Instytut Technik Systemów Oprogramowania założony na Uniwersytecie w Poczdamie przez Hasso Plattnera umieścił w bazie danych skradzione tożsamości internetowe, którymi handlowano na forach hakerskich, oraz te krążące w innych źródłach nielegalnych treści w Sieci. Wspomniane bazy danych zawierają adresy elektroniczne, nazwiska, daty urodzenia, a także numery kont i kart kredytowych oraz adresy pocztowe. Znajduje się w nich ponad 172 miliony kont użytkowników. Istnieje duże prawdopodobieństwo, że również nasze dane już tam są. Główny problem związany z włamaniami hakerskimi do dużych serwisów internetowych, takich jak eBay, polega na tym, że wielu użytkowników stosuje te same hasła na wielu forach i do różnych usług. Jeśli hakerowi uda się wykraść hasło do serwisu Adobe, może sprawdzić, czy przypadkiem nie pasuje ono też do konta Gmail, Dropboxa lub Facebooka.
Zabezpieczyć i sprawdzić
Dane logowania – login i hasło – są stosowane nie tylko w Sieci, korzystamy z nich również na komputerze, na smartfonach, a także w domowej sieci, wymagającej identyfikacji. CHIP podpowie, jak błyskawicznie przekonać się, czy wykradziono dane logowania do naszych kont i urządzeń. Dołączamy też odpowiednie wskazówki, które pomogą zablokować ścieżkę dostępu do naszej tożsamości hakerom.
Serwisy Internetowe
TEST:
Identity Leak Checker grupy badaczy z Instytutu Technik Systemów Oprogramowania (https://sec.hpi.uni-potsdam.de/leak-checker) sprawdza, czy hakerzy handlują naszą cyfrową tożsamością: adresem elektronicznym, numerami kart kredytowych, kontami bankowymi. Ponieważ w taki sposób również ktoś obcy mógłby przejąć i wykorzystać nasze dane, żeby uruchomić test, musimy podać nasz email i kliknąć przycisk »Check e-mail address! «. Ważne! Nasz adres elektroniczny nie zostanie zapisany ani przekazany osobom trzecim. Serwis sprawdzi email w aktualizowanej na bieżąco bazie danych, zawierającej wykradzione dane, a następnie wyśle wynik na podany przez nas adres.
PORADA:
Jeśli rezultat kontroli jest negatywny (nie został znaleziony wpis w bazie danych), nie musimy nic robić. Gdyby nasza cyfrowa tożsamość została zhakowana, powinniśmy we wszystkich serwisach powiązanych z tym adresem zmienić hasło. Jeżeli w bazie danych pojawiają się również numery kart kredytowych, musimy niezwłocznie powiadomić bank o kradzieży. W przypadku wykradzionych danych logowania do kont bankowych należy sprawdzać przeprowadzone transakcje przynajmniej raz w tygodniu.
TEST:
Dla wielu użytkowników Facebook to jedyny serwis internetowy. Z tego powodu również hakerzy chętnie przeprowadzają ataki phishingowe, biorąc na cel właśnie serwisy społecznościowe. Wbudowany w Facebooka mechanizm poinformuje nas o tym, iż ktoś dobierał się do naszego konta. Aby przejrzeć dane logowania, klikamy małą strzałkę widoczną w prawym górnym rogu. Z rozwiniętego menu wybieramy »Ustawienia | Bezpieczeństwo«. Klikamy »Po zalogowniu się | Sprawdzaj i zarządzaj zalogowanymi do Twojego konta na Facebooku«. Zobaczymy listę urządzeń i przeglądarek, z których dokonano połączeń z naszym kontem.
PORADA
: Jeśli na liście pojawi się nieznane urządzenie, klikamy opcję »Zakończ aktywność« znajdującą się obok podejrzanego wpisu. Wybieramy po lewej stronie z menu pozycję »Ogólne« i zmieniamy swoje hasło. Aby zwiększyć bezpieczeństwo Facebooka, wskazujemy w sekcji »Bezpieczeństwo« opcję »Zatwierdzenie logowania«. Jeśli zaznaczymy pole »Wymagaj kodu zabezpieczającego w przypadku dostępu do konta z nieznanych przeglądarek «, uaktywnimy kod bezpieczeństwa, konieczny przy pierwszym logowaniu z nieznanego urządzenia.
