Vi ste jedan od novinara, direktora velikih preduzeća, banke ili ste sistem administrator koji održava baze podataka velikim preduzećima. Šta bi se desilo ukoliko bi vam neko ovog trenutka – ukrao laptop?

Sem fizičke vrednosti ukradenog uređaja, koje bi sve informacije uspeo „besplatno“ da dobije krađom tog uređaja? Da li bi imao pristup maržama koje vaše preduzeće ima, vašoj strategiji, poverljivim informacijama o proizvodu koje ste planirali da plasirate na tržište, poverljivim dokumentima, imejlovima, vašim privatnim snimcima, vašoj poslovnoj strategiji na kojoj ste potrošili silno vreme?

Da li bi taj neko imao pun pristup svim bazama podataka, načinima logovanja, lozinkama vaših mailova, da li bi imao pristup svim vašim poslovnim imejlovima u kojima se opet nalaze bitne informacije? Da li su bitne informacije i fajlovi koje šaljete putem maila „na izvolte“ ili imaju neku zaštitu?

Pročitajte još i: Kako podići bezbednost računara i fajlova?

Evo pojasniću vam ukratno uobičajene greške koje pravi većina ljudi, kako onih na visokim pozicijama poput generalnih direktora, ministara, bankara i ostalih, tako i običnih kućnih korisnika. Priznaću, neke od dole navedenih grešaka sam pravio i ja.

GREŠKA SVIH GREŠAKA: Disk ili particija sa podacima vam nije šifrovana, ili fajlove čuvate van šifrovanog kontejnera

Ovo je obavezna stavka ako imate poverljive fajlove na laptopu – poenta je da sve i da vam neko ukrade laptop…ne može ništa sa fajlovima na njemu, može samo da vidi da postoji disk i to je to – te sve što može da uradi jeste da isformatira disk i koristi ga od nule. Ključne reči su: BitLocker i VeraCrypt. BitLocker je softver za šifrovanje diska koji dobijate uz PRO verzije Windowsa (koliko znam) dok je VeraCrypt nezavistan softver pokretljiv na skoro svim operativnim sistemima – a kojim možete napraviti šifrovani portabilni fajl-kontejner unutar kojeg ćete čuvati kritične fajlove a koji je zaštićen samo vama znanom lozinkom ili ključnim fajlom. Možete ovim programom napraviti i šifrovanu particiju ali ne bih vam preporučio jer nije baš najbolje rešenje. Na ovako šifrovanoj particiji treba da vam budu si bitni fajlovi, od dokumenata, preko lozinki, profila za brauzere pa do svega ostaloga.

Ako ste recimo zašifrovali BitLocker-om ceo disk i stavili mu zeznutu lozinku, dosta stavki dole možete da ignorišete. Pročitajte više o šifrovanju VeraCrypt-om (naslednik TrueCrypta) kao i o potencionalnim problemima sa gubitkom fajlova jer nisu bili šifrovani ovde i ovde.

Treba da znate i da postoje varijante da se čak i ovakvi vidovi zaštite probiju metodom takozvanog cold boot-a (hladnog boota) ako kompjuter nije ugašen nego samo zaključan, tako što se dok kompjuter radi – RAM memorija brzinski smrzne tečnim azotom, prebaci na drugi kompjuter pa se iz njen sadržaj pomoću specijalizovanog softvera iščita i iz njega iščupa enkrpcioni ključ – tako da bi idealna varijanta bila da kad krenete kući – laptop ugasite kako bi se disk vratio u zaključano stanje i kako bi ovaj vid probijanja bio nemoguć. Procenat uspeha ovakvog načina probijanja zaštite je navodno 50% ali ako ste ugasili kompjuter tu više šanse nema…pa je DEBELA preporuka…zašifrujte particiju ili kontejner i kad vam kompjuter nije više potreban za rad – ugasite ga.

Poslednja lozinka koja će vam ikada trebati, a šta ako se neko domogne nje?

Poslednja lozinka koja će vam ikada trebati, a šta ako se neko domogne nje?

GREŠKA BROJ 1: LastPass ekstenzija za Firefox/Chrome/Operu (ili drugi menadžer lozinki)

Alat koji služi za bekapovanje svih vaših lozinki na neki udaljeni server koji nije pod vašom kontrolom i automatsko popunjavanje formulara. OK, proveren je alat, još uvek, nije (još uvek) probijen, vaše šifre su šifrovane i takve sačuvane na udaljenom serveru (tako kažu), ali ko zna šta se sve tu može izbunariti i dešifrovati. Sam LastPass, u ovom slučaju nije (još uvek) pretnja sam po sebi, već je pretnja to što ljudi obično začekiraju da im internet pregledač pamti login podatke za sam LastPass servis.
Šta sad to dođavola znači? To znači da ukoliko bi neko ukrao laptop, otvorio vaš Firefox, imao bi sve lozinke koje ste sačuvali na njemu ikada….na dlanu. Ne šifrovane, nego baš takve kakve jesu.

