Невзламываемый сейф из данных за 5 минут.



Все зашифровать (тренд)
Вдумчиво шифруем.

Хакеры и службы безопасности все легче получают доступ к нашим данным. Однако, с использованием правильных средств (Tools) существует способ надежно защитить все системы - быстро и без потерь в удобстве дальнейшей работы.

В те времена, когда Эдвард Сноуден информировал мир о секретных программах по сбору данных вездесущих секретных служб, у него была цель: прекратить в будущем тотальное наблюдение. Однако, в настоящий момент не складывается впечатление, что Сноуден достиг своего. Уже в начале декабря ФБР получило широкие полномочия, которые позволяют заниматься шпионажем над компьютерами государственных служащих, работающих за океаном, например, в Германии. Многие политики едины во мнении: под президентством Трампа службы получат ещё больше прав. Великобритания уже постановила: секретные службы после 29 ноября имеют все правовые основания на массовый сбор данных по принципу full-take. Для Сноудена это "экстремальное наблюдение за западной демократией". И он не одинок в такой оценке, служащие EU по вопросам защиты информации видят ситуацию «хуже, чем угрожающее».

Сподвижники сбора данных охотно затевают игру в принцип мне-нечего-скрывать. Минусы такого подхода: если секретные службы вмешиваются без границ в личные данные и контакты, то существует опасность злоупотреблений и искажений. В Германии одни из лучших в мире законов по защите данных, но даже в ней становится опасно для наших данных, скажем через новый закон BND. Положите данные в облако, они окажутся во многих случаях в разных юридических ответственностях. Однако, существуют способы, надежно защитить данные. Это советовал ещё Сноуден: шифрование. Почему же этим до сих пор не многие пользуются: падает комфорт в использовании устройств. С нашими советами не придётся выбирать между безопасностью и комфортом. Мы покажем, как надёжно шифровать ваши данные на локальном компьютере, на смартфоне и в облаке. Особое внимание мы уделим простой настройке и прекрасному закрытию информации через уже встроенные системы, чтобы ваши чувствительные данные были стойки не только перед секретными службами, но их бы не коснулись хакерские атаки, поскольку если службам не расшифровать ваши данные, то это будет не под силу и вебзлодеям.

"Для каждой атаки существует методика защиты." Эдвард Сноуден, Разоблачитель. По Сноудену самое разумное, распространять по возможности меньше частной информации.


Защита данных на PC и на лэптопах.

Начнём с Windows. Ваши данные на домашнем компьютере лучше всего защитить полным шифрованием всего локального диска. Специально для старых РС с низкой производительностью целесообразно шифрование отдельных папок. Мы расскажем вам далее об обеих опциях.

Использование hardware-шифрования.

Шифрование современных жестких дисков проще, чем кажется, поскольку в их составе уже находятся методики шифрования. Диски используют для этого Opal SSC (Opal Security Subsystem Class). Этот стандарт позволяет производить шифрование диска непосредственно с контроллера устройства хранения. Операционная система при этом остаётся полностью не задействована. О поддержки Opal вашего диска можно узнать в спецификации продукта на вебсайте производителя. Там же вы найдёте советы по активации этой функции - в случае Samsung это программа Magician. Диск, после активации, перед стартом операционной системы будет запрашивать выбранный вами пароль. На две вещи следует, однако, обратить внимание: не используйте в паре с данным решением других шифровальных программ для дисков, например, Bitlocker Windows. Это приводит часто к проблемам – многие пользователи сталкиваются в таком случае с потерей данных. Кроме того, перед демонтажом диска вам следует шифрование деактивировать, поскольку программа декодирования включается только тогда, если диск используется в качестве загрузочного. Если же подключить накопитель через USB к другому компьютеру, то он будет видеться, как полностью пустой.


Hide details for Крипто-алгоритмы для кодирования данныхКрипто-алгоритмы для кодирования данных

>AES (Advanced Encryption Standard)
Последователь стандарта DES. Начиная от длины ключа 192 и больше ключ считается надёжным, то есть, АЕS – 192.
>DES (Data Encryption Standard)
Разработан IBM и NSA. Используйте только новые версии, как 3DES или Tripple-DES.
> Twofish
Доступная, как public domain key. Среди экспертов признана очень надёжной, лишенной лазеек.

Шифрование жёсткого диска программным обеспечением.