TEST
: Hakerzy kochają także konta Google’a. Powód? Jeśli przejmie się konto Gmail, można użyć funkcji “Zapomniałeś hasła?” w innych serwisach, które wysyłają odsyłacz resetujący hasło właśnie na
adres Gmaila i… nici z cyfrowej tożsamości. Google ma wbudowany mechanizm sprawdzania prób włamań. Jeśli mamy konto w Google, wystarczy wizyta na stronie https://www.google.com/settings/security. W sekcji »Ostatnia aktywność« wybieramy »Wyświetl wszystkie zdarzenia«, by obejrzeć listę ostatnich dat logowania.
PORADA
: Jeśli dostrzeżemy podejrzaną aktywność, musimy zadbać o zmianę hasła, klikając przycisk »Zmień hasło«. Ponadto Google oferuje dwuelementowy mechanizm zabezpieczeń: poza adresem elektronicznym i hasłem będziemy potrzebować do logowania również kodu PIN, który uzyskamy od aplikacji Google Authenticator, dostępnej za darmo dla urządzeń z Androidem oraz iOS lub w wiadomości SMS. Aby aktywować zabezpieczenie, w sekcji »Bezpieczeństwo« obok wpisu “Weryfikacja dwuetapowa” wybieramy opcję »Skonfiguruj«, a następnie klikamy przycisk »Konfiguruj«. Asystent przeprowadzi nas przez proces konfigurowania zabezpieczenia.
Komputer i oprogramowanie
System Operacyjny
TEST
: Jeśli dbamy o instalowanie najnowszych aktualizacji przez Windows Update, a także mamy skaner antywirusowy, to nasz Windows 7 lub “Ósemka” stanowią dobrze zabezpieczony bastion. Aby nabrać absolutnej pewności, że nasz system nie zawiera żadnych poważnych luk, warto skorzystać z Belarc Security Advisor (belarc.de/en/). Aplikacja poinformuje nas o ustawieniach zabezpieczeń Windows i sprawdzi, czy zapora jest aktywna, a skaner wirusów utrzymywany w gotowości do walki z najnowszymi zagrożeniami. Po uruchomieniu programu klikamy »Continue «, aby rozpocząć test systemu. Po kilku minutach w oknie przeglądarki zostanie wyświetlony szczegółowy raport.
PORADA:
Aplikacja Belarc Advisor prezentuje wyniki w skondensowanej, ale zawiłej formie. Jeśli zobaczymy np. informację o tym, że skaner antywirusowy jest przestarzały, powinniśmy go natychmiast zaktualizować. Jeżeli nie ma koniecznych aktualizacji, możemy przejrzeć listę zainstalowanego oprogramowania i przekonać się, które z aplikacji są rzadko uruchamiane. Bardziej przejrzystą formę informowania o lukach w zabezpieczeniach zobaczymy, klikając odsyłacz »Security
Benchmark Score«.
Przeglądarki WWW
TEST:
Firefox, Chrome i Internet Explorer należą do najczęściej używanych przeglądarek WWW, dlatego znajdują się bardzo wysoko na liście pożądanych zdobyczy hakerów. Powinniśmy zadbać o przeprowadzenie testu zabezpieczeń naszej przeglądarki. W tym celu otwieramy stronę www.check-and-secure.com/start i klikamy »Start | Browser & Pulgin-Check«.
PORADA:
Jeśli podczas testu Browser & Plugin-Check znajdzie przestarzałą przeglądarkę WWW lub nieaktualne wtyczki, powinniśmy skorzystać z odsyłaczy pozwalających pobrać najnowsze browsery i zaktualizowane plug-iny. Aby w przyszłości zawsze mieć na dysku zaktualizowane narzędzia i aplikacje, polecamy darmowy program Secunia Personal Soft ware Inspector (secunia.com/vulnerability_scanning/personal). Instalujemy narzędzie i wybieramy opcję »Update programs automatically«. Jeśli sprawdzimy jednokrotnie aktualność zainstalowanego oprogamowania, klikając przycisk »Scan Now«, aplikacja będzie nadzorowała dostępność uaktualnień i w większości przypadków automatycznie pobierze niezbędne pliki. Programy, w przypadku których automatyczne uaktualnienia nie są możliwe, zostaną wyszczególnione na osobnej liście.
Wirusy
TEST:
Nigdy nie możemy zakładać, że nasze narzędzie ochronne zawsze rozpozna wszystkie zagrożenia. Wniosek: druga diagnoza nie zaszkodzi. Za pomocą ESET Online Scannera, który znajdziemy na stronie
www.eset.pl/resources/eos/onlinescanner.php
, bardzo łatwo przeprowadzimy
skanowanie. Aplikacja działa równolegle z już zainstalowanym narzędziem antywirusowym. Po pobraniu i uruchomieniu ESET Online Scanner ściągnie z Sieci niezbędne komponenty i wyświetli okno ustawień skanowania. Klikamy przycisk »Uruchom«, by rozpocząć skanowanie.
