Bezpečné ukládání na noteboocích podle Applu

Jsem si vědom, že většina čtenářů žije ve světě, kde na laptopech, stolních počítačích a většině serverů vládnou Microsoft Windows. Já ale žiji v jiném světě. "Na stole" mám Windows, protože má nejlepší podporu pro skenery, OCR a Quicken. Na serverech mám FreeBSD a Linux. Telefon funguje na Palm OS a notebook běží na Mac OS a příležitostně na Windows jako host ve virtuálním počítači.

Ne že bych byl nějaký pravověrný vyznavač Macintoshe: první Mac jsem si koupil v roce 1984, ale hned v roce 1985 jsem ho zase prodal, protože mi připadalo, že je to jen taková lepší hračka. Pak jsem Mac zase nějakou dobu zkoušel v 90. letech, ale vzdal jsem to, jelikož byl moc poruchový. Vrátil jsem se k Applu, když tato firma koupila NeXT Computer a přešla na Unix – ale jenom proto, že jsem o NeXT napsal knihu a chtěl jsem ji „portovat“ na Mac OS.

V posledních letech jsem ale začal pociťovat naléhavý důvod, proč se vyhnout Windows a používat zase Mac: bezpečnost. Apple probudil svůj smysl pro detail a použitelnost a zaměřil jej na eliminaci některých z nejzávažnějších bezpečnostních hrozeb, které dnes řeší uživatelé počítačů. Používám nyní notebook od Applu, i když jiné modely jsou rychlejší a lehčí. Důvodem je zvýšená bezpečnost, kterou Mac OS nabízí uživatelům mobilních zařízení. S jeho řešením se snadněji pracuje a je bezpečnější než kterékoliv jiné, které si mohu koupit nebo vytvořit s použitím Windows nebo Unixu, aniž bych musel kupovat zvláštní software a provádět rozsáhlé přizpůsobení.

Tento článek samozřejmě nepřesvědčí žádného CIO, aby vyhodil v celé své organizaci počítače pracující na Windows a přešel k Macům. Tím, že budu analyzovat některé z významných bezpečnostních charakteristik, které Apple přidal ke svému operačnímu systému v posledních letech, vám ale chci ukázat, proč jsem se rozhodl používat Mac OS, a nabídnout vám seznam funkcí, které byste měli požadovat po svém prodejci, ať už je to kdokoliv.

Hesla versus šifrování

Existují dva základní způsoby, jak chránit informace na mobilním zařízení. Tím nejobvyklejším je ochrana heslem. Počítač toto slovo či slovní spojení má uloženo spolu s vašimi daty. Když chce uživatel získat přístup do počítače, systém jej vyzve, aby zadal příslušné slovo nebo slovní spojení. Počítač pak to, co bylo napsáno, porovná s tím, co má uloženo. Přístup je umožněn, pokud heslo souhlasí.

Druhý způsob ochrany informací také používá heslo, ale namísto toho, aby počítač prostě porovnával to, co je napsáno, s tím, co má uloženo, použije to, co je napsáno, jako šifrovací klíč. Data jsou zašifrována, když jsou napsána na harddisk počítače, a jsou dešifrována, když se čtou. Výhodou tohoto přístupu je, že ochrana stále funguje, i když je harddisk počítače odstraněn a připojen k jinému systému. Je tomu tak proto, že uložená data musejí být matematicky dešifrována, než je lze použít. Operační systém počítače neprovádí prosté rozhodnutí pustit/nepustit.

Prakticky každý počítač, PDA a mobilní telefon, který se dnes prodává, používá k ochraně dat, jež obsahuje, ten první zmíněný způsob – hesla bez šifrování. Některé speciální systémy používají místo hesel otisky prstů. Ale i s biometrikou jde pořád jen o to, že operační systém počítače rozhoduje, zda pustit či nepustit, což znamená, že jej lze přelstít bootováním z CD-ROMu nebo tím, že uložená data vezmete z jednoho počítače a přečtete je pomocí druhého.

Mac OS je výjimkou z tohoto pravidla. Operační systém Apple používá všude k ochraně dat uživatele šifrování. A co více, šifrování je transparentní: jakmile je zapnete, už o něm ani nevíte.
Prvním a nejúčinnějším systémem ochrany zabudovaným do Mac OS je systém FileVault. FileVault můžete spustit tím, že kliknete na tlačítko „turn on FileVault“, které naleznete v „bezpečnostní“ části ovládacího panelu Mac OS. Načež Mac OS vytvoří virtuální disk používající namátkový 128bitový šifrovací klíč s algoritmem AES. Vaše soubory jsou pak nakopírovány na tento virtuální disk a textové (normální) verze jsou bezpečně smazány (takže je nemůžete obnovit pomocí forenzního softwaru). A nakonec je onen 128bitový klíč zašifrován uživatelovým přihlašovacím heslem a uložen do speciálního souboru.

