Desatero bezpečnostních přikázání

9. 4. 2011

Sdílet

 Autor: Redakce

1.–3. přikázání

1. Nebudeš bez ochrany na síti dlíti

I když budete dodržovat dalších devět bodů sebelépe, nikdy si nemůžete být stoprocentně jisti, že si na přenosném disku od kamaráda nepřinesete i nějaký ten škodlivý software. Proto by mělo základní softwarové vybavení počítače obsahovat bezpečnostní balík, nejlépe včetně ochrany uživatele před útoky ze sítě. Většina těchto programů nese v názvu označení Internet Security, pravidlem to však není.

Takovéto balíky vás chrání nejen před obvyklými viry, které se již stahují do ústraní, ale především před hrozbami na internetu, které mají nejčastěji za úkol získat osobní citlivé informace. Tyto balíky podstatně zvýší úroveň zabezpečení vašich informací, které by se pi dodržování našich přikázání mohly zdát v bezpečí. Díky těmto pomocníkům budete včas varováni před navštívením podvodné stránky, upozorněni na nebezpečnou přílohu emailu či se postarají o zablokování stahování při zjištění infikovaného souboru.

Microsoft Security EssentialsMicrosoft Security Essentials, bezpečnost zdarma přímo od tvůrců Windows

Stejně důležité, jako je samotné používání bezpečnostního balíku, je také jeho údržba v aktuálním stavu. Snad všechna tato bezpečnostní řešení nabízí poloautomatické aktualizace, o kterých vás aplikace pouze informuje, popřípadě se dotáže na jejich nainstalování. V žádném případě aktualizace neodmítejte, obsahují totiž aktuální virové databáze a bezpečnostní záplaty, díky kterým může software čelit i nejnovějším hrozbám. To stejné platí o aktuálnosti operačního systému. Pro operační systémy Windows jsou vydávány stovky aktualizací, z nichž je velká část zaměřena právě na opravu bezpečnostních děr.

2. Nebudeš používati propojení nezabezpečených

Jednou z nejčastějších snah zlodějů na internetu je získání přístupu k vašemu bankovnímu účtu. Velmi častou praktikou je vytváření podvodných stránek, které jsou velmi podobné oficiálním webovým stránkám konkrétní banky. Takovéto stránky mají samozřejmě za úkol navodit u uživatele dojem, že se přihlašuje na internetové bankovnictví a získat tak jeho přihlašovací údaje.

Tyto praktiky však nejsou ani zdaleka užívány jen u internetového bankovnictví. Narazit na ně můžete prakticky všude tam, kde jsou pro přístup na stránky vyžadovány přihlašovací údaje a následně získané informace by byly pro útočníka nějak zajímavé. Můžou to tedy být stránky obchodů, kde je využíváno některého z platebních systémů, stránky online her, jejichž účty se dají zpeněžit, ale i podvodné stránky vydávající se za emailovou službu.

Velká část takovýchto podvodných stránek využívá velmi podobných webových adres, na kterých se většinou dostanete přes odkaz v podezřelém emailu. Nejčastěji se můžete setkat s URL, které končí koncovkou cn. Jednak je využívána pro svou podobnost s generickou doménou com a jednak je převážná část těchto útoků vedena z Asie, kde jasně vévodí Čína. Ochranu sice nabízejí internetové bezpečnostní balíky, které umí často takovouto podvodnou stránku rozeznat – daleko důležitější je ale pozornost a soudnost uživatele.

SSLSSL u Komerční banky

Věnujte pozornost podobě webové adresy a ujistěte se, že je opravdu správně. Mějte také na paměti, že velká část citlivých webových služeb používá zabezpečené připojení. To je označováno jako SSL (protokol HTTPS – S na konci znamená Secure, tedy zabezpečený) a nabízí šifrování a autentizaci účastníků komunikace. Tato zabezpečení jsou v každém prohlížeči označena, nejčastěji symbolem zámku, který po rozklepnutí skrývá informace o identitě a certifikátu konkrétní stránky.

Pokud tedy narazíte například na přihlášení do internetového bankovnictví, které není zabezpečeno, měla by se vaše pomyslná bezpečnostní kontrolka rozblikat do stavu nejvyššího ohrožení. S podvodnými phishingovými stránkami jsou úzce spjaty také podvodné emaily, skrz které se na tyto nebezpečné stránky často dostanete. Jejich úskalí jsou popsána v následujícím bodě.

3. Nebudeš podvodných dopisů dbáti

Stále oblíbenější metodou online podvodníků jsou e-maily, které mají za úkol vás přesvědčit k odeslání peněz na zahraniční účet, nebo k zadání přihlašovacích údajů na výše zmíněných podvodných webových stránkách. Velice rozšířené jsou strojově přeložené emaily, které vás mají přesvědčit o skvělé obchodní investici do zahraniční firmy, nebo z vás chtějí vylákat peníze na charitativní účely, jenž mají být použity na sponzoring dětí v Africe.

