Obronisz swoje dane?

Autorzy raportu CERT Polska pt. “Wydarzenia 2017” podkreślają, że niestety prognozowane przez nich zagrożenia ze strony tzw. internetu rzeczy stały się faktem. Co to oznacza? Tylko tyle, że dziś nawet nie trzeba mieć komputera, by stać się ofiarą cyberprzestępcy lub narzędziem w jego rękach. Wiele skutecznych ataków przeprowadzono dzięki słabym zabezpieczeniom w takich urządzeniach jak np. podłączone do sieci kamery IP.
Czwórka superbohaterów z ikonami telefonu, laptopa, dysku sieciowego i dysku przenośnego na tle błyskawic.
Czwórka superbohaterów z ikonami telefonu, laptopa, dysku sieciowego i dysku przenośnego na tle błyskawic.

W Polsce, choć większość nowoczesnego sprzętu klasy IoT jest dostępna, to jednak – jak podkreśla Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa, w strukturach którego działa zespół CERT Polska – wciąż popularne są oszustwa wykorzystujące niewiedzę lub nieuwagę internautów. Zdaniem Brzostka, najczęstszy typ incydentu to phishing. W ostatnich dniach zespół CERT otrzymał zgłoszenie o pojawieniu się nowej akcji phishingowej, wycelowanej w klientów sieci sklepów Biedronka.

fałszywa biedronka
Przestępcy posługiwali się domeną bony-biedronka.com, pod którą znajdowała się strona, przypominająca prawdziwą witrynę sieci sklepów (graf. CERT Polska)

Przestępcy wyłudzali pieniądze od internautów, skuszonych fałszywą ofertą na zakup bonu zniżkowego na 50 zł. Na fałszywej stronie potencjalnym ofiarom prezentowano niezbyt starannie przygotowany tekst, zachęcający do “zakupu” bonu. Osoby, które nabrały się na ten chwyt, były przekierowywane na stronę, która z kolei podszywała się pod bramkę płatności Dotpay. W tym przypadku przestępcy postarali się już znacznie bardziej i jak widać na poniższej ilustracji, fałszywa strona Dotpay dla laika jest praktycznie nieodróżnialna od oryginalnej bramki.

fałszywy dotpay
Fałszywa bramka Dotpay wykorzystywana w ataku phishingowym na klientów Biedronki (graf. CERT Polska)

Co więcej, atakujący zadbali również o to, by ofiary odwiedzające fałszywą bramkę realizacji płatności online, miały wyświetlaną “zieloną kłódkę” w swoich przeglądarkach. Innymi słowy, strona przygotowana przez oszustów posługiwała się certyfikatem SSL, wystawionym przez Let’s Encrypt. Oczywiście certyfikat ten nie ma nic wspólnego z certyfikatem oryginalnej strony Dotpay, ale problem polega na tym, że przeglądarka nie jest w stanie odróżnić czy certyfikat SSL jest prawidłowy dla danej strony.

Zresztą sami eksperci CERT Polska podkreślają, że certyfikat SSL (czyli owa “zielona kłódka”) mówi wyłącznie o tym, że połączenie z danym serwisem internetowym jest szyfrowane. Certyfikaty nie muszą zawierać informacji o tożsamości podmiotu, niemniej warto pamiętać, że w przypadku serwisów realizujących płatności online, jak Dotpay, korzysta się z odpowiednich certyfikatów SSL OV (Organization Validation). Z takiego też certyfikatu o rozszerzonej walidacji korzysta oryginalny Dotpay. Praktycznie wszystkie popularne w Polsce bramki płatności korzystają właśnie z SSL OV. Jednak czy zwykły “Kowalski” może odróżnić certyfikat SSL bez walidacji od pożądanego w przypadku bramek płatniczych certyfikatu SSL OV? Tak – i to bardzo łatwo. Spójrzcie na poniższy obrazek.

oryginalny dotpay
Pasek adresu w przypadku witryny z SSL OV (graf. CHIP)

Jak widać, prawdziwa wersja bramki Dotpay znajduje się pod adresem: https://ssl.dotpay.pl/, a dzięki wykorzystywanemu przez nią certyfikatowi SSL OV użytkownik przeglądarki (na ilustracji – Google Chrome) oprócz zielonej kłódki widzi również nazwę firmy przypisanej do certyfikatu (tu: Dotpay S.A. [PL]). Dlatego pamiętajmy, że sama zielona kłódka to za mało! Podczas łączenia się z bramkami płatniczymi sprawdzajmy, czy oprócz kłódki wyświetlana jest prawidłowa nazwa podmiotu obsługującego daną bramkę. I jeszcze podpowiadamy – za organizacją CERT – jakie powinny być informacje o operatorach poszczególnych bramek oraz ich poddomenach (stan na 15.04.2018r.).

