Sikkerhed. Enten har man det, eller også har man det ikke.
Det handler om grader af sikkerhed eller, som eksperterne plejer at sige, om sikkerhed i lag. Jo flere variationer af sikkerhed, du har på din
computer, jo bedre er din beskyttelse mod indbrud eller tyveri.
Laginddelt sikkerhed gælder i lige så høj grad for bærbare computere, som
det gør for virksomhedens netværk eller for Pentagon - og det er gode
nyheder, for bærbare computere er i høj grad i risiko for at blive stjålne.
Høst fra stjålne maskiner
Bortset fra den (ulovlige) gensalgsværdi for en bærbar maskine, så er der
også risiko for, at personlige data kan blive høstet fra den. Selv om
hacking har overgået tabte eller stjålne bærbare computere som primær årsag
til databrud, så betyder det ikke, at den bærbare computer er blevet mindre
sårbar over for tyveri.
Med det i baghovedet har jeg indsamlet en række teknikker,
software-produkter, tjenester og funktioner, som enten allerede findes i de
fleste bærbare computere, eller på nogle af dem, eller som kan lægges ind
på dem alle sammen.
Jo flere lag...
Nogle handler om hardware (fingeraftrykslæsere), andre om software (Prey,
TrueCrypt), og andre igen handler bare om at bruge hovedet (stærke
passwords). Det er ikke alle sammen, der kan implementeres på enhver
maskine, men jo flere lag af sikkerhed, der tilføjes, jo bedre er det.
Jeg forventer ikke, at læserne vil implementere hver eneste forslag, som
kan findes her. Personligt har jeg en bærbar computer med TPM ('trusted
platform module'), en fingeraftrykslæser, fuld diskkryptering, et
StuffBak-klistermærke (så computeren kan sendes til mig, hvis den bliver
tabt eller stjålet) og en Prey-konto (til sporing af stjålne enheder) - men
jeg ved godt, at det er undtagelsen snarere end reglen at kombinere så
mange former for beskyttelse.
Gratis og effektivt
Når det er sagt, så er der intet, der forhindrer dig i at implementere en
eller to af de foreslåede sikkerhedslag på dine bærbare computer. Prey plus
fuld diskkryptering er for eksempel begge to både anvendelige og billige
funktioner; man kan have begge på maskinen uden at betale en rød øre, og
tilsammen giver de effektiv beskyttelse.
Stuffbak koster penge, men ikke mange; en pakke klistermærker kan fås for
under 100 kroner, og du betaler (hvis overhovedet noget) kun for
tilbagelevering, når det rent faktisk sker. Det dyreste forslag er enten at
tilføje en fingeraftrykslæser til det eksisterende system eller at købe et
system, som allerede har en fingeraftrykslæse og TPM som præ-installeret
feature.
Men uanset dit budget - 10 kroner, 100 kroner eller 10.000 kroner - så
findes der måder at tilføje sikkerhed til bærbare computere, som kan ende
med at vise sig uvurderlige.
(fortsættes...)
Stærke passwords
Stærke passwords
Ja, jo, jeg ved godt, at du har hørt det mange gange før, og det bliver
ikke mere overbevisende, fordi det bliver gentaget for 10. gang. Af samme
grund bruger du din fødselsdag, eller 'password1234' eller noget i den
stil, som er alt for nemt at gætte - for når alt kommer til alt, så tror du
ikke rigtig på, at der er nogen, som skulle have interesse i at bryde ind i
netop din bærbare computer og gennemgå dine data, ikke sandt?
Først angrebet
Meningen med et langt password er ikke at irritere dig, selv om det til
tider kan føles sådan. I stedet er det for at skabe en ikke-triviel første
forsvarslinje for systemet. Passwords er noget af det første, der bliver
angrebet, hvis et system falder i forkerte hænder. Men af samme grund af de
også et oplagt sted at sætte ind, hvis man ønsker bedre beskyttelse -
forudsat at man forstår at skabe et ordentligt password.
Dybt personlige passwords
Det er heldigvis i høj grad muligt at skabe sikre passwords uden
exceptionelt pres på brugeren. Tricket er at vælge et password, som betyder
noget for dig, og som er forholdsvist komplekst, men som de fleste
andre - selv mennesker med en del almen viden om dig - har svært ved at
gætte. Frem for alt så må det ikke være et ord, som kan findes i ordbogen.
En af de bedste måder at skabe et sikkert password på er at ved at starte
med en sætning - et kort citat eller andet, som er nemt at huske. En
sangtekst er perfekt til den slags, fordi de fleste mennesker kan huske
tekster, de godt kan lide. Tricket er ikke at bruge lyrikken eller
sætningen i sig selv men i stedet at bruge første bogstav i hvert ord til
at danne passwordet. Eksempel: De første to linjer i teksten til Bob Dylans 'Like a Rolling Stone' bliver til
‘ouatydsfyttbadiyp'.
