CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Sikkerhed og privatliv med OS X

Bare fordi du bruger en Mac, er du ikke automatisk beskyttet mod alt ondt i computerverdenen. Læs her, hvad du selv kan gøre.

21. marts 2016 kl. 14.00

Af Kenneth Geisshirt, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Apples styresystem til deres computere, OS X, har dels funktioner indbygget til at øge sikkerheden, når du færdes på internettet og dels funktioner til at sikre dit privatliv. Hvor Apple stopper, kan du finde værktøjer, som kan øge sikkerheden og mindske risikoen for tab af privatliv. I denne artikel vil vi se på en række forskellige områder, hvor din Mac kan hjælpe dig.

Hvad er en keychain?
Lad os begynde rejsen mod en mere sikker computer ved at forstå et af din Macbooks centrale koncepter, nemlig keychain (nøglering).
I virkeligheden er keychain et gammel koncept, som går tilbage til tiden før OS X. Ideen er kort fortalt, at du kan gemme alle dine adgangskoder i en eller flere keychains – eller databaser om du vil. Du låser din keychain op med din adgangskode og derfor er det meget vigtigt, at du vælger en god adgangskode.

Du kan anvende keychain til at gemme brugernavne/adgangskoder til websites, Wi-Fi-nøgler og passphrase til Secure Shell.
Eftersom keychain er dybt integreret med OS X og Apples software, vil du ofte ikke opdage, at du har dine vitale og private data gemt på denne sikre måde.

Rent teknisk benytter Apple sig af 3DES-kryptering af keychains. Det giver en utrolig hård og robust kryptering. Selv med den eksponentielle vækst i cpu-hastighed, forventer NIST (National Institute of Standards and Technology) ikke, at 3DES kan brydes før omkring 2030 og en forskningsartikel fra 2010 estimerer, at det vil tage omkring 800 dage at bryde 3DES, hvis du er i stand til at afprøve 50 milliarder krypteringsnøgler i sekundet. Med andre ord, bliver din computer stjålet, har du lidt over to år til at få skiftet adgangskoder og lignende. Så skulle det ske, er der ingen grund til panik, men brug et par aftener på at få skiftet dem.

Siden OS X Maverick (2013) har Apple også givet dig mulighed for at gemme dine data i en iCloud keychain. Tricket med den type er, at de bliver synkroniseret med din iCloud-konto, og du kan bruge dine keychains på alle dine Apple-produkter. Krypteringen i en
iCloud keychain er faktisk hårdere, idet algoritmen 3DES er skiftet ud med 265 bit AES. Med AES-algoritmen er estimatet for at prøve alle krypteringsnøgler mange størrelsesordner større end universets forventede levealder! Det er også med i en iCloud keychain, at det er muligt at gemme kreditkort-oplysninger, således at du ikke behøver at taste dem ind hver gang.

Der findes en del andre keychain-systemer, f.eks. 1Password (agilebits.com/onepassword) og KeePassX (keepassx.org/). En del af dem har den fordel, at du kan bruge dem på flere platforme, f.eks. din Android-telefon eller Windows-computer. Ulempen er, at de ikke altid integrerer så elegant med OS X som Apples egen løsning. Under alle omstændigheder er det altid en god idé at bruge et system som keychain til adgangskoder og lignende.

Sikkerhed fra kommandolinjen
Apple er kendt for deres fokus på stor brugervenlighed. For langt de fleste er brugervenlighed synonym med en grafisk brugergrænseflade, men for mange superbrugere – som Alt om DATAs læsere hører til – kan en kommandolinje også være brugervenlig.

Du kan uden de store problemer arbejde med dine keychains direkte fra kommandolinjen. Du kan bruge det i scripts, du skriver for at automatisere din hverdag. Servicerer du flere Macbooks på samme tid (som systemadministrator – evt. blot i organisationen min familie), kan du med fordel skrive scripts.

Kommandoen security giver dig adgang til dine keychains. For eksempel er Wi-Fi-adgangskoder gemt i en keychain, og du har adgang til de følsomme data fra kommandolinjen.

Kommandoen security list-keychains giver dig en oversigt over dine keychains. For langt de fleste brugere er der to keychains: en for systemet og en for den aktuelle bruger.

