×
QA trends 2019 PL miniatura

Pobierz nasz raport i bądź na bieżąco z najnowszymi trendami QA, Cyberbezpieczeństwa, IoT czy DevOps!

POBIERZ

Szyfrowanie plików – prosty sposób na poprawę bezpieczeństwa danych

Cyberbezpieczeństwo

W poprzednim artykule podaliśmy trzy przykłady wycieków danych, do których nie doszłoby, gdyby pracownicy korzystali z szyfrowania plików lub dysków twardych. Jak można zauważyć, zagrożenia wynikające z tzw. czynnika ludzkiego dotyczą nawet organizacji, które na co dzień dbają o bezpieczeństwo: lotnisk, uczelni, placówek służby zdrowia.

Niestety, nie jest to nowe zjawisko. Człowiek jest najsłabszym elementem cyberbezpieczeństwa organizacji. Potwierdzają to statystyki. Według badań sporządzonych w 2020 na Uniwersytecie Stanforda przez profesora Jeffa Hancocka, 88% naruszeń bezpieczeństwa danych było spowodowane przez pracowników.

Czynnik ludzki a utrata danych na nośnikach fizycznych

„Czynnik ludzki” to termin ogólny, który skupia bardzo wiele cech i zachowań. Zachowania i cechy można skategoryzować na świadome, nieświadome i wynikające z okoliczności.

1. Zachowania nieświadome

Można do nich zaliczyć błędy ludzkie (np. wysłanie nieodpowiedniego pliku, błędy w konfiguracji), brak stosowania dobrych praktyk korzystania z internetu (wynikający z niewiedzy), podatność na ataki socjotechniczne i takie błędy, jak korzystanie z przestarzałej technologii do przetwarzania danych poufnych (np. korzystanie z Windows 7 do bankowości internetowej).

2. Zachowania świadome

To zagrożenia, które powstały w wyniku zaniedbań lub celowych działań pracowników. Do nich można zaliczyć celową współpracę z hakerem (złośliwy insider), obchodzenie polityki lub systemów bezpieczeństwa (np. instalowanie własnych aplikacji na komputerach służbowych) lub zwyczajną leniwość, która może później skutkować wyciekiem danych (np. niedokończenie konfiguracji lub brak „security hardening” – czyli kompleksowego zabezpieczenia systemów produkcyjnych).

3. Zachowania wynikające z okoliczności

Ostatnia kategoria błędów. Zagrożenia te powstają na skutek sytuacji i zachowań wynikających z okoliczności. Jest to nieprzewidziana kradzież, utrata urządzenia (zgubienie), lub przechwycenie danych przez osobę trzecią (tzw. man in the middle attack).

Zważywszy na fakt, że naruszenia danych są dość często spowodowane przez proste błędy i sprzyjające okoliczności – np. kradzież, utrata urządzenia, przesył danych do nieodpowiedniej osoby – warto pochylić się nad tematem zabezpieczania danych „w stanie spoczynku”.

Czym są dane w spoczynku?

Czytając o szyfrowaniu, można spotkać się z terminami „data at rest” (dane w spoczynku) i „data in motion” (dane w ruchu). Dane w spoczynku to dane, które zostały zapisane na jakimkolwiek nośniku, np. pendrivie, dysku twardym, taśmie backupowej, systemie NAS (Network Attached Storage) lub innych fizycznych nośnikach. Dane w spoczynku są podatne na atak fizyczny, tzn. kradzież, zniszczenie lub utratę. Natomiast dane w ruchu to te, które aktywnie są przesyłane z punktu A do punktu B. Dobrym przykładem takich danych jest ruch internetowy lub wewnątrz sieci LAN.

Szyfrowanie pomaga zabezpieczyć jeden i drugi typ danych, choć fundamentalnie się różni: inaczej szyfruje się ruch pomiędzy użytkownikiem a serwerem (np. podczas korzystania z bankowości internetowej) a zupełnie inaczej, gdy np. tworzymy kopię zapasową. W tym artykule skupimy się na szyfrowaniu plików, które zabezpiecza dane w stanie spoczynku.

Dlaczego warto szyfrować dane?

Odpowiedź jest prosta: zgubienie nośnika, nadanie pliku do nieodpowiedniej osoby lub kradzież urządzenia może przydarzyć się każdemu. Wdrażając politykę dotyczącą obowiązku szyfrowania danych przed jakimkolwiek uzewnętrznieniem – np. przed wysłaniem jako załącznik w mailu lub przeniesieniem na pendive USB – zabezpieczamy się przed wyciekami spowodowanymi zwykłymi błędami ludzkimi lub losowymi sytuacjami poza naszą kontrolą.

