Kā nodrošināt privātumu

Atslega.png

Šo ceļvedi uzrakstīt ierosināja emuāra komentārs ar jautājumu, kādas būtu rekomendācijas savu privāto datu aizsardzībai.Lai nosargātu privātus/konfidenciālus datus, nepietiek, ka tie glabājas drošā vietā. Tos ir ne tikai droši jāglabā, bet tie ir arī droši jāpārvieto, jo kopējo uzticamību nosaka ne tikai tas, kur dati atrodas, bet arī tas, kā līdz šai vietai nokļūst un kā šos datus lieto. Līdz ar to, datu aizsardzība ir plašs un dažkārt piņķerīgs pasākumu kopums, kur kopējo drošību nosaka vājākais ķēdes posms.Rakstā ir doti vispārīgi drošības/slepenības/privātuma apsvērumi un norādes uz dažiem praktiskiem risinājumiem.

Saturs

Programmas

Operētājsistēma

Ir uzaugusi jau gandrīz paaudze, kas uzskata, ka Microsoft Windows ir datora īpašība kā CD iekārta. Šis uzskats varbūt ir ierasts un ir izdevīgs vienai ASV kompānijai, bet tas nav savienojams ar drošību un privātumu. 

Lai sargātu privātus datus uz sava datora, pirmkārt, ir jāatsakās no Windows operētājsistēmas. Daudzi varbūt domā, ka tas ir nepieciešams tāpēc, ka Windows ir drošības caurumi, no kuriem daži netiek novērsti mēnešiem un pat gadiem. Tāpēc kādam šķiet, ka attiecīgi nodrošinoties, šos trūkumus var novērst. Bet patiesībā daudz svarīgāk ir tas, ka Windows pirmkodu nevar pārbaudīt.

 Datu aizsardzība, lietojot slēgtā koda programmas, ir kā bērnu paslēpes daudzstāvu māju pagalmā. Viņiem šķiet, ka ir "baigie konspiratori", bet katram, kas dzīvo augstāk par 3. stāvu, viss ir redzams kā uz delnas.

Visi datu un sakaru šifrēšanas rīki priekš Windows un citām slēgtā koda programmām ir bezjēdzīgi, jo tos var atlauzt, izmantojot "sētas durvis". Var rotaļāties un spēlēt spiegus, bet tik pat labi var pierakstīt visas paroles un slepenās darbības uz līmlapiņas datora otrā pusē. Ja domājat, ka sētas durvju nav, tad padomājiet, ko deva pretī Microsoft, kad Aigars Kalvītis noslēdza ar viņiem līgumu par to, ka Latvijas valdība atbalstīs Microsoft biznesu. Un nav svarīgi, vai šīm aizdomām ir reāls pamats vai nav, jo svarīgi ir tas, ka jūs to nevarat pārbaudīt

Tāpēc vispirms uz datora ir jāuzliek tāda operētājsistēma, par kuru var ne tikai cerēt, bet kuras pirmkodu var pārbaudīt, ka "sētas durvju" tajā nav 1. Paranoiķiem iesaku Linux From Scratch, kas ir Linux versija, kuru katrs pats uzbūvē no internetā pieejamā pirmkoda, vai vismaz Gentoo, bet mēreniem konspiratoriem iesaku Ubuntu Linux.

Lietojumprogrammas

Iespēja pārliecināties, ka programma dara to, ko apgalvo, attiecas arī uz lietojumprogrammām. Tāpēc tīmekļa pārlūkošanai ir jāizmanto nevis Internet Explorer, Chrome, Safari vai Opera (kuras ir slēgtā koda programmas),  bet gan Firefox (atvērtā pirmkoda pārlūkprogrammas); nevis Skype (slēgtā koda) bet gan Ekiga (atvērtā koda); u.tml.

Paroles

Parole ir standarta veids, kā pierādīt, ka esat tas, par ko uzdodaties, piemēram, piesakoties bezmaksas e-pasta vietnē vai portālā. Tomēr daudzi kļūdās, domājot, ka parole ir līdzeklis, lai aizsargātu datus. Tas tā nav, jo:

  1. jūsu datiem var piekļūt servisa piegādātājs (piemēram, servera administrators).
  2. lai arī paroli var būt grūti uzminēt, administrators to var vienkārši nomainīt.

