Vaše bezpečnost obvykle závisí i na nastavení. Ukážeme vám, kde najdete nejslabší článek v ochranném řetězu proti hackerům a jak optimálně chránit systém Windows, přenosná zařízení i domácí síť.
Pocit bezpečí je často založen na důvěře. Podle různých průzkumů se většina respondentů domnívá, že jejich osobní údaje jsou u poskytovatelů webových služeb v bezpečí. Bohužel představy a realita k sobě mají často dost daleko. Například konzultační společnost KPMG se tázala 700 společností ohledně bezpečnosti a zjistila, že každá třetí firma se stala obětí krádeže důvěrných dat. To je důvod, proč nesmíme spoléhat na někoho jiného a musíme vzít svoji bezpečnost do vlastních rukou.
Chip vám postupně ukáže, jak máte správně nastavit osobní počítač a mobilní zařízení tak, aby byla krádež dat velmi obtížná a abyste se přitom nezbavili pohodlného ovládání. Totéž platí pro vaše účty u různých webových služeb. Vysvětlíme vám, jak zabezpečit vaše přihlašovací údaje, jak ochránit vaše data na webových službách a jak můžete bezpečně provádět bankovní transakce a odolat hackerům doma i na cestách.
Nastavení bezpečnosti Windows
Základním kamenem vaší bezpečnostní strategie k zajištění systému je spolehlivá ochrana proti malwaru a nejlépe okamžitá instalace všech dostupných bezpečnostních záplat. Jako antivirovou ochranu můžete zvolit například pro vás bezplatný program AVG Internet Security nebo vítěze našeho testu antivirů Bitdefender. Pro upgrade vašeho systému a nastavení dalších doprovodných opatření postupujte podle následujících tipů.
Ochraňte systémové soubory
Aktualizovaný antivirový program a instalace všech bezpečnostních záplat operačního systému už poskytují poměrně vysokou míru ochrany před útoky, ale nechrání před všemi útoky. Svou bezpečnost můžete zvýšit například instalací nástroje GlassWire (na Chip DVD), který monitoruje dění v síti a pomůže odhalit, které aplikace stojí za zvýšeným datovým provozem. Hackeři často využívají zmanipulované webové stránky, které podsouvají svým obětem. Právě nástroj GlassWire také zabraňuje přesměrování na podvodné stránky například během návštěvy regulérní bankovní stránky. Dalším programem, kterým vám můžeme doporučit, je USB Blocker (na Chip DVD), který chrání počítač před viry, které by se do něj mohly dostat přes USB port. K tomu by mohlo dojít například v situaci, když necháte svůj počítač bez dozoru. USB porty jsou totiž aktivní i v případě, kdy je počítač neaktivní. Útočníci by tak nad ním mohli pomocí zmanipulovaného USB flash disku převzít kontrolu, pokud porty neochráníte pomocí nástroje USB Blocker.
Používejte šifrování
I když si u systému Windows nastavíte silné heslo, neznamená to, že máte všechna data na pevném disku dostatečně zajištěna. Stačí například vyjmout pevný disk z počítače a připojit ho k jinému disku, a útočník se může dostat k uloženým souborům. Dokonce i v případě, kdy není možné disk vyjmout, jde heslo správce počítače změnit pomocí instalačního média systému Windows. Řešením je proto šifrování citlivých dokumentů. Použít můžete například program VeraCrypt (na Chip DVD), který dokáže šifrovat celý diskový oddíl systému Windows.
Využijte zabezpečený prohlížeč
Pokud chcete anonymně surfovat po internetu, použijte k tomu prohlížeč Brave Browser (na Chip DVD). Nejen že blokuje reklamu a sledování, ale můžete se pomocí něj také připojit k síti Tor. Anonymní surfování aktivujte v nastavení pomocí »New Private Tab with Tor«. V sekci „Zabezpečte domácí síť proti hackrům“ najdete, jak stejnou cestou můžete zajistit přes Tor celou domácí síť. A navíc můžete také hromadně nastavit filtr reklam. Myslete ale přitom na to, že pro některé provozovatele webových stránek je reklama důležitým nebo jediným zdrojem příjmů. V případě, že chcete filtr reklam nastavit, klikněte na tři čárky vpravo nahoře a vyberte »Nastavení / Ochrana«. Klikněte na tlačítko »Manage Adblocker«.
Utěsněte smartphony
Pro hackery jsou v poslední době lákavým cílem chytré telefony. Uživatelé jim svěřují nejrůznější citlivé údaje a navíc se příliš nevěnují jejich zabezpečení. Řešení přitom není složité a je účinné.
