Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Začínáme s
Je to bezpečné?
28. dubna 2006, 00.00 | Podíváme se v něm blíže na zabezpečení objektů, jež nabízí Mac OS X; ochranu dat jak na úrovni BSD, tak i prostřednictvím ACL; základní principy symetrických a asymetrických šifer; práci s klíčenkami a jejich obsahem; šifrování a podepisování zpráv pomocí certifikátů S/MIME; šifrování citlivých dat pomocí kódování AES; šifrování a podepisování zpráv prostřednictvím otevřeného standardu PGP... a – podle možností a zájmu – i na řadu dalších věcí.
Vzpomínkou na skvělého Laurence Oliviera s neméně skvělým Dustinem Hoffmanem uvádíme nový seriálek, věnovaný bezpečnosti Mac OS X. Podíváme se v něm blíže na
- zabezpečení objektů, jež nabízí Mac OS X;
- ochranu dat jak na úrovni BSD, tak i prostřednictvím ACL;
- základní principy symetrických a asymetrických šifer;
- práci s klíčenkami a jejich obsahem;
- šifrování a podepisování zpráv pomocí certifikátů S/MIME;
- šifrování citlivých dat pomocí kódování AES;
- šifrování a podepisování zpráv prostřednictvím otevřeného standardu PGP;
a – podle možností a zájmu – i na řadu dalších věcí, jež při práci s Macem souvisejí s bezpečností, soukromím, anonymitou a ostatními nesmírně důležitými ctnostmi, o něž by nás Velký Bratr tak rád připravil.
Články budou zaměřeny spíše uživatelsky; nebudeme se samozřejmě vyhýbat ani vysvětlení toho, jak a proč věci fungují, avšak nezabředneme do vyšší matematiky – tak, aby texty zůstaly srozumitelné pro kohokoli. Vedle ryze technických věcí se ovšem nezřídka budeme zabývat i rozumným a nerozumným chováním; vysvětlíme si tedy kupříkladu, proč vůbec není dobrý nápad pořídit si AirPort Base Station, zkonfigurovat ji bez hesel a bez omezení, a pak aktivovat konto "root" s heslem "root". Dokonce se okrajově zmíníme i o malware; počítačové viry se nás celkem vzato netýkají (a pokud svůj počítač spravujeme rozumně, ani nebudou); s rozšiřováním Mac OS X se však může objevit kupříkladu specializovaný spyware, a na ten bychom si již měli možná dávat trošku pozor...
Co to ten člověk povídá?
Cože? Malware, spyware, AES, S/MIME, jděte mi s tím k šípku, taková slova neznám.... inu, jistě, zatím. Právě proto spouštíme tento seriál: abychom si všechny potřebné pojmy vysvětlili – a hlavně abychom se naučili, které z nich jsou opravdu nezajímavé a nedůležité a můžeme nad nimi mávnout rukou, které z nich nás nemusí zatím zajímat – a naopak, které z nich by nás měly zajímat, přinejmenším pokud vlastním datům (a vlastnímu soukromí) přikládáme nějaký význam.
Rozhodně se v tomto i v následujících článcích pokusíme vše vysvětlit podrobně a srozumitelnou formou; nepředpokládáme žádné výchozí znalosti, vyjma základních vědomostí o tom, jak fungují počítače obecně a Mac OS X zvláště.
Já nic špatného nedělám, já nic takového nepotřebuji
Nepřekvapí, pokud snad v zemi, jejíž policejní ředitel Jiří Kolář si dovolí veřejně pronést takovou donebevolající pitomost jako "Já vedu rozhovory a ať si je každý odposlouchává, jak chce. Když si je člověk jistý, že nic nespáchal, může mu to být jedno", patrně řadě lidí vytane námitka v nadpisu tohoto odstavce.
Inu, není tomu tak, z mnoha přemnoha dobrých důvodů; jen tak namátkou – jen co úzce souvisí s počítačem:
- píšete třeba knihy, programy, články? Není-li systém chráněn, kdokoli může vaši nejnovější knihu či aplikaci získat a vydat před vámi pod svým vlastním jménem;
- užíváte internetového bankovnictví? Není-li systém chráněn, může kdokoli dělat s vaším účtem co se mu zamane;
- používáte iCal? A zapisujete si do něj, kdy kam jedete? Není-li systém chráněn, zloději vám poděkují, že vědí předem, kdy bude váš byt prázdný;
- snad vůbec nikoho by nenapadlo mít v nechráněném textovém souboru na nezabezpečeném počítači třeba PIN kreditní karty nebo přístupový kód alarmu... či snad ano?
