Jak fizycznie zabezpieczyć swoje dane cyfrowe?

[Epicki]

8.1
Osobno profil admina, osobno mój.
Przeglądarka to Mozilla.

[BowHunter]

Ja jeśli z Windowsa to korzystam z 7-emki - nie ma zintegrowanego sklepu, więc system nie przeszukuje mi katalogów w poszukiwaniu zainstalowanych programów. Na MacOS też ściągam programy w wersji DMG, nie instaluję tych ze sklepu. Mozilla jest oparta o silnik Gecko z tego co pamiętam, więc jest w miarę bezpieczna. No ale... - i tutaj rozbijamy się o kwestię dodatków - rozszerzeń. Takie rozszerzenia jak "Facebook Container", czy "Privacy Badger" są otwartoźródłowe i ogólnodostępne na giuthubie. To znaczy, że przed instalacją możesz przejrzeć ich kod i sprawdzić czy nie mają zaimplementowanych mechanizmów śledzących. Jednakże są takie rozszerzenia jak np "DownloadHelper", gdzie na stronie producenta brak jakichkolwiek informacji gdzie można by przejrzeć skrypt. Kiedy już się doszukamy go na GitHubie, to okazuje się że wersja, którą możemy zainstalować w przeglądarce nie zgadza się z tą z kodu źródłowego. Z drugiej strony nie posiadanie żadnego rozszerzenia, które byłoby zdolne do blokowania algorytmów śledzących też jest błędem. Zatem należy dokładnie sprawdzać co instalujemy i jaka jest tego historia.

downloadhelper.jpg

Czy można szpiegować komputer, który nie jest podłączony do sieci? Oczywiście tak. Urządzenie, które jest odizolowane od wifi, bluetooth, sieci lokalnej może być nadal szpiegowane innymi metodami np. poprzez zainfekowanie go złośliwym oprogramowaniem poprzez podłączenie dysku USB, telefonu z androidem, lub innych nośników wymiennych, czy nawet samego dysku twardego.

To nie jest tylko teoria, ponieważ NSA (National Security Agency – amerykańska wewnętrzna agencja wywiadowcza) była znana z umieszczania swoich kodów wykonywalnych w oprogramowaniu dysków twardych. Założę się, że nadal to robią. Znani są także z zaatakowania elektrowni atomowej w Iranie, wirusem Stuxnet (FYI - te komputery były odizolowane od internetu i zostały zainfekowane, poprzez dyski przenośne). Co prawda choć oficjalnie nie powiązano NSA z tym, to w styczniu 2011 pojawiły się informacje o opracowaniu wirusa przez specjalistów izraelskich i amerykańskich, co w czerwcu 2012 roku potwierdzili współpracownicy Obamy, ujawniając wiele bardziej szczegółowych danych.

Szpiegostwo nie zawsze wymaga aktualizacji na żywo tego, co robisz w swoim urządzeniu. Złośliwe programy mogą rejestrować każdy wymagany szczegół, a następnie skompilować go i wysłać, gdy jesteś online, nawet jeśli tylko rzadko, lub korzystając z zewnętrznego urządzenia jak telefon z Androidem, lub inny komputer jeśli będziesz przenosił dane między nimi. Nie robiąc tego, Twój komputer stanie się jedynie maszyną do pisania, pod warunkiem, że podłączysz do niego drukarkę jeszcze.

[mar_kow]

Generalnie na każdym kompie moim czy żony oprócz szyfrowania wrażliwych danych VeraCryptem jest zainstalowany ESET Internet Security w płatnej wersji. W zasadzie to wystarczy do ogólnego zastosowania. Oczywiście ta sama opcja jest na telefonach w wersji mobilnej,,,
W powyższej konfiguracji wszystko funkcjonuje od lat i się nic nie dzieje...