Automatické aktualizace systému i aplikací
Google i Apple pravidelně uvolňují aktualizace zabezpečení svých systémů i aplikací, ale ty se neinstalují vždy automaticky. V tom případě je potřeba je nainstalovat ručně. V případě iOS najdete aktualizace pod »Nastavení / Obecné / Aktualizace softwaru« - zde naleznete možnost »Automatické aktualizace«, v případě Androidu pod »Nastavení / Aktualizace softwaru«, případně »Nastavení / Systém / Aktualizace softwaru«.
Chcete-li, aby se vám aktualizace systému instalovaly automaticky, když budete připojeni k Wi-Fi síti, můžete v nastavení tuto funkci aktivovat. V případě iOS ji najdete pod »Nastavení / iTunes a App Store«. V části »Aktualizace« přepněte přepínač, aby svítil zeleně. Ujistěte se, že je deaktivována volba »Používat Mobilní data«, protože v některých případech jsou aktualizace systému opravdu obrovské a mohli byste si vyčerpat celý svůj měsíční objem dat.
V případě operačního systému Android spusťte aplikaci Obchod Play a přes ikonu tří čárek vlevo nahoře se dostanete do nabídky. V nabídce vyberte »Nastavení« a v části »Obecné« najdete volbu »Automatické aktualizace«. Zde vyberte »Aktualizovat aplikace automaticky jen prostřednictvím Wi-Fi«. Tím zabráníte tomu, aby se aktualizace stahovaly přes mobilní data. Zařízení s iOS je poměrně dobře zabezpečeno, ale pro smartphony a tablety s Androidem doporučujeme instalaci antivirového programu. Některé jsou dostupné i zdarma. Kromě toho aktivujte ochranu aplikací od Googlu, která se jmenuje Google Play Protect. Ta před stažením aplikací z Obchodu Google Play provádí kontrolu zabezpečení. Provedete to tak, že spustíte aplikaci Obchod Google Play a v nabídce vyberete »Play Protect«. Aktivujte volbu »Vyhledávání ohrožení bezpečnosti v zařízení«.
Optimalizace nastavení ochrany dat
V systému iOS můžete nastavit ochranu vlastních dat v části »Nastavení / Soukromí«. Pak máte možnost ovlivnit, které aplikace budou mít přístup k vašim zdrojům dat a k funkcím. Například můžete omezit, které aplikace budou mít přístup k mikrofonu, fotoaparátu nebo poloze. Pro každou sekci zkontrolujte jednotlivé aplikace a zrušte jim oprávnění ke zdrojům, pokud nejsou nezbytně nutná. Stejný proces můžete provést u zařízení s OS Android. V tomto případě můžete zjistit a ovlivnit oprávnění aplikací v »Nastavení / Aplikace / Oprávnění aplikací«.
Další nastavení, které si můžete zkontrolovat, je to, jaké informace se vám zobrazují na uzamčené obrazovce. Pokud od telefonu odejdete, někdo cizí by se například snadno mohl podívat, co vám přišlo za zprávu. V systému Android to zjistíte tak, že přejdete do nabídky »Nastavení / Zamykací obrazovka a zabezpečení«, případně podle verze Androidu můžete změny provádět v »Nastavení / Zámek obrazovky a hesla / Zobrazit podrobné informace o oznámení«. Pro systém iOS přejděte v nabídce na »Nastavení / Upozornění« a zde vyberte, zda se mají zprávy oznamovat »Na zamčené obrazovce«.
Zabezpečte přístup k telefonu
Důležité je také zabránit cizím osobám v přístupu k vašemu smartphonu. Pokud je to možné, použijte pro zabezpečení biometriku, avšak s jednou výjimkou - pouze u smartphonu iPhone X můžete důvěřovat funkci rozpoznávání obličeje. U jiných výrobců není tato technologie zatím dostatečně zralá a je náchylná ke snadnému prolomení. Raději tedy použijte snímač otisků prstů nebo složitější PIN. U zařízení s Androidem najdete nastavení přístupu většinou pod »Nastavení / Zámek obrazovky a hesla«, případně pod »Nastavení / ID otisku prstu«. U zařízení iOS je tato funkce dostupná pod »Nastavení / Touch ID a kódový zámek«. Zatímco u systému Android lze použít PIN s šesti číslicemi, systém iOS umožňuje zabezpečení přístupu k zařízení alfanumerickým kódem.
iOS od Applu navíc nabízí možnost deaktivovat port Lightning, jakmile je zařízení déle než hodinu zamčené. V minulosti totiž bylo možné připojit k tomuto portu tzv. GrayKey Box, který sloužil k prolomení PIN hrubou sílu a dokázal tak odemknout zamčený smartphone. Tuto možnost využívaly především bezpečnostní agentury. Možnost vypnout Lightning najdete pod »Nastavení / Touch ID a kódový zámek« na záložce »USB příslušenství«.
