Co se za uplynulý měsíc událo v oblasti kybernetické bezpečnosti.
Datové úniky měsíce
Facebook: Přístup k telefonním číslům uživatelů je možný
Tým bezpečnostních vědců přišel na způsob, jak mohou například inzerenti získat soukromá telefonní čísla uživatelů Facebooku. Přitom získání těchto osobních údajů by nemělo být možné. Facebook chybu uznal a bezpečnostní mezery ze systému odstranil.
Podle Facebooku nebyla tato chyba zneužita.
Biometrie: Krádež množství dat v Indii
Až jedna miliarda Indů byla údajně postižena krádeží biometrických dat. Podle zpravodajské zprávy hackeři naprogramovali bránu a umístili ji do vládního portálu Aadhaar, takže získali přístup k osobním údajům, mimo jiné ke jménu, adrese, telefonnímu číslu, e-mailu a fotografii.
Krádež bitcoinů: 30 000 vlastníků podvedeno
Podle BBC se jihokorejská bitcoinová platforma Bithump stala obětí krádeže dat, kvůli které bylo postiženo až 30 000 majitelů bitcoinů. V některých případech mohla hodnota odcizených bitcoinů činit kvůli kolísající ceně až 80 milionů dolarů. Podezřelá z útoku na bitcoinovou platformu je národní severokorejská hackerská skupina.
Společnost Google uzavřela 38 děr v systému Android
Jednou za měsíc teď Google vydává balíček oprav pro operační systém Android. Většinou jde o jeho bezpečnostní záplaty. V lednu tak například Google v rámci tohoto balíčku zaplnil 38 bezpečnostních mezer, přičemž pět z nich bylo považováno za kritické. Nejnebezpečnější z nich byla nalezena v části Media Framework a útočníci prostřednictvím ní měli možnost spustit na dálku škodlivý kód.
Aplikace pro Android aktivují mikrofon a odposlouchávají
Přibližně 1 000 aplikací pro Android mělo skrytou funkci, která používala mikrofon smartphonu pro odposlouchávání okolí a například identifikovala reklamu z nedaleko běžícího televizního vysílání. Uživateli se následně zobrazovaly personalizované reklamy. Na stránce alphonso.tv/ mobile-opt-out-guide je zveřejněn návod, jak se sběru těchto dat vyhnout.
Rostoucí počet ransomwaru
Zvýšené riziko výskytu ransomwaru: Společnost McAffe zveřejnila zprávu, podle které se ve třetím čtvrtletí loňského roku podstatně zvýšil výskyt ransomwaru.
Foto autor| Zdroj: McAfee Labs
Těžení na smartphonech s Androidem
Ke skryté těžbě kryptoměn, jako jsou bitcoiny, se nevyužívají jen stolní počítače. Počet kryptominerů pro Android, které odhalily nástroje Symantecu, se od roku 2015 zvýšil.
Foto autor| Zdroj: Symantec
Bezpečnostní mezery v NAS serverech Western Digital
V řadě síťových úložišť My Cloud od společnosti Western Digital byly nalezeny vážné bezpečnostní nedostatky. Bezpečnostní specialisté firmy Gulftech zde například našli zadní vrátka, pomocí kterých se útočníci mohli k serveru vzdáleně přihlásit a provozovat na něm vlastní kód. V některých případech by dokonce stačilo, aby uživatel služby My Cloud navštívil zmanipulovanou webovou stránku, a obsah jeho NAS serveru se bez dalšího potvrzení vymaže. Nepříjemné přitom je, že přístupové údaje administrátora jsou trvale zakódované v zařízení a uživatel je nemůže změnit. Doporučuje se tedy před připojením uživatele k internetu odpojit NAS server od sítě. Seznam postižených zařízení najdete na stránce gulftech.org/advisories/ WDMyCloud Multiple Vulnerabilities/125. Pomocí dalšího typu útoku, který je zde popsán, je zase možné změnit jazyk uživatelského rozhraní zařízení. I když společnost Western Digital měla od poloviny roku 2017 čas na to, bezpečnostní mezery vyřešit, žádné záplaty zatím nejsou k dispozici.
Foto popis| NAS disky společnosti Western Digital mají napevno přidělené přístupové údaje, které mohou hackeři použít pro vzdálené přihlášení.
Krádež dat v prohlížeči
Zaměstnanci Princetonské univerzity zkontrolovali cca 50 000 webů. Podle jejich zjištění asi 1 100 z nich obsahovalo skripty, které zneužívají funkce automatického vyplňování formulářů obsažených v aktuálních verzích prohlížečů za účelem sledování uživatelů. Jak vědci odhalili, skripty z e-mailových adres uživatelů vytvářejí MD5 hash, který posílají na reklamní servery třetích stran. Tímto způsobem mohou být surfaři jasně identifikováni a sledováni. Teoreticky hrozí i odhalení v prohlížeči uložených hesel. Jak to funguje, se můžete podívat na stránce jdem.cz/dwsdy8. Bezpečnostní odborníci proto doporučují v prohlížeči deaktivovat funkci automatického vyplňování formulářů. Například v prohlížeči Firefox tuto funkci vypnete tak, že do adresního řádku napíšete »about:config«, vyhledáte položku »signon.autofillForms« a kliknutím změníte její hodnotu na »false«. Formulář se následně bude vyplňovat jen po kliknutí myší.
Opera získá filtr proti kryptominerům
Oblíbený webový prohlížeč Opera by měl získat ochranu před kryptominery, což je software pro těžbu kryptoměn. Ten je skryt na některých webových stránkách a využívá výkon klientského počítače k těžbě kybernetickým měn, tedy například bitcoinu. Vytížení postižených počítačů přitom může dosahovat až 100 procent. Od verze 50 už umí Opera blokovat nechtěnou reklamu a další verze by měla být rozšířena o filtr No Coin, který rozpozná a blokuje skripty, které se používají právě pro těžbu kryptoměn.
Zabezpečení chytrých televizorů s Androidem
Bezpečnostní společnost ESET představila na veletrhu Mobile World Congress vlastní aplikaci na ochranu chytrých televizorů s operačním systémem Android TV.
