Bezpieczenstwo w IT to bardzo szeroka dziedzina. Aplikacje oraz infrastruktury buduje się tak, aby ten aspekt pozostał nierozerwalny na każdym etapie procesu. Czasem poprawa bezpieczenstwa jest wynikiem odpowiedniego doboru parametrów w kodzie, a czasem – wnikliwej analizy i długich przygotowan. To jak inżynierowie różnych dziedzin IT projektują swoje rozwiązania pozostawmy specjalistom, ale pamiętajmy, że nawet najlepsi specjaliści nie obronią nas przed naszymi własnymi błędami czy pomyłkami. Wszyscy powinniśmy poważnie traktować swoje bezpieczenstwo ponieważ przekłada się ono także na bezpieczenstwo całego systemu a potem na innych użytkowników. Jako użytkownicy mamy co prawda bardzo niewielkie możliwości, ale dzięki temu możemy naprawdę niewiele robić, żeby robić to dobrze. Istnieje kilka prostych sposobów, które możemy wdrożyć choćby i w tej chwili, aby podnieść poziom swojego bezpieczeństwa. W dzisiejszym odcinku wymienimy ich 10.
Pierwszym sposobem na podniesienie poziomu bezpieczeństwa jest po prostu częste aktualizowanie swoich aplikacji oraz systemów. Dotyczy to laptopów, smartfonów i w zasadzie wszelkich możliwych urządzeń jeśli dają taką możliwość. Z prawie każdą aktualizacją otrzymujemy pakiet poprawek bezpieczeństwa. Czasem nawet mały pakiet poprawek może zaważyć o tym czy ktoś się do naszego urządzenia włamie czy nie. Można powiedzieć, że rozwijanie oprogramowania to w pewnym sensie wyścig. Wyścig pomiędzy dostawcami danej usługi, którzy na bieżąco szukają słabości w swoim kodzie i usiłują je naprawić, a hakerami, którzy nieustannie szukają tych samych słabości i usiłują je wykorzystać. Ignorując aktualizacje ułatwiamy pracę hakerom, ponieważ dajemy im więcej czasu, aby znaleźli podatności i odszukali nasze urządzenie z tą konkretną starą wersją oprogramowania. Zdecydowanie nie jest to strona wyścigu, po której chcielibyśmy się znaleźć. Zachęcam zatem do częstego aktualizowania swoich komputerów, smartfonów, urządzeń IoT, ale również do aktualizowania routerów i w zasadzie wszystkiego, co daje taką możliwość.
Drugi sposób raczej nie kojarzy się wprost z bezpieczeństwem, ale zapewniam, że ma z nim wiele wspólnego. Chodzi mianowicie o częste tworzenie kopii zapasowych swoich danych. Administratorzy mawiają, że ludzie dzielą się na dwie grupy, ci, którzy robią kopie zapasowe, oraz ci, którzy kopie zapasowe robić będą. Pomijając oczywisty sarkazm w tym zdaniu, trzeba przyznać mu słuszność. Większość ludzi kopii zapasowych nie robi, dopóki w bolesny sposób się nie przekona o tym jak są ważne. Nasz laptop może zostać skradziony, dysk może zostać uszkodzony a nawet sami przez pomyłkę możemy skasować swoje ważne dane. W takich scenariuszach kopia zapasowa oszczędza nam dużo pracy. Ponadto, kopia zapasowa jest niezwykle pomocna, jeśli padniemy ofiarą jakiegoś ransomware. Jest to taki rodzaj złośliwego oprogramowania, które dokonuje szyfrowania naszych danych za pomocą nieznanego klucza oraz żąda okupu za ich odszyfrowanie. Jeśli mamy kopię zapasową swoich danych, możemy w takim wypadku po prostu całkowicie sformatować dysk twardy, dzięki czemu na pewno pozbędziemy się wirusa za darmo. Po instalacji systemu na nowo po prostu odzyskamy dane z kopii zapasowej. Tworzenie kopii zapasowej eliminuje bardzo wiele problemów jeszcze zanim powstaną.
