Bezpieczeństwo Teleinformatyczne - dobre praktyki
Pozostałe prezentacje dotyczące DANYCH OSOBOWYCH
(dostęp tylko z sieci UG):
Na Uniwersytecie Gdańskim, podobnie jak w wielu innych organizacjach, podstawowym sposobem komunikacji w Internecie jest Poczta Elektroniczna. Mimo rozpowszechnienia e-maila, większość jego użytkowników nie zdaje sobie sprawy z jednego z podstawowych ograniczeń tego protokołu, czyli braku szyfrowania. To znaczy, że cała korespondencja od nadawcy do odbiorcy jest przesyłana przez każdy węzeł pośredni otwartym tekstem, umożliwiając sprytnemu hakerowi podgląd zarówno treści jak i nagłówków listu czy nawet adresów IP z których dany mail nadszedł.
Poczta Elektroniczna NIE JEST SZYFROWANA
Zaszyfrowanie całej komunikacji pocztowej jest dość trudne, bo wymaga (tak jak w przypadku tradycyjnej poczty) wymienienia się kluczami szyfrującymi między każdym użytkownikiem z osobna, co przy dużej liście kontaktów jest prawie niewykonalne. Dlatego częściej stosuje się zapisywanie wrażliwych danych w formie zaszyfrowanych załączników a następnie przekazanie hasła innym kanałem lub za pomoca linku jednorazowego (używając np. www.onetimesecret.com).
NIGDY nie przekazujemy haseł w treści maila
Przekazujemy hasło innym kanałem:
WWW.ONETIMESECRET.COM
Jednym z najczęstszych błędów przy wysyłaniu korespondencji do wielu osób, jest zapominanie o korzystaniu z pola UDW (Ukryte Do Wiadomości / Ukryta Kopia).
• UDW: (Ukryte Do Wiadomości) - osoby spoza UG,
(inaczej odbiorcy widzą swoje adresy nawzajem)
Niechciana poczta elektroniczna, czyli tzw. SPAM, to ok 90% światowej korespondencji mailowej. Oprócz wszelkiej maści reklam, przesyłanych jest wiele prób wyłudzenia informacji (głównie haseł) lub pieniędzy.
powinny wzbudzić naszą czujność
PRZYKŁAD: Fałszywy e-mail od kuriera
Całkiem niedawno (stan na kwiecień 2017) wiele polskich kont pocztowych, także tych nigdzie nie publikowanych, otrzymało rzekome awizo od DHL. W treści znajdował się link mający prowadzić do strony pokazującej gdzie znajduje się przesyłka. W rzeczywistości pod linkiem znajdowała się strona z wirusem, który (po otwarciu) instalował się na komputerze, przeszukiwał listy kontaktów i rozsyłał się na poznane adresy w formie podobnych maili od kuriera.
Poniżej porównanie przykładowego fałszywego i prawdziwego awizo od DHL. Jak widać różnią się głównie adresem nadawcy:
Jeśli list wygląda podejrzanie, albo jest to pierwszy kontakt w jakiejś sprawie, nic nie klikaj w mailu, ani nie otwieraj załączników, tylko prześlij go na poczta@ug.edu.pl bądź help@ug.edu.pl w celu weryfikacji. Np. gdy przychodzi link do potwierdzenia rejestracji/zmiany hasła, a nie prosiliśmy o to w ciągu ostatniej doby, podobnie wszystko napisane łamaną polszczyzną czy angielszczyzną. Dziwna treść, grafika a nawet czcionka powinny dać nam do myślenia.
ZAŁĄCZNIKI ORAZ STRONY W ODNOŚNIKACH MOGA ZAWIERAĆ ZŁOŚLIWE OPROGRAMOWANIE (WIRUSY, TROJANY itp.)
przykład wirusa szyfrującego dysk, oferującego później hasło za $300:
Źródło: Realfintogive / Wikimedia Commons
Z zasady wszystko co dotyczy finansów lub haseł powinno być starannie czytane i weryfikowane. Niezależnie od tego czy jest to faktura za prąd, prośba o charytatywne wsparcie czy propozycja interesu życia, powinniśmy mieć się na baczności. Z roku na rok coraz więcej przestępców wkracza do Internetu i sumy jakie wyłudzają rosną wykładniczo.
Poniżej kilka przykładów prób, jakie podejmują internetowi oszuści w celu wyłudzenia pieniędzy:
- "Nigeryjski szwindel"
Od ok. 1997 roku, poprzez pocztę elektroniczną rozsyłany jest e-mail w którym oszust (w pierwszych latach nigeryjski książę) informuje odbiorcę o posiadaniu ogromnej sumy pieniędzy, "zamrożonej" gdzieś z powodów nie do końca legalnego pochodzenia/podatkowych/ustrojowych. Autor takiego listu namawia adresata na zainwestowanie określonej sumy w wydostanie skarbu, w zamian za podział owych milionów.