Tāpēc patiesībā būtu jāuzskata, ka jūs kopā ar resursu uzturētāju, savus datus aizsargājat no nelūgtiem viesiem. Ja datus šifrē, tad principā tos var slēpt arī no servisa piegādātāja, tomēr tas ne vienmēr ir izdarāms, un arī tad nav pilnīgas garantijas.

Paranoiķi uzskata, ka droša parole sastāv no lieliem un maziem burtiem, cipariem, speciālajām rakstzīmēm, svilpieniem, pietupieniem un galvas mājieniem. Protams, ja izmantojat plašāku rakstzīmju klāstu, palielinās iespējamo kombināciju skaits. Diemžēl jūsu spēja to atcerēties dilst straujāk, nekā paroles sarežģītība. Tāpēc patiesība ir cita.

Vienkāršākais stipras paroles veids ir gara parole.

Jums labi iegaumējams teikums ir daudz grūtāk uzminams, kā 8 nesakarīgu rakstzīmju virkne.

Tāpat paranoiķi (un dažas informācijas sistēmas) iesaka paroli mainīt vismaz reizi mēnesī. Tomēr, ja paroles maina bieži, tās ir grūti atcerēties un nākamā parole parasti daudz neatšķiras no iepriekšējās. Tāpēc ērtāk ir šķirot nopietnās un nenopietnās paroles. Ja paroli pārraida pa nešifrētu tīklu (skat. tālāk), tā ir nenopietna parole. Nopietnās paroles nedrīkst būt uzminamas ar vārdnīcas palīdzību (ieskaitot qwerty123 u.tml.). Paroli ir vērts mainīt tikai tad, kad ir aizdomas, ka to varētu izmantot kāds cits, vai arī, lai apmierinātu tehnisku un administratīvu sistēmu prasības.

Iedomātā anonimitāte

Cilvēki, kas nav iedziļinājušies interneta darbībā, dzīvo ilūzijās par interneta anonimitāti. Viņiem šķiet, ka pietiek reģistrēties ar jaunu segvārdu kādā portālā vai sociālajā vietnē, un jauna identitāte ir gatava. 

Patiesībā jebkuru darbību internetā uzskaita precīzāk kā darba laiku vairumā uzņēmumu:

  1. Jebkura datu pārraide internetā notiek no un uz precīzi zināmām IP adresēm.
  2. Lai arī pārsūtītie dati izceļo cauri neskaitāmiem starpniekiem
    • parasti tos zināt nav nepieciešams, jo "anonīmais" lietotājs internetā darbojas ar publisku IP adresi,
    • bet, ja tas ir nepieciešams, vairums starpnieku (tīkla vārtejas, tīmekļa starpniekserveri) veic savu uzskaiti.

Līdz ar to, lai uzzinātu, kas slēpjas zem segvārda "Nemo", kas 01.01.2010 18:50:23 ielika savu "anonīmo" komentāru, jāapskatās tīmekļa servera žurnāla fails un redzams, ka tā IP adrese ir, piemēram, 84.237.214.238, bet šī adrese pieder Lattelecom klientam un atliek no Lattelecom uzzināt, kuram telefona abonentam šī adrese attiecīgajā periodā ir piešķirta, un "Nemo" būs noteikts ar viena uzņēmuma vai ģimenes precizitāti.

Tā kā žurnālu faili var būt ļoti lieli, to ilgstoša uzglabāšana var būt sarežģīta, tāpēc interneta notikumu "noilgums" var iestāties nevis kā tiesā pēc vairākiem gadu desmitiem, bet pēc dažiem mēnešiem vai pat tikai nedēļām. Tāpēc darbojoties aktīvās tīmekļa vietnēs un īpaši "nezīmējoties", var nozust pūlī un cerēt, ka tad, kad kādam parādīsies interese par pagājušiem notikumiem, pēdas jau būs zudušas. Protams, tā ir tikai cerība, pie kuras var turēties tad, kad nekas cits vairs nav atlicis.

Iepriekšējā adrese

Vairums tīmekļa pārlūkprogrammu labprātīgi pasaka tīmekļa serverim, kāda bija iepriekš aplūkotā tīmekļa lapas adrese. Šo informāciju izmanto, lai noteiktu, kā lietotājs ir nonācis līdz konkrētajai lapai, un retu reizi izmanto arī kā vāju pasīvo aizsardzību (drīzāk kā filtru), lai ļautu nonākt līdz noteiktai lapai tikai paredzētajā veidā.