Trzeci sposób to korzystanie z menadżera haseł. Złych nawyków dotyczących haseł można wymienić pewnie wiele, ale moje 3 ulubione to: wymyślanie krótkich i prostych haseł, używanie tych samych haseł wszędzie, oraz zapisywanie haseł na kolorowych kartkach samoprzylepnych i przyklejanie ich do monitora. Prawidłowo używany menadżer haseł rozwiązuje wszystkie te problemy, choć przyznaję, że ten ostatni przykład jest dość ekstremalny. Jako zwolennik Open Source używam aplikacji Bitwarden. Jest to menadżer dostępny na macOS, Windows i Linux, ale również na systemy mobilne w ekosystemie Apple oraz Android. Dzięki takiemu menadżerowi haseł wystarczy pamiętać tylko jedno hasło, czyli hasło główne do otwarcia menadżera. Hasło główne jest zarazem kluczem szyfrującym do przechowywanych haseł, więc konieczne jest by było wystarczająco silne. Jeśli ma to być jedyne, lub jedno z bardzo niewielu haseł, które musimy pamiętać, polecam wymyślenie nawet paranoicznie długiego hasła, na powiedzmy 48 znaków. Kiedy to będziemy mieli, możemy skorzystać z wbudowanego generatora haseł i takie właśnie generowane hasła stosować już dalej wszędzie. Nie musimy ich pamiętać. Wystarczy wejść na jakąś stronę, rozpocząć rejestracje a Bitwarden sam zaproponuje wygenerowanie i zapamiętanie hasła, którego długość i poziom trudności możemy nawet sami określić. Kiedy się zgodzimy sam zacznie podpowiadać użytkownika i hasło na danej stronie. A co ważne, jeśli przypadkiem wylądujemy na jakiejś stronie spreparowanej, która wygląda identycznie jak ta, na której się zarejestrowaliśmy, Bitwarden nie podpowie hasła. Będziemy oczywiście mogli je wyciągnąć ręcznie, ale będzie to bardzo wyraźny znak, że prawdopodobnie coś jest nie tak i warto się zastanowić czy przypadkiem właśnie nie jesteśmy oszukiwani. Zatem menadżer haseł polecam od zaraz, ponieważ rozwiąże wiele problemów, łącznie z pewnymi nieoczywistymi problemami.
Czwartym sposobem podnoszenia stopnia bezpieczeństwa jest używanie weryfikacji dwuskładnikowej. Za każdym razem, kiedy dokonujemy logowania do jakiegoś serwisu, powinniśmy podać hasło oraz jeśli hasło jest prawidłowe, powinniśmy zostać poproszeni o podanie dodatkowego hasła jednorazowego. Takie hasło możemy dostać SMSem albo spisać je z aplikacji na smartfonie. Nie polecam jednak używania SMSów, ponieważ ten typ komunikacji nie jest szyfrowany. SMSy są wysyłane i odbierane w postaci otwartego tekstu. Co prawda hasło jednorazowe zwykle jest aktualne tylko 30 sekund, ale przecież w bezpieczeństwie nie chodzi o ułatwianie pracy hakerom. Hasła jednorazowe można generować za pomocą rozmaitych aplikacji mobilnych. Wybór aplikacji jest naprawdę duży, więc zachęcam do samodzielnego przejrzenia sklepu z aplikacjami i wybraniu czegoś co nam pasuje. Proszę tylko zwrócić uwagę na możliwość tworzenia kopii zapasowej swoich kodów. Jeśli nasze urządzenie mobilne nam zginie a nie będziemy mieli kopii, możemy mieć poważny problem z zalogowaniem się do naszych usług. Jednakże używanie haseł jednorazowych daje bardzo wysoki poziom bezpieczeństwa. Haker nie dość, że musi znać nasze długie i skomplikowane hasło, co już jest bardzo trudne, to jeszcze musi mieć fizyczny dostęp do naszego urządzenia mobilnego. Zatem zachęcam do przejrzenia wszystkich usług, których Państwo używają i uruchomieniu takiej weryfikacji, jeśli jest dostępna. Zwykle proces uruchamiania jest prosty i jesteśmy prowadzeni za rękę.
