Zašifrujte skutečně vše

Ani hackeři nejsou vždy dostatečně opatrní: pokud by Peter Levashov následoval tipy a doporučení z našeho článku, dost možná by dnes neseděl ve vězení. Levashov je jedním z tvůrců botnetu Kelihos a patří mezi největší rozesílatele spamu na světě. Policii se jej podařilo vystopovat díky IP adresám, ze kterých se přihlašoval ke svému iCloud účtu.
Naše tipy samozřejmě nejsou mířeny na obranu internetových zločinců, ale především na ochranu vašeho soukromí a citlivých dat.

Postupy, které vám doporučíme, například hodně vadí současnému šéfovi FBI Christopheru Wrayovi, jehož agenti mají s překonáním moderních šifrovacích metod značné problémy. Bezpečnostní experti jsou zase toho názoru, že absence šifrování vystavuje uživatelská data ohrožení především ze strany hackerů a méně už od státních orgánů.

Záleží jen na vás, zda využijete triky a postupy uvedené v následujícím textu pro zabezpečení svého počítače, mobilních zařízení nebo účtů u webových služeb. Vaše data budou zabezpečena tak jako tak - proti bezpečnostním službám i hackerům.

Zabezpečení internetových účtů

V prvním kroku se vypořádáme se zašifrováním dat uložených v rámci webových služeb, které využíváte. Důležité přitom je ochránit data nejen během jejich přenosu po internetu, ale také když jsou uložena na serverech poskytovatele služby. Zároveň je ale třeba zajistit, abyste k takto zašifrovaným datům stále mohli přistupovat z různých zařízení.

Vytvoření bezpečného připojení k internetu

Základem bezpečné komunikace po internetu je použití šifrovaného VPN připojení, které přenášená data bezpečně ochrání před odposlechem. K přenášeným datům se nedostane ani váš poskytovatel internetového připojení, takže například nebude vědět ani to, jaké webové stránky navštěvujete. Použití VPN má výhodu i v tom, že můžete bezpečně surfovat i při připojení k veřejným Wi-Fi sítím. Jako nejjednodušší řešení pro tento účel vám můžeme doporučit webový prohlížeč Opera (opera.com), který má vestavěnou právě i funkci VPN.

Pro aktivování bezpečného připojení k internetu klikněte v prohlížeči na ikonu »O« v levém horním rohu a otevřete si »Nastavení«. Přejděte do nabídky »Soukromí & bezpečnost« a pak označte předvolbu »Povolit VPN«. Následně ještě zrušte označení předvolby »Vynechat VPN u výchozích vyhledávačů«, jinak by vaše vyhledávací dotazy, například v Googlu, putovaly mimo zabezpečený přenosový kanál. Výchozí nastavení sice přinese zvýšení rychlosti používání vyhledávače, ale má negativní vliv na bezpečnost internetové komunikace. Při našem testování jsme navíc nezaznamenali žádnou výraznou změnu v rychlosti.

Připojení přes šifrovaný kanál můžete v prohlížeči Opera ovládat prostřednictvím tlačítka »VPN« vlevo od adresního řádku. V ovládacím okně funkce VPN je pak vhodné jako »Virtuální umístění« použít možnost »Evropa«. Důvodem je, že některé internetové služby sledují, odkud se k nim připojujete, a pokud se v krátké době připojíte z Evropy a pak třeba z Ameriky, může z bezpečnostních důvodů dojít i k zablokování služby.

