Deň pre bezpečnejší internet: Nebezpečné zlozvyky

Za posledné dva roky sa stal internet naším partnerom, spoločníkom a nevyhnutným pracovným nástrojom. Využívame ho na komunikáciu s kamarátmi a rodinou, objednávame jedlo, vianočné darčeky, vzdelávame sa a vzdelávame iných, pracujeme z domu. Prechod bol nevyhnutný, rýchly a využívanie internetu bude akcelerovať. Veď vlastne inú globálnu infraštruktúru ani nemáme. Prispôsobili sme sa situácii, ale málokedy si uvedomujeme, že situácii sa prispôsobilo aj kybernetické podsvetie a našu odkázanosť na internet dokáže zneužiť na mnoho spôsobov. Stačí chvíľka nepozornosti, nevedomosti alebo len obyčajnej ľahostajnosti a môžeme sa stať obeťou s nechcenými finančnými či reputačnými následkami pre nás, ale aj pre organizáciu/firmu, v ktorej pracujeme.

Kde všade sa skrýva hrozba? Ako nás „internet ohrozuje“ v bežnom živote? Ako minimalizovať pravdepodobnosť, že sa staneme obeťou? Popíšeme situácie, ktoré sú skutočné. A či sa vás konkrétne týkajú, musíte posúdiť sami. Čím budeme ľahostajnejší, tým budeme ľahším cieľom.

Takže, ktoré naše „zlozvyky“ sú nebezpečné?

 

Začneme automobilom

Používate bezkľúčové zatváranie auta? Áno, je to jednoduché, nemusíte vyťahovať kľúč z vrecka, keď máte ruky plné nákupov. Auto-ovládač zrejme vyberiete doma z vrecka a necháte na botníku alebo zavesíte na vešiak, ktorý je obyčajne blízko vchodových dverí. Pokiaľ máte rodinný dom a zmienený ovládač je blízko vchodu, tak aj domácky vyrobenou anténou je možné od vášho vchodu signál z kľúča zosilniť a nasmerovať na kópiu ovládača, s ktorou niekto stojí pri vašom aute a dostať sa do auta, prípadne ho naštartovať a odísť s ním. Žiaľ, toto nie je jediná možnosť, ako „hacknúť“ vozidlo, ktoré bolo vyrobené v poslednom desaťročí. Máme v autách k dispozícii rôzne systémy ako navigáciu, audio a video-systémy, ktoré sú prepojené s elektronikou auta. Mnohé autá komunikujú s výrobcom a zasielajú informácie o stave auta alebo informujú, kde sa auto nachádza v prípade rôznych bezpečnostných funkcionalít, aby sa prvá pomoc dostala k auto čo najskôr. No a v autách máme aj USB vstupy na pripojenie našich rôznych zariadení, napríklad USB s obľúbenou hudbou. Pre USB v autách platí to isté čo pre počítače. Nepripájajte neznáme USB do portov v autách. Overujte si mobilné aplikácie, ktoré používate na komunikáciu s vaším autom a kľúče s diaľkovým ovládaním umiestňujte čo najďalej od dverí.

 

Smart domácnosť

Dnes má WiFi pripojenie aj práčka, chladnička či umývačka riadu. Minimálne si viete na diaľku spustiť pranie, nemusíte použiť klasické odložené pranie. Domácnosti sú často vybavené inteligentnými spínačmi svetla, sťahovanie žalúzií sa dá naprogramovať, rovnako aj kúrenie či klimatizácia. Alebo taký robotický vysávač, alebo zavlažovanie na záhrade. Štandardom sú kamerové systémy a prirodzene ovládanie garážových dverí. To všetko zapojené do centrálneho ovládania. Má to však niekoľko háčikov.

