Poradnik: Nie bądź bezbronny w sieci

Wygoda i bezpieczeństwo bez żadnych opłat – to obietnica, jaką operatorzy popularnych usług chmurowych (Google, Apple czy Dropbox) starają się zachęcić internautów do przechowywania prywatnych plików na korporacyjnych serwerach. Rzeczywistość nie jest jednak dla nich łaskawa: w ostatnim czasie co i rusz wychodzą na jaw kompromitujące wycieki danych, stawiające jakość zastosowanych zabezpieczeń pod znakiem zapytania.

Na początku września 2014 media lotem błyskawicy obiegła informacja, że nieznani sprawcy udostępnili w Sieci tysiące nagich zdjęć amerykańskich celebrytów. Hakerzy zdobyli je, włamując się na konta w usłudze Apple iCloud – gwiazdki przechowywały tam swoje pikantne zdjęcia i filmiki, nie troszcząc się o ich szyfrowanie. W połowie października wybuchł kolejny skandal: do Internetu trafiło wiele gigabajtów zdjęć przechwyconych z popularnego zwłaszcza wśród nastolatków komunikatora Snapchat. Źródłem wycieku okazały się źle zabezpieczone serwery Snapsaved – niezależnej usługi umożliwiającej zapisywanie i przechowywanie materiałów ze Snapchatu, który automatycznie kasuje wiadomości po 30 sekundach od pierwszego otwarcia.

Oba przypadki należy potraktować jako sygnał alarmowy: nigdy nie możemy być pewni, że nasze dane w usługach chmurowych są w pełni bezpieczne. To samo dotyczy załączników do emaili przechowywanych na serwerach operatorów poczty elektronicznej. Nie oznacza to wprawdzie, że powinniśmy całkowicie zrezygnować z internetowej chmury, ale jeśli zależy nam, żeby w razie ataku hakerów pliki były bezużyteczne dla włamywaczy, musimy je zaszyfrować. Dalej wyjaśniamy, jak wykorzystać do tego bezpłatne narzędzia do Windows oraz Androida, a także podpowiadamy, jak zabezpieczyć przed przechwyceniem emaile wraz z załącznikami. Przede wszystkim jednak należy pamiętać, że najsłabszym ogniwem łańcucha zabezpieczeń jest hasło otwierające dostęp do danych. Kiedy jest zbyt proste, nasze pliki są w niebezpieczeństwie!

Szyfrowanie w komputerze

Narzędzie Boxcryptor w okamgnieniu zaszyfruje cenne dane przed wysłaniem ich na serwer. Wyjaśniamy jego działanie na przykładzie wersji do Windows 7.

1) Instalujemy klienta usług

Żeby Boxcryptor mógł komunikować się z usługami chmurowymi takimi jak Dropbox czy Google, na komputerze muszą być zainstalowane ich programy klienckie. Klienta każdej usługi znajdziemy na jej stronie internetowej. Po jego zainstalowaniu folder synchronizacji danej usługi pojawi się w Eksploratorze Windows na liście „Ulubione”. Każdy plik umieszczony w tym folderze zostanie automatycznie załadowany na serwer odpowiedniego operatora.

2) Logujemy się do Boxcryptora

Pobierzmy klienta Boxcryptora ze strony www.boxcryptor.com i zainstalujmy go, po czym utwórzmy konto użytkownika za pomocą kreatora wyświetlonego po uruchomieniu programu. Ustalmy bezpieczne hasło, a na końcu wybierzmy bezpłatny plan taryfowy. Na wszelki wypadek hasło nie jest przekazywane operatorowi usługi Boxcryptor, dlatego nie ma on możliwości odtworzenia go, jeśli zdarzy nam się je zapomnieć. Najlepiej użyjmy ciągu złożonego z wielkich i małych liter oraz znaków specjalnych i cyfr, starając się jednocześnie, żeby był on łatwy do zapamiętania. Aby pogodzić te dwa pozornie sprzeczne wymagania, wykorzystajmy podobieństwo graficzne niektórych znaków i cyfr do liter, np. zamieńmy wyrażenie „CHIP Polska” na znaki „(H|P_p0£$|<4”.
3) Wskazujemy miejsce zapisu

Boxcryptor utworzy w komputerze wirtualny dysk i w tej formie będzie wyświetlany w Eksploratorze. Na dysku pojawi się szyfrowany katalog synchronizacji usługi chmurowej. Chcąc zaszyfrować katalog
innej usługi niż ta, która została wykryta automatycznie, kliknijmy prawym przyciskiem myszy ikonę Boxcryptora w Zasobniku systemowym i wybierzmy opcję »Settings«. Następnie w zakładce „Locations” usuńmy zaznaczenie przy aktywnej usłudze i zaznaczmy inną pozycję na liście. Bezpłatna wersja Boxcryptora obsługuje tylko jedną zewnętrzną usługę jednocześnie. Wersja narzędzia do systemu Mac OS X (od wersji 10.10) umożliwia szyfrowanie iClouda.
4) Szyfrujemy i dzielimy pliki