  1. Firefox pārlūkprogrammā iepriekšējās adreses nosūtīšanu var atslēgt iestatījumos, atverot about:config lapu un Network.http.sendRefererHeader ierakstot 0. (Tikai nevajag brīnīties, ka kāds tīmekļa serveris tad apvainojas un neuzskata jūs par "legālu" apmeklētāju).
  2. Var arī uzlikt papildu No-Referer spraudni pilnīgākai kontrolei.

Sīkfaili

Praktiski visas tīmekļa vietnes, kuras apmeklējat, jūsu datorā saglabā nelielu failu (t.s. sīkfailu jeb žargonā — kukiju), kurā ir saglabāta informācija par jūsu izvēlētajiem vietnes izmantošanas iestatījumiem (izvēlēto valodu, burtu lielumu, pirmo lapu, pieteikšanās vārdu un paroli, ja izmantojat iespēju "atcerēties mani", u.tml.) 2. Tas atvieglo vietnes lietošanu, bet sīkfailus var izmantot, lai noteiktu, kas jūs esat, arī tad, kad jūsu datora IP adrese ir mainījusies. 

  1. Lai atceltu sīkfailu izmantošanu, Firefox pārlūkprogrammā var izvēlēties īpašu režīmu: Rīki- Sākt privātu pārlūkošanu
  2. Var arī katrā tīmekļa lapas pieprasījumā pateikt serverim Teikt mājas lapām, ka nevēlos, lai tās mani uzskaita, iezīmējot attiecīgu ķeksīti. Protams, tehniski serveris šo norādījumu var ignorēt. Bet ja nonāksiet līdz tiesai, tad šādas prasības ignorēšana būs patērētāja un cilvēku tiesību pārkāpums.
  3. Var arī izvēlēties mazāk stingrus noteikumus, piemēram: atcelt tikai Pieņemt trešo pušu sīkdatnes, lai neļautu sekot jūsu darbībām pavisam citām tīmekļa vietnēm, kuras jūs nemaz tieši neaplūkojat.

Javascript

Javascript (formāli, saskaņā ar standartu — ECMAScript) ir programmēšanas valoda, kuras kodu (instrukcijas) jūsu dators lejuplādē pie sevis kopā ar redzamo tīmekļa lapas saturu un izpilda jūsu datorā. Javascript izmanto, lai veiktu ievadīto datu pārbaudi un papildu apstrādi pirms nodošanas tīmekļa serverim; bet ļoti bieži to izmanto arī lai izsekotu jūsu datoru un darbības. Praktiski visas tīmekļa vietnes (ieskaitot odo.lv) izmanto Javascript, lai vāktu statistiku par servera apmeklējumiem (piemēram, Googe Analytics, u.tml.). Pie tam daudzi serveri piedāvā jūsu datorā izpildīt Javascript programmas, kas atrodas uz pavisam cita servera (t.s. Cross-site scripting)! Līdz ar to, apmeklējot vienu tīmekļa vietni, jūsu dators par to paziņo arī citām vietnēm.

  1. Javascript izpildi Firefox var pilnībā atslēgt: Rediģēt– Iestatījumi– Saturs un noņem ķeksīti no Atļaut Javascript. Tomēr tad var gadīties, ka nevarat ierakstīt komentārus savā ziņu vietnē un piedzīvot citas problēmas. 
  2. Mazāk stingrs varants ir izmantot Noscript (kuram var norādīt, ko pildīt un ko ne-), vai arī Adblock Plus spraudni (kas pamatā atfiltrē reklāmas, bet tajā skaitā nepilda arī Google Analytics skriptus).

Slēpšanās iespējas

Starpnieku izmantošana

Savu privātumu var pasargāt (vai vismaz apgrūtināt izsekotājus), izmantojot pat diezgan vienkāršus un pieejamus rīkus. Viens no pieejamākajiem risinājumiem ir izmantot tīmekļa starpniekserveri, kas jūsu nosūtīto pieprasījumu uz gala adresātu nosūta savā vārdā. Vienkārši izmantojami starpniekserveri ir tulkošanas vietnes. Kad jūs pieprasāt iztulkot kādas vietnes saturu ar Google Translate, tad delfi tīmekļa administrators kā satura pieprasītāju redz nevis jūsu datora IP adresi bet gan Babelfish vai Google Translate servera adresi. Protams, Yahoo un Google administratoriem ir zināma jūsu datora adrese, un ja datu pieprasīšanai būs nopietns pamatojums, viņi to pateiks.