PORADA:
Jeśli zależy nam na stałej dodatkowej ochronie antywirusowej, warto pobrać i zainstalować darmową aplikację Malwarebytes Anti-Exploit (www.malwarebytes.org/antiexploit). Narzędzie nie wchodzi w kolizję ze skanerem antywirusowym, ponieważ skupia się na zabezpieczeniach przeglądarek i aplikacji innych firm. W bezpłatnej wersji Anti-Exploit strzeże przeglądarek: Internet Explorer, Firefox, Chrome i Opera. Łata również dziury w Javie. W praktyce wystarczy zainstalować Anti-Exploit, który nie wymaga dodatkowej konfiguracji. Ochrona jest uaktywniana bezpośrednio po uruchomieniu programu.
Smartfony i tablety
System
TEST:
Również mobilne systemy operacyjne zostały wyposażone w podstawowe mechanizmy ochronne. Powinniśmy dbać o zainstalowanie aktualizacji systemu operacyjnego oraz ochronę antywirusową (do Androida). Dzięki krótkiej procedurze testowej będziemy mieli jasność sytuacji – użytkownicy urządzeń z Androidem mogą sięgnąć po bezpłatną aplikację Belarc Security Advisor, który sprawdza ponad 400 słabych punktów systemu operacyjnego i popularnych programów. Podobną procedurę dla iPoda i iPhone’a przeprowadzi nieodpłatna wersja aplikacji Lookout.
PORADA
: Użytkownicy Androida powinni zwrócić uwagę na luki w bezpieczeństwie i zaktualizować aplikacje oraz system operacyjny. Otwieramy ustawienia, wybieramy w sekcji System kolejno »Informacje o telefonie« lub »Informacje o urządzeniu «, następnie wskazujemy »Aktualizacje oprogramowania | Sprawdzić teraz?«. Użytkownicy iOS-u otrzymują wiadomość push o dostępności aktualizacji. Możemy dokonać uaktualnienia ręcznie, wybierając »Ustawienia | Ogólne | Uaktualnienia«. Jeśli dostępne są uaktualnienia, wybieramy »Pobierz i zainstaluj«. Aktualizację aplikacji uzyskamy dzięki informacji wyświetlanej na ikonie App Store.
Aplikacje
TEST:
Jakie uprawnienia przyznajemy aplikacjom instalowanym w urządzeniu mobilnym i co mogą one zdziałać bez naszej wiedzy? Więcej, niż nam się wydaje. Wprawdzie podczas instalacji programów
możemy przejrzeć listę uprawnień, jednak prawie nikt tego nie robi. Użytkownicy urządzeń z Androidem za pomocą bezpłatnego narzędzia aSpotCat wyświetlą pogrupowane na podstawie uprawnień programy zainstalowane w swoim urządzeniu. Użytkownicy iOS-u mogą przeprowadzić
skanowanie uprawnień aplikacji na stronie cluefulapp.com.
PORADA:
Jeśli nie chcemy konfrontacji z uprawnieniami aplikacji, po prostu usuńmy uciążliwy program. Nie zawsze jednak jest to możliwe. Użytkownicy Androida mają potem problem, gdyż Google nie oferuje żadnego menedżera uprawnień. Bezpłatny SRT AppGuard (srt-appguard.com) może trwale odebrać określone uprawnienia wybranemu narzędziu. Zachowajmy ostrożność, bo wówczas nie zadziała mechanizm automatycznej aktualizacji. Użytkownicy iOS-u łatwo dostosują uprawnienia aplikacji, klikając opcję »Ustawienia | Ochrona danych«. Możemy sprawdzić, które programy mają dostęp do kontaktów, zdjęć lub innych danych.
Lokalizacja
TEST:
W przypadku smartfonów i tabletów powinniśmy – obok dociekania, czy urządzenie zostało zhakowane – zadać sobie pytanie: czy zostało skradzione? Urządzenia mobilne to ulubione cele złodziei. W przypadku kradzieży powinniśmy być przygotowani. Sprawdzamy więc, czy możemy zlokalizować nasze urządzenia mobilne. Użytkownicy iOS-u powinni wybrać »Ustawienia | iCloud« i aktywować usługę »Znajdź mój iPhone«. Aby lokalizacja działała w Androidzie, musimy umożliwić dostęp do lokalizacji w ustawieniach swojego urządzenia i połączyć się z Panelem konta Google’a (https://www.google.com/settings/dashboard).