En sjov kommando er security find-generic-password -ga altomdata.dk. Kommandoen finder adgangskoden til det trådløse netværk altomdata.dk. Du vil blive spurgt om brugernavn og adgangskode for en konto, som har adgang til systemets keychain, men du kommer til at se det omtalte Wi-Fi’s adgangspunkt i ukrypteret form.

Kryptering af din harddisk
Du bruger uden tvivl din Macbook meget og har den med dig overalt. I virkeligheden er den ikke meget ud af dit synsfelt, men et kort øjebliks uopmærksomhed – og den er væk. Naturligvis har du backup af alle essentielle dokumenter, regneark og billeder. Men selvom din konto på din Mac er beskyttet af kodeord, er du så sikker på, at det i realiteten beskytter dine filer? Desværre er det al for let at få adgang ved at boote din computer med enten installationsprogrammet fra OS X eller en Linux-distribution. Booter du en Macbook vha. en Linux-distribution, kan du altid mounte computerens disk, eftersom Apples HFS+-filsystem er understøttet af Linux.

Løsningen er, at du krypterer hele din harddisk. Det er meget let at gøre. I System Preferences (Systemindstillinger) finder du Security & Privacy (Sikkerhed og Anonymitet) som igen har en fane ved navn FileVault. Se figur A.

Figur A: Første gang du tænder din nye Macbook, vil du blive spurgt, om du vil kryptere harddisken. Hvis du har glemt, hvad du svarede, kan du altid tjekke, om det er slået til. Figur A: Første gang du tænder din nye Macbook, vil du blive spurgt, om du vil kryptere harddisken. Hvis du har glemt, hvad du svarede, kan du altid tjekke, om det er slået til.

FileVault 2, som er installeret i nyere versioner af OS X (Lion, dvs. 10.7, eller senere), benytter AES-kryptering. I USA opfatter FBI kryptering så hård, at de mener, at den kan give dem problemer ved efterforskning. Det er – for mig – en ganske god indikation af, at FileVault giver mig sikkerhed nok.

Krypteringen af din harddisk er ikke gratis. Det koster 20-30 % i ydeevne, dvs. alle filoperationer bliver langsommere. Mange cpu’er i dag har indbygget instruktioner til håndtering af kryptering, hvilket betyder, at især dyre, store cpu’er vil bruge relativ færre kræfter på at kryptere og dekryptere dine filer.

Kryptering af filer
Nu har du fået krypteret hele din harddisk, men du udveksler måske også filer med andre. Det er muligt at sætte en adgangskode på et dokument, et regneark eller præsentation. I menuen File (Fil) finder du menupunktet Set Password. Ved at sætte en adgangskode på filen, skal du indtaste adgangskoden for at åbne filen igen. Se figur B og C.

AOD04_sikkerhed03

Figur B og C: Apples kontorprogrammer kan kryptere dokumenter, regneark, præsentationer og PDF-filer. Figur B og C: Apples kontorprogrammer kan kryptere dokumenter, regneark, præsentationer og PDF-filer.


Programmerne Pages, Numbers og Keynote understøtter alle, at du sætter adgangskode på filer. Det er lidt svært at vide præcis, hvordan kryptering sker, men eftersom firmaer som ElComSoft sælger software, som kan bryde krypteringen, er den sandsynligvis svag.

Du kan også gemme dine filer i Apples sky iCloud. Her er krypteringen straks meget hårdere, idet Apple har valgt at benytte miminum 128 bits AES – og 256 bits AES for keychains. Da du – og kun du – har adgang til krypteringsnøglen i din iCloud-konto, betyder det i praksis, at ikke engang Apple har adgang til dine data, selvom data er placeret på Apples servere. Netop dette faktum giver anledning til stor diskussion mellem Apple (og andre it-virksomheder) og både amerikanske og europæiske politikere samt myndigheder. Apple insisterer på, at de beskytter deres brugere mod kriminelle og sikrer dem privatliv, mens politikere ønsker adgang til kriminelles og terroristers data i forbindelse med forebyggelse og opklaring af forbrydelser.

