Minule jsem nakousl téma bezpečnosti a mám pocit, že je potřeba doplnit o nějakém povídání o tom jak se bránit. Ideální je více vrstev zabezpečení. Omlouvám se, ale nevím moc jak to napsat víc lidsky. Jedná se o to podniknout co nejvíc kroků k bezpečnosti. Útočník prostě musí mít před sebou co nejvíc zamčených dveří, které se musí nejdřív odemknout než se dostane k pokladu.
První: nemít zavirovaný počítač
Aktualizovaný operační systém. Útočníci používají často bezpečnostní díry v prohlížeči nebo operačním systému. Obecně platí, že využití bezpečnostní díry nemusí být úplně jednoduché a nemusí vést k úplnému ovládnutí počítače, ale při napadení webového prohlížeče může vést například k získání uložených hesel. Výrobci software navíc chyby opravují, takže pokus aktualizujete aspoň občas, tak nutíte útočníka hledat nové zranitelnosti.
Anonymní režim prohlížeče není zabezpečení. Je určený pouze k tomu, že se snaží minimalizovat množství informací posílaných serveru a neukláda historii navštívených stránek a zadané hesla. Není to ochrana proti malware! Pokud by byla nějaká chyba v prohlížeči, tak neochráni data.
Použití jiného prohlížeče, ve kterém nejsou uložená hesla, tedy může v některých případech pomoci.
Ideální je na prácí používat jenom počítač určený na práci a na zábavu jiný počítač. Pokud při práci používáme pouze účetnictví a webový prohlížeč jenom na banku, tak je pravděpodobnost napadení výrazně nižší než když používáme sociální sítě, koukáme na videa nebo instalujeme hry.
Né každý může nebo chce sebou tahat dva notebooky. To se dá trochu ošidit například pomocí Virtualizace. Nainstaluje se třeba VirtualBox a v něm nový operační systém (třeba linux) a potencionálně nebezpečné operace dělat v něm. Takovéto prostředí je do značné míry izolované od počítače a mělo by to ve většině případů stačit. Jsou známé i utoky pro únik z virtuálky. Virtualizační technologie navíc umí tzv. snapshoty, takže se dá snadno po skončení práce vrátit do původního “čistého” stavu.
Používat antivir a firewall. Antivir se snaží hledat nepezpečné programy. Jedná se spíš o nástroj pro likvidaci škody. Firewall slouží k omezení komunikace z a do internetu.
Druhá: vzdělávat se
Vědět jak útočník postupuje a čeho chce dosáhnout. Pokud vím, že někoho dalšího napálili prodejci hrnců, tak budu opatrnější když se mi někdo bude snažit vnutit hrnce. K tomu jsem minule napsal celý článek.
Je potřeba chovat se vždy obezřetně a přemýšlet nad tím co dělám. Útočníci v dnešní době to dělají tak dobře, že se můžou nachytat i odborníci. Je potřeba dávat si pozor i na sociálních sítích, na internetových bazarech nebo aukcích. V poslední době to zkouší i po telefonu.
Když jsem byl malý, tak jsem mamince vymazal pracovní počítač. Když jsem tam psal něco jako
rm -rf /*
, tak mi koukala přes rameno, ale prostě mně nestihla zastavit. Nebyl v tom zlý úmysl, prostě jsem chtěl smazat nějaký soubor, ale napsal jsem špatně příkaz. Stačila malá chvilka a data byla fuč.
Třetí: klást překážky
Je důležité stížit útočníkovi postup a minimalizovat rizika jeho případného úspěchu.
- nemít stejné heslo na všechno
- používat více faktorovou autentizaci
- neukládat si citlivé informace pokud je nepotřebujeme
- správně zálohovat
- omezit přistup
- zabezpečit celou síť
- sledovat co se děje
- útoky hlásit
Nepoužívat jedno heslo na všechno. Přestat používat jednochá hesla jako “heslo123”, “123456” nebo “qwertz”! Složitější hesla se dají vygenerovat třeba pomocí příkazu pwgen
. Umí to taky správci hesel, kteři jsou často jako rozšíření prohlížeče (třeba LastPass nebo bitwarden). Případně si můžete napsat vlastní generátor hesel jako já ;-D Pro každou službu používát jiné heslo. Jak je to s bezpečností hesel se můžete dočíst v článcích Michala Špačka nebo případně na nějaké jeho přednášce.
Zásada je nikdy nedávat svoje heslo ani potvrzovací kód nikomu dalšímu.
Bezpečnost hesel se dá zvýšit pomocí více faktorové autentizace (více viz předchozí článek).
Útočníci často vezmou citlivé informace a chtějí za ně výkupné. Zdravotní karty pacientů. Čísla kreditních karet zákazníků. Rodné čísla a čísla občanek zaměstnanců. Telefonní čísla milenek. Pokud to není nutné (například ze zákona), tak citlivé data neuchovávejte. Pak není za co chtít výkupné.
Zálohujte! Scénář, mám zašifrovaný celý disk, buď zaplatím výkupné nebo příjdu o všechny svoje data, můžete nahradit scénářem “nahodím ze zálohy a jedu dál”. Správná záloha má několik parametrů. Je důležité být schopen obnovit data. V ideálním případě firmy zkoušejí krizové scénáře, kdy zkouší obnovit zálohu. Záloha musí být bezpečná. To znamená, že útočník by němel mít k záloze přístup, aby ji nemohl zašifrovat stejně jako primární data, připadně prodat. Tzn. nemít uložené předvyplněné heslo k zálohám v počítači. Zálohu by měl ideálně dělat jiný stroj, který má přístup k tomu co potřebuje zálohovat. Zabezpečení záloh je potřeba věnovat zvýšenou pozornost. Zálohovací server je pro útočníka zlatý důl, který obsahuje všechny data.