[BowHunter]

I nie będzie się działo. Jesteśmy po prostu zbyt małymi trybikami w całym tym wielkim mechanizmie, aby ktoś zwracał na Nas uwagę. Inaczej byłoby gdyby ktoś z Nas był pracownikiem ambasady, czy rządu (chociaż wróć, Nasz rząd i tak ma wy&%@$ane na to czy udostępnia tajemnice państwowe, czy nie.). Prosty przykład ambasady Ekwadoru w Londynie, w której ukrywał się Julian Assange, gdzie robotowi sprzątającemu udało się być genialnym podsłuchem. Wykorzystano przy tym funkcję LIDAR'a, czyli lasera w robocie sprzątającym odpowiedzialnego za mapowanie pomieszczeń, by omijać stałe przeszkody i dokładnie sprzątać. Wychwytywał On drgania powodowane przez dźwięki odbite od szyb i w ten sposób z dużą dokładnością wysyłał odczytane tak cyfry i litery, które na końcu układane były w całe słowa i zdania. W takich robotach systemem operacyjnym jest linux, więc nie ma większego problemu by dodać mu kilka skryptów. W dodatku najczęściej łączy się On z siecią WiFi w domu, a więc w świat lecą zdjęcia, dane, hasła i etc.

Wracając do komputera, ja najczęściej korzystam z MacOS, z Win kiedy pracuję z grafiką, gdyż to na ten system mam kupionego Photoshopa CS6 i MS Office 2007. Nie zamierzam zmieniać systemu tylko dlatego, że ktoś ma takie widzimisię, skoro ten wciąż dobrze działa. Linux pełni u m nie funkcję sandboxa i to wszystko.

Zabezpieczony VeraCryptem mam tylko dyski ze zdjęciami i kopiami dokumentów (uprawnienia, wykształcenie, etc). Bez klucza, tj pamięci USB z oprogramowaniem system nie widzi dysku, a jeśli już mu go wskażę, to domaga się jego sformatowania.

[Epicki]

Dzięki za podpowiedzi.
Zacznę od zamówienia dysku, potem na segregację folderów i plików na pc. I albo WR albo wera c .

[BowHunter]

W wątku Lusterko / bieda heliograf, został opisany przykład wykorzystania elementu starego, mechanicznego dysku twardego jako lusterka. Jednakże czy aby na pewno ten dysk był już nie do uratowania? Talerzowe, mechaniczne dyski twarde (HDD), w przeciwieństwie do dysków półprzewodnikowych, zbudowanych w oparciu o pamięć flash (SSD), zapisują dane na talerzach właśnie, wykonanych najczęściej z warstwy szkła pokrytej cienką warstwą wypolerowanego metalu, z nośnikiem magnetycznym o grubości kilku mikrometrów. Odczyt i zapis danych następuje przy pomocy głowic elektromagnetycznych. Jeżeli dysk HDD nie uruchamia się (nie podnosi, lub przerywa podczas odczytu), możemy wymienić w nim płytę PCB. Ważne jest aby numer PCB, który jest zapisany bezpośrednio na płytce był taki sam. Oczywiście gra jest warta świeczki tylko kiedy dane były naprawdę ważne. Wiąże się ona ze znalezieniem tego samego modelu dysku. Sam kod modelu znajdziemy najczęściej pod numerem seryjnym. W dyskach Seagate zaczyna się od liter ST. Sam firmware także jest istotny, ale nie najważniejszy. Jeśli ten będzie nowszy, lub starszy niż z zepsutego dysku, trzeba będzie przelutować kostkę z BIOSem. Tak złożony dysk powinien ponownie ruszyć i jeśli dane na talerzach nie są uszkodzone, to jak najbardziej wszystko będzie OK. Warto po takiej operacji zgrać sobie wszystko na nowy dysk, a stary dla świętego spokoju wyzerować. Zerowanie dysku polega na tym, aby każdy sektor dysku twardego został nadpisany samymi zerami (wartość nadpisujemy wielokrotnie inna wartością, aby nie dopuścić do jej odczytania). Proces ten nie niszczy dysku, a daje niemalże 99,9% pewności, że żaden szary człowiek nie odzyska tych danych. Zerowanie można wykonać dowolnym narzędziem, które faktycznie wyzeruje sektory. Wszystkie dostępne na rynku narzędzia działają na tej samej zasadzie, więc nie będę tutaj wypisywał czego ja używam, bo już 35-ciokrotne nadpisanie jest wystarczające.