Krypteret post
Med din Apple-computer finder du en glimrende applikation til håndtering af elektronisk post. Applikationen har det korte, sigende navn Mail. På mange måder er Mail en glimrende postklient som langt henad vejen kan det, som man kan forvente.

Men en lille og vigtig funktion mangler: Muligheden for at kryptere beskeder. Der findes allerede et robust, velafprøvet og udbredt systemet til kryptering af post, nemlig Pretty Good Privacy (PGP). Eller rettere sagt er PGP den oprindelige implementation fra 1991. Nu om stunder er PGP blevet erstattet af den åbne standard OpenPGP, dvs. PGP er i dag en af flere implementationer af OpenPGP.

En anden implementation af OpenPGP er GNU Privacy Guard (GPG). Som navnet antyder, er GPG en del af GNU-projektet under Free Software Foundation. Du finder mange GNU-projekter i enhver Linux-distribution (Free Software Foundations stifter, Richard Stallmann, insisterer da også på at kalde dem GNU/Linux-distributioner).

Der findes en udgave af GNU Privacy Guard specielt til Mac OS X og Mail. Den hedder GPGTools. I den rene udgave af GPG får du kun en række kommandoer, men GPGTools giver dig en grafisk brugergrænseflade samt integration med Mail og Finder. GPGTools er et open source-projekt, og du har adgang til kildeteksten. Det giver i princippet mulighed for at tjekke, om der er bagdøre bygget ind i GPGTools (i praksis kræver det, at du er en dygtig programmør og har masser af tid til at læse programkode). Netop en bagdør vil betyde, at kryptering i bedste fald er værdiløs og kun giver dig falsk tryghed.

Hvis du allerede har opgraderet til El Capitan (OS X 10.11), bør du vide, at GPGTools endnu ikke er helt klar til din version af OS X. Der findes heldigvis en beta-udgave, som du kan installere og bruge. For at installere GPGTools, skal du downloade en DMG-fil på ca. 40 MB. Selve installationen er ganske enkel og forløber i de fleste tilfælde problemløst.
Næste skridt er at generere en nøgle til at kryptere dine beskeder. Nuvel, du behøver ikke altid at kryptere dine beskeder, men kan nøjes med at underskrive dem. En og samme nøgle kan bruges til begge dele. Det er vigtigt, at du vælger en god og lang adgangskode (passphrase) til din nøgle. Ved at uploade nøglen kan andre sende dig krypterede eller underskrevne beskeder. Se figur D.

Figur D: Før du kan kryptere dine postbeskeder, skal du generere og evt. uploade en nøgle. GPGTools guider dig igennem. Figur D: Før du kan kryptere dine postbeskeder, skal du generere og evt. uploade en nøgle. GPGTools guider dig igennem.

Når du endelig har fået installeret GPG-Tools og genereret en nøgle, er du klar til at skrive og sende hemmelige (krypterede) beskeder. Det er i virkeligheden meget enkelt: i Mail begynder du på en ny besked, som du plejer. Eneste forskel er nu, at i øverste, højre hjørne finder du en lille grøn drop-down-menu ved navn OpenPGP. Du kan vælge, om du vil kryptere, underskrive eller gøre intet med den besked, som du er i gang med at skrive. Vælger du enten at underskrive eller kryptere den, skal du indtaste din nøgles adgangskode, når du sender beskeden. Se figur E.

Figur E: Der er ikke den store forskel på at sende en ukrypteret eller en krypteret besked. Når du krypterer, skal du dog indtaste adgangskoden til nøglen. Figur E: Der er ikke den store forskel på at sende en ukrypteret eller en krypteret besked. Når du krypterer, skal du dog indtaste adgangskoden til nøglen.


Modtageren af din krypterede besked skal naturligvis selv være bruger af en OpenPGP. Langt de fleste kommercielle webmail-klienter, herunder GMail og Outlook/Hotmail, understøtter ikke OpenPGP. Uden understøttelse for OpenPGP er det reelt umuligt at læse krypterede beskeder.

