Hackeři i vládní agentury používají stále mocnější nástroje, jak se dostat k našim soukromým datům. S použitím správných nástrojů ale můžete rychle a komfortně zabezpečit veškeré používané systémy.
Z odhalení Edwarda Snowdena, jak fungují tajné vládní programy na sběr soukromých dat lidí po celém světě, bychom si měli vzít jedno důležité ponaučení: Pokud nám záleží na našem soukromí, musíme se o něj postarat sami a učinit vše pro to, abychom čmuchání v našich datech zabránili. Vlády se totiž svých špehovacích aktivit rozhodně nechtějí vzdát, jak ukazuje nejen vývoj ve světě, když například koncem loňského roku americká FBI získala možnost špehovat data v počítačích umístěných v cizích zemích, ale také u nás, kde se diskutuje o tom, že by Vojenská zpravodajská služba měla mít rozsáhlé možnosti monitorovat internetovou komunikaci.
Pokud jde o Spojené státy, jako největšího světového čmuchala v cizím soukromí, všeobecně se očekává, že se pravomoci tajných služeb v oblasti odposlechů za vlády prezidenta Donalda Trumpa ještě rozšíří. Pozadu nezůstává ani Velká Británie, kde byl rovněž schválen zákon posilující pravomoci britských tajných služeb při sběru obrovských množství dat z internetové komunikace. Situace kolem našeho soukromí se tedy neustále zhoršuje. Nikdy v historii ještě nedocházelo k tak masivnímu špehování a sbírání tak obrovských objemů dat k analýze.
Obhájci sběru dat s oblibou prohlašují, že se poctiví lidé přece nemají čeho obávat a co skrývat, ale to je naprosto zcestný přístup. Nikdy totiž není zaručeno, že odposlouchávající tajné služby nebudou samy odposlechnuty či hacknuty a část nebo všechna sebraná data, včetně konkrétních osobních údajů, se dostanou do nepovolaných rukou. Když si uvědomíme, co všechno v e-mailech, komunikátorech a dalších elektronických komunikačních kanálech se svými příbuznými a přáteli řešíme, jistě je každému jasné, jak nepříjemné by bylo, kdyby se veškerá komunikace stala veřejnou.
Často přitom ani nezáleží na tom, jak striktní jsou zákony dané země na ochranu soukromí a dat obecně. V době cloudových služeb si totiž nemusíte být vždy jistí, přes jaké servery vaše komunikace probíhá a v jaké zemi jsou vaše data fyzicky uložena. Firmy, resp. uživatelé komerčních cloudových služeb, jsou na tom o něco lépe, protože jim poskytovatelé služeb často garantují, že jejich data neopustí území Evropské unie, a nebudou tedy vytaveny například americké jurisdikci.
Edward Snowden hovořil i o tom, jaký je nejlepší způsob ochrany svého soukromí: Ve většině případů stačí použít dostatečně silné šifrování. Zároveň je ale celkem jasné, proč drtivá většina uživatelů internetu žádné šifrování nepoužívá, ani na něj nepomýšlí. Ať totiž chceme nebo ne, šifrování dat je vždy spojeno s určitou mírou ztráty komfortu při každodenní práci. My si to samozřejmě uvědomujeme, a proto vám přinášíme tipy, jak zabezpečit data i komunikaci s vyváženým poměrem mezi ochranou soukromí a uživatelským komfortem. Poradíme vám, jak zabezpečit data na disku vašeho počítače, obsah vašeho smartphonu nebo soubory uložené v cloudu s dostatečně vysokou úrovní šifrování. Zaměříme se především na snadnou instalaci a ovládání použitých nástrojů a jejich perfektní kompatibilitu s příslušnými operačními systémy. Díky tomu budou vaše citlivá osobní data zabezpečena nejen před čmuchajícími vládními agenturami, ale také před stále nebezpečnějšími hackery.
Ochrana dat na disku počítače
Začněme s počítačem s Windows. Nejlepší cestou, jak ochránit data, uložená ve vašem stolním počítači nebo notebooku je zašifrování celého obsahu pevného disku. Nicméně, v některých případech (zejména u starších počítačů s pomalými procesory a disky) je lepší cestou zašifrování jen vybraných složek. Ukážeme si proto oba způsoby ochrany dat.
