Hacker – jak się bronić? Podstawy bezpieczeństwa.

W poprzednim wpisie informowałem kim jest hacker, jaki jest cel jego działania i co próbują zrobić. Teraz czas na wskazówki, jak się zacząć bronić i na początek podstawy, które powinny być stosowane przez każdego i pomimo ich banalności, mało kto zachowuje nawet podstawowe bezpieczeństwo w internecie.

Aktualizacje – hacker lubi jak ich nie robisz.

Aktualizacje są czasochłonne, często upierdliwe i mogą powodować problemy, więc po co jest instalować? Z tego samego powodu, dlaczego są one udostępniane. Aktualizacje poza nowymi funkcjami, czy optymalizacjami wprowadzają poprawki i często są to poprawki bezpieczeństwa. Takie łatki są podobne jako do tych prawdziwych, np.: na spodniach. Łatają dziury. W wypadku oprogramowania, są to dziury, przez które potencjalny hacker zamierza się włamać i zrobić coś, czego na pewno byśmy nie chcieli. Najczęstszym zaproszeniem do włamań jest właśnie nieaktualne oprogramowanie. Hacker dowiaduje się, że korzystamy z nieaktualnego oprogramowania i na przykład szuka w internecie sposobów na wykorzystanie tej podatności przeciwko nam.

Im oprogramowanie jest starsze, im więcej poprawek zostało wydanych, tym większa szansa na to, że oprogramowanie w jakiś sposób pozwoli, by w siebie ingerować bez autoryzacji. Oprogramowanie wykorzystujemy niemalże wszędzie. Jako programy na komputerze, telefonie, ale również jako sam system operacyjny (np.: Windows), czy nawet jest dostępne w “inteligentnych” żarówkach. Jak się bronić przed dziurami w oprogramowaniu? Najprostszym sposobem są po prostu aktualizacje, jak najczęściej i zawsze, gdy tylko się pojawiają. Pozwoli to nie tylko utrzymać swoje oprogramowanie w najnowszej wersji, ale również jak najbardziej zabezpieczone. Najlepiej to nawet to zautomatyzować. Np.: przeglądarki Chrome, czy Firefox mają to wbudowane i nawet nie zauważasz, że pojawiła się aktualizacja, bo wszystko to się dzieje w tle.

Hasła

Posiadamy wiele kont. Czy to konto w banku, na umowie z operatorem telefonicznym, czy do konta na Facebook’u. W każdym w tych miejsc mamy jakieś hasło dostępowe, coś co pozwala nam się zalogować, czy autoryzować. Jednak tutaj robimy poważny błąd – często mamy takie samo, albo podobne hasło do każdego z tych miejsc. Wielokrotnie widziałem, że hasło do głupiego konta na social media jest takie samo jak do poczty, czy konta w banku. Tutaj trzeba zadbać o to, by w każdym z tych miejsc posiadać inne hasło, by nawet w przypadku wycieku ze strony np.: jakiego portalu plotkarskiego, czy forum – hasło do naszego konta w banku nie było udostępnione dla każdego zainteresowanego. Takie wycieki to codzienność, nawet już się zbytnio tego nie nagłaśnia i jest nawet portal, co pozwala sprawdzić, czy nawet e-mail/login był powiązany z wyciekiem.

To jakie hasło jest bezpieczne?

Bezpieczne hasło jest długie, “unikatowe”, posiada duże litery, małe litery, znaki specjalne, cyfry, nie posiada w sobie słów, a na pewno nie kończy się cyfrą 1 lub 0 (rzuć kamieniem, jeśli nie masz takiego hasła, że jest np.: słowo, które zaczyna się z dużej litery i kończy pojedynczą cyfrą. Np.: Kolega1 lub Pimpuszek0). Tak zbudowane hasło, długie i skomplikowane, wyglądające na losowe – na pewno zwiększy Twoje bezpieczeństwo, np.: przed atakiem BruteForce, czy tablicami tęczowymi (taka tablica z hasłami).