bramki płatności popularne w Polsce
Prawidłowe informacje o operatorach popularnych w Polsce bramek płatniczych (graf. CERT Polska)

Pamiętajmy też, by po przekierowaniu z bramki płatności do serwisu transakcyjnego danego banku ponownie sprawdzić nazwę domeny oraz nazwę firmy na certyfikacie (czy jest właściwa dla wybranego banku). W razie jakichkolwiek wątpliwości co do właściwej domeny czy nazwy firmy na certyfikacie, lepiej zrezygnować z podawania danych karty i płacenia.

Phishing, to jednak zaledwie niewielka część arsenału cyberprzestępców. Mimo ciągłego rozwoju narzędzi ochronnych, liczba ataków wciąż rośnie. Owszem, branża antywirusowa stara się wykorzystywać nowoczesne metody wykrywania złośliwego kodu i różnych form ataków na dane czy tożsamość internautów, ale niestety – technologia nie jest skuteczna we wszystkich dziedzinach. Oprogramowanie antywirusowe, nawet najnowocześniejsze, najbardziej wyrafinowane, wykorzystujące złożone i kompleksowe mechanizmy ochronne, bazujące na sztucznej inteligencji i kolektywnych danych, przetwarzanych w chmurze, będzie chronić tylko w przypadku, gdy jest używane w połączeniu z odpowiednimi konfiguracjami aktualizowanego systemu i dodatkowymi narzędziami.

W dalszej części artykułu podpowiemy w jaki sposób można dowiedzieć się, czy twoje laptopy, komputery stacjonarne, smartfony i konta internetowe są… wciąż twoje. Bo jeżeli jakakolwiek usługa czy urządzenie zostało przejęte przez przestępców, to obecność oprogramowania antywirusowego niewiele już zmieni.


Na kolejnej stronie piszemy o ochronie kont internetowych.

Ochrona kont internetowych

Z punktu widzenia cyberprzestępców serwisy internetowe to wyjątkowo lukratywne cele. Głównie dlatego, że często zawierają one bardzo wiele personalnych danych. Dla użytkownika gorszy może być tylko bezpośredni atak na jego prywatną skrzynkę e-mailową. Przede wszystkim dlatego, że przestępcy w tym drugim przypadku mogą zresetować dostępy do wszystkich usług online, z jakich zaatakowana osoba korzystała.

Od czego powinniśmy zatem zacząć? Przede wszystkim od sprawdzenia, czy już nie padliśmy ofiarą ataków. Nie mamy żadnego wpływu na poziom bezpieczeństwa serwisów, których używamy, dlatego tu trudno mówić o jakiejkolwiek prewencji, ale warto sięgnąć np. po dwuetapową weryfikację tożsamości. Najpierw zobaczmy jednak, jak możemy sprawdzić czy nasze dane logowania nie zostały przejęte przez przestępców w wyniku udanego ataku na serwis, którego jesteśmy użytkownikami.

Ataki na dane logowania

Każdy, kto chce sprawdzić, czy przestępcy mogli w przeszłości uzyskać dane logowania do jego kont online, może odwiedzić serwis Haveibeenpwned.com. Strona jest połączeniem bazy o znanych wyciekach danych (innymi słowy: udanych atakach na bazy z danymi logowania użytkowników konkretnego serwisu internetowego) oraz wyszukiwarki umożliwiającej internaucie sprawdzenie, czy przypadkiem jego adres e-mail (a tym samym również powiązane z tym adresem hasło logowania do danego serwisu) nie padły łupem przestępców. W bazie są dane o blisko 5 miliardach kont, o których informacje zostały przejęte przez przestępców.

Have I Been Pwned
Taki komunikat wyświetlony po wprowadzeniu naszego adresu e-mail to dobra wiadomość, ale nie oznacza, że nic nie musimy robić (graf. CHIP)

Jeżeli po wprowadzeniu swojego adresu e-mailowego w wymienionym serwisie, zobaczysz komunikat taki jak ten na powyższej ilustracji, jest to dobra wiadomość. Oznacza, że wprowadzony przez ciebie adres nie został odnaleziony w znanych atakach na dane użytkowników różnych serwisów internetowych. Może się jednak zdarzyć i tak, że komunikat wygenerowany przez ‘;–have i been pwned? będzie wyglądał tak.

