Čo je šifrovanie FileVault a oplatí sa ho používať? Ukladanie šifrovaných údajov v cloude pomocou systému Mac OS X Čo je FileVault
Mac v službách hackera. Časť 1 – Šifrovanie disku
Alexander Antipov
Prvý článok bude venovaný šifrovaniu disku, ktoré pomôže ochrániť pred každým, kto sa zaujíma o naše bity a bajty.
Stalo sa, že väčšina príručiek hackingu a pentestingu je napísaná z pohľadu používateľa Linuxu. Existujú samozrejme výnimky z tohto pravidla, ale vo všeobecnosti sa zdá, že OS Linux je jediný systém, ktorý je vhodný na tento druh úloh. V skutočnosti táto myšlienka nie je ďaleko od pravdy, keďže správne nakonfigurovať systémy Apple pre potreby bezpečnostného špecialistu nie je až taká jednoduchá úloha.
Pred macOS (keď existoval OS X) bolo vykonávanie výskumu súvisiaceho s bezpečnosťou na počítačoch Apple trochu komické. Bolo málo vhodných nástrojov a hardvér bol prispôsobený špecifickým potrebám. Výsledkom bolo, že vývojári mali malú motiváciu prispôsobiť svoje výtvory, pretože OS X mal malý podiel na trhu a bol málo užitočný na serióznu prácu. V tej chvíli na scéne dominovali Windows a Linux.
Časy sa však zmenili a macOS je teraz vážnym konkurentom pre pozornosť bezpečnostných profesionálov. V súčasnosti tento systém zaberá 7,4 a 13 % trhu vo svete a v Spojených štátoch.
Počítače Apple používajú verziu operačného systému UNIX, ktorá je kompatibilná so štandardom POSIX a hardvér sa nelíši od hardvéru moderných počítačov, čo vám umožňuje spúšťať väčšinu nástrojov používaných penetračnými testermi v systéme Mac OS. Navyše, na počítačoch Apple možno ľahko spustiť Windows aj Linux. MacOS, ktorý sa navyše ľahko používa a udržiava, skrátka stojí minimálne za vašu pozornosť.
Táto séria článkov bola navrhnutá tak, aby vám pomohla prekonať počiatočné prekážky spojené s nastavením vášho systému macOS. Keď bude prostredie pripravené, nebudú žiadne ťažkosti pri práci s inžinierskymi sieťami.
Okrem toho bude absolútne užitočné naučiť sa základy textového editora Vim, ktorého funkčnosť je podobná v Linuxe aj Macu.
Po prečítaní a dodržiavaní pokynov vo všetkých tutoriáloch budete mať Mac nakonfigurovaný a pripravený na vykonávanie penetračných testov. Navyše pochopíte, prečo sú tieto veci životne dôležité. Aj keď sa základné nástroje na konfiguráciu systému môžu líšiť v závislosti od platformy, základné koncepty zostávajú rovnaké. Získate vedomosti, ktoré sa vám budú hodiť nielen pri práci s macOS, ale aj so všetkými ostatnými platformami.
Keď začnem príbeh prvej časti, predpokladám, že máte čistý systém s macOS. V opačnom prípade sa môžu vyskytnúť určité nezrovnalosti v postupe nastavenia.
Prvý článok bude venovaný šifrovaniu disku, ktoré pomôže ochrániť pred každým, kto sa zaujíma o naše bity a bajty. Navyše, používanie šifrovania sa už stalo štandardom, bez ohľadu na to, na ktorej strane ste, či je tmavá alebo svetlá. Keď sa metódy šifrovania stanú široko dostupnými, už jednoducho nie je dôvod pracovať otvorene.
Budeme používať FileVault (nástroj zabudovaný do Mac OS), ktorý vám umožní plne zašifrovať váš disk v 128-bitovom režime XTS-AES. Táto schéma šifrovania je odporúčaná NIST, je v súlade s FISA a je vhodná na použitie v regulovaných odvetviach, ako je štátna správa a zdravotníctvo. To znamená, že schéma je celkom spoľahlivá.
Krok 1: Prejdite na kartuFileVault
Prejdite na Predvoľby systému a v prvom riadku vyberte Zabezpečenie a súkromie. Prípadne môžete použiť nasledujúci príkaz (stačí skopírovať príkaz do terminálu a stlačiť Enter). Možnosť –b (identifikátor zväzku) vám povie, aby ste otvorili súbor Security.prefPane so systémovými nastaveniami.