Ochrana připojení specializovanými VPN službami

Ještě bezpečnější než používání VPN v prohlížeči Opera je využití nativních VPN aplikací, jako je třeba ze Švýcarska pocházející služba ProtonVPN (protonvpn.com). Umístění serverů poskytovatele služby VPN má totiž velký význam, protože například právě ve Švýcarsku místní zákony zakazují uchovávat data o připojení k internetu. Řada VPN služeb má navíc i tzv. Kill Switch, tedy funkci, která zabraňuje tomu, aby se přes internetové připojení odesílala nezašifrovaná data. Kill Switch zařídí, že pokud je funkce VPN deaktivována, automaticky se zastaví všechny datové přenosy z počítače. Tuto funkci ale musíte často nejprve sami aktivovat. V případě aplikace ProtonVPN je třeba kliknout na tlačítko se třemi čárkami vlevo nahoře, kterým se otevře hlavní nabídka aplikace. Pak pokračujte volbou »Settings / General« a zde aktivujte funkci »VPN Kill Switch«. Pokud je tato předvolba neaktivní, je třeba nejprve odpojit všechna současná VPN připojení. Pak zkuste nastavení »VPN Kill Switch« upravit znovu.

Jakmile máte zabezpečeno připojení z počítače, je třeba ošetřit webové služby. Mnoho provozovatelů internetových služeb přitom svým uživatelům slibuje, že jsou jejich data bezpečně šifrována. O skutečně efektivní zabezpečení se ale většinou nejedná, obzvláště v případech, kdy si data vyžádají různé orgány státní správy. Pak se systém zabezpečení zcela zhroutí, jelikož provozovatelé internetových služeb zároveň drží klíče pro dešifrování dat. Proto byste se o zabezpečení a šifrování svých dat měli starat vždy sami. Ukážeme vám jak a začneme e-mailovým účtem.

Kompletní šifrování e-mailové schránky

V ideálním případě byste měli být schopni zašifrovat celý obsah vaší poštovní schránky a zároveň také odesílat šifrované zprávy. Obě tyto vlastnosti nabízí ProtonMail, služba švýcarského provozovatele ProtonVPN. Výhoda umístění ve Švýcarsku opět souvisí se striktní ochranou soukromí. Jelikož navíc ProtonMail umožňuje chránit šifrovanou poštovní schránku vaším vlastním heslem, můžete si být jisti, že k vašim zprávám nemá přístup ani sám provozovatel služby. Zároveň to ale znamená, že pokud ztratíte přístupové heslo ke své schránce, přijdete zároveň o všechna data. Proto si heslo dobře zapamatujte, vložte jej do správce hesel nebo si jej poznamenejte na nějaké bezpečné místo. Určitě přitom použijte silné heslo, které nebude možné polomit hrubou silou.

Nastavení služby ProtonMail je velmi snadné. Během úvodního nastavení služby si musíte zvolit dvě hesla - jedno pro přihlašování k vašemu novému uživatelskému účtu a druhé pro zašifrování obsahu e-mailové schránky. Úplně stejně funguje ProtonMail také v mobilních zařízeních. Příslušné mobilní aplikace najdete v Obchodě Play a App Storu. V bezplatné variantě služby můžete odesílat šifrované zprávy dalším uživatelům schránky ProtonMail. Abyste mohli šifrovaně komunikovat i s kýmkoli jiným, budete potřebovat předplatné varianty Plus. V placené verzi Plus stojí ProtonMail 5 eur měsíčně nebo 48 eur ročně. Pokud se vám nechce tyto peníze do šifrované komunikace investovat, můžete své e-maily šifrovat i jiným způsobem. Budete ale potřebovat speciální šifrovací aplikace pro instalaci do počítače s Windows a celý proces nastavení a vytvoření šifrovacích klíčů je pro nezkušené uživatele poněkud složitější.

Ochrana dat v cloudových úložištích

Pro šifrování dat nahrávaných do cloudových úložišť typu Dropbox, OneDrive či Disk Google vám velmi dobře poslouží aplikace Boxcryptor (boxcryptor.com). Tento nástroj spolehlivě ochrání vaše data v cloudu před hackery, agenty tajných služeb i samotným poskytovatelem dané cloudové služby. Všechny soubory jsou totiž šifrovány ve vašem počítači, tedy ještě než je nahrajete do cloudového úložiště. Uživatelský komfort přitom není o nic menší, jelikož všechny šifrovací a dešifrovací operace probíhají automaticky na pozadí.

