Prywatna przestrzeń w pececie

Gdy komputer jest współużytkowany przez dorosłych i dzieci, często trzeba zabezpieczyć pocztę czy konto Facebooka, tak by nie stały się przedmiotem głupich żartów. Ochrony przed nieupoważnionym dostępem wymagają i gry, które nie są odpowiednie dla młodszych dzieci. Jeśli dorośli przechowują wrażliwe informacje, np. dotyczące obowiązków zawodowych, spraw majątkowych, leczenia czy inne poufne pliki, warto zadbać, by nie tylko dzieci, ale i inni nieupoważnieni domownicy nie mieli do nich dostępu. Ograniczenia mogą dotyczyć serwisów internetowych oraz danych zapisanych w chmurze. Poświęcając chwilę na konfigurację współdzielonego komputera, można osiągnąć poziom bezpieczeństwa zbliżony do tego, jaki ma laptop z zaszyfrowanym dyskiem.

Komputer możesz zabezpieczyć w trzech krokach. Podstawowy, niezbędny dla każdego poziom zabezpieczeń, to poprawna konfiguracja systemu Windows 10 dla wielu użytkowników. W kolejnym etapie możesz zapewnić pełną poufność aktywności w internecie, w czym pomogą funkcje przeglądarki oraz dodatkowe zabezpieczenia anonimizujące połączenie. W ostatnim etapie możesz skonfigurować silnie szyfrowane archiwum lub partycję dostępne po wpisaniu hasła, jeśli w systemie przechowywane są wrażliwe informacje.

System Windows 10 ma funkcje pozwalające na zabezpieczenie dostępu do informacji. Aby z nich skorzystać, należy każdemu użytkownikowi utworzyć osobne konto chronione hasłem. Do treści zapisanej w katalogu domowym ma dostęp tylko właściciel (nie licząc administratora). Ponadto rozdzielane są ustawienia wszystkich programów, w tym przeglądarki internetowej, więc domownicy nie mogą nawzajem podglądać swojej aktywności online. Przydzielenie konta każdemu użytkownikowi komputera jest rozsądnym minimum, jeśli chodzi o ochronę informacji przed dziećmi. Dodatkowo można wówczas włączyć mechanizmy kontroli rodzicielskiej, co pozwala na ograniczanie czasu spędzanego przed komputerem.

Windows 10 obsługuje zarówno konta lokalne, jak też logowanie poprzez konto Microsoft. Druga możliwość pozwala na bardziej zaawansowane administrowanie, np. aktywację mechanizmu kontroli rodzicielskiej. Aby utworzyć konto, po wyświetleniu obszaru startowego kliknij Ustawienia - trybik, następnie Konta. W kolejnym kroku wybierz Rodzina i inne osoby.

Do zwykłego zabezpieczenia plików, szczególnie przed dziećmi, wystarczy konto lokalne. Aby je utworzyć, w obszarze Inne osoby kliknij Dodaj kogoś innego do tego komputera. Login możesz utworzyć w oparciu o konto Microsoftu, ale nie jest to konieczne. Aby tego uniknąć, kliknij Nie mam informacji logowania…, a w kolejnym kroku Dodaj użytkownika bez konta Microsoftu. Domyślnie konto nie ma uprawnień administracyjnych i dostępu do plików innych osób.

Aby uniemożliwić dzieciom dostęp np. do gier nieodpowiednich dla ich wieku, utwórz im konto członka rodziny. Do rodziny możesz dodać posiadacza konta lokalnego tylko w sytuacji, gdy powiązał je wcześniej z kontem online Microsoftu (może to zrobić w panelu Konta, w zakładce Twoje informacje). W tym celu kliknij Dodaj członka rodziny, zaznacz Dodaj dziecko i wpisz e-mail danej osoby.

Po dodaniu loginu w ustawieniach konta Microsoft online (login.live.com) należącego do dziecka w zakładce Rodzinne kliknij Zaakceptuj teraz, aby potwierdzić przyłączenie do grupy rodzinnej. W tym celu będziesz oczywiście potrzebował hasła do konta dziecka (warto je mieć, by monitorować aktywność online). Po wpisaniu hasła w panelu, który się pojawi, naciśnij Tak.