Zabezpečte Google Pay
Některé banky už podporují platby přes Google Pay. Uživateli pak stačí přiložit smartphone k bezkontaktnímu terminálu, a pokud je platba do částky 500 Kč, nemusí ji potvrzovat pomocí PIN. Už se objevily zvěsti, že této funkce mohou využít hackeři a mohou provádět neoprávněné platby pomocí mobilního terminálu. Ten totiž stačí přiložit na vzdálenost několika centimetrů ke smartphonu, což někde v davu nebo přeplněné tramvaji nemusí být takový problém. Takovémuto útoku lze ale snadno zabránit tak, že si bezdrátové připojení NFC zapnete jen v případě, kdy chcete platit prostřednictvím Google Pay. Možnost nastavení NFC najdete pod »Nastavení / Připojení / NFC a platba«, případně pod »Nastavení / Bezdrátové připojení a sítě / NFC«.
Zabezpečte si webový účet
S možností úniku dat z velkých webových služeb bohužel nemůžete sami nic udělat. Pomocí správných nástrojů a postupů však ani v tomto případě nebudou ohroženy vaše další účty.
Ochrana osobních údajů
Ačkoli jsou uživatelská hesla většinou dobře chráněna, stále dochází k jejich únikům, a to i u renomovaných služeb. Nakonec, na nejnovější úniky se můžete podívat v naší rubrice Bezpečnost na straně 30. Pokud si chcete ověřit, zda nedošlo k úniku dat, který se týká i vás, a zda nejsou vaše přihlašovací údaje někde na internetu, navštivte stránku haveibeenpwned.com. Zde si můžete nechat zkontrolovat svoji e-mailovou adresu. Pokud je v databázi úniků, musíte si co nejdříve změnit heslo, a to především v případech, kdy používáte stejné heslo pro více účtů. V kategorii »Passwords«, tedy hesla, si můžete prověřit také své heslo. Jestliže se v seznamu objeví, není bezpečné.
Pro prověření integrity vašich dalších dat, jako je jméno, adresa nebo číslo kreditní karty, už však další takováto databáze není. Pokud chcete situaci prověřit, budete se muset obrátit na profesionální služby. Ty pak pravidelně kontrolují, zda se vaše údaje nevyskytují někde na internetu nebo darknetu. Každopádně vám však doporučujeme, abyste pro každou službu používali nové a složité heslo. Bohužel k radosti hackerů řada uživatelů toto jednoduché pravidlo nedodržuje, takže pokud hackeři zcizí přihlašovací údaje u jedné služby, mohou se dostat i do dalších a je pro ně snadné zcizit celou identitu.
Bezpečné uložení hesla
Asi málokdo si zapamatuje větší počet jedinečných a bezpečných hesel, která by měla mít nejméně 15 znaků a měla by obsahovat i číslice a speciální znaky. Správce hesel to ale zvládne bez problémů. V něm jsou přístupové údaje uložené bezpečně v zašifrované podobě a hlídá je jedno silné heslo, které si uživatel musí zapamatovat.
V podstatě existují dva typy trezorů na hesla. V tom prvním případě jsou přihlašovací údaje uloženy na jednom zařízení, v tom druhém jsou v zašifrované podobě uloženy v cloudu a synchronizovány se všemi připojenými smartphony nebo počítači. Pohodlnější řešení je jistě to cloudové a nabízí ho bezplatně například služba LastPass. Pomocí rozšíření pro internetové prohlížeče se pak přihlašovací údaje automaticky vyplňují do polí na webových stránkách. Nemusíte tedy používat metodu Copy & Paste.
Dáváte-li přednost uložení svých přístupových údajů lokálně, můžete použít KeePass 2 (na Chip DVD). Myslete ale na to, že si musíte vytvořit zálohu svého trezoru pro případ, kdy dojde ke ztrátě dat, například v důsledku havárie pevného disku. Ale i v případě, kdy používáte nějaký typ trezoru na hesla, ať už lokální, nebo cloudový, jsou vaše účty zranitelné. Pro vyšší zabezpečení tedy používejte tzv. dvoufázovou autentizaci.