Have I been pwned
Taki komunikat to zwiastun potencjalnych problemów – trzeba działać (graf. CHIP)

Oznacza to, że adres jest w jednej z baz danych, wykradzionych przez przestępców. W takim przypadku zaczynamy od sprawdzenia, jakich serwisów dotyczy problem. Odpowiedź na to pytanie znajdziemy, klikając widoczny w wyświetlanym komunikacie link “breached sites”. Gdy wiemy już, w jakich serwisach internetowych nasze dane zostały wykradzione, należy założyć, że zarówno adres e-mail jak i hasło dostępowe do zaatakowanej usługi online przejęto. Powinniśmy jak najszybciej zmienić hasła dostępowe do kont w tych usługach. Mam tylko nadzieję, że nie używaliście jednego hasła do wszystkich usług, bo wtedy czeka was zmienianie tego zabezpieczenia w każdym serwisie (każde hasło powinno być inne).

Opisywany serwis umożliwia nie tylko sprawdzenie adresów e-mail, ale również wyszukiwanie konkretnych haseł. Wystarczy przejść do sekcji “Passwords”, a następnie w polu tekstowym wprowadzić hasło, które chcecie sprawdzić. W odpowiedzi uzyskacie informacje, czy dane hasło jest znane przestępcom (czyli czy znajdowało się w wykradzionych zbiorach danych). Ta funkcja serwisu to dobre narzędzie, pozwalające ocenić, jak wiele osób używa tak niefrasobliwych sekwencji znaków jak np. “1234” czy “password”. Na szczęście dziś wiele serwisów wymusza już stosowanie znacznie bardziej skomplikowanych haseł dostępowych.

Czy ktoś się logował?

Zakładając najgorszy scenariusz, czyli wykrycie naszego adresu w wykradzionych bazach danych, powinniśmy bezwzględnie zmienić nasze hasło. Co jednak w sytuacji, gdy opisywany wyżej serwis nie znajdzie adresu? W takim przypadku również warto sprawdzić, czy ktoś niepowołany nie próbował zalogować się na nasze konto? Niestety, nie we wszystkich usługach online możemy to sprawdzić. Ale w niektórych – owszem. Pokażemy to na przykładzie Google.

Konto Google
W ustawieniach konta Google możemy łatwo wyśledzić wszelkie, również nieudane, próby logowania na nasze konto z różnego typu urządzeń (graf. CHIP)

Odwiedzamy serwis myaccount.google.com, następnie logujemy się na własne konto Google, po czym w sekcji “Logowanie się i zabezpieczenia” klikamy odnośnik “Zdarzenia związane z zabezpieczeniami i aktywnością na urządzeniu”. Wyświetlona zostanie strona, na której od razu zobaczymy, czy ostatnio nastąpiła jakakolwiek próba zalogowania się z nieznanego nam urządzenia czy miejsca. Jeżeli wykryjemy jakąkolwiek podejrzaną aktywność (próbę logowania z miejsca, w którym nie byliśmy czy z urządzenia, którego nie mamy), należy przede wszystkim zmienić hasło do konta Google. Należy również sprawdzić, czy ktoś już użył tokena zabezpieczającego połączenie z kontem. Jest to o tyle istotne, że właściciel urządzenia, w którego pamięci przechowywany jest token uwierzytelniający, będzie mógł uzyskać dostęp do naszego konta również po tym, jak zmienimy w nim hasło. Za chwilę wyjaśnimy, jak to działa i jak sobie z tym radzić.

Kolejnym sygnałem świadczącym o tym, że być może konto zostało zhakowane, mogą być informacje od znajomych, że otrzymali oni za pośrednictwem np. sieci społecznościowej dziwne wpisy lub zapytania z twojego profilu. Facebook, podobnie jak Google, również udostępnia narzędzia, pozwalające sprawdzić aktywność i logowania na koncie. Po zalogowaniu się do Facebooka należy wybrać z menu pozycję “Ustawienia”, a następnie na stronie ustawień kliknąć z menu po lewej stronie “Bezpieczeństwo i logowanie”. W sekcji “Lokalizacja zalogowania” zobaczymy listę wszystkich urządzeń z aktywnymi tokenami bezpieczeństwa (czyli posiadacz tych urządzeń nie musi znać hasła, aby zalogować się na twój profil na Facebooku).