Slutresultatet bliver som regel et rimeligt langt ord, som er
tilstrækkeligt komplekst til at møde de fleste password-krav, samtidig med
at det er forholdsvist nemt at huske. Hvis man bruger et system, hvor
kravene til password-længde og -kompleksitet er defineret af en
administrator, så kan man forstærke passwordet ved at udskifte bogstaver
med symboler i stedet ($ for S, @ for A og så videre).
Det vigtige er, at man finder på en måde at opbevare passwordet i
hukommelsen, så man ikke er afhængig af en eller anden form for ekstern
opbevaring (som en post-it-seddel). At bruge en velkendt sætning som
udgangspunkt for passwordet er een måde at undgå at skrive den ned.
Nysgerrige øje
Desto mindre af sikkerheden, der er tilgængelig for nysgerrige øjne i
enhver form, desto bedre. Det kræver øvelse, men ikke så meget, som du
tror, og det markerer begyndelsen på en god password-vane, som også kan
bruges andre steder.
(fortsættes)
Fingeraftrykslæsere
Fingeraftrykslæsere
Hvis der allerede findes en fingeraftrykslæser på din bærbare computer, så
er det endnu et lag beskyttelse, man kan bruge.
Fingeraftrykslæsere komplementerer eksisterende systemsikkerhed; de kan
bruges til at logge på uden password, men man kan altid vælge at bruge
passwordet i stedet, hvis fingeraftrykslæseren ikke virker, eller hvis man
ikke lige har en finger ved hånden (av!).
Det er desuden både hurtigere og nemmere at logge på med fingeraftryk end
med et password. Der er ikke noget at huske på; du erpasswordet.
Indbygget læser
Bemærk at fingeraftrykslæsere ikke findes på alle bærbare computere; men
først og fremmest i enterprise-maskiner. Det er muligt at tilføje en
fingeraftrykslæser til en bærbar computer ved hjælp af et USB-stik. Men når
det er sagt, så er jeg ikke tosset med tanken, først og fremmest på grund
af formfaktoren. At have en enhed på størrelse med en pakke tyggegummi
siddende i siden af computeren lyder på mig som en invitation til at få den
smadret - især som pendler.
Når man opsætter sin fingeraftrykslæser, skal man huske på flere ting:
Lagrer ikke
Noget software til fingeraftrykslæsere indeholder desuden mulighed for
beskyttelse af password-feltet, enten i de såkaldte ‘system prompts' eller
i de sider, som browseren tilgår. Men jeg er ikke vild med den mulighed,
først og fremmest fordi jeg har fundet en anden måde at gøre det på, som
ikke lagrer passwords lokalt overhovedet:
SuperGenPasshttp://supergenpass.com/">SuperGenPass[/url].
Det er en browser-side add-on, som bruger et master-password til dynamisk
at skabe nye passwords til hjemmesider baseret på domænenavne. Intet bliver
nogensinde gemt lokalt, med mindre man selv vælger at bruge browserens
gem-password-funktion til at cache resultatet (og så forsvinder hele ideen
jo).
(fortsættes)
Fuld diskkryptering
Fuld diskkryptering
Et tredje niveau af sikkerhed kommer i form af kryptering, som kan dække
over simpel kryptering af individuelle filer til kryptering af alt indhold
på systemdisken.
Windows har længe tilbudt on-disk kryptering af individuelle filer og
mapper, og nu bliver der også indbygget mulighed for kryptering af selve
systemdrevet: styresystem, applikationer, data, alt. Lige meget om man
bruger Windows' indbyggede løsning eller et alternativ (mere om det
herunder), så må man ikke undervurdere vigtigheden af fuld diskkryptering.
Det er en af de mest gennemgribende former for beskyttelse af bærbare
computere.
Bitlocker
Windows indbyggede diskkrypterings-system, BitLocker, kan både bruges til
beskyttelse af individuelle drev eller af hele system-drevet. Det påvirker
ikke systemydelsen i nævneværdig grad, så man kan bruge det uden bekymre
sig om sløve systemer. Hvis du vælger at kryptere hele den bærbare
computers systemdrev, så skal du bruge en af to følgende elementer:
Jeg har brugt BitLocker på bærbare computere både med og uden TPM.
