טכנולוגיה

למה אני אף פעם לא ממליץ להצפין כונן למחשב נייד?

לא מעט פעמים לאחרונה יוצא לי להיחשף למשתמשי קצה שבוחרים להפעיל הצפנה מלאה על כל הכונן הקשיח שלהם במקבוק או במחשבי ה-Surface.
לעיתים אנשים בוחרים את זה מתוך חוסר מודעות ומתוך סוג של להט הרגע – הכוונה כשהם מפעילים בפעם הראשונה את המחשב הם פשוט לוחצים כן על כל האפשרויות בלי להבין באמת מה כל אפשרות ואפשרות עושה.

למעשה אם אוכל לחלק את אלו אשר מפעילים את ההצפנה על הכונן לקבוצות אוכל לחלק אותם לשתיים:
אלו שמפעילים כי בהפעלה הראשונה לא היה להם מושג מה זה אבל הם לחצו כן. ואילו שמבינים דבר או שתיים וחושבים שהכי נכון טאקטית לשמור על המידע שלך על ידי הצפנה של כל הכונן עצמו.

מה שבטוח זה שבשני המקרים הזוכים המאושרים עשויים לקבל בעיה של ירידת ביצועים, מהירויות כתיבה/ קריאה נמוכות יותר והרגשה כללית של מחשב "עגלה".
כמו כן ישנם עוד נקודות נוספות עליהם כדאי ומומלץ לחשוב:

קודם כל למחשבים ניידים יש יתרון מובנה על פני אלו הנייחים- יתרון הניידות: החיבורים שלנו לרשת במחשב הנייד הם למשך כמות זמן מוגבלת, תחת כתובת IP בסביבה שהיא משתנה ולא קבועה (כמו במחשב הנייח) ולכן במרבית הפעמים משך הזמן הדרוש על מנת להיכנס לרשת פנימית (WIFI של שכן לדוגמא) ולהתחבר למחשב מסוים הרשום באותה רשת לוקח לא מעט זמן. יתכן שבמשך הזמן שתוקף ינסה לעשות זאת הוא יתקל בזה שאנחנו נסגור את המכסה של המחשב ואז המחשב יתנתק מהרשת? יש גם עוד תרחיש בו סיימנו לעבוד ואנחנו פשוט סוגרים את המחשב, או זזים איתו אל מחוץ לטווח הקליטה, או סתם בוחרים לעבוד במצב לא מקוון.
בשונה ממחשב נייח שבמרבית הפעמים לא נכבה, נשאר על אותה כתובת IP פנימית ובחלק מהפעמים משתף יותר מידע ברשת הפנימית, מחשבים ניידים נהנים מיתרון מסוים בזה שהם מחוברים למשך פרק זמן קצר יותר ומחליפים כתובות פנימיות מהר יותר מאלו הנייחים. גם במרבית הפעמים אופי העבודה על מחשב נייד שונה מזה אשר על מחשב נייח דבר אשר מוביל ליתרון אבטחתי רציני מאוד.

יצא לי פעם לשוחח עם אחד ממומחי האבטחה של אינטל על סוגיית ההצפנה- הדבר הראשון שהוא אמר היה משפט מאוד חשוב:

אין דבר שהוא לא פריץ אלה השאלה היא מפני מי אתה רוצה להתגונן?

וזה מוביל אותי לעובדה הראשונה שלנו – הכל פריץ.  זאת נקודת הבסיס
השאלה היא מפני מי נרצה להישמר ובאיזה דרך.
זאת אומרת ששתי הפרמטרים שלי במשוואה הם מפני מי ? ומה מידת הנגישות שאנחנו נאפשר?
מה שמוביל אותי בכל פעם מחדש ליצור לעצמי מין ׳מפת איומים׳ לפי שאלות שהן דיי קבועות שאני שואל את עצמי:
1. מה באמת מפריע לי ?
2. מה הפחד שלי?
3. מפני מי אני צריך להיזהר?
קחו דוגמא:
נניח ואני מצלם בשנה מעל 30 אלף תמונות ברמה המקצועית, זה העבודה שלי.
מה שבאמת יפריע לי זה זמני טעינה ארוכים. מה שאומר שאני לא יכול להרשות לעצמי להצפין כונן ועל אחת כמה וכמה אני לא יכול להרשות לעצמי להצפין כל קובץ בנפרד.
נניח ולא אכפת לי (ברמה המהותית) אם חלילה מישהו יפרוץ לי , אבל מה שכן יפגע בי זה שהחומרים שלי ימחקו.
בסנריו כזה אני אעדיף לעשות גיבוי מפורז, זאת אומרת לגבות את המידע שלי על מספר כוננים חיצוניים או שירותי ענן שונים.

