Stikkord: Tryggleik

EncFS sikrar dine filer på nettet

Arild BjørkKommenter innlegget

Som eg har vore innom i tidlegare innlegg, kan tryggleiken til filer lagra på nettet vere so som so. Eg viser til:

I det siste innlegget viste eg til Truecrypt. Programmet er vel og bra det, men problemet er at det brukar konteiner-filer. Ei konteiner-fil må vere så stor at ho kan romme alle filene du vil ha tilgjengeleg. Dette gir store utfordringar med omsyn til synkronisering på nettet: Endrar du ei fil, stor eller lita, som ligg inne i Truecrypt si konteiner-fil, må heile konteiner-fila lastast opp. Med ei ordinær internettline er dette ein tidkrevjande operasjon både å laste opp konteiner-fila for så å lasta ho ned til andre maskiner som skal ha ho. Det er òg lett å få konfliktar ved at du gløymer å ta tida med å laste ho ned til ei anna maskin og brukar ein eldre versjon av fila på ei anna maskin. Konklusjonen må vere at Truecrypt er inga optimal løysing.

Eg starta så å sjå etter andre løysingar. I første omgang fann eg kommersiell programvare som Cloudfogger og Boxcryptor. Sikker greie nok tenester det, men utfordringa er å finne gratis alternativ og etter litt så kom eg over EncFS. Eg hadde kjennskap til det frå Linux, men no viser det seg at det fins EncFS for Windows. I motsetning til Truecrypt krypterer EncFS fil for fil. Dette betyr at det er berre den krypterte versjonen av fila du endrar som må oppdaterast via GoogleDrive eller tilsvarande tenester. Boxcryptor brukar EncFS, om ikkje fullstendig, i si kommersielle løysing. Dei har òg applikasjonar for iOS, Android osv.

Sidan EncFS kjem frå Linux, vil du kunne opne dei krypterte mappene her òg. Eg har sjølv testa det under Ubuntu 12.04 og synkronisert mellom Windows og Ubuntu utan problem.

Laste ned delene for Windows-versjonen av EncFS

Du må hente ned to filer:

encfsw_exeInstallasjon

  1. Installer Dokan library først!
  2. Pakk ut encfs.zip
  3. Kopier katalogen/mappa encfs4win til C:\Program Files (x86)
  4. Opne katalogen/mappa C:\Program Files (x86)/encfs4win
  5. Høgreklikk og dra encfsw.exe til Skrivebordet og velg Lag snarveier her
  6. Tilpass snarvegen ved til dømes å endre namnet og velje eit eller anna ikon for han.

Når snarvegen er justert, er det berre å dobbelklikke på han. Det skjer ikkje så mykje, men nede i høgre hjørnet, i system tray, vil du få opp eit ikon av ein kvit nøkkel:

encfsw_exe_tray

Setje opp standard innstillingar

  • Høgreklikk på nøkkelen nede i høgre hjørnet
  • Vel Preferences.

I neste rute passar du på å kryssa av begge alternativa:

encfs_preferences

Dette sikrar at EncFS startar når du loggar deg inn og gjer at du kan forhalde deg til ikonet i nede høgre hjørnet (system tray).

Opprette ei mappe sikra med EncFS

For å opprette ei mappe t.d. i GoogleDrive:

  1. Høgreklikk på nøkkelen
  2. Vel Open/Create
  3. Opprett ei mappe under GoogleDrive, t.d. encFS
  4. Vel stasjon som som skal vere «redigeringskanalen» som gir deg tilgang «on-the-fly» til den dekrypterte versjonen av filene.
  5. Lag eit godt passord
encfs_drive_setup

Legg merke til «redigeringskanalen». I mitt eksempel har eg valt at mappa encFS under GoogleDrive skal laste den ukrypterte versjonen av mappa som stasjon (Drive) G.

Montere og ta ned EncFS-mapper

No er det berre å høgreklikke på nøkkelen nede i høgre hjørnet  og:

  • montere (Mount) EncFS-mapper eller
  • ta ned (Unmount) desse når du er ferdig med å redigere dokumenta dine.