Strojový text, který je napsán lámanou češtinou by měl být prvním alarmujícím příznakem, který vás upozorní, že není něco v pořádku. Jedním z našich redakčních oblíbenců je pan Patrick Chan, jehož e-maily končí ve spamových schránkách velmi často. Od toho můžete dostat hned několik verzí zpráv z různých e-mailových adres.

Phishing
Jeden z nových phishingů České spořitelny

Rovněž velice oblíbenou zprávou, která většině poučených uživatelů připadá jako dobrý vtip, je podvodný e-mail vydávající se za zprávu od České spořitelny, na jejíž stránky také několika odkazy směřuje. Vyniká strojovým překladem, mezi kterým perlí především úvodní oslovení „drahoušek zákazník“. Bohužel i na takovéto zprávy dokáží uživatelé reagovat a poskytnout tak útočníkům přístup k osobním datům a bankovním účtům.

Pokud takovýto e-mail obdržíte a projde i skrze filtr nevyžádané pošty, určitě neklepejte na odkazy, které směřují na podvodné stránky. Když už to ze zvědavosti uděláte, řiďte se předchozími pravidly pro podvodné stránky a zkontrolujte správnost adresy, na které se nacházíte. Pamatujte, že seriózní instituce po vás nikdy nebudou požadovat odeslání citlivých informací přes e-mail. Obnovení hesla nebo zadání osobních údajů se má vždy odehrávat přes webový formulář, který je ideálně provozován přes zabezpečený protokol (HTTPS).

4.–6. přikázání

4. Nevydáš citlivých pravd o sobě ani o bližním svém

Velmi aktuální jsou bezpečnostní rizika na sociálních sítích, které se pomalu ale jistě stávají běžnou součástí života pro většinu uživatel počítače, zvláště pak pro mladší generaci. Pro tu je Facebook s půl miliardou uživatelů hlavní komunikační cestou. Tato fakta jsou samozřejmě velice lákavá pro různé podvodníky a spekulanty.

Kromě základních pravidel o nastavení soukromí na co nejvyšší úroveň skrývá Facebook a další sociální sítě další bezpečností rizika. Zaměříme-li se na Facebook, který se stal druhou nejnavštěvovanější webovou stránkou na světě, pozornost byste určitě měli věnovat všemožným aplikacím třetích stran, které jsou na Facebooku velice rozšířené. Těmi samozřejmě nejsou myšleny notoricky známé farmářské, mafiánské a karetní hry, ale především aplikace, které působí na první pohled neškodně (kvízy, změna rozhraní, atp.), avšak ke spuštění vyžadují přístup k informacím uživatele.

FacebookNa Facebooku pozor

Je třeba si uvědomit, že tímto svolením dáváte potencionálnímu útočníkovi možnost legálně si stáhnout veškeré vaše údaje včetně citlivých fotografií a dat. Ty jsou nadále velmi dobře zpeněžitelné v surovém stavu, kdy se jedná přímo o obchod s těmito informacemi. Stejně tak využitelné jsou v podvodných mailech, kdy je s jejich pomocí vyvolán dojem důvěrné zprávy.

Dalším nešvarem je také sdělování citlivých informací, které se na první pohled zdají naprosto nevinné. Těmi mohou být například zprávy o místě pobytu. Statusová zpráva o rodinné dovolené na veřejně přístupné uživatelské zdi je pak pro zloděje lahůdkou. To stejné platí o stále populárnějších geolokačních hrách typu Foursquare nebo Gowalla. Bytoví zloději totiž velmi ocení aktuální zpravodajství o vašem pohybu. Nejlepší ochranou na sociálních sítích je tedy nastavení soukromí na minimální okruh nejbližších přátel, rozumné užívání externích aplikací a rozvážné sdělování informací o sobě.

5. Nebudeš hamižně na podezřelých trzích nakupovati

Jistě jste se při svých toulkách internetem setkali s internetovými obchody, které vás sice neoslnily vzhledem stránek, ale super nízké ceny vás začaly přesvědčovat k nákupu. Takovýchto obchodů se na internetu vyskytuje nespočet, zvláště těch zahraničních. Zatoužíte-li například po elektronice „za pár kaček“, je dobré si obchod řádně prozkoumat a nanejvýš obezřetně si projít obchodní podmínky, kde by vás měla nejvíc zajímat část pojednávající o placení.