Przekręt ten datuje się na (co najmniej) XVI wiek, kiedy to, rozsyłany oczywiście tradycyjną pocztą, jego autor był jakoby angielskim bogaczem zamkniętym w hiszpańskim więzieniu. Po wyasygnowaniu środków potrzebnych na przekupienie strażników więziennych, miał on obsypać adresata złotem i ręką pieknej córki.
Oczywiście żadnych bogactw nikt nigdy nie otrzymał, a łącznie owe sumy, potrzebne na te "koszty operacyjne", przyniosły oszustom miliardy.
Źródło: Mirko Pagano / Wikimedia Commons
- Fałszywa faktura.
W ostatnich latach coraz częściej można spotkać się z cwanym sposobem użycia Photoshopa. Przestepcy włamują się na skrzynki pocztowe i podstawiają na fakturze od kontrahenta swój numer konta w miejsce oryginalnego. Niektórzy sami wręcz wysyłają zmyślony rachunek, licząc ze nie ofiara w natłoku spraw nie sprawdzi czy faktycznie ma coś takiego do zapłacenia i zrobi przelew na ich konto. Co ciekawe identyczny proceder dzieje się w świecie rzeczywistym, gdzie koperty z rachunkami są kradzione z klatek schodowych, otwierane, skanowane, drukowane z przerobionym numerem konta i wkładane w świeżych kopertach z powrotem pod drzwi ofiar. Dlatego ważne jest, żeby zawsze upewnić się, czy numer rachunku jest ten sam co w poprzednich fakturach lub zadzwonić do nadawcy i sprawdzić. Szczególnie przy większych przelewach.
- Prośba od znajomych z Facebooka o przelew/zakup na Allegro/Ebay itp.
Podobnie jak w przypadku fałszywych rachunków, ten sposób został zaadaptowany do Internetu z prawdziwych przekrętów. W "realu" jedną z nowszych form naciągania ludzi na pieniądze jest oszustwo "na wnuczka", czyli podawanie się za kogoś z rodziny i udawanie że spowodowało się wypadek i potrzeba natychmiast kilku tysięcy złotych na przekupienie drugiej strony by nie informowała o niczym wymiaru sprawiedliwości.
W Internecie ostatnio można spotkać sytuacje, gdy w mediach społecznościowych ktoś ze znajomych prosi o pomoc w zakupie czegoś na portalu aukcyjnym lub w sklepie internetowym i podaje link oraz numer konta sprzedawcy. Zwykle argumentem jest podział środków na dwa konta i presja czasu, bądź chwilowy brak części kwoty (i propozycja oddania później całości z nawiązką).
Oczywiście po drugiej stronie nie siedzi nasz znajomy, a złodziej który włamał się na jego konto i rozsyła podobne prośby do wszystkich osób z listy kontaktów. Zaś pod linkiem kryje się fałszywa strona udająca znany nam sklep, która wystawi fałszywe potwierdzenie zakupu lub wręcz ukradnie dane naszej karty płatniczej.
To oczywiście tylko mały wycinek z ogromu szwindli, jakie codziennie przesyłane są przez e-mail.
Najważniejsze to być ostrożnym zawsze gdy mamy do czynienia z odnośnikami, załącznikami, kwestiami finansowymi czy naszymi hasłami i prywatnymi informacjami.
Oprócz mailowania, większość z nas korzysta ze stron internetowych w swoich przeglądarkach (Chrome, Firefox, Internet Explorer, Safari, Opera...). Domyślnie przeglądarki używają adresów zaczynających się od http:// . Wówczas wszystko co widzimy na takiej stronie oraz to, co wpisujemy w jej formularze, jest możliwe do podejrzenia dla kogoś, kto włamał się do sieci pomiędzy nami a serwerem zawierającym ową witrynę.
Dlatego większość serwisów internetowych chroni nasze hasła i wrażliwe dane, pozwalając (a nawet często wymuszając) na logowanie się z użyciem szyfrowanej, niemożliwej do podejrzenia po drodze, komunikacji. Takie strony zaczynają się od https:// (s jak secure), a w przeglądarce pojawia się wtedy zielona kłódka.
Tego typu szyfrowanie jest wymuszane podczas logowania się do banków, poczty czy usług Google, stąd zawsze upewnijmy się, że logujemy się do stron z taką właśnie kłódką, która oznacza certyfikat znany i zweryfikowany przez producenta przeglądarki
.
Jednym z nielicznych wyjątków jest strona którą widzicie (ug.edu.pl), gdzie logujemy się bez szyfrowania. Dlatego koniecznie używajcie tutaj unikatowego loginu i hasła, którego nie wykorzystacie w innym miejscu.
