Otázka čitateľa: Rád by som sa opýtal na bezpečnosť na internete z hľadiska bežného používateľa. Zaujíma ma hlavne to, že či sú mnohé hackerské útoky chybou bežných ľudí, formou zlého a nezodpovedného správania, alebo či za to môžu chyby v rôznych systémoch, za ktoré používatelia nemôžu. Je napríklad šanca, že ak mám silné heslo na Facebooku, stále sa mi niekto môže dostať do účtu? Alebo aká je napríklad bezpečnosť internetového bankovníctva, oproti iným stránkam? Je vôbec prístup k banke cez internet rozumný? Aké zásady bezpečnosti by mali bežní ľudia dodržiavať?

Vaša otázka sa týka nesmierne komplexnej a rozvetvenej témy, ktorá má mnoho špecifík a oddelených oblastí. Pokojne by mohla naplniť knižnú publikáciu s niekoľkými stovkami strán. V základe ale môžeme odpoveď zjednodušiť a zovšeobecniť do podoby niekoľkých krátkych odsekov, aby ste o téme získali akú-takú predstavu.

Absolútne drvivá väčšina boja o IT bezpečnosť sa odohráva mimo pozornosti a zodpovednosti bežného používateľa. Dennodenne obrovský počet bezpečnostných expertov z rôznych oblastí rieši a v reálnom čase aj reaguje na aktívne hrozby z hľadiska prebiehajúcich útokov na rôzne systémy, analyzujú nové druhy infekcií a nové útočné vektory.

Laboratórium firmy Eset

Ich riešenia majú napríklad podobu odstrihávania serverov útočníkov, vytvárania záplat jednotlivých programov či operačných systémov, alebo napríklad aj vytvárania nových definícií pre antivírusy a podobne.

V celej situácii si treba uvedomiť, že nejde o to, že bojujeme s nejakou prírodnou pohromou a IT experti stále len nemôžu nič poriadne zabezpečiť, pretože sú neschopní. Ide o súboj ľudí proti ľudom a tento súboj sa neustále mení, prispôsobuje a nikdy neutíchne. Útočníci chcú získavať prístup k systémom, chcú preberať kontrolu nad účtami, infikovať rôzne počítače a podobne, pričom dôvodom tejto činnosti je obvykle finančný zisk (predaj botnetov, rozposielanie spamu, okrádanie ľudí formou podvodu a pod.).

No a rôzni bezpečnostní experti sa im v tom snažia zabrániť. Mohlo by sa zdať, že softvérové firmy majú výhodu v tom, že majú bohaté financovanie, vedia, ako dané systémy fungujú, pretože ich vytvárajú a podobne, ale to je dosť skreslené. Často sú na tej viac znevýhodnenej strane. Prečo?

Reporty okamžitých bezpečnostných zraniteľností produktov rôznych firiem, odhalené bezpečnostnou firmou TALOS

Bezpečnosť IT systémov a riešení je možné obrazne prirovnať k zabezpečeniu domu alebo auta. Nech si budete na dvere dávať akékoľvek neprelomiteľné zámky, stále sa budete nachádzate v objekte, ktorý má po celom svojom obvode krehké okná, ktoré stačí jednoducho rozbiť.

V tejto ilustrácii sa prirovnanie týka toho, že všetka bezpečnosť nášho domu, bytu alebo auta sa stále musí vyrovnať s tým, že my ako jeho vlastníci ho chceme stále ľahko používať a chceme sa do neho a z neho relatívne rýchlo dostať. Dom môžeme perfektne zabezpečiť kompletným zaliatím do päťmetrovej vrstvy betónu, auto zakopaním tri metre pod zem a byt zas napríklad vyplnením pieskom od podlahy až po strop, ale na čo by nám potom boli?

Podobne je to aj s informačnými systémami, webovými stránkami, službami či operačnými systémami. Tie totiž ich používatelia stále musia byť schopní používať, pretože inak by nám neboli na nič. Z tohto hľadiska je teda boj so stále novými možnosťami zneužitia skrátka nekonečný.

ČO MÔŽE A ČO BY MAL ROBIŤ BEŽNÝ POUŽÍVATEĽ:

Vplyv tohto boja sa nevyhnutne prenáša aj na používateľa, ktorý ho môže ovplyvniť svojou obozretnosťou, informovanosťou a niekoľkými zásadami. Dobrým príkladom je napríklad infekcia počítačov e-mailom, ktorá patrí stále k najčastejším útočným vektorom na koncových používateľov. V základe by sa mohlo zdať, že je v tomto boji používateľ sám, ale nič nemôže byť ďalej od pravdy.

