формулара. ОК, проверен је алат, још увек, није (још увек) пробијен, ваше шифре су шифроване и такве сачуване на удаљеном серверу (тако кажу), али ко зна шта се све ту може избунарити и дешифровати. Сам LastPass, у овом случају није (још увек) претња сам по себи, већ је претња то што људи обично зачекирају да им интернет прегледач памти логин податке за сам LastPass сервис.
Шта сад то дођавола значи? То значи да уколико би неко украо лаптоп, отворио ваш Firefox, имао би све лозинке које сте сачували на њему икада….на длану. Не шифроване, него баш такве какве јесу.
РЕШЕЊЕ: Ако баш можете без LastPass обришите га и скините све лозинке са самог налога (откуд знаш када ће неко успети да их дешифрује). Лозинке је најбоље чувати на једином сигурном месту – мозгу, али под условом да вас исти релативно добро служи када је памћење лозинки у питању. Опција број два је коришћење KeePass Password Safe-a који је софтвер за себе и независтан од интернет прегледача. Опција број 3 ако вам треба аутологин је да вам профил Firefoxа или Google Chrome-a буде на партицији иза BitLockerа или VeraCryptа.
ГРЕШКА БРОЈ 2: Лозинке унутар Firefox/Chrome/Opera/IE нису заштићене
Да, колико је људи међу вама одабрало „USE A MASTER PASSWORD“ на Firefox-u и колико вас зна да су Chrome лозинке на извол’те уколико се неко домогне вашег рачунара?
Ето, мени је пар лозинки које сам имао сачуване на Firefox-у било незаштићено, између осталог по Марфијевом закону баш она најбитнија, мог пословног имејла, што би значило да би неко могао да прочита или направи себи копију свих мојих маилова.
РЕШЕЊЕ: Поставио зајебану лозинку као MASTER PASSWORD на Firefox-u, на Chrome-u обрисао све сачуване лозинке.
ГРЕШКА БРОЈ 3: Имејл клијент
Без обзира која вам је имејл лозинка, имејлови су на рачунару сачувани као обични фајлови који када се прекопирају на неки други рачунар (или исти) су „на изволте“. Такође, да ли се у ваш имејл клијент улази без икакве лозинке? Исто важи и за ‘profile’ фолдер, који када се исто тако прекопира било где, лопову даје пун приступ вашим имејловима.
Може чак и искрековати лозинку путем Asterisk Key или сличног програма.
Шта ово значи? Ако имате рецимо налог на Gmail-у, тај неко може да оде и обрише цео налог, што опет значи збогом имејлови, збогом контакти, збогом calendar events. Или нпр ако сте креирали, лупам, профил на Фејсбуку и поставили баш ту Gmail (или другу) адресу, тај неко може да оде и да затражи да му се ресетује лозинка слањем конфирмациониг линка на ту Gmail адресу, што опет значи да ће тај неко вама променити лозинке на Фејсбуку или сличним сајтовима где сте се пријавили (Пејпал, Лимундо, ово-оно) и да рецимо (опет лупам) пошаље поруку вашем шефу/куму/генералном директору/другу/брату/сину са вашег налога следеће садржине: „Педеру, јебо сам ти матер у граду кад те видим. Доста је било“….или можда нешту ултра перверзно рецимо жени вашег најбољег друга. Глуп пример, слажем се, али признаћете да јесте мало незгодно, зар не?
РЕШЕЊЕ: Најбоље користите само web приступ те прескочите имејл клијенте наравно где су основе безбедоносне поставке попут https-а испоштоване (попут Gmail-а рецимо). Али, ако ипак кортите неки клијент, рецимо Outlook имате опцију заштите пст фајла лозинком унутар Outlookа. Тако све и да неко отвори ваш Outlook, неће моћи приступити имејловима а ни контактима. Моћи ће само прочитати имејлове са којима сте раније комуницирали (путем такозваног NK2 фајла). Уколико користете друге клијенте, најбоље да имејлове као и профил чувате на заштићеном VeraCrypt простору, тако имејлове може да вам чита – нико. Tакође и у Thunderbird-у имате опцију „USE A MASTER PASSWORD“ као и на Firefox-у а што је набоље мастер лозинку има и Outlook само је нико живи не користи, цим им да куцају лозинку кад покрећу Outlook. Наравно, поновићу још једном – идеално је да вам профил буде физички на шифрованој партицији, диску или контејнеру – иза BitLockerа или VeraCryptа.