Nástroj ESET Smart TV Security zabezpečí Smart TV připojenou k internetu před různými druhy útoků malwarem. Do roku 2020 by se přitom mělo podle statistik připojit k internetu až 30 miliard chytrých zařízení. Na jednu stranu tato zařízení přináší řadu výhod, ale zároveň představují pro své uživatele každodenní hrozbu. Zvláště pak chytré televizory vybavené integrovanými mikrofony, kamerami a USB porty se stávají stále častějším cílem útoků malwaru. Prostřednictvím napadeného chytrého televizoru mohou kyberzločinci proniknout i do jiných zařízení připojených do stejné domácí sítě, ale také provádět špionáž a shromažďovat citlivé osobní údaje.
Chytré televizory s Androidem se také stávají terčem vyděračského ransomwaru. Aplikace ESET Smart TV Security využívá při ochraně diváků různé bezpečnostní funkce, mezi něž patří antivirová ochrana, jež brání v průniku rostoucímu počtu škodlivého softwaru určenému pro zařízení s Androidem. Nástroj Anti-ransomware chrání před zašifrováním obrazovky. Pokud ESET Smart TV Security detekuje ransomware, doporučí uživateli odinstalovat malware. Software také skenuje zařízení na přítomnost škodlivého softwaru, včetně těch, která se k chytré televizi připojují prostřednictvím USB. Bezpečnostní aplikaci ESET Smart TV Security lze stáhnout prostřednictvím obchodu Google Play pouze na televizním přijímači s Androidem TV.
Ransomware pro Android blokuje mobil
Rok 2017 byl bezesporu rokem ransomwaru. Ransomware je přitom jakýkoli typ škodlivého kódu, který za zpřístupnění infikovaného zařízení požaduje peníze.
Běžní uživatelé, ale i nadnárodní organizace museli čelit masivním útokům, jakými byly NotPetya nebo WannaCry. Ransomware se ale nezaměřuje pouze na klasické počítače. Zneužívají ho i útočníci, kteří chtějí vydělat na vysoké popularitě mobilních zařízení a nejrozšířenějšího operačního systému Android.
Podle bezpečnostní společnosti ESET operační systém Android čelí nejčastěji třem kategoriím tohoto škodlivého kódu: lock-screen ransomwarům, PIN lockerům a crypto ransomwarům. U tzv. lock-screen ransomwaru je zablokováno celé zařízení vyskakovacím oknem, které celou svojí velikostí překrývá displej mobilu nebo tabletu. PIN lockery fungují podobně, k zablokování zařízení však zneužívají samotný ochranný mechanismus operačního systému - vstupní PIN kód nebo heslo. Ransomware změní tento PIN nebo heslo tak, že jej skutečnému majiteli zařízení neprozradí. V případě crypto ransomwaru je obsah infikovaného zařízení také zašifrován.
Ransomware pro Android dokáže také promazat obsah zařízení, resetovat PIN nebo přístupové heslo do zařízení, zaslat SMS zprávu na jakýkoli kontakt nebo na všechny kontakty, ukrást přijaté SMS zprávy nebo zapnout a vypnout Wi-Fi či mobilní data. Ransomware se často vydává za legitimní aplikaci - populární hry či pornografické aplikace. Přestože Google ve svém obchodě s aplikacemi využívá vlastní ochranné mechanismy k tomu, aby se do něj nedostaly aplikace infikované škodlivým kódem, ne vždy fungují. Analytici společnosti ESET nahlásili společnosti Googlu již stovky vzorků škodlivého kódu přítomných v jeho obchodu, jimž se podařilo ochranné mechanismy obejít.
Jak se ransomwaru zbavit, najdete na jdem.cz/dwvse9.
Počet kyberútoků se ztrojnásobil
Řešení a potlačování kybernetických útoků stojí firmy ze sektoru finančních služeb mnohem více než firmy v jiných odvětvích a podíl úspěšných útoků se zde za posledních pět let ztrojnásobil, uvádí zpráva společností Accenture a Ponemon Institute. Je zde ale stále prostor pro zvýšení bezpečnosti pomocí nových technologií: pouze jedna čtvrtina bank využívá pro boj s kyberkriminalitou umělou inteligenci a méně než jedna třetina nasazuje pokročilé analytické nástroje. Naštěstí firmy z odvětví finančních služeb provádějí obezřetnější a vyváženější investice do bezpečnostních technologií než firmy z jiných oborů.
Nová Cost of Cyber Crime Study (Studie nákladů na kyberkriminalitu) zkoumá náklady, které firmy stojí reakce na kyberútoky, a používá metodiku výpočtů, která umožňuje meziroční srovnávání. Odhalila, že se průměrné náklady na kyberkriminalitu u firem poskytujících finanční služby během posledních tří let celosvětově zvýšily o více než 40 %, z 12,97 mil. USD na firmu v roce 2014 na 18,28 mil. USD v roce 2017. To je mnohem více než průměrné náklady ve výši 11,7 mil. USD na firmu ve všech odvětvích zahrnutých v průzkumu. Analýza se zaměřuje na přímé náklady těchto incidentů a nezahrnuje dlouhodobé náklady na nápravu.
Trackmageddon: Nezajištěné služby sledování polohy
Mnozí uživatelé používají služby pro on-line sledování polohy, například si zaznamenávají průběh tréninku. Podle bezpečnostních odborníků je ale řada těchto služeb nezabezpečena, takže případní hackeři mohou přistupovat k uloženým datům a v některých případech mohou zařízení i špehovat. Technicky je možné například na dálku spustit mikrofon a uživatele odposlouchávat. Bezpečnostní nedostatky mají nejen aplikace pro smartphony, ale také detekční zařízení pro vozidla a pro hlídání dětí.
Využití šifrování
Důmyslnost hackerů stoupá nebývalým tempem. Ke svým útokům stále častěji využívají zašifrovanou webovou komunikaci i známé internetové služby, jako jsou Dropbox či Google Docs. Více se zaměřují také na zařízení internetu věcí, která organizace často nechávají neaktualizovaná a zranitelná.
