Środowisko pozbawione zastrzyku nowości jest środowiskiem narażonym na atak
Okej, od czasu do czasu znajdziemy w mediach wpis o tytule „Aktualizacja X uszkodziła system Y”, ewentualnie „Nie instalujcie tej aktualizacji!”. Zaznaczę jednak, że są to przypadki odosobnione i na tyle rzadkie, że przytaczanie ich skończyłoby się szybciej, niż ten akapit.
Idea aktualizacji jest dość prosta – kupując system, kupujesz też wsparcie producenta. Chodzi nie tylko o pomoc w obsłudze, ale właśnie o dostarczanie jak najbardziej aktualnych wersji tego OS-u, pozwalających na pracę w środowisku maksymalnie dostosowanym do współczesnych realiów. Sporo systemów już na starcie cierpi z powodu luk w zabezpieczeniach, które potem, stopniowo, są łatane wraz z każdym kolejnym wydaniem.
To najprostsza i najskuteczniejsza metoda zabezpieczania się
We wszystkich współcześnie pisanych systemach aktualizacje przebiegają raczej szybko i bezboleśnie – czy to OS X, czy Windows, czy któraś z przyjaznych dla użytkownika dystrybucji Linuksa. Często są pobierane w tle, automatycznie, kiedy my zajmujemy się czymś zupełnie innym. Takie ustawienie pomaga zresztą zapewnić, że najnowsze patche (łatki) instalowane będą najszybciej, jak to tylko możliwe.
Kluczowa jest tu jedna sprawa – kiedy już taka łatka zostanie przez producenta wydana, wiedza o niedociągnięciach w systemie staje się publiczna. Wie o tym dosłownie każdy, kto choć trochę interesuje się tematem. Może dramatyzuję, ale właśnie to specyficzne okno stanowi największe zagrożenie – chodzi o okres pomiędzy wysłaniem powiadomień o dostępności aktualizacji, a jej faktyczną instalacją przez użytkownika. Atakujący nasze systemy zdają sobie sprawę z tego, że często zwlekamy z wgraniem nowych plików. Zwłaszcza domowi użytkownicy lubią przestawiać ustawienia aktualizacji w tryb ręczny, instalując je w wolnej chwili; według wielu ekspertów, jest to niewystarczające. Ustawienie automatyczne pozostaje najlepszym, najbardziej skutecznym i gwarantującym najwyższy poziom bezpieczeństwa.
Wszystko pięknie – ale czy takie podejście nie jest samobójem dla użytkowników Windowsa?
Owszem, w czasach XP czy Visty, automatyczne aktualizacje potrafiły niejednego z nas wyprowadzić z równowagi. Nasze komputery potrafiły sobie samodzielnie pliki pobrać i zainstalować, po czym błyskawicznie uruchamiały system ponownie, nie pytając nikogo o zdanie; niejednokrotnie traciliśmy przez to pracę, której nie zapisaliśmy.
W Windows 7 i 8 sprawa wygląda już inaczej. Ten pierwszy wyświetla komunikat z możliwością odroczenia aktualizacji na czas dłuższy, niż 10 minut. Wersje 8 i 8.1 funkcjonują jeszcze lepiej – informują, że w komputerze pojawiły się niedawno nowe pliki systemowe, przez co potrzebny będzie reset. Jeśli sami się go nie podejmiemy, OS Microsoftu zrobi to za nas po trzech dniach. Nie trzeba tu już, jak choćby w Windows 7, co cztery godzina odraczać ponownego uruchomienia komputera. Możliwa jest nawet całkowita deaktywacja automatycznego resetu – wystarczy pokusić się o drobną modyfikację rejestru.
Pojedyncze słowa nie zabezpieczają Cię w ogóle
Jeśli porównamy hasła „*282*@kAKSas!@” i „andrzej1”, to nawet osobom niewtajemniczonym wyda się, że to pierwsze jest wyraźnie mocniejsze. Słusznie zresztą – ochrania nas bowiem przede wszystkim przed jedną z najbardziej prostych (żeby nie powiedzieć – prostackich) metod ataku, znaną jako „brute force”. Polega ona na wyposażeniu aplikacji usiłującej złamać hasło w zaplecze słownikowe, dzięki któremu setki czy tysiące razy na minutę wykorzystywane są narzucone słowa – od „kotków”, przez „słoneczniki”, na imionach kończąc. Użycie hasła, którego nie znajdziemy w żadnym słowniku, gwarantuje nieco wyższy poziom bezpieczeństwa.