ГРЕШКА БРОЈ 4: Поверљиви и ултра битни фајлови „на изволте“
Eто, цео живот сте убеђени да су то ваши фајлови и да нико никад неће да прчка по вашем рачунару како би их видео, али ето, оставили сте лаптоп на сувозачевом месту, отишли да часком купите пљескавицу, неко је пришао, поломио стакло (редовна појава) и узео лаптоп. Приступ поверљивим фајловима на изволте. Претпостављам да и неке лозинке чувате у ‘txt’ формату без икакве заштите. Дакле онај ко вам је мазнуо лаптоп има те фајлове и може, рецимо, да их прода вашој конкуренцији, или је пак, можда баш тог лопова ваша конкуренција и ангажовала? Или можда завршите ко Северина/Сузана Манчић/Памела Андерсон итд (шалим се наравно, али њима није било до шале, тако да ако сте позната јавна личност а волите тако мало да се зезате :), VeraCrypt или проста енкрипција 7-зипом су ваши пријатељи.
ГРЕШКА БРОЈ 5: Сачувана лозинка на осетљивим програмима
Када кажем осетљивим прогамима, мислим да програме који се каче на неко удаљено место и могу тамо нешто да раде. Дакле FTP клијенти, програми за манипулацију базама података и остали програми који вам нуде „Save Password“. Дакле, ако сте рецимо у Oracle SQL Developer-у сачували лозинку, а имате рецимо DBA привилегије, хакер који би се некако домогао тог лаптопа би могао да обише све податке које сте имали у бази података иииии збогом пословање док се не уради ристоре (restore) података уколико правите бекап базе (додуше мора прво да вам уђе у мрежу, а ући ће ако се налази близи вашег посла а ви се качите преко Wi-Fi конекције на мрежу). Уколико не правите бекап, правац Бранков Мост и скок уз троструки салто.
РЕШЕЊЕ: У свим осетљивим програмима који вам нуде „Save Password“ игоришите ту могућност. Истина, изгубићете 5 секунди живота да укуцате корсничко име и лозинку, али шта ћете, ваљда ћете тих 5 секунди некако надокнадити некада.
ГРЕШКА БРОЈ 6: Мислите да вам је јака лозинка на логину рачунара добра заштита
„Аааа имам зајебану лозинку, па онај ко ми украде лаптоп не може ништа да уради“ – промашај! Дакле, свако ко се малчице разуме у рачунаре, рестартоваће ваш рачунар, ресетоваће вам лозинку (треба му око 4,5 минуте да то одради) и имаће пун приступ рачунару. Чак и да не ресетује лозинку имаће пун приступ рачунару у фајловима на њему, довољно је само да покрене систем са неког ливе диска, и воала…све је ту. Ако нисте заштитили податке, збогом-ћао. Можете поставити лозинку и на BIOS-у како тај неко не би могао да подигне систем са USB флеша или CD-а, али одмах да вам кажем, џаба.
РЕШЕЊЕ: Прочитајте грешке 1-5 и два пута грешку свих грешака
ГРЕШКА БРОЈ 7 – Чет клијенти су вам на „Пријави ме када се покрене…“
ОК, сложићемо се да нам је свима овако подешено (и код мене је тако), али ето и то је претња. Опет неко може прегледати све ваше контакте и слати неприкладне поруке.
РЕШЕЊЕ: Немојте чекирати ту могућност.
ГРЕШКА БРОЈ 8: Немате бекап фајлова
Параноја сте попут аутора овог чланка, све вам је заштићено лозинкама и свакавим енкрипцијама, нигде вам нису сачуване лозинке сем у мозгу….али цврц, неко вам је мазн’о лаптоп и на њему све фајлове, нисте правили бекап истих, тако да сви фајлови одоше у историју. Е сад, замислите да сте потрошили месец или више дана правећи неки Wорд или Excel документ (који сте иако је пун поверљивих информација уредно заштитили лозинком и одееееее, бог да му душу прости. Сада почиње стандардно чупање косе, тешења типа „Е ово ми је школа за убудуће и слично“.
РЕШЕЊЕ: Ако вам је цимање да правите бекап тако што ћете га резати на DVD или пребацивати на екстерне USB флешеве или хард дискове, најлакше могуће решење је да исте фајлове чувате на такозваном облаку или клауду (cloud). Постоје сервиси који још увек имају репутацију безбедних попут Dropbox-a или Google Drive-а где вам се прављење бекапа своди на просто копирање фајла у тај (рецимо) Dropbox фолдер (прво морате инсталирати Dropbox клијент на рачунар). Када га превучете тамо фајл, у позадини се ради копирање тог фајла на удаљене Dropbox (Google Drive, Јандекс Диск, остали) сервере и прави им се копија тамо. Уколико неко обрише фајл са вашег рачунара, па чак и да га обрише из тог бекап фолдера можете га ватити назад путем најобичнијег интернет прегледача (мислим да баш Dropbox чува обрисане фајлове неко време). Наравно, препорука је да уколико вам неко марне лаптоп одмах промените лозинку на Dropbox-у како би мимоишли размишљање око тога да ли је Dropbox копија која је обрисана ипак сачувана или не.
