Poznámka redakce: Toto je úvodní článek z nové série, ve které chceme komplexně pokrýt otázky moderní počítačové bezpečnosti. Berte jej proto prosím jako jakýsi úvodník, který začíná tam, kde by měl správný zájemce o bezpečné IT prostředí začít – totiž u uživatelů.
Často to jsou totiž právě špatně zabezpečené pracovní počítače uživatelů, které umožňují útočníkům realizovat například masivní DDoS útoky pomocí zotročených počítačů (botů), nebo skrytí aktivit útočníka a jeho identity při provádění sofistikovanějších a přesně zacílených útoků se závažným dopadem. Mnoho uživatelů bohužel přistupuje k otázkám bezpečnosti výpočetní techniky poměrně laxně, obvykle se slovy „já tam nic zajímavého nemám (mám to jen na hry), internetové bankovnictví nepoužívám, nejsem pro nikoho zajímavý, tak co…“. Na tento přístup samozřejmě doplácí především uživatel například ztrátou přístupu ke službám, prozrazením citlivých osobních informací a dat, ztrátou financí, přístupu k internetu, v nejhorších scénářích se může stát nedobrovolným účastníkem trestného činu, ale ve svém důsledku na nezodpovědné chování uživatele doplácí bohužel také celá internetová infrastruktura.
Seriál vznikl za přispění Národního CSIRT týmu České republiky CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény. CSIRT.CZ je bezpečnostní tým pro koordinaci řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Cílem jeho členů je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního Internetu.
Zvyšování gramotnosti uživatelů v oblasti práce s výpočetní technikou a dalšími výdobytky moderní doby je velmi důležitým krokem v procesu zvyšování bezpečnosti internetu globálně. A zde vidím důležitou roli pro komunitu lidí, kteří sítím, počítačům a internetu rozumí – správců sítí a služeb, členů bezpečnostních týmů a dalších. I když je tento server zaměřen především na administrátory, zneužité počítače uživatelů nám mohou pěkně znepříjemnit život, a proto je širší osvěta i v našem zájmu. Pojďme si tedy připomenout, na co především by se měl takový domácí uživatel výpočetní techniky a dalších vymožeností dnešního moderního světa zaměřit a mít na paměti, a kde je potřeba, aby správce zavládl tvrdou a nekompromisní rukou.
Na čem pracuji
Základní pravidlo, které by měl každý uživatel ctít, je výběr vhodné pracovní stanice, notebooku, mobilu a v souvislosti s tím i vhodného operačního systému. Uživatel by měl volit řešení, které odpovídá nejenom jeho potřebám, ale především jeho schopnostem se o zařízení postarat. Zohlednit by měl např. takové aspekty, jako jestli mu se zvoleným řešením je někdo v jeho okolí schopen pomoci, nebo kolik ho základní servis bude stát.
Základní péče o výpočetní techniku (mobil) spočívá především v následujících základních oblastech – pravidelná aktualizace systému a provozovaného SW, dobře zvolená základní ochrana a její aktualizace, vhodná správa účtů a politika přístupu, dostatečně silná heslová politika a dobrá znalost používaných aplikací a internetu obecně.
Aktualizace systému a SW spočívá minimálně v pravidelné aktualizaci operačního systému a veškerého softwarového vybavení – internetového prohlížeče, kancelářského balíku, různých nástrojů od Adobe, pokud je používána tak Javy a dalšího software. Samozřejmostí by měla být okamžitá ruční aktualizace v případě zjištěného problému nebo vypnutí či dočasné nepoužívání problematické aplikace (SW). Bohužel uživatelé na toto často zapomínají a úspěchem je, pokud mají zapnutou alespoň automatickou aktualizaci operačního systému.
Softwarové vybavení a politika
Základní ochranou počítače je myšlena především aplikace firewallu, kde si mohou uživatelé vybrat z velké nabídky produktů. V prostředí MS Windows můžeme použít integrovaný firewall, v případě potřeby sofistikovanějších nastavení můžeme sáhnout například po produktech ZoneAlarm, či Comodo, v Linuxu pak existují iptables, které mají snad všechny myslitelné možnosti konfigurace. Další vcelku základní záležitostí je instalace antivirového programu, přičemž dnes je na trhu dostatečný výběr antivirových řešení. Mnoho z nich je pro domácí a někdy i pro komerční použití k dispozici zdarma. Namátkou jmenujme AVG, Avast, či Microsoft Essentials. Při aplikaci antivirové ochrany je také potřeba pamatovat na různá přenosná média a paměťové moduly, které se také mohou stát hostiteli různých nežádoucích parazitních sw (virů, trojských koní, malware) a stát se vstupní branou této „havěti“ do počítače.