Tyto závěry přinesla studie Cisco 2018 Annual Cybersecurity Report. Ta dále říká, že nejčastější překážkou pro vybudování spolehlivé bezpečnostní architektury je nízký rozpočet, nekompatibilita jednotlivých bezpečnostních řešení a nedostatek IT specialistů na trhu. Proto 74 % bezpečnostních profesionálů alespoň částečně spoléhá na umělou inteligenci a 83 % na automatizaci. Útoky jsou přitom stále ničivější. A tak zatímco dříve šlo útočníkům využívajícím vyděračský software především o zisk, dnes se stále častěji setkáváme s útoky, které se snaží napáchat maximální škody. Velkým problémem je také spam, tedy nevyžádaná pošta, která stále tvoří nejčastější způsob, jakým se útočníci snaží proniknout do zařízení. Škodlivé přílohy e-mailů jsou nejčastěji ve formátu Office (.doc, .ppt, xls), .zip či .jar a .pdf.
Kyberzločinci zneužívali popularitu bitcoinu a fotbalu )
V roce 2017 sledovali kyberzločinci aktuální světové dění a události, které se následně snažili využít k oklamání uživatelů. Podle reportu Spam a phishing v roce 2017 společnosti Kaspersky Lab mezi takové události patřilo například blížící se mistrovství světa ve fotbale nebo stoupající popularita bitcoinu. Falešnými zprávami o těchto událostech se kyberzločinci z uživatelů snažili vylákat peníze nebo osobní údaje.
Společnost Kaspersky Lab dlouhodobě pozoruje trendy v oblasti spamu a phishingu a může bohužel potvrdit, že jsou tyto metody kyberzločinců velmi účinné. Je to způsobeno především klesající ostražitostí uživatelů a jejich bezvýhradnou důvěrou. Často se totiž řídí instrukcemi podvodníků, které od nich obdrží do svých e-mailových schránek. Zločinci je pak bez jejich vědomí okrádají o peníze nebo osobní údaje.
Jak zjistili odborníci z Kaspersky Lab, kyberzločinci využívali poměrně nové techniky, kdy například podvodné stránky maskovali jako kryptoměnovou burzu. V jiném případě zase nabízeli cloudové servery a služby pro těžbu kryptoměn. V podvodných e-mailech lákali uživatele, že si prostřednictvím jejich služeb vydělají velké peníze. Stal se ale pravý opak - z uživatelů se stali oběti. I v jiných, už osvědčených podvodných praktikách, jako jsou falešné loterie, využívali kyberzločinci bitcoin jako návnadu. Ve spamech zacílených díky široké databázi adres podvodníci nabízeli k odkupu kryptoměny, které slibovaly velké zisky.
Nejčastějším zdrojem spamu byly USA (13,21 %), Čína (11,25 %) a Vietnam (9,85 %). Zbývajícími státy v top 10 jsou Indie, Německo, Rusko, Brazílie, Francie a Itálie. Nejvíce spamem zasažených cílů se naopak objevilo v Německu (16,25 %), kde počet obětí meziročně stoupl o 2,12 procentního bodu. Dalšími státy v top 10 jsou Čína, Rusko, Japonsko a Velká Británie.
Firefox upozorňuje na nezabezpečené stránky
Internetový prohlížeč Firefox od své nové verze označuje nezabezpečené webové stránky, tedy stránky, které nepoužívají šifrování. Takovéto stránky jsou označeny ikonou červeně přeškrtnutého černého zámečku. Po kliknutí na tuto ikonu se zobrazí podrobnější informace: »Připojení není zabezpečeno. Přihlašovací údaje zadané na této stránce mohou být vyzrazeny«. Naopak šifrované HTTPS stránky poznáte podle toho, že je u nich zobrazena ikona zeleného zámečku.
Všestranná ochrana před všemi útoky
Pomocí těch správných nástrojů a nastavení můžete na vlnách internetu surfovat anonymně, bezpečně a s ochranou proti virům. Chip vám ukáže, jak si optimálně zabezpečit svůj počítač a smartphone.
Podle průzkumu provedeného společností TNS Infratest je většina internetových odborníků přesvědčena, že používat internet zcela anonymně již dnes není možné (viz průzkum vpravo). Do určité míry mohou mít pravdu, protože například v USA všichni poskytovatelé internetových služeb ukládají údaje o využívání internetu svých zákazníků a vyhodnocují je. Dokonce i v Evropě se data o využití internetu zaznamenávají, ale nevyhodnocují. Přesto nemají odborníci tak docela pravdu. Díky správným aplikacím a dokonalým nastavením a díky dobře promyšlenému výběru internetových služeb je stále možná velká míra anonymity. Ukážeme vám, jak jí dosáhnout v osobním počítači, mobilním telefonu i domácí síti, a to aniž byste se vzdali veškerého pohodlí. Anonymita vás přitom nezbaví jen vašich stínů na internetu, ale zajistí i lepší ochranu před viry a malwarem. Použitím nástrojů uvedených v tomto článku se budete po internetu pohybovat kryti šifrováním, utěsníte své děravé systémy a budete moct surfovat bez sledování a bezpečně. Abyste toho dosáhli, budete muset pochopit postupy při shromažďování uživatelských dat a cíle autorů virů.
Jak získávají společnosti a hackeři přístup k vašim datům
Velké společnosti jako Google, Apple, Microsoft nebo Facebook se snaží shromažďovat co nejvíce osobních dat - zejména z mobilních zařízení. Pak mohou nabízet personalizované nabídky a zobrazovat speciálně cílenou reklamu. Většina firem tak zjišťuje chování uživatele při procházení stránek, jeho preference při výběru, čas strávený na různých stránkách a podobně. Informace se většinou shromažďují na pozadí. Mapy Googlu pak zaznamenávají všechna hledaná místa, navštívená místa a aktuální polohu. Podobné mechanismy samozřejmě využívá i společnost Apple, která jinak věnuje ochraně dat velkou pozornost: téměř všechna zařízení s iOS ve výchozím nastavení ukládají historii polohy. Pokud se informace o uživateli a zařízení dostanou do nesprávných rukou, potenciál zneužití je velký. Hackeři pak například mohou zjistit, kdy není uživatel doma, nebo ho mohou vydírat citlivými údaji. Takovéto informace jsou ale užitečné i pro útoky škodlivého softwaru. Například útočníci mohou pomocí metadat uložených ve fotografiích určit, jaký operační systém uživatel používá, a pak cíleně zaútočit.