REŠENJE: Ako baš možete bez LastPass obrišite ga i skinite sve lozinke sa samog naloga (otkud znaš kada će neko uspeti da ih dešifruje). Lozinke je najbolje čuvati na jedinom sigurnom mestu – mozgu, ali pod uslovom da vas isti relativno dobro služi kada je pamćenje lozinki u pitanju. Opcija broj dva je korišćenje KeePass Password Safe-a koji je softver za sebe i nezavistan od internet pregledača. Opcija broj 3 ako vam treba autologin je da vam profil Firefoxa ili Google Chrome-a bude na particiji iza BitLockera ili VeraCrypta.

GREŠKA BROJ 2: Lozinke unutar Firefox/Chrome/Opera/IE nisu zaštićene

Da, koliko je ljudi među vama odabralo „USE A MASTER PASSWORD“ na Firefox-u i koliko vas zna da su Chrome lozinke na izvol’te ukoliko se neko domogne vašeg računara?
Eto, meni je par lozinki koje sam imao sačuvane na Firefox-u bilo nezaštićeno, između ostalog po Marfijevom zakonu baš ona najbitnija, mog poslovnog imejla, što bi značilo da bi neko mogao da pročita ili napravi sebi kopiju svih mojih mailova.

REŠENJE: Postavio zajebanu lozinku kao MASTER PASSWORD na Firefox-u, na Chrome-u obrisao sve sačuvane lozinke.
lozinke_01

lozinke_02

GREŠKA BROJ 3: Imejl klijent

Bez obzira koja vam je imejl lozinka, imejlovi su na računaru sačuvani kao obični fajlovi koji kada se prekopiraju na neki drugi računar (ili isti) su „na izvolte“. Takođe, da li se u vaš imejl klijent ulazi bez ikakve lozinke? Isto važi i za ‘profile’ folder, koji kada se isto tako prekopira bilo gde, lopovu daje pun pristup vašim imejlovima.

lozinke_05Može čak i iskrekovati lozinku putem Asterisk Key ili sličnog programa.
Šta ovo znači? Ako imate recimo nalog na Gmail-u, taj neko može da ode i obriše ceo nalog, što opet znači zbogom imejlovi, zbogom kontakti, zbogom calendar events. Ili npr ako ste kreirali, lupam, profil na Fejsbuku i postavili baš tu Gmail (ili drugu) adresu, taj neko može da ode i da zatraži da mu se resetuje lozinka slanjem konfirmacionig linka na tu Gmail adresu, što opet znači da će taj neko vama promeniti lozinke na Fejsbuku ili sličnim sajtovima gde ste se prijavili (Pejpal, Limundo, ovo-ono) i da recimo (opet lupam) pošalje poruku vašem šefu/kumu/generalnom direktoru/drugu/bratu/sinu sa vašeg naloga sledeće sadržine: „Pederu, jebo sam ti mater u gradu kad te vidim. Dosta je bilo“….ili možda neštu ultra perverzno recimo ženi vašeg najboljeg druga. Glup primer, slažem se, ali priznaćete da jeste malo nezgodno, zar ne?

REŠENJE: Najbolje koristite samo web pristup te preskočite imejl klijente naravno gde su osnove bezbedonosne postavke poput https-a ispoštovane (poput Gmail-a recimo). Ali, ako ipak kortite neki klijent, recimo Outlook imate opciju zaštite pst fajla lozinkom unutar Outlooka. Tako sve i da neko otvori vaš Outlook, neće moći pristupiti imejlovima a ni kontaktima. Moći će samo pročitati imejlove sa kojima ste ranije komunicirali (putem takozvanog NK2 fajla). Ukoliko koristete druge klijente, najbolje da imejlove kao i profil čuvate na zaštićenom VeraCrypt prostoru, tako imejlove može da vam čita – niko. Takođe i u Thunderbird-u imate opciju „USE A MASTER PASSWORD“ kao i na Firefox-u a što je nabolje master lozinku ima i Outlook samo je niko živi ne koristi, cim im da kucaju lozinku kad pokreću Outlook. Naravno, ponoviću još jednom – idealno je da vam profil bude fizički na šifrovanoj particiji, disku ili kontejneru – iza BitLockera ili VeraCrypta.