Overordnet set gør TPM tingene nemmere, men der er ingen bemærkelsesværdig
forskel i funktionaliteter på et system, der alene er beskyttet af en
USB-nøgle. Hvis du planlægger at bruge en USB-nøgle, så gør dig selv den
tjeneste at bruge pengene på det mindste USB-stik, du kan finde (som du dog
ikke regner med at miste). Det gør det mindre besværligt at anvende, og
især hvis man skal sætte det hele til i toget.
Microsoft har gjort meget for at sikre, at data, der bliver lagret i
BitLocker-drevet, kan genskabes i tilfælde af skade på harddisken eller
generelle nedbrud. Man kan også få adgang til BitLocker-krypterede drev i
Windows præ-installations-miljøet og i den såkaldte Recovery Console,
forudsat at man har adgang til krypteringsnøglen eller til
backup-passwordet.
Fordelen ved Active Directory-styret miljø
Hvis noget skulle gå galt, så er det stadig muligt at opnå adgang til de
krypterede filer. Hvis man bruger sin bærbare computer i et Active
Directory-styret miljø, så kan man desuden have en backup af nøglen
liggende gemt i AD. Det er selvfølgelig stadig altid en god ide at lave
backup af værdifulde data og gemme det krypteret et andet sted. Pointen er,
at du på denne måde har adgang til flere forsvarsværker i tilfælde af en
katastrofe.
BitLocker indeholder en begrænsning, der gør, at mange brugere ikke har
adgang til funktionerne. Det findes nemlig kun i Enterprise og
Ultimate-udgaverne af Windows. Eftersom ikke alle har adgang til de
versioner, er det godt at vide, at mange af de samme funktioner også findes
i gratis tredjeparts-software.
TrueCrypth
En af de bedste måder at opnå samme funktionalitet som BitLocker er via
TrueCrypthttp://www.truecrypt.org/">TrueCrypt[/url], som er et on-disk
krypteringssystem til flere platforme, der gør det muligt med fuld
system-diskkryptering i Windows. Når et system-drev er krypteret med
TrueCrypt, kræver det et password ved opstart - et password der naturligvis
skal vælges med udgangspunkt i ovenstående gode råd. Intet password, ingen
opstart; ingen opstart, ingen data.
En anden, stor feature, som TrueCrypt tilbyder, er muligheden for at skabe
et skjult styresystem-partition. Afhængigt af det password, som bruges ved
opstart, kan man starte et af to partitioner: En synlig OS-partition (hvor
der ikke findes noget værdifuldt), og så en partition, der ligger gemt for
enden af den synlige, som indeholder ens rigtige styresystem.
Dette er en udvidelse af en eksisterende TrueCrypt-funktion, hvor man kan
gemme en krypteret volumen inden i en anden. Hvis du nogensinde kommer i en
position, hvor du bliver tvunget til at opgive dit password, så behøver du
altså ikke nødvendigvis også at opgive alle dine hemmeligheder. Hemmeligt styresystem
Jeg vil dog
kun anbefale dette til de allermest forsigtige, fordi a) det er lidt
besværligt at opsætte et hemmeligt styresystem og b) du får sandsynligvis
ikke brug for det, med mindre du arbejder i et miljø, hvor du kan risikere
at få en pistol i nakken.
TrueCrypt insisterer desuden på at skabe en recovery-.iso, som du kan boote
(fra en CD eller et USB-stik) og gennemføre system-recovery for det
tilfælde, at drevet af en eller anden grund ikke starter ordentligt op. På
den måde har du noget at falde tilbage på, hvis der opstår problemer.
Hvis du ikke vil kryptere hele systemet, så kan du i stedet bruge BitLocker
eller TrueCrypt til at kryptere individuelle ikke-system voluminer -
USB-drev for eksempel, hvor du kan bevare dine mest følsomme data. Det
giver mindre global beskyttelse, men også mindre besvær.
(fortsættes...)
Recovery ved tyveri og tab
Recovery ved tyveri og tab
Et sidste lag, man kan tilføje til sin bærbare computer, handler om
tilfælde, hvor den bliver tabt eller stjålet. Eftersom bærbare computere
bliver stjålet eller tabt langt oftere end deres stationære modstykker
(hvilket går hånd i hånd med det faktum, at de er bærbare), så giver det
mening at beskytte dem fra at gå tabt eller i hvert at sikre, at de nemt
kan findes igen, hvis de forsvinder.
Tjeneste eller applikation?
Recovery for en bærbar computere kan tage en af groft sagt to former: som
tjeneste eller som applikation. Nogle gange findes det ene i forlængelse af
det andet, men de to inkarnationer er de mest almindelige.
