VeraCrypt, il tool per cifrare file e mettere in sicurezza il patrimonio informativo aziendale

VeraCrypt è, al momento, lo strumento più interessante per la cifratura di file e cartelle e rappresenta dunque una valida soluzione per garantire un ottimo livello di protezione dei dati e del patrimonio informativo aziendale.

Come sappiamo, infatti, la cifratura (o crittografia che dir si voglia) permette di rendere illeggibili i dati contenuti in un file ma anche in volume o in uno spazio cloud a meno di avere la chiave di decriptazione, sia essa una chiave privata o una chiave conosciuta.

La cifratura viene anche usata per i dati in transito (VPN), per evitare che i dati vengano intercettati da utenti malevoli e siano in chiaro. Il protocollo di comunicazione SSL (Secure Sockets Layer) mediante il quale si implementa l’HTTPS è un esempio di cifratura in transito.

Nel documento che segue parleremo della di cifratura dei dati a riposo, ovvero quelli che stazionano su un disco, sul cloud, su una chiavetta USB (e ricordiamo anche su uno smartphone, di cui non parleremo, ma dove la cifratura è fondamentale).

Che cos’è VeraCrypt

Successore quasi naturale del glorioso TrueCrypt, VeraCrypt è uno strumento che funziona per Windows, Linux e Mac e che permette di realizzare la cifratura di volumi e partizioni, con diverse tipologie di algoritmi, in modo che con una chiave conosciuta da chi ha cifrato sia possibile riaccedere ai dati.

Le caratteristiche più importanti e più utili riguardano la possibilità di cifrare dispositivi esterni (nell’articolo vedremo come criptare le chiavette USB che sono facilmente perdibili e quindi più importanti da proteggere) e la possibilità di creare volumi nascosti e cifrati, che vengono resi visibili solo lanciando il tool stesso e inserendo la chiave di cifratura.

In tale modo un attaccante, quando trova una chiavetta USB persa senza chiave di accesso non può leggervi i dati. Se un portatile viene smarrito, la partizione nascosta e cifrata non è visibile. Se un disco viene estratto da un portatile mentre siamo a una conferenza e abbiamo lasciato il portatile in hotel, per collegarlo ad un altro portatile e exfiltrarvi i dati, sarà probabilmente visibile la partizione ma non i dati al suo interno.

VeraCrypt è considerato meglio di BitLocker (il sistema di cifratura nativo di Windows) e che ha mostrato nel tempo alcuni problemi di sicurezza. Inoltre, essendo vendor neutral, ha caratteristiche peculiari che lo rendono indipendente dal sistema operativo e molto più robusto (anche se ricordiamo nessun software è infallibile, del resto la cifratura è un’ulteriore linea di difesa).

Come cifrare una pendrive USB

Iniziamo scaricando VeraCrypt dal sito ufficiale. È preferibile scaricare la versione portable che non installa driver o chiavi di registro nel sistema, che quindi non rallenta progressivamente nel tempo.

Eseguita la versione portable (o terminata l’installazione della versione “normale”), viene visualizzata la schermata principale di VeraCrypt.

Per creare una chiavetta cifrata si clicca su Crea volume o Create Volume (se abbiamo optato per la versione in inglese del software).

Quindi si sceglie la seconda possibilità Cifra una partizione non di sistema (Encrypt a non-system partition drive).

La prima possibilità permette di creare un file che faccia da volume, una sorta di volume virtuale incluso in un file cifrato: in tal modo, se non si ha spazio sul disco fisico libero (perché lo si è già usato tutto) si può utilizzare lo spazio libero dei volumi Windows esistenti come “buffer criptato” per un volume virtuale.

Questo è a mio avviso sconsigliato per motivi di performance e sicurezza. Meglio un drive nascosto e cifrato in una partizione segreta che un file cifrato. Comunque, è un buon compromesso se si vuole iniziare a provare VeraCrypt per capire come funziona.

La terza possibilità prevede di cifrare anche la partizione di sistema. Per i neofiti consiglio di evitarlo per non creare un blocco al sistema.

Fatta la nostra scelta, premiamo Next o Successivo per passare alla schermata successiva:

La prima opzione permette di creare un volume Standard di VeraCrypt (che va bene nella maggior parte dei casi), anche se la mia opzione preferita è il volume Hidden (ovvero nascosto). Come dice l’help, il fatto che sia nascosto dovrebbe rendere più difficile in un eventuale caso di estorsione, di rapina o altro l’individuazione e quindi essere messi con un coltello alla gola per rivelare la password di accesso. Se può sembrare una situazione remota, non consideratela tale: in cyber security la “security” non è mai troppa e non è mai sufficiente.