• Aby ste sa na ktorýkoľvek chytrý prvok vašej domácnosti dostali a vedeli ho riadiť (zapnúť pranie, vysávanie, prestaviť kúrenie či klimatizáciu, pozrieť sa na kamerové záznamy atď.), potrebujete ho mať sieťovo dostupný, teda pripojený do vašej domácej počítačovej siete.
• Každý takýto chytrý prvok obsahuje v sebe softvér, aby ste ho mohli ovládať a rovnako ako všetky štandardné sieťové prvky a softvéry môžu z času na čas byť chybové, tzv. zraniteľné.
• Prvky chytrej domácnosti chcete ovládať na diaľku, a preto potrebujete na notebooku alebo tablete, alebo najlepšie rovno v telefóne aplikáciu na ovládanie.

Otázky:

Ako máte nakonfigurovanú sieť doma? Máte prvky chytrej domácnosti oddelené od vašej ostatnej počítačovej siete? A ako máte sieť chránenú. Viete, aké protokoly používa aplikácia, aby sa pripojila na práčku, klimatizáciu či kúrenie? Viete na diaľku otvoriť garážové dvere manželke? Ak to viete urobiť vy, tak pri zneužití zlej konfigurácie vášho domáceho firewallu, chybe v softvéri spotrebiča alebo deravej aplikácii vo vašom telefóne môže to isté urobiť aj hacker.

Aké sú naše zlozvyky pri používaní prvkov chytrej domácnosti? Neuvedomujeme si previazanosť medzi jej komponentmi (WiFi, aplikácia na ovládanie, ovládaný prvok) a postačuje nám funkčnosť riešenia. Na bezpečnosť akosi zabúdame, dúfame, že sa nič nestane.

 

Domáce WiFi

Ako ste konfigurovali vaše pripojenie na internet? Pokiaľ ste využili skutočnosť, že mnoho WiFi smerovačov dnes stačí rozbaliť, pripojiť do elektrickej site, pripojiť DSL alebo optický kábel a pripojenie na internet funguje a už takto fungujete niekoľko mesiacov – akurát vám pripojenie z času na čas vypadne, prípadne niekedy ide príšerne pomaly, tak váš WiFi smerovač je už minimálne súčasťou botnetu a útočníci ho používajú na cielené útoky. Teda v tom „lepšom“ prípade. V tom horšom prípade už na váš WiFi smerovač má prístup útočník, ktorý zneužil známu zraniteľnosť a odpočúva na ňom celú vašu komunikáciu, aby zistil, na aké aplikácie a weby sa prihlasujete.

Mnoho bežných používateľov ponecháva konfiguráciu WiFi smerovača v pôvodnom nastavení, bez akýchkoľvek zmien. Netušia, čo by mali urobiť a prečo. Ak bežne pracujú z domu, pripájajú sa do banky, nakupujú, prihlasujú sa na sociálne siete, doslova si svojou nevedomosťou koledujú o problém.

• Nové zariadenia (nielen WiFi smerovače) majú už od výroby nastavenú nejakú základnú konfiguráciu. Ak je možné konfiguráciu upravovať, tak je potrebné na zariadenie sa prihlásiť, a preto výrobca zvyčajne nastaví nejaký jednoduchý spôsob prihlásenia sa a očakáva, že používateľ si hneď po nastavení heslo zmení. To je prvá zásadná chyba. Mnoho ľudí nič na konfigurácii nemení, a teda nezmení ani továrenské nastavenie mena a hesla. Útočníkovi stačí zistiť, aký typ zariadenia používateľ má a vyskúšať továrenské nastavenia prístupu.
• Kedy ste na svojom WiFi zariadení nainštalovali nový firmware? Ak nerozumiete otázke, tak je jasné, že pokiaľ máte WiFi už pár mesiacov, je s najväčšou pravdepodobnosťou zraniteľné. Mnoho výrobcov domácich WiFi zariadení za posledný rok upozorňovalo používateľov, že bola odhalená zraniteľnosť a odporúčajú používateľovi stiahnuť a nainštalovať nový firmware (čo je vlastne operačný systém zariadenia, niečo ako Windows, Linux, či MacOS na vašom počítači).
• Aby sa zjednodušilo pripájanie ďalších domácich zariadení, napríklad tlačiarne, používajú WiFi smerovače protokol UPnP. Žiaľ,  tento protokol je zraniteľný, a preto sa odporúča jeho deaktivácia.
• Nastavenie firewall pravidiel je samozrejmosťou, aby ste povolili len také komunikácie, ktoré sú dôležité a neponechali vašu sieť úplne otvorenú.
• No a určite by ste mali nastaviť silný autentifikačný kľúč na vašej WiFi sieti. Odporúčame minimálne WPA2.