Utrudnij hakerom dostęp

Istnieje wiele sposobów ochrony konta. Najważniejszym jest po prostu dobre hasło. Co ciekawe, według analityków bezpieczeństwa, używanie w hasłach znaków specjalnych, wielkich liter czy cyfr wcale nie jest jest konieczne. Hasło może się składać wyłącznie z małych liter i będzie bezpieczne pod warunkiem, że jego długość wynosi ok. 15 – 20 znaków. Oczywiście nie należy używać żadnych spójnych zdań typu “Litwo, Ojczyzno Moja!”, zamiast tego można tworzyć zlepki przypadkowych słów. W ten sposób utworzysz długie hasło, które łatwo zapamiętasz. To znacznie lepsze rozwiązanie niż tworzenie niemożliwych do zapamiętania haseł typu “1:Ma~p9Kf|?!1Si5”. Kolejna niezwykle ważna rzecz to używanie innego hasła do każdej usługi online. Nowoczesne ataki potrafią uwzględnić np. zmianę dwóch ostatnich znaków w haśle (wielu użytkowników zmienia hasła co miesiąc, dodając do końca stałego hasła po prostu numer miesiąca). Dlatego używanie jednego, nieznacznie zmodyfikowanego hasła do każdej usługi to zły pomysł. Jeżeli korzystasz z wielu usług online i masz problem z zapamiętaniem dużej liczby haseł, możesz użyć programowego menadżera haseł. Wtedy należy zapamiętać tylko jedno hasło dostępowe do zaszyfrowanego sejfu z hasłami.

Wspomniałem wcześniej o tokenach usług online, powiązanych z urządzeniami, za pośrednictwem których użytkownik loguje się do danej usługi. Działają one trochę jak pliki cookie w odwiedzanych przez nas serwisach. Dzięki plikom cookie witryna nas “zapamiętuje”. Natomiast dzięki tokenom bezpieczeństwa, wszystkie urządzenia i aplikacje, zawierające token, mają dostęp do konta, nawet po zmianie hasła dostępowego. W przypadku konta Google listę aktywnych tokenów uzyskamy, wybierając z sekcji “Logowanie się i zabezpieczenia” odnośnik “Aplikacje, które mają dostęp do konta”. Podobne funkcje możemy znaleźć w panelu ustawień na Facebooku.

Panel z listą logowań do Facebooka (graf. CHIP)

Pod listą “Lokalizacja zalogowania” widoczne jest polecenie “Wyloguj się ze wszystkich sesji”. Kliknięcie tego elementu spowoduje usunięcie tokenów bezpieczeństwa ze wszystkich urządzeń, powiązanych z danym kontem na Facebooku. W połączeniu ze zmianą hasła oznacza to, że nawet jeżeli ktokolwiek wykradł nam wcześniejsze hasło dostępowe i użył go do wygenerowania tokenu bezpieczeństwa, nie będzie mógł już dostać się do naszego konta.

Kolejne działanie, jakie powinniśmy podjąć, to zamknięcie “tylnych drzwi”, pozostawianych przez usługi online dla użytkowników, którzy zapomną swoich haseł. Chodzi o tzw. pytania zabezpieczające, które mają – w razie zapomnienia hasła – uwiarygodnić zapominalskiego użytkownika, że faktycznie zapomniał on hasła do swojego konta w danej usłudze. Problem jedynie polega na tym, że pytania te dotyczą często rzeczy mało tajnych, np. imienia psa czy innego pupila, imienia pierwszej miłości, nazwiska panieńskiego matki itp. Tymczasem takie dane wyszkoleni socjotechnicznie cyberprzestępcy są w stanie uzyskać dość szybko. Tym samym będą mogli skorzystać z tylnej furtki i w imieniu uprawnionego użytkownika odpowiedzieć na pytania zabezpieczające, przejmując tym samym kontrolę nad kontem ofiary.

Jeżeli z pewnych względów w danej usłudze nie chcesz wyłączać pytań zabezpieczających lub nie da się tego zrobić, warto ustawić odpowiedź na pytanie / pytania zabezpieczające, która nie będzie oczywista. Może to być nawet losowy ciąg znaków, takie jakby kolejne hasło. Oczywiście, aby nie obciążać nadmiernie naszej pamięci, warto zanotować te nietypowe odpowiedzi i przechowywać w bezpiecznej lokalizacji, np. w menadżerze haseł.