NB! Hugs å avslutte program som har filer opne før du tek ned (Unmount) ei mappe.

EncFS-krypterte filer

Slik ser det ut når filer og filnamn er kryptert med EncFS, med andre ord totalt uforståeleg for dei som ikkje har passordet/-setninga som låser opp filene:

encfswin

Lit ikkje på nokon i skya

Arild BjørkKommenter innlegget
Serverar

Det er i dag utallige leverandørar som tilbyr lagring og andre tenester på internett. Eg brukar nokre og har testa fleire. Det er ikkje til å legge skjul på at tenestene er hendige. Uavhengig av kor og korleis eg er kopla opp mot internett, får overført oppdaterte data til maskinene mine. Eller eg kan jobbe med dokument i skya.

Slike tenester skapar utfordringar ved at du aldri kan vere sikker på at tenesta er sikker i det forstand at ikkje utru tenarar kan dra nytta av dine personlege data eller at eksterne kan få tilgang på grunn av ditt dårlege passord eller svakheitar i løysinga som kan utnyttast.

«Lit ikkje på nokon» er eit bra utgangspunkt. Det får deg til å tenkje på korleis du kan hindre uvedkomande å få tak i opplysningane frå deg. Ein måte å hindre at viktige data kjem på avvegar er å avgrense bruken av skya for dine mest personlege data. Men desse er oftast dei du vil ha med deg rundt heile tida. Som bank- og førarkortet ditt er det ting som du dagleg har bruk for. Har du, som eg, fleire maskiner med ulike operativsystem og plasseringar, er skya eit sentralt hjelpemiddel i å sikre at du alltid har tilgong oppdaterte, viktige data. Eit godt passord er ikkje alltid nok i slike tilfelle.

nklfiler

Ein måte å løyse det på er å nytte programvare som dannar eit ekstra lag at tryggleik mot dine data. Eit eksempel på slik programvare er Truecrypt som kan kryptere platelager, minnebrikker eller opprette krypterte filer som framstår som virtuelle stasjonar (t.d. F, G osv i Windows). Eit anna eksempel er Keepass som er ein passorddatabase. Begge kan nytte nøkkelfil(er) i tillegg til passord for å sikre data. Men slik sikring krev at du fragmenterer sikringa.

Fragmentering kan skje ved at

  1. du kopierer over nøkkelfiler til dine pcar ved hjelp av minnepinne eller -brikke. Dette hindrar deg å flytte deler av nøkkelen over internett.
  2. du brukar 2 tenester på nettet med uavhengige og sterke passord med t.d. minst 12 teikn med a-å, A-Å, 0-9 og nokre lett tilgjengelege teikn på tastaturet. Eksempel på det siste er !»# osv.

Eit døme på alternativ 2 er å bruke Dropbox og GoogleDrive. Ei av tenestene har nøkkelfil(ene) liggande. Den andre har dine krypterte data. Nøkkelfil(ene) skal aldri vere innom same tenesta som dine krypterte data. Dersom tenesta med nøkkelfil(ene) blir kapra, vil dei ikkje skjøne kva dei er. Det viktigaste er at dei ikkje ha tilgong til dine krypterte data. Blir tenesta som har dine krypterte filer kapra, kan dei ikkje låse opp filene sjølv om dei skulle ha kjennskap til passordet. Nøkkelfil(ene) er ein del av sikringa og må vere med for å låse opp dei krypterte filene.

Oppsummert døme 2

  • Krypterte datafiler blir sikra med kombinasjonen nøkkelfil(er) og sterke passord med minst 12 teikn med a-å, A-Å, 0-9 og nokre lett tilgjengelege teikn på tastaturet. Eksempel på det siste er !»# osv.
  • 2 tenester på internett blir sikra med uavhengige og sterke passord på minst 12 teikn med a-å, A-Å, 0-9 og nokre lett tilgjengelege teikn på tastaturet. Eksempel på det siste er !»# osv.
  • Nødvendig programvare for synkronisering blir installert og kopla opp.
  • Nøkkelfil(er) blir kopiert over til brukarkatalogen til ei teneste.
  • Krypterte datafiler blir kopiert over i brukarkatalogen til den andre tenesta.

