Itt az Index Nagy Netbiztonsági Kalauza

netbiztonsag
2019.03.05. 14:28
Már megint hekkerekkel vannak tele a hírek? Újabb adatlopásra vagy kibertámadásra derült fény? Lassan már ön is attól tart, hogy ellopják a jelszavát, beleolvasnak az üzeneteibe, áruba bocsátják a személyes adatait? Helyes, a félelme nem alaptalan. Adunk néhány tippet, hogy mire érdemes odafigyelnie, hogy csökkentse a veszélyt, és mutatunk pár további ötletet, ha egy kicsit paranoiás. Tegyen jót magának, és az interneten legyen mindig egy kicsit paranoiás.

Az IT-biztonság sose volt igazán szexi téma, és valószínűleg ez a cikk sem fog bekerülni az Index legolvasottabbjai közé. Az elmúlt pár évben mégis mintha megmozdult volna valami, és egyre inkább beszivárog a köztudatba, hogy a neten nemcsak cicás képek és pornó (na meg család, barátok és munka) van, hanem olyan fenyegetések is, amelyek mindannyiunkat érintenek: piti kibertolvajok bárki adatait ellophatják– igen, magyarokét is –, az ebből élő cégeknek meg ingyen adjuk oda, miközben a kiberháború fegyvereivel már a civilekre is lőnek.

Nem csoda, hogy egyre többekben merül fel az igény, hogy amennyire lehet, megpróbálják megvédeni magukat a kiberbűnözők, a kormányzati hekkerek, a megfigyelő állam, a mindent tudó techcégek, az adatainkkal kereskedő netszolgáltatók vagy éppen a kellemetlenkedő ex ellen. Szép lassan, de afelé haladunk, hogy

a digitális biztonság a 21. század nem hivatalos alapjogává válik.

Ennek a jognak az érvényesítésében igyekszünk mi is segíteni, ezért összeszedtük a legfontosabb tudnivalókat arról, hogyan netezhet biztonságosabban.

Az ellen nem véd

Rossz hírünk van: nincs rövid válasz, mindenre jó, egyszerű és univerzális megoldás. Már csak azért se, mert a biztonság nem mindenkinél ugyanazt jelenti. Aki egyszerűen nem szeretné, hogy ellopják a bankkártyája számát, az fölöslegesen nehezíti meg a saját életét a Mr. Robotból kölcsönzött kifinomult praktikákkal, elég csak kicsit jobban odafigyelnie, mire kattint. Ha valaki szakítás után attól fél, hogy az exe belép a Facebookjára kémkedni, nem kell törölnie magát vagy Tor-böngészőben pörgetni a hírfolyamot, de változtassa meg a jelszót, amit még együtt találtak ki.

Ha viszont érzékeny üzleti vagy politikai titkokhoz fér hozzá, érdemes lehet jobban figyelnie arra, miket használ és hogyan. Ha a sarki boltban dolgozik, túlzásnak tűnik az állami lehallgatástól félnie. Ha emellett aktivista is, talán nem szükségtelen egy kis paranoia. Ha korrupciós titkokat akar kiszivárogtatni, akkor meg pláne belefér egy kis kényelmetlenség, cserébe azért, hogy ne ön bukjon le, hanem a csalók.

Mindenkinek érdemes belőnie, mennyi fáradság éri meg neki, mert a túlzott önsanyargatásnak sincs értelme. Arról nem is beszélve, hogy teljesen legitim dolog úgy dönteni, hogy önnek fontosabb a kényelem és a személyre szabott szolgáltatások, mint az adatvédelem. De ebben az esetben is fontos, hogy értse, hogy ez egy döntés, amelynek ára van, és ne más döntsön ön helyett.

Természetesen mi se tudjuk megmondani a tutit, viszont megmutatjuk a legfontosabb szempontokat, amelyekre érdemes figyelnie, ha érdekli a saját online biztonsága; és mutatunk pár hasznos szolgáltatást, amelyekből válogathat, ha hajlandó még néhány appot vagy szolgáltatást is lecserélni vagy pluszban beizzítani az ügy érdekében.

A kalauzt úgy állítottuk össze, hogy a mindenkinek fontos alapvetésektől haladunk a macerásabb megoldások felé. Olvashatja hagyományos cikként, de az alábbi tartalomjegyzékben kattintgatva is ugrálhat, ha egy-egy konkrét kérdés érdekli:

BELÉPŐ SZINT:

  1. Jelszavak, jelszókezelők
  2. Adathalászat
  3. Két tényezős hitelesítés
  4. Frissítések, antivírus
  5. HTTPS
  6. Router, webkamera
  7. Okostelefon

HALADÓ SZINT:

  1. Adatvédelmi beállítások
  2. Trackerek blokkolása
  3. Alternatív DNS-kiszolgáló
  4. Biztonsági mentés
  5. Végpontok közötti titkosítás
  6. Titkosított cset
  7. Titkosított email
  8. Titkosított tárhely, fájlküldés, jegyzetfüzet
  9. Böngészők, keresők
  10. VPN

PRO SZINT:

  1. Tor
  2. A teljes lemez titkosítása
  3. Biztonságos törlés
  4. Alternatív operációs rendszerek

Itt nincs hely arra, hogy minden témát részletesen kifejtsünk. Ha egy-egy tippről vagy programról részletesebb útmutatót is olvasna, írja meg emailben, és amire nagyobb igény mutatkozik, megírjuk.

BELÉPŐ SZINT

A legfontosabb tippek egyben a legunalmasabbak is. De mivel általában a hekkerek is a legkisebb ellenállás felé indulnak el, már az ilyen alapvető lépésekkel is sokat tehet a mindennapi biztonságáért.

1. Jelszavak, jelszókezelők

Ne használjon gyenge jelszavakat, mert azokat könnyű kitalálni, inkább hosszú és összetett, egyedi jelszavakat adjon meg. Arról megoszlanak a szakértői vélemények, hogy pontosan milyen egy igazán jó jelszó. (Kellenek bele mindenféle betűk-számok-krikszkrakszok is? Ez fölösleges, random szavakat is rakhat egymás után?) Ökölszabályként elég annyit megjegyezni, hogy ne könnyen kitalálható dolgokat adjon meg (felejtse el például a születési évét és a gyereke neveit), és minél hosszabb, annál jobb – ebben az interjúban néhány konkrét tippet is talál.

Mivel olyan sok helyre kell manapság regisztrálni, csábítóan egyszerű lenne mindenhol ugyanazt a jelszót használni, hogy elég legyen csak azt az egyet megjegyezni. Ne tegye! Ha egy helyről ellopják, máshol is meg fognak próbálkozni a felhasználásával, és borul minden, mint a dominó.

Ha nem akar bajlódni a sok jelszó megjegyzésével, vagy monitorra ragasztott (sőt a buszmegállóban elhagyott) cetliken tárolni őket, használjon jelszókezelőt. Abban biztonságosan tárolhatja az összes jelszavát, és erős jelszavakat is generálhat vele. Megjegyeznie innentől már csak egyetlen jelszót kell: a jelszókezelője mesterjelszavát, amellyel az összes többihez hozzáfér. A legismertebb jelszókezelő a fontosabb funkciókat ingyenesen is tudó Lastpass, de szintén ingyenesen használható a Bitwarden is. Népszerű alternatíva még a 1Password és a Dashlane.

Természetesen a jelszókezelőket is meghekkelhetik, de egyrészt ők megfelelően titkosítva tárolják a jelszavakat, szóval a hekkerek nem sok mindenre mennének velük, másrészt ennek sokkal-sokkal kisebb az esélye, mint hogy abból legyen baj, ha béna vagy ismétlődő jelszavakat használ.