Włącz uwierzytelnianie dwuskładnikowe

Wiele serwisów internetowych zdało sobie sprawę, że używanie tylko jednego hasła do ochrony logowania użytkownika jest zbyt słabym zabezpieczeniem. Dlatego obecnie najpopularniejsze usługi online oferują opcjonalną procedurę 2FA (2-factor-authentication, czyli uwierzytelnianie dwuskładnikowe). Polega na tym, że podczas logowania podajesz najpierw swoje hasło, przypisane do danego konta, a następnie – jeżeli to hasło jest prawidłowe – system prosi o wprowadzenie dodatkowego hasła jednorazowego. Może ono zostać wysłane do użytkownika w formie wiadomości SMS czy wygenerowane w mobilnej aplikacji do uwierzytelniania dwuskładnikowego (np. Google Authenticator czy Authy dla Androida, użytkownicy systemu Apple iOS mogą użyć aplikacji Auth OTP – wszystkie wymienione są bezpłatne).

Zaletą uwierzytelniania dwuskładnikowego jest przede wszystkim to, że dostęp do usługi jest chroniony nie tylko informacją, którą użytkownik zna (standardowe hasło do konta), ale również informacją, którą dana osoba otrzymuje (SMS z kodem jednorazowym). Po włączeniu uwierzytelniania dwuskładnikowego nawet skuteczny atak na bazę danych użytkowników danego serwisu nie wystarczy przestępcom – musieliby oni jeszcze wykraść smartfon ofiary lub podejrzeć komunikację na nim.

Popularne usługi online i ich warianty dwuskładnikowego uwierzytelniania, kolor zielony oznacza obsługiwanie danego rozwiązania, czerwony – brak (graf. CHIP)

Nasza rada: jeżeli dana usługa oferuje wybór metody dwuskładnikowego uwierzytelniania, bezpieczniej jest wybrać metodę 2FA, wykorzystującą aplikację generującą jednorazowe kody niż ich przesyłanie za pomocą wiadomości SMS. Wiadomości tekstowe można łatwo przechwycić, natomiast dostęp do aplikacji generującej kod na smartfonie możesz dodatkowo zabezpieczyć blokadą ekranu czy odciskiem palca. Trzecia, widoczna w powyższej tabelce forma zabezpieczenia – U2F – to tzw. klucz sprzętowy, czyli fizyczne urządzenie, np. w formie klucza USB, które musi być podłączone do komputera, by potwierdzić tożsamość osoby, wprowadzającej hasło dostępowe do danej usługi.

Facebook - uwierzytelnianie dwuskładnikowe
Moduł konfiguracji uwierzytelniania dwuskładnikowego na Facebooku (graf. CHIP)

Sposób ustawiania uwierzytelniania dwuskładnikowego jest podobny dla większości usług, w których taka forma zabezpieczenia dostępu jest obsługiwana. Zwykle odbywa się to za pomocą kreatora konfiguracji, który prowadzi użytkownika krok po kroku przez cały proces. Ważne, by pamiętać o tzw. kodach resetujących (zwanych również zapasowymi). To specjalne kody (ich liczba jest ściśle ograniczona), które są generowane podczas konfiguracji dwuskładnikowego uwierzytelniania, a które umożliwiają zalogowanie się do wybranych usług (chronionych opisywanym mechanizmem) w sytuacji, gdy np. zgubimy smartfon, przestanie on nam działać itp. Te dane resetujące najlepiej fizycznie wydrukować i schować w bezpiecznym miejscu, aby móc ich użyć w razie potrzeby.

Jednocześnie usługodawcy dostrzegli problem, związany z uwierzytelnianiem dwuskładnikowym – jest ono znacznie mniej wygodne niż proste wpisywanie hasła. Dlatego wiele usług (Apple, Google, Facebook i inne) daje możliwość oznaczania konkretnych urządzeń jako tzw. bezpiecznych. Podczas korzystania z takiego sprzętu ponownie, wystarczy wpisać tylko hasło do konta, aby się zalogować, etap hasła jednorazowego jest pomijany (de facto do serwisu wysyłany jest specjalny klucz sprzętowy urządzenia, które wcześniej zostało oznaczone jako zaufane). Jest to wygodniejsze, ale naprawdę nie powinniśmy z tego korzystać, bo psuje całe bezpieczeństwo wprowadzane przez dwuskładnikowe uwierzytelnianie. Jeśli zaufane urządzenie zostanie zainfekowane złośliwym kodem, umożliwiającym zdalną kontrolę nad sprzętem, wtedy agresorowi wystarczy znać tylko hasło, bo przecież “używa” zaufanego urządzenia. I w efekcie warstwę ochronną wprowadzaną przez 2FA diabli biorą…

Używanie sprzętu jako zabezpieczenia haseł

Logowanie z wykorzystaniem sprzętowego klucza USB U2F (Universal 2nd Factor) jest jeszcze bezpieczniejsze niż mechanizm zabezpieczający 2FA. Jednak w tym przypadku musimy liczyć się z kosztami. Trzeba kupić kompatybilny klucz USB U2F, np. taki jak na poniższej fotografii.

