Na początku września 2014 media lotem błyskawicy obiegła informacja, że nieznani sprawcy udostępnili w Sieci tysiące nagich zdjęć amerykańskich celebrytów. Hakerzy zdobyli je, włamując się na konta w usłudze Apple iCloud – gwiazdki przechowywały tam swoje pikantne zdjęcia i filmiki, nie troszcząc się o ich szyfrowanie. W połowie października wybuchł kolejny skandal: do Internetu trafiło wiele gigabajtów zdjęć przechwyconych z popularnego zwłaszcza wśród nastolatków komunikatora Snapchat. Źródłem wycieku okazały się źle zabezpieczone serwery Snapsaved – niezależnej usługi umożliwiającej zapisywanie i przechowywanie materiałów ze Snapchatu, który automatycznie kasuje wiadomości po 30 sekundach od pierwszego otwarcia.
Oba przypadki należy potraktować jako sygnał alarmowy: nigdy nie możemy być pewni, że nasze dane w usługach chmurowych są w pełni bezpieczne. To samo dotyczy załączników do emaili przechowywanych na serwerach operatorów poczty elektronicznej. Nie oznacza to wprawdzie, że powinniśmy całkowicie zrezygnować z internetowej chmury, ale jeśli zależy nam, żeby w razie ataku hakerów pliki były bezużyteczne dla włamywaczy, musimy je zaszyfrować. Dalej wyjaśniamy, jak wykorzystać do tego bezpłatne narzędzia do Windows oraz Androida, a także podpowiadamy, jak zabezpieczyć przed przechwyceniem emaile wraz z załącznikami. Przede wszystkim jednak należy pamiętać, że najsłabszym ogniwem łańcucha zabezpieczeń jest hasło otwierające dostęp do danych. Kiedy jest zbyt proste, nasze pliki są w niebezpieczeństwie!
Szyfrowanie w komputerze
Narzędzie Boxcryptor w okamgnieniu zaszyfruje cenne dane przed wysłaniem ich na serwer. Wyjaśniamy jego działanie na przykładzie wersji do Windows 7.
Żeby Boxcryptor mógł komunikować się z usługami chmurowymi takimi jak Dropbox czy Google, na komputerze muszą być zainstalowane ich programy klienckie. Klienta każdej usługi znajdziemy na jej stronie internetowej. Po jego zainstalowaniu folder synchronizacji danej usługi pojawi się w Eksploratorze Windows na liście “Ulubione”. Każdy plik umieszczony w tym folderze zostanie automatycznie załadowany na serwer odpowiedniego operatora.
innej usługi niż ta, która została wykryta automatycznie, kliknijmy prawym przyciskiem myszy ikonę Boxcryptora w Zasobniku systemowym i wybierzmy opcję »Settings«. Następnie w zakładce “Locations” usuńmy zaznaczenie przy aktywnej usłudze i zaznaczmy inną pozycję na liście. Bezpłatna wersja Boxcryptora obsługuje tylko jedną zewnętrzną usługę jednocześnie. Wersja narzędzia do systemu Mac OS X (od wersji 10.10) umożliwia szyfrowanie iClouda.
Szyfrowanie przez aplikację
Oprócz klienta desktopowego Boxcryptor udostępnia app umożliwiający korzystanie z zaszyfrowanych danych na urządzeniach mobilnych. Prezentujemy jego wersję przeznaczoną do Androida.
1) Instalujemy program i logujemy się
Pobierzmy ze sklepu Google Play app Boxcryptor – program jest kompatybilny ze wszystkimi urządzeniami z Androidem od wersji 2.3.3. Po jego uruchomieniu zalogujmy się na konto użytkownika usługi albo zarejestrujmy się, jeśli nie zrobiliśmy tego wcześniej.
2) Dodajemy usługi chmurowe
Po zalogowaniu zobaczymy po lewej stronie ekranu rozwinięte menu – gdyby się ono nie pojawiło, dotknijmy lewą krawędź ekranu i przeciągnijmy ją w prawo. Dotknijmy przycisk »Add Provider« (rys. 2a), po czym wybierzmy z listy usługę chmurową, dla której chcemy aktywować szyfrowanie. Następnie app przekieruje nas na ekran logowania usługi, gdzie musimy podać poprawne dane dostępowe. Bezpłatny pakiet współpracuje tylko z jedną usługą naraz, więc wybierzmy tę samą, którą wskazaliśmy w wersji desktopowej.