Často praktikou takovýchto obchodníků je placení za zboží přímo platební či kreditní kartou. Nebudete-li dostatečně ostražití, snadno zadáte svoje informace o platební kartě do formuláře v domnělém internetovém obchodě, z kterého však tyto údaje putují k podvodníkovi, pro které je naprostou maličkostí jejich zneužití. Dvojnásobné riziko pak platí u převodů peněz na účet obchodníka.

PayPal
Platba přes PayPal je bezpečnější

Jak se takovýmto komplikacím vyhnout? Nejúčinnější ochranou by bylo nepoužívání přímých plateb z kreditních karet a placení zboží pouze přes platební systémy, ideálně pak skrze nejrozšířenější PayPal. Ne vždy však obchodníci tyto systémy podporují (již to by mělo být důvodem pro maximální opatrnost). Druhou bezpečnou možností, jak zaplatit kreditní kartou jsou platební brány, které jsou v naprosté režii bank, a k obchodníkovi se dostane jen autorizovaná zpráva o vašem zaplacení. Tento způsob pravděpodobně využijete jen v tuzemských obchodech, kde nejčastěji narazíte na platební bránu 3-D Secure, kterou provozuje Česká spořitelna.

V případě zmíněného platebního systému PayPal je největší výhodou snadné řešení sporů s obchodníkem. Ve většině případů stačí podat stížnost právě na PayPal, který vám zaplacené peníze přičte zpět na účet a spor s obchodníkem řeší až zpětně.

6. Počítačů prodejných se vyvaruj

Určitě jste se někdy setkali s pojmem keylogger. Pokud přesně nevíte, oč se jedná, vězte, že je to z pohledu útočníka velmi užitečný nástroj, který dokáže zachytit veškeré stisknuté klávesy. Jaké využití má takovýto seznam si asi dokážete domyslet. Není žádný problém tento výpis zanalyzovat a najít v něm hesla, která napadený uživatel zadával.

Nejčastěji se keylogger používá vzdáleně, kdy se jím nechráněný uživatel nevědomky infikuje například při stahování nelegálního obsahu nebo brouzdání po roztodivných stránkách. Proti těmto útokům se snadno ochráníte bezpečnostním softwarem, důvodem proč zmiňujeme tyto hrozby, jsou veřejně dostupné počítače a veřejné sítě, se kterými se nejčastěji setkáte v internetových kavárnách a hernách. V případě veřejných počítačů můžete narazit na nainstalované keyloggery, v případě veřejných sítí na programy zachycující síťový provoz.

Klávesnice na obrazovceVirtuální klávesnice na obrazovce

Někdy můžete narazit také na keyloggery hardwarové – speciální kirabičky zapojené mezi klávesnici a počítač, které opět zachycují stisknuté klávesy. Proto je z bezpečnostního hlediska nejlepší vyhnout se zadávání jakýchkoliv údajů a hesel na takovýchto veřejných místech. Pokud z nějakého důvodu heslo, číslo kreditní karty nebo jakýkoliv jiný údaj potřebujete zadat, použijte k tomuto účelu virtuální klávesnici, kterou ve Windows vyvoláte zadáním příkazu osk do políčka v nabídce Start (ve Windows XP Start|Spustit, napište osk a stiskněte Enter).

7.–10. přikázání

7. Nebezpečenství čeliti budeš s mečem a štítem

Asi každý z uživatelů internetu někdy zavítal na stránky, které určitě nenesou známku seriózní. Ať už se jedná o weby s lechtivou tématikou nebo weby s ne zrovna legálním obsahem, patří tato sorta internetových stran k těm nejnebezpečnějších. Pokud se z jakéhokoli důvodu rozhodnete pro takovouto návštěvu, je dobré se na to vhodně vybavit.

Základem je, jako i u běžného surfování samozřejmě aktualizovaný bezpečnostní balík. Ten by vás měl ochránit před riziky škodlivého softwaru, který je na těchto stránkách velice častý. Dalším stupněm ochrany při brouzdání po nebezpečných stránkách je anonymní mód prohlížeče, který je podporován většinou moderních prohlížečů. Má za úkol nejen zamezit ukládání jakýchkoliv dat při surfování, jako jsou soubory cookies, nebo historie stránek, ale u některých prohlížečů je spojen s možností připojení přes proxy server. Tím je zajištěno, že se pro web, který navštívíte, bude připojení tvářit jako z místa umístění proxy serveru. Můžou být jak okolní státy, tak třeba USA.

VirtualPCVirtualPC a alternativy: počítače v počítači pro větší bezpečí

Poslední, nejbezpečnější variantou je použití takzvaného sandboxu. To je prakticky kopie operačního systému, která běží jako každý jiný program na vlastním diskovém oddílu. V tomto chráněném prostoru můžete zkoušet jak podezřelé programy, tak můžete surfovat po nebezpečných stránkách. Po té, co tyto experimenty ukončíte, sandbox jednoduše vypnete a po vaší práci nezůstanou v hostitelském systému jakékoliv stopy. Vyzkoušet můžete například Acronis True Image se svou funkcí Try and Decide.