Anonymní stolní počítač
Pro útočníky jsou domácí počítače stále nejjednodušším cílem pro hacknutí. Operační systémy, zejména Windows, pro ně totiž nejsou dobře zabezpečené. Jako bránu do počítače přitom mohou použít i aplikace třetích stran, které se na nich hojně využívají. Neexistuje pro ně systém rychlých a automatických aktualizací, stejně jako standardní postupy, které by existující mezery odstranily. Kybernetičtí zločinci pak mohou prostřednictvím chyb a mezer systému a aplikací do počítače propašovat škodlivý software a desktopové počítače pak prakticky znemožňují anonymitu. Na počítači je přitom řada osobních údajů, jako jsou informace o bankovních účtech, přihlašovací údaje, citlivé dokumenty nebo sbírky fotografií.
Prevence proti špionážnímu malwaru
I když se v tomto ohledu již opakujeme, znovu doporučujeme, abyste se před nebezpečím napadení virem a dalším malwarem bránili instalací všech důležitých aktualizací systému Windows. Systém Windows to většinou neudělá za vás. Zkontrolujte nastavení operačního systému pod »Aktualizace a zabezpečení«. V »Nastavení aktualizací« je třeba zadat, aby si systém Windows automaticky stahoval a instaloval aktualizace. V dalším kroku nainstalujte dobrý antivirový program. Použijte buď komerční software, nebo dobře hodnocený volně šiřitelný program. Čtenáři Chipu mohou použít antivirový program AVG pro Chip. Seznam pěti nejlepších komerčních programů najdete ve sloupci vpravo.
Kamufláž původního webu
Pokud chcete po internetu surfovat zcela anonymně, měli byste používat VPN (Virtual Private Network). Jestliže virtuální privátní síť použijete, komunikace bude probíhat šifrovaně a pro přenos dat se použije speciální server - brána. Dokonce ani poskytovatelé internetového připojení pak nebudou moct sledovat, po kterých stránkách surfujete. Bezpečnost a anonymita však roste a klesá podle toho, jakého poskytovatele VPN si vyberete. Pokud chcete vysokou míru anonymity, dobrým řešením je poskytovatel ProtonVPN se sídlem ve Švýcarsku. Výhodou této služby je, že není povinna ze zákona ukládat informace o připojení. Většina funkcí je dokonce zdarma. Používáte-li systém Windows, nabízí tato služba vlastní software, pomocí něhož si můžete vybrat jednotlivé brány. ProtonVPN ale nabízí ale řešení i pro ty, kteří chtějí chránit své webové údaje a pohybují se na cestách. Více se o tom dočtete v části „Ochrana mobilních zařízení“. Ještě vyšší míru zabezpečení pak nabízí služba ProtonVPN Plus, která však stojí 8 eur měsíčně. Za tyto peníze budou vaše data směrována na web prostřednictvím serverů speciálně zabezpečených proti hackerům. Navíc se nepoužívá jen jedna VPN, ale několik sítí propojených mezi sebou. Za tuto službu můžete navíc zaplatit zcela anonymně - pomocí bitcoinů.
Blokování sledování prohlížeče
Poté, co jste vyřešili svou ochranu proti sledování polohy ze strany poskytovatele připojení, se můžete věnovat i zamezení dalšímu sledování. Téměř každá komerční webová stránka identifikuje své návštěvníky prostřednictvím cookies a sleduje jejich návyky. Výsledek: pokud každý den nemažete historii svého prohlížeče, mohou si reklamní společnosti vytvořit dobrý profil vašeho chování na internetu. Tomu můžete zabránit použitím prohlížeče, který ochranu dat uživatele řeší. Je jím například Cliqz (najdete ho na Chip DVD). Vyhledávací dotazy jsou v tomto programu anonymní a ochrana proti sledování a blokování vyskakovacích oken brání cílené reklamě. Kromě ochrany ze strany internetového prohlížeče můžete navíc používat i anonymní DNS server: Quad9. Dotazy na IP adresy, pod kterými se nachází web servery, jsou v tomto případě zcela anonymní. Služba navíc automaticky odfiltruje stránky napadené malwarem. Chcete-li tento server používat na počítači s Windows, přejděte v Ovládacích panelech na »Síť a internet / Centrum síťových připojení a sdílení / Změnit nastavení adaptéru / Protokol IP verze 4«. Do adresního řádku u »Použít následující adresy serverů DNS« zadejte »9.9.9.9« a potvrďte pomocí »OK«. Bezpečnost a anonymitu vám zajistí i speciální browser BitBox (na Chip DVD), který je ale trochu nepohodlný. Prohlížeč můžete spouštět automaticky ve virtuálním prostředí. Nedoporučujeme však jeho použití na starších počítačích, nicméně majitelé výkonnějších strojů v něm získají prostředí zcela zajištěné proti útokům. Vzhledem k tomu, že BitBox smaže při svém ukončení i všechny soubory cookie, je uživatel chráněn i proti sledování chování. Problém však může představovat nová bezpečnostní mezera Meltdown, o které jsme psali v minulém čísle Chipu. Útočníci totiž mohou tuto mezeru zneužít k přístupu k obsahu uloženému na hostitelském počítači, přestože surfujete ve virtuálním prostředí. Pro systém Windows už je ale k dispozici bezpečnostní záplata, kterou byste si měli nainstalovat, pokud už se tak nestalo. Háček má i použití programu BitBox a Cliqz: jakmile například použijete vlastní účet, například na Gmailu, pro vytvoření uživatelského profilu využije tato služba obsah e-mailů. Můžete se tomu bránit použitím speciální poštovní služby, jako je například Posteo. Poskytovatel této služby totiž ještě dodatečně šifruje obsah doručené pošty extra heslem. A ani Posteo si nedokáže přečíst obsah e-mailů. Potřebujeteli anonymní e-mailovou adresu pouze na krátkou dobu, můžete použít webové stránky jako wegwerfemailadresse. com, emailnachvilku.cz nebo dropmail.me.
Použijte chráněný operační systém
Dobrou ochranu vám také poskytne samostatný operační systém izolovaný od systému Windows, na kterém běží počítač. Bezpečně můžete například surfovat prostřednictvím operačního systému Linux verze Tails, která byla speciálně upravena pro ochranu dat, bezpečnost a anonymitu. Odolný Debian Linux v tomto případě funguje jako nezávislý systém, takže vám případný malware nemůže infikovat váš systém Windows. Live verzi systému Tails najdete na Chip DVD. Kromě toho máte k dispozici internetový prohlížeč Tor. Můžete jej použít k anonymnímu surfování po internetu, a podobně jako v případě využití VPN, jsou v případě Tor všechna data šifrována a prochází přes několik uzlů. Zpětné vysledování je vyloučeno. Nesmíte však provést tu chybu a přihlásit se k této službě pomocí údajů, které by vás mohly identifikovat. Pak by bylo možné přiřadit k vašemu jménu vaši IP adresu. Následně by bylo možné sledovat váš pohyb na internetu pomocí cookies, až do jejich vymazání nebo získání nové IP adresy. K tomu ale dojde jen v případě, kdy resetujete systém Tails.
Zabezpečení mobilních zařízení
Zařízení, jako jsou tablety nebo smartphony, jsou skutečnými extraktory dat - alespoň ve standardní konfiguraci. V bezpečnějším surfování po internetu a ukládání dat do nich můžete pokračovat pouze v případě optimalizace nastavení těchto zařízení a po instalaci správných aplikací a antivirových programů. Jinak budou internetové služby a webové servery sledovat vaši polohu a vaše chování.
Vypnutí sledování smartphonu
Pokud chcete na smartphonu surfovat anonymně, je potřeba vypnout většinu služeb na pozadí. Některé aplikace, mají-li tu možnost, totiž získávají přes GPS informace o vaší poloze, mají přístup k vašim kontaktům nebo se mohou podívat do vašeho kalendáře a dalších záznamů. V systému iOS najdete možnost vypnout toto sledování v »Nastavení« v části »Soukromí«. Údaje, které poskytuje GPS, můžete omezit v nabídce »Polohové služby«. V případě jiných zdrojů dat však musíte projít další jednotlivé položky nabídky »Soukromí«. U jednotlivých položek najdete všechny aplikace, které mají přístup k příslušným zdrojům dat, tedy například ke kontaktům nebo mikrofonu. V ideálním případě byste měli zakázat přístup všech aplikací. Následně můžete přístup povolit jen konkrétní aplikaci v případě, kdy ji budete využívat. Například přístup k poloze přes GPS je rozumné povolit aplikaci Mapy. Myslete ale i na to, jaké aplikace používáte a zda jsou nativní. Například Mapy Googlu ve výchozím nastavení zaznamenávají historii hledání. V některých případech to však dělá i Apple, ale v tomto případě jde o zcela anonymní údaje, které nejsou přiřazeny ke konkrétnímu uživatelskému účtu. Situace je podobná v případě možnosti přístupu ke kontaktům. Je například lepší, když zakážete přístup aplikaci WhatsApp. V opačném případě totiž všechny vaše kontakty přistanou na serverech vlastníka WhatsAppu, tedy Facebooku. Oficiálně nejsou tato data využívána, ale to se může kdykoli změnit. Stejně jako v případě iOS si můžete zajistit vyšší anonymitu i v případě systému Android. Například se můžete rozloučit se všemi aplikacemi Googlu, pro které existuje alternativa. V případě Google Map jsou to třeba Mapy.cz. Důvodem je to, že Google obvykle ukládá na svých serverech spoustu informací o zařízení a jeho majiteli. Ale samozřejmě pro Obchod Play budete muset svůj účet použít. Alternativní aplikace pro navigaci nebo pro kalendář však snadno najdete a nemusí jít o on-line program, který vše sdílí do cloudu. Navíc stejně jako v případě iOS byste měli zkontrolovat přístup aplikací k různým systémovým službám. Chcete-li to provést, přejděte do nabídky »Nastavení«, kde najdete položku »Poloha« a možnost omezit její použití a také položku »Zabezpečení«, kde najdete přístupová oprávnění aplikací.
Zbavte se otisků prstů
Jedná se o podobný přístup, jaký se používá v případě zbraní. Forenzní specialisté jsou schopni jednoznačně určit, z jaké zbraně byla vystřelena kulka. Manipulace je v tomto případě téměř vyloučena. Vědci z univerzity v Buffalu dokázali totéž v případě smartphonů a fotografií - jsou schopni určit, jakým konkrétním smartphonem byl snímek pořízen. Na fotografiích jsou totiž malé chyby, které není možné pouhým okem rozpoznat. Proces, který k tomu používají, se jmenuje Photo-Response Non-Uniformity (PRNU), tedy nerovnoměrnost citlivosti pixelů. Jednotlivé pixely optického snímače fotoaparátu mají různou citlivost na světlo. Expozice pak vytváří vzor, který odpovídá pouze jednomu smartphonu. Pravděpodobnost, s jakou může odborník přiřadit fotografii ke smartphonu, je 99,5 procenta. Na rozdíl od zbraně a vystřelené kulky mají fotografové po stisku spouště smartphonu možnost snímek pozměnit. Na stránce projektu SourceForge (jdem.cz/dv9cv3) najdete nástroj vývojáře apuppe, který se jmenuje PRNU Decompare a slouží k pozměnění dat fotografie a znemožnění její identifikace přes PRNU. Další možností je využít nějaký komerční nástroj, změnit hodnoty jasu a kontrastu fotografie a znovu ji uložit v JPEG. Pokud to uděláte několikrát, podle údajů odborníků už nelze po pátém editování fotografie snímek přes PRNU identifikovat.
Odstranění GPS dat
Fotografie pořízené smartphonem ale běžně obsahují mnohem více informací a v podstatě i osobních údajů, podle kterých je možné je identifikovat. Kromě obrazových informací totiž soubor s fotografií obsahuje i tzv. metadata, označená v tomto případě EXIF. Kromě výrobce a modelu fotoaparátu, v tomto případě smartphonu, jsou tak v souboru i informace o GPS umístění. A najdete zde i verzi operačního systému, na kterém smartphone běží. Tato data jsou přitom zachována, i když snímky umístíte na internet nebo je pošlete přes nějaký messenger. Existuje více možností, jak tyto informace z fotografie odstranit. Lze to i přímo ve smartphonu. V případě, že máte smartphone s iOS, můžete použít aplikaci Metapho, a pokud máte zařízení s Androidem, k dispozici je například aplikace Photo Exif Editor. Nebo můžete použít jednoduchý trik: Otevřete ve smartphonu fotografii, u které chcete zmazat EXIF data. Následně zhotovte screenshot displeje. V případě zařízení s iOS to provedete tak, že stisknete tlačítko Home společně s tlačítkem pro zapnutí. Uživatelé iPhonu X musí stisknout tlačítko pro zapnutí společně s tlačítkem [+]. U zařízení s Androidem uděláte screenshot pomocí následující kombinace: stiskněte tlačítko pro ovládání hlasitosti [-] a k tomu tlačítko pro zapnutí. Získáte tak snímek, který neobsahuje metadata a který můžete klidně poslat dál.
Použijte mobilní řešení VPN
Pokud jste zamezili sledování vaší polohy, můžete se věnovat zametání dalších stop při surfování. Místo standardního prohlížeče je lepší použít prohlížeč, který neprovádí tak rozsáhlou špionáž svého uživatele a zabraňuje sledování. Pro iOS a Android vám doporučujeme prohlížeč Firefox Klar. Můžete také nainstalovat do zařízení dodatečnou ochranu proti sledování - například program Ghostery. V obou případech ale nezapomeňte v nastavení aplikací vypnout přenos uživatelských dat. Navíc doporučujeme aktivovat server Quad9-DNS. V systémech iOS i Android to provedete v nastavení sítě Wi-Fi - bohužel ale musíte zadat tento server opakovaně pro každou použitou bezdrátovou síť. Také síť VPN vám zajistí větší ochranu soukromí při surfování. Naše doporučení v tomto případě zní: ProtonVPN (protonvpn.com). Přestože v případě Windows je k dispozici praktický software, instalace na zařízení s iOS a Android je poněkud komplikovaná. V obou případech použijte aplikaci Open VPN, kterou najdete v příslušném obchodě s aplikacemi. Po instalaci se musíte přihlásit k účtu ProtonVPN na osobním počítači a stáhnout konfigurační soubor. Abyste to provedli, přejděte na záložku »Downloads«. Vyberte operační systém a klikněte na »Secure Core Config«. Vyberte požadovanou zemi, ze které chcete získat IP adresu. Tlačítko ke stažení naleznete hned vedle a použijte ho ke stažení souboru. Soubor pošlete na e-mailovou adresu, ke které máte přístup také ze smartphonu. Otevřete ve smartphonu přílohu se souborem a jako vhodnou aplikaci vyberte OpenVPN. Tím je konfigurace ukončena. Nakonec vytvořte trvalé připojení. V systému Android musíte v nastavení OpenVPN zatrhnout volbu v nastavení, která je označena jako »Connect on boot«, i když zbytek aplikace je lokalizovaný do českého jazyka. Vše ostatní upraví aplikace. V aplikaci pro iOS aktivujte v nastavení Open-VPN volby »Seamless Tunnel«, »Reconnect on wakeup« a »Layer 2 reachability«. V důsledku omezení operačního systému iOS může být VPN odpojena v případě, kdy se zařízení dostane do pohotovostního režimu, nebo po restartu. V tom případě musíte VPN připojení znovu aktivovat.
Použijte prohlížeč Tor
Lepší zabezpečení než použitím VPN získáte pomocí sítě Tor. Stejně jako v případě desktopového řešení je totiž v tomto případě datový provoz směrován do sítě prostřednictvím několika uzlů, takže je zcela anonymní. Pro použití sítě Tor ale potřebujete odpovídající internetový prohlížeč pro váš smartphone. Uživatelé systému iOS mohou použít aplikaci Tob. Program využívá nejen síť Tor, ale také nabízí anonymní webový prohlížeč, který jako vyhledavač používá implicitně službu DuckDuckGo. V systému Android můžete dokonce použít síť Tor jako anonymizátor pro všechny aplikace. Za tímto účelem si do zařízení nainstalujte bezplatnou aplikaci Orbot z obchodu Google Play. Po instalaci tohoto programu zapněte volbu »VPN Mode«. Můžete si také vybrat, ze které země chcete získat IP adresu. Dále můžete kliknout na »Use Bridges« a můžete pak nastavit volbu »Connect directly to Tor (Best)«. Následně aplikace vytvoří připojení přes Tor. Pokud používáte Tor a VPN společně, nejprve vytvořte VPN připojení a pak teprve použijte Tor. Jestliže tuto posloupnost nedodržíte, mohl by si někdo odvodit vaši polohu.
Ochraňte svůj router
Dokonce i váš domácí Wi-Fi router toho na vás může vyzradit víc, než si přejete, zejména použijete-li standardní konfiguraci. Už jen název routeru může odhalit víc, než je nutné. Ukážeme vám, jak můžete napříště jeho konfiguraci správně upravit, surfovat pomocí DNS zaměřeného na ochranu dat a jak vytvořit šifrované internetové připojení.