V dávnej minulosti bolo napríklad možné počítač infikovať už samotným otvorením/prijatím záškodníckeho e-mailu, nakoľko došlo k aktivácii skriptu v jeho texte. Toto okno je už dávno uzavreté a dnes prakticky nehrozí, pretože bolo výrazne upravené, ako emailoví klienti prípadne webové mailové rozhrania fungujú. Infekcia mailom dnes od vás vyžaduje nejakú interakciu, a to buď formou kliknutia na odkaz v jeho texte, alebo otvorením jeho prílohy.

Vo všetkých týchto prípadoch sa obvykle využívajú slabiny v koncových softvérových produktoch. Môže ísť o odkaz vedúci na stránku, ktorá po kliknutí zneužije chybu v internetovom prehliadači, infikovaný PDF súbor v prílohe, ktorý zneužíva chybu napríklad v programe Adobe Acrobat, alebo priložený podvrhnutý JPEG súbor, ktorý je v skutočnosti spúšťací EXE súbor so škodlivým softvérom, ktorý zas môže zneužívať napríklad nejakú slabinu Windows.

Mail s infikovanou prílohou

Používateľ si sám tieto chyby neopraví. Môže len svoje programy, prehliadač a operačný systém držať aktualizované, aby bol vždy čo najviac chránený proti najnovším hrozbám. Z jeho strany hrá hlavnú rolu obozretnosť. Rozpoznať emaily, ktoré majú vysokú pravdepodobnosť tejto hrozby, totiž nie je zložité. Na jednej strane majú naivnú formu, v podobe že vám neznámy mail hovorí: „Pozri sa na tieto nové nahé fotky slávnej herečky XY“, pričom vám vnucuje nejaký odkaz alebo JPEG či RAR/ZIP prílohu. To pravdaže kričí podvodom, pretože prečo by vám niekto neznámy také niečo posielal.

Druhá forma je napríklad snaha vydávať sa za nejaký obchod (Alza, Amazon a podobne) alebo nejakého dodávateľa či poskytovateľa (DHL, USP, Apple a podobne), v snahe vyprovokovať vás ku kliknutiu napríklad na infikovanú PDF prílohu v podobe podvodnej faktúry. Ako používateľ pravdaže viete, že ste si nič neobjednávali, žiadnu takúto faktúru neočakávate a navyše si môžete všimnúť, že mail prichádza z podozrivej adresy, alebo smeruje na podozrivo vyzerajúcu stránku.

Alternatívou mailového útoku je phishing, pri ktorom sa vás mail snaží presvedčiť, že vás práve kontaktuje Facebook, Google, PayPal či vaša banka a oznamuje vám, že váš účet bol napadnutý alebo zablokovaný a vyzýva vás k overeniu prihlásením, pričom vám ponúka rýchly odkaz. Ten však namiesto stránky www.apple.com smeruje na stránku www.apple.com-repair-macbook.net, čo je očividne stránka názov-webu.net. Na nej je napríklad podvodná kópia originálnej stránky s prihlasovacím formulárom, ktorý vyplníte a tým útočníkovi odošlete svoje meno a heslo.

Podvodný mail vydávajúci sa tracking balíku DHL

Vo všetkých týchto mailových podvodoch je časté, že do vašej schránky dorazí len zlomok z reálnych pokusov. Väčšinou ste pred nimi úspešne chránení stále upgradovanými (serverovými) spamovými filtrami jednotlivých mailových poskytovateľov, ktorí väčšinu škodlivých e-mailov odfiltrujú bez toho, aby k vám vôbec dorazili. Veľmi úspešný je v tomto napríklad Google a jeho Gmail, ktorý napríklad odmieta aj prijatie zaheslovaných archívov, v snahe brániť infekcii touto formou.

Lokálni mailoví poskytovatelia sú na tom o niečo horšie a do schránok vám dôjde väčšina mailov. Základom ochrany je teda o týchto veciach vedieť a byť pripravení, že sa stávajú, pretože tak vás už obvykle nezaskočia a neoklamú. Neraz sú totiž také očividné, ako slon schovávajúci sa za dopravnou značkou.