No dobra, posiadać hasło skomplikowane i inne wszędzie, ale bądźmy ze sobą szczerzy – zapamiętacie setki haseł do setek kont? No niezbyt – i to właśnie lenistwo jest podstawowym problemem. Jednak też dzięki temu lenistwu powstały specjalne aplikacje, gdzie Twoje hasło jest bezpieczne i zaszyfrowane.

Menedżer haseł

Menedżer haseł to program, gdzie Twoje hasła powinny być bezpieczne, gdyż są zaszyfrowane i jedyny sposób do ich odszyfrowania, jest Twoje JEDNO hasło, które już łatwiej zapamiętać, niż setkę haseł. W ten sposób musisz pamiętać tylko jedno hasło, aby uzyskać dostęp do wszystkich swoich kont. Te aplikacje mogą łatwo generować bardzo skomplikowane hasła, takie jak 6#[email protected][email protected] Tego hasła nie można odgadnąć ani złamać.

Menedżer haseł może również samodzielnie wypełniać dane logowania, gdy odwiedzasz stronę internetową, dla której masz zapisane hasło. Taka funkcja już sama w sobie chroni przed wieloma atakami. Przykładowo jeśli adres witryny jest niepoprawny, taki jak logowanie.m0jbank.pl, menedżer haseł nie wypełni danych logowania do banku, bo domena nie pasuje do tego, co mamy zapisane (zwróć uwagę na “zero” w nazwie domeny). Możesz także użyć menedżera haseł do zapisywania notatek, takich jak kody logowania, tajne klucze i odpowiedzi na tajne pytania.

Popularne menedżery haseł to np.: Bitwarden, LastPass, 1Password i KeePass. Sam korzystam z pierwszego i ostatniego, a najprostszym będzie Bitwarden lub LastPass.

Możesz pomyśleć: czy taki magazyn haseł jest bezpieczny? To dobre pytanie i zrozumiała troska. Przykładowo LastPass już został dwukrotnie złamany, jednak hasła nigdy nie zostały skradzione, ponieważ są przechowywane w bardzo bezpieczny sposób – są zaszyfrowane hasłem, które nawet LastPass nie znał, gdyż tylko Ty je znasz.

Śledź skradzione hasła

Bez względu na to, jak silne jest twoje hasło, nadal może zostać skradzione. Dlatego ważne jest, aby sprawdzić, czy hasła zostały skradzione przez hakerów. Have I Been Pwned śledzi zhakowane witryny i ostrzega, gdy pojawią się informacje na temat Twoich kont i jest to bardzo proste, gdyż wystarczy wpisać swój adres e-mail i od razu mamy informacje, czy kiedyś nasze dane powiązane z adresami e-mail wyciekły. Można nawet zapisać się na listę i gdy tylko Twoje dane gdzieś wyciekną – dostaniesz powiadomienie.

2FA, czyli uwierzytelnianie dwuetapowe. Hackerzy go nienawidzą!

No dobra, nasze hasło wyciekło, a my jeszcze tego nie zauważyliśmy. Jak przed tym się obronić? Od tego jest autoryzacja dwuskładnikowa. Wiele portali posiada już wsparcie takiej autoryzacji. Przykładem tego są kody SMS podczas robienia przelewów. Facebook przykładowo ma po prostu potwierdzenie za pomocą telefonu, a Google ma nawet całą usługę, która jest udostępniona dla każdego zainteresowanego wdrożeniem takie systemu dla swojej strony w sposób bezpieczny i szybki.

Dzięki temu, nawet jeśli Twoje hasło wycieknie – hacker i tak go nie wykorzysta, bo będzie potrzebować np.: kodu lub potwierdzenia. Dodatkowo taki system często powiadamia od razu Ciebie o próbie logowania, co jest bardzo przydatne. Sam kiedyś dostałem takie powiadomienie, gdy ktoś próbował się zalogować na mój adres e-mail i 2FA jak widać – obroniło mnie przed tym, a sam dzięki temu zrozumiałem, że moje hasło nie było wystarczające. Uczcie się na błędach cudzych, nie swoich.