Windows также предлагает родное программное обеспечение для шифрования жёсткого диска – Bitlocker. Однако, возможность доступна только для Windows 10 Pro и Enterprise. Владельцы версии Home могут использовать альтернативное свободное ПО VeraCript. После запуска VeraCript выберете опцию «Encrypt the system partition or entire system drive". В новом окне выбираем "Normal" и следом «Encrypt the whole drive". При этом все данные на системной партиции и на всех других партициях будет позже закодированы. Следующее окно Pop-up спрашивает о необходимости шифрования скрытых патриций. Предпочтительно ответить "Yes". Продумайте при этом, что программное обеспечение зашифрует патрицию восстановления (Recovery partition). Некоторые предприятия используют эту патрицию, чтобы стартовать с неё до Boot загрузки. Чтобы застраховать себя от неприятностей, в конце диалога следует создать диск восстановления (Rescue disk) - VeraCrypt предложит это автоматически.

Кодирование отдельных папок.

На особенно медленных или старых компьютерах следует отказаться от полного шифрования. Здесь предпочтительно создать так называемый контейнер. При этом создаётся виртуальный диск, который копит конфиденциальные данные. Информация автоматически шифруется и находится на вашем жестком диске. Также для этих целей можно использовать ПО VeraCrypt. Для этого в установочном диалоговом окне выберете опцию «Create an encrypted file container" и следуйте рекомендациям программы.

Максимально обезопасить мобильные системы

Мобильные устройства представляют особый интерес для воровства данных, поскольку содержат много личной информации. Не смотря на это устройства часто не достаточно защищены. Особенно легко взломать Android в силу своей открытой архитектуры. Тут наиболее важно всесторонне и хорошо защитить данные.

Защита iOS от взломщиков

Пользователи Apple не могут самостоятельно закрывать систему, но им это и не требуется, поскольку за них это сделал Apple. Шифрование, однако, будет использовано только тогда, когда вы защитите устройство паролем. Даже ФБР в подобном случае, чтобы добраться до системы придётся предпринять экстремальные усилия. Но это станет совершенно не возможным, если владелец выберет опцию "Алфавитно-цифровой код". Код вы можете ввести в настройках во вкладке "touch id и код-пароль/изменить код". Нажмите на опции кода и активируйте "собственный алфавитно-цифровой код". Данные на устройстве надёжно защищены, но крючок там все же есть: данные, лежащие на серверах Apple через iCloud-Backup могут стать доступными правительству через решение суда и без пин-кодов. Если на вашем устройстве находятся особенно чувствительная к раскрытию информация, вам потребуется деактивировать функцию iCloud-Backup и использовать только локальные копии . iCloud-Backup выключается в настройках в "iCloude / Backup". Для удаления уже имеющихся копий на Apple-серверах переходим в «Настройки / iCloud / Хранилище / Управление". Выбираем там требуемую резервную копию и жмём "удалить". Локальную резервную копию можно выполнить при помощь iTunes. Предусмотрите на неё пароль. К такой резервной копии нет доступа даже у Apple.

--------


Hide details for USB-флэшки с шифрованиемUSB-флэшки с шифрованием

Только в одной Германии за год покупается USB-флэшек на сумму свыше 180.000.000 €. Маленькие накопители очень практичны, но их легко теряют. Если там имеется конфиденциальная информация, то она легко доступна нашедшему. Не допустить этого позволит USB-флэш, полностью закрытая AES-шифрованием.

> минимум затрат для доступа к такой флешке будет при шифровании этой флешки программным способом. Например, используя VeraCrypt. Недостатки: Данное программное обеспечение надо иметь на каждом компьютере, где вы планируете пользоваться флэшкой.

> Самым надёжным решением, является флешка с уже встроенным шифрованием, например DataTraveler 2000 от Kingston. Устройства будут приблизительно на 100 € дороже обычных вариантов. Доступ к данным можно получить только после того, как будет сведён код на интегрированной клавиатуре.

> Наибольший комфорт предлагает BS-Drive. На флэшке интегрирован сканер отпечатка пальца. Флэшка будет опознана операционной системой после выполненной аутентификации, данные которой зашифрованы надежным AES ключом . Подобный Супер-стик, конечно, не из дешевых. Если вы хотите быть на 100 % уверены в своих данных, вам надо будет за него выложить сумму порядка 290 €.

Так ли ужасен хакер-телефон.