Ver påpasseleg med lengda og samansetninga av passorda dine

Arild BjørkKommenter innlegget

Det kom ikkje som ei overrasking at det fins verktøy som kan finne eit kort passord innafor rimeleg kort tid. Men den teknologiske framgangen er så stor at til og med «mannen i gata» har råd til utstyret. Arstechnica har publisert ein artikkel om eit system som brukar kraftige grafikkort som ved rå makt testar alle kombinasjonar av teikn som passordet kan vere bygd opp av:

http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

Eg rekna litt på det:

bruteforce

Som de ser vil systemet bruka i underkant av 5 timar og 18 minutt på å teste alle kombinasjonar av teikna a-z, A-Z, 0-9 og ca 33 teikn som er lett tilgjengelege på tastaturet. Døme på det siste er skift og 1 som blir teiknet ! osv. No er det ikkje slik at folk har den siste kombinasjonen som vert testa. Om vi tek eit stort utval av brukarar kan ein rekne med å finne passordet på halvparten av tida. Det vil sei ca 2 timar og 40 minutt i snitt per brukar.

Det ikkje alt som er like raskt å knekke, som det går fram av artikkelen, men det er ikkje å legge skjul på at med dagens teknologi er eit passord på 8 teikn svakt. Ser ein framover vil ein om nokre år få langt kraftigare verktøy til rådvelde. Ergo vil eg meine at ein bør forlate tankegangen med 8 teikn og heller satse på eit passord basert på 12 teikn. Dette skal vere sett opp på ein slik måte at ein ikkje kan bruke ordlister til å finne fram til passordet eller kombinasjonen av ord som passordet er sett saman av.

Utifrå tabellen over vil eg meine at eit passord basert på a-z, A-Z, 0-9 samt lett tilgjengeleg spesialteikn vil vere meir enn tilfredstillande. Med spesialteikn som stoppteikn eller erstatningar for mellomrom kan ein vurdere å gå over til pass-setningar i stadenfor passord. I tillegg har vi nordmenn eit ess opp i ermet med våre norske bokstavar æ, ø og å.

Hjelp til passord på internett

Arild Bjørk2 kommentarar

Keepass
Keepass

Vi får stadig fleire tenester å forholde oss til og så godt som alle krev brukarnamn og passord. Det skapar utfordringar å ikkje bryte den gylne regel:

  • Aldri bruk same passord på ulike tenester

Alle tenester skal ha sitt unike passord samtidig som ein skal unngå sekvensar som gjer det lett for andre å gisse. Til slutt og ikkje minst: Passorda må aldri skrivast ned på lappar eller klistrast under tastaturet 😉

Ein treng eit verktøy som kan hjelpe det å halde styr på passorda samtidig som dei er låst ned på ein forsvarleg måte med eit sterkt passord eller kodesetning.

Eit tips er programmet Keepass for Windows. Eg tilrår bruk av versjon 1.x av den enkle grunn at den er sjølvstendig og ikkje avhengig av Microsoft Net. Keepass er òg tilgjengeleg for Linux og OS X under namnet Keepassx. Pris: Gratis

(X)ubuntu og kryptert heimekatalog (/home)

Arild BjørkKommenter innlegget

Eg testa speglkopiering av disken på min Compaq HP Mini 730eo med ein treg Intel Atom N270 prosessor. For å få det til å gå raskast mogleg er det lurt å nulle ut ledig plass. Det er ikkje vits i at verktøya kastar vekk tid på å pakke restar av filer som er sletta eller tilfeldige data som måtte ligge att på ei testmaskin.