Każdy plik lub folder umieszczony na dysku Boxcryptora może natychmiast zostać zaszyfrowany i przesłany na serwer usługi chmurowej. Podczas tworzenia nowego elementu program zapyta, czy chcemy poddać go szyfrowaniu. Zaszyfrowane pliki i foldery łatwo rozpoznać po zielonej czcionce tytułów. Chcąc później zaszyfrować wybrany element albo przeciwnie, zrezygnować z jego szyfrowania, wydajmy odpowiednie polecenie poprzez menu kontekstowe. Chcąc udostępnić zaszyfrowane pliki zapisane w chmurze innym osobom, musimy nadać im stosowne uprawnienia. W tym celu kliknijmy interesujący nas element prawym przyciskiem myszy i wybierzmy z menu komendę »Manage permissions«. Później kliknijmy przycisk »Add User« i wprowadźmy adres osoby, której chcemy dać dostęp. By skorzystać z uzyskanych w ten sposób uprawnień, osoba ta również musi być zarejestrowana w usłudze Boxcryptor.

Szyfrowanie przez aplikację

Oprócz klienta desktopowego Boxcryptor udostępnia app umożliwiający korzystanie z zaszyfrowanych danych na urządzeniach mobilnych. Prezentujemy jego wersję przeznaczoną do Androida.

1) Instalujemy program i logujemy się

Pobierzmy ze sklepu Google Play app Boxcryptor – program jest kompatybilny ze wszystkimi urządzeniami z Androidem od wersji 2.3.3. Po jego uruchomieniu zalogujmy się na konto użytkownika usługi albo zarejestrujmy się, jeśli nie zrobiliśmy tego wcześniej.

2) Dodajemy usługi chmurowe

Po zalogowaniu zobaczymy po lewej stronie ekranu rozwinięte menu – gdyby się ono nie pojawiło, dotknijmy lewą krawędź ekranu i przeciągnijmy ją w prawo. Dotknijmy przycisk »Add Provider« (rys. 2a), po czym wybierzmy z listy usługę chmurową, dla której chcemy aktywować szyfrowanie. Następnie app przekieruje nas na ekran logowania usługi, gdzie musimy podać poprawne dane dostępowe. Bezpłatny pakiet współpracuje tylko z jedną usługą naraz, więc wybierzmy tę samą, którą wskazaliśmy w wersji desktopowej.

3) Zarządzamy folderami i plikami

Główny ekran appu zajmowany jest przez menedżera plików, w którym widać całą zawartość naszej chmury. Zielona czcionka w nazwie pliku oznacza, że dane są zaszyfrowane. Chcąc zmienić nazwę, skopiować lub przenieść plik czy folder, przytrzymajmy go palcem, a następnie dotknijmy przycisk z trzema kropkami ułożonymi pionowo znajdujący się na dolnym pasku.

4) Przechowujemy i udostępniamy pliki

Aby zaszyfrować plik z pamięci smartfonu i załadować go do chmury, dotknijmy strzałkę w prawym dolnym rogu ekranu appu. Następnie wybierzmy jeden lub kilka plików czy folderów i dotknijmy przycisk »OK«. Na koniec w wyświetlonym komunikacie wskażmy opcję »Upload Encrypted« (zdarza się, że cała etykieta nie jest widoczna – chodzi o przycisk w prawym dolnym rogu – zdj. 4). Aby udostępnić plik innej osobie, przytrzymajmy go palcem, żeby go zaznaczyć, po czym dotknijmy przycisk z ikoną udostępniania na dolnym pasku. Później wybierzmy metodę udostępniania (np. przez email lub WhatsApp). Uwaga: inaczej niż w wersji desktopowej, nie możemy udostępnić zaszyfrowanego pliku – w tym przypadku dane są dekodowane przed wysłaniem do adresata.

5) Konfigurujemy archiwizację zdjęć

Boxcryptor może automatycznie szyfrować i wysyłać do chmury zdjęcia zrobione aparatem smartfonu. Aby aktywować tę funkcję, przejdźmy z ekranu głównego do bocznego paska menu, dotknijmy przycisk »Settings«. W sekcji »Camera upload« wskażmy docelowy folder zdjęć i zaznaczmy pole »Enable camera upload«. Aktywujmy również opcję »Require wifi connection«, żeby przesyłanie fotografi i nie „zużywało” pakietu danych w sieci mobilnej.

6) Ustalamy PIN

Dostęp do appu możemy zabezpieczyć kodem PIN. W tym celu wykorzystajmy opcję »Settings | App unlock | Setup PIN unlock«.

Szyfrowanie e-maili

Do szyfrowania elektronicznej korespondencji warto wykorzystać opensource’owe programy GNU Privacy Guard (GPG), Kleopatra oraz Thunderbirda z rozszerzeniem Enigmail.