Správa účtů a politika přístupů obnáší zrušení nebo zablokování nepoužívaných účtů a zřízení jenom potřebných účtů, spolu s jejich vhodným nastavením. Další oblíbený prohřešek proti základním pravidlům bezpečnosti, který má své historické opodstatnění, je zvyk uživatelů pracovat pod účty s administrátorským oprávněním. I tomuto by se měl běžný uživatel raději vyhnout. Samozřejmostí u každého uživatelského účtu je nastavit na počítači dostatečně silné heslo.
Správa hesel se netýká pouze správy pracovní stanice, případně mobilního zařízení, ale také hesel k různým účtům k internetovým službám a pod. Hesla by měla být dostatečně dlouhá (doporučované minimum je osm znaků) a měla by obsahovat i jiné než alfabetické znaky, např. číslice, interpunkční znaménka atd. Uživatel by také neměl používat hesla, která lze snadno odvodit, například jména svých zvířat, dětí, data narození své či blízkých osob a pod. Dále je vhodné mít pro každou službu jiné heslo.
Mnohým uživatelům se takové opatření může jevit jako přehnané, ale připomeňme si nedávnou aféru provalených hesel uživatelů LinkedIn. Ten účty sice rychle zablokoval, ale uživatelé, kteří použili stejné heslo pro přístup například na Facebook, Twitter či Flickr, splakali nad výdělkem.
Lidé však nejsou stroje, a proto zapamatovat si velké množství hesel může představovat určitý problém. Jako řešení lze použít některý z nástrojů, které správu hesel umožňují (Keepass, pwsafe). Je však potřeba přístup k tomuto nástroji dobře chránit, protože při jeho prolomení získá útočník přístup ke všem službám uživatele, a tak se výhoda různých hesel pro různé služby vytratí. Můžete začít tím, že zkusíte k vašemu heslu podle určitého pravidla vždy přimíchat nějaké znaky podle toho, o jakou službu se jedná, nebo použít nějakou mnemotechnickou pomůcku – např. složeninu z oblíbené básničky nebo písničky. Pokud použijete dostatečně nápaditý „algoritmus“, zabráníte tím útočníkovi, který získal heslo k jedné ze služeb, aby mohl zneužít i ostatní vaše internetové přístupy.
Součástí pečlivé správy hesel a zacházení s hesly, je kromě jejich ochrany (utajení) a vhodné „síly“ také zodpovědné zacházení – uživatel by měl heslo jednou za čas změnit (vhodný časový interval pro změnu uživateli jistě poradí provozovatel dané služby), neměl by heslo sdílet (s kamarády a pod.) a v neposlední řadě je důležité s rozmyslem používat uživatelsky přítulné funkce „zapamatovat heslo“, které nabízí řada aplikací (browser, poštovní klient). Tyto funkce sice šetří čas a ruce, ale mohou mít nepěkné následky.
Aplikace a služby
Důležitou součástí základní péče o pracovní stanici je také instalace programového vybavení a aplikací pouze z ověřených a důvěryhodných zdrojů, tzn. nestahovat softwarové balíky z prvního zdroje, jehož adresu nám na náš dotaz vrátí strýček Google. To je totiž jeden z nejčastějších vstupních bodů pro maligní software do našeho počítače.
Další důležitou oblastí, která hraje významnou roli v oblasti bezpečného užívání výpočetní techniky, je zvládnutí základních principů fungování používaných aplikací a služeb – poštovní klient, browser, webové služby, p2p sítě a aplikace k přístupu do nich, sociální sítě, aneb informační stopa, kterou za sebou jako uživatelé internetu zanecháváme a pod.
Samotné softwarové nástroje jsou však pouze určitou hradbou, která uživatele sice chrání, pokud však uživatel otevře hlavní bránu, je mu celá hradba k ničemu. Proto je potřeba kromě těchto základních nástrojů používat také selský rozum a dodržovat určité zásady pro bezpečné používání výpočetní techniky a internetu jako takového.