PORADA
: W przypadku kradzieży lub utraty urządzenia z iOS-em ich użytkownicy muszą zalogować się swoim Apple ID na stronie icloud.com i namierzyć swój sprzęt. Na życzenie możemy również odtworzyć sygnał dźwiękowy lub zablokować telefon. Użytkownicy smatfonów i tabletów z Androidem w celu ustalenia lokalizacji logują się do play.google.com, następnie wybierają »Ustawienia | Menedżer urządzeń Android«. Lokalizacja jest aktywowana automatycznie we wszystkich systemach od Androida 2.2.
Sieć domowa
Ruter
TEST:
Zamiast zajmować się pecetami, smartfonami lub tabletami, hakerzy chętniej biorą na celownik rutery, które odpowiadają za podłączenie do Internetu wszystkich domowych urządzeń. Jeśli ktoś przejmie kontrolę nad ruterem, kontroluje również wszystkie współpracujące z nim sprzęty. Na stronie checkmyrouter.org sprawdzimy, czy nasz ruter ma luki w zabezpieczeniach, takie jak np. UPN Bug (Universal Plug and Play Bug). Alternatywnym rozwiązaniem jest serwis Shields UP, który znajdziemy pod adresem https://www.grc.com/shieldup.
PORADA:
Obojętnie jakiego producenta ruter posiadamy, zarówno firmware, jak i sterowniki urządzeń naszego rutera WLAN powinny zawsze być aktualne. W przypadku produktów AVM FRITZ!Box zaktualizujemy firmware za pomocą interfejsu webowego (adres: fritz.box). Klikamy opcje »Wizards«, a następnie »Update Firmware«, by sprawdzić dostępność aktualizacji do rutera. Jeśli znajdziemy plik, dokonujemy uaktualnienia, wybierając opcję »Start Firmware Update Now«. W innych ruterach aktualizujemy firmware analogicznie, poszukując opcji »Firmware Update«.
Smart TV
TEST
: Telewizory Smart ujawniają swoje zalety dopiero po podłączeniu do Internetu. Możliwość instalowania aplikacji oraz stałe połączenie z Siecią sprawiają, że odbiorniki stają się podatne na ataki hakerów. W Smart TV stosowane są standardowe protokoły i formaty plików, niestety nie ma żadnego specjalnego testu zabezpieczeń, ponieważ telewizory pochodzą od różnych producentów. Musimy sami odkrywać dokładne oznaczenia modeli, które często umieszczane są na spodniej części lub z tyłu urządzeń, a następnie samodzielnie na stronach wytwórców szukać informacji na temat bezpieczeństwa. Często wskazówki zawarte na forach pomogą szybciej niż te udzielane przez wytwórców TV lub pomoc techniczną.
PORADA:
Ważny dla bezpieczeństwa Smart TV jest aktualny firmware, który możemy pobrać na dwa sposoby: bezpośrednio na odbiorniku TV z aktywnym połączeniem z Internetem albo przenosząc odpowiedni plik za pomocą pendrive’a. W przypadku telewizorów Smart Philipsa pobieramy firmware, wskazując »Ustawienia« i »Aktualizacja oprogramowania«. Na LG właściwy punkt menu to »Support«, w Samsungu odpowiednią opcję znajdziemy po wybraniu »Pomoc« lub »Support«.
Rozrywka
TEST:
Oprócz Smart TV także inne domowe urządzenia są na stałe podłączone do Internetu, stając się zarazem podatnymi na ataki. Mowa o Apple TV, konsolach PlayStation i Xbox oraz innych urządzeniach przewidzianych do domowej rozrywki. Podobnie jak w przypadku Smart TV nie ma jednolitego testu zabezpieczeń. Pierwszym źródłem informacji o zagrożeniach są strony internetowe producentów. Drugim natomiast, które polecamy, jest strona cvedetails.com. Tam znajdziemy informacje o lukach w bezpieczeństwie. Przykładowo wyszukujemy Apple TV i już możemy zobaczyć wykryte luki w bezpieczeństwie z ostatnich pięciu lat.
PORADA:
Również w przypadku domowego sprzętu multimedialnego ważny jest aktualny firmware. Najczęściej można go zapisać bezpośrednio za pomocą urządzenia w Apple TV, wybierając »Ustawienia| Ogólne | Uaktualnij oprogramowanie |Pobierz i zainstaluj«. W PlayStation 3 droga do nowego firmware’u wiedzie przez»Ustawienia | Aktualizacja systemu | Aktualizuj przez Internet«. Posiadacze Xboxa 360 najłatwiej dokonają aktualizacji, naciskając przycisk Guide na kontrolerze i wybierając »Ustawienia | Ustawienia systemu«.