USB U2F Fido Certified
Sprzętowy klucz, chroniący dostęp do usług online, to wydatek rzędu kilkudziesięciu złotych (fot. Inbase.pl)

Dlaczego taki klucz jest bezpieczniejszy od 2FA? Teoretycznie, gdy korzystamy z 2FA, możliwe byłoby przeprowadzenie ataku typu man-in-the-middle w celu odczytania jednorazowego kodu, generowanego przez aplikację / SMS i wprowadzenie go do usługi przed użytkownikiem. To trudne, ale możliwe. Użycie klucza sprzętowego znacznie lepiej chroni dostęp do usługi online. Przeprowadzenie ataku man-in-the-middle w takim przypadku jest nierealne. Podczas konfiguracji dwuetapowego uwierzytelniania, wykorzystującego klucz sprzętowy, usługa, do której dostęp ma być w ten sposób chroniony, generuje parę kluczy kryptograficznych (klucz publiczny i klucz prywatny). Klucz prywatny zapisywany jest na sprzętowym kluczu USB. Jeżeli użytkownik zaloguje się później na swoim koncie za pomocą znanego mu hasła, musi potwierdzić, że jest osobą, za którą się podaje, podłączając do komputera nośnik USB U2F, zawierający klucz prywatny. Serwer wysyła wtedy do klienta ciąg bitów, który wykorzystuje do wygenerowania kodu. Maszyna kliencka z podłączonym kluczem USB U2F szyfruje ten kod kluczem prywatnym i w postaci zaszyfrowanej wysyła do serwera uwierzytelniającego, który rozszyfrowując przesłane informacje, uzyskuje dowód, że logowany użytkownik to uprawniony użytkownik. Dostęp zostaje przyznany. Niestety, metoda USB U2F jest niedostępna dla posiadaczy np. smartfonów z systemem iOS, gdyż Apple nie przewiduje w swoich urządzeniach możliwości użycia sprzętowych kluczy uwierzytelniających.


Dalej – o komputerach domowych oraz urządzeniach z Androidem i iOS-em.

Ochrona komputerów domowych

Komputer domowy to jeden z najłatwiejszych celów dla cyberprzestępców. Głównie dlatego, że zwykli użytkownicy albo całkowicie ignorują kwestie związane z ochroną danych albo też podchodzą do tego w sposób niewłaściwy, nie zapewniając należytego poziomu ochrony. Na przykład wiele osób instalując narzędzie antywirusowe, celowo wyłącza wstępne skanowanie całego systemu, bo to przecież “obciąża system”. Niestety, bez pełnego skanu nie mamy żadnej gwarancji, że świeżo zainstalowany program ochronny nie funkcjonuje przypadkiem w już zainfekowanym sprzęcie.

Ochrona systemu operacyjnego

Jak chronić komputer? Instalacja najnowszego programu antywirusowego to naprawdę dobry pomysł. Zresztą producenci aplikacji ochronnych dbają, by ich narzędzia były automatycznie aktualizowane natychmiast po instalacji. Nie anulujmy również pierwszego systemowego skanu antywirusowego. Pomoże on wyłapać zagrożenia, które mogły już wcześniej rezydować uśpione na nośnikach danych czy w pamięci. Najważniejsze jednak to używanie programu ochronnego we w pełni zaktualizowanym systemie operacyjnym. Pominięcie tego etapu powoduje, że nawet najlepszy program ochronny może nie być skuteczny, gdyż niezałatany system często umożliwia zdalne wykonanie kodu z uprawnieniami administratora.

Należy również aktywować aktualizacje automatyczne dla innych produktów Microsoftu. Aby to zrobić wywołaj “Ustawienia systemu Windows” i wybierz “Aktualizacja i zabezpieczenia”. W oknie Windows Update po prawej jego stronie kliknij polecenie “Opcje zaawansowane”. W kolejnym oknie upewnij się, że zaznaczone jest pole wyboru “Znajdź aktualizacje innych produktów firmy Microsoft, gdy aktualizuję system Windows”, tak jak na poniższej ilustracji.

Windows Update
Windows Update może aktualizować automatycznie nie tylko system operacyjny (graf. CHIP)

Osoby, które używają komputera fabrycznie wyposażonego w kamerę internetową, zamiast używać mało estetycznego sposobu w postaci plasterka na obiektywie, mogą skorzystać z prostego w obsłudze i dostępnego bezpłatnie programu Webcam On-Off, który zależnie od potrzeb aktywuje lub całkowicie dezaktywuje sterownik sprzętowy kamery.