seagate_hdd.jpg

[tadeck]

Ja chciałbym jeszcze do tego (super wartościowego!) wątku dodać, że trzeba rozważyć przypadek utraty danych: klucza szyfrującego, dysku, uszkodzenia dysku, zapomnienia hasła, utraty dostępu do dysku.

Miałem kiedyś dawno temu taką sytuację, że straciłem dostęp do numeru, na który przychodziły mi hasła jednorazowe, a nie miałem żadnego zapasowego 2FA. (Fakt, że hasła sms nie są uważane za najlepsze wyjście teraz.)

Wychodzę teraz z założenia, że powinienem zrobić wiele kopii, umieścić je w miejscach dostępnych dla mnie, zaszyfrowane hasłem dla mnie oczywistym i dobrze zapamiętanym, sprawdzane co jakiś czas, ze sprzętem modernizowanym z czasem (stare kopie mogą być trzymane z nowymi, jeśli to nie problem, zawsze to będzie dodatkowa opcja awaryjna).

Pamiętajcie, że mogą się wydarzyć różne małe rzeczy (utrata telefonu, utrata dowodu osobistego i w związku z tym brak możliwości wystawienia nowej karty SIM, pożar mieszkania, utrata kluczy do biura, kradzież / znalezienie przez kogoś backupu, zalanie kartki z hasłami) i głupio by było stracić dostęp do rzeczy, na przygotowanie której tak dużo czasu poświęciliśmy...

[Buła]

Z tymi kopiami to nie tak łatwo. Samych potrzebnych rzeczy mam tyle że zajmuje mi to (z Raid-em) ponad 30TB. Nie ma wygodnej i niedrogiej metody backupu takiej ilości danych. Drobiazgi można ponagrywać na M-Disc (i przynajmniej czas przechowania będzie sensowny) ale większe rzeczy to kicha. Raidu używam 5-tki licząc że zawczasu wyłapię nadciągającą usterkę i nie padną mi dyski równocześnie.

Ja to realizuję tak (w każdej wersji dane są szyfrowane):
Level 0 - strategiczne: dokumenty podpisane cyfrowo, poświadczone itd, bazy FK, cold wallet, kopia planów awaryjnych, wikipedia, podstawowe książki (jakieś 30k szt.). Rozproszone nośniki od pendrive aż do M-Disk. Aktualizacja fizyczna raz na kwartał (te dane mam też w analogu podrukowane, oryginały lub poświadczone kopie)
Level 1 - ważne: zdjęcia, dokumenty, starocie, projekty prytwatne. Serwer lokalny z Raid5 plus kopia na M-Disk. Aktualizacja raz na kwartał lub pół roku.
Level 2 - średnio ważne: pliki firmowe, kod źródłowy, aplikacje mojego autorstwa. Serwer lokalny. Serwer lokalny plus chmura. Aktualizacja raz na miesiąc online i raz na rok offline.
Level 3 - ważne: maszyny wirtualne, filmy, muzyka. Serwer lokalny. Brak kopii dodatkowej z powodu kosztów I to mnie boli, bo niby jest RAID ale to tylko półśrodek.

Tak na dziś to dodatkowe 0,1-0,2PB pojemności dałoby mi oddech, ostatecznie znam tylko kilka osób chomikujących co tylko potrzebne z internetu w obawie przed jego długotrwałą niedostępnością. A ja chce zachować wiele. Najgorsza objętościowo jest muzyka i filmy. A że preferuję FLAC i 4K....

