Quão seguro é o Time Machine / FileVault / Dropbox / Google?

6

Ultimamente, tenho estado um pouco preocupado com a segurança do meu computador. Não que eu tenha realmente algo a esconder, mas eu não quero que ninguém roube meus dados.

Então, eu configuro o FileVault no OSX, que criptografa todos os meus dados com o mínimo de barulho. A senha está definida para algo longo que só eu sei e a senha do sistema é algo igualmente strong e seguro. A senha do sistema é reconfigurável usando o disco de instalação, por isso é essencialmente inútil ficar obcecado com isso. Você sabe se a redefinição da senha do sistema dá acesso à senha do FileVault? Isso basicamente tornaria o FileVault inútil.

Além disso, eu preciso de uma solução de backup, então configuro o Time Machine e o Dropbox. Agora minha pergunta é: A senha para a conta do Dropbox é salva no Navegador do meu Windows 7-machine e no Dropbox-App no meu iPhone. Embora ambos sejam protegidos por senha e não possuam cópias reais dos meus arquivos, acho que esses são os links mais fracos da minha segurança de dados.

Você acha que existe uma maneira simples de melhorar essa configuração? Ou você acha que isso já é um pouco obsessivo?

    
por bastibe 04.10.2009 / 14:23

5 respostas

5

Não tenho certeza do que você quer dizer com "senha do sistema". Se você está falando sobre a senha para uma conta de administrador, ou mesmo para o root, isso não é um problema; A segurança do FileVault é completamente independente da segurança geral do sistema operacional (bem, com uma exceção: se alguém subverter a caixa, instalar algo como um keylogger, devolverá a senha do FV enquanto você faz login ...).

OTOH, se a "senha do sistema" que você está falando é o que o Security prefs chama de "Master password", então qualquer um que adivinhe isso tem um backdoor fácil no seu FV. Mas não é reajustável com o disco de instalação ou qualquer outro método que não envolva saber para começar. Então isso não é realmente uma preocupação.

Agora, para segurança de backup: o Time Machine não é um problema (com a ressalva que Arjan mencionou, que ele não pode fazer backup de sua conta enquanto você está conectado) porque faz backup dos dados criptografados. a mesma segurança que o próprio FV tem. Você tem um pequeno incômodo ao restaurar, porque a interface de restauração inteligente do TM não pode ser vista no FV de backup, portanto, é necessário montar manualmente a imagem de backup e depois fazer o root manualmente. (Ok, mais uma pequena qualificação: como o Time Machine armazenará várias versões dos dados criptografados, pode ser possível dizer algo sobre o que está acontecendo dentro do FV observando como a versão criptografada muda; não vi ninguém analisando FV pela sua resistência a este tipo de ataque.)

O TFM está basicamente certo sobre os backups sobre os quais você não tem controle, se estiver fazendo o backup da versão não criptografada de seus arquivos. Se você está fazendo o backup da versão criptografada do FV, então você está de volta na mesma situação que o TM: ele é (na maioria das vezes) automaticamente seguro, mas você tem o aborrecimento de apenas fazer backup quando desconectado, e restaurar qualquer coisa significa baixar um instantâneo inteiro da imagem FV, montagem manual, etc.

Eu recomendaria procurar um programa projetado para backup online criptografado; bem feito, isso criptografa tudo antes de deixar sua máquina (assim você não depende da segurança do repositório) e ainda é fácil restaurá-lo. Infelizmente, não fiz a pesquisa necessária para poder recomendar uma solução específica que "faça certo" (e tenho certeza de que há muitos que fazem isso errado).

    
por 05.10.2009 / 06:20
5

Uma solução de terceiros como o Dropbox sempre deve ser considerada insegura, pois você deixa seus dados nas mãos de uma empresa que não pode "ver ou tocar". Essas empresas podem operar sob as leis de outro país, o que permite / proíbe de forma diferente do país em que você mora e, portanto, torna quase impossível qualquer ação legal em caso de abuso.

Além disso, as empresas são vendidas e compradas. Um fornecedor respeitável que oferece uma solução on-line pode ser comprado, e os dados podem cair nas mãos de pessoas cujo principal objetivo com este comércio está explorando esta oportunidade.

Não estou tentando dizer que você deve ser paranóico, mas use o bom senso ao escolher um provedor de armazenamento de arquivos / backup on-line. Google o nome da empresa, leia comentários sobre o serviço, etc.

    
por 04.10.2009 / 15:53
2

Eu sei um pouco sobre a segurança do DropBox. Os dados são criptografados no S3, mas o DropBox mantém as chaves de criptografia, não você. (assim eles poderiam bisbilhotar se inclinados). Se você quer segurar as chaves, você precisa do JungleDisk ou similar. Claro que há uma desvantagem em ter as chaves do seu lado ... se você as perder, você está ferrado.

    
por 20.01.2010 / 16:24
2

Eu gostaria de sugerir se você quiser usar o DropBox para armazenamento em nuvem de qualquer informação sensível que você criar um volume / pasta TrueCrypt no seu DropBox. Há instruções sobre o DropBox sobre como fazer isso. Na verdade, problemas de segurança estão afetando o DropBox agora na mídia on-line e há muitos blogs / artigos sobre o uso do TrueCrypt com o DropBox, que deve ser altamente classificado no Google se você pesquisar. (Lifehacker escreveu recentemente sobre isso.)

    
por 22.04.2011 / 15:17
1

O único serviço, desde 2007, que eu sei de onde você pode ter certeza de que uma violação de dados não revelará qualquer um dos seus dados é spideroak.com Revisão em link explica:

"Claro que cada serviço de backup fornece backup criptografado, mas o SpiderOak leva as coisas um passo adiante com sua política de privacidade com conhecimento zero. Isso significa que seus arquivos são até mesmo criptografados pela equipe do SpiderOak." E de todos os outros no mundo, exceto você usando a chave de decripta que você gera.

O código-fonte para o software spideroak está disponível, portanto, deve ser possível verificar com segurança matemática a encrypttion, e que uma chave conhecida apenas para você é necessária para descriptografar: link Apenas não perca essa chave, pois ninguém pode ajudá-lo a recuperar os dados. Em geral, você se depara com um problema de confiança em algum momento com qualquer solução proprietária de código aberto. Qual é um ponto muito strong com soluções de código aberto. Eu não confiaria em nenhum dado sensível (declarações fiscais, registros médicos) a qualquer sistema para o qual o código-fonte não estivesse disponível.

Você poderia, é claro, usar arquivos criptografados ou contêineres de arquivos como o TrueCrypt com o Dropbox, o Google e os outros. Mas isso é mais um passo extra comparado à metodologia spideroak, ou seja, encrypttion on the fly em seu próprio hardware. E seria complicado, se não impossível, no iPhone (onde há um aplicativo spideroak!).

    
por 22.04.2011 / 15:09