Zajistěte účty dvoufaktorovou autentizací
Kromě jména a hesla můžete u většiny webových služeb, jako je Google, Facebook, eBay nebo Seznam, použít pro zajištění přístupu ještě druhý faktor. Dvoufaktorová autentizace je označovaná také jako 2FA. Při jejím použití získáte například prostřednictvím SMS jednorázový kód nebo speciální aplikace pro váš smartphone, jednorázový kód, který při přihlašování také použijete a bez něj se k účtu nedostanete. Seznam firem, které podporují 2FA, najdete na stránce twofactorauth. org. Výhoda tohoto řešení je zřejmá: i kdyby někdo získal vaše přihlašovací údaje, například při úniku dat provozovatele internetové služby, k vašemu účtu se nedostane. Je ale důležité, abyste měli svůj smartphone dostatečně zabezpečený, jak je to popsáno na straně 36 v části „Utěsněte smartphony“. Aplikace typu 2FA, jako je Authy pro Android nebo OTP Auth pro iOS, mohou být ještě dodatečně zabezpečeny PIN kódem. I tato metoda ale má své bezpečností limity. Pokud je totiž smartphone napaden spywarem, mohou se v nejhorším případě útočníci dostat i k 2FA jednorázovému kódu. Proti tomu je odolná metoda označovaná jako U2F.
V případě U2F (Universal Second Factor) totiž vstupuje při přihlašování k účtu do hry hardware. Pomocí zabezpečeného USB klíče je vypočítán speciální kód pro každé přihlášení zvlášť, který je pak použit pro autentizaci u webové služby. Proto je nutné tento klíč před přihlášením vložit do USB portu počítače. Podobně je možné takovýto klíč použít pro přihlašování na smartphonu. Musí jít ale o poslední modely Samsungu a iPhonu 8, 8 Plus a X, které jsou vybaveny NFC a tuto funkci podporují. K nim se pak klíč přiloží. Zatím není znám případ, kdy by byl tento typ ochrany účtu prolomen. Kromě toho si můžete zřídit tzv. zabezpečená zařízení s 2FA a U2F, u kterých bude vyžadován druhý faktor ověření pouze jednou za 30 dní. Musíte ale počítač s tím, že pokud by se někomu podařilo takovéto zařízení hacknout, dostane se i na vaše účty.
Používejte bez obav internetové bankovnictví
V případě elektronického bankovnictví nejde jen o optimální software, ale i o správném nastavení, které chrání účet před útoky a převzetím.
Nastavení limitů a zařízení
Než provedete další převod, zkontrolujte si na webové stránce internetového bankovnictví, jak máte nastaven váš účet. Většina bank totiž umožňuje nastavit limity, tedy maximální částky pro jednotlivé transakce, nebo denní limity. Ty se pak hodí v nepravděpodobném případě, kdy by mohl nějaký útočník provádět transakce za vás. K tomu by mohlo dojít například v případě, že by se mu podařilo proniknout do vašeho smartphonu, přes který bankovní operace provádíte. O tom ale více v části „Aplikace pro smartphone pro peněžní transakce“. Limity je nejlepší nastavit na osobním počítači, protože některé banky neumožňují změnu limitu prostřednictvím bankovní aplikace. Limit si nastavte podle svého uvážení, ale pro běžné potřeby by mělo stačit 10 000 Kč pro transakci. Pokud byste potřebovali převést více, některé banky umožňují dočasné zvýšení limitu. Pro ověření transakce používejte TAN, tedy Transaction Authentication Number, a všímejte si částky i účtu příjemce. Tyto informace by se měly při přijetí autorizační SMS také zobrazit.
V nastavení bankovního účtu si také zkontrolujte, která zařízení jsou autorizována pro příjem SMS s TAN, případně pro provádění transakcí přes mobilní aplikaci. Projděte seznam a všechna neznámá nebo už nepoužívaná zařízení ze seznamu autorizovaných zařízení smažte.
Dokonalý desktopový software pro bankovnictví
Používáte-li internetové bankovnictví na svém domácím počítači, pořiďte si raději zabezpečený prohlížeč, jakým je například Browser in the Box (na Chip DVD). Tento virtuální browser se pokaždé spustí s defaultním nastavením od autorů. Proto se pak nemůže stát, že by nějaká zmanipulovaná stránka změnila nastavení prohlížeče a v další relaci odcizila vaše přihlašovací údaje. Navíc můžete používat tento speciální prohlížeč pouze pro elektronické bankovnictví a webovou stránku banky si nedávejte do záložek. Pokaždé URL adresu banky zadejte raději ručně. Tím se vyhnete možnosti dostat se na padělanou stránku - například když obdržíte odkaz na banku prostřednictvím elektronické pošty. Počítejte ale s tím, že na starších počítačích nepoběží Browser in the Box svižně nebo nepoběží vůbec.