1) Wybieramy usługę z zabezpieczeniem PFS

Chociaż narzędzia GPG dotychczas nie udało się złamać hakerom, jego achillesową piętą pozostaje proces wymiany kluczy szyfrujących oparty na starym standardzie OpenPGP. Wobec tego powinniśmy

założyć konto pocztowe w usłudze, która w trakcie wymiany kluczy między serwerem a użytkownikiem wykorzystuje nowszą procedurę Perfect Forward Secrecy, utrudniającą przechwycenie i odszyfrowanie późniejszej komunikacji. Autoryzację przez PFS obsługuje już popularny Gmail, a spośród krajowych serwisów m.in. Onet, Interia oraz Poczta.pl.

2) Konfigurujemy Gpg4win

Pobierzmy narzędzie Gpg4win ze strony gpg4win.org i zainstalujmyje. W typowych warunkach możemy się nim posługiwać, korzystając ze zwykłego konta użytkownika Windows z uprawnieniami administracyjnymi, ale chcąc zapewnić sobie wyższy poziom bezpieczeństwa, stwórzmy osobne konto o ograniczonych uprawnieniach, służące tylko do szyfrowanej komunikacji. W ten sposób uniemożliwimy dostęp do danych naszego codziennego konta z poziomu programu pocztowego.

3) Generujemy klucz

Otwórzmy menedżera kluczy szyfrujących Kleopatra, który został zainstalowany wraz z narzędziem Gpg4win. Później aktywujmy kreator kluczy, wydając polecenie »File | New certificate«, i wprowadźmy w nim swoje imię i nazwisko oraz email. Następnie przejdźmy na kolejny ekran i podajmy bezpieczne, a jednocześnie łatwe do zapamiętania hasło. Zignorujmy opcje na ostatnim ekranie – kliknijmy przycisk »Finish«, aby zakończyć generowanie pary kluczy.

4) Konfigurujemy Thunderbirda i Enigmaila

Pobierzmy klienta pocztowego Thunderbird ze strony internetowej mozilla.org/pl/thunderbird/ i zainstalujmy go, po czym wprowadźmy w nim dane swojej skrzynki emailowej. Gdy używa się Gmaila czy innej znanej usługi, wystarczy podać adres i hasło, za pomocą którego logujemy się do internetowego serwisu pocztowego. Aby skonfigurować rozszerzenie Enigmail, przy aktywnym oknie Thunderbirda wciśnijmy klawisz [Alt] w celu wywołania menu, a później wydajmy polecenie »Narzędzia | Dodatki«. Wprowadźmy w polu wyszukiwania nazwę „Enigmail”, po czym wciśnijmy [Enter]. Na początku listy wyników znajdziemy aktualną wersję rozszerzenia. Kliknijmy widoczny obok przycisk »Zainstaluj«. Po zakończeniu instalacji i ponownym uruchomieniu Thunderbirda powita nas kreator konfiguracji Enigmaila (częściowo spolszczony). Wybierzmy w nim opcje »Convenient auto encryption«, »Dont’t sign my messages by default« oraz »Zmienić niektóre opcje: Tak«. W oknie „Wybór klucza” kliknijmy klucz, który wygenerowaliśmy za pomocą Kleopatry.

5) Szyfrujemy wiadomości i załączniki

Niezaszyfrowane wiadomości możemy nadal wysyłać i odbierać w zwykły sposób za pośrednictwem Thunderbirda lub interfejsu internetowego konta pocztowego. Chcąc wysłać zaszyfrowaną wiadomość, najpierw poprośmy odbiorcę o przesłanie nam swojego klucza publicznego. Następnie zapiszmy go na dysku twardym i zaimportujmy do narzędzia Kleopatra, klikając w jego oknie przycisk »Import Certificates«. Później zredagujmy wiadomość i dodajmy do niej załączniki, po czym w oknie edycji rozwińmy menu „Enigmail”, którego dwie pierwsze pozycje informują o aktualnym stanie szyfrowania oraz podpisywania emaila. Domyślnie wiadomości nie są szyfrowane ani opatrywane cyfrowym podpisem Aby zmienić ustawienie danej funkcji, rozwińmy odpowiedni wpis i kliknijmy stosowną opcję. Szyfrując wiadomość, koniecznie dodajmy do niej cyfrowy podpis, żeby odbiorca mógł sprawdzić, czy faktycznie pochodzi ona od nas. Kiedy email będzie gotowy, kliknijmy przycisk »Wyślij«, a Enigmail zaszyfruje tekst oraz załączniki przed przesłaniem ich do serwera pocztowego, gwarantując nam zachowanie tajemnicy korespondencji.

6) Odbieramy zaszyfrowane emaile

Osoba chcąca wysłać nam zaszyfrowaną wiadomość będzie potrzebowała Enigmaila (albo innego programu obsługującego OpenPGP, np. Claws Mail) oraz naszego klucza publicznego. Taki klucz musimy wysłać jej uprzednio w zwykłym, niezaszyfrowanym emailu – w oknie jego edycji rozwińmy menu „Enigmail” i wydajmy polecenie »Załącz mój klucz publiczny«. Kiedy otrzymamy wiadomość zaszyfrowaną tym kluczem, Enigmail poprosi nas o podanie hasła. Aby odszyfrować i zapisać załącznik, kliknijmy go prawym przyciskiem myszy i wydajmy odpowiednią komendę poprzez menu kontekstowe.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.