- open -b com.apple.systempreferences /System/Library/PreferencePanes/Security.prefPane
Obrázok 1: Panel nastavení systému
Ďalej prejdite do časti Zabezpečenie a súkromie a vyberte kartu FileVault. Ak chcete vykonať zmeny, budete musieť kliknúť na zámok v ľavej dolnej časti okna a vo vyskakovacom okne a zadať parametre (meno a heslo) administrátorského účtu.
Obrázok 2: Karta pre nastavenie šifrovania disku
Krok 2: ZapniteFileVault
Pred kliknutím na tlačidlo „Zapnúť FileVault“ si musíte prečítať varovanie, ktoré sa zobrazí na obrazovke.
Upozornenie: Na prístup k údajom potrebujete prihlasovacie heslo alebo obnovovací kľúč. Počas inštalácie sa automaticky vygeneruje kľúč na obnovenie. Ak zabudnete heslo a kľúč na obnovenie, vaše informácie sa stratia.
Ešte raz si prečítajte predchádzajúci odsek. Strata hesla a kľúča sa rovná vymazaniu všetkých informácií, pretože to je presne to, čo musíte urobiť, aby sa váš Mac vrátil do funkčného stavu.
Ďalej kliknite na tlačidlo „Zapnúť FileVault“.
V závislosti od toho, či ste prihlásení cez iCloud alebo nie (pre verzie Yosemite a vyššie), sa zobrazí dialógové okno s otázkou, či chcete použiť svoj účet iCloud alebo kľúč na obnovenie na obnovenie hesla, ak ho stratíte. Uprednostňujem uloženie kópie kľúča na bezpečnom mieste, pretože cloud je v podstate niečí počítač. (Ak nie ste prihlásení do iCloudu, kľúč na obnovenie sa vám zobrazí hneď.)
Keď ste sa rozhodli, ako uložiť kľúč, kliknite na Pokračovať.
Obrázok 3: Výber spôsobu odomknutia disku
Aby bol kľúč v bezpečí, pred pokračovaním skopírujem text do dokumentu, vytlačím ho na papier a výtlačok uložím na bezpečné miesto. Nikdy nenechávajte kľúč na aute. Ak zabudnete heslo, nebudete mať prístup ku kľúču a nebudete môcť odomknúť systém.
Keď je kľúč uložený na bezpečnom mieste, znova kliknite na Pokračovať. 
Obrázok 4: Kľúč na obnovenie systému v prípade straty hesla
Ak sú v systéme ďalší používatelia, zobrazí sa dialógové okno, v ktorom môžete udeliť povolenie požadovaným používateľom. Na odomknutie disku musí príslušný používateľ zadať svoje heslo. Samozrejme, musíte povoliť odblokovanie pre správcovský účet. Ostatní používatelia sú podľa vášho uváženia. Potom znova kliknite na tlačidlo Pokračovať.
Obrázok 5: Povolenie na odomknutie disku pre používateľov
Po dokončení nastavenia sa zobrazí správa o reštarte. Ak je to potrebné, uložte predtým vykonanú prácu a reštartujte systém.
Po spustení reštartu začne FileVault šifrovať disk na pozadí, čo môže spôsobiť vážne spomalenie, kým sa celý proces nedokončí. Doba šifrovania závisí od veľkosti disku. Rýchlosť dokončenia procesu môžete sledovať na karte FileVault.
Obrázok 6: Šifrovanie disku
Poznámka: Ak máte moderný systém s SSD, proces šifrovania a dešifrovania bude oveľa rýchlejší v porovnaní s pevnými diskami. Ak je pre vás dôležitá rýchlosť sťahovania, ste na temnej strane a musíte byť šifrovaní, potom sa vám táto rada pravdepodobne bude hodiť.
Krok 4: Overenie kľúča
Posledným krokom je kontrola kľúča, aby ste sa uistili, že môžete disk kedykoľvek dešifrovať (táto funkcia je dostupná vo verziách Mavericks a vyšších). Na testovanie použijeme aplikáciu Terminál z priečinka Utilities v adresári Applications.