A Have I Been Pwned oldalán (amelyre egyébként már a Firefox is ráépített egy saját szolgáltatást) ellenőrizheti, hogy érintett-e valamilyen adatszivárgásban. Ha igen, mindenhol cserélje le az ellopott jelszót. Az oldalon fel is iratkozhat, hogy ha a jövőben kiszivárog a jelszava, kapjon róla értesítést. A Google egy Chrome-kiterjesztést is kiadott, amely szól, ha lopott jelszóval jelentkezünk be valahova.

2. Adathalászat

Lehet bármilyen jó a jelszava, ha az első kamu visszautasíthatatlan ajánlatra lecsapva rákattint egy átverős linkre, és önként adja meg a bankkártyája adatait csalóknak. A leggyakoribb adatlopós módszer ugyanis nem valamilyen kifinomult technológiai vudumágia, hanem egyszerű adathalászat, amikor a hekkerek egyszerűen elkérik az adatainkat, mi meg gyanútlanul meg is adjuk nekik.

Ez ellen a legjobb védekezés a figyelem és a józan ész: ne adja meg akárhol az adatait, keresse az árulkodó jeleket, és legyen óvatos:

  • Eleve gyanús, ha emailben jelszavakat vagy bankkártyaszámot kérnek, ilyesmit a valódi szolgáltatók nem szoktak.
  • Nézze meg jól a feladó emailcímét, mert az általában csak hasonlít arra, aminek látszani próbál.
  • A levél szövege általában gyenge magyarsággal fogalmaz, döcögnek a mondatok, keveredhet a magázás és a tegezés is, sőt akár az ékezetek is hiányozhatnak.
  • A levélben szereplő gomb vagy link olyan oldalra mutat, amely egy legitim oldalt másol, de az url-címe megint csak hasonlít a valódira.
  • Hallgasson a józan eszére: se ingyen sör, se ingyen repjegy nincs, ha egy ajánlat túl jól hangzik ahhoz, hogy igaz legyen, akkor nagy valószínűséggel nem is az.
  • Ne használjon nyilvános gépet személyes célra, vagy ha muszáj, mindenhonnan jelentkezzen ki, ha végzett.
  • Ne nyisson meg olyan csatolmányokat, amelyeknél nem biztos a feladóban. Ha mégis, akkor lehetőleg a böngészőben tegye, ne a gépére letöltve, mert a Google Docsba zárva egy fokkal nehezebben okoz galibát, ha kártékony kódot rejtettek egy fájlba. (Ahogy az egyszerű Word-fájlokkal például gyakran megtörténik.)
  • Ha ismeretlen forrásból kap rövidített (például bit.ly-s) linket, már rákattintás nélkül is ellenőrizheti, nem valamilyen fertőzött oldalra akarják-e elcsábítani. Ehhez olyan rövidítésfeloldó oldalakat használhat, mint a GetLinkInfo vagy az ExpandUrl.
  • Nézze meg, mit telepít, mert nemcsak emaileket és weboldalakat, de appokat is gyakran próbálnak utánozni. Ha azt hiszi, ilyen önnel úgyse fordulhat elő, gondoljon arra, hogy egy kamu Whatsappot több mint egymillióan telepítettek Androidra.

Ha úgy érzi, hajlamos bedőlni az ilyesminek, a Google-féle adathalászat-felismerő teszttel edzheti magát.

De a legtriviálisabb, mégis talán legfontosabb tanács adathalászat ellen, hogy ne posztoljon érzékeny adatokat Facebookra és más közösségi felületekre. Ne írja ki nyilvános bejegyzésben, hogy milyen jó a Balatonnál nyaralni, ahelyett, hogy otthon, a Kispista utca 8-ban főne a 40 fokban, mert mire hazaér, kirámolják a lakását. (Hiszen kiderül, hogy nincsen épp otthon.) Amúgy is érdemes átnézni a facebookos beállításait, mert lehet, hogy azt hiszi, csak a barátaival osztja meg az életét, miközben alapértelmezetten bárki láthatja, amit kirak.

Az ilyen nyilvánosan lehalászható személyes információkkal nemcsak közvetlenül lehet visszaélni, de jó alapanyag az úgynevezett social engineeringhez is, amikor nem egy informatikai rendszert, hanem az embereket hekkelik meg. Jó példa az ilyesmire, amikor egy csaló néhány adatot összeszed valakiről Facebookon, hogy aztán egy bénább telefonos ügyfélszolgálaton ezekkel azonosítsa magát, és további, érzékenyebb adatokat énekeljen ki a gyanútlan ügyfélszolgálatosból. Ugyanilyen okból nem tanácsos olyan ártatlannak tűnő dolgokat se megosztani, mint egy repülőgépes beszállókártya fotója vagy a futóútvonalunk a kedvenc futóappunkban.

3. Két tényezős hitelesítés

A jelszavak ellopása és gondatlan kiadása ellen a legjobb védelem a két tényezős hitelesítés (2-factor authentication, 2FA). A lényege, hogy a bejelentkezéskor beírt jelszó mellett egy második azonosítási módot is kér a szolgáltatás, mielőtt beenged. Ez leggyakrabban egy eldobható számkód, amelyet vagy sms-ben kap meg a felhasználó, vagy egy erre szolgáló mobilapp generálja. A dolog előnye, hogy hiába lopja el egy hekker a jelszavunkat, önmagában azzal nem tud belépni például az emailfiókunkba.

A 2FA-t egyre több szolgáltatás támogatja, itt tudja ellenőrizni, hogy melyikek, és rögtön talál linket ahhoz is, hogy hol hogyan állíthatja be. A Gmail/Google esetében például magyarul itt, Facebookon pedig itt. Ahol lehet, kerülje az sms-es módszert, mert appon keresztül sokkal biztonságosabb, és egyszerűbb is kódhoz jutni. Az sms-es változatról már sokszor kiderült, hogy sokkal sebezhetőbb, mert könnyebb út közben elcsípni az üzenetet a kóddal, ennek ellenére még ma is sok szolgáltatásnál elérhető ez a módszer.

Elég sok megbízható kódgeneráló app közül lehet ízlés szerint válogatni, és nagyjából ugyanazt tudják: akármennyi fiókot fel lehet venni bennük, és mindhez folyamatosan, netkapcsolat nélkül gyártják a fél perc alatt lejáró kódokat. A legelterjedtebbek a Google Hitelesítő (Android, iOS), az Authy (Android, iOS) és a Microsoft Authenticator (Android, iOS), de a Lastpass Authenticator (Android, iOS) jól működik a Lastpass jelszőkezelővel párban, és van pár extra kényelmi funkciója is (felvett fiókok mentése a Lastpassba, egy érintéses belépés, ujjlenyomatos védelem).

Az igazán paranoiásak hardveres megoldást is használhatnak: egy pendrive-hoz hasonló USB-kulcsot, amelyet a belépéshez be kell dugni a gépbe, majd megérinteni, vagy az erre alkalmas változatokat egyszerűen hozzáérinteni a mobilhoz. A hardveres kulcs előnye, hogy gyakorlatilag lehetetlen adathalászattal megkerülni, és számsorokat se kell bepötyögni. Cserébe mindig nálunk kell, hogy legyen. Például a többi kulcs mellett, a kulcstartón:

Messze a legnépszerűbb hardveres kulcs a  YubiKey , ennek a legújabb generációjával már úgy is be lehet lépni, hogy jelszót nem is használunk, csak magát a kulcsot, mintha egy igazi ajtót nyitnánk ki.