Použití hardwarového šifrování
Otázka zašifrování obsahu moderních pevných disků je mnohem jednodušší, než si možná myslíte. Aktuální zařízení totiž často nabízejí vlastní metody šifrování. Například pevné disky za tímto účelem používají technologii Opal SSC (Opal Security Subsystem Class). Tento standard umožňuje šifrovat obsah disku přímo prostřednictvím sběrnice, ke které je v počítači připojen. Z celého procesu je přitom vynechán operační systém. Zdali váš konkrétní disk podporuje hardwarové šifrování s Opal SSC byste měli zjistit ze specifikací uvedených na webu jeho výrobce.
Zde byste měli najít i softwarové nástroje na aktivaci této funkce, jako je například program Magician pro disky Samsung. Po aktivaci této funkce se pevný disk zeptá na vámi zvolené heslo, které bude později třeba zadávat při každém restartu počítače, ještě než dojde ke spuštění operačního systému. Musíte ale pamatovat na dvě důležité věci. Především nikdy nepoužívejte dvě různé šifrovací technologie zároveň. Na disku s aktivovaným hardwarovým šifrováním proto nepoužívejte například šifrovací funkci BitLocker, zahrnutou v operačním systému Windows.
Pokud byste tak učinili, zaděláváte si na velké problémy, především pak možnost ztráty cenných dat. Dále byste měli deaktivovat šifrování před vymontováním disku z počítače, protože dešifrovací software pracuje pouze v případě, kdy je zašifrovaný disk použit jako bootovací médium. Jestliže takový disk připojíte k jinému počítači přes USB port, k datům na něm uloženým se nijak nedostanete.
Software pro zašifrování dat na disku
Jak jsme zmínili výše, Microsoft nabízí ve Windows 10 vlastní technologii BitLocker na zašifrování kompletního obsahu disku. Bohužel, najdete ji jen ve verzích Windows 10 Pro a Enterprise. Máte-li jinou verzi Windows, můžete použít bezplatnou aplikaci VeraCrypt (veracrypt.codeplex.com).
Po spuštění programu VeraCrypt si jej v nabídce »Settings / Language« přepněte do češtiny. Pak použijte volbu »Systém / Zašifrovat systémový oddíl/disk«, v průvodci zvolte možnost »Normální« a následně »Zašifrovat celý disk«. Tím zajistíte, že bude zašifrován nejen systémový oddíl s Windows, ale kompletní obsah disku se všemi oddíly. VeraCrypt se vás následně zeptá, zdali chcete zašifrovat i skryté chráněné oblasti disku. V zásadě je možné zvolit »Ano«, ale pamatujte na to, že byste zašifrovali i případný skrytý záchranný oddíl, používaný k obnově funkčnosti počítače v případě havárie softwaru.
V některých případech je navíc vyžadováno, aby byl tento oddíl dostupný ještě před nabootováním počítače do Windows. Pokud tedy víte, že váš pevný disk takový skrytý oddíl obsahuje, tak tento oddíl nešifrujte. Následně ještě zvolte, zdali je na vašem disku jen jeden operační systém nebo jich používáte více, vyberte použitý šifrovací algoritmus (můžete ponechat přednastavené hodnoty) a zvolte si dostatečně silné heslo, které si dobře zapamatujte. Nakonec rozhodně nevynechejte možnost vytvořit si záchranný disk pro nouzové dešifrování disku v případě havárie Windows.
Šifrování jednotlivých složek
V případě, že máte starý a pomalý počítač, nemusíte se šifrování úplně zříci, ale nebylo by rozumné automaticky šifrovat kompletní obsah disku. Lepší bude vytvořit na pevném disku šifrovaný kontejner, tedy virtuální diskový oddíl, jehož obsah bude určen k bezpečnému ukládání citlivých dat. Tato data budou automaticky šifrována a vy budete s kontejnerem pracovat podobně jako s kterýmkoli jiným diskovým oddílem.