Webcam On-Off
Webcam On-Off to bezpłatny program, ułatwiający kontrolę nad zainstalowaną w komputerze kamerą (graf. Sordum.org)

Ochrona dostępu online

Osoby, które często korzystają z laptopa w podróży i podłączają się do publicznych sieci bezprzewodowych mogą chronić się przed atakami online poprzez korzystanie z VPN w celu uzyskania dostępu do internetu. Bezpłatne narzędzie VPN znajdziemy np. w popularnej przeglądarce internetowej Opera.

Opera VPN
VPN w przeglądarce Opera jest bardzo prosty w obsłudze (graf. CHIP)

Aby włączyć surfowanie za pośrednictwem VPN w Operze, należy kliknąć menu “O” (symbol “O” widoczny w lewym, górnym rogu okna przeglądarki), a następnie z rozwiniętego w ten sposób menu wybrać pozycję “Ustawienia” (alternatywnie można użyć skrótu klawiszowego Alt+P). Na karcie “Ustawienia” klikamy po lewej stronie “Prywatność i bezpieczeństwo”, a następnie zaznaczamy pole wyboru “Włącz VPN”. Gotowe. W każdej chwili można sprawdzić, ile danych zostało przesłanych bezpiecznym kanałem, klikając widoczny na pasku adresu przeglądarki napis “VPN”.

Kolejnym sposobem na zwiększenie bezpieczeństwa podczas surfowania za pomocą komputera jest zmiana domyślnych ustawień serwera DNS poprzez skorzystanie z usługi DNS Quad9. Jest to usługa DNS powstała m.in. dzięki współpracy firmy IBM z organizacją Global Cyber Alliance. Jej zaletą jest automatyczne odfiltrowywanie serwisów internetowych, zawierających złośliwy kod. Po prostu nie da się ich odwiedzić. Szczegóły, dotyczące konfiguracji tej usługi na komputerze z systemem Windows, znajdziecie na tutaj.

Łatanie Androida

Nowoczesne smartfony to centra danych. Przechowują nasze zdjęcia, dokumenty, dane osobowe, są narzędziami płatniczymi, dają dostęp do wielu usług online. Nic zatem dziwnego, że są interesującym celem dla cyberprzestępców. Jak poprawić ich ochronę?

Android, z racji swojej otwartości, jest systemem operacyjnym dość podatnym na ataki. Jego popularność to dodatkowa zachęta dla przestępców. Osadzanie aplikacji szpiegowskich czy innych form złośliwych programów w Androidzie jest jak najbardziej możliwe, ale w praktyce jedynie wyjątkowo zaawansowane narzędzia szpiegowskie (tworzone prawdopodobnie przez agencje wywiadowcze niektórych państw) trudno wykryć. Konwencjonalny spyware na Androida można stosunkowo łatwo odnaleźć i usunąć.

Przede wszystkim należy zwracać uwagę na to, jak działa nasz smartfon: czy może nagle nie zaczęły się na nim pojawiać natrętne reklamy, dziwne przekierowania do zupełnie innych witryn niż te, które chciałeś odwiedzić lub niepasujące do niczego co instalowałeś ikony aplikacji. W większości przypadków wystarczy po prostu odinstalować podejrzane aplikacje. Tak, tylko tyle i aż tyle. Niekiedy intruz próbuje zmanipulować użytkownika, zachęcając go np. wiadomością SMS, która zawiera link do złośliwej aplikacji. Dość dobrym sposobem ochrony przed takimi próbami jest dopilnowanie, by w Androidzie stale była włączona blokada instalacji jakiegokolwiek kodu spoza oficjalnego sklepu Google Play. Na szczęście w kilku ostatnich generacjach Androida funkcja ta jest domyślnie włączona.

Rachunek telefoniczny również może być wskazówką, sugerującą obecność złośliwego oprogramowania na komputerze. Jeżeli informacja o liczbie przesłanych danych znacząco różni się od tej samej wartości podawanej przez smartfon, możliwe że zostały zainstalowane aplikacje, które przesyłają dane w tle, np. keyloggery. Tego typu narzędzia można wykryć, instalując oprogramowanie antywirusowe dla Androida. Niestety, te najlepsze pakiety ochronne nie są bezpłatne. Jeżeli nie chcesz wydawać na razie pieniędzy na płatny program ochronny, sprawdź smartfon darmowym programem Antyi AVL for Android. Aplikacja ta jest oficjalnie dostępna w Google Play.