W celu wprowadzenia zmian w ustawieniach kontroli rodzicielskiej przeloguj się w przeglądarce na własne konto (dorosłego). Następnie wróć do panelu Konta i w zakładce Rodzina kliknij Zarządzaj ustawieniami rodziny, a przy nazwie loginu dziecka – Zarządzaj uprawnieniami. Na liście zobaczysz wszystkie urządzenia podłączone do konta dziecka. Teraz możesz włączyć Ograniczenia dotyczące zawartości albo określić Godziny korzystania z urządzeń.

Chcąc dodatkowo zwiększyć anonimowość i poufność działań w internecie, skorzystaj z wyspecjalizowanej dystrybucji Linuksa Tails ( https://tails.boum.org). Używali jej znani demaskatorzy, m.in. Edward Snowden, chroniąc się przed służbami specjalnymi. System uruchamiany jest z bootowalnej płyty DVD lub pendrive’a. Domyślnie wszystkie połączenia internetowe są realizowane za pośrednictwem sieci Tor, dodatkowo system generuje fałszywy adres MAC karty sieciowej. Wszystkie dane są przechowywane w szyfrowanym obszarze pamięci RAM i znikają po restarcie. Opcjonalnie można utworzyć szyfrowany wolumin w pliku z przeznaczeniem np. na poufne notatki, który może być przechowywany na pendrivie razem z systemem. Dzięki integracji wbudowanego klienta pocztowego z aplikacją kryptograficzną GPG oraz szyfrowanemu komunikatorowi (Pidgin z wtyczką OTR), Talis doskonale sprawdzi się również w roli narzędzia do poufnej komunikacji, która nie zostawia śladów w komputerze. Użycia Talisa gwarantuje, że żadne informacje nie będą przechwytywane przez ukryte narzędzia do naruszania prywatności, jak keyloggery czy trojany, które okresowo zapisują zrzut ekranu.

Jeśli sytuacja nie pozwala na rozdzielenie kont użytkowników, ale jednocześnie nie chcesz, by inni wiedzieli, nad jakimi dokumentami pracujesz, możesz wyłączyć funkcję, która rejestruje i wyświetla listę niedawno używanych plików w Eksploratorze Windows. W dowolnym oknie tego programu naciśnij Plik i wejdź do panelu Zmień opcje folderów i wyszukiwania.

W zakładce Ogólne znajdziesz sekcję Prywatność. Jeśli chcesz usunąć listę ostatnio używanych plików, kliknij Wyczyść. Aby zablokować zapisywanie nazw otwieranych dokumentów, odznacz obydwie widoczne w panelu opcje związane z szybkim dostępem. Następnie z listy Otwórz Eksploratora plików w wybierz Ten komputer.

Listy często używanych plików pojawiają się także po kliknięciu ikony aplikacji na pasku zadań pulpitu prawym klawiszem myszy. Chcąc wyłączyć tę funkcję, uruchom panel Ustawienia, naciśnij Personalizacja i przejdź do zakładki Start. Tam odznacz opcję Pokaż ostatnio otwierane elementy na listach szybkiego dostępu.

Podobny zabieg możesz wykonać w większości popularnych programów biurowych i multimedialnych. Na przykład w popularnym odtwarzaczu VLC Player rozwiń menu Plik, Otwórz ostatnie pliki i naciśnij Wyczyść. W programach pakietu MS Office funkcję wyłączania ostatnio uruchamianych plików znajdziesz w zakładce Zaawansowane panelu ustawień programu.

Bardzo wiele poufnych informacji rejestrowanych przez system związanych jest z aktywnością online. Listy odwiedzonych stron, działania w aplikacjach internetowych czy zapytania do przeglądarki mogą zdradzić innym użytkownikom komputera więcej, niż byś chciał. Najprostszym sposobem ochrony jest systematyczne usuwanie historii przeglądanych witryn oraz innych elementów zapisanych w przeglądarce, jak cookies czy pliki tymczasowe. Dla bardziej zaawansowanej ochrony prywatności możesz skorzystać z sieci prywatnej Tor lub anonimizującego VPN-u, dzięki czemu żaden użytkownik tej samej sieci lokalnej, w tym administrator routera, nie będzie mógł śledzić cię online.

Najważniejsze narzędzie do ochrony prywatności to panel zarządzania historią odwiedzonych stron, który znajdziesz w menu przeglądarki. Aby usunąć pojedynczy element, zaznacz go i kliknij Usuń na pasku zadań. Aby dokonać bardziej systematycznego czyszczenia, naciśnij Wyczyść dane przeglądania.

