¿Cuál es el método más seguro, tanto en línea como fuera de línea, para almacenar datos privados?

Christina Thompson , Cartera de IBM:

“Elliot, nuestro amigo en Mr Robot, tiene una forma única de ocultar sus datos … en CD de audio detrás de las etiquetas de bandas clásicas. ¡Ha funcionado hasta ahora! Incluso si alguien sospechaba de su elección de bandas (como The Cure y Beastie Boys), aún no pueden acceder a los archivos.

Sus datos deben ser sus datos, independientemente de dónde o cómo se almacenan. Ya sea su tarea, una receta familiar secreta, registros médicos o declaraciones de impuestos, estos son sus datos y deben mantenerse privados. El desafío, por supuesto, es que hay tantos lugares diferentes para almacenar y ocultar estos datos. Sus datos confidenciales (las cosas que no desea que nadie robe o vea) son más seguras mediante el uso de cifrado.

El cifrado correcto debería proporcionarle:

1) Implementación transparente y rápida

Realiza cifrado y descifrado sobre el sistema de archivos o la capa de volumen lógico para que sea transparente para los usuarios, aplicaciones, bases de datos y subsistemas de almacenamiento.

No requiere codificación o modificación de aplicaciones o bases de datos.

Protege los datos estructurados y no estructurados.

Proporciona escalabilidad para entornos grandes y complejos, incluidos miles de sistemas y archivos.

Proporciona protección extensible para archivos de registro, archivos de configuración y otros resultados de bases de datos.

2) Gestión centralizada de claves y políticas

Proporciona un método seguro y centralizado para administrar claves y políticas de cifrado.

Permite mejores prácticas comunes y consistentes para administrar la protección de datos estructurados y no estructurados.

Admite la clasificación de datos establecida y las políticas de uso aceptable.

3) Capacidades listas para el cumplimiento

Aplica la separación de funciones al admitir un sistema de gestión de bases de datos (DBMS) y una administración de seguridad independientes.

Proporciona auditorías e informes granulares y configurables de solicitudes de acceso a datos protegidos, así como cambios en políticas y claves.

Proporciona gestión de auditoría para reducir el alcance de la auditoría.

Consulte este blog para obtener más información sobre el cifrado: Islas de datos cifrados: las claves de cifrado se pierden pero no se olvidan “.

Cualquier información que proporcione IBM no es asesoramiento legal.

Related Content

¿Por qué el gobierno indio no está haciendo nada en el campo de la ciberseguridad?

Cómo informar varias vulnerabilidades que he encontrado en el sistema de pago del sitio web de mi universidad sin ser acusado de violar su seguridad

¿Puedo obtener un virus o malware de sitios redirigidos?

Cómo obtener un archivo de clave de WhatsApp sin rootear

¿Se puede guardar un virus o programa como un documento .txt?

  1. Si está almacenando datos, puede usar un disco duro externo y cifrarlo (clave pública / privada) con sus datos, por lo tanto, solo está activo cuando está enchufado. Máxima seguridad.
  2. Si lo desea, puede almacenar datos a través de un servidor de terceros si confía en que está conectado a través de una conexión PUTTY; instale SE-Linux y cierre todos los puertos innecesarios. Asegúrese de que solo inicie sesión como usuario no root y autentique el acceso con sudo.
  3. Asegúrese de usar unidades Naz (que utilizan RAID) para hacer una copia de seguridad de los datos, pero asegúrese de que si coloca información en su servidor local, está vacía y protegida por contraseña.

Espero que esto ayude.

** Dato interesante ** Si es un fanático de la privacidad, es posible que desee comunicarse a través de conexiones GPG. estos están encriptados asimétricamente y tardan meses en descifrarse, momento en el cual se cambia la clave.

Bill Brassfield

Ningún método para almacenar datos en línea es 100% seguro. ¡Olvídalo! Los hackers están constantemente tratando de ingresar a las tiendas de datos en cualquier lugar donde puedan encontrarlos. Que sitios de almacenamiento como Google Drive, etc. Puede usar estos sitios y mantener sus datos mucho más seguros encriptando sus archivos antes de cargarlos. Para el almacenamiento en línea esa es mi mejor sugerencia. En cuanto a fuera de línea, puede usar un dispositivo de almacenamiento doméstico personal como un disco duro externo. Pero tenga en cuenta que eso también es pirateable. Si los piratas informáticos pueden acceder a su red doméstica, pueden acceder a cualquier dispositivo conectado a ella. ¿Sabía que la forma más fácil de acceder a una red doméstica para hackers es encontrar un enrutador que todavía use la contraseña predeterminada? De todos modos, almacenar datos es una tarea desalentadora que requiere pensamiento y esfuerzo. El uso de cifrado significa que sus datos estarán relativamente seguros incluso si se ven comprometidos. Pero eso solo es cierto siempre que tenga una contraseña bastante compleja que el hacker no pueda adivinar.

