Fråga vad du vill i P3 samt följdfråga

Häromveckan närvarade jag i Sveriges Radio P3, i programmet “Fråga vad du vill” med programledare Hanna Palm. Temat var “Jag är en hacker” och lyssnare kunde skicka in frågor via mail, web och telefonnät.

Hanna Palm och Mikael Nordfeldth. Foto: Sebastian Claesson (Sveriges Radio)

Jag var rätt nöjd med min insats och även om frågorna huvudsakligen handlade om IT-säkerhet – hacking är ju all slags problemlösning och klurigheter såsom life hacks m.m. – så kände jag att det var en bra radiostund. Lyssna gärna!

Idag fick jag ett mail som uppföljning på detta radioprogram, en fråga om fulldiskkryptering. Tänkte jag kunde klistra in mitt svar här på bloggen i samband med att jag skriver om sändningen:

—-

Mailsvar på fråga efter radioprogrammet

Intressant avsnitt häromveckan. Jag överväger att själv kryptera mina diskar, och undrar därför om du kan rekommendera en passande programvara för W10?

Hej! Kul att du tyckte det var intressant. Hoppas mitt svar nedanför inte blir för långrandigt – men det känns som att jag heller skickar för mycket info än för lite på direkten .)

Av förklarliga skäl så kan jag inte rekommendera en bra lösning för Windows 10. Skälen är att du som användare saknar kontroll över programmiljön, det finns kända bakdörrar, operativsystemet utför aktivt beteendeanalys som inte går att stänga av och okontrollerat skickar okänd – ev. känslig – data tillbaka till Microsoft.

Jag hade varmt rekommenderat att titta på möjligheten att använda ett fritt licensierat operativsystem (såsom GNU/Linux, t.ex. Ubuntu vilket är bra och användarvänlig för nya användare): https://ubuntu.com/Det finns jättemånga GNU/Linux-alternativ – “distributioner” – som ser lite olika ut, har olika förinstallerade mjukvaror etc, Ubuntu råkar vara den som jag märker fungerar bäst). Vid installationen kan en välja om hela hårddisken ska vara krypterad.

Eftersom jag dock förespråkar att “åtminstone göra något” – även om en kör osäkra operativsystem – så kan jag åtminstone nämna alternativen. Det handlar ju främst om vilken hotbild en ser framför sig. För de allra flesta är det viktigast att skydda sig från någon som stjäl datorn som inte ska kunna ta över ens identitet – snarare än organiserad brottslighet eller statsmakter med oändlig budget och insyn (dock aktuellt för ex. grävande journalister).

BitLocker

Jag rekommenderar inte detta, först och främst. “BitLocker” är däremot Microsofts egna mjukvara för Windowssystem och det är därför enklast att få support till från Microsoft själva (om de ens ger support?!). Jag förutsätter att verktygen för detta följer med Windows.

BitLocker har med all största sannolikhet medvetna sårbarheter och bakdörrar, så om din verksamhet på något sätt är intressant för någon med genväg in hos Microsoft hade jag undvikit BitLocker. Är du grävande journalist mm. bör du inte använda Windows ö.h.t. – särskilt inte Win10 – pga den överhängande risken att skyddat källmaterial såsom dokument och bilder på något sätt förmedlas till tredjeparter (Microsoft, reklambolag de samarbetar med för att visa annonser i operativsystemet etc.).

VeraCrypt

Ovannämnda BitLocker är nog snabbast och enklast att få igång. Eftersom jag inte använder proprietär mjukvara såsom Windows, OS X etc. vet jag inte hur krångligt fulldiskkryptering är att aktivera med mjukvara från tredjepart – t.ex. VeraCrypt.

VeraCrypt är en uppföljare till TrueCrypt och liksom sin föregångare fri mjukvara (öppen källkod, så valfri säkerhetsexpert kan granska!). TrueCrypt lade ner sin verksamhet för ett par år sedan men att döma av Wikipedia-artikeln på TrueCrypt så är det VeraCrypt som är den mest hälsosamma uppföljaren som samlar flest utvecklare.

Med VeraCrypt kan du, som jag tolkar informationen, genomföra fulldiskkryptering: “VeraCrypt can on-the-fly encrypt a system partition or entire system drive, i.e. a partition or drive where Windows is installed and from which it boots.”

Fulldiskkryptering gör dock systemet snäppet långsammare (pga all diskaktivitet kräver krypto-beräkningar) och jag vet inte om det finns eventuella andra bekymmer (tänk systemuppdateringar) i Windowsmiljön pga sluten, opålitlig mjukvara från Microsoft.

Det är ganska viktigt att kryptering märks så lite som möjligt i den dagliga användningen.

Ifall ovannämnda fulldisk-kryptering inte låter lockande, med snäppet sämre prestanda och så kan jag dock fortfarande rekommendera VeraCrypt för att skydda dokument. Det innebär att ditt RAM-minne fortfarande är okrypterat, webbläsardata m.m. (sparade lösenord t.ex) är generellt sårbart – men känsliga dokument kan åtminstone stängas in i ett säkrare skåp.

För att skydda t.ex. vanliga dokument så kan en med VeraCrypt göra “krypterade behållare” (containers): https://veracrypt.codeplex.com/wikipage?title=Beginner%27s%20Tutorial

Dessa “behållare” fungerar i praktiken som vanliga mappar/låtsashårddiskar och kan monteras och avmonteras vid behov. Egentligen är de dock en vanlig fil på hårddisken som bara råkar innehålla en massa krypterad data.

Se dock _alltid_ till att ha backups (bedöm själv om du vill att de ska vara krypterade eller ifall de är säkra på annat sätt). Glömmer du en lösenfras till krypteringen så är ju hela poängen med det att datat inte går att återskapa .)

Leave a Reply

Your email address will not be published. Required fields are marked *