Tag Archives: Sikkerheit

Google viser deg om e-posten går over sikker kanal

motteke ukryptertOm du brukar Gmail har du kanskje lagt merke til ei lita raud, open hengelås ved mottak eller oppretting av e-post.

I februar introduserte Google ny fuksjonalitet på Gmail som skal gi deg som mottakar eller avsendar moglegheit for å sjå om e-posten går over ein sikker kanal. I bilete ser du eit eksempel på ein e-post eg har motteke frå ein avsendar som ikkje støttar kryptering. Den opne, raude hengelåsen indikerar at e-posten har godt som eit postkort som alle og einkvar kan lese innhaldet på vegen.

ukryptert til mottakarSkriv eg e-post til mottakar ser eg med ein gong om e-posten vil gå over sikker kanal. I dette tilfellet går e-posten ukryptert.

For alle avsendarar (og mottakarar) som støttar e-post over sikker kanal,  vil du ikkje sjå nokon form for hengelås. Det er med andre berre ein indikator – open, raud hengelås – som vil varsle deg om innholdet i e-posten din ikkje går sikra over internett mot uvedkomande.kryptert til mottakar

 

Tåkelegg skya for godt

Som eg har vore innom i tidlegare innlegg, kan tryggleiken til filer lagra på nettet vere so som so. Eg viser til:

For å vere heilt sikker på at ingen kan lese dine data, må du kryptere alle data som blir lasta opp. Sjølv om aviser hevdar at NSA knekker kryptering, har eg ikkje sett konkret dokumentasjon på det. Med utgongspunkt i Dropbox, vel eg likevel å skissere ei totalløysing med EncFS. Du vil fort forstå at ho er enkel å tilpasse alle skytenester som SkyDrive, GoogleDrive osv. Formålet er å ikkje gi ut nokon informasjon om di sikring av filene dine.

  1. Det første du må gjere er å installere programvare i innlegget EncFS sikrar dine filer på nettet.
  2. Sett standardinnstillingar slik som skissert i EncFS sikrar dine filer på nettet.

Når alt er installert og du har starta EncFS for Windows, vil det kome opp ein nøkkel i systemfeltet (system tray) nede til høgre i skjermbilete av Windows:

  1. Høgreklikk på nøkkelen
  2. Vel Open/Create
  3. Opprett ei mappe under ditt brukarnamn med t.d. namnet Skya
  4. Vel stasjon, i mitt eksempel brukar eg stasjon S,  som skal vere “redigeringskanalen”. Stasjonen gir tilgang “on-the-fly” til den dekryptert versjonen av filene.
  5. Lag eit godt passord eller setning

Det som har skjedd no er at det er oppretta ei fil .encfs6.xlm i mappa Skya. Du skal aldri kopiere filer eller mapper over i mappa Skya. Alle mapper og filer som blir skrivne via den virtuelle stasjonen (stasjon S i mitt eksempel) i EncFS, blir kryptert etter innstillingane i .encfs6.xml og lagra i mappa Skya. Fila .encfs6.xml  inneheld ikkje passordet/setningen i klartekst, men i lys av udokumenterte påstandar i media, vel eg å fjerne informasjonen frå likninga. Utan fila eliminerer ein fleire variablar som gjer det umogleg å få tilgang til informasjonen i filene du lastar opp. Eg treng vel ikkje minne deg om at du må ta backup av .encfs6.xml? Utan fila får du ikkje tilgang til dine data. Ikkje eingong NSA eller høgare makter kan hjelpe deg.

  1. Monter mappa til stasjon ved å klikke på nøkkelen system feltet og velje Mount
  2. Opprett ei mappe Dropbox på stasjon S
  3. Flytt alt frå den originale Dropbox-mappa til S:\Dropbox
  4. Vent til Dropbox-appen slettar alle filer
  5. Når Dropbox-appen er ferdig, avslutt Dropbox-appen
  6. Når Dropbox-appen er avslutta, slett mappa Dropbox frå brukarmappa di i Windows, ikkje S:\Dropbox

Dropbox-appen har hardkoda Dropbox som mappenamn. Uansett kor du peikar han slenger han på Dropbox. Om du ser under mappa Skya vil du sjå det krypterte namnet til mappa S:\Dropbox. Her ser du korleis det ser ut hjå meg:

enfsdropbox

Det du må gjere er å lage ein link med namn Dropbox under brukarområdet ditt til det krypterte namnet til Dropbox-mappa under mappa Skya. Dette må gjerast frå kommandolina/Ledetekst i Windows:

  1. Opne Ledetekst under Alle programmer\Tilbehør i Start-menyen
  2. Skriv mklink /J Dropbox «C:\Users\<brukarnamnet ditt>\Skya\<Kryptert namn til Dropbox-katalogen>»
  3. Sjekk at lenka fungerer frå Windows utforskar
  4. Når alt fungerer, start Dropbox-appen
  5. Opplasting av krypterte filer startar

Når det gjeld punkt 2, er det viktig at du bruker hermeteikn rundt stien som linken skal peike til. Årsaka er at det kan kome bindeteikn tilsvarande mellomrom frå krypteringa av mappenamnet. Utan hermeteikn kan linken bli feil.