8. Pokušení z výher snadných odolati musíš

Velice častou praktikou internetových podvodníků jsou výherní textové zprávy, na kterých je založena nejedna soutěž. Ty většinou spočívají v posílání esemesek, které stojí kolem stokoruny a cílem je trefit se do čísla zprávy, která je výherní. Pošlete-li například tisící zprávu, vyhrajete notebook. Asi si dokážete spočítat, že na tom provozovatel soutěže pravděpodobně nebude prodělávat. Pravděpodobně navíc vůbec žádná výhra neexistuje.

iPhoneVyhrej iPhone

S podvodem v pravém slova smyslu se můžete setkat v případě výherních bannerů, které lákají na neuvěřitelné výhry, slouží však především k získání citlivých údajů. Nejúčinněji se budete samozřejmě bránit, když se těmto bannerům budete obloukem vyhýbat. Když už na něj však klepnete a budete mít nutkání se soutěže zúčastnit, maximální pozornost věnujte licenčnímu ujednání a podmínkám soutěže.

9. Jedině hesel bezpečných používati budeš

Dnes a denně zadáváte k přístupu do různých internetových služeb uživatelské jméno a heslo. Právě vaše heslo je jedním z nejdůležitějších bezpečnostních prvků, jehož vytváření byste měli věnovat pokud možno co nejvíce času. Při posledním větším úniku přihlašovacích údajů z velkého internetového portálu, z něhož se podařilo útočníkovi získat přes 28 000 hesel, byly zveřejněny zajímavé statistiky.

Více než 16 % uživatelů používá jako svoje heslo křestní jméno, 14 % kombinaci „1234“ nebo „qwertz“. Je třeba si uvědomit, že heslo je mnohdy jedinou hrází mezi útočníkem a vašimi citlivými údaji a pokud si jako heslo zvolíte jméno, nemůžete se pak divit, že vám někdo ukradl identitu.

Jako nejbezpečnější hesla se samozřejmě považují kombinace písmen, čísel a speciálních znakům o délce alespoň 8 znaků. Takovéto kombinace totiž nerozluští ani ty nejvýkonnější algoritmy. Další důležitou zásadou je také používání více hesel na různých stránkách, což platí především o emailové schránce, kde by heslo mělo být unikátní a nepoužité na žádné jiné stránce.

Flyingbit Password GeneratorFlyingbit Password Generator: hesla nemusíte vymýšlet sami

A to především z důvodu, že se můžete zaregistrovat na podvodném webu, jehož provozovatelé zneužijí takto nabyté informace k přihlášení a zneužití vaší emailové schránky. O heslo se samozřejmě musíte také starat – nemějte je tedy uložené v texťáku na ploše, napsané na poznámkovém papírku přilepeném na monitoru, ani je neposílejte kolegům e-mailem. Heslo máte znát pouze vy a pokud jej musíte mít napsáno jinde než v hlavě, nechť je to na bezpečném místě.

Nejlepšími nástroji pro práci s hesly jsou jejich správci, kteří umožňují ukládání bezpečných, náhodně vygenerovaných hesel pro každou webovou službu zvlášť. Tato hesla jsou chráněna hlavním heslem, které je zašifrováno na lokálním disku a které vám umožní automatické vyplňování přihlašovacích formulářů.

10. Souborů malomocných se vyvaruj

Na diskuzních fórech, podezřelých webech, v uživatelských příspěvcích, v přílohách mailů – všude tam se můžete setkat s nebezpečnými soubory, které vás mohou ohrozit. Velice častou formou, těchto souborů jsou spustitelné formáty EXE, za kterými se sice může skrývat vtipná hříčka od přátel, ale také nebezpečný proces, který bude odesílat vaše údaje.

Trojský kůňTrojské koně už kompromitovaly nejeden počítač

bitcoin_skoleni

To stejné platí o archivech jako RAR, nebo ZIP. Veškeré tyto soubory doporučujeme důkladně prověřit bezpečnostním software, jestli nejde o software, který by vás jakkoliv ohrozil. Nevyplácí se ani experimentování s neznámými programy, které jsou stahovány z podezřelých webů. Pokud vyskočí stahování takříkajíc „odnikud“ rozhodně je lepší jej zrušit a soubor vůbec nespouštět. Do počítače stahujte a posléze spouštějte pouze takové soubory, u nichž jste si jistí jejich původem.

Programy tak ideálně získávejte pouze ze stránek výrobců nebo ze stahovacích webů, které obsah pravidelně ověřují (např. www. slunecnice.cz nebo www.stahuj.cz).

Autor článku