ניקח תרחיש אחר בו אני –נניח– מתווך של איזה חברת צוללות, אני עובד על מסמכים שמורים שפרט אלי אף אחד לא צריך להיחשף אליהם. בתרחיש כזה הרי שאני אעדיף לשמור אותם על כונן חיצוני אמין יחסית (דיסקמ פלאש ולא מכאני) ולא רק, אני גם אעדיף להצפין את הקבצים עצמם ,על מנת שבכל מקרה, אם מישהו יגנוב לי את הכונן הוא לא יחשף למידע הרגיש שאני מחזיק שם.

בכל מקרה בשום תרחיש אני לא אבחר להצפין את הכונן במלואו- מסיבה פשוטה, אם אני אבנה רק על ההצפנה הזאת אני ארגיש ירידה בביצועים ובלאו הכי מי שיפענח ויכנס לכונן יחשף למידע בשלמותו, מה שמותיר אותי להתמודד עם ניהול חכם של המידע שלי: מה שרגיש לעיניים של אחרים יהיה מוצפן כקובץ, בכל תרחיש אני אנהל שגרת גיבויים על גבי כונן חיצוני, שירותי ענן ומערך raid פנימי.

בחרתי להתמקד בפוסט הזה בדברים שהם יותר תודעתיים ויותר תיאורטים מאשר טכנים היות ובמרבית הפעמים לאנשים אין מודעות לסכנות או לחששות ולכן הם בוחרים להתעלם או לפעול בצורה שהיא איננה נכונה לצרכים שלהם.
מדריכים טכנים יש באינטרנט בשפע, לדעת מה לעשות (מבחינה טכנית) זה הכי קל
הבעיה היא המודעות שפשוט לא קיימת במרבית המקרים.
ברגע שאנחנו מציפים משהו לתודעה שלנו אנחנו מתחילים להתמודד עם זה ביומיום ואז כבר מגיעים פתרונות איכותיים ונכונים, אבל כל זמן שאין לנו מושג בכלל מפני מה אנחנו צריכים להתגונן אנחנו נמצאים בסיטואציה של חוסר ודאות ומקווים שמשהו טוב יקרה. לא כך יוצרים ביטחון במרחב המקוון.

לסיכום (אם התעצלתם לקרוא הכל), אלה הסיבות בגינן אני לא אמליץ להצפין כונן שלם במחשבים ניידים:

  1. יתרון הניידות – יחסית לסביבת עבודה נייחת, במחשב הנייד אנחנו מתחברים לפרקי זמן קצרים יותר, מחליפים כתובות IP פנימיות בתדירות רבה יותר, ומשאירים את המחשב פתוח (הכוונה דולק, לא על מצב שינה) פחות זמן.
  2. ירידה בביצועים
  3. אבטחה פחות איכותית, אם התוקף שלנו יודע שאנחנו עובדים בסביבת מק והוא יודע איך עובדת ההצפנה בסביבה זו אזי שהיא חסרת יתרון, הוא ידע איך לפענח את ההצפנה.

ומה אני כן אמליץ ?

  1. לנהל שגרת גיבויים מפורזים, כל כמה כוננים מול כמה שירותי ענן או דיסקים חיצוניים.
  2. להצפין קבצים, רק את מה שיהיה רגיש לעיניים של אדם אחר.
  3. לשמור על תודעה אבטחתית, להבין את האיום, להבין מפני מה אני אמור להתגונן ומה עלי לעשות (אופרטיבי) ביום יום על מנת להישמר ולשמור על המידע שלי.

זהו, אני מקווה שהצלחתי להעביר את הנקודה.

כל מה שתצטרכו אתם מוזמנים להגיב או לפנות בפרטי.

שתהיה שבת שלום.

רשומה רגילה