Z dalších pravidel určitě stojí za zmínku vyvarovat se bezmyšlenkovitého klepání na různé odkazy, ať už přijdou prostřednictvím facebookového chatu, či prostřednictvím e-mailu. Nedávná zkušenost s rozesíláním e-mailu, ve kterém byl uživatel upozorňován na údajné vystavení jeho fotografií na internetu, ukazuje, že na podobný trik naletí i v dnešní době stále nemalé množství lidí. V tomto případě naštěstí nesloužil odkazovaný web k šíření nebezpečného malware, ale „pouze“ pro sběr informací o živých e-mailových adresách. Také instalace „cracknutého“ softwaru, především her, s sebou přináší bezpečnostní rizika v podobě přibaleného viru či trojského koně.
Samostatnou kapitolou jsou registrace do různých internetových služeb, kde registrace vyžaduje funkční e-mailovou adresu. Dobrou praxí je mít pro tyto účely zvláštní mailovou identitu (e-mail adresu) a tuto používat pouze pro registraci k internetovým službám (např. do e-shopů). Používání e-mail identity používané pro běžnou komunikaci není pro tyto účely vhodné a nese s sebou i různá rizika – např. zahlcení spamem.
Informační stopa
Jako uživatelé internetu za sebou zanecháváme velmi silnou informační stopu – něco neovlivníme, např. provozní informace o tom, kdy jsme se do sítě připojili a jaké služby jsme využili (tzv. logování provozních informací). Řada informačních stop je ale plně v našich rukou – co o sobě zveřejňujeme na webu, sociálních sítích, chatech apod. Internet má sloní paměť a nezapomíná. Právě naopak – zálohuje, archivuje, zrcadlí, koreluje, prostě všechno, co o sobě do Internetu zveřejníme, už nikdy nevezmeme zpět, data vždy někde zůstanou, někdo je má. A s tím bychom měli počítat. Když si navíc tuto vlastnost spojíme s leností číst sáhodlouhé licenční ujednání nejen u SW a aplikací, ale i u služeb, které využíváme (Facebook, Google), vzniká smrtící kombinace – o nás a o tom, co děláme, píšeme a v prostředí internetu zveřejňujeme probíhá masivní sběr a vytěžování dat. Tato data pak mohou být použita například pro lepší zacílení útoku (např. spearphishing).
Vzpomeňme Facebook, ten proslul tím, že několikrát změnil politiku viditelnosti informací – pro návrat k původnímu (konzervativnějšímu) stavu museli uživatelé provést aktivní kroky. Otázkou samozřejmě je, kolik si jich této změny všimlo a kolik jich ji opravdu udělalo.
Podobná pravidla ohledně základní péče jaká platí pro pracovní stanice platí také pro používání chytrých mobilních telefonů. U řady mobilních telefonů, které se dnes svou funkcionalitou už blíží plnohodnotnému počítači, je také potřeba myslet na základní péči – pravidelnou aktualizaci OS a základního programového vybavení, zaplátování (patch) objevených chyb, aplikaci antivirové a antimalware ochrany, ochranu hesel a pod.
Pro řadu mobilních zařízení už naštěstí tyto metody ochrany existují a to jak placené, tak dostupné zdarma. Dále je potřeba se vyvarovat klikání na podezřelé odkazy, využívat bezpečnostní prvky, které do operačního systému telefonu zabudoval výrobce pro případ ztráty či odcizení a při instalaci nového software být opatrný – vždy používat ověřené zdroje a při instalaci zvažovat jednotlivé kroky, především v tom kontextu, jestli krok z naší strany, který instalátor vyžaduje, jsme ochotni akceptovat i za cenu určitého rizika, např. prozrazení informací o sobě, odsouhlasení podmínek, které má x stran, takže je nejsme ochotni číst a porozumět jim a pod.
Některé telefony jsou sdílné v tom, jaká práva aplikace k běhu potřebuje – tj. jaké akce bude pravděpodobně podnikat. Je vhodné například přemýšlet, zda je instalovaná aplikace pro nás dostatečně důvěryhodná, abychom jí přiznali současně možnost číst naše soukromá data, přistupovat ke všem souborům a kompletně komunikovat po internetu (tj. všechna data, která přečte, může rovnou odeslat po síti), či zda naprosto triviální hra potřebuje vůbec přístup k internetu.