Abyste mohli Boxcryptor používat, je třeba mít v počítači nejprve instalovanou klientskou aplikaci cloudového úložiště a také si v aplikaci Boxcryptor vytvořit nový uživatelský účet. Boxcryptor následně vytvoří virtuální pevný disk, ve kterém bude pro každé z používaných cloudových úložišť připravena jedna složka. V bezplatné verzi ale Boxcryptor podporuje používání pouze jednoho cloudového úložiště. Pro většinu běžných uživatelů to ale bez problému postačí. Data k synchronizaci s cloudovým úložištěm stačí umístit do příslušné složky a Boxcryptor se už postará o jejich zašifrování a odeslání do cloudu. K obsahu vašich dat se pak nikdo cizí nedostane.

Zabezpečení počítače s Windows

Jakmile máte zabezpečeno připojení k internetu i data v cloudu, je nezbytné ochránit i váš počítač. Nejcitlivější data, jako jsou osobní dokumenty, přihlašovací údaje k bankovním účtům nebo soukromé fotografie, jsou totiž nejčastěji skladována právě na pevném disku počítače. Ukážeme vám, jak tato data uchovat na pevném disku opravdu bezpečně. Dobrou volbou jsou přitom i šifrovaná externí úložiště (pevné disky nebo USB flash disky), o kterých se rovněž zmíníme.

Ochrana interních pevných disků

Při zabezpečení obsahu pevných disků vašeho počítače máte hned dvě možnosti: kompletní šifrování obsahu počítače, nebo zašifrování vybraných souborů. Open-source nástroj VeraCrypt (sourceforge.net/projects/veracrypt) nabízí obě tyto možnosti. Pokud ale máte zájem o komplexní zabezpečení vašich dat, měli byste zašifrovat celý disk vašeho počítače. Tuto možnost vám doporučujeme především v případě notebooků, které lze celkem snadno ztratit (zapomenout ve vlaku atd.) nebo které mohou být odcizeny. Případný nálezce nebo zloděj pak může z notebooku vymontovat pevný disk, připojit jej k jinému počítači a získat přístup k vašim datům. Kompletní zašifrování systémového disku má ale také své nevýhody. Při startu počítače jsou data dešifrována, aby k nim měly přístup používané programy. To ale znamená, že se k obsahu disku může dostat i škodlivý software.

V případě částečného šifrování, například v podobě šifrované složky pro ukládání citlivých dat, bude obsah složky dostupný jen po aktivaci a odemknutí aplikace VeraCrypt, což provedete jen v okamžiku, kdy s těmito daty potřebujete pracovat. Po spuštění programu VeraCrypt si jej v nabídce »Settings / Language« přepněte do češtiny. Pak použijte volbu »Systém / Zašifrovat systémový oddíl/disk«, v průvodci zvolte možnost »Normální« a následně »Zašifrovat celý disk«. Tím zajistíte, že bude zašifrován nejen systémový oddíl s Windows, ale kompletní obsah disku se všemi oddíly. VeraCrypt se vás následně zeptá, zda chcete zašifrovat i skryté chráněné oblasti disku. V zásadě je možné zvolit »Ano«, ale pamatujte na to, že byste zašifrovali i případný skrytý záchranný oddíl, používaný k obnově funkčnosti počítače v případě havárie softwaru. V některých případech je navíc vyžadováno, aby byl tento oddíl dostupný ještě před nabootováním počítače do Windows.

Pokud tedy víte, že váš pevný disk takový skrytý oddíl obsahuje, nešifrujte jej. Následně ještě zvolte, zdali je na vašem disku jen jeden operační systém, nebo jich používáte více, vyberte použitý šifrovací algoritmus (můžete ponechat přednastavené hodnoty) a zvolte si dostatečně silné heslo, které si dobře zapamatujte. Nakonec rozhodně nevynechejte možnost vytvořit si záchranný disk pro nouzové dešifrování disku v případě havárie Windows. Pro šifrování vybraných dat použijte volbu »Svazky / Vytvořit nový svazek« a jednoduše následujte instrukce průvodce nastavením, který se otevře v novém okně. I v českém překladu uživatelského rozhraní programu VeraCrypt je vše velmi pečlivě popsáno.
Rozhodně se při ochraně obsahu počítače nespoléhejte na hesla k uživatelským účtům ve Windows. Obsah disku nebude šifrován a ochranu heslem ve Windows je relativně snadné obejít.