I forhold til tjeneste-delen så findes der et system, som jeg har brugt i
årevis efterhånden, nemlig
StuffBakhttp://www.stuffbak.com/sb/default.aspx">StuffBak[/url]. Med StuffBak
køber man særlige klistermærker - lavet af samme form for metalfolie, som
bliver brugt til industrielle tags til varelager-kontrol - som indeholder
et serienummer.
Dusør
Klistermærket sætter man et iøjnefaldende sted på den bærbare computer,
hvorefter man kan registrere enheden på StuffBaks hjemmeside. Hvis enheden
bliver væk, kan man logge på hjemmesiden og anmelde det. På klistermærket
står der "Dusør for tilbagelevering!", sammen med et telefonnummer og
StuffBaks hjemmeside-URL.
Hvis en god samaritaner finder enheden og melder det til StuffBak, så har
han eller hun krav på en dusør. Du bestemmer selv, hvor stor dusøren skal
være, og StuffBak håndterer logistikken ved tilbageleveringen. Personen,
der indleverer enheden, får ikke adgang til dit navn eller din adresse. Det
er fuldstændig hands-off.
StuffBak tilbyder flere forskellige service-niveauer afhængigt af, hvor
mange enheder du skal have beskyttet. Basis-pakken med labels kommer med
livslang registrering og to år med gratis tilbageleveringer, men man kan
købe ekstra niveauer med beskyttelse og recovery-tjenester efter behov.
(Note: Stuffbak er ind til videre kun aktiv i USA og Australien)
Inkluderet hos Sony
Nogle pc-producenter tilføjer nu lignende funktioner til bærbare computere
allerede fra fabrikken. Sony inkluderer for eksempel klistermærker fra
recovery-firmaetTrackItBack">http://www.trackitback.com/lostandfound/]TrackItBack[/url]
i mange af virksomhedens nye bærbare computere.
Det eneste negative ved StuffBak (og andre lignende tjenester) er, at det
afhænger fuldstændigt af personen, der finder enheden og hans eller hendes
gode vilje. Der er selvfølgelig en chance for, at enheden ender i hænderne
på et hæderligt menneske, eller i det mindste et menneske der er
interesseret i dusøren.
Men det er desværre ikke alle mennesker, der er motiverede for at hjælpe på
den måde. Derfor giver det mening, synes jeg, også at anvende software, som
direkte kan hjælpe med at finde computeren, hvis den forsvinder.
Prey
Jeg har siden hen fundet frem til service- og applikations-kombinationen
Preyhttp://preyproject.com/">Prey[/url], som tilbyder beskyttelse for både
pc'er og telefoner. Du installerer det open source-baserede Prey-software
på de maskiner, du gerne vil spore, og bagefter registrerer du maskinerne
på Preys hjemmeside. Hvis en af enhederne forsvinder, anmelder du det på
siden, hvorefter du får adgang til en række forskellige
recovery-mekanismer:
- En alarm (nyttig hvis du tror, at maskinen er et sted i nærheden)
- En advarsel, som fortæller nye brugere, at maskinen bliver sporet
- Lås og sletning af indhold på enheden (mulighederne afhænger af
enheden og det valgte service-niveau)
- Geolokation baseret på GPS eller netværksforbindelser
- Udspionering af sessionen (for at se hvad tyven laver)
- Webcam-adgang (så man i al hemmelighed kan tage billeder af tyven)
Hvis Prey-klienten er forbundet med netværket, tjekker den hvert femte
minut (man kan selv bestemme intervallet, fra 10 til 40) for at se, om
maskinen er meldt bortkommet. Prey kan desuden forsøge automatisk - og i al
hemmelighed - at få forbindelse via et Wi-Fi-punkt.
Råd: lad gæstekontoen stå open
En af de anbefalinger, der bliver givet til brugere af Prey, er, hvor
ulogisk det end lyder, at lade Windows' gæstekonto stå åben og aktiv. På
den måde vil en eventuel tyv tro, at en eller anden har efterladt fordøren
vidt åben og glad og fro logge ind på gæstekontoen for at se, hvad han kan
finde.
Windows giver automatisk den nye bruger begrænsede rettigheder, så kontoen
ikke kan bruges til at læse data, som er gemt på andre brugerkonti. Hvis
drevet samtidig er krypteret, så vil brugeren ikke kunne få adgang til
data, selv hvis han skruer drevet ud af computeren.
Den gratis version af Prey tillader kun registrering af op til tre enheder,
og sporingsmulighederne er begrænsede. Betalingsversionen kan købes i
forskellige udgaver til et vist antal enheder og med flere
sporingsfunktioner, som for eksempel muligheden for konstant at forbinde
med den stjålne enhed, hvis den er på netværket.
Denne artikel stammer fra ComONs søstersite Infoworld.com. Oversat af Marie Dyekjær Eriksen