Také za tímto účelem lze použít bezplatný software VeraCrypt. Použijte k tomu volbu »Svazky / Vytvořit nový svazek« a jednoduše následujte j instrukce průvodce nastavením, který otevře v novém okně. I v českém překladu uživatelského rozhraní programu VeraCrypt je vše velmi pečlivě popsáno.
Optimální zabezpečení mobilních zařízení
Naše mobilní zařízení obsahují velké množství citlivých osobních dat, na základě kterých si lze udělat prakticky kompletní obrázek o našem životě. V rozporu s tím jsou tato zařízení často zcela neuspokojivě zabezpečena. Především zařízení s Androidem jsou v zásadně snadno napadnutelná kvůli otevřené architektuře tohoto operačního systému. Právě proto je třeba tato zařízení dokonale a komplexně zabezpečit.
Ochrana iOS před útočníky
Uživatelé mobilních zařízení od Applu nemusí sami řešit šifrování operačního systému iOS - to za ně již provedl přímo Apple. Šifrování je ale efektivní jen v případě použití dostatečně silného hesla pro přístup k zařízení. Pokud tomu tak je, bude třeba i pro FBI velmi složité se k obsahu zařízení dostat. Ve skutečnosti se při použití silného hesla stane neautorizovaný přístup do zařízení prakticky nemožným. Heslo se nastavuje v nabídce »Nastavení / Touch ID a kódový zámek / Změnit kód zámku«. Použijte nabídku »Volby kódu« a možnost »Vlastní alfanumerický kód«.
Kódový zámek nastavený v zařízení s iOS stoprocentně ochrání data ve smartphonu či tabletu. Zůstává ale skulina v podobě záloh a ostatních dat, uložených na serverech služby iCloud. Apple by tato data musel zpřístupnit například na příkaz soudu. Chcete-li uchovávat svá data skutečně v soukromí, měli byste zálohování do iCloudu vypnout a provádět pouze lokální zálohy do svého počítače. Příslušnou předvolbu najdete v nabídce »Nastavení / iCloud / Záloha«.
Pod nabídkou »Nastavení / iCloud / Úložiště / Spravovat úložiště« najdete dříve vytvořené zálohy, které můžete z iCloudu smazat. Klepněte na vybranou zálohu a na následující obrazovce sjeďte úplně dolů k volbě »Smazat zálohu«. Pak použijte aplikaci iTunes pro vytvoření lokální zálohy mobilního zařízení na disku počítače. Také tuto zálohu nezapomeňte opatřit heslem, aby se k jejímu obsahu nemohl dostat nikdo nepovolaný.
Zabezpečení Androidu
Také Android má vestavěnou funkci na šifrování obsahu mobilního zařízení. Aktivujete ji v nabídce »Nastavení / Zabezpečení / Šifrování telefonu«. Šifrovací funkce má ale i svoje nevýhody. Předně není dostupná úplně ve všech smartphonech a tabletech s různými verzemi Androidu a pak také může v některých případech vést ke snížení výkonu celého zařízení. Nic vám ale nebrání šifrování alespoň vyzkoušet - kdykoli později jej můžete zase deaktivovat.
Pokud se nebudeme bavit o šifrování kompletního obsahu zařízení, je v Androidu o něco složitější ochránit data než v iOS.
Zároveň je ale třeba pamatovat na to, abyste nezálohovali data ze smartphonu či tabletu na serverech Googlu. Stejně jako v případě zařízení s iOS byste měli vytvářet jen lokální zálohy na disku vašeho počítače. S tím vám pomůže například šikovný software MyPhoneExplorer (fjsoft.at/en). Tento program vytváří lokální zálohy obsahu zařízení s Androidem a využívá k tomu vaši domácí Wi-Fi síť. Data tedy neputují přes žádné cizí servery, kde by je bylo možné odposlechnout. Dříve než se pustíte do zálohování dat, instalujte si MyPhoneExplorer do počítače a také aplikaci MyPhoneExplorer Client do svého mobilního zařízení s Androidem. Pak spusťte program MyPhoneExplorer v počítači a použijte volbu »Soubor / Připojit« k propojení mobilního zařízení s počítačem. Pak přejděte do nabídky »Soubor / Nastavení / Násobná synchronizace«, abyste mohli zvolit obsah k pravidelnému zálohování.