Změna jména routeru a SSID
Chcete-li zabránit tomu, aby se z nastavení routeru daly odvodit nějaké citlivé informace o vás nebo routeru, měli byste předem zakázat všechny jeho internetové služby a změnit standardní SSID. Dostaňte se do nastavení vašeho Wi-Fi routeru. Do adresního řádku internetového prohlížeče napište IP adresu vašeho routeru - například 192.168.1.1 nebo rouer.asus.com. Budete následně požádáni o zadání uživatelského jména a hesla. Pokud jste tyto údaje ještě neměnili, najdete je také na spodní straně routeru, případně v manuálu nebo na internetu. Po zadání údajů se dostanete do nastavení routeru - nabídka se liší v závislosti na výrobci routeru. Většinou se ale přes nabídku »Pokročilá nastavení« dostanete do části »Bezdrátové« nebo »Bezdrátová síť« a budete mít možnost změnit »Síťový název (SSID)«. Kromě síťového názvu u frekvence 2,4 GHz změňte také síťový název pro frekvenci 5 GHz a zvolte takový, aby z něj nebylo možné zjistit výrobce nebo model routeru. Jinak byste hackerovi usnadnili práci. Dále deaktivujte možnost vzdáleného přístupu k routeru přes HTTPS, případně i přístup k vašemu úložnému médiu prostřednictvím FTP/FTPS, pokud tuto funkci nevyužíváte. Změněné nastavení uložte.
Nastavení ochrany DNS
Také na routeru byste měli použít alternativní DNS server, jako je například Quad9. Výhoda: pokud službu nastavíte přímo na routeru, všichni připojení klienti budou moct automaticky surfovat pomocí tohoto serveru. V případě routeru Asus najdete možnost nastavení DNS v části »Pokročilá nastavení«, kde najdete také volbu »WAN«. U »Nastavení WAN DNS« klikněte na »ne« u volby »Připojit k DNS automaticky« a do řádku nadepsaného »DNS Server1« zadejte IP adresu »9.9.9.9«. Změnu potvrďte kliknutím na tlačítko »Použít«. Následně bude router využívat jiný DNS server. Nemusíte pak pracně nastavovat alternativní DNS server na všech k routeru připojených zařízeních.
Nastavení trvalého přesměrování VPN
Ještě větší anonymitu získáte trvalým připojením routeru přes VPN. Nebudete se pak muset starat o nastavení VPN u jednotlivých klientských zařízení připojených k tomuto routeru a budete tak automaticky surfovat pomocí chráněného VPN připojení. Některé routery tuto možnost nabízí implicitně, u některých však budete muset zvolit alternativní firmware DD-WRT. Alternativní firmware DD-WRT je přitom k dispozici pro routery různých kategorií, od výkonných modelů, jako je Netgear Nighthawk X10 (cena cca 11 400 Kč), až po cenově dostupné varianty, jakou je například TP-Link TL-WR940N (cena cca 800 Kč). Po výběru směrovače budete potřebovat využít nějakou VPN službu a použít můžete i bezplatnou ProtonVPN.
Instalace alternativního firmwaru
Instalační proces alternativního firmwaru si ukážeme na příkladu routeru Netgear. Podobný postup ale můžete použít i u jiných routerů. Stáhněte si vhodný firmware DD-WRT na webové stránce dd-wrt.com a nainstalujte jej do routeru pomocí funkce pro aktualizaci firmwaru. Po restartu routeru se už ocitnete v rozhraní alternativního firmwaru DD-WRT. Následně můžete změnit jazyk nabídky. Poté použijte nabídku »Setup / Basic Setup« a do pole »Static DNS 1« zadejte hodnotu »9.9.9.9«. Následně aktivujte zatržení u »Use DNSMasq for DHCP«, »Use DNSMasq for DNS« a »DHCPAuthoritative«. Nové nastavení uložte a ještě deaktivujte podporu IPV6 v nastavení »Setup / IPV6«.
Nastavení VPN u DD-WRT
VPN u DD-WRT nastavíte v nabídce »Services / VPN«, kde aktivujete předvolbu »PPTP Server«. Dále aktivujte předvolby »Broadcast support« a »MPPE Encryption«. Jako »Server IP« je třeba zadat veřejnou IP adresu vašeho Wi-Fi routeru s DD-WRT a jako »Client IP(s)« zadejte rozsah IP adres přiřazovaných klientům připojeným přes VPN (pro 5 klientů např. »192.168.16.5-9«). Důležité je také nastavení »CHAP-Secrets«, které obsahuje uživatelská jména a hesla klientů pro připojení k VPN ve formátu »uživatel * heslo *«. Důležité je zachovat mezery u hvězdiček a samozřejmě také nahradit operátory »uživatel« a »heslo« za skutečná uživatelská jména a hesla, která budete chtít používat. Pak použijte tlačítka »Apply Settings« a »Save« pro potvrzení a uložení konfigurace VPN. Připojení k vašemu nově vytvořenému VPN serveru, běžícímu ve Wi-Fi routeru, je třeba nakonfigurovat také ve Windows. Otevřete si Ovládací panely a přejděte do nabídky »Síť a internet / Centrum síťových připojení a sdílení«. Zde použijte volbu »Nastavit nové připojení nebo síť« a v nově otevřeném okně zvolte »Připojit k firemní síti«. V dalším kroku průvodce nastavením zvolte »Použít moje připojení k internetu (VPN)« a následně zadejte veřejnou IP adresu vašeho routeru a název nového VPN připojení. Pak už stačí zadat jen dříve zvolené uživatelské jméno a heslo a můžete se začít odkudkoli připojovat k internetu bezpečnou, šifrovanou cestou.
***
Rychlé tipy pro osobní počítače
Pokud chcete surfovat na internetu bezpečně a anonymně, bude nejlepší, když na svém počítači využijete následující tipy. > Instalujte aktualizace Používejte funkci pro automatickou aktualizaci operačního systému Windows. Tak budete chráněni proti aktuálním kritickým chybám, jako například Meltdown a Spectre. > Nainstalujte si antivirový skener V tomto článku získáte přehled o nejlepších antivirových skenerech pro Windows. Využít můžete i bezplatné nástroje, jako je antivirový program AVG pro Chip. > Použijte bezpečnější prohlížeč Chcete-li se lépe chránit před sledováním prostřednictvím cookies a spol., použijte prohlížeč s lepším zabezpečením osobních dat, jako je například Cliqz. Nebudete pak otravováni personalizovanou reklamou a nabídne vám také anonymní vyhledávání na webu. > Instalace VPN Nejlepším způsobem, jak se chránit před špehováním poskytovateli internetového připojení, je použít VPN. Navíc ji můžete použít k bezpečnému surfování ve veřejných sítích, protože data pak z počítače a do něj putují v zašifrované podobě přes bránu.