Den indbyggede firewall
Langt de fleste af os antager, at vi ikke kan blive mål for et angreb fra internettet. Af den grund tænker vi ikke over, at vores computer mere eller mindre altid er på nettet. Det er sandt, at mange firmaer har en firewall, og mange routere i de danske hjem gør det sværere at angribe din computer gennem NAT (Network Address Translation) og lignende.
Men ikke desto mindre er det stadig en mulighed, og af samme grund har Apple valgt at lave en firewall med OS X. Udgangspunktet er, at den er slået fra, og din computer tillader alle forbindelser til din computer. Du ved dog aldrig, om enten en tjeneste fra Apple eller en af de installerede applikationer har en sikkerhedsbrist. En sikkerhedsbrist kan betyde, at det er muligt at få adgang til din computer udefra.

Derfor, bør du som udgangspunkt slå OS X’s firewall til. Det gør du i Systemindstillinger under Sikkerhed og Anonymitet. I fanen Firewall kan du så slå firewallen til. Ved at tillade godkendte applikationer at åbne for enkelte porte, har du et fornuftigt sikkerhedsniveau.

Endvidere bør du slå Stealth-mode til. I dette mode vil din computer ikke svare på ICMP-pakker. Det vil sige, at din computer ikke svarer på f.eks. Ping-pakker, og det gør det meget sværere at opdage computere for andre. Se figur F

Figur F: Ved at tillade godkendte applikationer at åbne porte og gå i stealth mode, er din Macbook godt sikret mod angreb fra nettet. Figur F: Ved at tillade godkendte applikationer at åbne porte og gå i stealth mode, er din Macbook godt sikret mod angreb fra nettet.



Afslutning
Dette var en kort artikel om sikkerhed og privatliv på OS X, og den kommer på ingen måde i dybden, da der er mange flere emner at tage af og så mange detaljer at se på. Forhåbentlig har du dog som OS X-bruger fået øjnene op for, at du er nødt til at tænke på sikkerhed, og at der heldigvis er masser af muligheder for at sikre privatliv og anonymitet, når du er ejer af en Apple-computer.

Få mere at vide
3DES: https://en.wikipedia.org/wiki/Triple_DES og http://arxiv.org/pdf/1003.4085.pdf
FileVault er for sikker for FBI: https://www.intego.com/mac-security-blog/yosemite-filevault/
GPGTools (GNU Privacy Guard til OS X): https://gpgtools.org/
Mere om stealth mode: http://osxdaily.com/2015/11/18/enable-stealth-mode-mac-os-x-firewall/



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Laura Klitgaard
Laura Klitgaard
Jim Nielsen
Jim Nielsen
Thomas Madsen
Thomas Madsen
opinion
David Guldager
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Læs indlæg
Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Artikel teaser billede

Andreas Holbak Espersen

Derfor er den nye digitale taskforce det helt rigtige initiativ

Artikel teaser billede

Erik David Johnson

Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op

Mest læste klummer og blogs
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Klumme: Elektrificeringen lever i bedste velgående i de nordiske lande. Vi køber og leaser elbiler som aldrig før, og på mange leder og kanter er de også mere avancerede end nogensinde før. Men alligevel er vi langt fra , hvad vi egentlig var blevet lovet. Her er tre ønsker til min næste bil.
Af: David Guldager
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Vi har brug for en national dansk AI-sprogmodel - og det er der flere grunde til
Klumme: Danmark bør satse på at bygge en national AI-sprogmodel for at stå stærkere sprogligt og kulturelt – og for at mindske afhængigheden af amerikanske techgiganter.
Af: Laura Klitgaard
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
opinion Laura Klitgaard
Vi har brug for en national dansk AI-sprogmodel - og det er der flere grunde til
Læs indlæg

Premium
Teaser billede
Danske it-leverandører får hård kritik for ikke at leve op til lovkrav
Læs mere »
Danske softwarevirksomheder rammes af store skattesmæk
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Danske Jesper Schleimann bliver øverste AI-chef i Europa for SAP: Åbner nyt AI-center i stor satsning
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Tesla sender ny Model Y på gaden – sætter rækkevidderekord
Ny Windows-maskine fylder mindre end et kreditkort
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Danske SAP-konsulenter er for gamle: Kan blive et kæmpe problem
Danfoss er i fuld gang med stor SAP-transformation: Særligt setup skal sikre, at selskabet forbliver herre i eget hus
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Guide: Sådan udvikler du en moderne netværksstrategi
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »