Bezpečnostní tipy od expertů
Člověk se může učit z vlastních chyb nebo si může nechat poradit od profesionálů. My vám nabídneme exkluzivní tipy od nejzkušenějších odborníků v oblasti bezpečnosti.
Felix Knoke, Petr Kratochvíl
Před triky počítačových zločinců nejsou v bezpečí dokonce ani IT odborníci. Oni se ale ze svých chyb poučili a jejich zkušenosti mohou být prospěšné pro všechny uživatele počítačů. My jsme se proto některých renomovaných odborníků v oblasti bezpečnosti zeptali: Jakou bezpečnostní chybu jste udělali a jak jste se z ní poučili?
Když jsme tento článek připravovali, ani ve snu nás nenapadlo, jak zajímavé (a upřímné) budou odpovědi některých expertů. Eugene Kaspersky nám řekl, jak mohl zabránit únosu svého syna Ivana, Richard Stallman, expert firmy F-Secure, prozradil, jaké programy používá, a viceprezident bezpečnostní firmy Barracuda Networks Stephen Pao nám odhalil, jak „testuje“ své nové zaměstnance.
Tyto zkušenosti může využít při své práci či zábavě kdokoliv -pro využití našich tipů od profesionálů nemusíte být experti, své si zde najdou i začátečníci. Pokud se budete těmito radami řídit, bez zvýšení nákladů vzroste zároveň i vaše úroveň zabezpečení, a počítačoví zločinci si raději vyberou snadnější cíl…
Eugene Kaspersky: Unesený syn
Když v dubnu 2011 unesli jeho dvacetiletého syna Ivana, Eugene Kaspersky připravil za pomoci médií a policie na pachatele past. V médiích bylo jako diverzní manévr, který měl únosce uklidnit, zveřejněno, že Kaspersky zaplatí částku tří milionů eur jako výkupné. Při schůzce se zástupci vyděračů policie celou bandu odhalila a zatkla, Ivan byl bez zranění zachráněn. Tím však pro Eugena Kasperského celá záležitost neskončila. Během vyšetřování se ukázalo, že únosci získávali osobní údaje oběti nejen při pozorování jejího každodenního života, ale především ze sociálních sítí. Díky těmto informacím také mohli precizně naplánovat samotný únos.
„Nikdy jsem se přesně nedozvěděl, proč si vybrali jako oběť právě Ivana,“ prozradil při rozhovoru Chipu Kaspersky. „Věřím ale, že jedním z důvodů bylo i zveřejňování velkého množství osobních informací na síti Vkontakte, ruské alternativě Facebooku.“ Únosci mohli bez problémů sledovat jeho pohyb, pozorovat ho a zjišťovat úroveň jeho „osobní bezpečnosti“. I dnes se otec obviňuje za to, že svému synovi nevysvětlil rizika sociálních sítí a nedal mu alespoň nějaké rady týkající se zveřejňování osobních údajů. „Nedělejte stejnou chybu - pro bezpečnost svých dětí udělejte maximum,“ varuje na závěr Kaspersky.
Eugene Kaspersky, obchodní ředitel a zakladatel antivirové firmy Kaspersky
„Přemýšlím dvakrát, než cokoliv zveřejním na sociální síti.“
Mikko Hypponen: Alternativní bezpečí
Blonďatý Fin začal svou antivirovou kariéru jako autor virů: podle svého tvrzení naprogramoval zcela neškodný virus Omega ještě jako teenager. „Špatnou stranu“ ale poměrně rychle opustil a brzy se stal „nejvyšším lovcem virů“ u firmy F-Secure a zároveň konzultantem pro mezinárodní bezpečnostní orgány. I díky tomu může současnou situaci na „antivirové scéně“ zasvěceně zhodnotit: Od roku 1990 došlo v oblasti kybernetického zločinu k obrovským změnám. Nyní je to miliardová oblast „podnikání“ a autoři virů pracují s co nejširším záběrem. Z toho vyplývá i rada, kterou dal Hypponen našim čtenářům: „Pokud používáte široce rozšířené programy, dostáváte se do okruhu zájmu počítačových podvodníků.“ Zkuste více využívat alternativní programy: Linux místo Windows 7, Foxit Reader místo Acrobat Readeru, Operu místo Internet Exploreru. A vyhněte se Javě, která je už téměř zbytečná.
Pravda ale je, že dokonce ani IT odborníci nemusí být zcela v bezpečí. To potvrdil i Hypponenův kolega, kterému i přes všechna důležitá bezpečnostní opatření internetoví podvodníci ukradli údaje o kreditní kartě - na vině byla mezera v softwaru finanční služby, kterou během svého nakupování využil. V tomto případě tak nepomohl ani alternativní software, ani kvalitní antivir. Důležitá byla jen rychlá reakce, která pomohla při zablokování účtu, protože jedině tak se může bance podařit získat peníze zpět.
Mikko Hypponen, vedoucí výzkumu antivirové ochrany u firmy F-Secure
„Nepoužívám žádný software, který má další milion uživatelů.“
Bruce Schneier: Zálohujte mozek
Bruce Schneier používá dva mozky: tím druhým méně odolným je cestovní notebook obsahující důležité kontakty, e-maily a informace schůzkách. „Je to taková záloha mého mozku,“ vtipkuje Schneier. Ztráta dat by byla pro tohoto bezpečnostního experta katastrofu, proto svá data pravidelně zálohuje. „Čím více budete při své práci a každodenní činnosti využívat počítač, tím horší pro vás bude ztráta dat,“ řekl Schneier. Se zálohami na webu a na samostatných discích si můžete výrazně zvýšit úroveň zabezpečení a ušetřit zbytečné problémy. Heslem desetiletí je tedy podle Schneiera: „Zálohujte!“
Bruce Schneier, odborník na kryptografii, autor newsletteru „Krypto-Gram“
„Každých pár dní provádím zálohu osobních dat.“
Pavel Krčma: „Vtipné“ e-maily
Pavel Krčma má svou zkušenost s tzv. „zábavnými e-maily“, které se ve velkém počtu šíří po internetu. Většina uživatelů jim neodolá, na link uvedený ve zprávě se podívá nebo přílohu otevře. Tím spíše, pokud je odesílatelem někdo, koho znají. V případě tzv. zero day attacku jsou pak všichni zbytečně vystaveni velkému riziku.
Přeposílání zbytečných mailů a zejména souborů není jen další spam - pokud někomu přepošlu zábavný mail, možná jsem ho také ohrozil. Prezentací v Powerpointu, vtipným videoklipem nebo flashovou hru. Proč? Co mají společného? Jsou to formáty souborů, které představují bezpečnostní rizika.
Ani prostý link není zcela bezpečný - mohu vidět např. link na video na YouTube, ale skutečná adresa může být jiná. A právě takto vypadají podvržené e-maily s nic neříkajícím textem, jejichž linky vedou jinam, než se zdá - na stránky, které provedou vlastní instalaci malwaru. Domnělého odesílatele sice znám, ale ten neví o ničem, protože nic neposílal - mail odeslal jeho jménem malware. Může být ale ještě hůř! Horší je dostat, prohlédnout a poslat zprávu dál více lidem. V původní zprávě obvykle zůstanou všechny e-mailové adresy původních příjemců a jsou přidány nové. To je nejlepší způsob, jakým spammer získá všechny naše adresy. Staré fámy a řetězové e-maily zamrzlé v čase brázdí internet dodnes, často léta téměř beze změny. Osobně již „vtipné“ e-maily rovnou mažu a všem říkám, aby dělali to samé. Nebývají vtipné, a co se zábavy týká, raději si poslechnu vtipy naživo.
Pavel Krčma, šéf AVG VirusLab v Brně
„Vtipné e-maily mažu a všem říkám, aby dělali to samé.“
Jacqueline Beauchereová: Přátelé
Oblíbeným terčem zlodějů identity jsou děti. Podle Jacqueline Beauchereové, bezpečnostní expertky společnosti Microsoft, se znovu a znovu objevují případy, kdy se zloději identity snaží využít důvěřivosti dětí a získat od nich peníze nebo alespoň osobní údaje, které lze zpeněžit. Následky pak obvykle nesou rodiče.
Proto Beauchereová varuje rodiče před podceněním této oblasti a radí: „Věnujte mimořádnou pozornost bezpečnosti rodiny a vysvětlete svým dětem, jaká existují potenciální rizika.“ Rodiče by také například měli pravidelně kontrolovat seznamy přátel dětí na sociálních sítích.