Tehniski sarežģītāks, bet drošāks risinājums ir savs Linux serveris, piemēram Amazon EC2 mākonī, uz kura ir uzstādīts tīkla starpniekserveris. Izmantojot savu starpniekserveri, žurnāla faili ir jūsu pārziņā un jūs tos var izdzēst, kad nepieciešams, vai vispār neveidot. Protams, Amazon veido serveru rezerves kopijas, un ja ies runa par ASV drošību, tās tiks izpurinātas. Tomēr ir cerības, ka Latvijas ierēdņu patvaļa tiks atfiltrēta.

Vienranga starpnieku tīkls

Visdrošākais risinājums tīmekļa pārlūkošanai ir Tor vienranga maršrutētāju tīkls. Atšķirībā no augstāk minētajiem variantiem, kur tiek izmantots tikai viens starpnieks, izmantojot Tor, jebkurš datu pieprasījums tīmeklī šifrētā veidā tiek "izlīkumots" cauri vairākiem maršrutētājiem visā pasaulē. Parasti par Tor maršrutētājiem kalpo mājas lietotāju datori (lai arī dažus piedāvā par brīvību cīnošās organizācijas), tāpēc Tor tīkls nav ātrs. 

Datu pārraides tuneļi

Izmantojot SSH protokolu var veidot šifrētus datu pārraides tuneļus. Šis ir ļoti elastīgs risinājums, bet to var izveidot tikai tur, kur jums ir kontrole abos datu pārraides "galos". Līdz ar to, nosakot serveru piederību, meklētājiem var rasties nopietnas aizdomas, lai arī tiešus pierādījumus iegūt būs grūti.

Noklausīšanās

Katrs interneta piegādātājs, kas atrodas ceļā starp jūsu datoru un jūsu izmantoto serveri, var brīvi noklausīties visus jūsu pārraidītos un saņemtos datus. Vairumā gadījumu dati tiek pārraidīti nešifrēti, un katrs, kas tos noklausās, var arī saprast. Tādējādi var uzzināt jūsu pieteikšanās vārdus un paroles, un pēc tam šos datus izmantot, lai uzdotos par jums.

Tīmeklis

Parastas tīmekļa vietnes izmanto HTTP protokolu (tīmekļa vietnes adrese sākas ar http://, ko jaunākās programmu versijas vairs nerāda), kurā pārsūtītos datus nešifrē (bet var kompresēt ar gzip algoritmu, ja klients un serveris par to vienojas).

Rīkojoties ar slēpjamiem datiem, tos jāpārraida šifrētā veidā, izmantojot HTTPS protokolu (tīmekļa vietnes adrese sākas ar https://), kur izmanto publiskās un privātās atslēgas pārus. Veikali, bankas u.c. autoritatīvas institūcijas šo protokolu izmanto ne tikai lai šifrētu datu plūsmu, bet arī lai pierādītu, ka vietne patiešām ir tā, pēc kā tā izskatās. Viņi reģistrē bankas tīmekļa vietnes atslēgu publiskā reģistrā un tīmekļa pārlūkprogramma pārliecinās, ka vietnes adrese atbilst reģistrētajam parakstam. Ja ir nepieciešams tikai šifrēt datus, bet par autentiskumu nav jāuztraucas, savam tīmekļa serverim atslēgu pāri var izveidot pašparakstītu. Tādā gadījumā tīmekļa programma brīdinās, ka vietnes elektroniskais paraksts nav uzticams. Ņemiet vērā, ka  ignorējot neautentiskus sertifikātu brīdinājumus, jūs varat nepamanīt t.s. vīru pa vidu uzbrukumu, kad datus starp jums un serveri pārtver kāds starpnieks.

E-pasts

E-pastu var sūtīt un saņemt izmantojot lokālu e-pasta klienta programmu (Thunderbird, Evolution u.tml.) un glabāt vēstules uz sava datora. Var arī glabāt vēstules tikai uz servera un piekļūt tam ar interneta pārlūkprogrammu (piemēram, Firefox). Ja e-pasta serverim klienta programma to nepieprasa, e-pasta tekstu un pielikumu saturu pārraida nešifrētā veidā. E-pasta programmas iestatījumos 3 var pieprasīt datu šifrēšanu (un ja serveris ir atbilstoši nokonfigurēts, tas piekritīs). 