Bankovní aplikace pro smartphony
Na mobilním zařízení je poměrně obtížné zajistit bezpečné provádění bankovních operací. Je tomu tak proto, že váš autorizační kód v SMS (mTAN) dorazí na stejné zařízení, na kterém bankovní operace provádíte a na kterém běží software banky. Pokud se tedy hackeři zmocní vašeho zařízení, získají tak přístup ke všem informacím, které potřebují k provedení bankovní transakce, a mohou ji pak snadno provést. Proto byste měli pro každý bankovní účet používat bankovní aplikaci, která je samostatně zabezpečena. Takovéto aplikace vyvíjí přímo konkrétní banka, ale už jsou k dispozici i aplikace pro ovládání účtů u více bank pro OS Apple i Google. Vyzkoušejte si aplikaci a zjistěte, zda vyžaduje bezpečné přihlášení a nedovoluje pořizovat kopii displeje. Snímání obsahu displeje smartphonu by totiž bankovní aplikace neměla umožnit. U smartphonů s Androidem to vyzkoušíte tak, že stisknete zároveň tlačítko pro zapnutí a tlačítko pro snížení hlasitosti.
Domácí síť odolávající hacknutí
Úkolem domácí bezdrátové sítě je zajistit bezpečné a pokud možno i anonymní připojení k internetu a současně zajistit bezpečnou výměnu dat v rámci této sítě.
Kontrola nastavení routeru
Než provede úpravy v nastavení Wi-Fi routeru, zkontrolujte, zda je na něm nainstalována poslední verze firmwaru. Instalací nejnovější verze totiž často uzavřete již známé bezpečnostní mezery a hackeři budou mít menší šanci do vaší sítě proniknout.
V dalším kroku se ujistěte, že jste změnili předem nastavené uživatelské jméno a heslo k vašemu routeru. Pokud je stále nastaveno původní jméno a heslo (většinou admin), nastavte jiné bezpečné heslo. Dále zkontrolujte, zda se nemůže k vaší síti přihlásit někdo cizí, a zda je tedy přístup zajištěn dostatečně silným heslem. Změňte i název vaší domácí sítě, tedy SSID, protože z implicitního jména se dá často rozpoznat, o jaký typ routeru se jedná. Hackerům tak ztížíte práci. Pokud chcete zajistit ještě vyšší míru bezpečnosti, můžete možnost připojení k síti omezit jen na určená zařízení. Nikdo cizí se pak do sítě nepřipojí, i kdyby zjistil heslo. Omezení přístupu do domácí sítě můžete provést například prostřednictvím MAC adres připojovaných zařízení. Ta je pro každé zařízení unikátní. Zařízení s MAC adresou, která nebude na vašem seznamu povolených, se do sítě nedostane.
Takováto radikální změna a nová konfigurace sítě sice zvýší bezpečnost, ale počítejte s tím, že budete muset znovu nastavit i všechna připojená zařízení. To je sice nepohodlné, ale pro zvýšení bezpečnosti nezbytné. Pokud chcete zajistit ještě vyšší míru ochrany sítě, neobejdete se bez speciálního Wi-Fi routeru (viz levý a pravý okraj).
Zachycení DNS útoků
Jeden z nejčastějších útoků je prováděn klonováním důležitých webových stránek, tedy například stránky vaší banky. Útočníci tuto falešnou stránku podstrčí uživateli a chtějí od něj získat přístupové údaje. Můžete tomu zabránit jednoduchým trikem. DNS server společnosti Quad9 takovéto pochybné webové stránky odfiltruje, takže se na ně nedostanete. Mimochodem, tato služba není poskytována žádnou neznámou společností, ale stojí za ní firmy jako IBM, Global Cyber Alliance a další. Nastavení DNS serveru se liší podle typu routeru, ale většinou ho najdete pod »Internet / Nastavení přístupu / DNS server«. Zde aktivujte možnost »Použít jiný DNSv4 server« a jako IP adresu nastavte »9.9.9.9«.
On-line surfování pod pláštěm neviditelnosti
Pokud chcete zajistit anonymní surfování všem uživatelům domácí bezdrátové sítě, je nejlepší provést přesměrování přímo na routeru. Za tímto účelem ale budete muset použít alternativní firmware DD-WRT. Na webu poskytovatele VPN služeb pak zjistíte, jak máte provést nastavení vašeho routeru. Alternativně můžete pro přesměrování použít minipočítač Raspberry Pi. Tento počítač stojí jen okolo 1 000 Kč a alternativně slouží i jako šifrovací brána pro vaši síť.
Zabezpečení chytré domácnosti
Hackeři stále častěji využívají pro své útoky zařízení chytré domácnosti. Ve většině případů jsou totiž tato zařízení před nimi nedostatečně chráněna a mohou je pak snadno ovládnout a zneužít pro další útoky.
Inteligentní reproduktor jako vstupní brána pro hackery
Reproduktory s integrovaným hlasovým asistentem nebo asistentkou jsou poměrně populární. Jde například o reproduktory od Amazonu nebo Googlu. Podle průzkumu společnosti Statista o takovémto reproduktoru řada lidí uvažuje a chtějí si ho pořídit. Často ale nemyslí na bezpečnostní rizika, která jsou s využíváním takovýchto zařízení spojena. Stává se, že jsou hned z výroby nesprávně nastavena, a to například tak, že jejich mikrofon je trvale zapnutý.
Chytré reproduktory mají mikrofon zapnutý a čekají na to, až uživatel řekne klíčové slovo. V případě Amazonu Echo je to slovo „Alexa“, Google Home čeká na „OK, Google“. Pokud se však reproduktoru zmocní kybernetičtí útočníci, mohou z něj udělat důmyslné odposlouchávací zařízení. Bezpečnostní technik Mark Barnes z firmy MWR Labs, která je dceřinou společností F-Secure, demonstroval možný způsob napadení reproduktoru Amazon Echo. K tomuto reproduktoru připojil vlastní čtečku paměťových karet k dříve neznámému portu na základní desce Amazon Echo. Pak mohl pomocí připravené SD karty zmanipulovat software reproduktoru. Dobrá zpráva: tento způsob hacknutí funguje výhradně v případě, kdy útočník získá přímý přístup k tomuto zařízení, a problém se navíc týká pouze první generace Amazon Echo. Chcete-li odposlechům zcela zabránit, například při důvěrné konverzaci, stiskněte tlačítko Mute nebo zařízení úplně vypněte. To nemůže prolomit ani hacknuté zařízení.
U zařízení s asistentkou Alexa si také můžete nastavit kód pro nákup na Amazonu. Tím zamezíte tomu, aby nákup v tomto internetovém obchodě provedla neoprávněná osoba prostřednictvím hlasového příkazu. PIN můžete nastavit přes »Settings / Alexa account / Voice purchase«. Další informace o optimálním nastavení se dočtete v článku o inteligentních reproduktorech na straně 76. Najdete zde i informace o tom, jaké údaje posílají reproduktory výrobcům.
Nastavení inteligentních zámků proti hackerům
Také inteligentní zámek, který je připojen k chytrému reproduktoru s hlasovým asistentem nebo asistentkou, jako je Alexa nebo Siri apod., potřebuje správně nastavit a ochránit. Jinak by stačilo, aby útočník zakřičel „Hey Siri, open the house door“ tak, aby se hlas dostal k reproduktoru. To je také důvod, proč většina výrobců chytrých dveří umožňuje nastavit v příslušné aplikaci k nim bezpečnostní kód, bez jehož zadání se dveře neotevřou. K otevření tedy nestačí pouze hlasový povel, ale je nutné vyslovit i kód. Aby bylo možné otevřít dveře bez kódu, stačí odemknout smartphone s ovládací aplikací a mechanismus dveří pak lze otevřít prostřednictvím této aplikace.
Kromě toho byste měli v aplikaci výrobce zkontrolovat aktuální seznam autorizací. Měly by v něm být pouze osoby, které mají oprávnění k odemykání dveří. Často ale aplikaci chybí možnost automatické deaktivace oprávnění. Proto je důležité zkontrolovat seznam přístupů i několik týdnů dozadu, zda nedošlo k neoprávněnému přístupu. Tento seznam najdete v ovládací aplikaci zámku.