3) Zarządzamy folderami i plikami
Główny ekran appu zajmowany jest przez menedżera plików, w którym widać całą zawartość naszej chmury. Zielona czcionka w nazwie pliku oznacza, że dane są zaszyfrowane. Chcąc zmienić nazwę, skopiować lub przenieść plik czy folder, przytrzymajmy go palcem, a następnie dotknijmy przycisk z trzema kropkami ułożonymi pionowo znajdujący się na dolnym pasku.
4) Przechowujemy i udostępniamy pliki
Aby zaszyfrować plik z pamięci smartfonu i załadować go do chmury, dotknijmy strzałkę w prawym dolnym rogu ekranu appu. Następnie wybierzmy jeden lub kilka plików czy folderów i dotknijmy przycisk »OK«. Na koniec w wyświetlonym komunikacie wskażmy opcję »Upload Encrypted« (zdarza się, że cała etykieta nie jest widoczna – chodzi o przycisk w prawym dolnym rogu – zdj. 4). Aby udostępnić plik innej osobie, przytrzymajmy go palcem, żeby go zaznaczyć, po czym dotknijmy przycisk z ikoną udostępniania na dolnym pasku. Później wybierzmy metodę udostępniania (np. przez email lub WhatsApp). Uwaga: inaczej niż w wersji desktopowej, nie możemy udostępnić zaszyfrowanego pliku – w tym przypadku dane są dekodowane przed wysłaniem do adresata.
5) Konfigurujemy archiwizację zdjęć
Boxcryptor może automatycznie szyfrować i wysyłać do chmury zdjęcia zrobione aparatem smartfonu. Aby aktywować tę funkcję, przejdźmy z ekranu głównego do bocznego paska menu, dotknijmy przycisk »Settings«. W sekcji »Camera upload« wskażmy docelowy folder zdjęć i zaznaczmy pole »Enable camera upload«. Aktywujmy również opcję »Require wifi connection«, żeby przesyłanie fotografi i nie “zużywało” pakietu danych w sieci mobilnej.
6) Ustalamy PIN
Dostęp do appu możemy zabezpieczyć kodem PIN. W tym celu wykorzystajmy opcję »Settings | App unlock | Setup PIN unlock«.
Szyfrowanie e-maili
Do szyfrowania elektronicznej korespondencji warto wykorzystać opensource’owe programy GNU Privacy Guard (GPG), Kleopatra oraz Thunderbirda z rozszerzeniem Enigmail.
1) Wybieramy usługę z zabezpieczeniem PFS
Chociaż narzędzia GPG dotychczas nie udało się złamać hakerom, jego achillesową piętą pozostaje proces wymiany kluczy szyfrujących oparty na starym standardzie OpenPGP. Wobec tego powinniśmy
założyć konto pocztowe w usłudze, która w trakcie wymiany kluczy między serwerem a użytkownikiem wykorzystuje nowszą procedurę Perfect Forward Secrecy, utrudniającą przechwycenie i odszyfrowanie późniejszej komunikacji. Autoryzację przez PFS obsługuje już popularny Gmail, a spośród krajowych serwisów m.in. Onet, Interia oraz Poczta.pl.
2) Konfigurujemy Gpg4win
Pobierzmy narzędzie Gpg4win ze strony gpg4win.org i zainstalujmyje. W typowych warunkach możemy się nim posługiwać, korzystając ze zwykłego konta użytkownika Windows z uprawnieniami administracyjnymi, ale chcąc zapewnić sobie wyższy poziom bezpieczeństwa, stwórzmy osobne konto o ograniczonych uprawnieniach, służące tylko do szyfrowanej komunikacji. W ten sposób uniemożliwimy dostęp do danych naszego codziennego konta z poziomu programu pocztowego.