W oknie które się pojawi, możesz kliknięciem usunąć historię odwiedzonych stron z 24 godzin. Aby gruntownie oczyścić przeglądarkę, naciśnij Zaawansowane, a z listy Zakres czasu wybierz Od początku. Oprócz domyślnie wybranych elementów zaznacz dodatkowo Pliki cookie i inne dane witryn i kliknij Wyczyść dane. Pamiętaj, że usunięcie „ciasteczek” spowoduje wylogowanie ze wszystkich aplikacji internetowych.

Chrome w domyślnej konfiguracji nie tylko zapisuje całą aktywność online, ale także archiwizuje ją w chmurze. Zablokuj to w ustawieniach przeglądarki w zakładce Osoby. Tam kliknij Synchronizacja i wyłącz Synchronizuj wszystko. Po tej zmianie będziesz mógł wybrać, które elementy mają być przesyłane na serwery Google’a.

W celu poprawy prywatności należy zablokować synchronizację odwiedzonych stron – wyłącz opcję Historia. Możesz także odznaczyć inne elementy, których nie chcesz zapisywać w chmurze, np. Zakładki i Otwarte karty – tak, by niepowołana osoba nie mogą podejrzeć tych informacji w smartfonie czy na tablecie synchronizowanym z tym samym kontem.

Chcąc usunąć z chmury Google’a wcześniej zapisane informacje, przejdź do ustawień konta online. W tym celu w pasku adresu przeglądarki wpisz https://myaccount.google.com, wejdź do zakładki Dane osobowe i prywatność i kliknij Otwórz moją aktywność. Tam znajdziesz listę wszystkich działań nie tylko w pececie, ale także w urządzeniach mobilnych z Androidem.

Aby skasować daną aktywność, kliknij przycisk Menu i wybierz Usuń. W ten sposób wyeliminujesz pojedyncze elementy albo dane z całego dnia. Jeśli chcesz pozbyć się zapisów z dłuższego okresu, przejdź do zakładki Usuń aktywność według, gdzie będziesz mógł określić zakres chronologiczny kasowania informacji. Wybierając Cały okres, usuniesz za jednym zamachem wszystkie zarejestrowane przez Google działania na wszystkich urządzeniach.

Do ochrony poufności działań online przed innymi użytkownikami komputera służy tryb prywatny przeglądarki internetowej. W Google Chrome uruchomisz go poleceniem Nowe okno incognito w menu programu. Od teraz żadne dane nie będą zapisywane w Historii. Kasowane są także cookies, więc po zamknięciu okna program wyloguje cię z aplikacji internetowych, które zostały uruchomione w oknie prywatnym.

Niestety tryb Incognito nie chroni przed inwigilacją na poziomie routera sieci lokalnej czy sieci operatora. Aby uniemożliwić śledzenie tą drogą, niezbędne jest sięgnięcie po usługę anonimizującą VPN. Tworzy ona szyfrowany tunel pomiędzy komputerem a serwisem internetowym i kasuje wszystkie dane użytkownika. Usługa TunnelBear.com zapewnia 500 MB darmowego transferu, co pozwala na ochronę najbardziej wrażliwych działań online.

Darmową alternatywą, choć o dużo niższej przepustowości, jest sieć Tor. Zapewnia ona anonimowość, przekazując każdy pakiet przez szereg serwerów maskujących dane użytkownika (np. numer IP). Skorzystasz z niej za pomocą przeglądarki TorBrowser, na bazie silnika Firefoksa. Przeglądarka jest zoptymalizowana pod kątem prywatności i nie zostawia żadnych śladów w systemie.

TorBrowser nie wymaga konfiguracji. Po pobraniu przeglądarki ze strony www.torproject.org/download (należy wybrać język polski z listy poniżej przycisku Download) uruchom aplikację i kliknij Połącz. Oprócz dostępu do sieci Tor przeglądarka oferuje dodatkowe narzędzia zabezpieczające, jak plug-in wymuszający nawiązywanie bezpiecznych połączeń HTTPS.