Šifrování dat v externích úložištích

Pomocí programu VeraCrypt můžete šifrovat rovněž obsah externích pevných disků nebo USB flash disků. Problém je v tom, že pro použití takového disku potřebujete mít v každém počítači program VeraCrypt instalovaný. Proto je praktičtější použít speciální hardwarové řešení. Výhodou je i fakt, že případný škodlivý software, zaznamenávající stisknutí kláves (tzv. keylogger), nemá šanci získat přístupové heslo, jelikož se šifrování odehrává přímo v externím disku a heslo se zadává prostřednictvím klávesnice na jeho těle. Dešifrovaný obsah disku je pak k dispozici na všech počítačích - bez nutnosti doinstalování jakékoli další softwarové výbavy. Cena šifrovaných USB flash disků, jako je třeba Kingston DataTraveler 2000, začíná zhruba na 1 200 Kč za 4GB verzi, ale mnohem více místa nabídnou externí pevné disky, například modely iStorage diskAshur. Oba typy externích disků používají silné, 256bitové AES šifrování, které lze považovat za neprolomitelné.

Šifrování obsahu mobilních zařízení

Smartphony postupně vytlačují osobní počítače z pozice výhradních úložišť našich nejdůležitějších dat a osobních fotografií. Zároveň je ale velmi snadné je ztratit a jsou i lákavým cílem zlodějů. Pokud nejsou dostatečně zabezpečeny, vydají svému nálezci nebo zloději velmi podrobný obraz o našem soukromí. Proto je velmi žádoucí obsah mobilních zařízení šifrovat. Majitelé iPhonů a iPadů mají situaci velmi jednoduchou - Apple do operačního systému iOS vestavěl velmi silné šifrování, které je aktivováno prakticky automaticky. V případě Androidu závisí ochrana dat na použité verzi tohoto operačního systému. Ukážeme si základní prvky zabezpečení smartphonů a poradíme vám, jak zabezpečit i samotnou komunikaci.

Uzamčení dat v Androidu

V mobilním operačním systému od Googlu je již od verze 4 k dispozici možnost kompletního zašifrování obsahu smartphonu. Dříve bylo, alespoň v některých zařízeních, možné ochránit šifrováním alespoň složku s uživatelskými daty. Zda i vaše zařízení podporuje šifrování, zjistíte snadno. Otevřete si »Nastavení« a přejděte do nabídky »Zabezpečení«, kde byste měli najít i podnabídku »Šifrování a poloha«.

Android zašifruje kompletní obsah mobilního zařízení, ale u starších smartphonů a tabletů to má jeden malý háček: šifrováním se sníží výkon zařízení, tedy alespoň těch starších. Mobilní zařízení s procesorem Snapdragon 805 či novějším pak mají samostatný šifrovací čip, a tedy i šifrování bez jakéhokoli vlivu na celkový výkon. Pro ochranu starších zařízení je vhodnější použít specializované aplikace.

Například aplikace AppLock vám umožní nastavit ochranu konkrétních aplikací, před jejichž otevřením bude nutné zadat PIN. Tento typ ochrany sice podlehne soustředěnému úsilí o prolomení, ale bylo by nutné k němu použít obtížně dostupné a velmi drahé softwarové nástroje, takže můžeme celkem s klidem prohlásit AppLock za dostatečný nástroj na ochranu osobních dat v aplikacích. Pro výměnu dat s cloudovými úložišti pak můžete použít již zmíněný nástroj Boxcryptor.