Pokiaľ vám vyššie uvedené informácie nestačia, tak si pozrite odporúčania na nastavenie WiFi smerovača 10 tipov, ako si bezpečne nastaviť WiFi router.

No a pokiaľ ste informáciám nerozumeli, určite sa poraďte s odborníkom a tieto nastavenia urobte.

 

Mobilný telefón

Vidieť telefón bez dotykovej obrazovky a bez prístupu na internet je dnes už rarita. Internet je dostupný všade, či už 4G sieť alebo o chvíľu 5G sieť, alebo WiFi siete – doma, v obchodných centrách, hoteloch. Pripojenia sú rýchle, operátori znižujú poplatky za prenesené dáta, a preto sme si zvykli, že telefón je vlastne univerzálny pracovný nástroj:

• Vybavujeme elektronickú poštu – súkromnú aj firemnú.
• Zúčastňujeme sa on-line porád (Teams, Zoom atď.).
• Komunikujeme na sociálnych sieťach, pracovne alebo osobne.
• Preposielame si fotky, hlasové správy, videá.
• Využívame aplikácie, ktoré nám merajú športové aktivity a ukladajú ich do cloudu.
• Takmer každá aplikácia chce mať informáciu o našej polohe, pretože nám lepšie a rýchlejšie poskytne informácie o blízkom hoteli, reštaurácii, benzínovej pumpe alebo o počasí.
• Nakupujeme a platíme za nákup, na e-shope aj v reálnom obchode.
• Máme tam uložené lístky na voľnočasové aktivity, ale aj letenky a zákaznícke karty od výmyslu sveta.
• Prichádzajú nám SMSky od banky, dodávateľa či informácia o blížiacej sa aktivite z kalendára.
• Máme tam uložené heslá k portálom, na ktoré pristupujeme.
• Kontakty a dôležité poznámky.
• No a telefonujeme – veď je to vlastne v prvom rade inteligentný telefón.

Pokiaľ ste si to takto zosumarizovali, tak kto sa zmocní vášho telefónu, tak sa vlastne zmocní vášho digitálneho života. Napriek tomu stále prevládajú zlozvyky, ktoré nás môžu stáť veľa peňazí aj problémov. Aké?