Alexandre Campos

Yo uso Gnu Privacy Guard (GPG) en Linux.

Prefiero almacenar datos privados como un archivo cifrado AES-256 blindado ASCII. Tengo mucho cuidado para asegurarme de que el texto sin formato original (el secreto, los datos privados) nunca toque el disco duro (o cualquier otro dispositivo de almacenamiento). Así es como lo hago:

gpg -ca —cipher-algo aes256> secret_encrypted_data.gpg

Ese es el comando que emito en la línea de comandos, generalmente dentro de un directorio especial para contener información privada, como ~ / Private. (Todos los archivos en este directorio son archivos .gpg). Inmediatamente después de emitir este comando, me solicita la frase de contraseña de cifrado, que puede ser tan larga y complicada como quiero que sea. Lo escribo y presiono Enter. Luego me lo pide nuevamente (para confirmar que lo he escrito de la misma manera las dos veces), así que lo ingreso nuevamente. Si ambas frases de contraseña coinciden, entonces espera en silencio que ingrese los datos de texto sin formato, en la entrada estándar (a través del teclado o mediante un pegado del portapapeles del mouse). Cuando termine de ingresar los datos, presiono CTRL-D para enviar una señal EOF a la entrada estándar. GPG encripta todo, escribe el archivo y me devuelve mi solicitud de shell. Cuando emito el comando “cat secret_encrypted_data.gpg”, puedo ver claramente que es solo un montón de gobbledygook codificado en Base64 de aspecto aleatorio. Luego lo pruebo, para asegurarme de que puedo descifrarlo:

gpg -d secret_encrypted_data.gpg

Solo me pide una vez la frase de contraseña. Si lo escribo correctamente, envía el texto sin formato a la salida estándar (mi sesión de terminal) y luego sale, devolviéndome el mensaje. (Si lo escribo incorrectamente, simplemente falla con un mensaje de error, así que tengo que volver a intentarlo).

En algunos casos, los datos privados / secretos que quiero encriptar están en un archivo de texto grande (demasiado grande para escribir o pegar con el mouse), o puede ser un archivo binario como una imagen .jpg o .png, a. archivo pdf, o tal vez un documento de Word u hoja de cálculo de Excel. En casos como este, ingresaría un comando como el siguiente:

gpg -ca —cipher-algo aes256 -o secret_encrypted_image_jpg.gpg secret_plaintext_image.jpg

Todavía me piden la frase de contraseña dos veces, pero en lugar de esperar la entrada manual de texto sin formato a través de la entrada estándar, solo lee el contenido del archivo (en el último argumento de la línea de comandos) y envía la salida cifrada al archivo indicado por el -o opción de línea de comandos.

Para verificar el cifrado / descifrado exitoso:

gpg -d -o secret_plaintext_image_2.jpg secret_encrypted_image_jpg.gpg

Si ingreso la frase de contraseña correcta, escribe un nuevo archivo de salida, colocando el texto sin formato original en él.

Luego, para verificar que el nuevo archivo de texto sin formato es el mismo que el archivo de texto sin formato original:

sha256sum secret_plaintext_image.jpg secret_plaintext_image_2.jpg

Si los dos hash SHA-256 se ven iguales, entonces el ciclo de cifrado / descifrado fue exitoso.

Ahora, finalmente, es hora de deshacerse permanentemente de los archivos originales (texto sin formato). Así es como lo haría con la utilidad “triturar”:

shred -v -n 7 -u secret_plaintext_image.jpg secret_plaintext_image_2.jpg

En este ejemplo del uso de “triturar”, sobrescribo el archivo 7 veces. Eso es probablemente suficiente. Pero si me siento más paranoico, podría enfrentarlo hasta 32 veces, tal vez 40 veces. Pero la efectividad de “triturar” también depende del tipo de medio que esté almacenando el archivo de texto sin formato que se eliminará. ¿Es un medio magnético giratorio tradicional (disco duro)? Si es así, entonces la destrucción probablemente funcionará bien, a menos que alguna capa de almacenamiento en caché en el sistema operativo intercepte las llamadas de E / S, y toda la destrucción ocurra “en la memoria”, con solo una última limpieza del archivo en el disco duro real. Si el archivo se almacena en un medio de memoria no volátil (como una memoria USB o una unidad SSD), entonces quién sabe si la destrucción realmente está destruyendo los datos de texto sin formato. El problema con las unidades de memoria de estado sólido no volátil es que tienen algoritmos de nivelación de desgaste integrados en el hardware, lo que hace imposible sobrescribir los mismos bits una y otra vez (donde residía el archivo). Es muy probable que cada sobrescritura sucesiva del archivo por trituración se reasigne a otras celdas de memoria que han tenido menos cambios de bits en su historial. Además, una cosa a tener en cuenta es que estas unidades de estado sólido (tanto memorias USB como SSD) pueden tener una capacidad adicional significativa incorporada, pero no todas son accesibles / accesibles en un momento dado. Es muy posible que en una memoria USB de 4GB, pueda haber 2GB de espacio adicional que siempre es inalcanzable hasta que el algoritmo de nivelación de desgaste decida que es hora de cambiar una sección de los 4GB direccionables con una sección del mismo tamaño de los 2GB inalcanzables . Si esto sucede antes de que el archivo secreto de texto sin formato pueda ser “triturado”, entonces todo el archivo intacto puede estar en el dispositivo en esa sección de memoria actualmente no accesible (no direccionable). Puede hacer un escaneo completo del sistema de archivos del dispositivo, e incluso puede usar la utilidad “dd” para escribir todos los bits cero, pero el archivo de texto sin formato sigue ahí, simplemente no puede verlo. ¡Esto da miedo!