Alt som du lagrar i S:\Dropbox\ bli lasta opp kryptert. Her ser du korleis det set ut hjå meg:

dropbox

Det siste du bør gjere er å logge deg på http://www.dropbox.com og slå på visning av sletta filer og mapper og fjerne desse for godt.

Fullstendig kryptering av Android

kryptere telefonTelefonane våre har vorte meir og meir eit sentralt hjelpemiddel i det daglege liv. Vi tek bilete og video, utvekslar meldingar, er tilkopla sosiale medier, lastar ned e-post frå ulike kjelder med meir. Kort sagt mykje personlege og eventuelt data frå arbeidsgivar blir samla på einingen. Ved eit tap eller avhending utan eit visst forabeid, kan det få store konsekvensar. I Sverige har ein testa 50 telefonar som tidlegare var brukt av verksemder:

http://e24.no/it/fant-sensitiv-informasjon-paa-en-av-tre-mobiler/20330071

Telefonane var tilbakestilt til fabrikkinnstillingar, men det er ikkje nok. Det betyr berre at standard konfigurasjonsfiler er kopiert over dine og dine data er «sletta». Du kan tru at det er borte, men i realiteten har du berre rive ut innhaldslista av ei bok. Sider blir berre erstatta etter kvart som ein fyller på med nye data. Med dei rette verktøya er det ikkje noko hokus pokus å hente tilbake, bilete, videoar, e-post osv.

Kryptere telefon

Dei fleste er van med å setje ein pin-kode på telefonen for å låse den. Ein iPhone blir automatisk kryptert når du set pin-kode eller passord.  I Android 3+ må du aktivt velje å kryptere telefonen, der er det ingen automatikk at data blir kryptert når telefonen får sett skjermlås.

Bilete til venstre er henta frå Samsung Galaxy S2. Telefonen er kryptert. Imotsetning til iPhone krev Samsung S2 at ein brukar passord på minimum 6 teikn der eitt av dei er eit tal for krypteringa. Det same passordet som blir brukt på skjermlåsen. Ulempa er at ein må forhalde seg til eit fullstendig tastatur på skjermen, som gjer det vanskelegare å treffe teikna. Eg let diskusjonen om det er god nok tryggleik at den same koden for skjermlås er den som òg låser opp ein kryptert telefon. Det er ikkje er ofte ein slår av og på ein telefon. Eit lite brukt passord kan lett gå i gløymeboka.

Før du krypterer, kopier ut data på telefonen i tilfelle det skulle oppstå problem under krypteringa. For å få lov til å starte krypteringa av Samsung Galaxy S2, må telefonen først ladast opp til 100%. Ladaren må stå i under krypteringa og set av tid til det. Eg tilrår at du syter for at heile dataområdet blir kryptert, for å hindre at restar av gamle filfragment kan gjenfinnast.

Ikkje gløym SD-kortet

kryptere sd-kortSamsung Galaxy S2 støttar minnekort, som må krypterast separat. Før du krypterer, kopier ut data som ligg på SD-kortet i tilfelle det skulle oppstå problem under krypteringa. Du må passe på å kryptere heile kortet. Eg ser ingen grunn til å utelate multimediafiler. Du vil vel ikkje at dine bilete og/eller videoar skal vere tilgjengeleg dersom telefonen går tapt. Alt etter kor stort minnekortet ditt er, vil det ta noko tid.

Oppsummering

Når telefonen er kryptert, vil gjenoppretting til fabrikkinnstillingar føre til at krypteringsnøkkelen forsvinn. Det er ikkje mogleg å køyre gjenoppretting sidan dine krypterte data berre framstår som tilfeldige data.

Med andre ord skal det ikkje vere mogleg å finne data i tilsvarande omfang som rapportert i artikkelen over.

EncFS sikrar dine filer på nettet

Som eg har vore innom i tidlegare innlegg, kan tryggleiken til filer lagra på nettet vere so som so. Eg viser til:

I det siste innlegget viste eg til Truecrypt. Programmet er vel og bra det, men problemet er at det brukar konteiner-filer. Ei konteiner-fil må vere så stor at ho kan romme alle filene du vil ha tilgjengeleg. Dette gir store utfordringar med omsyn til synkronisering på nettet: Endrar du ei fil, stor eller lita, som ligg inne i Truecrypt si konteiner-fil, må heile konteiner-fila lastast opp. Med ei ordinær internettline er dette ein tidkrevjande operasjon både å laste opp konteiner-fila for så å lasta ho ned til andre maskiner som skal ha ho. Det er òg lett å få konfliktar ved at du gløymer å ta tida med å laste ho ned til ei anna maskin og brukar ein eldre versjon av fila på ei anna maskin. Konklusjonen må vere at Truecrypt er inga optimal løysing.

Eg starta så å sjå etter andre løysingar. I første omgang fann eg kommersiell programvare som Cloudfogger og Boxcryptor. Sikker greie nok tenester det, men utfordringa er å finne gratis alternativ og etter litt så kom eg over EncFS. Eg hadde kjennskap til det frå Linux, men no viser det seg at det fins EncFS for Windows. I motsetning til Truecrypt krypterer EncFS fil for fil. Dette betyr at det er berre den krypterte versjonen av fila du endrar som må oppdaterast via GoogleDrive eller tilsvarande tenester. Boxcryptor brukar EncFS, om ikkje fullstendig, i si kommersielle løysing. Dei har òg applikasjonar for iOS, Android osv.

Sidan EncFS kjem frå Linux, vil du kunne opne dei krypterte mappene her òg. Eg har sjølv testa det under Ubuntu 12.04 og synkronisert mellom Windows og Ubuntu utan problem.

Laste ned delene for Windows-versjonen av EncFS

Du må hente ned to filer:

encfsw_exeInstallasjon

  1. Installer Dokan library først!
  2. Pakk ut encfs.zip
  3. Kopier katalogen/mappa encfs4win til C:\Program Files (x86)
  4. Opne katalogen/mappa C:\Program Files (x86)/encfs4win
  5. Høgreklikk og dra encfsw.exe til Skrivebordet og velg Lag snarveier her
  6. Tilpass snarvegen ved til dømes å endre namnet og velje eit eller anna ikon for han.

Når snarvegen er justert, er det berre å dobbelklikke på han. Det skjer ikkje så mykje, men nede i høgre hjørnet, i system tray, vil du få opp eit ikon av ein kvit nøkkel:

encfsw_exe_tray

Setje opp standard innstillingar

  • Høgreklikk på nøkkelen nede i høgre hjørnet
  • Vel Preferences.

I neste rute passar du på å kryssa av begge alternativa:

encfs_preferences

Dette sikrar at EncFS startar når du loggar deg inn og gjer at du kan forhalde deg til ikonet i nede høgre hjørnet (system tray).

Opprette ei mappe sikra med EncFS

For å opprette ei mappe t.d. i GoogleDrive:

  1. Høgreklikk på nøkkelen
  2. Vel Open/Create
  3. Opprett ei mappe under GoogleDrive, t.d. encFS
  4. Vel stasjon som som skal vere «redigeringskanalen» som gir deg tilgang «on-the-fly» til den dekrypterte versjonen av filene.
  5. Lag eit godt passord

encfs_drive_setup

Legg merke til «redigeringskanalen». I mitt eksempel har eg valt at mappa encFS under GoogleDrive skal laste den ukrypterte versjonen av mappa som stasjon (Drive) G.

Montere og ta ned EncFS-mapper

No er det berre å høgreklikke på nøkkelen nede i høgre hjørnet  og:

  • montere (Mount) EncFS-mapper eller
  • ta ned (Unmount) desse når du er ferdig med å redigere dokumenta dine.

NB! Hugs å avslutte program som har filer opne før du tek ned (Unmount) ei mappe.

EncFS-krypterte filer

Slik ser det ut når filer og filnamn er kryptert med EncFS, med andre ord totalt uforståeleg for dei som ikkje har passordet/-setninga som låser opp filene:

encfswin

Lit ikkje på nokon i skya

ServerarDet er i dag utallige leverandørar som tilbyr lagring og andre tenester på internett. Eg brukar nokre og har testa fleire. Det er ikkje til å legge skjul på at tenestene er hendige. Uavhengig av kor og korleis eg er kopla opp mot internett, får overført oppdaterte data til maskinene mine. Eller eg kan jobbe med dokument i skya.

Slike tenester skapar utfordringar ved at du aldri kan vere sikker på at tenesta er sikker i det forstand at ikkje utru tenarar kan dra nytta av dine personlege data eller at eksterne kan få tilgang på grunn av ditt dårlege passord eller svakheitar i løysinga som kan utnyttast.

«Lit ikkje på nokon» er eit bra utgangspunkt. Det får deg til å tenkje på korleis du kan hindre uvedkomande å få tak i opplysningane frå deg. Ein måte å hindre at viktige data kjem på avvegar er å avgrense bruken av skya for dine mest personlege data. Men desse er oftast dei du vil ha med deg rundt heile tida. Som bank- og førarkortet ditt er det ting som du dagleg har bruk for. Har du, som eg, fleire maskiner med ulike operativsystem og plasseringar, er skya eit sentralt hjelpemiddel i å sikre at du alltid har tilgong oppdaterte, viktige data. Eit godt passord er ikkje alltid nok i slike tilfelle.

nklfilerEin måte å løyse det på er å nytte programvare som dannar eit ekstra lag at tryggleik mot dine data. Eit eksempel på slik programvare er Truecrypt som kan kryptere platelager, minnebrikker eller opprette krypterte filer som framstår som virtuelle stasjonar (t.d. F, G osv i Windows). Eit anna eksempel er Keepass som er ein passorddatabase. Begge kan nytte nøkkelfil(er) i tillegg til passord for å sikre data. Men slik sikring krev at du fragmenterer sikringa.

Fragmentering kan skje ved at

  1. du kopierer over nøkkelfiler til dine pcar ved hjelp av minnepinne eller -brikke. Dette hindrar deg å flytte deler av nøkkelen over internett.
  2. du brukar 2 tenester på nettet med uavhengige og sterke passord med t.d. minst 12 teikn med a-å, A-Å, 0-9 og nokre lett tilgjengelege teikn på tastaturet. Eksempel på det siste er !»# osv.

Eit døme på alternativ 2 er å bruke Dropbox og GoogleDrive. Ei av tenestene har nøkkelfil(ene) liggande. Den andre har dine krypterte data. Nøkkelfil(ene) skal aldri vere innom same tenesta som dine krypterte data. Dersom tenesta med nøkkelfil(ene) blir kapra, vil dei ikkje skjøne kva dei er. Det viktigaste er at dei ikkje ha tilgong til dine krypterte data. Blir tenesta som har dine krypterte filer kapra, kan dei ikkje låse opp filene sjølv om dei skulle ha kjennskap til passordet. Nøkkelfil(ene) er ein del av sikringa og må vere med for å låse opp dei krypterte filene.

Oppsummert døme 2

  • Krypterte datafiler blir sikra med kombinasjonen nøkkelfil(er) og sterke passord med minst 12 teikn med a-å, A-Å, 0-9 og nokre lett tilgjengelege teikn på tastaturet. Eksempel på det siste er !»# osv.
  • 2 tenester på internett blir sikra med uavhengige og sterke passord på minst 12 teikn med a-å, A-Å, 0-9 og nokre lett tilgjengelege teikn på tastaturet. Eksempel på det siste er !»# osv.
  • Nødvendig programvare for synkronisering blir installert og kopla opp.
  • Nøkkelfil(er) blir kopiert over til brukarkatalogen til ei teneste.
  • Krypterte datafiler blir kopiert over i brukarkatalogen til den andre tenesta.

Ver påpasseleg med lengda og samansetninga av passorda dine

Det kom ikkje som ei overrasking at det fins verktøy som kan finne eit kort passord innafor rimeleg kort tid. Men den teknologiske framgangen er så stor at til og med «mannen i gata» har råd til utstyret. Arstechnica har publisert ein artikkel om eit system som brukar kraftige grafikkort som ved rå makt testar alle kombinasjonar av teikn som passordet kan vere bygd opp av:

http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

Eg rekna litt på det:

bruteforce

Som de ser vil systemet bruka i underkant av 5 timar og 18 minutt på å teste alle kombinasjonar av teikna a-z, A-Z, 0-9 og ca 33 teikn som er lett tilgjengelege på tastaturet. Døme på det siste er skift og 1 som blir teiknet ! osv. No er det ikkje slik at folk har den siste kombinasjonen som vert testa. Om vi tek eit stort utval av brukarar kan ein rekne med å finne passordet på halvparten av tida. Det vil sei ca 2 timar og 40 minutt i snitt per brukar.

Det ikkje alt som er like raskt å knekke, som det går fram av artikkelen, men det er ikkje å legge skjul på at med dagens teknologi er eit passord på 8 teikn svakt. Ser ein framover vil ein om nokre år få langt kraftigare verktøy til rådvelde. Ergo vil eg meine at ein bør forlate tankegangen med 8 teikn og heller satse på eit passord basert på 12 teikn. Dette skal vere sett opp på ein slik måte at ein ikkje kan bruke ordlister til å finne fram til passordet eller kombinasjonen av ord som passordet er sett saman av.

Utifrå tabellen over vil eg meine at eit passord basert på a-z, A-Z, 0-9 samt lett tilgjengeleg spesialteikn vil vere meir enn tilfredstillande. Med spesialteikn som stoppteikn eller erstatningar for mellomrom kan ein vurdere å gå over til pass-setningar i stadenfor passord. I tillegg har vi nordmenn eit ess opp i ermet med våre norske bokstavar æ, ø og å.