Šifrování cloudových služeb
Jestliže ukládáte svoje soubory na Disku Google nebo v Dropboxu, znamená to, že k nim může získat přístup i někdo další, kdo v nich bude čmuchat. Proto byste měli do cloudu nahrávat vždy jen zašifrovaná data.
Použití aplikace Boxcryptor
Aplikace Boxcryptor (boxcryptor.com) používá samostatné heslo pro šifrování obsahu cloudových úložišť jako OneDrive, Disk Google, Dropbox atd. Může to znít nepohodlně, ale není to pravdou. Vše co potřebujete je instalace aplikace Boxcryptor na příslušných koncových zařízeních. Program pak zcela automaticky, na pozadí operačního systému, šifruje data před jejich odesláním do cloudu. Boxcryptor je původem německý software a vztahují se na něj poměrně striktní zákony na ochranu dat. Navíc ani tvůrci aplikace nemají přístup k šifrovacím klíčům. To mimochodem znamená, že v případě ztráty hesla se vám již nepodaří data dešifrovat.
Ze všeho nejdříve je třeba si v aplikaci Boxcryptor vytvořit uživatelský účet, který bude svázán s šifrováním všech dat. Pro běžné domácí použití při propojení s jedním cloudovým úložištěm a nejvýše se dvěma koncovými zařízeními si vystačíte s bezplatnou verzí aplikace Boxcryptor. Po prvním přihlášení vytvoří Boxcryptor ve vašem počítači stejnojmenný virtuální disk, který bude obsahovat složku pro každou z připojených cloudových služeb. Program přitom automaticky detekuje všechny klientské aplikace cloudových úložišť, instalované ve vašem počítači. Když nyní do složky v cloudovém úložišti umístíte nový soubor, Boxcryptor jej před odesláním do cloudu automaticky zašifruje.
Chcete-li zašifrovaná data sdílet s dalším uživatelem, musíte mu nejprve přidělit uživatelská oprávnění. To provedete v nabídce »Groups« v nastavení aplikace Boxcryptor. Tato funkce ovšem není v bezplatné verzi aplikace dostupná. Můžete to ale obejít a šifrovaná data sdílet oklikou. Stačí když soubor zašifrujete ve svém počítači v programu VeraCrypt a nahrajete jej do některého cloudového úložiště. Pak příjemci souboru odešlete odkaz na zašifrovaný soubor a nějakým bezpečným způsobem mu sdělíte heslo pro dešifrování obsahu souboru.
Použití smartphonu pro šifrování dat
Budete-li chtít používat svoje zašifrovaná data i v mobilních zařízeních, budete potřebovat mobilní verzi aplikace Boxcryptor, která je dostupná pro Android i iOS. Po instalaci se přihlásíte ke svému uživatelskému účtu, přidáte poskytovatele cloudových služeb a přihlásíte se ke svému uživatelskému účtu u úložiště. Když budete chtít do cloudu nahrát ze smartphonu nějaký zašifrovaný soubor, použijte tlačítko »+« a zvolte soubory, fotky či videa k zašifrování a odeslání do cloudového úložiště. Boxcryptor se následně zeptá, zdali má soubory před odesláním zašifrovat.
Soubor z cloudového úložiště můžete snadno odeslat komukoli dalšímu pomocí klasické funkce na sdílení. Zvolte soubor, způsob sdílení a adresáte. Pamatujte ale na to, že Boxcryptor soubor nejprve stáhne z úložiště, dešifruje jej a pak odešle. Tzn., že bude po internetu putovat v nezašifrované podobě.
Zabezpečení e-mailů a schránek
Pro výzvědné služby jsou e-maily nedocenitelným zdrojem informací. V e-mailové schránce lze totiž zpravidla sledovat celý soukromý život uživatele. Sami poskytovatelé e-mailových služeb navíc zabezpečení poštovních schránek příliš neřeší. My vám proto poradíme, jak ochránit e-mailový účet a posílat šifrované zprávy s minimálním poklesem komfortu práce s elektronickou poštou. Abyste ale dosáhli skutečně perfektní úrovně zabezpečení, budete si muset pořídit novou e-mailovou adresu.