Sprawdzaj stronę, gdzie coś podajesz!

Zawsze sprawdź, czy strona gdzie się np.: logujesz – to właśnie ta strona. Podrabianie adresu to najprostsza metoda, by ukraść Twoje dane do logowania, a dodatkowo upewnij się, że strona obsługujesz szyfrowanie. Tak kłódka na pasku adresu przeglądarki internetowej pokazuje, że używasz zaszyfrowanego połączenia. Oznacza to, że informacje, które podajesz w witrynie, takie jak hasło lub dane karty kredytowej, są wysyłane bezpiecznie i nie mogą być łatwo przechwycone przez hakera. Upewnij się, że podajesz tylko poufne informacje na stronach internetowych, które pokazują tą fajną, zieloną kłódeczkę na pasku adresu. Jeśli adres strony zaczyna się od https://, oznacza to również, że jest bezpieczny, chociaż brak tego zielonego znacznika również informuje, że dane mogą mimo wszystko wyciec.

Dodatkowo jak już wspomniałem, zweryfikuj adres strony. Poniżej przykład poprawnej strony i podrabianej:

  • Poprawnie: https://facebook.com (facebook.com jest główną domeną)
  • Źle: https://facebook.website (z tego co wiem, Facebook nie korzysta z domeny .website)
  • Źle: https://facebook.logowanie.pl (domeną jest logowanie.pl, a tego też FB nie ma/nie używa)
  • Źle: https://www.faceb00k.com (zera zastępują o – tego też FB nie używa.)

Rób kopie zapasowe

Ludzie dzielą się na dwie grupy. Ci co robią kopie, Ci co myślą, ze robią kopie i Ci co zaczną je robić. Kopia zapasowa pozwala uzyskać dostęp do plików, jeśli coś pójdzie nie tak. Co jeśli twój komputer nagle się zepsuje, albo padniesz ofiarą hackera w ataku typu Ransomware? Ważne dla Ciebie pliki, takie jak zdjęcia, czy dokumenty należy zapisywać tak, by ich nie stracić w przypadku problemów. W tym celu wykonuj kopie zapasowe, najlepiej na dwa sposoby. Offline i online. Offline, czyli np.: na dysku zewnętrznym, pendrive. Online, czyli wykorzystanie np.: dysku w chmurze lub serwera (Dropbox, Google Drive, Microsoft OneDrive, czy iCloud). Upewnij się, że masz te kopie, bo zbyt często proszono mnie o uratowanie ich zdjęć z komunii córki, czy dokumentów firmy, by nie mówić o tym. Dodatkowo upewnij się, że kopie są kompletne i poprawne, bo często kopie są robione, ale kopie są np.: niekompletne lub nie da się ich przywrócić.

Rozpoznaj phishing.

Ataki phishingowe są zwykle łatwe do rozpoznania i to aż dziwne, że tyle osób staje się ich ofiarą. Przykładowo dostajesz wiadomość e-mail, która została wysłana przez Pekao, że Twoja karta została zablokowana i musisz się zalogować, by ją odblokować. No tak, ale przecież nie masz konta w takim banku. Tutaj logika pozwala się bronić.

Jednak e-maile phishingowe mogą wyglądać bardzo realistycznie, dlatego zawsze dobrze jest sprawdzić adres e-mail nadawcy. Jeśli nadawca korzysta z @peka0.pl, będziesz wiedzieć, że e-mail nie został wysłany przez PEKAO, bo prawdziwy adres to np.: @pekao.pl.

Zwróć uwagę na dziwne lub nieprawidłowe użycie języka. Wiele e-maili phishingowych zawiera błędy gramatyczne i ortograficzne, albo wykorzystanie frazy Szanowna Pani/Pani. Większość organizacji wie, kim jesteś i zwraca się do Ciebie z Twoim imieniem.