Piąty sposób, który jest obecnie nadal mało popularny to zmiana swojego DNS. Jeśli korzystamy z jakiegoś popularnego serwera DNS, albo tego, którego podsunął nam nasz dostawca Internetu, mamy bardzo duże prawdopodobnieństwo, że jesteśmy wystawieni na wszystkie wady tego systemu. DNS to w zasadzie taka książka telefoniczne Internetu. Jednym z jego zadan jest tłumaczenie nazw domen na numer IP. Czyli jeśli potrzebuję się połączyć ze stroną www.m-core.consulting najpierw mój komputer odpyta znany sobie serwer DNS, “jaki jest adres IP przypisany do domeny www.m-core.consulting”. Serwer DNS odpowie numerem IP. Więcej na temat samego DNS znajdziecie Państwo w drugim odcinku “IT Prostymi Słowami”. Skoro urządzenia w Internecie cały czas pytają serwery DNS o adresy IP, bo same go nie znają, to czemu by niektórych adresów nie blokować już na tym etapie? Powiedzmy, że jakiś haker stworzył stronę, która wygląda identycznie ze stroną jakiejś usługi, z której korzystamy. Zrobił ja tylko po to, żeby ktoś na taką stronę wszedł w pełni przekonany, że to prawidłowa strona i podał swój login i hasło. Haker takie poręczenia otrzyma i zacznie używać już na właściwej stronie do podszywania się pod swoją ofiarę. Taki sposób wyłudzania haseł nazywamy phishingiem. W samym 2021 roku wykryto około 2,5 miliona stron phishingowych. Dość skutecznie takie strony właśnie blokuje się na poziomie DNS. Czyli jeśli z jakiegoś powodu mój komputer zacznie próbować się połączyć ze stroną phishingową, zapyta DNS o IP takiej strony. Jeśli DNS wie, że taka strona jest spreparowana, zamiast odpowiadać numerem IP serwera, odpowie “nie ma takiej strony”. Wiele popularnych serwerów DNS po prostu odpowiada na praktycznie każde zapytanie DNS, nawet takie, które zaprowadzi nas do stron spreparowanych. Jeśli chcemy zwiększyć swoje bezpieczeństwo warto zmienić swój DNS na taki, który ma filtr niebezpiecznych stron. Z darmowych rozwiązań dobrze sprawdza się DNS firmy Cloud Flaire, ale ja osobiście preferuję płatne, aczkolwiek bardzo tanie rozwiązanie NextDNS, ponieważ również odcina sieci reklamowe. Czyli jeśli z dowolnego powodu mój komputer będzie chciał coś zrobić z jakąś siecią reklamową, na przykład pobrać reklamę, albo przypadkiem wejdę na stronę phishingową, NextDNS potraktuje je jak takie samo zło i odpowie, że taka strona nie istnieje. Na mojej przeglądarce internetowej nigdy nie ma reklam właśnie dzięki NextDNS. Zachęcam zatem do zmiany swojego DNS.
Kolejna metoda całe szczęście z czasem staje się coraz bardziej popularna. Chodzi tutaj o szyfrowanie swojego dysku. Jeśli nasz system operacyjny wspiera jakąś natywną technologię szyfrowania, warto z niej skorzystać. W najgorszym wypadku zmusi to nas tylko do podania jednego dodatkowego hasła. Jednakże, jeśli hasło to będzie wystarczająco silne, a ktoś po prostu skradnie nasz dysk, wysiłek jaki będzie musiał włożyć w odszyfrowanie takiego dysku będzie tak duży, że w praktyce kompletnie nieopłacalny. Łamanie haseł jest zawsze kwestią czasu. Jeśli ktoś takie hasło łamie nigdy nie wie jak długo to potrwa. Może jeszcze 5 minut, a może kwadrylion lat. Wymyślając silne hasło sprawiamy, że proces ten zajmie tak długo, że taki haker tylko będzie tracił czas i pieniądze na rachunki za prąd, ponieważ proces ten jest dość energochłonny. Użytkownicy macOS mogą zapoznać się z natywną technologią FileVault, a użytkownicy systemu Windows natomiast z technologią BitLocker aby zaszyfrować swój dysk. Jeśli z jakiegoś powodu technologia nie jest dostępna albo po prostu nie chcemy z niej korzystać, warto zapoznać się z technologią VeraCrypt, która działa na każdej platformie i jest dostępna za darmo. Zwracam uwagę, że jeśli zalogowanie się na naszego użytkownika na naszym laptopie wymaga hasła, wcale to nie znaczy, że dysk jest zaszyfrowany. Jednakże, jeśli hasło do logowania jest zarazem kluczem do rozszyfrowania naszego dysku, wtedy można uznać, że nasze dane są znacznie bardziej zabezpieczone.
