Biztonságos élet a neten és azon kívül
A közösségi oldalak térhódításával a magánéletünk is fokozottan az internetre terelődik, közben pedig a szokásaink mit sem változtak. Ha hosszú digitális életet szeretnénk, akkor változtatnunk kell hozzáállásunkon, gyakorlatunkon.
Netezni kell, de nem veszélytelen, leginkább az internet kapcsolat által vagyunk kiszolgáltatva különféle támadásoknak. De még ha el is szigetelnénk magunkat, egy hardverhiba vagy baleset akkor is tönkre teheti digitális életművünket. Alapvetően fontos ezért, hogy valamiképpen biztonságban tudhassuk adatainkat.
Menteni a mentendőt
Természetesen az érdektelen adatokat felesleges védeni: ilyenek például az internetről letöltött ingyenes telepítőkészletek, amelyeket bármikor könnyen újra beszerezhetünk. Fontosabbak azok a személyes állományok - tipikusan a fotók és videók -, amelyekhez megismételhetetlen emlékek kötődnek, valamint ilyen a személyes levelezésünk is. Ezek elvesztése szomorúságra adna okot, de vannak kifejezetten kényes információk, amelyek rossz kezekbe kerülve erkölcsi vagy üzleti kárt okozhatnak, így mindenképpen védendők. Senki sem szeretné, ha esetleg hosszú hónapok, évek munkájával készült dolgozata, üzleti terve vagy akár regénye más kezében kamatozna. Általában tehát különféle állományokat kell megvédenünk az enyészettől - azaz a háttértár meghibásodásától - és az illetéktelen hozzáféréstől.
Hogy a tartalom ne kerülhessen illetéktelenek kezébe, ahhoz azt el kell határolni és lehetőleg titkosítani kell. Első esetre legjobb példa a noteszgép, illetve a Windows jelszava, amelyet meg kell adnunk ahhoz, hogy bejussunk a felhasználói fiókunkba, illetve eleve elinduljon a számítógép. Már maga a BIOS-jelszó is segíthet, olyan esetben például, ha egy tisztességes ember szeretne vásárolni egy jelszavas gépet, akinek így nehéz lesz eladni egy olyan notebookot, amelyhez nincs „kulcsa" az eladónak. Egy hozzáértő azonban akkor is hozzáférhet a merevlemezen tárolt adatokhoz, ha nem tud bejelentkezni, ugyanis ki lehet szerelni a meghajtót és egy másik számítógépről elolvasni az adatokat. Persze ha a fájljainkat titkosítottuk, akkor azzal komolyabb nehézséget okozunk egy szakértőnek is, hiszen meg kell fejtenie a titkosítást. Ez a legritkább esetben zajlik úgy, mint az akciófilmeken, azaz látványos és titokzatos képernyők előtt és billentyű-géppuskaropogás közepette. A valóságban a hackerek egy szótárkészlettel próbálkoznak, amely a legvalószínűbb jelszavakat tartalmazza. Végső esetben nyers erővel (brute force) dolgozó szoftver végigpróbálja az összes lehetséges jelszó-kombinációt. Így elvileg minden feltörhető, de a modernebb titkosító eljárások esetében a szükséges időtartam egy erőteljes géppel is csillagászati léptékűvé tolódhat ki. Azzal a számítógéppel, ami a DES- (Data Encryption Standard) titkosítást néhány óra alatt feltörte a '90-es évek végén, mintegy 149 trillió (a trillió a milliárd ezerszerese) évig tartana megfejteni egy 128 bites AES- (Advanced Encryption Standard) kódolással védett adatcsomagot. Joggal mondhatjuk tehát, hogy jelenleg az AES 256 bites változata tetszőleges alkalmazási területen nyújthat kellő biztonságot, érdemes olyan szoftvert választani, amely ezt alkalmazza.
Adattitkosítás
Nagyon kényelmetlen lenne minden állományunkat egyesével ki- és visszacsomagolni használat előtt és után, ezért az ilyen széfjellegű szoftverek csak igen speciális esetekben megfelelők és nem is igen terjedtek el. Sokkal kényelmesebb, ha egy olyan megoldást használunk, amely egy kiválasztott meghajtót, partíciót vagy merevlemezt röptében titkosít, azaz a lemezre írás előtt kódolja, olvasáskor kikódolja az adatokat. Ideális, ha az alkalmazások és a felhasználó számára nem látható a titkosító program tevékenysége, megfelelő telepítés és hitelesítés után csak szimplán végzi a dolgát.