A Google példáján bemutatjuk a Yubikey beállítását. Kattintson!

Kattintson ide és írja be a jelszavát, vagy ha be van jelentkezve valamilyen Google-szolgáltatásba, a jobb felső sarokban kattintson a profilfotójára, aztán lépkedjen végig a Google-fiók > Bejelentkezés és biztonság > Kétlépcsős azonosítás útvonalon.

Ha még egyáltalán nincs bekapcsolva ez a funkció (vagyis más módszert se használt eddig a belépés biztonságosabbá tételére), most kapcsolja be a Kezdés gombra kattintva. Ekkor a rendszer telefonszámot kér, de ezzel ne foglalkozzon, hanem az oldal alján a Nem szeretne szöveges üzenetet vagy telefonhívást használni? kérdés alatt kattintson arra, hogy Válasszon másik lehetőséget. A legördülő lehetőségek közül válassza ki azt, hogy Biztonsági hardverkulcs.

Ha más módon már eddig is használta a kétlépcsős azonosítást, akkor csak görgessen az oldal aljára, és az Alternatív másodlagos lépés beállítása résznél válassza ki a Biztonsági hardverkulcs hozzáadása lehetőséget.

Készítse elő a Yubikeyt, de még ne dugja be, előbb nyomjon a Tovább gombra. A következő lépésben kell regisztrálni a kulcsot. Dugja be, majd érintse meg rajta a gombot. Ekkor a böngésző feldob egy kérdést (a címmező bal végénél fog megjelenni a felugró ablak), hogy engedélyezzük-e a Google-nek, hogy lássa, milyen típusú kulcsunk van. A kulcs használata szempontjából mindegy, mit választ ki, ha engedi, a Google később könnyebben tud segíteni, ha valami probléma lépne fel; ha nem engedi, ennyivel kevesebbet fog tudni önről a cég.

Meg is vagyunk, a kulcs a Google-fiókjával használatra kész. ha Gondolja, az utolsó lépésben még megadhat neki egy nevet. A kulcsot ezután kihúzhatja. Ha legközelebb bejelentkezik, a Google a jelszó beírása után kérni fogja a kulcsot. Csak dugja be, érintse meg a felvillanó gombot, és már bent is van a fiókjában.

4. Frissítések, antivírus

Mindig tartsa frissen az operációs rendszerét és az alkalmazásait! Ez magától értetődőnek hangzik, mégis, a legtöbb hekkelés azért sikeres, mert rengetegen mulasztják el a sebezhetőségeket javító frissítések telepítését. (Ezért ne használjon Windows XP-t és lassan már Windows 7-et se, mert azokra már nem nagyon adnak ki frissítéseket.)

Persze, idegesítő, amikor a Windows folyton nyivákol, hogy indítsa újra a frissítések telepítéséhez, de higgye el, megéri. Emlékszik még a nagy 2017-es zsarolóvírus-hullámra, a WannaCry és a NotPetya támadására? Ezek is egy hónapokkal korábban javított hibát használtak ki, csak sok helyen nem telepítették a javítást a rendszergazdák.

Bár a vírusirtó programok se hibátlanok, ráadásul egyre nehezebb dolguk van, még mindig megéri beszerezni egyet, mert összességében sokkal jobban járunk, ha van, mint ha nincs. Konkrét programot nehéz ajánlani, olyan sokféle van, de több népszerű összehasonlító oldalról lehet válogatni. A legtöbb esetben az ingyenesek is megteszik.

5. HTTPS

A titkosítás a digitális biztonság alapköve, és egyre több szolgáltatás használ is valamilyen szintű titkosítást. (Még ha a hatóságok nem is boldogok emiatt.)

A weboldalak is egyre gyakrabban titkosítva érhetők el. Ha beírunk egy címet a böngésző címsorába, és nyomunk egy entert, a betöltődő oldal címe előtt egy kis lakat és a https felirat jelzi, ha titkosított csatornán látogattuk meg. Rosszabb esetben, ha az adott oldal nem használ titkosítást, a lakat hiánya (illetve böngészőtől függően a “Nem biztonságos” felirat) mutatja, hogy sima http kapcsolatról van szó.

Sok esetben egy-egy oldalból elérhető a sima http és a titkosított https változat is, és alapjáraton az előbbi töltődik be. Ezért minden böngésző alapfelszerelése kell, hogy legyen a HTTPS Everywhere nevű kiterjesztés, amely mindegyik oldalt rákényszeríti a titkosított változat használatára, ha van ilyen.

6. Router, webkamera

A Dolgok Internete (IoT), például az okosotthonok netre kötött okoskütyüi nemcsak egyre nagyobb kényelmet, de egyre több támadási felületet is hoznak az életünkbe. A kismillió hálózatra kötött okoseszköz biztonsága ma jellemzően csak utógondolat, így ezek gyakran könnyű prédák, és a hekkerek előszeretettel építenek a támadásaikhoz zombihálózatot (botnetet) a mi okoskameránkból, okoshűtőnkből és hasonlókból.

A routerek is kedvelt támadási felületnek számítanak. A minimum, amit ez ellen tenni lehet, és amit mégis nagyon sokan nem tesznek meg, hogy megváltoztatjuk a router gyárilag beállított jelszavát. Gyártónként eltérő, hogy ezt pontosan hogyan lehet megtenni, de általában rá van írva magára a router aljára is, hogy hová és hogyan kell hozzá belépni. Megéri, mert ahogy azt korábban teszteltük, a magyarok routereinek jó része védtelen.

A kütyüink sebezhetőségének leglátványosabb példája mégis a webkamera, és egyáltalán nem csak a pornónézés miatt hangzik félelmetesen, hogy hekkerek adott esetben tényleg bekukucskálhatnak rajta a lakásba. Nyugodtan takarja le, ha Mark Zuckerberg vagy az FBI volt igazgatója megteszi, önnek se kell félnie, hogy túlzottan paranoiásnak fogják tartani. Fillérekért lehet kapni a neten olyan felragasztható webkamerafedőt, amely elhúzható, ha épp használná a kamerát:

7. Okostelefon

A mobiloknál a legjellemzőbb veszély, hogy valaki fizikailag hozzájuk fér. Ha még nem tette volna, állítson be valamilyen kódot vagy legalább egy kicsit kevésbé biztonságos mintát a telefon feloldásához. Kicsit kényelmetlenebb, de sokkal kisebb az esélye, hogy idegenek férnek hozzá, ha elhagyja vagy öt percre az asztalon felejti. A legjobb, ha van a mobilján ujjlenyomat-olvasó vagy más biometrikus azonosító. Használja!

Általános vélemény, hogy aki biztonság alapján választ mobilt, az inkább iPhone-t vegyen, mert az Apple-nek a hardver és a szoftver fölött is nagyobb a kontrollja, és az utóbbi időben különösen rá is feküdtek a biztonságra, gyakorlatilag brandet építenek a magánszféra védelmére (és nem is mulasztják el minden adandó alkalommal elmondani, hogy bezzeg a Google).

Ugyanakkor az elmúlt néhány évben az Android is nagyot erősödött ezen a téren, főleg a Google saját készülékei esetében. Androidon is segít, ha figyel néhány alapvető dologra:

  • Gyártótól függ, milyen gyakran jönnek rendszerfrissítések, de ha jönnek, telepítse őket.
  • Az alkalmazásbolton kívülről csak akkor telepítsen appot, ha nagyon muszáj.
  • Ha a telefonja támogatja, kapcsolja be a beállításokban, a biztonsági szekcióban a készülék titkosítását.
  • Mobilra is telepíthet antivirus programot, bár ennek a szükségességéről megoszlanak a vélemények.