Failu apmaiņa

Tāpat parasti netiek šifrēts arī failu apmaiņa ar FTP. Tāpēc tā vietā jālieto "FTP pa virsu SSH", jeb SFTP.

Momentānās saziņas līdzekļi

Vispārīgais likums ir tāds, ka momentānās saziņas programmas ir nedrošas un viegli noklausāmas.

Momentānās saziņas (tērzēšanas) programmās (ICQ, MSN, Jabber, Google talk, Skype, Ekiga u.tml.) izmanto nešifrētu datu pārraidi, tāpēc to ir viegli noklausīties, līdz ar to ir arī salīdzinoši viegli uzdoties par jums. Ja saziņas programmas ir klienta-servera risinājums (IRC, ICQ, MSN) tad servera turētājiem ir zināma arī jūsu datora IP adrese. Decentralizēti klienta-servera (Google talk) vai vienranga tīkla (Skype, Ekiga) risinājumos noteikt jūsu datora IP adresi ir daudz grūtāk. 

Datu pārraides signāla noklausīšanās

Kamēr datus pārraida pa vara vai stikla vadiem, datus noklausīties ir iespējams tikai tur, pa kurieni tie plūst. Ja izmanto bezvadu tīklu (radioviļņus vai infrasarkanos starus), tad tos var noklausīties, atrodoties pietiekami tuvu. Ja izmanto publiski pieejamus bezvadu tīklus, tad pilnīgi noteikti nepieciešams izmantot augšminētos SSH datu pārraides tuneļus. Tad jebkurš jūsu datu plūsmu varēs gan noklausīties, tomēr viņš sadzirdēs tikai šifrētu datu troksni.
 Arī mobilais telefons veic datu pārraidi, kas lai arī ir šifrēta, tomēr ir uzlauzta. Dažādi tirgoņi piedāvā programmas, kas veic papildu šifrēšanu, bet tā ir balstīta nevis uz drošiem algoritmiem, bet gan uz nezināšanu, kā šifrēšana ir veikta, tāpēc maz ticams, ka tā ir grūtāk uzlaužama. Ja nepieciešams slēpties, dators noteikti ir drošāks nekā telefons, jo tajā ir daudz plašākas iespējas.

Dati

Viens no maniem kolēģiem mēdza teikt:

Ja uz datora var uzlikt roku, tad tas jau ir gandrīz uzlauzts.

Un viņam lielā mērā ir taisnība. Ja dators ir fiziski pieejams un ar to var brīvi eksperimentēt, principā tas ir uzlaužams 4

No šī viedokļa raugoties, datus var nosargāt  labāk, ja tos neglabā mājās. Var izmantot bezmaksas diska vietas servisus kā Dropbox, iDrive vai Ubuntu One. Visus minētos (un tamlīdzīgus) servisus  ir paredzēts izmantot tā, ka tiek veidota sinhronizēta kopija starp jūsu datora mapi cietajā diskā un pakalpojuma serveri. Šis veids ir ērts ikdienas lietošanai, bet tas nav tas, kas būtu jāizmanto, lai sargātu datus. Tāpēc pēc reģistrācijas un sākotnējās kopijas izveidošanas sinhronizēšanas programma ir jānovāc, bet piedāvātais pakalpojums jāizmanto tikai caur tīmekļa pārlūkprogrammu, lai vienīgā datu kopija atrodas uz servera.

Ja datus glabā savā tuvumā, tad par datoru grūtāk atrodama slēptuve ir USB zibatmiņa. USB zibatmiņu var izmantot ne tikai kā vienkāršu failu vietni, bet gan kā pārvietojamu disku ar pilnībā funkcionālu operētājsistēmu. Zibatmiņā var ierakstīt visu Linux darbināšanai nepieciešamo, ieskaitot diska šifrēšanu. Tad ar šo atmiņu var darboties pie jebkura datora, pat ja uz tā darbojas Windows. Datoram tikai jāprot sāknēties no USB, un tad jūs varat izmantot visus datora resursus, bet neaiztiekat tā cieto disku un neizmantojat tajā saglabāto operētājsistēmu. Kad beidzat darbu, datora cietajā diskā nepaliek nekādas darbības pēdas, jo viss ir saglabāts jūsu USB zibatmiņā. Ja nepieciešams iznīcināt datus, iznīcināt zibatmiņu noteikti var ātrāk un lētāk nekā datora cieto disku.