Eg hadde sett opp Xubuntu 10.04 med passord for å logge på og kryptere alt innhald heimemappa. Berbare pcar som er mykje med på reis bør alltid krypterast slik at uvedkomande ikkje kjem til data dersom maskina forsvinn. Eg testa eit skript som skulle generere ei lita og ei stor fil med nullar i heimekatalogen. Under testinga la eg merke til at det var veldig treg skriving til disken. Når skriptet fungerte som det skulle, flytta eg det over til ein katalog som ikkje var kryptert. Nei, eg kunne ikkje køyre skriptet i heimemappa mi. Den underliggande krypteringa ville føre til at ledig plass på disken vart fylt med tilfeldige data og ikkje nullar. Eg testa skriptet att i den nye plassering og så vesentleg skilnad i ytinga.

Her er skriptet eg nytta for å vurdere skilnad i hastigheit:

rm *.txt
dd if=/dev/zero of=kort.txt  bs=1M  count=500
dd if=/dev/zero of=lang.txt  bs=1M  count=2000

Den første lina fjernar eventuelle txt-filer i mappa skriptet køyrer i. Den andre lina lagar ei fil med namnet kort.txt med nullar på ca 500 MB. Den siste lina lagar ei fil med namnet lang.txt på ca 2 GB. Resultat av dei ulike køyringane:

I ukryptert mappe

524288000 byte (524 MB) kopiert, 11,0566 s, 47,4 MB/s
2097152000 byte (2,1 GB) kopiert, 60,5938 s, 34,6 MB/s
524288000 byte (524 MB) kopiert, 10,5128 s, 49,9 MB/s
2097152000 byte (2,1 GB) kopiert, 58,0929 s, 36,1 MB/s
524288000 byte (524 MB) kopiert, 9,88656 s, 53,0 MB/s
2097152000 byte (2,1 GB) kopiert, 60,076 s, 34,9 MB/s

I kryptert heimemappe

524288000 byte (524 MB) kopiert, 46,9183 s, 11,2 MB/s
2097152000 byte (2,1 GB) kopiert, 186,47 s, 11,2 MB/s
524288000 byte (524 MB) kopiert, 45,9577 s, 11,4 MB/s
2097152000 byte (2,1 GB) kopiert, 190,433 s, 11,0 MB/s
524288000 byte (524 MB) kopiert, 45,7656 s, 11,5 MB/s
2097152000 byte (2,1 GB) kopiert, 184,776 s, 11,3 MB/s

Det er ein vesentleg reduksjon i skrivehastigheit i den krypterte heimemappa.

Fullstendig kryptert disk
(Dette er berre tilgjengeleg på alternativ installasjon-cd av dei ulike Ubuntu-variantane.)

524288000 byte (524 MB) kopiert, 23,5097 s, 22,3 MB/s
2097152000 byte (2,1 GB) kopiert, 129,156 s, 16,2 MB/s
524288000 byte (524 MB) kopiert, 27,1944 s, 19,3 MB/s
2097152000 byte (2,1 GB) kopiert, 127,024 s, 16,5 MB/s
524288000 byte (524 MB) kopiert, 23,0415 s, 22,8 MB/s
2097152000 byte (2,1 GB) kopiert, 129,141 s, 16,2 MB/s

Også her er det ein vesentleg skilnad mot ukrypterte data.

Det kan sjå ut til at ein fullstendig kryptert disk er raskare enn kryptert heimemappe, men då må ein hugse på at heile systemet er kryptert som fører til at alt blir like tregt. Med kryptert heimemappe er det berre dine personlege filer samt filer med innstillingar og data til ulike program som blir lagra kryptert og påvirka av den lågare farten. Programfiler og modular osv ligg i ukrypterte mappestrukturar og vert lasta med maksimal fart.

Konklusjon
Skal du velje ein av delene bør du velje kryptert heimemappe.