Akár androidos, akár iOS-es, érdemes olyan appot használnia, amely segít az elveszett/ellopott telefon megtalálásában, illetve ha már nincs esély visszaszerezni, a rajta lévő adatok törlésében.

Szinte mindenkinek elég lehet az ilyen appok kincstári verziója, Androidon a Google Készülékkereső app, iOS-en a Find My iPhone funkció. Akinek profibb megoldásra van szüksége, a Preyt érdemes kipróbálnia, ez nemcsak mobilra, hanem asztali rendszerekre is elérhető.

HALADÓ SZINT

1. Adatvédelmi beállítások

Az adatvédelmi szabályzatokat nyilván senki nem olvassa el, de arra érdemes venni a fáradságot, hogy ha regisztrál egy új szolgáltatásra vagy vesz egy új kütyüt, pörgesse át az adatvédelmi beállításokat, és állítgassa be, milyen adatai megosztásával tud együtt élni, és mit tiltana inkább le.

A nagy techcégek még mindig nem az átláthatóság úttörői, de az utóbbi években felhasználói és szabályozói nyomásra némileg könnyebben hozzáférhetővé tették ezeket az opciókat. A Google létrehozott egy központi felületet, ahonnan kiindulva az adatvédelmi és a biztonsági beállítások ellenőrzésén is átvezet. A Microsoft adatvédelmi beállításai ezen az oldalon érhetők el.

Elvileg a Facebooknál is készül egy egységes felület, de a gyakorlatban továbbra is szét van szórva a biztonság és az adatvédelem a különböző beállítások között. Egy korábbi cikkünkben már bemutattuk, hogyan nézheti meg és állíthatja át, hogy melyik alkalmazások milyen adataihoz férnek hozzá; szintén megírtuk, hogyan állítgathatja be apránként, hogy ki mit lát önről; azt is megmutattuk, hogyan tudja letiltani, hogy a Facebook az adatai alapján személyre szabja az ön elé rakott hirdetéseket.

Mielőtt teljesen elveszne a különböző szolgáltatások menürendszerében, mutatunk egy egyszerűbb megoldást is: még 2017-ben indult egy EU-s támogatású projekt, a PlusPrivacy: egy böngésző-kiterjesztés telepítése után egyetlen közös felületről lehet beállítani a Google, a Facebook, a LinkedIn és a Twitter összes adatvédelmi beállítását, amelyek ráadásul sokkal érthetőbben vannak megfogalmazva, mint magukon az oldalakon (viszont egyelőre angolul tudni kell hozzá). Az oldalon van egy villámfunkció is: ahelyett, hogy mindent végig kéne kattintgatni, egyetlen gombnyomással átállítható az összes fenti oldal minden beállítása a leginkább adatvédelem-barátra.

A szolgáltatásokhoz hozzáférést kapott összes app is áttekinthető és törölhető itt, illetve a netes tevékenységünket megfigyelő kódok, az úgynevezett trackerek is blokkolhatók. Lehet eldobható emailcímeket is generálni netes regisztrációkhoz, hogy ne a saját címünket kelljen megadni.

Szintén nem egy adatvédelmi leányálom a Windows, még ha a Microsoft igyekszik is reagálni az ezzel kapcsolatos kritikákra. A vonatkozó beállítások itt is ezer felé forgácsolódnak, ezért jó pár ingyenes programot találni, amelyek egybegyűjtik ezeket és segítenek az átállítgatásukban. Azért ezekkel érdemes óvatosan bánni, csak olyan kapcsolókat nyomogasson, amelyekről tudja is, hogy mit csinálnak, mert könnyű olyasmit is elállítani, amit jobb lenne békén hagyni. Itt egy rendszeresen frissített összehasonlítás ezekről az eszközökről, de a legfelhasználóbarátabb szerintünk a W10Privacy és a ShutUp10 (amelyek a nevük ellenére Windows 7-8-on is működnek).

2. Trackerek blokkolása

A böngészésünket a weboldalakba ágyazott nyomkövető kódok, úgynevezett trackerek figyelik, hogy aztán a cégek az így begyűjtött adatok alapján tudjanak például hirdetéseket célozni ránk. A digitális magánszféra védelmének egyik leghatékonyabb eszköze ezeknek a trackereknek a blokkolása.

Ezt a funkciót a Firefox fokozatosan építi be magába, de addig is, illetve ha másik böngészőt használ, több népszerű kiterjesztés is segíthet, amelyek nagyjából ugyanazt tudják. Ilyen a rendszert talán legkevésbé lassító uBlock Origin (Chrome, Firefox), a Disconnect, a Ghostery, illetve a kicsit más megközelítéssel működő Privacy Badger. A Firefox fejlesztője pedig kifejezetten a Facebook kordában tartására adta ki a Facebook Containert.

Érdemes észben tartani, hogy bizonyos trackerek kellenek az oldalak megfelelő működéséhez, és előfordulhat, hogy olykor ezek is tiltólistára kerülnek, így néha szükség lehet némi finomhangolásra. Plusz ezek a kiterjesztések a reklámokat is válogatás nélkül blokkolják, így ha olyan oldalon jár, amelyet megbízhatónak ítél és támogatni szeretne – például reményeink szerint az Indexet! –, akkor mutatjuk, mi a teendő:

 

Mindenféle gyanús böngésző-kiterjesztéseket viszont ne telepítgessen nyakra-főre, ha nem muszáj, mert a kártékony programok gyakori trükkje, hogy kártékony programok elleni védelemnek adják ki magukat.

3. Alternatív DNS-kiszolgáló

A DNS itt nem genetikai, hanem hálózati fogalom, ez az úgynevezett doménnévrendszer, amely átfordítja a böngészők címmezőjébe írt, emberi fogyasztásra alkalmas címeket az azoknak megfelelő számsorra, az IP-címre. Ez elengedhetetlen lépés ahhoz, hogy a meglátogatni kívánt oldal végül tényleg be is töltődjön. Ezért szokás közkeletű metaforával a DNS-t a web telefonkönyvének nevezni.

A DNS-sel viszont vannak mindenféle problémák. Leegyszerűsítve az, hogy alapbeállításként a felhasználó által beírt címeket az internetszolgáltatója fordítja le a megfelelő IP-címekké, így a szolgáltató láthatja, merre járnak a neten az előfizetői, és adott esetben blokkolhat is bizonyos oldalakat. Mivel alapvetően a DNS-lekérések nem titkosítottan utaznak, ideális támadási felületet jelenthetnek külső kíváncsiskodóknak is. Ráadásul a szolgáltatói megoldások gyakran lassúk és nem elég stabilak, ahogy azt néha Magyarországon is tapasztalhatjuk.

Ezért több szervezet is kínál a netszolgáltatóktól független, ingyenes DNS-szolgáltatást. A Cloudflare tavaly áprilisban indította el a sajátját, amely a mérések szerint azóta is a leggyorsabb ilyen megoldás, és kifejezetten a személyes adatok védelmére van felhúzva. A honlapon található útmutatót követve könnyen be lehet állítani bárhol a Cloudflare DNS-t az eszközeinket, de mobilon eddig macerásabban ment a dolog. A cég ezért tavaly novemberben kiadott egy mobilappot, amellyel egyetlen érintéssel ki-bekapcsolható a szolgáltatás. Androidra innen, iOS-re innen tölthető le.