W ostatnich latach nie ma tygodnia, żeby nie wyszła na jaw jakaś poważna wada w jednym z programów komputerowych bądź systemów operacyjnych, umożliwiająca hakerom całkowite przejęcie urządzenia na którym jest on zainstalowany.
(np. ostatni wyciek programów pomagających w przejmowaniu każdego Windowsa, używanych przez hakerów z NSA: https://sekurak.pl/z-nsa-wyciekla-seria-exploitow-na-windows/)
Oprócz zawodowców zachowujących dla siebie taką wiedzę, wiele z podatności jest wykrywanych przez przypadek (np. 5-latek wpisujący w polę hasła na xboksie spacje) bądź przez tzw. "pentesterów" - osoby penetrujące systemy komputerowe pod kątem dziur, na zlecenie właścicieli lub na własną rękę. Takie osoby często zgłaszają owe błędy twórcom systemów, którzy wypuszczają poprawki do swoich produktów zanim informacja o tych dziurach wycieknie do Internetu, gdzie będą mogli je wykorzystać cyberprzestępcy.
(np. niedawna dziura w sterowniku nadajnika Wi-Fi, używanego przez wiele smartfonów (Android i Apple), która pozwalaja na dostanie się do pamięci tych urządzeń z pominięciem wszelkich zabezpieczeń. https://sekurak.pl/pelne-przejmowanie-nexusowsamsungowiphone-ow-przez-wifi-bez-interakcji-uzytkownika/)
Dlatego w każdym komputerze, smartfonie itp., a także w zainstalowanych na nich programach, należy zawsze mieć włączoną opcję autoaktualizacji oprogramowania.
Np. Windows 7:
Firefox:
Android: (zwykle w: Ustawienia -> Informacje-> Informacje o urządzeniu -> Aktualizacje Oprogramowania):
Gdy zakładamy konto na stronie lub w programie, coraz częściej jesteśmy zmuszani do wymyślenia hasła, które ma minimum 8 znaków, w tym duże/małe litery/liczby/znaki specjalne. Podobne wymagania stawia przed nami ustawa o ochronie danych osobowych:
Ustawa o ochronie danych osobowych wymaga by system przechowujący dane osobowe i mający styk z Internetem był zabezpieczony hasłami mającymi min. 8 znaków, składającymi się z dużych i małych i liter oraz cyfr lub znaków specjalnych i zmienianych co 30 dni
Ustawodawca nie zdaje sobie jednak sprawy, że opisane powyżej hasła nie chronią systemu należycie. Po pierwsze czas potrzebny do złamania takiego hasła jest krótszy niż miesiąc, po drugie owa komplikacja znaków i konieczność zmiany hasła co miesiąc sprawia, że użytkownicy zapisują hasła na papierowych nośnikach, np. na żółtych karteczkach schowanych pod klawiaturą.
Alternatywą jest korzystanie z bardzo długich haseł składających się z kilku niepowiązanych słów, np krótkiego żartu. Nasz mózg świetnie takie zdania zapamiętuje, a odgadnięcie ich przez człowieka lub komputer są znikome. Jeśli dodamy do tego jakiś prefiks lub końcówkę z dodatkowymi znakami (choćby nawet wspólnymi dla wszystkich naszych haseł) to dostaniemy łatwe do używania i niemożłiwe do złamania zabezpieczenie.
Przykłady haseł:
H@sLo456 - spełnia wymagania ustawy,
- 8 różnych znaków = trudne do zapamiętania,
- na smartfonie wpisywanie trwa nawet 10 sekund,
- do złamania siłowo w: 24 dni i 20 godzin,
- słownikowo nie do złamania bez dużego budżetu;
prostehaslo - nie spełnia wymagań ustawy,
- 11 liter / dwa słowa = łatwe do zapamiętania,
- na smartfonie wpisywanie trwa 4 sekundy,
- do złamania siłowo w: 14 dni i 20 godzin,
- słownikowo do złamania;
LitwoOjczyznoMoja - nie spełnia wymagań ustawy,
- 11 liter / dwa słowa = łatwe do zapamiętania,
- na smartfonie wpisywanie trwa 9 sekund,
- do złamania siłowo w: 1683031341529 lat i 10 miesięcy,
- słownikowo trudne do złamania (słowa są powiązane = 699 wyników w Google);
niepamietamtegohasla - nie spełnia wymagań ustawy,
- 20 liter / cztery niepowiązane słowa = łatwe do zapamiętania,
- na smartfonie wpisywanie trwa 7 sekund,
- do złamania siłowo w: 225684805745 lat i 11 miesięcy,
- raczej nie do złamania słownikowo (0 wyników w Google);
Niepamietamhasla06 - spełnia wymagania ustawy,
- 19 liter / trzy niepowiązane słowa i numer = łatwe do zapamiętania,
(06 może oznaczać hasło z czerwca),
- na smartfonie wpisywanie trwa 8 sekund,
- do złamania siłowo w: 2075323351102477 lat i 9 miesięcy,
- Nie do złamania słownikowo;
Kolejną kwestią jest to, że hasła powinny być unikatowe.