Szyfrowanie plików

Narzędziem, z którego warto skorzystać zarówno w środowisku biznesowym, jak i prywatnym jest program 7-Zip. Program działa na niemal każdej platformie: Windows, Mac, Linux, jest wydawany w wersji 32 i 64-bitowej i istnieją nawet wersje dla starszych systemów operacyjnych, takich jak Windows XP czy Windows Vista. Ponadto 7-Zip jest oparty na licencji open-source, co znaczy, że kod źródłowy jest ogólnodostępny do audytu bezpieczeństwa i oprogramowanie może być nieodpłatnie wdrożone w każdym środowisku – nawet biznesowym.

Po pobraniu odpowiedniej wersji 7-Zip dla swojego systemu należy przejść przez instalator. Gdy zakończy się instalacja, dodatkowe menu związane z 7-Zip powinno pokazać się przy każdym kliknięciu prawą stroną myszki na jakimkolwiek pliku.

Okno Windows Explorera i menu 7-Zip po instalacji programu

Aby zaszyfrować plik lub ich zbiór, wystarczy zaznaczyć wybrane pliki w oknie Windows Explorer i kliknąć prawą stroną myszki. Z menu 7-Zip należy wybrać „Dodaj do archiwum…”.

Wówczas pojawi się nowe okno zatytułowane „Dodaj do archiwum”. W polu „Archiwum” należy podać nazwę nowego, szyfrowanego pliku (tworzony plik jest folderem, więc może zawierać jeden lub więcej plików wewnątrz).

Tworzenie szyfrowanego pliku w 7-Zip

W polu „Szyfrowanie” należy dwukrotnie podać wybrane przez siebie hasło. Powodem na dwukrotność jest uniknięcie literówek podczas tworzenia hasła, ponieważ te mogą uniemożliwić późniejsze odczytanie pliku.

Nowy szyfrowany plik zip widoczny w oknie Windows Explorera

To wszystko! Nowy szyfrowany plik/folder ZIP pokaże się w aktualnym oknie Windows Explorer. Łatwo go rozpoznać po nazwie pliku lub żółtej ikonie z zamkiem błyskawicznym.

Odszyfrowanie plików

Odszyfrowanie plików stworzonych przez 7-Zip jest tak samo proste, jak ich tworzenie. Wystarczy wybrać szyfrowany plik, kliknąć prawą stroną myszki i z menu 7-Zip wybrać „Otwórz archiwum” lub „Wypakuj pliki”. W pierwszym przypadku pokaże nam się okno 7-Zip, które pokaże zawartość szyfrowanego pliku/folderu. Do otwarcia znajdujących się wewnątrz plików trzeba podać hasło, które pozwoli na ich odszyfrowanie i wyświetlenie. W drugim wypadku od razu zostaniemy poproszeni o podanie hasła i wszystkie pliki zostaną wypakowane do folderu, który wybierzemy.

Odszyfrowanie plików przy pomocy 7-Zip

Uniwersalność rozwiązania

Zważywszy na fakt, że format Zip jest bardzo popularnym formatem, który ugruntował się w świecie informatycznym od lat, pliki szyfrowane przy pomocy 7-Zip są kompatybilne z innym oprogramowaniem obsługującym tego typu pliki. Takim sposobem, nawet jeżeli odbiorca takiego pliku nie posiada wgranego programu 7-Zip, istnieje duża szansa na to, że inne oprogramowanie obsługujące pliki Zip na komputerze danej osoby (np. WinZip) będzie w stanie odszyfrować dany plik przy użyciu poprawnego hasła.

Oczywiście, szyfrowane pliki tworzone przy pomocy 7-Zip są uniwersalne i kompatybilne z różnymi programami obsługującymi pliki typu Zip. Poza możliwością skorzystania z 7-Zip do odszyfrowania plików można skorzystać z innych programów, co świadczy o uniwersalności rozwiązania. Co więcej, niektóre systemy operacyjne (choćby Ubuntu Linux) natywnie wspierają możliwość odszyfrowywania plików Zip, bez instalacji jakiegokolwiek dodatkowego oprogramowania.

Unikaj błędów podczas szyfrowania danych

Choć sam proces szyfrowania plików i ich odszyfrowywania jest tak prosty, jak korzystanie z Windows Explorera, zdarzają się pomyłki, które niwelują wszelkie korzyści, które płyną z szyfrowania plików. Dlatego warto pamiętać o kilku zasadach:

1. Unikaj prostych haseł

Hasła mogą być odgadnięte lub złamane metodą wielokrotnego, automatycznego procesu odpytywania o hasło (tak zwany „brute force attack”). Jeżeli hasło polega na słowie, które można znaleźć w słowniku lub jest prostym połączeniem cyfr i słowa (np. komputer123), automatyczny skrypt może odgadnąć hasło w ciągu kilku minut.