Obrázok 7: Príkazový riadok v termináli
V okne terminálu zadajte nasledujúci príkaz a stlačte kláves Enter:
sudo fdesetup validaterecovery
Budete vyzvaní na zadanie administrátorského hesla. Znaky hesla nebudú pri zadávaní viditeľné. Po zadaní stlačte Enter.
Potom sa zobrazí výzva na zadanie kľúča na obnovenie, ktorý by mal byť vo formáte xxxx-xxxx-xxxx-xxxx-xxxx-xxxx. Rovnako ako v prípade hesla správcu nevidíte kľúčové znaky, ktoré zadávate. Preto buď píšte pomaly, alebo ho skopírujte do textového dokumentu a potom ho vložte do terminálu a stlačte Enter.
Ak je kľúč správny, shell vráti hodnotu true.
Obrázok 8: Výsledky overenia kľúča
Príčin neúspešnej kontroly môže byť niekoľko: buď bol kľúč zadaný nesprávne, alebo bol nesprávne skopírovaný, alebo je poškodený. Ak ste si istí, že kľúč je správny, musíte prejsť do nastavení úschovne, vypnúť túto funkciu a zopakovať celý proces od kroku 2.
Vaša jednotka je teraz pripravená
Po dokončení procesu je váš disk teraz zašifrovaný. Nezabudnite, že disk je chránený iba vtedy, keď je počítač vypnutý.
Ross Ulbricht, jeden zo slávnych prevádzkovateľov projektu Hodvábna cesta, používal na ochranu svojho notebooku šifrovanie disku, ale nedodržiaval iné bezpečnostné pravidlá. Agenti FBI počkali, kým sa Ross prihlásil a disk bol dešifrovaný, než ho zadržali. V dôsledku toho dostal Ulbricht doživotný trest.
Snažte sa neopakovať tieto typy chýb.
V nasledujúcich článkoch si povieme niečo o šifrovaní obrazov diskov, používaní KeePass, Terminálových aplikácií atď.
Zostať v kontakte.
Väčšina používateľov počítačov Mac používa heslo na ochranu svojich údajov a súborov pred neoprávneným prístupom. Je to však také bezpečné, ako sa bežne verí? Ako sa ukázalo, nie tak celkom. Existuje mnoho metód, ktoré vám umožňujú obnoviť heslo, čím získate prístup ku všetkým informáciám, ktoré sú uložené na vašom Macu. Na tento problém však existuje riešenie – FileVault. Dnes si o tom povieme.
Čo je FileVault
FileVault je systém na šifrovanie údajov, ktorý využíva algoritmus XTS-AES-128 s 256-bitovou dĺžkou kľúča, čo poskytuje mimoriadne vysokú úroveň zabezpečenia. Samotný šifrovací kľúč je generovaný na základe hesla používateľa pomocou algoritmu PBKDF2. Všetky informácie budú v budúcnosti uložené v 8 MB fragmentoch.
Napodiv, funkcia funguje celkom jednoducho – všetky dáta sa skopírujú na zašifrovaný obraz disku a následne sa vymažú z nechráneného priestoru. Po dokončení počiatočného spracovania údajov budú nové súbory zašifrované „za behu“ na pozadí. Nechýba podpora Instant Wipe, ktorá umožňuje bezpečne vymazať všetky informácie na disku bez možnosti obnovy. Tento nástroj navyše poskytuje možnosť šifrovať zálohy Time Machine.
Ako funguje FileVault
Počas prvého nastavenia sa vytvorí obnovovací kľúč na ochranu pred stratou hesla, ktorý je potrebné si zapamätať, pretože v prípade straty kódu sa údaje neobnovia. Prípadne môžete nastaviť obnovenie hesla pomocou účtu iCloud.
Po aktivácii FileVault sa proces zavádzania počítača zmení, aby sa zaistila bezpečnosť. Ak predtým bolo potrebné zadať heslo po načítaní účtu, teraz sa to deje predtým, čo eliminuje aj potenciálnu možnosť resetovania hesla používateľa pomocou ktorejkoľvek zo známych metód (režim jedného používateľa, zavádzanie z externého média a iné metódy).