Jacqueline Beauchere, ředitelka Microsoftu pro ochranu proti cybermobbingu
„Kontroluji, s kým se chci na sociálních sítích přátelit.“
Brian Krebs: (Ne)přátelské zdroje
Velmi „náročnou“ zkušenost získal Brian Krebs: „Důvěra v internet a jeho zdroje by měla mít své hranice.“ Před několika lety totiž napsal Brianovi „přítel“: „Hele, Briane, podívejte se na tenhle odkaz!“ Brian se nejen podíval, ale také na něj kliknul -a do počítače si stáhl nebezpečný vir, který mu poškodil operační systém. Trvalo mu několik hodin, než počítač dostal zpět do provozuschopného stavu.
Od té doby si bezpečnostní expert důkladně prověřuje všechnu komunikaci. „Nikdy nevíte, co vám přes internet může dorazit...“ Malware můžete obdržet i z „bezpečných zdrojů“, protože stoprocentní záruku vám nenabídne nikdo. Brian také doporučuje instalovat skutečně pouze ty programy, které potřebujete, a poté je odinstalovat. Jakýkoliv nepoužívaný starý a neaktuální software může být potenciálním zdrojem problémů.
Brian Krebs, bezpečnostní expert pro hackerská fóra a černý trh
„Instaluji pouze prověřený software a nepotřebný mažu.“
Joanna Rutkowska: Zajištěné OS
Cesta směrem ke kořenům problémů - to je přístup Joanny Rutkowské. Pro tuto bezpečnostní expertku, známou především díky jejímu rootkitu „Blue Pill“ pro Windows Vista, začíná bezpečnost u základu jakéhokoli počítače - u hardwaru. „K tomu, aby se výrazně zlepšila celková bezpečnost uživatelů, používají starší operační systémy příliš málo nejnovějších hardwarových technologií.“ I to je důvod, proč polská bezpečnostní výzkumná pracovnice pracuje se svým týmem „Invisible Things Lab“ na nejbezpečnějším a open-source operačním systému QubesOS (viz také Chip 08/2011).
A co by doporučila našim čtenářům z hlediska bezpečnosti? Podle Rutkowské v současné době na trhu nenajdete „bezpečnostní řešení“, které by zaručilo stoprocentní bezpečnost pro všechny každodenní činnosti. Doporučuje spíše používat různé prostředky pro různé úkoly. Například pro běžné surfování iPad (či podobný tablet) a dobře zabezpečený počítač pro práci.
Joanna Rutkowská, výzkumná pracovnice IT bezpečnosti a vývojářka Qubes OS
„Používám jeden počítač na surfování a druhý k práci.“
Stephen Pao: Geniální zaměstnavatel
Pokaždé, když Stephan Pao, spoluzakladatel společnosti Barracuda Networks, přijme nového zaměstnance, monitoruje firemní Wi-Fi síť. A pokud se nový zaměstnanec přihlásí například na Facebook, aniž by použil „HTTPS ochranu“ (zabezpečené internetové připojení), pak Pao jako „hacker“ použije software Firesheep. Díky němu se může tento odborník na sítě nejen přihlásit k profilu zaměstnance na Facebooku, ale také dokáže prohlížet a měnit jeho údaje. Pao ale nic nemění, přidává pouze humornou poznámku, která padne i při prvním rozhovoru s nováčkem: „Víte, že pracujete v IT bezpečnostní firmě, ne? Používejte HTTPS.“
Bez HTTPS jsou data mezi webovou stránkou a počítačovým uživatelem přenášena nekódovaně. To je ve veřejné nebo hůře zabezpečené Wi-Fi síti přímo pozvánka pro podvodníky.
Stephen Pao, vicepresident bezpečnostní společnosti Barracuda Network
„Kdekoliv to jde, zapínám protokol HTTPS.“
Candid Wüest: Nebezpečný USB disk
Protože i mezi svými přáteli je Candid Wüest známý jako bezpečnostní odborník, splnil nedávno žádost svého přítele: „Podívej se mi, co za divný soubor mám tady na tom USB flash disku.“ Jeho přítel ale netušil, že USB flash disk je infikován agresivním červem, který se aktivuje ihned po vsunutí disku do portu. Kvůli němu si Wüest nakazil nejen pracovní, ale také domácí počítač.
A přitom se tomuto „problému“ mohl Wüest snadno vyhnout - stačilo použít „on-line kontrolu“. Ne všechny bezpečnostní programy totiž dokážou rozpoznat 100 % virů. Vzhledem k tomu, že například webová služba „Virustotal.com“ využívá více než 40 různých antivirových skenerů, je její schopnost detekce takřka stoprocentní.
Candid Wüest, bezpečnostní analytik antivirové společnosti Symantec
„Pokud si u souboru nejsem jistý, provedu on-line sken.“