Obecně by si uživatelé chytrých telefonů měli uvědomit, že používáním těchto zařízení se připravují o část soukromí, a že za sebou zanechávají silnou informační stopu – zařízení je neustále online, ví a říká, „kde je“, ale a také tyto informace zapisuje na pro laiky nečekaná místa, například do EXIF údajů pořizovaných fotografií, které pak uživatel v dobré víře zveřejní na sociálních sítích. Dále řada zdánlivě super služeb typu „zazálohujeme vaše data a tím je ochráníme pro případ ztráty mobilu“ s sebou nese určité riziko. Ano, data sice „zachráníme“, ale víme, kdo a jak k nim získává touto funkcí přístup a jak s nimi bude zacházeno? A jsme si po určitém čase používání telefonu jistí, že data zálohovaná mimo náš dosah nemají citlivý charakter apod.?
WiFi router jako citlivé místo
Oblast pracovních počítačů a mobilní telefonů však není zdaleka jediná, na kterou je potřeba dávat pozor. Dalším oblíbeným terčem botnetů jsou domácí routery a modemy, které jsou často uživatelem ponechány v defaultním stavu, tzn. tak jak si je přinesl domů. Minimálním úkonem, který je v silách každého uživatele, a který by měl udělat, je změnit výchozí heslo k zařízení. Ještě lepší je úplně zakázat přístup k zařízení z jiné než domácí sítě. Většina uživatelů stejně nepotřebuje konfigurovat tato zařízení vzdáleně přes internet. Protože na routerech a modemech také běží nějaký software, je vhodné se občas podívat, zda pro nás výrobce nepřipravil novou verzi.
V souvislosti s domácími routery je zajímavé, kolik WiFi sítí bez zabezpečení, či pouze s šifrováním WEP, můžete stále v každém větším městě zachytit. Doporučuji přejít co nejdříve na zabezpečení WPA2-PSK s šifrováním AES, pokud je nějaké zařízení neumí, pak s TKIP. Desetiznakové neslovníkové heslo je pro běžné účely dostačující.
Nyní se již dostáváme od běžných uživatelů k těm pokročilejším. Jedna z věcí, kterou řeší CSIRT.CZ každý den po desítkách kusů, a to se omezujeme pouze na doménu .cz, je problém s webovými stránkami šířícími obvykle pomocí iFrame nebezpečný obsah. Nejedná se však jen o šíření nebezpečného malware, ve spolupráci s FBI několikrát v měsíci řešíme také servery, které se účastní DDos útoků na cíle v USA, a které obvykle staví na různých zranitelnostech ve starších verzích CMS Joomla.
Je poměrně zarážející, jakým způsobem jsou stránky ve většině případů napadeny. V prvním případě, kde by pomohly kroky uvedené výše, je nejdříve nějakým způsobem napaden počítač administrátora stránek a pomocí malware je získáno jeho FTP heslo, které je pak zneužito pro přidání iFrame do jím spravovaných stránek. Druhým případem jsou pak staré verze různých redakčních systémů, jako je WordPress či Joomla. Administrátorům webových stránek nelze tedy než doporučit, aby i oni dodržovali všechna pravidla pro bezpečnou práci s PC a také aby sledovali nové verze a bezpečnostní updaty u jimi spravovaných systémů. V tomto případě totiž ohrožují také návštěvníky jejich stránek.
Uživatel je tvor nedůsledný
Aby tento článek nebyl pouze o uživatelích, tak na závěr pár doporučení také pro správce. Myslete na to, že uživatel je tvor nedůsledný, má sklony své chyby ignorovat a tutlat, ale především dokud se mu nestane něco opravu nepěkného, veškeré bezpečnostní zásady zvesela ignoruje. Chraňte je tedy i proti jejich vůli – nastavením sítě a služeb, monitoringem a vyhodnocováním provozu sítě a služeb, kontrolou zabezpečení jejich stanic, striktní heslovou politikou, vzdělávacími akcemi, prostě vším, co se ve výsledku na (jejich) bezpečnosti podílí.
A co říci na závěr uživatelům? Už bylo řečeno mnoho, tak snad jen resumé – vzdělávejte se, pečujte o své notebooky (mobily apod.), nebuďte lhostejní k tomu, co v prostředí Internetu děláte a k tomu, co se tam děje, a hlavně myslete na to, že i vy hrajete v procesu bezpečnosti významnou roli.