Исполнитель главных ролей в телевизионном сериале "Mr. Robot" используют специальный смартфон и средство для копирования симкарты своих собеседников. Такие и подобные трюки все чаще появляются на телевидении, но возможно ли это в реальности? Для Yolanda Smith, главного разработчике в Pwnie Express, копирование симкарты является возможным сценарием. Pwnie, среди прочего, производит смартфон (Pentesting-smartphone, pwnieexpress.com), который может прослушивать сети мобильной связи. Подобное устройство используют и протагонист в Mr.Robot. Подобный хакерский телефон вы можете между тем совершенно легально приобрести и прочитать сетевой трафик. Его стоимость около 1000 €. Однако, в любом случае, для взламывания шифрования требуется физический доступ к симке или специальный Stingray-Box. Их используют служащие и службы безопасности для наблюдения за мобильными телефонами. То, каким способом они могли бы клонировать симкарту, объясняет Smith так: Используя известную брешь в сетях сотовой связи SS7, все звонки перенаправляются через отдельный прокси. Таким образом, можно было бы подслушивать все телефонные разговоры. Защитить себя могут лишь только те пользователи, которые используют комплексное шифрование. Как это конкретно работает читайте дальше в нашей статье в разделе "звонить, без прослушки".

Защитить андроид

В андроид вшита системы шифрования. Для её активирования нажмите "Настройки / Безопасность "и выберите "Шифровать телефон ". В любом случае здесь есть тонкости. Со одной стороны, данная функция доступна не на всех устройствах. С другой стороны, включение опции шифрования в некоторых случаях влияет на производительность. В любом случае, попробуйте активировать данную функцию – шифрование можно без проблем деактивировать. С точки зрения комплексного шифрования на андроид сложнее защитить личные данные, чем на iOS. Но одно вам следует в любом случае выполнить: не выкладывайте бэкап телефона на Google. Защитите содержимое, также как и на iOS, локально на защищенному компьютере. Для этого может служить программное обеспечение MyPhoneExplorer. Программа создает копии почти со всех андроид устройств. Бэкап можно делать с комфортом через WLAN. Перед тем как инсталлировать программное обеспечение на вашей Desktop, инсталлируется программа для андроида MyPhoneExplorer на ваш смартфон. Затем устанавливается связь со смартфоном через настройку "Данные / Соединить". Какие данные следует сохранить вы можете выбрать в настройках «Данные / Установки / MultiSync ".

Шифрование облачных служб.

В случае хранения данных с использованием ресурсов облачных сервисов, таких, как Dropbox или Google Drive, данные становятся доступны для использования третьими лицами. Чтобы не допустить такого любопытства, следует загружать «в облака» уже шифрованные данные.

Используйте проверенное ПО.

Используйте программу Boxcryptor. Она шифрует содержимое Dropbox&Co. собственным паролем. Как-будто шифрование должно сказываться на комфорте пользователей, но этого не происходит. Все что вам требуется - программа Boxcryptor на любом конечном устройстве. Программа за- и расшифровывает данные в фоновом режиме, пока вы перемещаете их между собой и Cloud. Таких программ, как Boxcryptor множество, но преимуществом является то, что разработчик немецкий и программное обеспечение подлежит местным согласованиям на безопасность данных. Кроме того, у Boxcryptor самого отсутствует доступ к ключу шифрования. Если вы забыли свой пароль, тогда ваши данные безвозвратно пропали.

Первым шагом вам следует создать Boxcryptor- аккаунт. Этим аккаунтом в последствии шифруются все данные. Проинсталлируйте Desktop-клиент и создайте с его помощью Boxcryptor-аккаунт. Boxcryptor видится как виртуальный жесткий диск на вашем PC, а в проводнике присутствует папка для облачных служб. Когда вы размещаете данные в соответствующей папке, то они по вашему желанию шифруется.

Если вам понадобится поделиться зашифрованной информацией с другими людьми, вам придётся сначала предоставить им права доступа. Это можно настроить меню "Управление группами" Desktop-программы. Единственный минус: эта функция не доступна на бесплатном аккаунте. Альтернативой является копирование данных на закрытый компьютер и шифрование их программой VeraCrypt, а зашифрованный файл уже поместить в выбранную облачную службу. Получателю вы сможете в последствие отправить ссылку по закрытой почте на скачивание и соответствующий пароль.

Защита данных смартфоном.

Если вы планируете читать шифрованные облачные данные, вам потребуется приложение Boxcryptor, который существует для всех операционных систем. После инсталляции откройте приложение и залогиньтесь со своим аккаунтом. Следующим шагом выберите облачную службу под соответствующим символом и внесите данные для входа. Чтобы выложить в облако данные со смартфона в шифрованном виде, нажмите в главном окне приложения соответствующую облачную службу и выберете нужное количество данных и папок. Boxcryptor при этом интересуется, должны ли данные загружаться в шифрованном виде.

Для передачи данных третьим лицам держите дольше палец нажатым и выберете после символ «Делиться» слева внизу. Теперь вы можете выбрать способ передачи данных между e-mail или WhatsApp. Имейте только ввиду, что пересылка осуществляется в полностью нешифрованном виде, поскольку приложение сначала декодирует файл, а уже потом следующим шагом его отправляет.