Prečo používať FileVault
Používateľské heslo zjavne nestačí na zabezpečenie úplnej bezpečnosti a súkromia. Ak máte fyzický prístup k počítaču, obnovenie hesla je len otázkou času. V prípade šifrovania máte istotu, že sa k údajom nikto nedostane. Pomôcku navyše vyvinula spoločnosť Apple a je už zabudovaná do systému, čo naznačuje plnú integráciu so systémom.
Ďalším plusom je, že objem dát pred a po šifrovaní sa nemení.
Aké sú nevýhody
Šifrovanie pomocou FileVault má významný vplyv na výkon Macu.
Ak ste zabudli heslo a kľúč na obnovenie, nemôžete obnoviť údaje.
Ak disk zlyhá, údaje sa tiež nenávratne stratia.
Len málo ľudí vie, že môžete šifrovať počítač pomocou FileVault2 zaručiť bezpečnosť je úplne nedostatočné – v niektorých prípadoch prelomenie šifrovania zaberie len pár hodín a útočník získa prístup k vašim údajom. Aby ste to zabezpečili FileVault2 vás spoľahlivo ochráni, pri používaní počítača musíte vykonať niekoľko jednoduchých dodatočných krokov a dodržiavať niekoľko pravidiel. V akých prípadoch je hackovanie FileVault2 môže to urobiť stredne skúsený špecialista s príslušným softvérom, ale v ktorých prípadoch sú vaše údaje bezpečne chránené?
Najviditeľnejší diagram by bol: 
Z tohto diagramu vyplýva, že ak je váš Mac v režime spánku alebo sa systém načítava vo fáze výberu používateľa (bez ohľadu na to, či už bol používateľský účet prihlásený alebo nie, hlavné je, že heslo pre prístup na disk) , má útočník možnosť otvoriť Úschovňa 2 a pristupovať k údajom vo vašom počítači.
Aby ste sa ochránili pred takýmito problémami, nezaberie to veľa času, stačí zmeniť tri parametre.
Výsledkom je, že pri každom prebudení zariadenia z režimu spánku budete musieť zadať heslo účtu dvakrát – pre prístup na disk a pre prihlásenie, čo sa môže zdať trochu nepohodlné, ale je to bezpečné.
A keďže hovoríme o zvyšovaní úrovne zabezpečenia, ak máte na svojom počítači viacero používateľov, mali by ste sa uistiť, že ho môžu zapnúť iba tí používatelia, ktorí ho skutočne potrebujú (prihláste sa po zapnutí napájania alebo sa zobudte po „hlboký spánok“). Zoznam používateľov, ktorí majú povolenú túto akciu, môžete skontrolovať pomocou príkazu sudo fdesetup list
Ak chcete odstrániť používateľa zo zoznamu, zadajte
sudo fdesetup remove -user Používateľské meno Kde Používateľské meno- krátke meno používateľa, ktorého chcete odstrániť zo zoznamu.
Používateľa môžete pridať otvorením ponuky Systémové nastavenia → Zabezpečenie a bezpečnosť → FileVault a kliknutím na tlačidlo „Povoliť používateľov“. 
Môžete to urobiť aj cez Terminál. Ak to chcete urobiť, zadajte príkaz sudo fdesetup add -usertoadd Používateľské meno Kde Používateľské meno— krátke meno používateľa, ktorému chcete poskytnúť prístup k disku. Budete tiež musieť zadať heslo pre používateľský účet, ktorý už má prístup k disku (alebo šifrovací kľúč, ak ste ho vytvorili pri zapnutí). FileVault2), ako aj heslo používateľa, ktorého chcete pridať.
Aby ste ešte viac ochránili svoj počítač, môžete tiež nastaviť heslo firmvéru, ktoré umožní systému spustiť sa iba z vami vybratej zavádzacej jednotky. Viac o tom, prečo to urobiť a ako vám heslo firmvéru pomôže chrániť dáta na Macu, si môžete prečítať v jednom z našich.
Výsledkom je, že pri bežnom spustení Macu stačí zadať heslo pre váš používateľský účet, ale ak sa pokúsite spustiť systém z iného disku alebo v režime obnovenia, proces zavádzania bude prerušený obrazovkou s ikona zámku a pole na zadanie hesla firmvéru. 
Ak stratíte heslo firmvéru, vo väčšine prípadov môžete svoj Mac odomknúť iba pomocou oficiálneho servisného strediska Apple, preto je vhodné naň nezabudnúť, ale radšej si ho zapísať a uložiť na bezpečné miesto.