Antyi AVL to bezpłatny skaner antywirusowy dla Androida (graf. Google Play)

Jeśli wynik wyszukiwania okaże się negatywny, powinieneś sprawdzić system operacyjny ręcznie. Aby to zrobić, pobierz ze sklepu Google Play aplikację Network Connections. Jest to narzędzie, umożliwiające kontrolę całego ruchu sieciowego do i ze smartfonu. To z kolei pozwala wychwycić dane, które mogą pochodzić od aplikacji, których nie instalowaliśmy. Niestety, standardowa dezinstalacja nie zawsze zadziała. Najbardziej perfidne szkodniki na Androida są w stanie obronić się przed próbami odinstalowania. Wtedy jedynym sposobem może być przywrócenie fabrycznych ustawień urządzenia. Oznacza to oczywiście usunięcie z niego wszystkich danych użytkownika, dlatego warto przed takim krokiem wykonać kopię zapasową. Nie używajmy jednak standardowego narzędzia kopii zapasowej Androida, wbudowanego w konto Google, lecz skorzystajmy z aplikacji MyPhoneExplorer.

Używaj hasła lub kodu PIN

Nowoczesne smartfony wyposażane są w różnego typu czytniki biometryczne. Niewątpliwie korzystanie z odcisków palców, skanowania twarzy czy wzoru tęczówki oka do odblokowania telefonu jest wygodne, ale czy bezpieczne? Tutaj są pewne wątpliwości. W ubiegłym roku niemiecka grupa Chaos Computer Club dowiodła, że jest w stanie obejść mechanizm skanowania tęczówki w smartfonie Samsung Galaxy S8 za pomocą… zdjęcia. Z kolei amerykańscy naukowcy z Carnegie Mellon University udowodnili, że skanery linii papilarnych stosowane w telefonach mają zbyt niską rozdzielczość, opracowali specjalny zestaw odbitek odcisków palców, które umożliwiły odblokowanie 65 procent urządzeń testowych już za pierwszym razem. Dlatego najbezpieczniej blokować dostęp do smartfonu za pomocą co najmniej sześcioznakowego kodu PIN lub hasła alfanumerycznego.

Zabezpieczenia w Apple iOS

Użytkownicy systemu iOS powinni również podjąć pewne działania, poprawiające bezpieczeństwo mobilnego sprzętu Apple. Według przedstawicieli firmy Elcomsoft, najnowsza wersja systemu iOS jest mniej bezpieczna od starszych wydań, głównie ze względu na kwestie związane z kopią zapasową. Wykonanie kopii i jej przywrócenie, zdaniem przedstawicieli Elcomsoft, może być, owszem, łatwiejsze, ale też mniej bezpieczne.

Lookout
Bezpłatny program Lookout pomoże zweryfikować poziom zabezpieczeń systemu iOS (fot. CHIP)

Aby wykryć ew. atak na iOS, należy najpierw również sprawdzić, czy potencjalny agresor nie ma już dostępu do iPhone’a albo iPada. Dobrym narzędziem, pozwalającym na uzyskanie odpowiedzi, jest program Lookout. Ta bezpłatna aplikacja sprawdza ważne elementy systemu operacyjnego pod kątem bezpieczeństwa. W przypadku wygenerowania przez program ostrzeżenia, należy podjąć kroki sugerowane przez Lookout. Najgorszy scenariusz to status “krytyczny”, w takim przypadku jedyne co można zrobić to – znowu – przywrócenie ustawień fabrycznych. Podobnie jak w przypadku Androida, nie należy resetować urządzenia przed wykonaniem kopii zapasowej, ale też tej ostatniej nie należy tworzyć za pomocą standardowych narzędzi (czyli, w przypadku Apple, za pomocą Apple iCloud). Lepszym rozwiązaniem jest użycie iTunes na komputerze i utworzenie lokalnej kopii zapasowej za pomocą tego programu.

System iOS umożliwia również szczegółową konfigurację dostępu aplikacji do innych elementów systemu. Wywołując ekran “Ustawienia” i “Ochrona danych”, można dopasować uprawnienia aplikacji. Jeżeli np. jakiś program ma dostęp do kamery w iPhone’ie, a wcale tego nie potrzebuje, można go anulować.

Cyber-zabezpieczeni

Wprowadzenie wszystkich sugerowanych zaleceń z pewnością pochłonie trochę czasu, ale efekt powinien się opłacić. Będziemy znacznie trudniejszym celem dla cyberprzestępców, którzy po prostu poszukają łatwiejszej do zaatakowania ofiary, zamiast męczyć się z naszymi zabezpieczeniami. | CHIP