Berbart utstyr utgjer ein risiko, spesielt i ferietida

Arild BjørkKommenter innlegget

Acer Aspire One. Bilete henta frå http://www.acer.no/ Det siste året har det vorte selt mange rimelege mini-berbare med Asus og Acer i leiinga. Ordinære berbare har også vorte rimlegare og kraftigare. Ein ønskjer berbart utstyr framfor stasjonere maskiner, med mindre ein har spesielle behov. I dag vil ein ha fridomen til å sitje kor som helst og vere kopla til internett når som helst. Med fridomen følgjer også ulemper og eit ansvar for å sikre at dine sensitive data, som passord på ulike nettstadar, bilete, e-post og dokument kjem på avvegar. Det er berre å tenkje seg litt om, så hugsar du sikkert personar som har hatt uheldige episodar. Ting har ein tendens til å spreie seg i dag som “eld i turt gras” i dag. Still deg spørsmålet:

Har eg noko på min berbare som eg vil at andre ikkje skal få tak i?
Er spørsmålet Ja, bør du lese vidare.

NA0388Før, når stasjonere maskiner var mest populære, stod desse i huset som du låste huset når du tok deg ein tur. Skulle nokon ha tak i dine data, måtte dei fysisk bryte seg gjennom ei sperre. Berbart utstyr blir teke ut av denne sikringa. Felles for produsentane av berbart utstyr er at dei ikkje tilbyr at dine data skal sikrast mot denne risikoen. Maskiner blir levert med operativsystem og oppsett som gjer at dine data er tilgjengeleg for den som får tak i maskina di. Sjølv med passord på kontoen og kontooppsett som privat i Windows er dine data ikkje sikra.

No vil dei som har kjennskap til Windows Vista hevde at Vista vert levert med eit slikt verktøy. Ja, versjonane Vista Business og Vista Ultimate har eit slikt verktøy: BitLocker. Problemet er at dei maskinene vi som privatpersonar kjøper vanlegvis har Vista Basic eller Vista Home Premium som ikkje har BitLocker. Windows XP, som blir levert på dei aller fleste mini-berbare, har heller ikkje slik funksjonalitet.

Verksemder og offentlege etatar krypterer heile disken for å sikre seg mot at data kjem i feil hender. Det same bør du også gjere og det er ikkje farleg eller vanskeleg. Einaste forutsetninga er at du tek backup av alle dine data før du startar, dersom uhellet skulle vere ute. Med så mange gode tilbod på eksterne platelager, er det inga orsaking å ikkje ta backup. Med systemkryptering blir heile disken kryptert og ikkje separate filer. Det er ikkje mogleg å lese innhaldet på disken utan å ha passordet eller kodesetningen. Den som prøver å undersøke disken, vil sjå han fyllt med tilfeldige data.

Truecrypt

truecryptEg har tidlegare teke for eit verktøy i eit innlegg her på bloggen. Eg har valt å gå over til Truecrypt som, sidan februar 2008, har vorte utvida til å omfatte full systemkryptering. Truecrypt hadde frå før moglegheit til å generere virtuelle diskfiler, kryptere minnepennar, minnekort, eksterne platelager og andre deler av disken som ikkje er systempartisjonar. Kort og godt eit komplett, gratis verktøy for å sikre data på ein enkel måte. Truecrypt er også optimalisert til å dra nytte av dagens prosessorar med 2 eller fleire kjerner. Du vil ikkje merke nokon vesentleg hastigheitsreduksjon.

Før du byrjar med systemkrypteringa bør du hugse:

  1. Har du laga gjenopprettingscd/-dvdane til maskina?

    Mange maskiner blir levert med verktøy for å lage gjenopprettingscd/-dvdar. Alltid opprett desse CD/DVDane slik at du kan gjenopprette maskina til fabrikkstandard når du skal selje ho eller om Windows får ein skikkeleg vondsinna infeksjon av virus eller anna dritt.
  2. Backup av dine data for sikkerheits skuld.Tøffe gutar tek ikkje backup, tøffe gutar gret mykje. Ta backup av data med jamne mellomrom!
  3. Ein CD-R med mindre du legg inn eit mellomrom og /n i snarvegen til Truecrypt.Det siste gjerast dersom du skal kryptere system på ein berbar eller mini-berbar uten CD/DVD/BlueRay-brennar. Årsaka er at Truecrypt prøver å vere idiotsikker ved å krevje at du lagar ein rednings-cd, som Truecrypt verifiserer, slik at du kan få tilgang til dine data dersom seinare eit virus rotar til oppstartsdelen av disken. Denne idiotsikringa kan vere litt tungvinn. Ein måte å sikre at fila ikkje blir liggande på ein kryptert disk, fanga til evig tid, er at du legg fila på ein minnepinne eller ekstern disk. Ein rednings-cd kan seinare lagast av fila på ein anna pc. Berre pass på å ikkje mikse saman filer. Ei redningsfil/-cd er IKKJE universell, men spesifik for kvar pc som du krypterer disken på.
  4. Tenkt ut ein god kodesetning.