Aktualizácia OS X 10.7.2 deaktivuje DMA pre Firewire, keď sa používateľ odhlási, čím sa znižuje riziko hackerstva, ale ak je počítač prihlásený, zostáva zraniteľný. Taktiež na počítačoch s architektúrou procesora Ivy Bridge (vyrábané od roku 2012) a OS X verzie 10.8.2 a vyššej sa používa hardvérová virtualizácia VT-D, ktorá úspešne blokuje priamy prístup do pamäte, aj keď je používateľ už prihlásený do účtu.
Podľa , k marcu 2015 je však približne 70 % používaných zariadení stále zraniteľných voči takýmto útokom, takže ak sa chcete vyhnúť nepríjemným prekvapeniam, oplatí sa byť v bezpečí. Opatrnosti nikdy nie je príliš veľa, najmä pokiaľ ide o ochranu dôverných údajov.
Ďakujem Toddovi Garrisonovi za pôvodný materiál a za jeho príspevky k tomuto článku.
Rovnako ako mnoho ľudí, ktorí sa zaoberajú správou systému, som trochu paranoidný. Verím, že niekto chce ukradnúť moje údaje. Aj keď ich naozaj nepotrebuje nikto okrem mňa („a mnohí útočníci, ktorí spia a vidia, ako získať moje fotografie, výber hudby a filmov a...“ – to sú slová môjho vnútorného paranoika), ale nezaškodí sa chrániť.
Čo sa stane, ak vám notebook ukradnú?
Najjednoduchší prípad je, že zlodej okamžite preformátuje disk a nainštaluje čistú verziu operačného systému. Ostáva už len kúpiť nový notebook, obnoviť z Time Machine a pokojne pokračovať v práci. Tento scenár je typický pre inteligentného zlodeja, ktorý vie o funkcii „Find My Mac“ a systéme Pray.
Ale je tu aj iný prípad – zlodej je buď hlúpy, alebo zvedavý. Ak je hlúpy, začne používať notebook bez toho, aby sa dotkol systému. Nedávna história chytenia takéhoto zlodeja je opísaná v článku „Prečo nekradnete hackerovi“. Všetko to skončilo zle pre zlodeja a skvele pre majiteľa notebooku.
Ak je zlodej zvedavý a bystrý, okamžite vyradí sieťové rozhrania, aby sa systém ani náhodou nedostal na internet, a začne študovať, z čoho môže profitovať.
Začne študovať dokumenty, prístupové kľúče, pokúsi sa dostať ku Keychain, pozrie si históriu príkazov v shelli a možno narazí na heslo (podľa mojich skúseností sa stal prípad, keď veľmi rýchly kolega zadal heslo správcu do reláciu príliš zvedavého používateľa, ale nezadal ho do poľa požiadavky na heslo, ale len do shellu a heslo správcu skončilo v .history). V klinickom prípade môže byť heslo rovnaké pre systém aj pre databázu 1Password. Nie je potrebné pokračovať. A potom – buď prienik, alebo vydieranie.
Dúfam, že si nemyslíš, že pýtanie hesla pri prihlásení niekoho zastaví? Heslo firmvéru (aspoň predtým) bolo resetované odstránením jedného z niekoľkých pamäťových kľúčov a následným vymazaním PRAM. Potom - režim jedného používateľa, niekoľko príkazov a heslo sa zmení. Ak sa nechcete obťažovať heslom firmvéru, potom sa disk vyberie z prenosného počítača, pripojí sa k inému počítaču a získa sa prístup ku všetkým údajom.
Na ochranu pred opísanými situáciami bol implementovaný FileVault. V prvej verzii bol domovský adresár používateľa umiestnený v zašifrovanom kontajneri (sparse bundle image), ktorého kľúčom bolo heslo používateľa. Bez znalosti hesla nebolo možné kontajner otvoriť. Nie je potrebné vylúčiť možnosť uhádnutia hesla, ale ak bolo heslo zložité, údaje boli úplne bezpečné.
Za bezpečnosť musíte zaplatiť. Aby ste mohli zálohovať svoje údaje do Time Machine, museli ste sa odhlásiť zo svojho účtu. Nebolo možné vykonať selektívnu obnovu cez rozhranie Time Machine. Povolenie šifrovania niekedy zhoršilo výkon operácií so súbormi o 50 %. Vyskytli sa ďalšie menšie ťažkosti.