• Zamykanie telefónu a autentifikácia. Používame jednoduchý PIN a málokto použije aj biometriu (odtlačok prsta alebo tvár), aby telefón ešte viac personifikoval, aby nestačilo použiť len PIN.
• Pop-up hlásenia na obrazovke telefónu. Je vhodné ich nastaviť tak, aby ste videli, že hlásenie prišlo napr. z banky, ale aby ste na zamknutom telefóne nevideli obsah. Ak vám niekto ukradne telefón a e-shop si overuje váš nákup zaslaním kódu na váš telefón, tak vám nepomôže, že ho máte zamknutý, ak sa pop-up správa z e-shopu zobrazí na obrazovke.
• Nahrávanie aplikácií z neoverených zdrojov. Toto určite nerobte. Niežeby štandardné zdroje aplikácií od Google Play alebo Apple store boli absolútne bezpečné, ale pri sťahovaní z rôznych neoverených zdrojov, ktoré tvrdia, že platenú aplikáciu vám ponúknu zadarmo alebo oveľa lacnejšie, tak to je vyložený hazard s vlastnou bezpečnosťou.
• Predpokladáme, že používate antivírusovú aplikáciu aj na telefóne, alebo nie? Pokiaľ na telefóne čítate maily alebo „browsujete“ po internetových stránkach, tak by ste nemali váhať a mali by ste pár eur do antivírusového riešenia pre mobil zainvestovať.
• Kedy ste naposledy urobil update operačného systému vášho telefónu? iPhone mal za posledných 6 mesiacov niekoľko vážnych bezpečnostných chýb vo svojom iOS a verzie pribúdali každé 3 týždne. S operačným systémom Android je to rovnaké.
• Ak nerobíte update operačného systému, tak ste asi rezignovali aj na update aplikácií, ktoré v telefóne máte a veríme, že ich máte hodne, mnoho aj takých, o ktorých ani neviete, na čo sú. Prečo ich máte v telefóne, ak ich nepoužívate? Každá aplikácia po čase bude obsahovať nejakú zraniteľnosť alebo má vlastnosť, o ktorej neviete. Napríklad posiela informácie o vašej polohe rôznym marketingovým spoločnostiam (v tom lepšom prípade), aby vedeli, kde ste sa pohybovali a aké reklamy vám pri najbližšej návšteve vyhľadávacích služieb ponúknuť.
• A perlička na záver. Mnoho fitnes aplikácií, ktoré merajú vaše telesné aktivity, zasiela informácie o vašej kondícii a zdraví rôznym externým spoločnostiam. Pri stiahnutí a inštalovaní akejkoľvek mobilnej aplikácii by ste mali preveriť, k čomu aplikácia chce mať vo vašom telefóne prístup a s čím/kým chce komunikovať.

 

Sociálne siete

Ľudia sú na nich odvážnejší, napíšu, čo by nahlas nikdy nepovedali, zverejnia zábery, ale rovnaké fotografie by nenechali len tak v parku na lavičke. Potrebujeme sa pochváliť, vyžalovať, vykričať sa. Sedíme pred obrazovkou a cítime sa anonymní, často aj sme „anonymní“, pretože sa schovávame za vymyslené mená. Ale pokiaľ nie ste priamo platený troll alebo hacker, alebo minimálne ostrieľaný používateľ internetových služieb, tak asi nepoužívate VPN brány pre pripojenie. Všetky fotografie, posty na sociálnych sieťach a browsovanie po internete zanecháva o vás digitálnu stopu. Využitím v podstate jednoduchých metód preskúmavania verejných informácií na internete, ktoré je možné o vás kombináciou spomínaných informácií získať, si potenciálny útočník urobí o vás kompletný pohľad. Ako ste situovaný, aké máte rodinné zázemie, akých priateľov, prácu, ako ste motivovaný, ako trávite voľný čas, nákupné aktivity a podobne. Načo to komu bude?

• Aby vedel, kedy ste na dovolenke a dom je prázdny.
• Aby vedel, či sa oplatí vás vydierať.
• Aby vás skúsil ovplyvniť na „spoluprácu“, ak ste významná osobnosť, vedec, zamestnanec v kritickej infraštruktúre.
• Dnes je už štandardom, že HR oddelenia si budúceho zamestnanca preklepnú na sociálnych sieťach.
• No a nevhodná kritika vedenia spoločnosti na sociálnej sieti nie je práve odporúčaný spôsob ventilovania hnevu a frustrácie z práce. Je vhodné to riešiť priamo s nadriadeným.
• Každá informácia o vás tiež zvyšuje pravdepodobnosť, že phishingový mail bude obsahovať informáciu, po ktorej ste sa zháňali alebo o ktorú ste prejavili záujem. Stačí kliknúť na linku a do počítača, či do telefónu si namiesto informácie o výhodnej cene stiahnete malvér.

 

On-line shopping

Je to rýchle, je to pohodlné. Nemusíte nikam chodiť, máte čas vyberať tovar, porovnávať ceny, rozhodnúť sa pre formu platby, dopravcu a je jedno, či je to kniha alebo napríklad práčka.