BEZPEČNOSŤ HESIEL A PRÍSTUPOV DO INTERNETOVÉHO BANKOVNÍCTVA

Aj keď sa mnoho ľudí nazdáva, že sa im útočník dostal do nejakého účtu preto, že mali „slabé“ heslo, realita je taká, že v drvivej väčšine prípadov nemá používateľ s prelomením nič spoločné. „Prelamovanie“ hesiel obvykle prebieha hromadnou krádežou, prelomením nejakej webovej služby a ukradnutím databázy hesiel jej tisícok či miliónov používateľov. Tieto heslá sú následne skúšané automaticky webovým robotom na rôznych iných službách a keďže používatelia často používajú jedno heslo na viacerých, útočník sa tak dostane aj na ich alternatívne a inak dobre zabezpečené účty.

Tu sa dá vytknúť, že používateľ by sa viac chránil, ak by používal na každej službe unikátne heslo, ale je to len popieranie reality. Drvivá väčšina používateľov bude vždy používať len 1 až 3 rôzne heslá a s týmto faktom nikto nič nespraví. Je to dôsledok ľudskosti a bojovať s tým je ako hádzanie hrachu na stenu. Počet ľudí, ktorí používajú správcov hesiel je mizivý a takmer nikto si nebude pamätať 20 či 30 rôznych hesiel a pravidelne ich meniť. A to je koniec diskusie.

IT firmy tento problém pravdaže poznajú a pomerne účinne ho v priebehu poslednej dekády vyriešili ukladaním identifikátorov zariadení, z ktorých sa pravidelne prihlasujete a dvojfaktorovým prihlasovaním, napojeným na telefónne číslo alebo e-mail.

Kontrola lokality a prihlasovaných zariadení v rámci konta Microsoft

Z pohľadu používateľa je teda najlepší krok dvojfaktorové prihlasovanie aktivovať všade, kde to je možné, pretože bezpečnosť jeho on-line účtu to zvyšuje skutočne masívne. Bez jeho účasti už ide zabezpečenie ďalej formou toho, že firmy logujú odkiaľ a čím sa používateľ prihlasuje. Takže ak autonómny systém zistí, že sa namiesto Slovenska zrazu prihlasujete z Brazílie, alebo z iného zariadenia, vyvolá nutnosť potvrdenia napríklad formou SMS. Ak ste len na dovolenke, alebo ste si práve kúpili nový notebook, nie je to problém, pretože ide len o chvíľkové zdržanie. Takouto formou sa ale vyradí drvivá väčšina útokov na účty, ktoré majú prelomené heslá.

Čo sa týka vašej doplnkovej otázky s elektronickým bankovníctvom, v súčasnosti neexistuje pádny dôvod, prečo by ste sa mu mali vyhýbať. Z tohto hľadiska používateľ musí len dbať na to, aby používal na platby mobilnú aplikáciu priamo od banky, alebo poznal alebo mal v prehliadači trvalo uloženú priamu webovú adresu bankovníctva. Riziko je v tomto prípade totiž hlavne phishing, teda podstrčenie pozmenenej webovej adresy, na ktorú kliknete v podvodnom maile. Tá vás následne dovedie do kópie webového bankovníctva, vytvorenej podvodníkom, kde prihlásením prezradíte svoje heslo.

Dvojfaktorové overenie peňažných transakcií formou SMS

V súčasnosti má však takmer každá banka aktivovanú ochranu formou mobilnej autentifikácie operácií. Dôležité prestavenie účtu alebo platbu prostredníctvom webového rozhrania teda obvykle nestačí len zadať v internetovom bankovníctve, ale musíte ju aj potvrdiť SMS kódom, čo plne odpovedá dvojfaktorovej autentifikácii.

V prípade bankovníctva pritom navyše existuje často ešte jedna bezpečnostná vrstva, kde banky sledujú rôzne neštandardné platby alebo operácie a môžu si od vás dokonca aj vyžiadať verbálne telefonické potvrdenie (napríklad pri prevode nezvykle veľkej sumy), zatiaľ čo vy máte pri niektorých bankových operáciách dodatočne možnosť nahlásiť zneužitie a požadovať vrátenie podvodníkom uhradených súm.

František Urban

František Urban
Zameriavam sa najmä na prehľadové a analytické články z oblasti najrôznejších technológií a ich vývoja. Nájdete ma takisto pri diagnostike HW a SW problémov.