Siódma metoda, która już może niestety wiązać się z trudnościami przekonania do niej swoich znajomych to używanie wszelakich technologii zapewniających szyfrowanie typu end-to-end. Jak pamiętamy z poprzedniego odcinka “IT Prostymi Słowami”, szyfrowanie end to end to taki typ szyfrowania, kiedy wyłącznie nadawca i odbiorca wiadomości mają dostęp do klucza szyfrującego, a nie dostawca usługi. Wiele osób używa dziś już bardzo wielu usług Internetowych na co dzień. Można powiedzieć, że nasze dane, nawet te prywatne są rozproszone po całym świecie i nie sposób ich wszystkich śledzić. Nasze dane mogą się fizycznie znajdować na dziesiątkach serwerów na całym świecie. Skąd wiemy jak bardzo administratorzy tych serwerów zabezpieczają swoje systemy? Skąd wiemy, czy akurat na jednym z tych serwerów nie doszło do włamania? Czy w takiej sytuacji zostalibyśmy o tym poinformowani? A nawet jeśli zostaniemy poinformowani, co z tego, jeśli dane są i tak już poza naszą kontrolą? Nie znamy odpowiedzi na wiele pytań. Dla tego też, jeśli już pojawia się potrzeba wysłania jakiegoś pliku, warto rozważyć używanie bezpiecznych komunikatorów internetowych, takich jak Signal czy Session. Maile można wysyłać zaszyfrowane technologią S/MIME albo OpenPGP. Jeśli nawet gdzieś na końcu świata ktoś włamie się na jakiś serwer, który akurat będzie przechowywał nasze dane, zobaczy tylko ciąg znaków i jakieś metadane. Warto jest sprawić, aby zatem mógł odczytać jak najmniej. Technologii jest naprawdę bardzo wiele i dotyczą nie tylko wymienionych przeze mnie zagadnień. Zachęcam do samodzielnego przeglądu strony PrivacyTools.io. Znaleźć można na niej bardzo wiele technologii przyjaznych naszej prywatności. Wiele z nich to technologie implementujące szyfrowanie end to end w standardzie. Wiele z nich również jest darmowych.
Ósma metoda dotyczy porządkowania swoich aplikacji. Każdy z nas, kiedy kupi nowego laptopa z zainstalowanym systemem operacyjnym albo nowego smartfona, zobaczy, że jest na nim również zainstalowanych kilka aplikacji. Kiedy tak eksploatujemy nasze urządzenia często instalujemy różne aplikacje, które przez jakiś czas używamy, ale potem przestajemy, albo używamy raz na pół roku. Dobrą praktyką jest dokonywanie rutynowego przeglądu swoich aplikacji i usuwanie wszystkich, których się nie używa. Aplikacje mogą mieć miliony linii kodu, do którego często nie mamy wglądu. A nawet, gdybyśmy taki wgląd mieli, nie starczy nam czasu na studiowanie tego wszystkiego. Zawsze w pewnym momencie będziemy musieli zaufać programistom danej aplikacji, że produkt firmy, dla której pracują był przynajmniej zadowalająco przetestowany pod kątem bezpieczeństwa. Jednakże pewności nie możemy mieć nigdy. Złośliwe oprogramowanie, którym możemy zostać zainfekowani, może wykorzystywać podatności naszych zainstalowanych aplikacji. Dla tego też, jeśli jakiejś aplikacji nie używamy, warto ją usunąć, żeby minimalizować zagrożenie.