Napriek tomu existuje mnoho možností, ako sa nechať oklamať.

• Overenie si predajcu. Pokiaľ používate overené e-shopy, ktoré fungujú mesiace či roky, majú tisíce zákazníkov, tak je predpoklad, že  nákup prebehne úplne bez problémov a bezpečne. No je mnoho nepoctivých e-shopov, ktoré vás nalákajú na obrovské výpredaje, absolútne nízke ceny alebo atraktívne, až takmer neuveriteľné súťaže a výhry. Čím neuveriteľnejšia zľava, tým vyššie riziko, že je to falošný e-shop, ktorý od vás potrebuje len získať číslo kreditnej karty, prípadne získať platbu, ale nedoručiť žiaden tovar.
• Zabezpečený web je pre e-shop absolútnou samozrejmosťou. Pokiaľ sa máte niekde registrovať, aby ste dostali zľavy a webová stránka nie je zabezpečená, tak registráciu ani neskúšajte!
• Pokiaľ sa už niekde registrujete, u mnohých garantovaných predajcov to má svoje výhody, tak použite určite súkromný mail a nie firemný. Prípadne si vytvorte osobitný súkromný mail pre takéto nákupné aktivity. V každom prípade použite pre každú registráciu na novom e-shope iné heslo. Ak totiž použijete rovnaké heslo na viacerých portáloch a niektorému portálu uniknú prihlasovacie údaje, tak si ohrozíte aj prístup do všetkých ostatných portálov, kde ste použili rovnaký mail a heslo. Asi by nebolo vhodné, aby niekto vo vašom mene skúšal nakupovať.
• Kontrolujte si, ako prebehne samotná platba. Predajca by vás mal presmerovať na platobnú bránu. Tu po zadaní informácií o vašej platobnej karte by ste mali byť ešte vyzvaný vašou bankou na potvrdenie – autorizáciu – platby. Celá komunikácia musí prebiehať cez zabezpečené stránky. Pokiaľ nie ste presmerovaný na platobnú bránu, mali by ste spozornieť, pretože e-shop zrejme bude uchovávať okrem registračných údajov aj údaje o vašej platobnej karte a je potom len na kvalite bezpečnostných opatrení e-shopu, či sa údaje o vašej platobnej karte neobjavia na darkwebe. Dnes je štandardom využívať zavedené platobné brány.
• No a pokiaľ „obchodujete“ aj neštandardne, predávate či nakupujete na rôznych bazároch, pozor na komunikáciu a potvrdzovanie nákupu. Nenechajte sa tlačiť predávajúcim, neposkytujte údaje o platobnej karte.
• V každom prípade odporúčame na on-line nákupy kreditnú kartu a nie debetnú a s nastaveným nízkym limitom transakcie. Niektoré banky umožňujú vytvorenie takzvanej virtuálnej kreditnej karty, ktorú viete použiť len na jeden konkrétny nákup.
• A kým oblasť e-shopov opustíme: všímate si a prečítate si niekedy oznámenia o cookies? Čo všetko a prečo bude o vás e-shop (a vlastne ľubovoľná stránka) zbierať a komu to bude posielať? A čo GDPR pravidlá?  Klikaním na povolenie cookies sme zrejme úplne rezignovali. Cookies by si zaslúžili osobitný článok.

 

Home-office

Pandémia COVID nás veľmi rýchlo prepla z práce v kancelárii a prístupom zo zabezpečenej siete na prácu z domu, kde naše bezpečnostné opatrenia hodne zaostávajú (česť výnimkám). O nastavení WiFi siete sme hovorili a čiastočne aj o hygiene hesiel, teda o tom, že pre každý portál, každú službu či každú aplikáciu by sme si mali zvoliť jedinečné heslo. Prirodzene, ak tých hesiel máme veľa, nie sú výnimočné prípady rádovo v desiatkach rôznych prístupov, tak je ťažké si toľko hesiel a navyše dostatočne dlhých a správne určených zapamätať. Na to slúži manažér hesiel – password manager – je to aplikácia, ktorá uchováva vaše heslá bezpečne a v šifrovanom tvare. Postačuje si tak pamätať jediné heslo, a to heslo na otvorenie password manažéra. Všetky ostatné prístupy máte bezpečne odložené v ňom.

