Am scris acum ceva timp un post despre operatorii mobili și securitatea fizică a sistemelor, în care am adus (doar tangențial, este adevărat) vorba și despre criptarea datelor de pe respectivele sisteme. Voi dezvolta un pic ideile respective în post-ul de față și voi oferi și o soluție ușor de implementat.
Ceea ce am scris mai jos urmează firul logic al unei prezentări pe care am susținut-o la întâlnirea lunară RLUG din luna martie 2010, prezentare care este inclusă (slide-uri și înregistrare video) la sfârșitul post-ului. Desigur, vorbim despre sisteme care rulează Linux, pentru că ăsta este sistemul pe care îl folosesc și îl recomand și clienților.
Situația
Avem un profil de companie care are angajați (manageri, dar și vânzători sau consultanți) care sunt în deplasare (mobili) o mare parte din vreme. Aceștia au date importante/confidențiale asupra lor, iar echipamentele folosite sunt în general de ultimă generație (mici și scumpe). Riscul ca laptop-urile lor să fie furate sau pierdute – împreună cu datele confidențiale – este destul de mare.
Se cere deci identificarea unei soluții de criptare a datelor.
Cerințe
Utilizatorii nefiind foarte tehnici (că nu degeaba se numește post-ul “manager-proof”), este necesar ca soluția de criptare să se poată instala peste un sistem deja existent. Pentru a ușura și mai mult utilizarea, folosirea lui nu ar trebui să necesite parole suplimentare sau rularea explicită de programe.
Pe partea de administrare a sistemului, este necesar ca procedurile de backup și restore să fie cât mai puțin afectate (de preferat, chiar deloc, și să se poată folosi sistemul deja existent) – totul ar trebui să fie simplu și sigur. Evident, este obligatoriu ca fișierele să rămână criptate și în backup.
Soluția
Soluția pe care am identificat-o eu și pe care o folosesc pe foarte multe sisteme se numește eCryptfs. Există suport pentru această aplicație în toate distribuțiile actuale (suport începând cu kernel-ul Linux 2.6.19).
Ca elemente tehnice importante, este vorba de o soluție de criptare la nivel de sistem de fișiere (fiecare fișier este tratat ca o entitate diferită și criptat individual). Se permite criptarea selectivă doar a anumitor fișiere, iar accesul la fișierele criptate se face automat la logare (există integrare în PAM pentru mount/umount automat).
Practic, utilizatorul nu observă nici o diferență atunci când folosește sistemul – atunci când este logat datele sunt accesibile decriptate, atunci când sistemul este oprit, datele sunt în siguranță, fiind criptate.
Exemplu de implementare
Ubuntu oferă opțiunea la instalare de a avea tot directorul personal (home-ul) criptat. Alternativ, este posibil ca doar un anumit director să fie criptat (implicit directorul Private din home-ul fiecărui utilizator), dar configurări diferite sunt posibile.
În acest director se pot muta orice fel de fișiere sensibile, care trebuie criptate – adică toate documentele și fișierele de configurare (care pot conține parole, de exemplu).
Instalare
Pentru cei care nu aleg să instaleze eCryptfs la instalarea sistemului, este foarte simplu să-și activeze criptarea oricând după, instalând pachetul ecryptfs-utils pe distribuția preferată. Apoi urmează ca fiecare utilizator al sistemului să-și creeze o locație criptată, rulând program numit ecryptfs-setup-private.
După ce se introduce passphrase-ul utilizat pentru decriptarea fișierelor, soluția e deja instalată și activă. Folosirea constă pur și simplu în crearea de fișiere în directorul criptat Private. Aceste fișiere vor fi vizibile decriptat pentru utilizatorul care a creat locația protejată, iar ceilalți utilizatori vor putea doar să acceseze fișierele criptate, ilizibile.
Atacuri eșuate
Pentru a testa cât de performant este sistemul în fața unor atacuri, am verificat câteva scenarii comune în care cineva neautorizat încearcă să acceseze fișierele.
Precizez că scenariul de utilizare valid presupune logarea utilizatorului “deținător” prin introducerea parolei, moment în care datele criptate devin accesibile pentru el, și doar dacă parola nu se schimbă. În cazul în care își schimbă parola utilizatorul va trebui să re-introducă passphrase-ul pe care l-a introdus atunci când a instalat soluția.
Încercarea 1: Un alt utilizator, “atacator”, (de exemplu chiar root) încearcă să acceseze datele utilizatorului X, care deține fișiere criptate. Pentru acesta, locația protejată apare goală, cheia de decriptare nefiind disponibilă.
Încercarea 2: “Atacatorul” schimbă parola userului X și apoi încearcă să se autentifice în sistem folosind noua parolă. eCryptfs detectează schimbarea parole și solicită introducerea passphrase-ului ales la crearea locației protejate.
Concluzie
Soluția găsită și recomandată de mine satisface toate cerințele inițiale și asigură protecție foarte bună împotriva unui atacator care obține acces, într-un fel sau altul, la sistemul protejat. Este printre cele mai ușor de instalat și folosit aplicații de criptare, odată activată soluția este invizibilă atât pentru utilizator, care nu are nimic special de făcut, cât și pentru administratorii de sisteme, care pot face backup/restore ca de obicei, fără nici o modificare în procedurile curente.
Recomand eCryptfs pentru oricine are asupra sa date confidențiale, mai ales atunci când sunt stocate pe dispozitive mobile.
Iată mai jos și slide-urile prezentării și înregistrarea video:
Tu folosești criptare pe laptop-ul tău sau pe sistemele angajaților? Ce soluție ai implementat? Scrie un comentariu mai jos!
Iar dacă ai nevoie ca cineva să-ți securizeze sistemele, nu ezita să ne contactezi!
Image credit: Anonymous.
Related posts:
- Studiu de caz: Virtualizare cu LXC Cum în ultima vreme am scris destul de mult despre...
- Studiu: Inovarea și informatizarea IMM-urilor Într-o conferință de presă din data de 30 iulie, Consiliul Național...
- Un programator care este bun manager se va “alege” singur Am (re)descoperit din întâmplare următorul interviu pe care l-am acordat...
- Project Manager Angajam pentru clientul nostru, o companie cunoscuta din domeniul software,...
- Manager Dezvoltare Software Angajam pentru clientul nostru, o cunoscuta companie din industria software, Manager...
[...] Discut în ultimul post publicat pe blog-ul NOVIT despre o soluție de criptare a datelor, foarte ușor de instalat și de folosit chiar și de către utilizatorii mai puțin tehnici, dar care vor să-și protejeze datele, mai ales dacă au laptop-uri care pot fi pierdute sau furate ușor. Citește acest studiu de caz: criptare “manager-proof”. [...]