Параноја мод: Turn Off, компјутер, бре!
Чак и ако вам је диск иза BitLocker, LUKS-а, VeraCrypt или сличног софтвера за енкрипцију – постоји могућност да се са њега ишчупају фајлови. Како бре?
Ето, постоји нешто што се зове Cold-Boot, а главна фора је да се из RAM-а директно ишчитају сви подаци и међ’ њима нађе енкрипциони кључ који је коришћен за шифровање партиције.
Како се изводи то? Неко отвори лаптоп, смрзне му RAM модул, пребаци код себе и помоћу специјализованог софтвера ишчита његов садржај – и појури кључ у том садржају. Наводно, вероватноћа да ће кључ бити унутар садржаја је пола/пола и проналазак кључа зависи од тога да ли се дешавао неки упис на диску у тренутку смрзавања RAM-а. Е сад, као што се претпоставља – овај метод крађе података са лаптопа може да примени само неко са великим знањем а не неки Мића из Сремчице али опет, на мени је да вас упознам да је могуће и ово, поготово ако сте директнор велике фирме који крије тајне у милионским износима.
Решење: Угасите компјутер кад лаптоп носите на небезбедна места уместо само да га поклопите и пребаците у sleep. Гашењем се празни RAM меморија те неће бити шта да се прочита са ње све и да неко покуша Cold-Boot напад. Више о овоме у видеу испод.
Корисни линкови:
Како направити бекап целог система уз помоћ CloneZilla алата?
Бесплатан и једноставан онлине бекап на клауд серисе – зашто га бре не користите?
Постоји ту још доста примера како би неко могао да вам провали све и свашта ако би украо ваш лаптоп. Углавном има ту доооста ствари на које треба обратити пажњу. Рецимо, уколико сте по социјалним мрежама пријављени једном имејл адресом, онај ко се домогне логин података те имејл адресе имаће у великом броју случајева и приступ свим тим мрежама (и другим сервисима).
Али опет, морам напоменути, и све ове заштите, лозинке, криптовања и остала чуда су релативна, и увек се може десити да се пронађе начин за дешифровање истих. Никад не знаш каквом техником, рецимо располаже FBI или NSA. Да подсетим, NSA је Америчка државна организација која је шпијунирала (а и даље шпијуниа) цео свет и комплетну комуникацију.
Наравно, мали је број људи на свету који могу да пробију рецимо VeraCrypt, можда их и нема тачније највероватније их нема, а опет, можда их и има. На вама је да закомпликујете ствари до краја, јер шанса је 0.000001% да ће баш један такав хакерски мозак да се дохвати баш вашег украденог лаптопа – сем ако нисте терориста.
Напомена: Овај текст је иницијално написан 2014-те, а ажуриран 07/11/2017.
NenaD
18/05/2015 @ 16:53
„Lozinke je najbolje čuvati na jedinom sigurnom mestu – mozgu, ali pod uslovom da vas isti relativno dobro služi kada je pamćenje lozinki u pitanju :)“
Mozak je kao gora opcija nego LastPass, nije pitanje „da li“, već „kada“ će vas izneveriti, ako već nije 😉
drGspot
07/11/2017 @ 09:14
ZoZ se ne bi baš preViše brinuo… 🙂
jer onda počinje wallOfSheep zabava \o/
https://www.youtube.com/watch?v=U4oB28ksiIo
Miki
07/11/2017 @ 20:37
Razmisljam o svim idejama i predlozima. Sacuvaj ovako, sacuvaj onako, ma hade ovo je bolje cuvaj ga u tintari ( citaj=mozak)….a ja (nemoj neko da se keceri (smeje k’o lud )..ja to radim vec 15-tak godina. Kako ?? Pa ovako! Kupio sam svescicu od 60 listica i zapisivao sve lozinke a u browseru pobrisao da mi ne pamti.
I verovali, ili ne, do sada mi niko nije provalio sifru ili da sam imao problema.
Doduse moze zence da mazne svesku i da je baci ali i tu sam se „osigurao“ Zakljucao sam svesku u radnom stolu pod katancem.
I na kraju, menjam sifru na 15-tak dana i ni jedna nije ista kao ono Marko na FB pa ga svi provalili.
Dali je ovo dobro sto radim neznam ali deluje.
Andrija
11/11/2017 @ 22:13
@cloud backup:
Gdrive sam bas pre neki dan nesto trkeljisao posle promene telefona (yay Xperia!) i ustanovio da mi u trash folderu stoje neki fajlovi koje sam pobrisao pre vise od osam meseci! Tako da, gdrive drzi dugo, za dropbox ne znam, a na megi sam takodje (usled iste modernizacije telefona) nasao toliko matore fajlove da sam prvo mozgao odakle mi!
TLDR: Gdrive drzi obrisano dugo dugo vremena