***
Armádní šifrování
Externí datové nosiče, jejichž obsah zašifrujete pomocí desktopových programů, jsou teoreticky náchylné k útokům. Šifrovací klíč lze například odhalit při jeho zadávání. To speciální externí disk DiskAshur 2 od iStorage je proti tomu zabezpečen. Na tomto zařízení je totiž klávesnice, na které musí uživatel zadat až 15místný kód. Teprve potom interní čip dešifruje data a uživateli je zpřístupní. Doposud se nenašel nástroj nebo postup, který by ochranu obešel. Jde ale o poměrně nákladné řešení. 500GB verze stojí 6 500 Kč. Na podobném principu fungují i disky Store‘n’Go Secure Portable HDD (1TB) a Store‘n’Go Secure Portable SSD (256GB).
***
Šifrovaná komunikace
Pokud jde o šifrovanou komunikaci, na prvním místě jsou speciální zašifrované telefony. Na zařízeních jako Silent Circle (obrázek vpravo) je systém zcela zašifrován. Telefonní část funguje ve své vlastní systémové oblasti a je oddělena od ostatních aplikací. Hackerský útok je v tomto případě obtížný, ne-li zcela nemožný. Problém: Takováto zařízení jsou určena pouze pro firemní zákazníky a vládní úřady. Běžný uživatel se tedy musí uchýlit k aplikacím jako WhatsApp a spol. Spojení je sice šifrované, ale problémem je vlastní mobilní telefon. V případě, že se na něj dostane malware, není ani nejlepší šifrování k ničemu. Proto je důležité v první řadě zabezpečit chytrý telefon.
***
Perfektní záloha smartphonu
Chcete-li si vytvořit bezpečnou zálohu iPhonu, měli byste se vyhnout zálohovacímu řešení od Applu, protože pak budou vaše data uložena na jeho cloudových serverech. A zde jsou přístupná přinejmenším pro společnost Apple a pro orgány činné v trestním řízení - Apple pro tento účel vlastní dešifrovací klíče. Situace je jiná v případě lokálních dat a lokální zálohy. Pomocí flash disku Sandisk iXpand Mini USB si lze pomocí aplikace vytvořit a organizovat zálohy zařízení. 64GB verze stojí asi 1 500 Kč. Uživatelé Androidu tento disk použít nemohou, protože má konektor Lightning. Pro ně je vhodný například Sandisk Ultra Dual Drive m3.0 za cca 600 Kč v 64GB verzi.
***
Zabezpečená poštovní schránka
Bez ohledu na to, jak dobře si zabezpečíte svůj e-mailový účet, bude mít k vaší e-mailové schránce přístup minimálně ještě poskytovatel těchto služeb a bude si moci e-maily číst. Samozřejmě jen pokud mu to povolíte nebo na základě právního pokynu. Jestliže nechcete, aby se tak stalo, musíte si pořídit šifrovanou e-mailovou schránku, jakou nabízí například švýcarská firma ProtonMail. V jejím případě je konkrétní e-mailový účet zašifrován jedinečným heslem, které je známé pouze uživateli. Poskytovatel tak nemá šanci se ke korespondenci dostat, ale také ani nemůže obnovit heslo. Proto je nutné si přihlašovací údaje zapamatovat. Do velikosti 500 MB je ProtonMail zdarma, větší prostor stojí od 4 eur za měsíc.
***
Hloupý telefon pro příjem SMS
Chytré telefony jsou náchylné k hacknutí. Kybernetičtí zločinci se tak mohou dostat k vašim přihlašovacím údajům i jednorázovým kódům. Pořídíte-li si běžný mobilní telefon bez operačního systému, nemohou na něj dostat malware. Některé banky pak podporují speciální generátor čísel TAN, jako je například Jack optic CX na obrázku.
***
Alternativní router
Mobilní VPN přístup, přístup přes síť Tor, podpora více Wi-Fi sítí - díky alternativnímu firmwaru DD-WRT pro Wi-Fi router získáte nové funkce, a to zcela zdarma. Jediným problémem je to, že software není vždy snadné konfigurovat. Odpověď ale často najdete na fórech a k dispozici jsou i aplikace například pro snadné nastavení sítě VPN. Jedním ze zařízení, které je kompatibilní s DD-WRT (dd-wrt.com), je Linksys WRT3200ACM (cena cca 7 000 Kč). Toto hi-endové vysokorychlostní zařízení je primárně určeno jako hlavní router. Ti, kteří hledají levnou alternativu pro provoz VPN sítě, si mohou pořídit TP-Link TL-WR940N (cena cca 600 Kč). Je také kompatibilní s alternativním firmwarem DD-WRT.