4. Biztonsági mentés

Ma már olyan általánossá vált a külső meghajtók és felhőtárhelyek használata, hogy egyszerűen nem életszerűek az olyan klasszikus kifogások, mint a “már kész volt az egész szakdogám, de elszállt a gépem, és minden odaveszett”. IT-biztonsági szempontból se árt, ha rendszeresen készítünk biztonsági másolatot a fontos fájljainkról vagy a gépünk teljes tartalmáról. A zsarolóvírusok például éppen arra mennek rá, hogy elérhetetlenné teszik a fájljainkat, hogy pénzt kérhessenek a feloldásukért, különben törölnek mindent. Ha viszont ezek a fájlok visszaállíthatók egy biztonsági mentésből, akkor se fizetni, se szentségelni nem kell.

A legegyszerűbb egy külső meghajtóra rendszeres biztonsági mentést végezni. Erre mindkét nagy operációs rendszerben van beépített megoldás: MacOS-ben a Time Machine, Windowson pedig a 10-es verzióban a Fájlelőzmények, a korábbiakban a biztonsági mentés és visszaállítás. Ha ezek nem szimpatikusak, más gyártók is kínálnak hasonló ingyenes megoldásokat, az egyik legkedveltebb az EaseUS Todo Backup Free.

A másik lehetőség a rendszeres mentést automatikusan elvégezni és a felhőben tárolni. Több cég is kínál ilyen fizetős szolgáltatást, a legnépszerűbbek a Backblaze és a Crashplan. Persze ha csak a legfontosabb fájlokat akarja biztonságban tudni, a Dropboxtól a OneDrive-on át a Google Drive-ig kismillió felhőtárhely közül lehet válogatni – illetve ezek biztonságosabb alternatíváiból, amelyekre később még kitérünk.

5. Végpontok közötti titkosítás

Titkosítást ma már szinte minden valamirevaló online szolgáltatás használ, de ez általában csak arra vonatkozik, hogy a mi eszközünktől a cég szerveréig titkosítják az adatainkat, illetve amíg a szerverükön pihen. Maguk a cégek viszont hozzáférnek a titkosítatlan adatokhoz is, hiszen a titkosítás kulcsa az ő kezükben van. Így tud például a Gmailben az emailek tartalmára rálátni a Google, a sztenderd Messenger-üzenetekre a Facebook és a OneDrive-ban tárolt fájlokra a Microsoft.

Ezzel szemben a végpontok közötti titkosítás a feladótól a címzettig titkosítva van, és kizárólag a két félnél van meg a dekódolásához szükséges kulcs. Így nemcsak a hekkerek nem tudnak menet közben belekukkantani a beszélgetések tartalmába, de maga a szolgáltató se tudna hozzáférni, még akkor se, ha akarna, vagy ha erre mondjuk egy kormány próbálná kötelezni.

Mutatunk néhány olyan szolgáltatást – csetelős appot, emailfiókot, felhőtárhelyet, jegyzetfüzetet –, amelyek ilyen végpontok közti titkosítással vigyáznak a szokottnál jobban az adatainkra, így alternatívát jelenthetnek azoknak, akiknek ez fontos. (Érdemes megjegyezni, hogy mivel ezek a szolgáltatók nem látják az adatainkat, a jelszavunkhoz se férnek hozzá, ezért nem tudnak jelszó-emlékeztetőt se küldeni. Ha elfelejtjük vagy elvesztjük a jelszavunkat, többé nem férünk hozzá a fiókunkhoz.)

6. Titkosított cset

A titkosított kommunikáció igen hasznos dolog – viszont legalább annyira körülményes is tud lenni, pláne, hogy nem elég csak nekünk (jól) használni, de annak is kell, akivel kommunikálni akarunk, úgyhogy a biztonság mellett a könnyű kezelhetőség is fontos.

Ma már jó pár ilyen csevegőapp érhető el, amelyeket pont olyan egyszerű használni, mint bármelyik népszerűbb társát. Általános vélemény, hogy az egyik legmegbízhatóbb ilyen app az ingyenes és nyílt forrású Signal, amely Androidra, iOS-re és asztali gépekre is letölthető. A növekvő népszerűségét jelzi, hogy nemcsak Hillary Clinton kampánystábja, de az amerikai szenátus is használja. (Na meg az Index is.)

Maga a használata rém egyszerű: telefonszám alapján lehet ismerősöket találni vagy felvenni, és már lehet is nekik szöveges üzenetet írni, illetve hanggal vagy videón hívni őket, egyénileg vagy csoportosan. A titkosítás automatikusan megy a háttérben, semmiféle technikai tudásra nincs hozzá szükség. Lehet megadott idő után megsemmisülő üzeneteket is küldeni. A szolgáltató csak a telefonszámokat tudja, se az üzenetek tartalmához, se a legtöbb metaadathoz (ki, honnan, mikor írt) nem fér hozzá.

Az elképesztően népszerű WhatsApp néhány éve szintén végpontok közötti titkosítással működik, ráadásul a Signal titkosítási protokollját használja. Biztonsági szempontból mégis kevésbé ajánlott, mert a könnyű használhatóság érdekében hoz néhány technológiai kompromisszumot, plusz a WhatsApp anyacége a Facebook, ami azért nem egy adatvédelmi életbiztosítás. Ezzel együtt is fontos győzelem az adatvédőknek, hogy a WhatsApp beállt a sorba, és a nagy tömegeknek ez a lehető legjobb választás, mert a mindennapokban elég erős védelmet nyújt, miközben kényelmes a használata, és rengetegen már amúgy is ezt használják.

A Magyarországon szintén nagyon népszerű Viber is pár éve tért át végpontok közötti titkosításra, bár ők saját megoldást használnak, ami az átláthatóság szempontjából kevésbé szerencsés. Érdemes tudni azt is, hogy mind a WhatsAppnál, mind a Vibernél bekapcsolható az üzenetek mentése a felhőbe – amint ezt bekapcsoljuk, onnantól az erős titkosítás már nem védi az üzeneteket. Az Apple saját iMessage appja is erősen titkosít, de alapbeállításként menti az üzeneteket az iCloudba – és ha ezt egy felhasználó kikapcsolja, az üzenetei még akkor is elérhetők lesznek a felhőben, ha a másik oldalon a címzett nem kapcsolja szintén ki.

Az utóbbi években annyira felívelt a titkosított csevegős trend, hogy már a Facebook és a Google se tudott kimaradni, így a Messenger és a Skype is tartalmaz a Signal protokolljára épülő titkos üzenetküldési lehetőséget – csak éppen extra funkcióként, nem alapértelmezetten, így ezek az appok nem igazán segítenek az extra titkosítás terjesztésében, mert csak azok a kevesek használják ki, akik egyáltalán tudnak róla, mi ez és mire jó.

Népszerű még a Telegram is, de egyrészt a titkosított üzenetek ott se alapértelmezettek, másrészt a szakértők azért szokták kevésbé ajánlani, mert kevesebbet tudni arról, pontosan hogyan titkosít, így biztonsági szempontból kevésbé megbízható.

A Signalhoz hasonlóan biztonságos és könnyen kezelhető, de annál kevésbé elterjedt, illetve az ingyenes változatában kicsit korlátozottabb csetszolgáltás még a Wickr Me és a Wire. Előnyük, hogy mindkettő használható mobilszám nélkül is. A Wickrrel csak önmegsemmisítő üzenetek küldhetők, akárcsak a republikánusok kedvencével, a Confide nevű appal. Gyakran ajánlott még a Threema, de teljesen ingyenes változata nincs, csak egyszer megvásárlós.

Aki a Slack és hasonló céges kommunikációs appok helyett keres erősebben titkosított megoldást, leginkább a Peerio vagy a Semaphor nevű appokat érdemes kipróbálnia, illetve két már említett app fizetős változatát, a Wickr Prót és a Wire Prót.