Rezerves kopijas

Datu drošībā bieži vien tehniski vājākais posms ir datu rezerves kopijas.

Tā kā rezerves kopijas ir "lieki dati", tās nereti nepieskata tik rūpīgi kā datus. Tāpēc tās nepietiekami sargā un uzskaita un daudzos datu noplūdes skandālos, tie ir atrasti/nozagti no rezerves kopijām. Iespējas ir divas:

  1. Sargāt datu rezerves kopijas vēl vērīgāk nekā primāros datus, 
  2. Neveidot rezerves kopijas. "Asie zēni kopijas netaisa" (tomēr jāatceras, ka viņi arī nekļūdās).

Jāņem vērā, ka jebkura datu pārsūtīšana arī ir kopijas veidošana, bet datu pārvietošana patiesībā ir kopijas izveide un sākotnējās kopijas "iznīcināšana". Ja izmantojat lielus failus, tad visticamāk jūsu dators saglabās faila īslaicīgu kopiju uz diska. Pat tad, kad fails skaitās izdzēsts, faila dati vēl arvien glabājas diskā, tikai tos ir ļauts pārrakstīt ar jauna faila datiem. Tāpēc nedrīkst uzskatīt, ka datu nesēji ar "izdzēstiem" datiem, piemēram, nomainot datora cieto disku, ir droši.

Datu dzēšana

Dzēšot failu modernā sistēmā, to nevis "izdzēš", bet pārvieto uz "miskasti" 5. Kad iztīra miskasti, arī tad patiesībā failu sistēmā attiecīgā nesēja vieta tiek piezīmēta kā atbrīvota un tiem var rakstīt pa virsu, bet dati joprojām ir saglabāti. Šo iespēju izmanto dzēšanas atjaunošanas programmas, kas ļauj atjaunot "pavisam izdzēstus" failus. Tikai tad, kad bijušā faila vietā ieraksta jauna faila saturu, iepriekšējie dati patiešām ir izdzēsti (bet arī ne pilnībā, skat. tālāk).

Diska šifrēšana

Izmantojot Linux, var šifrēt atsevišķu mapi vai arī visu disku. Ja ir tāda iespēja, tad, izmantojot diska šifrēšanu var slēpt datus arī no servisa piegādātāja, jo viņam viegli izdarāmā paroles nomaiņa neko nedos — dati paliks šifrēti. Tikai jāņem vērā, ka diska vai jūsu kļūdas dēļ pazaudējot atšifrēšanai nepieciešamos datus, pie šifrētajiem datiem nepiekļūsiet arī jūs.

Cik droša ir datu šifrēšana?

Šifrēšanas pamatnoteikums ir:

Nekad nešifrējiet vairākus ziņojumus ar to pašu atslēgu!

Vācijas zemūdens flotē izmantotās Enigma šifrēšanas mašīnas atslēgu pilnai pārlasei būtu nepieciešamas 10114 darbības, bet patiesībā angļi kodu uzlauza, piemeklējot atslēgas atkārtotām frāzēm kā "Heil, Hitler!" un "Nav jaunumu". Ar digitālo datu šifrēšanu ir līdzīgi.  Ja tiktu piemeklētas visas iespējamās šifrēšanas atslēgas, teorētiski datu atšifrēšanai ir nepieciešami miljoni vai pat miljardi gadu, bet meklējot iespējamās atslēgas potenciāli zināmiem datiem paiet stundas, dienas vai nedēļas 6

Ja ir zināms, kādi dati ir šifrēti, tad neskaitāmās kombinācijas, kas būtu jāpārbauda, veicot atslēgu pilno pārlasi ir tikai teoretizēšana. Visi reālie kodi ir uzlauzti, nevis veicot pilno pārlasi atslēgām, bet gan pielasot atslēgas iespējamām datu vērtībām.

Šifrējot cietā diska datus, parasti tajā ir dažādi Microsoft Word dokumenti, PDF faili, attēli u.c. bināri faili, kuros dati ir saglabāti to apstrādei un attēlošanai piemērotā veidā. Šajos failos ir zīmīgas vietas, kas atkārtojas visos attiecīgā formāta failos. Atjautīgas Linux programmas šādus failu "pirkstu nospiedumus" izmanto, lai noteiktu faila tipu neatkarīgi no tā nosaukuma (paplašinājuma), bet kriptoanalītiķi to izmanto, lai atšifrētu faila saturu.