3) Generujemy klucz
Otwórzmy menedżera kluczy szyfrujących Kleopatra, który został zainstalowany wraz z narzędziem Gpg4win. Później aktywujmy kreator kluczy, wydając polecenie »File | New certificate«, i wprowadźmy w nim swoje imię i nazwisko oraz email. Następnie przejdźmy na kolejny ekran i podajmy bezpieczne, a jednocześnie łatwe do zapamiętania hasło. Zignorujmy opcje na ostatnim ekranie – kliknijmy przycisk »Finish«, aby zakończyć generowanie pary kluczy.
4) Konfigurujemy Thunderbirda i Enigmaila
Pobierzmy klienta pocztowego Thunderbird ze strony internetowej mozilla.org/pl/thunderbird/ i zainstalujmy go, po czym wprowadźmy w nim dane swojej skrzynki emailowej. Gdy używa się Gmaila czy innej znanej usługi, wystarczy podać adres i hasło, za pomocą którego logujemy się do internetowego serwisu pocztowego. Aby skonfigurować rozszerzenie Enigmail, przy aktywnym oknie Thunderbirda wciśnijmy klawisz [Alt] w celu wywołania menu, a później wydajmy polecenie »Narzędzia | Dodatki«. Wprowadźmy w polu wyszukiwania nazwę “Enigmail”, po czym wciśnijmy [Enter]. Na początku listy wyników znajdziemy aktualną wersję rozszerzenia. Kliknijmy widoczny obok przycisk »Zainstaluj«. Po zakończeniu instalacji i ponownym uruchomieniu Thunderbirda powita nas kreator konfiguracji Enigmaila (częściowo spolszczony). Wybierzmy w nim opcje »Convenient auto encryption«, »Dont’t sign my messages by default« oraz »Zmienić niektóre opcje: Tak«. W oknie “Wybór klucza” kliknijmy klucz, który wygenerowaliśmy za pomocą Kleopatry.
5) Szyfrujemy wiadomości i załączniki
Niezaszyfrowane wiadomości możemy nadal wysyłać i odbierać w zwykły sposób za pośrednictwem Thunderbirda lub interfejsu internetowego konta pocztowego. Chcąc wysłać zaszyfrowaną wiadomość, najpierw poprośmy odbiorcę o przesłanie nam swojego klucza publicznego. Następnie zapiszmy go na dysku twardym i zaimportujmy do narzędzia Kleopatra, klikając w jego oknie przycisk »Import Certificates«. Później zredagujmy wiadomość i dodajmy do niej załączniki, po czym w oknie edycji rozwińmy menu “Enigmail”, którego dwie pierwsze pozycje informują o aktualnym stanie szyfrowania oraz podpisywania emaila. Domyślnie wiadomości nie są szyfrowane ani opatrywane cyfrowym podpisem Aby zmienić ustawienie danej funkcji, rozwińmy odpowiedni wpis i kliknijmy stosowną opcję. Szyfrując wiadomość, koniecznie dodajmy do niej cyfrowy podpis, żeby odbiorca mógł sprawdzić, czy faktycznie pochodzi ona od nas. Kiedy email będzie gotowy, kliknijmy przycisk »Wyślij«, a Enigmail zaszyfruje tekst oraz załączniki przed przesłaniem ich do serwera pocztowego, gwarantując nam zachowanie tajemnicy korespondencji.
6) Odbieramy zaszyfrowane emaile
Osoba chcąca wysłać nam zaszyfrowaną wiadomość będzie potrzebowała Enigmaila (albo innego programu obsługującego OpenPGP, np. Claws Mail) oraz naszego klucza publicznego. Taki klucz musimy wysłać jej uprzednio w zwykłym, niezaszyfrowanym emailu – w oknie jego edycji rozwińmy menu “Enigmail” i wydajmy polecenie »Załącz mój klucz publiczny«. Kiedy otrzymamy wiadomość zaszyfrowaną tym kluczem, Enigmail poprosi nas o podanie hasła. Aby odszyfrować i zapisać załącznik, kliknijmy go prawym przyciskiem myszy i wydajmy odpowiednią komendę poprzez menu kontekstowe.