Omezení přístupu je takový jednoduchý princip “rozděl a panuj” pro snížení dopadů případného úspěšného útoku. Například používání oddělených bankovních účtů na běžné výdaje a na spoření. V případě, že útočník získá údaje k běžnému účtu, tak udělá škodu v řádu desetititísů v případě, že má i spořící, tak získá ty miliardy. Jestli máte ale heslo uložené předvyplněné v počítači, tak se k němu může útočník dostat úplně stejně. Někdy mít to heslo na papírku může být vlastně lepší. Jestli nemáte vůbec žádné peníze, tak jste vlastně úplně nejvíc v bezpečí.
Dalším příkladem tohohle principu je praxe “nebýt správce vlastního počítače”. Pokud nainstalujete malware a jste uživatel, tak malware získává přístupy uživatele. Pokud nainstaluje malware a jste správce, tak je to …
To se dotáhne ještě nastavením oprávnění pro přístup jenom kam je opravdu potřeba. Mají dětí mít možnost upravovat firemní dokumenty? Co zaměstnanci? Potřebuje účetní přístup ke git serveru nebo účetní přístup k projektům konstrukčního oddělení?
Bezpečnost nekončí na Vašem stole. Viry se snaží rozšířit na všechny zařízení v síti. Je potřeba zabezpečit celou síť. Ve větších sítich pak děláme segmentaci sítě, což nám umožní oddělit počítače na práci a nebezpečné zařízení. I když máte jeden počítač na hraní a druhý na práci, tak je vždy lepší mít oba počítače v pořádku aktualizované a nezavirované.
Mobilní telefon nebo tablet je v podstatě taky počítač. Spousta lidí navíc na něm má nějaké soukromé údaje, které můžou sloužit k dalšímu napadení. Většina lidí ani neví jaký systém běží na wifi routeru, natož aby jednou za čas spustili jeho aktualizaci. Kvůli napadeným Mikrotikům těžíte kryptoměny za vaši elektřinu. To jsou na Vás útočníci v podstatě ještě hodní..
Je dobré mít přehled o tom jak se počítač nebo síť chová za běžných okolností. Jaké na něm obvykle běží programy. Jak moc je zatížený procesor. Prostě sledovat co se děje. Případná změna, kdy najednou slyšíte naplno pracující ventilátor, znamená buď nějaký problém (špatné nastavení nebo chybu v programu) nebo to může indikovat, že se něco děje. Když lze popsat normální stav, tak je najednou jasné i co není normální stav a co je anomálie. Pak se dá sledovat stav sítě podobně jako to děláme v našem produktu GreyCortex MENDEL. Opravdu si zaměstnanec stahuje firemní projekty do Číny ve 3 rano? Aha on je na služebce..
Pokud na narazíme na nějakou nekalou aktivitu nebo webovou stránku, tak je dobré to nahlásit. A to buď na Policii ČR (s ohledem na to jestli byla způsobena škoda) nebo použít třeba safebrowsing.google.com.
Univerzální řešení neexistuje.
Žádný “silver bullet” prostě neexistuje. Když se vymyslí nějaký způsob zabezpečení, tak útočníci druhý den příjdou útočníci s novým lepším útokem.
V případě, že se útočník zaměří přímo na vás a je ochoten investovat neomezené prostředky, tak vás celkem určitě dostane. Před pár lety jsem byl na přednášce o Hacking teamu a úniku dat. Je to firma, která se zabývala přípravou malware na míru. Tento případ ukázal kromě toho, kdo si tyto služby kupoval i to, že i profíci se dají hacknout. Mohlo by to pak vypadat přibližně následovně: firma, se kterou běžně obchodujete, vám pošle fakturu obsahující malware, který je postavený na zranitelnosti nultého dne. To je zranitelnost, o které výrobce operačního systému (nebo programu) neví, a tudíž pro to neexistuje oprava. Útočník pomocí ní nainstaluje do počítače malware, ke kterému má hezký ovládací panel, takže dokáže stahovat, nahrávat soubory, odposlouchávat, odesílat si snímky z kamery, zachytávat stisknuté klávesy atd. atd. Prostě má nad počítačem plnou kontrolu.
Docela vtipné bylo i nacenění těchto služeb. Ono totiž není nutné používat největší kalibr na běžné uživatele, protože ti si rádi sami nainstalují nějakou hru nebo se podívají na vtipné video.
Jestli máte nějaké jiné doporučení, které by se nemělo zapomínat, tak mi dejte vědět. Pokusím se článek rozšířit.
To zálohování by mělo být vícegenerační, aby nechtíc nepřepsalo poslední dobré zálohy v případě, že si hned nevšimneme poškození souborů.
Já zálohuji do podadresáře Mon/ nebo Tue/ až Sun/, kde archivní soubory každou noc přepisují své týden staré verze, a pak ještě celou zálohu zkopíruji do podadresáře Jan/ nebo Feb/ až Dec/. A kdybych nebyl líný to koncem roku vypalovat na DVD, měl bych k dispozici archivy svých dat hluboko do minulosti s měsíční granularitou.