2. Nie podawaj hasła w treści maila

Jeżeli nadajesz zaszyfrowany plik Zip w wiadomości mailowej (lub przez jakikolwiek komunikator), nie podawaj hasła w tym samym mailu lub komunikatorze (nawet w odrębnej wiadomości!). Najlepszą praktyką jest wykorzystanie do tego celu zupełnie innego medium komunikacji, np. poprzez podanie hasła telefonicznie lub SMS-em.

3. Nie używaj tego samego hasła wszędzie

Według danych LogMeIn (producenta menedżera haseł Lastpass), 59% osób używa tego samego hasła wszędzie. Nie ma sensu szyfrować załączników, jeżeli hasło do skrzynki jest identyczne z hasłem do plików. Unikaj sytuacji, w których skompromitowanie jednej usługi poskutkuje wyciekiem danych z innych usług, bądź plików.

4. Nie zapisuj hasła na pendrivie

Zabierając pliki ze sobą można wpaść na pomysł, aby zapisać hasło w pliku tekstowym na wypadek szwanku pamięci. Choć teoretycznie można tak robić, taki plik nigdy nie powinien się znaleźć na pendrivie, na którym znajduje się plik szyfrowany. Jeżeli zapamiętanie hasła jest uciążliwe, pliki z hasłami i pliki szyfrowane zawsze powinny być oddzielone i znajdować się na odrębnych urządzeniach. W innym przypadku podczas utraty pendriva postronna osoba znajdzie dane i hasło na jednym urządzeniu.

5. Nie publikuj hasła jako instruktarz

Czasami się zdarza, że ze względu na bezpieczeństwo, ktoś (np. z urzędu) sobie życzy przesłanie bezpiecznego, szyfrowanego pliku Zip. Do tego celu wysyła instruktaż, żeby przesłać plik Zip zaszyfrowany określonym hasłem. Jest to dość niebezpieczna praktyka ze względu na to, że każda osoba może przeczytać tę informację i przy wycieku danych np. z maila, odszyfrować pliki. Dlatego najlepszą zasadą jest ustalenie odrębnych haseł do każdej wiadomości lub pliku/folderu poufnego.

Szyfrowanie danych –  skuteczny sposób na poprawę bezpieczeństwa plików 

Utrata prywatności lub danych poufnych w wyniku zwykłego błędu ludzkiego może przydarzyć się każdemu – nawet największym organizacjom. Ale nie ma powodu, aby nie korzystać z dobrze sprawdzonej i uniwersalnej technologii, która jest w stanie nas zabezpieczyć przed różnymi wydarzeniami losu. 

Niezależnie od tego, czy dane dostaną się w czyjeś ręce w wyniku błędnego nadania, zgubienia pendrive’a czy kradzieży, proste szyfrowanie plików Zip zabezpieczy nas przed oczami osoby trzeciej. Złamanie szyfrowania plików Zip (AES-256) do tej pory nie zostało osiągnięte i jeżeli kiedykolwiek się wydarzy, będzie wymagało silnie wyspecjalizowanych kompetencji kryptograficznych lub komputerów kwantowych. Natomiast każdy może odczytać zawartość znalezionego pendrive’a, który posiada nieszyfrowane pliki – nie potrzebujemy do tego hakera.

Oceń artykuł:

Paweł Wałuszko

Paweł Wałuszko 13.07.2021

Doświadczony administrator sieci i propagator rozwiązań IT ze środowiska Doliny Krzemowej. Absolwent Uniwersytetu Kalifornijskiego w Berkeley, Uniwersytetu Stanforda i RANEPA; współorganizował projekty transferu wiedzy takie jakie jak „Poland-Silicon Valley Entrepreneurship Exchange” oraz projekt „Recreating Silicon Valley” na Uniwersytecie Stanforda. Odpowiedzialny za rozwój produktów i ochronę danych, projektował i wdrażał rozwiązania informatyczne dla środowiska akademickiego i biznesu w Europie i USA. Obecnie zajmuje się biznesowymi powiązaniami Doliny Krzemowej z krajami Europy Środkowo-Wschodniej: wymianą wiedzy, rozwojem produktów i edukacją w zakresie bezpieczeństwa w cyberprzestrzeni. W Polsce i poza granicami kraju znany z licznych wykładów poświęconych przeciwdziałaniu atakom socjotechnicznym, kultywowaniu kultury bezpiecznej pracy z danymi poufnymi oraz wczesnego wykrywania anomalii. Pasjonat technologii open-source, współpracuje ze startupami w zakresie tworzenia i zabezpieczania rozwiązań geolokalizacyjnych.

Comments are closed.
Wyszukaj
Kategorie