Nem árt észben tartani, hogy lehet bármilyen biztonságos egy-egy ilyen szolgáltatás, az ellen egyik se véd, ha valakinek bejárása van akár a feladó, akár a címzett készülékére, és szépen elolvassa az üzeneteket még a titkosítás előtt vagy a dekódolás után. (Ez ellen is lehet azért valamennyire védekezni, például Signalban beállítható, hogy csak PIN-kóddal/ujjlenyomattal lehessen megnyitni az appot.)

7. Titkosított email

Bár titkosított csetelős appok terén sokkal nagyobb a választék, az email továbbra is megkerülhetetlen, egyetlen csetszolgáltatás se tudja még teljesen kiváltani.

Az emailes titkosítás alapja az OpenPGP nevű titkosítási protokoll. Ezzel viszont van egy kis gond: az átlagos felhasználó számára elképesztően macerás és bonyolult. Hagyományosan bármilyen már meglévő emailfiókunkkal használható, de a titkosítást magunknak kell elvégezni külön programmal, ez általában a GPG, amiről magyarul is olvashatók hosszadalmas leírások. Vannak némileg kényelmesebb megoldások, például a Thunderbird levelezőprogramba telepíthető Enigmail vagy a böngésző-kiterjesztésként minden nagyobb webes emailszolgáltatóval használható Mailvelope (ennek a működését ebben a cikkben már bemutattuk). Mindez még mindig túl nehézkes ahhoz, hogy valódi, sokak által használható alternatívát jelentsen.

Az utóbbi pár évben viszont több olyan emailszolgáltatás is indult, amelyek próbálják megtalálni az egyensúlyt a biztonság és a használhatóság között. Nagyrészt ugyanúgy működnek, mint a népszerű emailszolgáltatások, csak éppen a háttérben végpontok közötti titkosítást használnak. A legismertebb és legelterjedtebb ilyen a Protonmail, amelyről korábban részletesen is írtunk, és amit az Index is használ. Két másik ígéretes alternatíva a Tutanota és a Mailfence. Mindháromnak van ingyenes változata is.

8. Titkosított tárhely, fájlküldés, jegyzetfüzet

A Dropbox-, Google Drive- és OneDrive-szerű felhőtárhely-szolgáltatásoknak is vannak olyan alternatívái, ahol végpontok közötti titkosítás mögött tárolhatjuk a fájljainkat, hogy biztosan csak mi férjünk hozzájuk. Az egyik legelismertebb ilyen megoldás egy magyar fejlesztés, a Tresorit, egy másik a Spideroak. Mindkettő ugyanúgy működik, mint a Dropbox és társai, csak éppen erősebb titkosítással. A Tresoritnak van egy korlátozott ingyenes változata is, csak azt jól eldugták: a fizetős csomagok próbaverziójára kell regisztrálni, és ha a próbaidőszak után nem fizetnénk elő, maradhatunk az ingyenes csomagban. Szintén erősen titkosított, és 15 gigabájt ingyenes tárhelyet is ad a Mega, amellyel az indulásakor kapcsolatban még sok volt az intő jel (például hogy a Megaupload nevű kalózoldal hírhedt alapítója, Kim Dotcom indította), de azóta rendeződött a helyzete, és minden jel szerint megbízhatóan működik.

A másik lehetőség, hogy továbbra is a jól megszokott tárhelyeket használjuk, csak éppen titkosítva rakjuk beléjük a fájlokat. Ezt automatizálja a Cryptomator és a Boxcryptor is: letöltés után ráépülnek a már amúgy is használt tárhelyprogramra, és titkosítják, amit rajtuk keresztül mentünk el oda. A Cryptomator teljesen ingyenes, a Boxcryptor egy szolgáltatóval ingyen használható.

Mutatunk néhány fájlküldőt is arra az esetre, ha nincs szüksége titkosított tárolásra, csak alkalmanként küldene valakinek egy-egy érzékenyebb fájlt. Ezek az ingyenes szolgáltatások úgy működnek, mint a Wetransfer vagy a Toldacuccot, csak a feltöltés előtt titkosítják a megosztásra szánt fájlt. Utána ugyanúgy kapunk egy megosztható linket, amelyet opcionálisan még jelszóval is védhetünk. A Firefox Senddel maximum 2,5 (Firefox-fiók nélkül 1) gigabájtos fájlok küldhetők, amelyek maximum 20 letöltésig vagy 24 órán át érhetők el, aztán automatikusan törlődnek. A Tresorit Sendnél ugyanez 5 gigabájt, illetve 10 letöltés vagy 7 nap.

A Boxcryptornak van egy Whisply nevű szolgáltatása, ez annyiban más, hogy itt a fájlok nem törlődnek maguktól, hanem megmaradnak azon a tárhelyen (a Dropboxban, a Google Drive-ban vagy a OneDrive-ban), ahová titkosítva feltöltjük őket. A korlát itt is 1 gigabájt.

Akinek mindez még mindig nem elég anonim és biztonságos, megoszthatja a fájljait az OnionShare nevű programmal. Ez a Tor hálózatot használja (a Torról később még lesz szó), de a kezelése rendkívül könnyű: egyszerűen belehúzzuk, amit meg akarunk osztani, és ad egy linket. Magát a fájlt viszont nem tölti fel sehova, az közvetlenül a gépünkről tölthető le a Tor böngészőn keresztül, ezért csak addig érhető el, amíg fut a gép és rajta a program.

Az üzenetek és a fájlok mellett a jegyzetek lehetnek még annyira fontosak, hogy érdemes lehessen titkosított szolgáltatást használni hozzájuk. Persze egy komplett Evernote-ot vagy OneNote-ot nem nagyon tudunk így kiváltani, de ha nincs szükségünk ilyen komplex programra, azért van hova fordulni. A Standard Notes egy alapvetően ingyenes, sok funkciót tudó és minden platformra elérhető titkosított jegyzetfüzet. A ProtectedText jóval minimalistább, cserébe végtelenül egyszerűen használható weben és Androidon.

9. Böngészők, keresők

Netezés közben sok nyomot hagyunk, szabad szemmel láthatatlan trackerek követnek minket mindenhová, és a böngészőnk, gépünk viselkedése alapján az egyedi digitális ujjlenyomatunk is könnyen azonosítható. Hogy milyen sok mindent árul el rólunk a böngészőnk, bárki tesztelheti a Panopticlick vagy az Am I Unique? oldalán.

A hagyományos böngészők nem igazán védenek minket az ilyen nyomkövetéstől, ez ellen az inkognitó vagy a privát mód se és sokat. A Firefox egyre komolyabban beleáll az adatvédelembe, például a trackerek blokkolásával, de igazán erős védelmet még ez sem jelent.

Sok olyan alternatív böngésző van, amelyek kifejezetten a magánszféra védelmére szakosodnak. A két legismertebb a Brave és az Epic. Alapvetően mindkettő ugyanazt csinálja: trackereket blokkolnak, automatikusan az oldalak titkosított változatát töltik be, és tiltanak mindent, ami egy hagyományos böngészőben kockázatos. A Brave közelebb áll egy sztenderd böngészőhöz, míg az Epic szigorúbb, mert további extra funkciókkal védi a magánszférát, például semmilyen előzményt vagy jelszót soha nem jegyez meg, cserébe van benne beépített VPN. Mindkettővel érezhetően gyorsabb a böngészés. Aki ennél is nagyobb anonimitást szeretne, a Tor böngészőhöz fordulhat, ami viszont jóval lassabb. De erre később még visszatérünk.

