Ako čerstvý absolvent školenia o kybernetickej bezpečnosti som sa rozhodol na rýchlo pozdieľať nejaké tie myšlienky ktoré tam padli a ktoré si myslím by bolo zaujímavé zdieľať aj ďalej. Nebudem zverejňovať žiadne konkrétne materiály ani nič takého aby ma autor nekopol do zadnice 😅 Ale chcel by som sa podeliť o to čo sme sa tam naučili ale nejaksi by som to možno skúsil upraviť aj do praxe pre bežného používateľa. Poďme teda na to.
4 Zásady bezpečnosti
1. Minimalizmus
Mali by sme sa snažiť uchovávať čo najmenšie množstvo dát ktoré nepotrebujeme. Obzvlášť ak sa týkajú niekoho iného ako sme my, často krát sa stane že sa kompromituje počítač a vyzradí čo to naviac aj o niekom koho poznáme nie len o nás a on tomu nevie zabrániť.
Počítať s tým že každý software ktorý inštalujeme alebo používame či ako programátor alebo ako bežný užívateľ môže obsahovať bezpečnostné zraniteľnosti. Aj keď máme všetko tip top nastavené ak inštalujeme pochybný software 3 strán o ktorom nič nevieme kľudne môžeme otvárať naše zariadenie možnosti napadnutia z vonku. Tak pozor na to čo naozaj potrebujeme. A hlavne tie malé veci 😅
2. Paranoja
Slovo znie ako zlý nápad, psychológ nás veru nenabáda na to aby sme boli paranoidný a je jeho úlohou väčšinou tento problém vyriešiť a zbaviť nás ho. Čo sa však týka zabezpečenia systémov je to náš kámoš, keď počítame že všetko čo inštalujeme môže byť nebezpečné, že všade kam sa pripájame je nebezpečné tak sme si viac vedomí toho že by sme to v prípade nepotrebnosti naozaj nemali robiť. Nestalo sa vám niekedy že ste odsúhlasili ťabuľku a ani ste nevedeli čo v nej bolo preto že ste sa ponáhľali rýchlo dokončiť akciu ? No treba si na to dávať poriadny pozor. Ak niečo zabezpečujeme pozerajme sa skôr na to čo máme povoliť nie na to čo máme zakázať. Tak máme väčšiu šancu uspieť.
Aby sme presne rozumeli tomu ako premýšľa potencionálny internetový útočník museli by sme sa vedieť v žiť do jeho role, táto rola je nie vždy pekná a jeho útok nemusí prebiehať podľa nejakých sociálnych konvencií a ak chceme byť voči takýmto útokom zabezpečený tak musíme vedieť premýšľať podobne. Kopec ľudí pohorí práve na tomto, kto má rád pravidlá a má zábrany, počíta s tým že ich dodržujú aj ostatný nie sú až tak vybavený na to aby sa vedeli efektívne brániť. Preto ak viete o nikom v rodine komu treba s týmito vecami pomôcť tak smelo do toho. Pomôcť vieme napríklad aj tým že starším členom rodiny nastavíme dvojfaktorové overovanie a naučíme ich s ním pracovať, heslo je v dnešnej dobe už nedostatočný obranný prvok a obzvlášť ak je jednoduché. V tejto dobe sa odporúča heslo o minimálne dĺžke 12 znakov a na heslo nemusíme nahliadať ako na slovo ale aj ako na vety a frázy ktoré majú viacero slov.
3. Nebezpečné chovanie používateľov
Ako IT-čkári sa často stretávame s tým že užívatelia sa v aplikácií chovajú nebezpečne. Oni nechcú aby museli riešiť zabezpečenie, dvojfaktorové overovanie, nechcú si registrovať ani účet, chcú si kúpiť to čo si chcú kúpiť a ukončiť interakciu. My však na to musíme myslieť a za nich a pripraviť im prostredie tak aby to pre nich bolo čo najjednoduchšie aj s tým že je to stále bezpečný postup toho čo robia. Mali by sme sa snažiť odmeňovať používateľa za to keď niečo spraví dobre, a keď mu vnucujeme že sa musí prihlasovať kartou niekam tak nech si s ňou vie otvoriť nejaké tie dvere alebo aj zájsť na obed, tak aby to dávalo zmysel aj jemu že tú kartu má nie že je to len niečo s čím sa dostane do labáku. Pozor asi to zas netreba prehnať 😅 Keď mu tú kartu vezme sused v noci potom ako boli na pive nech ráno nehackne „mainframe“ ako to tak radi vo filmoch spomínajú 😅
4. Rezignácia
Čokoľvek čo spravíme bude v určitom bode zle, treba na to byť pripravený a nastavený. Počítajme s tým že útočník už získal prístup k našim datam a skúsme to spraviť tak aby tie dáta nevedel použiť úplne efektívne alebo aby boli len čiastočné. Komplikujme život tomu kto sa nás pokúša o niečo pripraviť vo vodách internetu. Z praktického hľadiska si viem predstaviť napríklad ako dobrý nápad sem tam premazať svoje chaty na sociálnych sieťach. Vaše správy aj správy vašich kolegov neujdu v prípade že by vám napadli účet. Na to isté treba myslieť aj pri práci, počítať s tým ako by sa už niečo stalo a byť pripravený na ten scenár že to na čo sa pozeráte sa bude o týždeň pozerať cudzí človek, a podľa toho jednať.