Procediamo oltre premendo ancora Next o Successivo.

Con Select Device è possibile scegliere il volume da cifrare. Nel nostro caso è una chiavetta USB da 8 GB, con sopra Hirens Boot CD Iso (una distribuzione Linux utile per accedere a sistemi con problemi o dischi danneggiati, per dirne alcune).

Premendo nuovamente Next o Successivo è quindi possibile scegliere se creare una partizione nuova e formattarla (opzione 1) oppure criptare in place, ovvero mantenendo i dati presenti sul dispositivo.

Per una chiavetta di recovery come Hirens fare la cifratura in place ha poco senso, perché non contiene dati sensibili ma solo una ISO pubblica, quindi scegliamo la prima opzione: Create encrypted volume and format it ovvero Crea un volume cifrato e formattalo.

Premendo Next o Successivo si possono scegliere gli algoritmi di cifratura.

In questo VeraCrypt è veramente abbondante, nel senso che ci sono numerosi algoritmi. L’AES può essere sufficiente a meno che si vogliano salvare dati veramente sensibili o importanti.

È anche possibile scegliere l’algoritmo di hashing utile, semplificando, per lo pseudo random number generator (il generatore di numeri casuali) e altre funzioni. Se non si hanno particolari esigenze di criptazione dati, è consigliabile lasciare impostato SHA-512, che è l’algoritmo usato di default da VeraCrypt.

A questo punto viene mostrato un riassunto del volume.

Si arriva così al passaggio più critico, ovvero l’unica cosa da tenere a mente, o salvare nel proprio password manager (che se presente su file system poi non è saggio mettere sulla chiavetta altrimenti se si dimentica la password di cifratura che è nel password manager diventa complicato recuperarla): la password di cifratura che verrà richiesta per leggere i dati della chiavetta all’inserimento.

Nel caso specifico abbiamo inserito la password veracrypt, volendo si possono inserire anche file di chiave, ma si tratta di un’opzione sconsigliata per i primi utilizzi del software. Premendo Next o Successivo VeraCrypt segnala che la password è troppo debole e ha ragione. Ma per motivi di semplicità la lasciamo. VeraCrypt consiglia password di almeno 20 caratteri. Personalmente consiglio almeno 14, con lettere maiuscole e minuscole, numeri e uno o più caratteri come !@# o simili.

Premendo su Si o Yes ci viene chiesto se si vogliono salvare files più grandi di 4 GB.

Questa opzione serve per scegliere il tipo di files system e boot record. Basta scegliere Si (Yes) o No in base alle proprie esigenze.

A questo punto VeraCrypt chiede di muovere il mouse fino a quando non verranno collezionati un numero sufficiente di movimenti randomici, in modo da permettere una cifratura migliore. Divertiamoci a muovere il mouse fino a che la barra gialla non arriva in fondo.

È anche possibile scegliere Quick format o Formattazione veloce per accelerare la procedura.

Volendo, si può ancora scegliere il file system (lasceremo FAT) e come si può vedere abbiamo completato la fase di randomizzazione dei contatori (barra verde).

Completa la formattazione, VeraCrypt ricorda che la prossima volta che si collegherà la chiavetta non verrà montata come drive G, ma bisognerà aprire VeraCrypt ed assegnargli una lettera di unità:

Abbiamo così completato la procedura di cifratura della nostra chiavetta. Ora si tratta di leggerla.

Usciamo quindi da VeraCrypt, scolleghiamo la chiavetta USB e ricolleghiamola.

Windows ci chiede se deve formattarla: ovviamente diciamo di no (semplicemente non la riconosce perché la partizione è cifrata).

Apriamo quindi VeraCrypt (se chiuso), scegliamo una lettera di unità da associare alla chiavetta USB (ad esempio K) e clicchiamo su Auto-Mount Device.

VeraCrypt effettuerà una scansione automatica di tutte le partizioni per cercare eventuali partizioni cifrate, tra cui la nostra chiavetta.

Attenzione: VeraCrypt potrebbe sembrare bloccato mentre effettua la scansione. Bisogna portare un attimo di pazienza prima che trovi la chiavetta. Per accelerare il processo si può prima selezionare la partizione con Select Device ovvero Seleziona Dispositivo.

A questo punto il drive viene caricato come lettera di unità K, sarà visibile da Risorse del computer di Windows e potrà essere utilizzata come un qualsiasi drive USB esterno.

La nostra pendrive USB cifrata con VeraCrypt è pronta e perfettamente funzionante. Nel caso in cui dovessimo perderla o ci venisse rubata, possiamo stare tranquilli che i dati in essa archiviati non saranno accessibili e l’unica operazione che il ladro potrà compiere sarà quella di… formattare la chiavetta.