Palubní nástroje na ochranu iOS

V iOS chrání nejdůležitější data, jako je například otisk prstu oprávněného uživatele mobilního zařízení, šifrování na úrovni hardwaru. Ochrana dat v iOS je ale skutečně bezpečná jen v nejnovějších zařízeních od Applu, protože hacker s přezdívkou @xerub přišel loni v srpnu na způsob, jak hardwarovou ochranu prolomit. Navíc zveřejnil šifrovací klíč pro procesor Apple A7, který pohání například i iPhony 5s. Novější zařízení postižena nejsou a šifrování je v nich aktivováno výrobcem. Pro zabezpečení iPhonů a iPadů je ale klíčová především volba PIN kódu samotným uživatelem. Doporučujme vám proto použít buďto 6místný PIN, nebo ještě lépe alfanumerické heslo.

Šifrování komunikačních služeb

Pro agenty tajných služeb je používání šifrovaných telefonních linek samozřejmostí. Šifrovat komunikaci můžete ale i ve svém smartphonu. Komunikátory jako WhatsApp nebo Threema vytvářejí mezi koncovými zařízeními šifrované spojení. Aby zabezpečení opravdu fungovalo, je nutné, aby obě strany hovoru používaly nejnovější verze komunikačních aplikací. V případě WhatsApp je ale bohužel relativně snadné napadnout a převzít kontrolu nad účtem, jelikož k tomu, kvůli absenci dvoufaktorového ověřování, stačí získat přístup k telefonnímu číslu. Loni bylo demonstrováno úspěšné napadení síťového protokolu SS7, které umožnilo přesměrování SMS zpráv, kterými jsou zasílány ověřovací kódy.

Komunikátor Threema má oproti WhatsApp ještě jednu výhodu. Šifrované spojení lze sestavit jen na základě uživatelského identifikátoru. Při spojení se pak používá méně metadat, na základě kterých by bylo možné odhalit, kdo s kým komunikuje. Bezpečnější jsou už jen speciální šifrované telefony, kterými ale musí být vybaveny oba komunikující uživatelé. Pokud ale využijete naše tipy na ochranu vašich osobních dat, budete v bezpečí jak před hackery, tak i před superpočítači FBI.

***

Komunikátory s end-to-end šifrováním zpráv a hovorů

Většina internetových komunikátorů dnes používá šifrované spojení. Nezabezpečené zůstávají tradiční hovory a SMS.

Zprávy Hovory
iMessage (jen iOS) * *
FaceTime (jen iOS) * *
WhatsApp * *
Signal * *
Threema * *
Telegram * *
Skype * *
Běžné SMS * *
Běžné hovory * * ano * * ne

***

Pět rychlých tipů pro lepší zabezpečení dat

> Zašifrujte internetovou komunikaci přes VPN Jakékoli datové spojení s webem, ať už jde o běžné surfování, nebo práci s internetovými službami, by mělo probíhat šifrovanou cestou přes VPN.
> Zabezpečte e-mailové účty Nejlepším způsobem ochrany je používání e-mailových služeb, kde je šifrován nejen obsah schránky, ale také odesílané zprávy. K obsahu korespondence se nedostanou hackeři ani tajné služby.
> Ochraňte cloudové služby S nástrojem Boxcryptor budou bezpečně zašifrována všechna data, která synchronizujete s cloudovými úložišti. Zároveň nebude snížen uživatelský komfort.
> Šifrujte obsah počítače Můžete si vybrat mezi zašifrováním kompletního obsahu vašeho počítače, nebo vytvořením šifrovaných složek (tzv. kontejnerů) pro uložení nejdůležitějších dat.
> Použijte vestavěné nástroje V Androidu a iOS jsou k dispozici nástroje na bezpečnou ochranu soukromého obsahu mobilních zařízení. Speciální aplikace se vyplatí používat jen v případě starších verzí Androidu.