Защита почты и почтового ящика.

Для секретных служб максимально полезной источником информации является почта. Во многих почтовых службах можно быстро и легко вытянуть почти всю жизнь человека. Провайдеры почтовых служб мало что делают для противодействия этому. Мы продемонстрируем вам, как можно без потери существенного комфорта защитить почтовый аккаунт и шифровать переписку. В любом случае, для надёжной защиты вы нуждаетесь в новом адресе электронной почты.

Создать надёжный почтовый аккаунт.

Если ваш аккаунт имеется в Google, другими словами в США, то это проблема: с помощью судебных решений американские служащие получают неограниченный доступ к вашему аккаунту. По словам Сноудена вторжения идут и сильно дальше. NSA получает доступ к данным и без судебных решений. Летом этого года стало известно, что Yahoo даёт доступ к данным американским служащим по запросу. Но даже если ваш аккаунт находится в Германии ваши данные не на 100 процентов защищены. В случае подозрений секретная G-10-комиссия даёт разрешение на доступ служащих к вашему аккаунту. Такого доступа вы избежите, если будете использовать почтовую службу, которая шифрует почтовые ящики, например, Proton-mail в Швейцарии. Если вы здесь создаёте аккаунт, вам потребуется выдумать два пароля. Один из них служит ли доступа к аккаунту, второй для расшифровки почтового ящика. Пароль для почтового ящика вам нельзя ни в коем случае терять, иначе вся ваша информация пропадёт . Дополнительной защитой является возможность отказаться от восстановления аккаунт-пароля. Это можно установить в настройках, после того, как вы залогинились. В «Account» нажмите в "allow password recovery" опцию "disabled ". Для использования ProtonMail вам в любом случае потребуется новый адрес электронной почты. Если только вы не используете собственного почтового домена. В этом случае вы можете его перенаправить через Proton-Mail. Использование собственного домена имеет свои преимущества, поскольку вы сохраняете свои адреса при переезде на другого провайдера. Такой домен вы можете получить за примерно один евро в месяц. Если вы решитесь на домен .com, например ВашаФамилия.com, вы сможете у некоторых провайдеров, как GoDaddy, заказать защиту данных. При этом вы можете остаться анонимным владельцем домена, он будет зарегистрирован через посредника.


Hide details for Доступ к важнейшим службам попадает в чужие руки проще, чем это можно представить.Доступ к важнейшим службам попадает в чужие руки проще, чем это можно представить.

Доступ к важнейшим службам попадает в чужие руки проще, чем это можно представить. Достаточно будет того, если вы используете одинаковый пароль для многих вэбсайтов, один из которых будет взломан. В самом плохом случае ваш лэптоп или смартфон окажется инфицирован троянцем, сборщиком данных. Полезным окажется двухфакторная аутентификация (2FA). Дополнительно к логину и паролю вам потребуется с каждым входом вводить одноразовый пароль. Такие пароли обычно можно получить через приложение на ваш смартфон. Приложение можно защитить ПИНом или отпечатком пальца. Многие сайты уже поддерживают 2FA (двухфакторную аутентификацию). Кроме Amazon, такая поддержка есть у Google, Dropbox и Microsoft. Полный перечень служб и сайтов вы найдёте на странице twofactorauth.org. Для Android лучше использовать приложение Authy. Для iOS использовать можно OTP Auth. Однако, немецкие службы е-мейл не поддерживают двухфакторную аутентификацию. Здесь важно использовать надёжный и не повторяющийся пароль. -----------

Отправка шифрованной почты

Когда аккаунт и почтовый ящик защищены мы поговорим о шифровании сообщений. Во-первых, вам потребуется пара ключей, которыми вы будете шифровать сообщения. Используйте для этого Gpg4win и имеющийся с ним сервис Kleopatra. В Клеопатре создайте новую пару ключей через меню "данные / новый сертификат ". Для того чтобы теперь отправлять почту этой парой ключей вам потребуется плагин для браузера Mailvelope. Вам не прийдется его подробно конфигурировать, для большинства почтовых провайдеров имеются готовые преднастройки. Ваши ключи вы экспортируйте из Клеопатры в данный плагин. Для этого вы открываете в Клеопатре Меню "мои сертификаты "и выбираете там "секретные ключи экспортировать ". Используйте опцию "ASCII-укрытие" и сохраните вашу пару ключей. В Mailvelope Нажмите на опцию "управление ключами/импортировать ключ ". Для отправки сообщения залогиньтесь обычным способом к провайдеру почты - соответствующая опция появится автоматически при отправке сообщения. Дешифрация происходит также автоматически, через плагин браузера.