Esto significa que si * alguna vez * ha tenido datos sensibles de texto sin formato almacenados en cualquier dispositivo de almacenamiento de memoria de estado sólido no volátil (especialmente memorias USB o unidades SSD), nunca permita que caigan en manos de personas no autorizadas, incluso si cree que ha borrado por completo el dispositivo. Simplemente no puede confiar en el borrado de dichos dispositivos, al menos no mediante el uso de utilidades tradicionales de borrado de archivos como “triturar”, “borrar” o “BleachBit”. En realidad, la mayoría de estos dispositivos de almacenamiento de archivos de memoria no volátil tienen una API especial a nivel de hardware que le permite borrar el dispositivo * completo * (incluidos los segmentos de memoria ocultos). Pero estas API de nivel de hardware a menudo son propietarias y no son accesibles desde sistemas operativos de código abierto como Linux.

Por cierto, una vez que sus archivos estén encriptados AES-256 mediante el uso de GPG, debería ser razonablemente seguro cargar los archivos encriptados en el almacenamiento en la nube, como un bucket de Amazon S3. Todavía debe establecer los controles de acceso adecuados para asegurarse de que solo las personas autorizadas (quizás solo usted) puedan acceder a los archivos en el bucket de S3. Aunque están encriptados con uno de los cifrados simétricos más seguros y confiables disponibles en la actualidad, sigue siendo una muy buena idea evitar la distribución generalizada de sus archivos encriptados.

Bill Brassfield

La encriptación es realmente más segura que otros métodos. Pero no le recomiendo encriptar todo su disco duro, ya que podría dañar su sistema. Pero puede elegir los datos más sensibles y cifrarlos en una unidad extraíble. Puede usar un disco duro externo para almacenarlos.

Algunas versiones de Windows vienen con BitLocker, que hace el trabajo muy bien. Otra opción es VeraCrypt, que también es buena. Si desea encriptar sus archivos sin copiarlos a un dispositivo externo, también puede usar uno de los encriptadores que mencioné aquí, pero tenga en cuenta que si su disco duro falla por alguna razón, sus posibilidades de recuperar con éxito los archivos perdidos disminuyen considerablemente. Incluso una reinstalación de Windows puede dejar sus archivos inaccesibles si no tomó las precauciones adecuadas, como una copia de seguridad antes de modificarlos.

Bill Brassfield

La forma más segura es no tenerlo fuera de su propio cerebro en primer lugar.

Si eso no funciona, lo mejor es colocar las cosas en un disco encriptado y mantenerlo almacenado en un lugar realmente seguro, como dentro de una bóveda de un banco.

Tony Li

More Interesting

¿Es sensato usar Tencent como antivirus gratuito?

En JavaScript (lenguaje de programación), ¿el uso del cierre para declarar variables de miembros privados hace que las aplicaciones web sean más seguras?

¿Cuál es el alcance de la informática forense en la India y en el extranjero?

Cómo eliminar el malware CryptoPHP de mi sitio web de WordPress

¿Cómo conseguir un trabajo en compañías antivirus como McAfee, Avast, Symantec, etc.? ¿Cuáles deberían ser mis habilidades?

¿Cómo podemos proporcionar control de acceso mediante la intercepción de llamadas del sistema en el sistema operativo?

¿Qué es un ataque DDoS?

¿Debería Microsoft ser responsable de los ataques de ransomware?

Mis datos de virus U-disk se perdieron después de una infección por un virus informático. ¿Cómo puedo dejar que mi recuperación de datos USB sea gratuita?

¿Son buenas las versiones descifradas de antivirus de pago?

Cómo encontrar todos mis correos electrónicos y contraseñas

¿Vale la pena configurar la verificación en dos pasos para su cuenta de Google?

¿Puede el administrador de red ver la contraseña del cliente?

¿Qué puede hacer con la certificación Certified Ethical Hacker (CEH) si no tiene experiencia en seguridad informática o ciberseguridad?

¿Cuál es la diferencia entre virus informático y gusano informático?