Vytvoření zabezpečeného e-mailového účtu
Máte-li e-mailovou schránku u Googlu na serveru Gmail nebo u dalšího amerického poskytovatele freemailových služeb, nemůžete o soukromí příliš hovořit. Pro americké bezpečnostní složky není žádným velkým problémem pořídit si soudní povolení pro přístup k datům v soukromých schránkách. Edward Snowden navíc uvádí, že NSA a podobné složky ani žádné povolení nepotřebují. Během loňského léta se například objevila informace, že Yahoo! tajně poskytlo americkým úřadům rozsáhlý přístup k datům svých zákazníků. Obsah e-mailové schránky ale není stoprocentně v bezpečí ani v Evropě. Také zde mohou různé státní orgány se souhlasem soudu do schránek nahlížet.
Jediným skutečně spolehlivým řešením je využívání poštovní služby, která e-mailové schránky šifruje. Takovou službou je například švýcarský Proton Mail (protonmail.com), kde při zřízení nové schránky musíte vymyslet dvě hesla. První slouží pro přístup k uživatelskému účtu, zatímco druhé pro dešifrování obsahu schránky. Heslo ke své schránce nesmíte za žádných okolností ztratit - není jej možné nijak obnovit. Další úroveň bezpečnosti představuje možnost zakázat i obnovení hesla k uživatelskému účtu.
Tuto možnost aktivujete v nabídce »Account / Allow password recovery«, kde označíte předvolbu »Disabled«. Pro použití šifrované schránky na serveru ProtonMail si ale musíte vytvořit novou e-mailovou adresu, pokud tedy nevyužíváte pro e-maily svoji vlastní doménu. Pokud vlastní doménu máte, můžete ji ve službě ProtonMail propojit s šifrovanou schránkou. Hlavní výhodou vlastní e-mailové domény je právě možnost přenášet si stejnou e-mailovou adresu mezi různými poskytovateli poštovních služeb. Domény dnes nejsou vůbec drahé a třeba doménu .com si můžete u služby GoDaddy (godaddy.com) pořídit i bez uvedení vašich osobních údajů. Vaše doména bude zaregistrována na prostředníka.
Posílání šifrovaných e-mailů
Jakmile máte k dispozici zabezpečenou schránku, je třeba zajistit šifrování i vlastních e-mailových zpráv. Ze všeho nejdříve budete potřebovat pár soukromého a veřejného klíče pro šifrování e-mailů. Použijte k tomu balíček Gpg4win (gpg4win.org), který obsahuje i nástroj Kleopatra, sloužící ke správě šifrovacích klíčů. V aplikaci Kleopatra použijte volbu »File / New Certificate«, která otevře průvodce vytvořením nových šifrovacích klíčů. Dále budete potřebovat doplněk internetového prohlížeče Mailvelope (mailvelope.com), dostupný pro Chrome a Firefox.
Tento doplněk není nutné nijak zvlášť konfigurovat, protože jsou v něm připravené profily nastavení pro běžně používané e-mailové služby. Nejdříve musíte z aplikace Kleopatra exportovat sadu klíčů. Na záložce »My Certificates« označte vygenerovanou sadu klíčů a použijte volbu »File / Export Secret Keys«. V nově otevřeném okně označte předvolbu »ASCII armor« a zvolte název a umístění klíčů. Pak v doplňku Mailvelope přejděte do nabídky »Options« a použijte volbu »Key Management / Import Keys«. Po importu klíčů můžete začít posílat šifrované e-maily. Není na tom nic složitého, protože doplněk Mailvelope automaticky spolupracuje s běžnými e-mailovými službami jako Gmail. Běžným způsobem vytvoříte novou zprávu a Mailvelope se postará o všechno další, včetně dešifrování příchozích zpráv.
Bezpečnější komunikace
Zabezpečení textových zpráv a telefonických konverzací pomocí šifrování je jednodušší, než by se mohlo na první pohled zdát. Většina internetových komunikátorů, jako je například i oblíbený WhatsApp, totiž dnes již nabízí automatické end-to-end šifrování.