OS X Lion obsahuje vylepšenú verziu - FileVault 2, systém šifrovania celého disku využívajúci algoritmus XTS-AES 128.
V procese štúdia problému som sa obrátil na články MacFixIt „O FileVault 2 v OS X 10.7 Lion“ a ArsTechnica „Zmeny systému súborov v Lion“.
Tí, ktorí chcú porozumieť matematickým modelom, si môžu prečítať dokument “IEEE P1619TM/D16 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices” a “Nie je to také strašidelné, XTS-AES”.
Oddiel s EFI a Recovery HD zostáva nezašifrovaný:
$ diskutil list /dev/disk0 #: TYP NÁZOV VEĽKOSŤ IDENTIFIKÁTOR 0: GUID_partition_scheme *160,0 GB disk0 1: EFI 209,7 MB disk0s1 2: Apple_CoreStorage 159,2 GB disk0s2 3: Apple_Boot Recovery0 MB 650 disk.
- Po inicializácii hardvéru EFI nájde Recovery HD a prenesie riadenie do bootloadera /System/Library/CoreServices/boot.efi umiestneného na tejto partícii.
- Bootloader má dve možnosti – spustiť EfiLoginUI z com.apple.boot.x a zobraziť úvodnú obrazovku so žiadosťou o prihlasovacie heslo, alebo, ak bola stlačená kombinácia Option-R, shell na obnovenie systému z com.apple.recovery.boot .
- Kľúče na dešifrovanie disku sú uložené v súbore EncryptedRoot.plist.wipekey v adresári /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Heslo používateľa dešifruje kľúče disku umiestnené v tomto súbore. Potom sa uložia do pamäte a obsah disku sa za behu dešifruje. Zakaždým, keď sa zmení heslo používateľa, pridá sa nový používateľ a podobné operácie sa znova vygenerujú EncryptedRoot.plist.wipekey.
FileVault funguje aj pre používateľov, ktorí sa prihlasujú cez OpenDirectory – ich prístupové atribúty sa ukladajú do vyrovnávacej pamäte v prípade, že nie je pripojenie k adresárovému serveru.
Výkon diskových operácií so zapnutým FileVault 2 sa podľa testov Anandtech nezhorší o viac ako 20-30%, čo je celkom prijateľné. Stojí však za zváženie, že existuje závislosť od procesora a disku. Nové procesory Intel používajú inštrukčné sady AES-NI na zrýchlenie AES Intel® Advanced Encryption Standard Instructions (AES-NI) a zvládajú šifrovanie disku lepšie ako staršie procesory Core 2 Duo. Každý sa rozhoduje podľa vlastného hardvéru.
Ak váš Mac ukradnú, bude takmer nemožné získať prístup k údajom (v závislosti od zložitého hesla a nejasných odpovedí na kľúčové otázky týkajúce sa obnovy od spoločnosti Apple). Stačí si kúpiť nový Mac a nestarať sa príliš o prezradenie hesiel a využitie údajov.
Time Machine teraz funguje bez potreby odhlásenia z vášho účtu. Teraz musíte chrániť svoje údaje Time Machine a je lepšie ich umiestniť do šifrovaného oddielu (ako to urobiť, je popísané v článku Mac OS X Lion FileVault 2 a Time Machine External Drive Encryption).
Jednou z „funkcií“, ktoré si musíte zapamätať, je, že pri zavádzaní so stlačeným Option bude sekcia „Recovery HD“ nedostupná; na spustenie z nej musíte podržať kombináciu kláves Command-R.
Aktivácia
Aktivácia FileVault 2 je jednoduchá. Predvoľby systému/Zabezpečenie a súkromie/Súbory, Kliknutím na zámok vykonajte zmeny, Zapnite úschovňu súborov. Je nevyhnutné, aby ste kľúč a odpovede na otázky týkajúce sa obnovy kľúča uložili na bezpečné a šifrované miesto (ak ste sa rozhodli uložiť ho do spoločnosti Apple). Systém vás vyzve na reštart. Ihneď po načítaní bude vyžiadané vaše heslo a po prihlásení môžete ihneď pracovať. Nie je potrebné čakať hodiny, kým sa oddiel zašifruje; táto operácia sa vykonáva na pozadí, keď naplno pracujete:
Po spustení iCloud sa zobrazí možnosť „Nájsť môj Mac“, v ktorej, analogicky s „Nájsť môj iPhone/iPad“, keď sa v sieti objaví Mac, môžete zobraziť správu so zvukovým signálom, uzamknúť Mac, alebo dokonca zničiť obsah zašifrovaného disku (môžem predpokladať, že sa z nich vymažú šifrovacie kľúče a z disku sa stane zbytočné pole dát).