Warto też ustalić sobie hasło długie. Przykładowo, twór 15-znakowy jest ok. 90-krotnie trudniejszy do złamania, niż jego 14-znakowy odpowiednik. Podkreślam, że mówię tu o znakach, nie literach czy cyfrach. Połączenie każdego z dostępnych na klawiaturze znaków jest konieczne – wykorzystujcie więc zarówno duże i małe litery, cyfry, jak i znaki specjalne czy przestankowe.
Inne hasła dla różnych stron
Jedno hasło do maila, Facebooka, LinkedIn, forów, sklepów online i archiwum zdjęć na Naszej Klasie nie jest najlepszym pomysłem. Warto do każdego z tych serwisów wykorzystywać zróżnicowaną, niepowtarzalną formułę – bo jeśli, odpukać, ktoś złamałby jedno z Twoich haseł, to nie będzie w stanie przejąć pozostałych Twoich kont.
Jak to wszystko zapamiętać?
Najprostszym sposobem jest wykorzystywanie menedżerów haseł. To specjalistyczne, wybitnie zabezpieczane aplikacje, w których możemy przechowywać nasze hasła do każdej z użytkowanych stron. Warto przesiąść się na tego typu rozwiązanie, rezygnując z zapisywania haseł w przeglądarce – bo ten ostatni zabieg pozwala na wręcz banalne wyciągnięcie ich z pamięci naszego Firefoksa, Chrome’a czy Internet Explorera. Menedżer, z kolei, wymaga dostępu przez podanie kolejnego, dodatkowo szyfrowanego ciągu znaków.
Facebook, LinkedIn, konto Google – wszystkie te usługi korzystają z dwustopniowej weryfikacji
W skrócie działa to tak:
Wtedy urządzenie, z którego się logujemy, zostanie dodane do listy zapisanych sprzętów – naszych sprzętów. Najczęściej dwustopniowa weryfikacja jest jednorazowa, kiedy dostajemy się do konta po raz pierwszy. Pozwala ona na „przesiew” osób korzystających z naszych online’owych zasobów – bo w dalszym ciągu próby dostania się do nich z innego komputera będą, mimo wpisania hasła, wymagać kolejnego kroku.
Owszem, żadna metoda nie zapewnia 100-procentowego bezpieczeństwa. Hakerzy już w tej chwili są w stanie uprawiać phishing, przejmując nasze kody m.in. poprzez zarażone aplikacje. Tutaj pewnym rozwiązaniem jest korzystanie z tzw. klucza bezpieczeństwa (z ang.: „Security Key”) i ustalenie go jako podstawową metodę wysyłania kodów weryfikacyjnych.
Bit.ly, Goo.gl czy TinyURL – brzmi znajomo?
Zanim klikniesz w krótki link z nieznanego źródła, sprawdź go tutaj. Często zdarza się, że w tego typu konstrukcjach ukrywane są strony zgoła inne od tych, których mógłbyś się spodziewać – a nie zawsze Twoja przeglądarka czy pakiet antywirusowy zdąży zareagować. Dlatego też, dmuchając na zimne, lepiej jest dodatkowo sprawdzić zawartość takiej witryny.
Alternatywą dla linkowanego powyżej CheckShortURL jest instalacja jednego z dodatków dedykowanych bezpieczeństwu określonych serwisów – zainteresujcie się m.in. Sucuri i WOT-em.