Ja ir zināms, ka jūsu datorā ir *.jpg faili, diska saturu pa vienam baitam pārlasa un skatās, kāda atslēga sanāk, pieņemot, dotajā vietā ir šifrēts *.jpg faila nospiedums ÿØÿà..JF. Tad ar iegūto atslēgu pārbauda tālākos diska datus. Ja atšifrētie dati ir bezjēdzīgi, tad atslēga ir nepareiza un jāmeklē tālāk, līdz agri vai vēlu vajadzīgā vieta ir atrasta un tālāk atrodošies diska dati ir saprotami. Protams, datu atšifrēšanu kavē fragmentēti faili un nopietnos algoritmos atslēga katrā nākamajā diska blokā atslēgu maina, bet tie ir tikai papildu sarežģījumi nevis nepārvarami šķēršļi.

"Pirkstu nospiedumus" ievieto pat neformatēta teksta programma kā notepad, kur to izmanto, lai norādītu, kādā kodējumā ir teksts. Ja notepad raksta UTF-8 kodējumā, visi faili sākas ar iezīmi EF BB BF, kas citos redaktoros rādās kā . Citas programmas, piemēram Ubuntu gedit 7, kodējumu nosaka, analizējot tekstu. Tāpēc vienkārši pārlasot diska saturu, nav iespējams noteikt teksta faila sākumu. Drošai datu slēpšanai dokumentus vēlams glabāt kā parastus neformatēta teksta failus ar gedit vai citu atvērtā koda teksta redaktoru.

  • Ja glabājat šifrētā diskā dažnedažādus binārus failus un nerūpējaties, cik bieži atkārtojas tādi paši dati, tad diska satura šifrēšana lieliski noder tam, lai datora zaglis kā papildu balvu nesaņemtu arī jūsu privātos datus, un kurš katrs policists arī ar uzlaušanu galā netiks. Tomēr profesionāli kriptoanalītiķi šos datus iegūs tik un tā.
  • Jo mazāk jūs izmantosiet binārus datus, kuros ir zīmīgas atkārtojošās vietas, jo grūtāk būs piemeklēt iespējamās atslēgas. Ja izmantosiet tikai un vienīgi neformatēta teksta failus, tad vienīgā nedrošā vieta būs šo failu saturs (piemēram, bieži atkārtots vārds "Nemo"). Ja arī saturu veidosiet maksimāli konspektīvu, un uzlauzējiem būs grūti uzminēt, kas īsti ir šifrēts, tad datu uzlaušanas iespēja tuvosies teorētiski mazajai varbūtībai.
Viss augstāk aprakstītais ir spēkā arī par datu pārraidi. Tikai pārraidītie dati var nebūt saglabāti, tāpēc tie ir jānoklausās un jāieraksta diskā, bet tālāk tos apstrādā ar tām pašām metodēm.

Eksotiskas lietas

Kad magnētiskajā diskā, mainot magnētu polu virzienu, raksta nulles un vieniniekus, visi magnētiņi nepārmagnetizējas pilnībā un 1 drīzāk ir 0,9, bet 0 — 0,1, ja iepriekšējais signāls ir bijis pretējs. Savukārt, ja iepriekšējais signāls bija tāds pats, tiek pārmagnetizēti vēl daži no "nepareizajiem" magnētiņiem un līmenis jau ir 0,99 vai 0,01. Atkarībā no tā, kāds ir bijis iepriekš-iepriekšējais līmenis, faktiskais magnētizācijas līmenis ir 0,999 vai 0,991, vai 0,019, vai 0,001, u.t.t. Precīzi nosakot signāla līmeni un norēķinot stiprāko komponenti, var atklāt, kāds signāls katrā šūnā ir bijis pat pirms piecām pārrakstīšanas reizēm.
Tāpēc, lai uzskatītu, ka magnētiskajā diskā informācija ir droši izdzēsta, un to neatjaunos pat laboratorijā, tajā vismaz 7 reizes pa virsu ir jāuzraksta troksnis, piemēram, ar Shred.

SSD pastāvīgajai atmiņai (ko nevajadzētu saukt par disku, jo tur nav nekā apaļa) vērā ņemama histerēze nepiemīt. Tāpēc to var uzskatīt par pietiekami izdzēstu, ja jaunus datus pa virsu uzraksta tikai vienu reizi.