Keďže kapacita flash diskov neustále rastie a ich ceny, naopak, klesajú, získavajú si na obľube. Obzvlášť atraktívna je ich schopnosť prenášať značné množstvo dát na prenosných USB diskoch. Ich prenosnosť má však aj nevýhodu – veľmi ľahko sa stratia. Tento recept vám povie, ako chrániť vaše dôverné údaje pred neoprávneným prístupom v prípade straty USB flash disku.Je nepravdepodobné, že by dnes niekto spochybňoval pohodlie prenosu dát z počítača do počítača na prepisovateľných prenosných USB flash diskoch. Táto vymoženosť má však aj nevýhodu – riziko pre bezpečnosť dôverných údajov. Kapacita prenosných médií rastie a samy sú čoraz miniatúrnejšie. Ale čím je zariadenie menšie, tým ľahšie ho stratíte. Ak sa tak stane, neprídete len o samotné zariadenie a dáta v ňom uložené. V skutočnosti, ak sú tieto údaje pre vás cenné alebo sú dôverné, umožňujete únik informácií.
Pravdou je, že ak USB flash disk stratíte, vo väčšine prípadov ten, kto nájde tento malý zázrak, sa bude menej zaujímať o vaše dáta a viac o samotné zariadenie – aby si naň uložil svoje vlastné dáta. A tu je potrebné poznamenať ešte jeden bod. Používate USB flash disk na Macu, ale väčšina používateľov stále používa Windows. Ak pripojíte jednotku USB k počítaču so systémom Windows, systém Windows vás okamžite vyzve, aby ste ju naformátovali, takže používatelia systému Windows pravdepodobne nebudú môcť čítať vaše súbory, aj keď ich zaujíma, čo je uložené na médiu, ktoré ste stratili.
Problém ale je, ak sa nálezca skutočne zaujíma o obsah vašej flashky a zároveň má k dispozícii Mac. Na druhej strane je tu aj šanca, že svoj disk necháte (zabudnete) doslova vedľa Macu – potom ho bude môcť k tomuto Macu pripojiť každý náhodný okoloidúci používateľ a napríklad si aj vziať a skopírovať váš údaje pre seba. Toto je veľmi nepríjemný scenár a na to, aby sa udalosti nevyvíjali týmto spôsobom, nestačí sa len starať o svoj USB disk. Všetci sme ľudia a ľudia sa vyznačujú neprítomnosťou mysle a zábudlivosťou. Inými slovami, nemáte žiadnu záruku, že neprídete o médiá so svojimi vzácnymi dátami. Je zrejmé, že v tomto prípade by mali byť údaje chránené pred neoprávneným prístupom pomocou hesla. Môžete to urobiť pomocou aplikácie Disk Utility.
Šifrovanie USB disku
Prvé rozhodnutie, ktoré musíte urobiť, je zistiť, koľko miesta na vašom USB disku by malo byť pridelené pre dáta chránené heslom. Vo všeobecnosti je dobrým riešením ochrana všetkých údajov. V takom prípade vytvorte záložnú kópiu jednotky USB na pracovnej ploche (jednoducho presuňte všetky súbory a priečinky, ktoré sú na nej uložené, do samostatného priečinka). Zálohovanie je nevyhnutné, pretože na dosiahnutie svojho cieľa budete musieť vymazať všetky údaje z jednotky flash.
Po vytvorení zálohy spustite Disk Utility (nachádza sa v priečinku /Applications/Utilities) a použite ju na preformátovanie jednotky USB. Po preformátovaní Mac OS X automaticky vytvorí nový zväzok a pomenuje ho Bez názvu. Toto meno môžete ponechať nezmenené alebo mu môžete priradiť akékoľvek iné meno podľa vlastného uváženia.