Сделать коммуникации надёжными.

При отправке коротких сообщений и при телефонных разговоров установить шифрованные соединение легче, чем это представляют. Основные Messenger уже автоматически используют шифрование точка-точка.

Выбор правильного Messenger.

Проблема Messenger не шифрование, а возможность логирования метаданных. Какой Messenger является лучшим читайте в отдельном разделе статьи. Сноуден, например, рекомендовал приложение Signal. Его выбор действительно хорош, поскольку к этому же выводу пришли исследователи в области безопасности из университета Оксфорд, Queensland и Макмастер. Насколько мало данных логирует Signal показывает информация, вследствие известного запроса американского суда к Open Whisper Systems "OWS", производителя Signal-App. Единственные данные, которые OWS смог сообщить, были момент времени регистрации и последнего использования. Единственный недостаток: у Signal-Messenger почти нет пользователей. В то же время известные всем Messenger WhatsApp а также Facebook используют протокол-Signal. Благодаря этому данные надёжно шифруется. В Messenger Facebook Вам потребуется в любом случае сначала активировать эту функцию в меню "Я/секретные переговоры ". В WhatsApp и Facebook сообщение не прочитать, но Метаданные Facebook полностью хранит. Лучшим решением будет перевести всех ваших знакомых на Signal. Однако, несмотря на все предупреждения, многие предпочтут остаться на WhatsApp.

В WhatsApp убедитесь, что как можно меньше информации бегает через фирменный сервер. Для этого перейдите в настройки приложения и деактивируйте через "защиту данных/конфиденциальность "все три верхние опции". Также "подтверждения о прочтении "вам надлежит выключить. Таким образом, вы передаёте на WhatsApp сервер минимальное количество метаданных.

Если вам повезёт, то вы сможете переориентировать людей, с которыми интенсивно общаетесь, использовать Signal-App. С точки зрения безопасности и защиты данных в настоящий момент нет ничего лучшего. Signal доступен в настоящий момент для iOS и андроид. Разработчики следующим шагом в новых версиях собираются ориентироваться на WhatsApp в вопросах удобства пользования.


Hide details for Наиболее защищенный MessengerНаиболее защищенный Messenger

>WhatsApp. С момента получения приложения Facebook-ом базы данных предприятий «точат зубы». В перспективе информация обычных WhatsApp-юзеров будет синхронизирована с Facebook, что позволит предприятиям получить ещё более точный профиль пользователя. При этом Messenger принципиально очень надёжный. Активное шифрование для пользователей Видео- и голосовой телефонии находится на высоте.

>Signal. Наиболее надёжным Messenger в настоящее время является Signal. Отличное шифрование, оптимальный профиль защиты данных: Messenger запоминает исключительно момент регистрации и последнего использования. В моменте удобства пользования приложению надо ещё много сделать.

>Threema. Много лучше с этим обстоят дела у швейцарского Messenger Threema. Полное шифрование, минимальное запоминание данных и хорошее ведение пользователей делают программу лучшим Messenger. Минус: ещё очень мало фанатов этого приложения. Но это ещё может измениться: после американских выборов Threema может получить прирост пользователей на почти 40 %.



Звонить, не опасаясь прослушки.

Для ежедневных телефонных разговоров со смартфона на смартфон вам не обязательно сразу покупать крипто-телефон, который сразу шифрует разговоры. Основные Messenger-ы имеют встроенный телефон, который вы можете бесплатно использовать. Преимущество этого не только в том, что вы шифруете свои переговоры, но и звоните бесплатно. Все что вам для этого требуется – доступ в Интернет. Задумайтесь, однако, при этом, что за минуту будет использовано около 1 МБ данных. Если вы будете хотя бы один час в день звонить таким образом, то за месяц набежит примерно 1,8 ГБ. При более длительных разговорах используйте лучше сети WLAN .
Маленький трюк поможет вам снизить количество данных. В "настройки/ использование данных и места хранения" активируйте опцию "минимальное использование данных". Приложение при этом не используют HD Voice, качество разговора снизится, но при этом количество данных уменьшится.


Если вы воспользовались всеми советами этой статьи, ваши данные хорошо защищены против атак. Во многих случаях даже секретные службы не имеют ни одного шанса добраться до ваших данных. Конечно, 100 процентной защиты не существует, однако сейчас ваши данные могут быть прочитаны только с очень большими усилиями, поскольку они оптимально зашифрованы и надёжно защищены.

Перевод с немецкого языка. Журнал Chip. 2017