***

Vytvořte si neprolomitelná hesla

Sebelepší šifrování může být prolomeno v případě, že použijete slabé heslo. Ale nebojte se - nemusíte nutně pro všechny služby vymýšlet 20znaková hesla složená z malých a velkých písmen, čísel a speciálních znaků. > Dokonalá hesla Podle nejnovějších poznatků bezpečnostních expertů záleží bezpečnost hesla především na jeho délce. Není přitom třeba kombinovat malá a velká písmena a speciální znaky. Správnou volbou jsou 15 až 20 znaků dlouhá hesla, která mohou být složena z několika běžných slov, jako třeba „mestomore-kure-staveni“. Na webové stránce pod odkazem bit.ly/Kz6V00 můžete snadno zjistit, jak dlouho by prolomení vašeho hesla trvalo. > Prověřte svoje hesla Na webu haveibeenpwned.com/passwords zjistíte, zda i vaše heslo bylo součástí některého ze známých případů odcizení uživatelských dat. Pokud ano, změňte jej a již dále nepoužívejte.

***

Profesionální ochrana hovorů

Tajné služby spoléhají na zabezpečené telefonní linky a využívají šifrované telefony CryptoPhone od GSMK. Pro běžné uživatele tyto telefony určeny nejsou, nicméně mnoho podobných funkcí lze do běžného smartphonu doplnit prostřednictvím dostupných aplikací. >Bezpečná komunikace Při použití telefonu CryptoPhone musí mít volající i příjemce hovoru stejný šifrovaný telefon. Po sestavení šifrovaného spojení využívají tato zařízení 256bitové AES šifrování a algoritmus Twofish. Podobně zabezpečená je ale také komunikace prostřednictvím služeb WhatsApp a iMessage. Odesílatel i příjemce však musí mít stejnou, aktuální verzi klientské aplikace. >Šifrovaný operační systém Podobně jako smartphony s Androidem a iOS mají i zařízení od GSMK zašifrovaný celý obsah úložiště. Rozdíl je ale například v tom, že pro CryptoPhone neexistuje žádný obchod s aplikacemi k instalaci. I díky tomu jsou tyto přístroje prakticky stoprocentně bezpečné.

Foto popis| Skeptický přístup k šifrování Německý poskytovatel internetových služeb, společnost United Internet, se dotázal svých zákazníků, proč nepoužívají šifrování svých e-mailů.
Foto autor| Zdroj: UnitedInterneT

Foto popis| ProtonVPN je švýcarská služba, která vytvoří bezpečné připojení k internetu nejen z vašeho počítače, ale také z mobilních zařízení. Pro občasné použití si vystačíte i s bezplatnou verzí služby. Stejný provozovatel nabízí i službu šifrované e-mailové schránky Proton Mail.
Foto popis| Na webu howsecureismypassword.net můžete zjistit, jak dlouho by hackerům trvalo prolomit vaše heslo útokem hrubou silou.
Foto popis| Bezpečné paměti Šifrovaná úložná média mohou mít podobu externích pevných disků 1 nebo USB flash disků 2 . V obou případech jsou data kvalitně šifrována a pro jejich zpřístupnění je třeba na číselníku zadat bezpečnostní kód.
Foto popis| Ochrana aplikací V aplikaci AppLock můžete ochránit jednotlivé instalované aplikace 1 před neoprávněným použitím. Před spuštěním chráněné aplikace bude nutné zadat PIN nebo odemknout aplikaci gestem 2 .
Foto popis| Starší androidové smartphony bez šifrování Zašifrovat kompletní obsah úložiště smartphonu či tabletu lze až v Androidu 4 a novějším. Tuto funkci tedy může používat kolem 95 procent majitelů mobilních zařízení s Androidem.
Foto autor| Zdroj: Android.com

Foto popis| Funkce šifrování úložiště je připravena v nabídce nastavení zabezpečení androidových smartphonů a tabletů.
Foto popis| Komunikátor WhatsApp šifruje data od odesílatele až k příjemci, je ale nutné, aby obě strany používaly aktuální verzi klientské aplikace.

O autorovi| FABIAN VON KEUDELL, RADEK KUBEŠ, autor@chip.cz