Sprawdzasz pocztę w kawiarni? To licz się z tym, że możesz się do niej po raz drugi nie dostać
Załóżmy taki scenariusz – siedzisz w kawiarence. Dokooła widzisz kilkanaście osób popijających kawę, sączących zielone herbaty lub, nieco przedwcześnie, szkocką z lodem. Wiesz, że przynajmniej część z tych osób korzysta z ogólnodostępnego Wi-Fi na swoich tabletach, smartfonach i laptopach. Wiesz też, że za 20 minut możesz mieć komplet informacji o tym, gdzie się urodzili, do jakich szkół chodzili i czego szukali w Google w przeciągu ostatnich kilku dni.
Wystarczy ci małe, czarne pudełeczko, niewiele większe od paczki papierosów. Otwierasz laptop, logujesz się do sieci i rozpoczynasz – już po chwili widzisz na ekranie takie nazwy, jak „iPhone (Tomek)” czy „Komputer Moniki”, a antena na wspomnianym pudełku przechwytuje sygnału wysyłane ze wszystkich tych urządzeń.
Tego typu eksperyment przeprowadziła Maurits Martijn z holenderskiego „De Correspondent”, zabierając do jednej z lokalnych kawiarni crackera biegłego w podobnych działaniach. Wystarczyło mu dosłownie kilkanaście minut, by móc pochwalić się odpowiednim „backgroudnem” poświęconym każdej z osób znajdujących się w lokalu.
Czy da się bezpiecznie korzystać z publicznych hotspotów?
W skrócie – nie. Można jednak ryzyko ograniczyć do minimum, jeśli tylko zdamy sobie sprawę z tego, że nigdy nie będziemy w takiej sytuacji bezpieczni. Na pewno trzeba korzystać z firewalli (czy to systemowych, czy dostarczanych wraz z pakietami antywirusowymi) i umiejętnie oznaczać sieci, do jakich się podłączamy. Kojarzysz pop-up, który wyświetla się w Windowsie po zidentyfikowaniu danej sieci? Korzystając z otwartego Wi-Fi, zawsze zaznaczaj „Publiczna”. Zawsze.
Należy też uważać na same nazwy sieci, do których się podpinamy. Przykładowo – siedząc w Starbucksie, powinniśmy zauważyć Wi-Fi o nazwie „Starbucks Free”, nie „FREE WI-FI”. Pytajcie też obsługi, która sieć należy do restauracji.
Niezależnie od obranego scenariusza, najlepiej nie logować się do maila, Facebooka i innych tego typu serwisów korzystając z publicznego Wi-Fi. Absolutnie nie można na pewno sprawdzać stanu konta bankowego – nie chodzi tu tyle o wykradzenie haseł zapisanych, co o możliwość zdalnego zainstalowania key-loggera, czyli aplikacji rejestrującej wszystkie ruchy wykonane na klawiaturze.
Facebook to prawdziwa kopalnia
Domyślnie ustawienie prywatności na Facebooku powinno pozostać jak najbardziej restrykcyjne – jeśli nie jesteś w żadnym stopniu osobą publiczną, zachowaj swój profil dla siebie. Niczego nie udostępniaj na zewnątrz; skoncentruj się wyłącznie na gronie swoich znajomych. Pamiętaj też o rozsądnym ich dobieraniu – nie akceptuj każdego, zwłaszcza, jeśli nie masz zielonego pojęcia, kim jest dany człowiek.
Uważaj też na wiadomości, które trafiają do folderu „Inne”. Nierzadko trafisz tam na spam lub próby phishingu – zwłaszcza, jeśli doposażone są w załączniki czy niezidentyfikowane, prowadzące na zewnątrz linki. Najlepiej jest tego typu korespondencję ignorować lub od razu usuwać. To samo dotyczy zresztą maili czy tweetów od nieznanych nadawców.
Niektóre odnośniki na stronie to linki reklamowe.
Komentarze
To prawda że najsłabszym ogniwem jest człowiek.
Chrystusie przenajświętszy, imionach a nie imieniach...
Prawda!
Spoko, nawet zabezpieczone wifi można sniffować ;)
Pewnie - ale lepiej mieć Wi-Fi zabezpieczone, niż nie. I lepiej mieć WPA2, niż WEP. :) Przecież nawet rozwiązania korporacyjne za gigantyczne pieniądze nie gwarantują pewności - chodzi wyłącznie o minimalizowanie zagrożeń.