***
Hlídací pes domácnosti
Některá zařízení chytré domácnosti, jako jsou žárovky, elektrické zásuvky a kamerky, jsou praktické, ale jejich zabezpečení často nebylo příliš promyšleno a dotaženo do konce. Odborníci z firem jako je McAfee objevují v těchto IoT zařízeních stále nové bezpečnostní mezery. Není totiž problém je na dálku ovládnout, nebo monitorovat jejich aktivitu. Abyste nemuseli před útoky zabezpečenost všechna zařízení zvlášť, můžete použít speciální router, který to udělá za vás. Jeden z nich dodává Bitdefender a jmenuje se Bitdefender Box 2. Průběžně monitoruje komunikaci v domácí síti a blokuje podezřelé požadavky a upozorní na ně uživatele. Česká společnost NIC. CZ zase prodává bezpečný router Turris Omnia 2.
Foto popis| Windows: Použijte dodatečné nástroje Šifrování, monitorování systému, bezpečnostní nástroje - pomocí správných aplikací a nastavení můžete celkem snadno zabezpečit svůj počítač před útočníky.
Foto popis| Pomocí nástroje VeraCrypt můžete zašifrovat i celý logický disk svého počítače.
Foto popis| Nástroj GlassWire monitoruje provoz sítě a v případě podezřelé manipulace spustí alarm.
Foto popis| Jako ochranu proti malwaru, který by se do počítače mohl dostat prostřednictvím USB portu, můžete nasadit program Windows USB Blocker.
Foto popis| Smartphony: Správné nastavení U mobilních zařízení jsou důležitá nastavení často ukryta hluboce uvnitř systému. Ukážeme vám, kde tato nastavení najdete a které změny musíte provést.
Foto popis| Nastavení zamykací obrazovky V Androidu 1 deaktivujte zobrazování zpráv na zamčené obrazovce, v iOS 2 tuto volbu najdete pod »Zobrazení oznámení«.
Foto popis| Oprávnění aplikací Zkontrolujte oprávnění všech nainstalovaných aplikací. V Androidu tuto možnost najdete pod »Oprávnění aplikací« 1, v iOS v části »Soukromí« 2 .
Foto popis| Na smartphonu Apple iPhone X si můžete nastavit funkci pro rozpoznávání obličeje i pro detekci pozornosti.
Foto popis| Ochrana od Googlu Systém Android je chráněn vlastním bezpečnostním skenerem - pokud ho aktivujete.
Foto popis| Webové účty: Bezpečné přihlášení Už si nemusíte pamatovat dlouhá a složitá hesla, a přesto si zajistíte svou bezpečnost při přihlašování. Ukážeme vám, jak optimálně chránit své přístupové údaje druhým heslem.
Foto popis| Malé klíče U2F spolehlivě chrání proti útokům hackerů, ale ne všechny webové služby je podporují. Alternativou může být systém 2FA.
Foto popis| Ochrana heslem Ve správci hesel, zde LastPass 1, využijte možnosti dvoufázové autentizace 2FA2 . Při přihlašování pak budete muset zadat i jednorázový kód.
Foto popis| Bankovnictví: Nastavte si limity Nastavte si limity pro platby, použijte optimální nastavení a zabezpečení v bankovních aplikacích. Tímto způsobem můžete provádět bankovní transakce téměř bez obav z hackerských útoků.
Foto popis| Do mobilní aplikace už se často můžete přihlásit pomocí otisku prstu.
Foto popis| Nastavte si limity pro platby a kontrolujte si potvrzovací SMS zprávy.
Foto popis| Domácí síť: Nastavení routeru Šifrované připojení, které jste si nastavili na routeru, používají všechna připojená zařízení. Jednoduchý způsob, jak zabezpečit několik klientů naráz, zajistíte správnou konfigurací.
Foto popis| Pomocí minipočítače Raspberry Pi si vytvoříte přístupový bod s nepřetržitým provozem do vaší domácí sítě.
Foto popis| Do vaší sítě povolte vstup pouze prověřeným zařízením.
Foto popis| SmartHome: zabezpečte IoT klienty Špatně zabezpečení IoT klienti jsou častým a snadným cílem hackerů. Chraňte svou chytrou domácnost pomocí správného nastavení, nebo vlastních nástrojů.
Foto popis| V případě chytrých zámků kontrolujte seznam oprávněných osob a přístupů, ke kterým došlo.
Foto popis| Nebezpečí odposlechu Chytré reproduktory vás mohou odposlouchávat. Pokud je nepoužíváte, vypněte raději mikrofon pomocí hardwarového tlačítka 1 . Historii aktivit můžete vymazat 2 .
O autorovi| FABIAN VON KEUDELL, PAVEL TROUSIL, autor@chip.cz