Výběr správného komunikátoru
Pokud jde o internetové komunikátory, není problém šifrování, ale spíše sběr metadat. Vlastnosti komunikátorů, které stojí z hlediska bezpečnosti za zmínku, popisujeme v samostatném rámečku na straně 43. Aplikaci Signal přitom nedoporučuje nikdo jiný než Edward Snowden. S jeho názorem přitom souhlasí i výzkumníci z univerzit v Oxfordu a Queenslandu i z kanadské McMasterovy univerzity. Požadavek na předání dat od amerického soudu směrem ke společnosti Open Whisper Systems (OWS), která je tvůrcem komunikátoru Open, ukázal, jak málo dat tato aplikace o komunikaci uchovává. Jediné, co lze ze záznamů OWS o uživatelích aplikace Signal zjistit, je datum a čas registrace a posledního použití komunikátoru. Jedinou nevýhodou je, že aplikaci Signal používá jen velmi málo lidí.
Stejný komunikační protokol přitom používá i WhatsApp a Facebook Messenger. Tento protokol zajišťuje, že jsou data bezpečně šifrována na celé cestě od odesílatele zprávy až k jejímu příjemci. V případě Facebook Messengeru byste ale měli nejprve aktivovat »Tajné konverzace« v nastavení »Já«. Ve WhatsApp i Facebook Messengeru je sice šifrován obsah zpráv, ale Facebook ukládá kompletní metadata o komunikaci. V ideálním případě byste tedy měli přesvědčit celou rodinu a všechny svoje přátele, aby přešli na komunikátor Signal. Pravdou ale bude, že i přes jistá bezpečnostní rizika zůstane většina z nich nejspíše u oblíbeného komunikátoru WhatsApp.
V nastavení aplikace WhatsApp ale můžete alespoň omezit množství dat, které bude protékat přes servery Facebooku. Otevřete si »Nastavení / Účet / Soukromí« a všechny tři první předvolby nastavte na »Nikdo«. Vypnout můžete i »Oznámení o přečtení«, čímž dále snížíte množství dat kolem konverzací.
Nejlepším komunikátorem z hlediska bezpečnosti je bezpochyby aplikace Signal, dostupná pro Android a iOS. Její vývojáři neustále pracují na vylepšeních, zejména na přiblížení se uživatelské přívětivosti aplikace WhatsApp. Určitě se vyplatí tento vývoj dále sledovat.
Neodposlouchávatelné telefonáty
Pro každodenní telefonní konverzace mezi smartphony si nutně nemusíte pořizovat speciální šifrované telefony.
Většina internetových komunikátorů totiž nabízí i zabezpečenou hlasovou komunikaci, která probíhá plně po internetu, tedy bez jakýchkoli poplatků za spojení hovoru u nás i do zahraničí.
Jediné co potřebujete, je dostatečně kvalitní připojení k internetu - ať už přes Wi-Fi nebo mobilní síť. Telefonování přes WhatsApp či podobné komunikátory představuje datový tok kolem 1 MB za minutu hovoru, takže když budete telefonovat hodinu denně po dobu jednoho měsíce, provoláte kolem 1,8 GB dat. Mějte to na paměti z hlediska objemu mobilních dat v rámci vašeho tarifu a pro dlouhé hovory se raději připojte k Wi-Fi.
Šikovný trik na snížení objemu přenášených dat nabízí nastavení komunikátoru WhatsApp. Přejděte do nabídky »Nastavení / Spotřeba dat« a aktivujte předvolbu »Nízké využití dat«. Aplikace sice přepne kvalitu hovoru z HD na nižší datový tok, ale ve výsledku ušetříte část objemu přenesených dat a vystačíte si i s pomalejším připojením k internetu.
Jakmile nasadíte zabezpečení podle všech námi doporučovaných tipů, vytvoříte téměř dokonalý štít chránící vaše osobní data a soukromí. K vašim datům se nedostanou ani hackeři, ani čmuchající vládní agentury. Ani šifrování sice neznamená úplně stoprocentní ochranu, ale značně zkomplikuje veškeré pokusy o získání informací proti vaší vůli.