GREŠKA BROJ 4: Poverljivi i ultra bitni fajlovi „na izvolte“

Elozinke_03to, ceo život ste ubeđeni da su to vaši fajlovi i da niko nikad neće da prčka po vašem računaru kako bi ih video, ali eto, ostavili ste laptop na suvozačevom mestu, otišli da časkom kupite pljeskavicu, neko je prišao, polomio staklo (redovna pojava) i uzeo laptop. Pristup poverljivim fajlovima na izvolte. Pretpostavljam da i neke lozinke čuvate u ‘txt’ formatu bez ikakve zaštite. Dakle onaj ko vam je maznuo laptop ima te fajlove i može, recimo, da ih proda vašoj konkurenciji, ili je pak, možda baš tog lopova vaša konkurencija i angažovala? Ili možda završite ko Severina/Suzana Mančić/Pamela Anderson itd (šalim se naravno, ali njima nije bilo do šale, tako da ako ste poznata javna ličnost a volite tako malo da se zezate :), VeraCrypt ili prosta enkripcija 7-zipom su vaši prijatelji.

REŠENJE: Kao što rekoh, ukoliko sami formati dokumenta dozvoljavaju zaštitu lozinkom zaštite ta dokumenta (Excel i LibreOffice dozvoljaju). Ukoliko su to fajlovi koji ne dozvoljavaju zaštitu poput lupam slika, audio-video fajlova, koristite besplatni VeraCrypt, napravite kontejner zaštićen zajebanom lozinkom i sve poverljivo pakujte u njega, ali ako se baš ne snalazite, onda makar zaštitite taj fajl lozinkom pomoću besplatnog 7-zip programa gde sa samo 4 koraka i 2 potrošene sekunde možete zaštiti fajl – ali imajte u vidu da kad jednom otključate fajl lozinkom i otvorite ga nečim – može da se oporavi i posle ponovnog zaključavanja (objašnjeno ovde kako, sa sve primerom).

 

GREŠKA BROJ 5: Sačuvana lozinka na osetljivim programima

Kada kažem osetljivim progamima, mislim da programe koji se kače na neko udaljeno mesto i mogu tamo nešto da rade. Dakle FTP klijenti, programi za manipulaciju bazama podataka i ostali programi koji vam nude „Save Password“. Dakle, ako ste recimo u Oracle SQL Developer-u sačuvali lozinku, a imate recimo DBA privilegije, haker koji bi se nekako domogao tog laptopa bi mogao da obiše sve podatke koje ste imali u bazi podataka iiiii zbogom poslovanje dok se ne uradi ristore (restore) podataka ukoliko pravite bekap baze (doduše mora prvo da vam uđe u mrežu, a ući će ako se nalazi blizi vašeg posla a vi se kačite preko Wi-Fi konekcije na mrežu). Ukoliko ne pravite bekap, pravac Brankov Most i skok uz trostruki salto.

REŠENJE: U svim osetljivim programima koji vam nude „Save Password“ igorišite tu mogućnost. Istina, izgubićete 5 sekundi života da ukucate korsničko ime i lozinku, ali šta ćete, valjda ćete tih 5 sekundi nekako nadoknaditi nekada.

GREŠKA BROJ 6: Mislite da vam je jaka lozinka na loginu računara dobra zaštita

„Aaaa imam zajebanu lozinku, pa onaj ko mi ukrade laptop ne može ništa da uradi“ – promašaj! Dakle, svako ko se malčice razume u računare, restartovaće vaš računar, resetovaće vam lozinku (treba mu oko 4,5 minute da to odradi) i imaće pun pristup računaru. Čak i da ne resetuje lozinku imaće pun pristup računaru u fajlovima na njemu, dovoljno je samo da pokrene sistem sa nekog live diska, i voala…sve je tu. Ako niste zaštitili podatke, zbogom-ćao. Možete postaviti lozinku i na BIOS-u kako taj neko ne bi mogao da podigne sistem sa USB fleša ili CD-a, ali odmah da vam kažem, džaba.

REŠENJE: Pročitajte greške 1-5 i dva puta grešku svih grešaka

GREŠKA BROJ 7 – Čet klijenti su vam na „Prijavi me kada se pokrene…“

OK, složićemo se da nam je svima ovako podešeno (i kod mene je tako), ali eto i to je pretnja. Opet neko može pregledati sve vaše kontakte i slati neprikladne poruke.

REŠENJE: Nemojte čekirati tu mogućnost.
lozinke_041

GREŠKA BROJ 8: Nemate bekap fajlova

dropbox1Paranoja ste poput autora ovog članka, sve vam je zaštićeno lozinkama i svakavim enkripcijama, nigde vam nisu sačuvane lozinke sem u mozgu….ali cvrc, neko vam je mazn’o laptop i na njemu sve fajlove, niste pravili bekap istih, tako da svi fajlovi odoše u istoriju. E sad, zamislite da ste potrošili mesec ili više dana praveći neki Word ili Excel dokument (koji ste iako je pun poverljivih informacija uredno zaštitili lozinkom i odeeeeee, bog da mu dušu prosti. Sada počinje standardno čupanje kose, tešenja tipa „E ovo mi je škola za ubuduće i slično“.