Każdego roku z przeróżnych serwisów wykradane są (i często upubliczniane) bazy danych z loginami oraz hasłami użytkowników (czy nasze konto nie wyciekło można sprawdzić na https://haveibeenpwned.com). Takie bazy są zwykle zaszyfrowane, więc dostatecznie skomplikowane hasło zabezpiecza nas przed przejęciem konta, czasem jednak algorytm szyfrowania jest kiepski lub nie ma go wcale (!). Wówczas nasze hasło oraz login może pojawić się w Internecie, skąd ktoś może próbować użyć go w innych miejscach.
Inna kwestia to przechwycenie naszego hasła podczas logowania się na niezaszyfrowaną lub podstawioną stronę (patrz wyżej HTTPS), bądź przy użyciu keyloggera (urządzenia lub złośliwego programu do podglądania naciśniętych klawiszy). Dlatego oprócz stosowania silnych haseł,
do każdego serwisu należy stosować NIEPOWTARZALNE HASŁA.
Nie chcielibyśmy chyba, żeby przez bład lub lenistwo administratora jakiegoś mało ważnego portalu, ktoś dostał się na naszą pocztę czy konto bankowe. Dobrze też zmieniać hasło do strony gdy tylko dowiemy się o wycieku jej haseł.
Oczywiście zapamiętanie różnych haseł (i nierzadko loginów) jest trudne, a przy wielu kontach prawie niemożliwe. Zapisywanie haseł w przeglądarksch działa tylko na stronach WWW, do tego nie jest tak do końca bezpieczne, a po uszkodzeniu lub formatowaniu dysku wszystkie zapisy tracimy (chyba że synchronizujemy je z kontem w przeglądarce co raczej nie jest bezpieczne - vide wyciek haseł z Opery).
Tutaj z pomoca przychodzą nam odpowiednie programy komputerowe, które nie tylko pamiętają hasła za nas, ale wpisują je też za nas w odpowiednie pola, a także pomagają w tworzeniu silnych haseł i przypominają o ich zmianie w ustawionych odstępach czasu. Jednym z najlepszych, jeśli nie najlepszym, jest darmowy KeePass (http://keepass.info/):
Jego kod jest otwarty i przebadany, przez co wiadomo że nie zawiera ukrytych funkcji mogących narazić nas na kradzież jego wbudowanej, zaszyfrowanej bazy haseł. KeePass nie wymaga instalacji ani nie łaczy się z Internetem (bo nie trzyma niczego na serwerach jak skompromitowany LastPass), przez co jedyny sposób na wyciek wewnętrznej bazy haseł jest wykradzenie jej z naszego urządzenia.
Jednak wystarczy ustawić mu silne hasło główne (patrz wyżej) i zapisać na dysku albo pendrivie. Wtedy nawet jeśli będziemy synchronizować jego pliki w jakiejś chmurze, nasze hasła będą bezpieczne (dodatkowo dzięki chmurze nie utracimy ich gdy stracimy sprzęt z KeePassem, trzeba tylko pamiętać hasło do chmury lub mieć możliwość jego przypomnienia).
Włącz uwierzytelnianie dwuetapowe tam gdzie tylko jest to możliwe
Banki używają takiego zabezpieczenia od dawna, autoryzując w ten sposób przelewy dokonywane drogą elektroniczną.
Pozostałe serwisy coraz częściej oferują możliwość włączenia dodatkowej weryfikacji urządzenia z którego logujemy się po raz pierwszy. Wystarczy w odpowiednich opcjach podać swój numer telefonu komórkowego, adres jakiegoś innego naszego konta mailowego lub instalując specjalną aplikację na smartfonie (Np. Google Authenticator. Microsoft Authenticator, Steam itp.)
Przykład (Facebook):
Po zalogowaniu do strony lub aplikacji z nowej przeglądarki, zostaniemy poproszeni o podanie dodatkowego kodu przesłanego nam SMS-em, mailem na zapasowe konto lub na aplikację. Po takim uwierzytelnieniu ta konkretnej przeglądarka zostanie zapamiętana na serwerze i nie tylko nie będziemy więcej pytani o kod autoryzujący, ale nawet nie będziemy musieli więcej podawać loginu i hasła.
Dzięki temu nawet poznanie naszego loginu i hasła do strony nie pozwoli na zalogowanie się na nasze konto, bo będzie wymagało albo dostepu do naszego uwierzytelnionego wcześniej urządzenia, albo do telefonu na który przychodzi kod. My zaś otrzymamy informację o próbie zalogowania się przez obcą osobę, co da nam sygnał o wycieku naszego hasła.