***
Šifrovací algoritmy pro ochranu dat
> AES (Advanced Encryption Standard) Nástupce DES. Klíč je považován za bezpečný, je-li dlouhý alespoň 192 bitů (AES-192).
> DES (Data Encryption Standard) Vyvinuto IBM a NSA, bezpečné jsou pouze nové verze jako 3DES (nebo Triple DES).
> Twofish Nepatentovaná otevřená šifra pro volné použití. Experti ji považují za velmi bezpečnou a neobsahující zadní vrátka.
***
USB flash disk
Kapesní USB flash disky jsou sice velmi praktické pro přenášení dat, ale je snadné je ztratit. Pokud máte na flash disku citlivá data a nepoužíváte šifrování, případný nálezce se k nim dostane bez jakékoli překážky. Řešením jsou zabezpečené USB flash disky s AES šifrováním.
> Zcela zdarma si můžete šifrovaný přenosný disk vytvořit s programem VeraCrypt. Problém ale je, že by v každém počítači, kde budete chtít disk používat, musel být program VeraCrypt instalovaný.
> Nejbezpečnějším řešením jsou disky s vestavěným šifrováním, jako je například Kingston DataTraveler2000. Takové USB flash disky jsou ale v porovnání s těmi bez šifrování poměrně drahé. Obsah disku je zpřístupněn teprve po zadání příslušného hesla na malé klávesnici na těle disku.
> Nejkomfortnějším řešením jsou USB flash disky s integrovanou čtečkou otisků prstů. Data zašifrovaná AES algoritmem jsou zpřístupněna po ověření otisku a nemusíte si tedy pamatovat heslo. Bohužel jsou takové super-disky řádově dražší než běžné USB klíčenky.
***
Zlý hackerský telefon
Hlavní postava seriálu Mr. Robot používá speciální smartphone a nástroj na zkopírování SIM karty člověka, se kterým právě hovoří. V souvislosti s tím se nabízí otázka, zdali je něco takového možné i v reálném světě. Yolanda Smith, hlavní vývojářka ve společnosti Pwnie Express, věří, že SIM karta může být podobným způsobem opravdu zkopírována. Pwnie Express vyrábí mimo jiné i smartphone na penetrační testy (pwnieexpress.com), který umí odposlouchávat mobilní síť. Postava v seriálu Mr. Robot používá podobné zařízení. Tento hackerský telefon je možné legálně pořídit a například s ním odposlouchávat síťový provoz. Přijde zhruba na 1 000 eur.
Pokud ovšem chcete prolomit šifrování, šifrovák musíte mít fyzický přístup k SIM kartě nebo speciální Stingray-box. Takové zařízení používají k monitorování nitoročnostní mobilních telefonů bezpečnostní a výzvědné složky. Yolanda Smith mith také vysvětlila, jak by SIM kartu naklonovala. tu namezeru Použila by známou mezeru v zabezpečení v mobilním komunikačním munikačání systému SS7 k přesměrování všech hovorů přes proxy. Pak by bylo možné odposlouchávat všechny konverzace. ny konmohou Jedinou věcí, kterou mohou uživatelé pro svoje soukromí udělat, je používání komplexního šifrovacího ovacího systému.
***
Zabezpečení webových účtů
Přístup k internetovým službám, které používáte, se může ocitnout v nepovolaných rukách dříve, než se nadějete. Pokud třeba používáte stejné přístupové údaje na více webů, je velký problém, když má některý z nich slabé zabezpečení a hackeři se zmocní uživatelských údajů. O zjištění přihlašovacích jmen se pokoušejí také špehovací programy, které mohou proniknout do vašeho počítače nebo smartphonu. Tento problém řeší tzv. dvoufázové ověřování, kdy kromě jména a hesla zadáváte při každém přihlášení k internetové službě také jednorázový kód, zasílaný nejčastěji v SMS zprávě. I tento způsob zabezpečení lze překonat, ale je to mnohem náročnější než u prostého jména a hesla.