Często e-maile phishingowe próbują Cię wystraszyć, twierdząc, że Twoje konto bankowe zostało zablokowane lub że masz zaległy dług, który trzeba zapłacić. Mogą nawet twierdzić, że coś wygrałeś, albo dostałeś spadek miliona dolarów po cioci w USA. W przypadku, gdy nie masz pewności co do charakteru wiadomości e-mail, skontaktuj się z firmą, która rzekomo wysłała wiadomość e-mail. Nie używaj jednak numeru telefonu podanego w e-mailu! Sprawdź to na oficjalnej stronie internetowej.

Przed kliknięciem linka w wiadomości e-mail, zawsze sprawdź jego autentyczność. Możesz to zrobić, umieszczając kursor myszy na łączu bez klikania w niego. Adres strony podany w linku pojawi się na ekranie. Łatwo wtedy sprawdzić, czy to podrobiona strony, czy prawdziwy URL. Na urządzeniu mobilnym możesz nacisnąć i przytrzymać link, by go sprawdzić.

Jeśli nie masz pewności – skontaktuj się z firmą/osobą, która Ci wiadomość wysłała i zapytaj, czy link jest godny zaufania. Przezorny zawsze ubezpieczony.

Google dodatkowo dla swojej poczty GMail udostępnił wtyczkę do Chrome, gdzie podając swój adres e-mail – od razu sprawdza, czy nie jest to strona typu phishing. Do sprawdzenia tutaj.

Nie klikaj w każdy link!

Tak jak już wspomniałem w poprzednim akapicie, nie warto klikać w każdy napotkany link. Zawsze warto go najpierw zweryfikować, by mieć pewność co do intencji tej strony. Np.: w wiadomości od znajomego. Skąd wiesz, że jego konto nie zostało zhackowane? Warto upewnić się co to za strona. Nie zdarza się to często, więc nie przejmuj się każdym otrzymanym łączem, Ale jeśli link jest jakiś dziwny i nie masz pewności, sprawdź link przed kliknięciem.

Uważaj na załączniki.

Warto również uważać na załączniki w wiadomościach e-mail. Wirusy często rozprzestrzeniają się w ten sposób, co może zapewnić hakerom dostęp do Twojego komputera. Zrobią to, ukrywając wirusa w pozornie niewinnym pliku, takim jak dokument Word lub nazwany jako faktura.

Hakerzy ukrywają również wirusy w plikach Excel, PDF, ZIP i EXE. Najlepszym sposobem działania, byłoby nie otwierać plików Word lub Excel na twoim komputerze, a przykładowo w Dokumentach Google i jeśli w środku znajduje się wirus, komputer nie zostanie zainfekowany. Pliki PDF otwieraj w przeglądarce internetowej, używając np.: rozszerzenia PDF Viewer.

Jeśli nie ufasz plikowi, możesz pobrać go na swój komputer, ale pod żadnym pozorem nie otwieraj go! Po pobraniu pliku prześlij go do VirusTotal – jest to strona, gdzie sprawdza się pliki przez dziesiątki antywirusów. Jeśli jest tam wirus – któryś z programów powinien to wykryć, jednakże pamiętaj – wykorzystując te metody, Google i Virus Total będzie mieć dostęp do Twojego pliku.

Zalecane jest również włączenie opcji wyświetlania rozszerzeń plików w systemach Windows i MacOS. Pozwala to od razu zobaczyć rzeczywiste rozszerzenie pliku, takie jak .docx lub .pdf. Podczas ukrywania rozszerzenia, możesz się zapomnieć, bo zobaczysz plik faktura.pdf, a plik nie jest z takim rozszerzeniem (przecież ukrywasz rozszerzenia). A jak pokażesz rozszerzenia – zobaczysz nazwę faktura.pdf.jar – i bum! Wirus przyłapany.