Když se uživatel FileVaultu pokusí připojit, Mac OS vezme jeho heslo a zkusí dešifrovat onen 128bitový AES klíč. Pokud se mu to podaří, Mac OS použije tento klíč ke vstupu do uživatelova domovského adresáře a proces připojování může pokračovat. Pokud je heslo chybné, AES klíč se nedešifruje a potenciální útočník je ochromen. Totéž se stane, když je Mac bootován z CD-ROMu nebo pokud je harddisk se zašifrovaným domovským adresářem zapojen do jiného počítače.

Protože každý moderní program Mac OS ukládá všechny specifické informace týkající se uživatele v uživatelově domovském adresáři, FileVault poskytuje těmto osobním informacím ochranu o síle ocelového pancíře, aniž by věci komplikoval šifrováním operačního systému nebo aplikací. Například uživatelovy cookies, internetová historie a e-mail jsou šifrovány, ale aplikace webového prohlížeče samotná není. Nastavení Virtual Private Network, které se dělá pro každého uživatele, je šifrováno, ale obecná konfigurace internetu na počítači není. Databáze „preferencí“ Mac OS – což je Apple ekvivalent uživatelského rejstříku Windows – je šifrována; preference celého systému nejsou.

Uživatelé samozřejmě mají tendenci zapomínat svá hesla. Problém se šifrováním je, že zašifrovaná data nemohou být obnovena bez klíče. FileVault proto umožňuje kterémukoliv systémovému administrátorovi, aby si nastavil volitelné „master password“ pro celý systém. Toto heslo slouží jako záložní nebo „bezpečnostní síť“ pro každého, kdo používá FileVault na tomto počítači – ale jen tehdy, je-li FileVault vytvořen před nastavením onoho hlavního hesla.

Šifrování se neomezuje na domovské adresáře. S využitím Disk Utility od Applu lze vytvářet libovolný počet zašifrovaných virtuálních disků uložených v běžném souboru. Když na tento soubor dvakrát kliknete, operační systém vás požádá o šifrovací heslo, pak připojí šifrovaný obraz, jako kdyby to byl samostatný disk. Když chcete, můžete dokonce zanořit jeden šifrovaný virtuální disk do druhého.

Triky s disky

Jak už bylo řečeno, Mac OS také má systém pro bezpečné mazání souborů. Tato funkce „bezpečného vyprázdnění koše“ (secure empty trash) zajišťuje, že každý soubor v koši je sedmkrát přepsán (šestkrát více než je vysloveně nutné); pak je přepsáno jméno souboru v adresáři. Můj průzkum ukázal, že „secure empty trash“ maže všechny stopy, dokonce i když žurnálovací souborový systém (journaling file systém) Macu je zapnut. Pokud byste náhodou zvolili „vyprázdnit koš“ místo „bezpečně vyprázdnit koš“, program Disk Utility má funkci zvanou „erase free space“, která přepíše všechny diskové sektory, jež aktuálně nejsou zaplněny uloženými soubory.

Kromě zabezpečení souborů Mac OS také umožňuje systémovým správcům nastavit „bezpečnou virtuální paměť“ (secure virtual memory).

Moderní počítače používají harddisk ke swapování operační paměti. Kdykoliv se pokusíte spustit více programů, než se naráz vejde do RAM vašeho počítače, zařízení neustále přehazuje data ze své rychlé, ale malé RAM na pomalý, ale velký harddisk. Toto přehazování počítač výrazně zpomalí, ale je to lepší než druhá možnost – nespustit software vůbec. Z bezpečnostního hlediska je reálný problém se swappingem ten, že při něm proces, který pracuje s důvěrnými informacemi, nechává tyto informace na harddisku. A co je vůbec nejhorší, může se to stát, i když tento proces vysloveně neotevřel soubor a nenapsal data, protože swapování je kontrolováno operačním systémem. A jakmile jsou data na harddisku, mohou tam zůstat celé týdny, nebo dokonce roky – operační systém nijak nezaručuje, že data budou opět přepsána.

„Bezpečná virtuální paměť“ Applu se používá k tomu, aby tuto zranitelnost překonala pomocí šifrování. Pokaždé, když počítač bootuje, vytváří namátkový šifrovací klíč pro swapování. Data swapovaná ven na harddisk jsou zašifrována; tato data se dešifrují, když jsou načtena zpět. Šifrovací klíč sám se na disk nikdy nepíše: uchovává se v RAM a zničí se, když je počítač vypnut nebo rebootován.

Co mi na bezpečnosti Mac OS vadí nejvíc, je to, že věci jako FileVault a „secure virtual memory“ by neměly být volitelné – mělo by to být standardní nastavení. Myslím, že je neetické, aby se počítač tvářil, že informace maže, když je vlastně nechává na disku; počítače by neměly lhát (explicitně nebo implicitně) svým uživatelům. Přesto jsou tyto funkce dramaticky lepší a snadněji použitelné než to, co mají Windows. Díky nim vím, že i když notebook ztratím nebo mi ho ukradnou, zloděj dostane jen hardware – ne moje data.

Foto: Wikipedia (licence obrázku GFDL)