Mindannyian naponta többször használjuk a Google-t vagy más keresőket, és közben általában bele se gondolunk, mennyi mindent árul el rólunk, amire rákeresünk. A Google-nél helyettünk is belegondolnak, hiszen abból élnek, hogy minél alaposabban megismerjenek minket a pontosabb hirdetéscélzáshoz. Ezért jöttek létre azok a keresők, amelyek nem követnek minket és nem tárolják a keresési előzményeinket – és pláne nem használják fel azokat hirdetésekhez. Mivel nem szabják személyre a kereséseinket, kisebb eséllyel alakul ki körülöttünk torzító véleménybuborék is. A legelterjedtebb ilyen alternatív kereső a DuckDuckGo, ami saját keresőmotort működtet. Egy másik ismert név a Startpage, ami a Google keresőjét használja, csak éppen anonimizálva, így a pontos keresési találatok és a magánszféránk is megmaradnak.

10. VPN

A virtuális magánhálózatok, azaz VPN-ek extra védőrétegként egy titkosított alagutat hoznak létre a gépünk és a saját szerverük között, így a nyílt internetet nem közvetlenül, hanem a VPN-szerveren keresztül érjük el. Ez egyrészt védi az adatforgalmunkat, másrészt eldugja a kíváncsiskodók (és a saját netszolgáltatónk) elől, mit csinálunk a neten és hol tartózkodunk valójában. Így nemcsak biztonságosabban netezhetünk, de a legtöbb földrajzi tartalomkorlátozást is ki tudjuk kerülni. Jól jön reptéren, hotelben, kávézóban vagy más nyilvános wifi használatakor is, amikor nem tudjuk, kik vannak még rajtunk kívül ugyanazon a hálózaton, ezért nem árt óvatosan kapcsolódni.

A VPN-ek hátránya egyrészt, hogy az ingyenes változatok lassabbak és gyakran csak korlátozott adatforgalmat adnak. Másrészt érdemes jól megnézni, melyik szolgáltatóban bízunk meg, mert az láthatja a valódi adatforgalmunkat és tartózkodási helyünket. Nagyon sok VPN semmit nem ér vagy inkább problémát jelent, mint megoldást, mert valójában nem is titkosít, de legalább begyűjti és eladja az adatainkat.

Konkrét VPN-t röviden szinte lehetetlen ajánlani, mert annyi van, mint égen a csillag, és ezerféle szempont szerint lehet értékelni őket. A neten rengeteg összehasonlítós teszt alapján lehet válogatni (néhány példa: 1, 2, 3, 4, 5, 6, 7). Általánosan elmondható, hogy amit sok megbízható oldalon ajánlanak, azzal nagyon nem lehet mellélőni, de mindig érdemes utánanézni a sebesség-ár tengelyen túl annak is, hogy a szolgáltató naplózza-e a tevékenységünket, megtartja-e a böngészési adatainkat és hasonlók.

VPN-ből nagy átlagban a fizetősek közül érdemes válogatni, de akit a lassúság nem zavar, mert nem pont a reptéren akar netflixezni, annak például a Protonmail fejlesztői által kínált ProtonVPN ingyenes változata is elég lehet, mert adatvédelmi szempontból megbízható, és csak a sebességet korlátozza, az adatforgalmat nem.

PRO SZINT

1. Tor

A Tor hasonló előnyöket kínál, mint egy VPN, de más elven működik, és az elsődleges célja az anonimitás biztosítása. A lényege, hogy eldugja, vagy legalábbis extrém nehezen követhetővé teszi az adatforgalmat: ahelyett, hogy közvetlenül a felhasználó gépe és a felkeresett weboldal között jönne létre kapcsolat, a Tor több köztes állomást iktat be a világ különböző pontjain, és mindegyik csak a közvetlenül előtte és utána következő állomást látja. Ez maga a Tor hálózat, a hálózaton való navigálást pedig a Tor böngésző teszi lehetővé.

A Tor böngésző használata egyszerű, viszont lassabb, mint egy átlagos böngészőben netezni, úgyhogy nincs értelme mindenre ezt használni. Sok esetben viszont jól jöhet: például ha nyilvános wifit kell használnia; ha cenzúrát vagy földrajzi korlátozást akar megkerülni; vagy ha bármilyen más okból jobbnak látja elrejteni a személyazonosságát. (Plusz a hagyományos oldalak mellett a Tor böngészővel érhetők el a sötét web máshogyan láthatatlan oldalai is.)

Az átlagfelhasználónak egyszerűbb és kényelmesebb VPN-t használni, de a Torral szemben az nem feltétlenül ingyenes és egy fokkal kevésbé anonim. Persze a Tor sem sebezhetetlen, de körültekintően használva nagy fokú anonimitást nyújt. Itt egy szemléletes interaktív ábra arról, hogy ki mit láthat a tevékenységünkből, ha teljesen védtelenül, illetve https-kapcsolaton és/vagy Toron keresztül netezünk.

A Tor mobilon is használható: Androidon az Orbottal érhető el a hálózat és az Orfoxszal lehet böngészni (de már készül az önmagában is használható mobilos Tor böngésző); iOS-en pedig az Onion Browsert kell letölteni. Bár a Tor hálózatot elsősorban a böngészőről ismerhetjük, sok más program is használja ugyanezt, például a Ricochet nevű anonim és decentralizált csetszolgáltatás vagy a már említett OnionShare fájlmegosztó.

2. A teljes lemez titkosítása

Ha fontos fájlokkal dolgozik vagy érzékeny adatokat akar biztonságban tudni, jól jöhet, ha titkosítással védi őket. Ha csak egy-egy fájlt szeretne titkosítani, erre jó pár program alkalmas, például az AES Crypt vagy az emailek kapcsán már emlegetett GPG. De van lehetőség arra is, hogy a gépe teljes tartalmát titkosítsa. A fiókja egyszerű jelszavas védelme első ránézésre elégnek tűnhet, de ez valójában egyáltalán nem megkerülhetetlen. Ha viszont a teljes lemez titkosítva van, a jelszó nélkül senki sem fog tudni hozzáférni a tartalmához.

Az iPhone-okon már jó pár éve alapbeállítás a teljes telefon titkosítása: ha számkód van rajta, már titkosítva van. Androidon is egyre inkább általános a titkosítás, sőt ahol elérhető, ott már alapból be is van kapcsolva, de mint majdnem minden, ez is gyártófüggő. (A titkosítást általában a beállítások Biztonság menüpontja alatt lehet megtalálni.) A Chromebookokon futó, szintén a Google által fejlesztett ChromeOS is alapból titkosít mindent, és a legtöbb Linux-disztribúcióban is elérhető ez a funkció. Macen a rendszerbe épített FileVault nevű opcióval lehet a lemezt titkosítani.

Windowson kicsit bonyolultabb a helyzet. Alapvetően a Microsoft saját megoldása, a Bitlocker használható erre a célra, de ez nem minden Windows-verzióra érhető el. Itt egy táblázat arról, hogy melyikben igen, melyikben nem. Ha önnek erre alkalmas Windows 10-e van, itt egy magyar útmutató a titkosítás bekapcsolásához. A korábbi verziókhoz pedig itt egy angol nyelvű leírás. (Alapbeállításként a titkosítás kulcsát a Microsoft őrzi, akit ez zavar, át tudja állítani.)