Izmantojot īpašu uztveršanas aparatūru, var noklausīties, kādu attēlu uz ekrāna rāda jūsu dators un parādīt attēlu citā datorā.

Kad datoru izslēdz, operatīvajā atmiņā ierakstītais nepazūd momentā. Normālos apstākļos elektriskais lādiņš saglabājas dažas sekundes, bet, ja datoru atdzesē (piemēram, dzesējot ar šķidru slāpekli), tad stāvoklis saglabājas ilgstoši un laboratorijā to var atjaunot, tādējādi var uzzināt paroles un atšifrēt arī diska saturu.

Cilvēks

Kad esam patīksminājušies par dažādām tehniskām iespējām, derētu atgriezties īstenībā. Un īstenība ir tāda, ka datu drošībā, tāpat kā daudzās jomās nedrošākais no posmiem nav tehnika, bet gan cilvēks. 

Visām augšminētajām darbībām nebūs liela nozīme, ja netiks ievērota kārtība un piesardzība.

Neko nedos Tor izmantošana, ja apmeklēs tīmekļa vietnes, ar pārlūkprogrammā saglabātiem sīkfailiem. Jūsu datora IP adresi gan nevarēs uzzināt, toties varēs uzzināt, kas esat jūs pats, un ko esat darījis šajā vietnē pirms tam. Neko nedos diska šifrēšana ja pieteikšanās paroli varēs uzminēt ar biežāk lietoto paroļu vārdnīcu, vai tā būs tāda pati, kāda noklausīta, kad pieteicāties sociālajā vietnē.

Ilmāra Poikāna saistību ar Neo, kas ieguva datus no EDS, policija esot noskaidrojusi tāpēc, ka viņš pirms apjomīgās datu lejuplādēšanas dažas pārbaudes bija veicis no sava darba datora. Protams, katram ir viegli būt gudram ar atpakaļejošu datumu un norādīt, ka vajadzēja sākt slēpties jau veicot pirmos eksperimentus. Tomēr profesionālis no jebkura atšķiras ar to, ka spēj apdomāt šādu soli uz priekšu. 

Šāda privātās un publiskās dzīves sasaiste ir klasisks gadījums. Ja patiešām ir nepieciešams slēpties, tad ir jābūt modram nepārtraukti, pretējā gadījumā agri vai vēlu kāda saite tiks atrasta un visa tālākā drošības ķēde atraisīsies kā glīti satīts kamoliņš.

Tāpēc vienmēr atcerieties, kur esat, ko darāt, un vienmēr padomājiet, kādas tam varētu būt sekas.

Es nekādā veidā neatbalstu šo paņēmienu izmantošanu nelikumīgos nolūkos. Ja likumi nav labi, ir jācīnās par to maiņu esošo likumu ietvaros.

Tomēr ir vērts izmantot šos ieteikumus, lai izsargātos no varas pārstāvju patvaļas.

  1. ^ Pirmkoda pārbaude katram nav jāveic, bet ir svarīgi, ka to var veikt katrs.
  2. ^ Firefox pārlūkprogrammā saglabātos sīkfailus var apskatīt, un izdzēst, aktivizējot izvēlni Rediģēt- Iestatījumi- Privātums- Dzēst atsevišķas sīkdatnes.
  3. ^ Evolution to norāda Rediģēt- Iestatījumi- Pasta konti- Nokusētais- Rediģēt- Saņem/Sūtu e-pastu- Lietot drošu savienojumu- TLS/SSL šifrēšana
  4. ^ Nezināmu paroli var nomainīt, sāknējot datoru no sava diska.
  5. ^ Un pārvietošana patiesībā ir faila loģiskās atrašanās vietas pārreģistrēšana. Faila datus nekur nepārvieto.
  6. ^ Skat. t.s. Rainbow table uzbrukumu
  7. ^ Gedit ir uzlabots notepad analogs — tas ir neformatēta teksta redaktors, bet tajā ir pareizrakstības pārbaude, sintakses izgaismojums u.c. iespējas.
Izveidojis Valdis Vītoliņš 2010-05-18 16:55
Pēdējais mainījis Valdis Vītoliņš 2016-04-12 12:11
 
Xwiki Powered
Creative Commons Attribution 3.0 Unported License