REŠENJE: Ako vam je cimanje da pravite bekap tako što ćete ga rezati na DVD ili prebacivati na eksterne USB fleševe ili hard diskove, najlakše moguće rešenje je da iste fajlove čuvate na takozvanom oblaku ili klaudu (cloud). Postoje servisi koji još uvek imaju reputaciju bezbednih poput Dropbox-a ili Google Drive-a gde vam se pravljenje bekapa svodi na prosto kopiranje fajla u taj (recimo) Dropbox folder (prvo morate instalirati Dropbox klijent na računar). Kada ga prevučete tamo fajl, u pozadini se radi kopiranje tog fajla na udaljene Dropbox (Google Drive, Jandeks Disk, ostali) servere i pravi im se kopija tamo. Ukoliko neko obriše fajl sa vašeg računara, pa čak i da ga obriše iz tog bekap foldera možete ga vatiti nazad putem najobičnijeg internet pregledača (mislim da baš Dropbox čuva obrisane fajlove neko vreme). Naravno, preporuka je da ukoliko vam neko marne laptop odmah promenite lozinku na Dropbox-u kako bi mimoišli razmišljanje oko toga da li je Dropbox kopija koja je obrisana ipak sačuvana ili ne.

Paranoja mod: Turn Off, kompjuter, bre!

Čak i ako vam je disk iza BitLocker, LUKS-a, VeraCrypt ili sličnog softvera za enkripciju – postoji mogućnost da se sa njega iščupaju fajlovi. Kako bre?
Eto, postoji nešto što se zove Cold-Boot, a glavna fora je da se iz RAM-a direktno iščitaju svi podaci i međ’ njima nađe enkripcioni ključ koji je korišćen za šifrovanje particije.

Kako se izvodi to? Neko otvori laptop, smrzne mu RAM modul, prebaci kod sebe i pomoću specijalizovanog softvera iščita njegov sadržaj – i pojuri ključ u tom sadržaju. Navodno, verovatnoća da će ključ biti unutar sadržaja je pola/pola i pronalazak ključa zavisi od toga da li se dešavao neki upis na disku u trenutku smrzavanja RAM-a. E sad, kao što se pretpostavlja – ovaj metod krađe podataka sa laptopa može da primeni samo neko sa velikim znanjem a ne neki Mića iz Sremčice ali opet, na meni je da vas upoznam da je moguće i ovo, pogotovo ako ste direktnor velike firme koji krije tajne u milionskim iznosima.

Rešenje: Ugasite kompjuter kad laptop nosite na nebezbedna mesta umesto samo da ga poklopite i prebacite u sleep. Gašenjem se prazni RAM memorija te neće biti šta da se pročita sa nje sve i da neko pokuša Cold-Boot napad. Više o ovome u videu ispod.

Korisni linkovi:
Kako napraviti bekap celog sistema uz pomoć CloneZilla alata?
Besplatan i jednostavan online bekap na klaud serise – zašto ga bre ne koristite?

Postoji tu još dosta primera kako bi neko mogao da vam provali sve i svašta ako bi ukrao vaš laptop. Uglavnom ima tu dooosta stvari na koje treba obratiti pažnju. Recimo, ukoliko ste po socijalnim mrežama prijavljeni jednom imejl adresom, onaj ko se domogne login podataka te imejl adrese imaće u velikom broju slučajeva i pristup svim tim mrežama (i drugim servisima).

Ali opet, moram napomenuti, i sve ove zaštite, lozinke, kriptovanja i ostala čuda su relativna, i uvek se može desiti da se pronađe način za dešifrovanje istih. Nikad ne znaš kakvom tehnikom, recimo raspolaže FBI ili NSA. Da podsetim, NSA je Američka državna organizacija koja je špijunirala (a i dalje špijunia) ceo svet i kompletnu komunikaciju.

Naravno, mali je broj ljudi na svetu koji mogu da probiju recimo VeraCrypt, možda ih i nema tačnije najverovatnije ih nema, a opet, možda ih i ima. Na vama je da zakomplikujete stvari do kraja, jer šansa je 0.000001% da će baš jedan takav hakerski mozak da se dohvati baš vašeg ukradenog laptopa – sem ako niste terorista.

Napomena: Ovaj tekst je inicijalno napisan 2014-te, a ažuriran 07/11/2017.