Akinél nem elérhető a kincstári titkosítás vagy jobban bízik külső megoldásban, a VeraCrypthez fordulhat, amely többek között a teljes lemez titkosítására is használható. Ez a gyakorlatban úgy néz ki, hogy miután beállítottuk, a program mindent titkosít, és minden alkalommal, amikor bekapcsoljuk a gépet, még a Windows betöltése – és az esetleges Windows-jelszó bekérése – előtt meg kell adnunk a titkosítás feloldásához szükséges jelszót.

3. Biztonságos törlés

Azt hihetnénk, hogy ha a gépünkről törlünk valamit, az azonnal eltűnik, és onnantól a jóisten se teremti elő többé. A valóság ezzel szemben az, hogy a “törölt” fájlok valójában fizikailag még akkor se törlődnek a gép tárhelyéről, ha minden felhasználói hatalmunkat latba vetve még a Lomtárat is kiürítjük, ahová első körben kidobtuk őket. Valójában a törlésre ítélt fájlokat a rendszer csak fölöslegesként jelöli meg, a helyet pedig, ahol a merevlemezen fizikailag találhatók, újra felhasználhatónak.

A végső megsemmisítéshez arra van szükség, hogy a rendszer a törölt fájl helyére új információt írjon. Amíg ez nem történik meg, addig erre szakosodott programokkal – például a korábban általunk is bemutatott Recuvával – még jó eséllyel visszaállíthatók a törölt fájlok. Ezért ha valóban véglegesen el akarunk tüntetni valamit a gépünkről, szükségünk lesz egy olyan eszközre, amely felül tudja írni az adott fájl hűlt helyét.

A Windowsban van egy Cipher nevű beépített megoldás erre, de ez nem túl felhasználóbarát, mert nincs grafikus felülete, csak parancssorból érhető el. A legjobb külső megoldás az Eraser nevű ingyenes program, amellyel megadhatjuk, hogy melyik fájlt vagy mappát akarjuk végképp eltörölni, illetve hol akarjuk felülírni az “üres” helyet. Gyakran ajánlott megoldás még a Bleachbit, a Killdisk, illetve a CCleaner nevű népszerű rendszeroptimalizációs programmal is kitakarítható egy adott meghajtó üres helye. Utóbbi kettő MacOS-en is használható.

Mindez viszont csak a hagyományos merevlemezekre vonatkozik, a manapság egyre elterjedtebb SSD-kre nem, ezek ugyanis más elven működnek, ezért nincs biztos módszer a biztonságos törlésükre. Jó hír viszont, hogy bár az SSD-ről törölt fájlokat se lehetetlen visszaállítani, de nehezebb, mint a merevlemezek esetében.

A másik jó hír, hogy van egy áthidaló megoldás – a cikkünk eggyel fentebbi pontja: ha a teljes meghajtót titkosítjuk, a titkosítási kulcs nélkül úgyis csak értelmetlen titkosított maradványokat lehetne visszanyerni a törölt fájlokból, így az egész kérdéssel nem is kell külön foglalkozni.

4. Alternatív operációs rendszerek

Akinek igazán fontos az anonimitás és az adatai védelme, az egyes programok lecserélgetése helyett rögtön az egész operációs rendszerét leválthatja. Ez persze még több kompromisszummal jár, és némi extra technológiai háttértudás se árt hozzá.

Általánosságban mindkét nagy rendszernél, a Windowsnál és a MacOS-nél is magánszférapártibbnak szokás tekinteni a Linuxot, azon belül is bizonyos disztribúciókat, például a Debiant. De vannak olyan operációs rendszerek is, amelyeket kifejezetten a biztonságra és az adatvédelemre hegyeztek ki a fejlesztői. Ezekből mutatunk be röviden hármat.

A Whonix annyiban felhasználóbarát, hogy nem kell hozzá kilépnünk a megszokott operációs rendszerünkből sem, mert azon belül, a Virtualbox nevű virtuális gépen futtatható. Az egész rendszer a Tor hálózaton fut, minden tevékenység ezen keresztül történik. A Whonix duplafenekű: két virtuális gépet kell egyszerre működtetni. Az egyik a “kapu”, amely magát a kapcsolatot létrehozza a Tor hálózaton. A másik a “munkaállomás”, ahol a tényleges munka folyik. A Whonix a munkaállomás teljes forgalmát a kapun passzírozza át, így minden tevékenységet elhatárol a külvilágtól, és kiszűri a leggyakoribb veszélyek nagy részét.

A Tails egy külső adathordozóról futtatható operációs rendszer, és a lényege, hogy extrém feledékeny: semmilyen nyomot nem hagy a gépen, hozzá se nyúl a tárhelyhez, mindent csak a RAM-ban, ideiglenesen tárol, majd a leállása után minden automatikusan törlődik. Elindítjuk cd-ről vagy pendrive-ról, elvégezzük rajta a dolgunkat, kilépünk, és olyan, mintha ott se lettünk volna. Az egész rendszer a Tor hálózaton fut.

A Qubes alapötlete, hogy a különféle típusú feladatok mind külön-külön virtuális gépen futnak, hogy jól el legyenek különítve egymástól. Így ha bármelyik kompromittálódik, a többi nem kerül veszélybe. Minden egyes emailcsatolmány külön eldobható fakkban nyílik meg, hogy ha megfertőzi a rendszert, semmi máshoz ne férjen hozzá; a pendrive-ok ugyanígy elszeparált környezetben csatlakoztathatók; más-más környezetben nyitható meg a netbankunk a nem biztonságosnak ítélt weboldalaktól; és így tovább. Mindezt viszont a Qubes mégis egy patchworkszerű rendszerbe foglalja össze és egységes felületen jeleníti meg. (És már tényleg csak az igazán ínyenceknek: a Whonix virtuális gépei is futtathatók a Qubes egy virtuális gépén.)

Digitális védőoltás

A kiberbiztonság olyan, mint a védőoltás: általában csak a nyűg van vele, de ha elmulasztjuk, és beüt egy fertőzés, hirtelen fájóan érezzük a hiányát.

Ha elég sokan oltatják be magukat, nyájimmunitás alakul ki, azaz olyanok is védetté válnak, akik nem szöszöltek holmi oltogatással, mert nincs kitől elkapniuk a fertőzést. Hasonlóképp, ha minél többek figyelnek a biztonságos netezésre és az adatvédelemre, az a kiberbiztonság általános szintjére is jótékony hatással lehet.

Ezért mindenki hozzon magával még egy embert: a titkosított cset vagy email akkor használható a mindennapokban, ha azok is használják, akikkel kommunikálni szeretnénk; a Tor biztonságosabb, ha többen használják, mert könnyebb elbújni a tömegben, mint ha egy tök üres téren kellene észrevétlenül átosonni; ha minél többen veszik a fáradságot a routerük gyári jelszavának megváltoztatására, attól nemcsak a sebezhető wifihálózatok száma lesz alacsonyabb, de a milliókat érintő támadásokhoz használt botnetekbe is nehezebb lesz zombigépeket toborozni. Minél többen netezünk egy kis odafigyeléssel, mindenkinek annál jobb lesz.

További felhasznált források

  • https://motherboard.vice.com/en_us/article/d3devm/motherboard-guide-to-not-getting-hacked-online-safety-guide
  • https://rorypecktrust.org/resources/Digital-Security-Guide
  • https://heimdalsecurity.com/blog/ultimate-guide-secure-online-browsing/
  • https://www.bestvpn.com/guides/the-ultimate-privacy-guide/
  • https://securityplanner.org/
  • https://securityinabox.org/
  • https://ssd.eff.org
  • https://thatoneprivacysite.net/
  • https://www.privacytools.io

(Címlap és borítókép illusztráció: szarvas / Index)

Ötlete, vagy kérdése van?