> Dvoufázové ověřování používá stále více internetových služeb, jejichž pravidelně aktualizovaný seznam najdete na stránce twofactorauth.org. Nejčastěji si ale musíte vyšší úroveň zabezpečení sami ručně aktivovat. S bezpečným přihlašováním vám pomůže například aplikace Authy pro Android nebo OTP Auth pro iOS.
***
Nejbezpečnější komunikátor
> WhatsApp Od převzetí služby WhatsApp Facebookem se začaly databáze Facebooku a WhatsApp navzájem prolínat. I do budoucna budou data uživatelů komunikátoru WhatsApp automaticky synchronizována s Facebookem, aby měl jeho provozovatel ještě detailnější profily uživatelů, které nabízí reklamním společnostem. V principu je ale komunikátor WhatsApp velmi bezpečný. End-to-end šifrování se aktivuje automaticky a velmi šikovnou funkcí jsou i hlasové a video hovory.
> Signal Aktuálně nejbezpečnější komunikátor nabízí perfektní šifrování a o uživatelích uchovává naprosté minimum dat. Provozovatel komunikátoru zná jen datum registrace klienta a posledního použití komunikační služby. Nicméně, tvůrci klientské aplikace mají ještě hodně co dohánět, především pokud jde o uživatelskou přívětivost.
> Threema Původem švýcarský komunikátor Threema má přehledné uživatelské rozhraní, snadno se ovládá a zároveň je perfektně zabezpečený. Provozovatel uchovává jen minimum dat a může se spolehnout na vysokou úroveň ochrany soukromí zakotvenou ve švýcarské legislativě. Threema má ale dvě nevýhody: aplikace je placená (přijde na 90 korun) a komunikační síť má relativně málo uživatelů. Možná se to ale brzy změní, protože po amerických volbách poskočila uživatelská základna o 40 procent.
Foto popis| D Všechny programy z tohoto článku najdete na CHIP-DVD c
Foto popis| Podporu hardwarového šifrování implementovanou do pevného disku zjistíte ve specifikaci a aktivujete v ovládacím softwaru, jako je Samsung Magician nebo Kingston SSD Manager.
Foto popis| Šifrování disků Bezplatně použitelný program VeraCrypt zašifruje jednotlivé soubory a složky nebo celý pevný disk.
Foto popis| V Androidu je k dispozici funkce »Šifrování telefonu«, která ochrání data v úložišti mobilního zařízení. Má ovšem vliv na celkový výkon přístroje.
Foto popis| Ochrana dat Pro zabezpečení obsahu vašeho zařízení s iOS si nastavte bezpečný alfanumerický kód. Ochrana iPhonu či iPadu pak bude téměř neprolomitelná.
Foto popis| S aplikací MyPhoneExplorer je možné vytvářet lokální zálohy smartphonů s Androidem, aniž by se data odesílala Googlu.
Foto popis| Deaktivujte v iOS zálohování do iCloudu 1 a smažte zálohy dříve uložené na serverech Applu 2 . Zálohy si raději vytvářejte jen lokálně do svého počítače.
Foto popis| Ochrana v cloudu Boxcryptor vytvoří ve Windows virtuální disk, kam se ukládají soubory určené k zašifrování a odeslání do cloudu.
Foto popis| Boxcryptor spolupracuje s běžnými cloudovými úložišti a umožňuje odesílat zašifrovaná data i ze smartphonů s Androidem a iOS.
Foto popis| Všude kde je to možné si nastavte dvoufázové ověřování.
Foto popis| V počítači si můžete v programu Kleopatra vygenerovat vlastní sadu PGP klíčů pro posílání šifrovaných e-mailů.
Foto popis| Do doplňku pro prohlížeče Mailvelope importujete sadu klíčů a následně můžete odesílat šifrované zprávy z Gmailu i dalších běžných e-mailových služeb.
Foto popis| Ruční nastavení Ve Facebook Messengeru si musíte end-to-end šifrování konverzací nejprve sami aktivovat.
Foto popis| V nastavení komunikátoru WhatsApp lze snížit kvalitu telefonických hovorů a ušetřit tak část objemu datových přenosů.
O autorovi| FABIAN VON KEUDELL, RADEK KUBEŠ, autor@chip.cz