Disk by mal byť teraz zašifrovaný. V tomto kroku na ňom vytvoríte zašifrovaný .dmg súbor, ktorý bude vyzerať ako disk uložený na disku (toto môže vyzerať trochu skľučujúco). Ak chcete dokončiť túto úlohu, vráťte sa do okna Disk Utility a kliknite na tlačidlo Nový obraz. Ihneď po kliknutí na tlačidlo Nový obrázok sa zobrazí dialógové okno umožňujúce nastaviť rôzne možnosti pre vytvorený .dmg súbor. Prvá vec, o ktorú by ste sa mali postarať, je výber umiestnenia vášho nového súboru .dmg. Tento súbor môžete vytvoriť na pracovnej ploche a potom ho presunúť na USB kľúč, ale môžete ho vytvoriť aj priamo na cieľovom disku.
Po nastavení umiestnenia súboru .dmg môžete nastaviť jeho veľkosť. Hoci Disková utilita poskytuje množstvo možností na vytváranie súborov .dmg preddefinovaných veľkostí, ktoré vyhovujú štandardným kapacitám typických médií (CD, DVD atď.), existuje veľká šanca, že nebude existovať možnosť, ktorá by sa zhodovala s veľkosťou váš USB disk. Preto v rozbaľovacom zozname Veľkosť zväzku vyberte možnosť Vlastné. Je samozrejmé, že by ste mali zadať menšiu veľkosť, než je skutočná veľkosť fyzického disku, no okrem toho by ste mali zvážiť aj réžiu formátovania disku. Napríklad na 2 GB USB kľúči bola maximálna veľkosť súboru obrázka 1,7 GB.
Po nastavení umiestnenia a veľkosti súboru .dmg budete musieť určiť typ obrázka, ktorý chcete vytvoriť. V tomto prípade musí byť obrázok čitateľný aj zapisovateľný a zároveň musí byť šifrovaný. Príklad možností nastavenia pre vytvorenie šifrovaného obrázku je na obr. 3.41.
VYHNITE SA ZAMESTNANIU: Pri vytváraní šifrovaného obrazu sa najskôr uistite, že po kliknutí na tlačidlo Nový obrázok nie je zvýraznená žiadna z jednotiek (t. j. nie je vybratá). Ak je vybratá niektorá z jednotiek, Disková utilita sa pokúsi vytvoriť obraz vybranej jednotky namiesto vytvorenia nového, nedotknutého obrazu. Ak však urobíte túto chybu, nestane sa nič hrozné – okrem toho, že sa vám môže zobraziť chybové hlásenie Resource Busy.
Kliknite na tlačidlo Vytvoriť a vaša úloha je takmer hotová. Mac OS X vás vyzve na zadanie a potvrdenie hesla, po čom sa na vašom USB disku vytvorí nový šifrovaný obraz disku.
PRI VYTVORENÍ HESLA SA VEREJTE NA MAC OS X: Mac OS X obsahuje pohodlnú utilitu na generovanie hesiel – Password Assistant (Obr. 3.42). Mac OS X dokáže nielen vyhodnotiť zadané heslo, ale aj vygenerovať heslá s rôznou úrovňou odolnosti proti prasknutiu. Kliknite na tlačidlo kľúča napravo od poľa Heslo a Mac OS X vyhodnotí vaše heslo. Kliknite na tlačidlo s obrázkom dvoch trojuholníkových šípok napravo od poľa Typ. Otvorí sa zoznam možností, z ktorých si môžete vybrať typ hesla.
Použitie nového obrázka
Takže všetky prípravné práce už boli vykonané a jediné, čo vám zostáva, je začať používať váš nový šifrovaný USB disk. Váš súbor .dmg je vložený do jednotky USB ako hniezdiaca bábika, ale na pracovnej ploche sa zobrazujú ako dva samostatné zväzky. Ak chcete umiestniť súbor na zašifrovanú oblasť disku, presuňte ho tam myšou a potom môžete so zašifrovanými údajmi ľahko cestovať kamkoľvek. Keď potrebujete skopírovať dáta zo šifrovaného disku, pripojte USB disk k počítaču, otvorte priložený .dmg súbor, zadajte heslo (obr. 3.43) a budete môcť pracovať so zašifrovanými súbormi.