    Det er betre med ein god kodesetning, som er lett å hugse, enn eit langt intetsigande passord. Eksempel er setningen for å hugse tonane på strengene til ein 6-strengs gitar: “En Annen Dag Gikk Han Ensom” Bruk store og små bokstavar samt tal. Unngå norske bokstavar som æøåÆØÅ og andre teikn. Tastaturoppsettet er ikkje det same i først oppstartsfasen til maskina som i Windows.

meny Når 1-4 er klart, kan du setje i gong og velje menyen System > Encrypt System Partition/Drive og følgj instruksjonane. Etter at maskina har gjennomført ein del steg inklusive restart og Truecrypt har funne at alt fungerer som det skal, vil du kome inn att i Windows og kryptering av disken startar. Du kan arbeide med maskina medan dette pågår.

Gratis sikring av berbar

Arild BjørkKommenter innlegget

Berbare maskiner er rimelege og populære. Ein dreg dei med seg over alt. Risikoen for å miste ho eller at ho blir stolen er vesentleg høgare enn for ei stasjoner maskin. Med tap av maskin følgjer tap av data. Er du som dei fleste, vil dine data vere opne og tilgjengelege for dei som startar maskina. Sjølv med passord på kontoen og konto oppsett som privat i Windows er data ikkje låst mot dei rette verktøya.

Verksemder og offentlege etatar betalar for programvare som krypterer heile disken. Data er sikra sjølv om maskina går tapt. Den som prøver å undersøke disken vil sjå han som uformatert og fyllt med tilfeldige data. Som dei fleste har ikkje eg lyst til å betale meir enn det som er nødvendig og har funne fram til ei løysing som er gratis for privat og for verksemder:

CompuSec

Før du installerer bør du passe på nokre ting:

  1. Du MÅ ha administrative rettar til systemet. (Vanlegvis køyrer dei fleste Windows frå ein konto med administrative rettar.)
  2. Køyr ein disksjekk slik at du får retta evt. diskfeil.
  3. Slå av anti-virus i BIOS (Vanlegvis er dette avslått.)
  4. Slå av anti-virusprogramvara i Windows før du installerer.
  5. Ikkje køyr anna programvare når du installerer.
Programmet er fullpakka av funksjonar, men du treng ikkje installere meir enn:
  • Pre-boot authentification
  • Hard disk encryption

Dersom du har fleire maskiner, kan du bruke dei same krypteringsnøklane på alle maskinene. Ein krypteringsnøkkel er ikkje det same som passord. Du kan ha forskjellige passord for kvar maskin. Passorda fungerer som ein sjekk på at du har lov å bruke krypteringsnøkkelen. Installer CompuSec på den eine maskina og ta vare på fila securityinfo.dat. Under installasjon på maskin nummer 2, 3 osv passar du på importere «Hard disk key». «Diskette key» og «Removable media key» frå den første securityinfo.dat. Fordelen er då at du kan kryptere eksterne diskar med den same nøkkelen slik at du kan sikre desse og flytte dei mellom maskinene. Berre pass på å ta vare på alle securityinfo.dat-filene. Dei treng du når du skal fjerne diskkrypteringa.

Eg har brukt programmet sidan versjon 4.16 SP3 og det har aldri vore problem med heng, kræsj eller systemhavari.