***
Rychlé tipy pro mobilní zařízení
Smartphony a tablety jsou vděčným cílem hackerů. Zařízení jim totiž často poskytnou citlivé informace. > Utěsněte operační systém Než začnete se zabezpečováním zařízení, nejprve vyhledejte aktuální systém a aplikace. Tím se často vyřeší kritické chyby systému. Nainstalujte si také antivirový program pro Android. > Znemožněte sledování Na svém smartphonu deaktivujte možnost využívat informace o vaší GPS poloze - buď obecně, nebo alespoň některým aplikacím. Přehled všech aplikací, které mají oprávnění k přístupu k informacím o poloze, najdete v nastavení systému. > Zbavte se otisků prstů Do fotografie pořízené smartphonem se zaznamenává informace o poloze a navíc z ní lze zjistit, jakým smartphonem byla pořízena. Pro smazání PRNU dat je k dispozici aplikace (viz str. 40) > Použijte VPN Stejně jako v případě osobního počítače je lepší, pokud se data ze a do smartphonu budou dostávat v zašifrované podobě přes VPN síť. Další ochranu pak nabídne prohlížeč Tor.
***
Rychlé tipy pro váš router
Pomocí několika triků můžete nastavit domácí Wi-Fi router tak, že z něj bude bezpečná brána do internetu. Měli byste změnit standardní nastavení routeru.> Upravte SSID a nepoužívejte standardní název routeru. Ten pomůže útočníkům zjistit, jaké máte zařízení a jaké jsou jeho slabiny, a ti pak mohou provádět cílený útok. > Ochrana DNS Jako výchozí DNS server nastavte v konfiguraci routeru Quad9 DNS. Všichni připojení klienti pak budou automaticky surfovat s bezpečnějším DNS. Nutné je proto ruční nastavení zařízení. > Používejte defaultně VPN Alternativní firmware, který je k dispozici pro většinu routerů, může vytvořit VPN připojení pro všechny klienty, kteří se k zařízení připojí. Pak už není nutná konfigurace jednotlivých klientů. Všechna data jsou pak šifrována. Webové služby navíc nejsou schopné zjistit vaši skutečnou IP adresu ani vaši polohu.
Foto popis| Anonymní používání internetu už není možné TNS Infratest požádal odborníky z oblasti internetu, komunikací a médií o názor na konec anonymního použití internetu. Foto autor| Zdroj: TNS InfratesT
Foto popis| Přístup k poloze zařízení můžete v operačním systému Android omezit. Foto popis| Uživatelé zařízení s iOS mohou v nastavení soukromí určit, jaké aplikace budou mít přístup k jakému typu informací, tedy například ke kontaktům nebo k mikrofonu. Foto popis| Nejlepší antivirové nástroje pro Windows Společně se skupinou AV Test otestoval Chip aktuální nástroje pro zabezpečení počítače se systémem Windows. Zde najdete nejlepších pět. Foto popis| Chcete-li se ke službě VPN připojit anonymně, můžete využít dočasnou e-mailovou adresu pro získání přihlašovacích údajů. Mnoho poskytovatelů VPN služeb, jako například ProtonVPN, nabízí i možnost anonymního placení bitcoiny. Foto popis| Pro vyšší bezpečnost můžete využít Browser in the Box, který běží ve virtuálním prostředí. Foto popis| S nainstalovaným prohlížečem Tor je Tails OS perfektní pro anonymní surfování po webu. Foto popis| Zabezpečený browser S prohlížeči, jako je Firefox Klar, můžete surfovat po internetu s integrovanou ochranou proti sledování. Foto popis| Antivirové nástroje pro Android Také chytré telefony byste měli vybavit vhodným antivirovým řešením. Chip je otestoval společně s AV Testem a tohle je pět nejlepších z nich. Foto popis| Použití GPS Podle průzkumu společnosti MindTake se uživatelé při použití GPS obávají především o svoje soukromí. Foto autor| Zdroj: MindTake
Foto popis| Odstranění metadat z fotografií Metadata uložená v souboru s fotografií obsahují mimo jiné informace o poloze a o zařízení, kterým byla pořízena. Pokud fotografii uložíte jako screenshot, tyto informace se odstraní. Foto popis| Antitrackingové nástroje, jako například Ghostery, shromažďují data. Tuto funkci musíte po instalaci deaktivovat. Foto popis| Aplikace OpenVPN zajistí šifrované připojení v prostředí operačního systému Android. Foto popis| Pomocí nástroje Orbot pro operační systém Android můžete odesílat data z vybraných aplikací na internet prostřednictvím sítě Tor. Foto popis| Pro každou bezdrátovou síť musíte ručně zadat adresu DNS serveru Quad9. Foto popis| Jak uživatelé zabezpečují své routery Většina uživatelů sice zabezpečuje své Wi-Fi routery heslem, ale méně než jeden z pěti změní SSID a další nastavení. Foto autor| Zdroj: Reichelt Elektronik
Foto popis| Nastavení Wi-Fi routeru Jako první byste měli změnit SSID vašeho routeru 1 . Následně zadejte v nastavení WAN jako DNS server Quad9, tedy »9.9.9.9« 2 . Foto popis| DD-WRT router Alternativní firmware je k dispozici pro levnější routery jako TP-Link TL-WR940N (cena cca 800 Kč), ale i pro ty nejvýkonnější, jako Netgear Nighthawk X10 (cena cca 11 400 Kč). Foto popis| Některé Wi-Fi routery nabízí možnost připojení přes VPN, kterou využijte. Nebudete pak muset nastavovat všechna připojená zařízení. Pokud tuto funkcí router nenabízí, můžete použít alternativní firmware. Foto popis| Použijete-li alternativní firmware DD-WRT, můžete nastavit VPN i na routeru, který jinak tuto funkci nepodporuje. Komunikace pak bude probíhat šifrovaně. Foto popis| Firmware DD-WRT nabízí i řadu dalších funkcí, jako je DLNA server nebo Sambu.
O autorovi| FABIAN VON KEUDELL, PAVEL TROUSIL, autor@chip.cz