Niestety, istnieje możliwość dostania się do danych z innego konta użytkownika Windows 10. Najprostszym sposobem jest uruchomienie innego OS-u, np. Linuksa z pendrive’a, bardziej skomplikowanym – wyjęcie dysku twardego i podłączenie go do innej maszyny. Dlatego gdy w domowym pececie chcesz przechowywać poufne i wrażliwe informacje, musisz stworzyć bezpieczną, szyfrowaną przestrzeń. Standardowe narzędzia systemu operacyjnego Windows 10 nie pozwalają na takie zabezpieczenie. Jedyną funkcją (tylko w Windows 10 Pro) jest szyfrowanie pliku, folderu lub dysku NTFS. Umieszczona jest w panelu Właściwości i ukazuje się po kliknięciu przycisku Zaawansowane. Takie pliki nie będą czytelne dla osoby nie zalogowanej do twojego konta, ale w pełni widoczne dla współużytkowników konta.

Dlatego, by skutecznie zabezpieczyć dane, musisz zainstalować dodatkowe oprogramowanie. Folder możesz skutecznie ochronić przez spakowanie go do zaszyfrowanego archiwum za pomocą darmowego programu 7-ZIP. Gdy chcesz ukryć więcej danych, pomocny będzie VeraCrypt, za pomocą którego utworzysz szyfrowaną, wirtualną partycję widoczną jako dysk z poziomu Eksploratora Windows.

Po zainstalowaniu archiwizatora 7-ZIP w menu kontekstowym pojawią się nowe elementy. Po kliknięciu prawym klawiszem myszy folderu, który chcesz zabezpieczyć, wybierz z listy polecenie 7-Zip – Dodaj do archiwum. Następnie jako Format archiwum wskaż 7z. Ten format pliku pozwala na zastosowanie silnego szyfrowania.

Jeśli archiwum ma służyć przede wszystkim ochronie poufnych danych, z listy Stopień kompresji wybierz Bez kompresji. Przyśpieszy to otwieranie folderu i jego ponowne kompresowanie po zakończeniu pracy. Następnie przejdź do sekcji Szyfrowanie, wprowadź hasło, które zawiera przynajmniej osiem znaków, w tym jedną wielką literę i cyfrę. Upewnij się, że jako metoda szyfrowania wybrane jest AES-256. Na końcu kliknij OK.

Po zaszyfrowaniu utwórz kopię zapasową archiwum, a następnie usuń oryginalny katalog. Aby mieć gwarancję usunięcia wrażliwych danych, musisz posłużyć się darmowym narzędziem Eraser (https://eraser.heidi.ie), które wielokrotnie nadpisuje sektory dysku wykorzystane przez plik, uniemożliwiając ich odczytanie za pomocą specjalistycznego oprogramowania.

Aby wymazać katalog, kliknij go prawym klawiszem i z menu wskaż kolejno Ereaser, Wymaż. W oknie Erase items kliknij Yes. W przypadku dużych zbiorów musisz zmienić algorytm w celu skrócenia czasu kasowania. Uruchom Eraser, kliknij Settings i z listy Default erasure method wybierz dowolną opcję (np. 3 passes). Domyślny algorytm wykonuje aż 35 przebiegów, co nie jest konieczne. Na końcu kliknij Save settings.

Po zainstalowaniu VeraCrypta (https://www.veracrypt.fr/en) w głównym oknie programu zmień język na polski (Settings, Language) i kliknij Utwórz wolumen. W kreatorze zatwierdź domyślnie wybrane opcje i w trzecim kroku wpisz nazwę lub wskaż dowolny plik (np. wcześniej utworzony w Notatniku veracrypt.txt). Program zastąpi (zniszczy!) treść tego pliku, tworząc na jego miejscu szyfrowany wolumin (dysk wirtualny).

Opcje szyfrowania pozostaw bez zmian, a w kolejnym kroku dopasuj wielkość dysku wirtualnego do liczby plików, które chcesz w nim schować. Następnie wpisz hasło, które będzie trudne do odgadnięcia dla innych użytkowników komputera. Aby zebrać losowe dane do wygenerowania klucza, trzeba ruszać myszą, aż pasek w oknie Formatowanie woluminu zrobi się zielony. Na końcu kliknij Sformatuj.

W celu zamontowania w systemie zaszyfrowanego wirtualnego dysku, w głównym oknie VeraCrypt wybierz literę dysku (np. V:), kliknij <Wybierz plik>, wskaż utworzony w poprzednim kroku plik z woluminem i naciśnij Podłącz. W następnym oknie wpisz hasło i potwierdź OK. Po chwili nowy dysk pojawi się w oknie Mój Komputer. Po zakończonej pracy z plikami kliknij Odłącz wszystko. Plik z woluminem można dowolnie kopiować, przenosić, a także montować z pendrive’a.