Uwaga na publiczne sieci WiFi!

Publiczne sieci Wi-Fi, takie jak są na uczelniach, czy w galerii nie uważa się za bezpieczne. Hakerzy mogą śledzić swoje nawyki przeglądania i próbować ukraść dane logowania. Zamiast tego użyj połączenia 4G lub utwórz hotspot chroniony hasłem w telefonie. Hotspot (Android, iPhone) pozwala laptopowi połączyć się z Internetem za pośrednictwem połączenia 4G smartfona. Jeśli jednak już musisz skorzystać z publicznej sieci, pamiętaj, by logować się jedynie na strona z szyfrowaniem SSL (to te z zieloną kłódeczką). To samo się tyczy sieci WiFi z hasłami, ale jednak publicznymi sieciami (np.: w restauracjach lub hotelach).

Zwróć uwagę na ekrany powitalne podczas łączenia się z publicznymi sieciami Wi-Fi. Strony te mogą wymagać zainstalowania aplikacji, certyfikatu lub oprogramowania. Łączenie się z Internetem nie wymaga tego, więc może być oznaką hakerów próbujących uzyskać dostęp do smartfona lub laptopa. Jeśli masz wątpliwości, zapytaj dostawcę sieci, czy żądanie jest zgodne z prawem.

Używaj VPN

Zdecydowanie zaleca się także korzystanie z wirtualnej sieci prywatnej – w skrócie VPN – zaraz po podłączeniu do publicznej sieci Wi-Fi. VPN buduje taki fajny tunel dla ruchu danych. W ten sposób inni nie będą mogli zobaczyć, co robisz w Internecie, chroniąc cię przed hakerami.

Większość ludzi słyszało o VPN z powodu Netflix’a i ich ograniczeń geolokalizacyjnych. Sieć VPN pozwala oszukać innych, gdyż łączysz się z serwerem w innym kraju i dopiero z tego serwera łączysz się do Netflix’a, więc Netflix myśli, że jesteś w tym innym kraju. Łącząc się z amerykańskimi serwerami, użytkownicy mieliby również dostęp do amerykańskiej wersji Netflix przykładowo.

Sieć VPN jest również przydatna, jeśli nie chcesz, aby Twój dostawca Internetu wiedział, co robisz online.

Najłatwiej, by używać VPN to skorzystanie z komercyjnej usługi VPN takich jak NordVPN, czy ProtonVPN.

Nigdy nie korzystaj z bezpłatnej usługi VPN (ProtonVPN ma darmowe, to można). Te usługi sprzedają twoje prywatne informacje, takie jak odwiedzane witryny. Jeśli masz mało gotówki, możesz skorzystać z bezpłatnego konta TunnelBear. Bezpłatna wersja programu TunnelBear zapewnia co miesiąc 500 megabajtów chronionego ruchu internetowego, co może się przydać, jeśli chcesz co jakiś czas łączyć się z publiczną siecią Wi-Fi.

Pilnuj swoich danych!

Ta rada może wydawać się nieco oczywista, ale wiele osób zostawia laptopa otwartego podczas korzystania z toalety. Oprócz ryzyka kradzieży własności, ktoś może również użyć komputera, gdy nie ma cię w pobliżu, zwłaszcza gdy twój laptop nie jest wyłączony lub zablokowany.

Zawsze ustaw automatyczną blokadę komputera na bardzo krótki czas (jedną minutę). Urządzenie zostanie wtedy zablokowane, gdy nagle będziesz musiał go pozostawić bez nadzoru. Nie jest to jednak doskonały środek bezpieczeństwa. Zawsze próbuj zabrać ze sobą laptopa lub telefon, jeśli już musisz gdzieś się udać, nawet jeśli to tylko na chwilę.

Kolejne sposoby ochrony pokaże w kolejnych częściach. Cała seria poradnika jest dostępna na stronie: Jak obronić się przed hackerem.