Ilyen megoldás a BitLocker, amely a Windows 7 és Vista Ultimate, illetve Enterprise kiadásaihoz jár. A Vista alatt teljes rendszermeghajtókat, Windows 7 alatt pedig már külső merevlemezek vagy flashmeghajtók partícióit is biztonságosan titkosíthatjuk vele. A rendszer biztosításához a Bitlocker egy titkosítatlan indítópartíciót is igényel, de ha ez nem állna rendelkezésre, akkor létre is hozza azt. Ezen a 200 MB-os területen helyezkednek el az indításhoz szükséges modulok. A BitLocker megköveteli kulcsállományok használatát, amelyeket az interneten (Microsoft felhő), USB- meghajtón vagy kompatibilis hardver (tipikusan üzleti noteszgépek) esetében a TPM-kulcsok között tárolhatunk.
Azok számára is van alternatíva, akik a Windows olcsóbb vagy régebbi változataival dolgoznak. Az egyik legnépszerűbb a nyílt forráskódú és közkedvelt TrueCrypt. A program nemcsak teljes partíciók, hanem virtuális és rejtett meghajtók titkosítására is alkalmas, sőt hordozható szoftverként is használható. TPM-et szándékosan nem támogat, de akár több titkosító kulccsal és a legmodernebb titkosító algoritmusokkal védi adatainkat. Megengedi pusztán jelszavas védelem használatát is. Mivel hordozható alkalmazásként is használható és létrehozhatunk benne rejtett meghajtókat is, ezért jó esetben le is tagadhatjuk, hogy egyáltalán titkosított meghajtó lenne a gépünkön.
A TrueCrypt még benchmark modult is kínál, így kipróbálhatjuk, hogy melyik titkosítási módszer milyen sebességgel képes dolgozni számítógépünkön
A Bitlocker egy komplett, a Windowsba szervesen illeszkedő megoldás, amely zárolja a gépet, ha behatolás gyanúja áll fenn - a kényelmet az operációs rendszer Enterprise és Ultimate kiadásainak magasabb árával fizetjük meg. A TrueCrypt ezzel szemben teljesen ingyenes és Windows XP, 2000, Vista és 7, valamint Mac OS és Linux alatt is használható, azaz keresztplatformos.
Védjük a vasat is
Eddig az adatokról esett szó, csakhogy ezek mindig egy fizikai adathordozón helyezkednek el. Napjainkban ez rendszerint merevlemez-meghajtót jelent, persze egyre terjednek a flashmemória alapú meghajtók is. Megjegyzendő, hogy a fogyasztói felhasználásra tervezett SSD-ken és az igen népszerű USB-meghajtókon sem túl biztonságos adatot tárolni, megbízhatóságban és tartósságban nem állnak még olyan szinten, mint a mára szinte végsőkig kiforrott merevlemezek. A flashmemória problémája, hogy az írása-olvasása nem tökéletesen szimmetrikus folyamat, azaz nem lehet akárhányszor kopás nélkül elvégezni, a cellák egyszerűen elfáradnak és tönkremennek. Ezt a jobb gyártók fejlett vezérlőelektronikával próbálják kitolni, azaz úgy menedzselik a szabad területet, hogy a teljes fizikai tárterületet egyenletesen vehessük igénybe. A merevlemez lassúbb, azonban sokkal több írási-olvasási ciklust kibír gond nélkül, így ahol nincs extrém fizikai igénybevétel, rázkódás, oda továbbra is ezt ajánljuk élettartam szempontjából. Teljesítmény, fogyasztás tekintetében az SSD jobb, de mi most biztonságra utazunk.
Akárhol is tartsuk adatainkat, szögezzük le, hogy egyetlen példány nem példány, hiszen a merevlemezek sem örök életűek és senki sem vállal garanciát a rajtuk elhelyezett adatok biztonságáért, erről magunknak kell gondoskodnunk. A felhasználó szempontjából legegyszerűbb megoldás, ha eleve mindenről készül egy másolat, azaz redundáns tárolókötetre dolgozunk, ami otthoni kontextusban rendszerint egy RAID 1- vagy RAID 5-meghajtót jelent. A RAID 1-hez két merevlemez kell, hogy minden művelet egy időben két helyre történhessen, a biztonságért cserébe csak az egyik lemez kapacitásának erejéig nyújtózkodhatunk. A RAID 5 valamivel takarékosabb, a 3 lemezes kötetből kettőnek a tárolókapacitását használhatjuk ki és egy lemez kiesését viseli el a rendszer. Ha nem szeretnénk magát az operációs rendszert és a szoftvereket is redundánsan tárolni, akkor megtehetjük, hogy csak a dokumentumok számára építünk egy védett kötetet, így valamivel olcsóbban oldhatjuk meg azok védelmét.