- nechráněné informace z AddressBooku se mohou hodit spamerům (vaši známí mohou doufat, že jenom jim a nikomu horšímu);
- jak by se vám líbilo, kdyby nezabezpečený počítač užíval váš lékař či psychiatr, a kdokoli měl k dispozici podrobné informace o vaší prostatě či oidipovském komplexu, případně o tom, jak postupuje léčba vaší drogové závislosti?
- což takhle e-mailová komunikace se šéfem či s obchodními partnery a firemní tajemství?
- máte ženu a milenku, případně manžela a milence (eventuálně všechny čtyři najednou)? Skutečně by vám nikterak nevadilo, kdyby se o sobě vzájemně dozvěděli?
- ještě zajímavější je to, že nezabezpečený systém mohou jiní využívat pro své útoky – v nejjednodušším případě, pokud důsledně nepodepisujete své e-maily, leckdo může dostat e-mail, který vypadá jako od vás, ale psal jej někdo jiný...
- nebo někdo instaluje bez vašeho vědomí na váš nechráněný počítač program, který se pokusí převést peníze z té či oné banky na jeho konto: podaří-li se, on má peníze a vy nemáte nic; nepodaří-li se, on má svatý pokoj, kdežto vy máte zabavený počítač a policii v domě...
- přitvrdíme: fotky vašich dětí uložené v nechráněném iPhotu spolu s informací o jejich výletech v nechráněném iCalu mohou zajímat leckterého úchyla...
- a kromě toho, ruku na srdce, doopravdy vůbec nic "špatného" (ve smyslu platných zákonů, ne nutně ve smyslu zdravého rozumu) neděláte? Daně máte splacené do koruny správně, a bez jakéhokoli "kreativního účetnictví"? Veškerý software poctivě koupený? Žádné pornofotky v iPhotu? Nenadáváte nikdy na úředníky (ha, padesát tisíc pokuty!)...
A to ani nemluvím o případech sice poněkud patologických, ale v současnosti poměrně snadno představitelných – kupříkladu máte-li v iPhotu zcela nevinnou a samozřejmou fotografii dcery při koupání, může se přesnadno stát, že podle dejme tomu španělské legislativy půjde o hanebné pedofilní porno, a podle eurozatykače půjdete vy bručet.
Zkrátka a dobře, skutečně bychom si měli své soukromí aktivně chránit. Jistě, v určitém smyslu je to celé postavené na hlavu; rozhodně je špatně, žijeme-li v tak zatracené době, že musíme vymýšlet bůhvíjaká hesla a certifikáty, protože je kolem řada šmíráků (a někteří z nich opravdu nebezpeční). Je to špatně, ale jediné, co s tím momentálně můžeme dělat, je zabezpečení co nejdůsledněji používat – asi tak stejně, jako je zajisté velmi špatně, že je kolem plno zlodějů, ale asi tak jediné, co s tím můžeme dělat, je otravovat se se spoustou klíčů a užívat kvalitních zámků...
Mac OS X je ale přece bezpečný!
Inu, to je v zásadě pravda: Mac OS X patří k nejbezpečnějším systémům vůbec, je nesrovnatelně bezpečnější než Windows a i v docela standardní instalaci své uživatele před nejrůznějšími útoky do jisté míry chrání – do jisté míry. Přesto však je dobře o zabezpečení něco vědět a této znalosti využívat; jinak bychom se snadno mohli dostat do podobné situace jako člověk, který si pořídí špičkový zámek na dveře, při odchodu zamkne na čtyři západy.... a nechá na druhé straně domu dokořán otevřené okno.
A hned příště...
... se podíváme na základní zabezpečení, jež Mac OS X uživatelům a jejich datům nabízí; vysvětlíme si jeho výhody a ukážeme si i jeho slabé stránky.
Obsah seriálu (více o seriálu):
- Je to bezpečné?
- Základy zabezpečení Mac OS X
- Identifikace a autorizace
- Jak je to s administrátory
- Šifrování
- Co jsou to ty šifry?
- Černý vzadu, podpisy, a vůbec...
- Certifikáty
- Kde vzít certifikát?
- Certifikát Thawte
- Keychain
- Keychain Access
- Kolik keychainů máš, tolikrát jsi paranoikem
- Lepší konfigurace keychainů
- Jeden na neděli, jeden na všední den...
- WEP or weep
- AirPort a nastavení bezdrátové sítě
- WEP and weep...
- Externí router
- Slušný člověk nešifruje!
- Je ve vězení bezpečno