Pokiaľ vám zamestnávateľ pridelil na prácu z domu osobitné zariadenie – notebook alebo počítač, tak urobil správne. A predpokladáme, že v ňom nastavil také politiky, aby ste mohli vykonávať rovnakú prácu za rovnakých okolností ako na svojom pracovisku. Teda pripájate sa zabezpečeným VPN kanálom k službám/aplikáciám, na ktoré máte oprávnenie, a prístup na internet je z daného zariadenia obmedzený, prípadne je prísne kontrolovaný aplikáciou na firemnom počítači, z ktorého doma pracujete.

Ak to takto nie je, tak patríte k väčšine pracovníkov na home-office, ktorí používajú buď vlastný notebook či počítač, alebo síce firemný, ale bez zásadnejších bezpečnostných opatrení. To síce nie je vaša chyba, ale aj tu máme sklon k nebezpečným zlozvykom.

Ten zásadný je, ak deti nemajú vlastný počítač alebo je práve nedostupný a ten váš určený na prácu je práve voľný. Tak ho „požičiate“ dieťaťu.

Otázka: Máte na počítači vytvorené rôzne profily, teda odhlásite sa z počítača a dieťa sa prihlási pod iným (svojím) profilom alebo mu len tak počítač posuniete. A máte na počítači aj nejaké hry? Kto ich nainštaloval? Dieťa na pracovnom počítači bez dozoru s voľne prístupným internetom je hotové nešťastie – bezpečnostné nešťastie. Za pár minút je schopné preklikať sa cez rôzne webové stránky a potvrdiť čokoľvek, čomu nerozumie. Ak už potrebujete zdieľať počítač, vytvorte pre dieťa osobitný profil.

 

Deti, Smart zariadenia a internet

Apropó, keď už sme pri deťoch. Koľko rokov majú vaše deti? Ešte nemajú 13 rokov? A vedia používať Facebook či Instagram? Áno? No nemali by. Obe sociálne siete požadujú potvrdenie, že používateľ má viac ako 13 rokov. Tik-tok, sociálna sieť tínedžerov má teoretické obmedzenie na 16 rokov. Ale prístupy majú aj 10-ročné deti. Tik-tok je vlastne portál krátkych videí, ale tínedžeri vymýšľajú rôzne súťaže, alebo skôr výzvy, napríklad, kto dlhšie vydrží škrtenie, alebo kto skôr upadne do bezvedomia pri kývaní hlavy zo strany na stranu. A to sú tie menej nebezpečné „výzvy“.

Ako trávia vaše deti čas na mobile a internete? Máte ich pod kontrolou? Je jednoduché dať dieťaťu mobil a internet a ponechať ho samo, nech sa zahrá. Deti sú šikovné a výnimočné, technológie zvládnu hravo „ľavou zadnou“, ale nikto im dostatočne nevysvetlí nástrahy sociálnych sietí.

A tak netušia, čo znamená netiketa, kyberšikanu berú ako zábavnú hru a na sociálnych sieťach zverejňujú videá a obrázky, za ktoré sa neskôr budú hanbiť.

 

Internet totiž nezabúda a chyby neodpúšťa. Tu neplatí staré „dôveruj, ale preveruj“. Platí „nedôverovať a všetko preverovať“ a má to aj svoj názov. Politika sa volá Zero trust (nulová dôvera) a stáva sa novým modelom pre bezpečnostné politiky vo firmách.

Autor: eMsec s.r.o.; Ing. Peter Matej