Top 5 bezpečnostných tipov IT profesionálov vs Bezpečnostných profesionálov
IT Profesionál
1. Odporúčajú antivírový program a to je top ochrana
2. Používajte silné heslá
3. Často treba heslo meniť
4. Navštevujú len známe weby
5. Nezdieľať osobné info (Rodné číslo a pod)
Bezpečnostný profesionál
1. Odporúčajú aktuálny software
2. Používajte unikátne heslá pre každý web
3. Dvojfaktorová autentifikácia
4. Používajte silné heslá
5. Používajú správcu hesiel
Tak a teraz k tomu dajme ešte nejaký krátky pokec. Už na prvý pohľad je v niektorých názoroch rozdiel. Zatiaľ čo IT profesionál teda nejaká osoba ktorá sa vo firme stará o bezpečnosť zamestnancom odporúča prvý zoznam, ten druhý je tvorený bezpečnostnými profesionálmi.
Myslím si že ten prvý zoznam je bežnému užívateľovi internetu oveľa bližší, často sa stretávam s podobnými názormi v mojom okolí. Otázka je čo si teda z toho zobrať. Môžem sa vyjadriť za seba a ukradnúť pár slov aj Altairovi.
Čo sa týka antivírových programov v dnešnej dobe, asi už nie sú úplne to najdôležitejšie. Windows defender za mňa poskytuje dostatočnú ochranu pokiaľ do počítača neinštalujeme pod adminským prístupom všetko čo nám príde pod ruku. Antivír je pre mňa v podstate je taký post-apocalypse tool, ktorým hľadáme už v napadnutom systéme niečo čo by tam byť nemalo, on si s tým nejakosi sem tam aj poradí ale nie je na to už neskoro ? Niekedy vieme zabrániť aj spusteniu súborov ale nie vždy to ide hlavne keď je to novšia hrozba ktorá ešte nie je v databáze. Ak by som si mal zvoliť jeden antivír ktorý by som používal okrem windows defender bol by to eset ale ten kúpený žiadne sťahovačky magickej verzie bez licencie. Sťahovať neoficiálnu verziu antivíru je asi také bezpečné ako sťahovať vírus do bezproblémovej inštalácie windowsu.
Čo sa týka silných hesiel, je to dobrá rada a ako som aj vyššie spomínal aj zo školenia nabral tak je dobré skôr používať frázy ktoré sa človeku dobre pamätajú. Vieme ako to je so zložitým heslom keď si ho nevieme zapamätať, zapíše sa kdesi na papier na monitor sa to nalepí a je po bezpečnosti. Radšej teda kratšie heslo ale také ktoré si užívateľ zapamätá.
To že heslo treba často meniť je mýtus ktorému ale IT profesionáli radi veria a ja viem že sa to deje lebo mi chodia požiadavky na zmeny hesiel kadetade po rôznych webových službách po nejakom tom čase. Čo sa ale stane keď heslo musíte často meniť ? Skončí na papieriku správne nalepené na monitore. A je to ešte menej bezpečné ako by sme to heslo mali stále rovnaké. Heslo sa z pravidla mení len vtedy keď je podozrenie že bolo kompromitované, teda že vieme že sme robili nejaké veci čo neboli úplne v súlade s jarným vánkom na poli. Hlavne ak heslo od nás pýtala parádna kočka na boo zoznamke a zistili sme že to bol chatbot.
Navštevovať len známe weby nás taktiež nemusí pred ničím ochrániť. Aj známe weby môžu byť napadnuté, áno je to možno menej pravdepodobné ale nie vylúčené. Útočník taktiež môže presmerovávať z týchto bezpečných webov cez rôzne sieťové útoky ľudí na svoje vlastné verzie týchto webov. Možno je dobré všímať si aspoň adresu na ktorú sa presúvame keď navštevujeme web a skôr si všímať obsah a to čo tam zadávame. Ak je niečo dôležitejšie a citlivejšie mali by sme si dávať pozor na to či sme na správnej adrese a všetko je good.
Nezdieľanie rodného čísla je zaujímavý postup, ale v našej krajine to nie je až také horúce ako napríklad v USA kde z čísla poistenia vedia vytvárať útočníci falošnú identitu. Na SVK/ČR sa väčšinou doklady preverujú a keď niečo treba spraviť je okolo toho veľa byrokracie cez ktorú podvody moc neprechádzajú. Takže ak vám niekto tvrdí že si nemôžete založiť napríklad binance účet lebo tam musíte posielať občiansky tak až tak pravdu nemá. Dával by som si však pozor na to kde tieto údaje posielate a či zariadenie z ktorého to robíte je riadne vyčistené a bezpečné. Mobil mi celkovo príde na tieto veci bezpečnejší ak je taká možnosť a aplikácia vás k tomu aj nabáda. Treba však inštalovať tieto aplikácie z oficiálnych zdrojov, ak nájdete na google apk inštaláciu binance tak to v žiadnom prípade.
Týmto článkom som si prevetral myšlienky v hlave zo školenia a zároveň si ich tu ukladám keď sa k ním budem chcieť v budúcnosti vrátiť. My sme ich dostali trochu viac v podobe pre vývojárov ale v podstate nejako takto by som si to zformuloval na bežné použitie.
Na koniec pridávam odkaz na autora školenia a aj myšlienok tu prezentovaných: https://www.altair.blog/