RAID helyett kiegészítő megoldás lehet másodpéldányok vagy mentés készítése egy külső meghajtóra vagy a hálózatra, amihez használhatjuk a Windows saját backup megoldását is, de szóba jöhetnek olyan nyílt forráskódú szoftverek is, mint például a Cobian Backup 8. A lényeg, hogy mindenről készüljön másolat, ugyanolyan biztonsági szinten, mint amivel az eredeti fájl rendelkezik. Magyarán, ha egyáltalán nem igénylünk titkosítást, az rendben van, a mi dolgunk. Ha azonban erős titkosítást alkalmazunk a számítógép merevlemezén tárolt érzékeny adatokra, akkor azokat ne mentsük le, csak azonos erősségű titkosítás mellett, különben minden féltett javainkhoz hozzájut az, aki a mentéseket megszerzi. Akármilyen rendszert is alkalmazzunk, más mentéssel biztosított állapotban tartsunk egy főpróbát, hogy megbizonyosodjunk róla: nemcsak menteni, de visszaállítani is tudunk.
Földrengés, villámcsapás, tűz és felhő
Természetesen csak a véletlen törléstől védene, ha a másolataink ugyanazon a merevlemezen kapnának helyet. Ugyanígy korlátozott védelmet nyújt, ha a két másolat földrajzilag ugyanott helyezkedik el - ezért van az, hogy a RAID-tömb csak addig jó megoldás, amíg nem lopják el az egész gépet, nem üt be a mennykő, nem üt ki tűz. Ezért aztán vállalati megoldásoknál alapkövetelmény, hogy távoli mentések készüljenek, akár két NAS (hálózati adattároló) szinkronizálásával, akár FTP-kiszolgálóra, a lényeg, hogy a mentés földrajzilag távol helyezkedjen el az eredetitől. Szomorú példa erre, hogy volt olyan cég, amely a 9/11-es terrortámadás alkalmával a távoli mentéseit is elveszítette, akiszolgálói ugyanis a World Trade Center egyik, árnyékmentései a másik toronyban helyezkedtek el. Ebben a - szerencsére - ritka esetben túl rövid volt a távolság, de hasonló meglepetés érhet minket, ha mindkét szerverünk egyazon városban van és árvíz sújtja a területet.
Egy két rekeszes NAS RAID 1 konfigurációban már véd a merevlemez meghibásodása ellen,
de egy távoli mentés még emellett is szükséges
Sokan kínálnak felhőalapú tárhelyeket mentés céljára. Ezek előnye, hogy nem kell drágán bérelnünk vagy vásárolnunk egy teljes kiszolgálót és hozzá sávszélességet, hanem pusztán havidíjat fizetünk, minden más a szolgáltató gondja. Sokan azonban úgy gondolják, hogy nonszensz a biztonsági mentéseinket egy olyan helyre továbbítani, amiről a legtöbb esetben azt sem tudjuk, hogy merre helyezkedik el. Üzleti, kiemelten érzékeny adatok, költséges kutatói adatbázisok esetén valóban jobb megoldás lehet egy privát kiszolgáló, vagy nagyobbacska cégeknél akár egy privát felhő is szóba jöhet. Annyi azonban bizonyos, hogy nem célszerű nyilvános felhő szolgáltatásokban gondolkodni (ilyen például a Google Docs vagy a Microsoft Office 365), de főleg ingyenes szolgáltatások tárterületén nem érdemes tárolni sem jelszavakat, sem titkosító kulcsokat.
Saját, nem céges anyagaink védelménél kicsit engedékenyebbek lehetünk. Ha csak fotóinkat, magánirományainkat szeretnénk a jelenleginél nagyobb biztonságban tudni, akkor a lényeg nem annyira a szivárgás vagy adatlopás esélye, hanem az, hogy az adataink megőrzésére milyen garanciákat nyújt a szolgáltató. Magánszemélyek részére is elérhető felhőalapú backup például a Norton 360 csomag kiegészítése. Hogy igénybe vesszük-e az ilyen szolgáltatásokat, az annak kérdése, hogy mennyire bízunk meg a cégben és mennyire érzékenyek az adatok, amiket náluk tárolunk.