Obecnie będę budował nowy storage, stary przejmie częściowo rolę backupu, tylko zdegraduję go do osobnych dysków zamiast RAID5 (jak jeden padnie to do ponownego backupu będzie tylko 8TB danych , początkowo lokalnie a potem wyprowadzi się to do innej lokalizacji.
Zostały mi jakieś kontrolery 16 czy tam 24 portowe i nawet myślałem o starych dyskach z demobilu, ale nie da się tak osiągnąć sensownej pojemności. Stare półki dyskowe byłyby juz lepszym rozwiązaniem ale wyjdzie mi wielka szafa rack i kW mocy. Próbowałem też starych bibliotek taśmowych ale ich ceny względem maksymalnej pojemności i czasu zapisu nie są zachęcające. Zostają więc dyski, przynajmniej chcąc to mieć w domu.

[tadeck]

Ja to realizuję tak (w każdej wersji dane są szyfrowane):
Level 0 - strategiczne: dokumenty podpisane cyfrowo, poświadczone itd, bazy FK, cold wallet, kopia planów awaryjnych, wikipedia, podstawowe książki (jakieś 30k szt.). Rozproszone nośniki od pendrive aż do M-Disk. Aktualizacja fizyczna raz na kwartał (te dane mam też w analogu podrukowane, oryginały lub poświadczone kopie)
Level 1 - ważne: zdjęcia, dokumenty, starocie, projekty prytwatne. Serwer lokalny z Raid5 plus kopia na M-Disk. Aktualizacja raz na kwartał lub pół roku.
Level 2 - średnio ważne: pliki firmowe, kod źródłowy, aplikacje mojego autorstwa. Serwer lokalny. Serwer lokalny plus chmura. Aktualizacja raz na miesiąc online i raz na rok offline.
Level 3 - ważne: maszyny wirtualne, filmy, muzyka. Serwer lokalny. Brak kopii dodatkowej z powodu kosztów I to mnie boli, bo niby jest RAID ale to tylko półśrodek.

A na co się przygotowujesz? Ja tylko na wypadek utraty danych prywatnych, Ty chyba trochę bardziej jednak na upadek cywilizacji - wiele z tych danych jak rozumiem można odzyskać skądś przy założeniu, że cywilizacja nie padnie.

U mnie znaczenie mają tylko dane krytyczne: dokumenty, skany, parę bardzo prywatnych rzeczy, baza haseł, część zdjęć.

Nie przechowuję kopii Wikipedii, nie dbam o backupy mojej kolekcji filmów, kod źródłowy nawet wykonanych przeze mnie w przeszłości aplikacji, tym bardziej też maszyny wirtualne.

Już mi się w przeszłości zdarzyło stracić dane (dysk bez sprawdzonego backupu) i wiem, co jest dla mnie ważne, a co kompletnie zbyteczne i do czego nigdy bym nie wracał nawet mając tego kopię. Także nie backup całego mojego życia, a raczej tylko rzeczy zabezpieczające mnie, rodzinę, mienie, wspomnienia (zdjęcia rodzinne).

[Buła]

A na co się przygotowujesz? Ja tylko na wypadek utraty danych prywatnych, Ty chyba trochę bardziej jednak na upadek cywilizacji - wiele z tych danych jak rozumiem można odzyskać skądś przy założeniu, że cywilizacja nie padnie.

Nie trzeba zaraz SHTF, ostatnie lata pokazały że starczy blackout, pandemia i praca zdalna (i juz streaming jedzie po low-resie) że o czymś więcej nie wspomnę. Dane mają to do siebie że lubią znikać z sieci, a to platforma streamingowa coś wycofa itp.
Wydarzenia na Ukrainie pokazują że możliwe są miesiące bez internetu jak ma się pecha co do obszaru.