Przedostatnia, czyli dziewiąta metoda również dotyczy regularnego audytowania swoich aplikacji. Kiedy już usunęliśmy nieużywane aplikacje, powinniśmy także przejrzeć pozostałe aplikacje pod kątem ich dostępów. Zasada głównie dotyczy smartfonów. Jeśli jakaś aplikacja zarządzająca zdjęciami potrzebuje dostępu do Internetu, do katalogu zdjęć i aparatu, można śmiało uznać, że takie uprawnienia powinna mieć. Jednakże, jeśli ta sama aplikacja prosi o dostęp do mikrofonu, a nie ma funkcjonalności nagrywania filmów, powinniśmy poważnie się zastanowić na odłączeniem takiego dostępu. Jeśli jakakolwiek aplikacja ma dostęp do zasobów, który naszym zdaniem nie jest jej potrzebny, albo dostęp ten nie jest dla nas zrozumiały, warto taki dostęp od razu odłączać. Jeśli naprawdę będzie w przyszłości potrzebny, zawsze może zostać przywrócony, ale zanim zrozumiemy po co na przykład dostęp do usług lokalizacji dla aplikacji wysyłającej e-mail, proponuję taki dostęp zablokować. Zasada ta wynika z tego, że dość często jako użytkownicy akceptujemy regulamin aplikacji nieczytając go. Zapewne, gdybyśmy go jednak przeczytali dowiedzielibyśmy się, że na przykład aplikacja w taki sposób nas śledzi, albo po prostu dodaje do naszych plików odpowiednie metadane. Ze względu na to, że prawie nigdy nie mamy czasu na pełne i wnikliwe przeanalizowanie działania aplikacji, najbezpieczniej jest po prostu ograniczyć zaufanie. Pamiętajmy, że metadane, które dostawca danej usługi od nas uzyskuje do śledzenia nas i profilowania, również mogą zostać kiedyś wykradzione nawet po latach składowania na serwerach dostawcy. Czy wszyscy dostawcy szyfrują swoje składowane dane? Pytanie niestety jest retoryczne.
Ostatnia metoda nie jest już związana z żadną technologią. Dotyczy bowiem już tylko i wyłącznie naszego nastawienia. Zasada brzmi “zachowaj spokój”. W dzisiejszych czasach jesteśmy zalewani różnymi próbami wyłudzeń. A to otrzymamy mail rzekomo z naszego banku, w którym rzekomy administrator prosi nas o nasze hasło, bo inaczej dojdzie do zablokowania naszego konta. A to otrzymujemy mail o tym, że jakiś serwis prosi o natychmiastową zmianę hasła z dowolnego powodu. Prób wyłudzenia jest dziś bardzo wiele. Jedyne co możemy zrobić, aby się przed tym chronić to zachować spokój. Administratorzy nigdy nie proszą o hasła, bo mogą je nadpisać w każdej chwili, zapewniając sobie dowolny dostęp do naszych danych. Po co mieliby prosić o nasze hasła? Próby wyłudzenia prawie zawsze mają element presji czasowej. Jeśli otrzymamy wiadomość, że jeśli czegoś nie zrobimy w ciągu 12 godzin, coś złego się stanie, ktoś kto nam tę wiadomość wysłał właśnie liczy na to, że damy się przestraszyć. Ufając, że kiedy klikniemy w podany link faktycznie zrobimy coś niewinnego, tak naprawdę odwiedzimy stronę internetową przekazującą nasze hasło hakerowi albo pobierzemy złośliwe oprogramowanie. Uczulam zatem do traktowania każdego otrzymanego maila i SMSa z dużą ostrożnością. W takich chwilach warto zadać sobie pytanie “Czy głównym celem tej wiadomości nie jest właśnie wywołanie we mnie emocji, żebym stracił czujność?”. W dzisiejszych czasach wyłudzenia haseł bardziej opierają się na psychologii społecznej i niestety żadne zabezpieczenia techniczne w tym nie pomogą. Pozostaje zatem nam tylko i wyłącznie nasza własna rozwaga i czujność.
