Jest to zaktualizowana i przetłumaczona wersja artykuły, który napisałem jakiś czas temu dla Macrix Technology Group, możecie w nim przeczytać o tym jak dbać o bezpieczeństwo swoich prywatnych i biznesowych danych w dzisiejszym szybko zmieniającym się świecie.
Oryginalny artykuł możecie przeczytać TUTAJ.
Cyberhigiena
Cyberhigiena to zestaw praktyk, które organizacje i osoby prywatne powinny regularnie stosować, aby zachować bezpieczeństwo swoich sieci, urządzeń i danych. Podobnie jak w przypadku codziennego bezpieczeństwa osobistego (np. zamykania drzwi po wyjściu z domu), musimy wyrobić sobie podobne nawyki w zakresie bezpieczeństwa swoich danych. Takie nawyki mogą obejmować: tworzenie silnych haseł, konfigurowanie uwierzytelniania wieloskładnikowego tam, gdzie to możliwe oraz niepodawanie nikomu swoich wrażliwych danych przez telefon lub formularze internetowe.
Zbieranie informacji o naszych zasobach
Zanim zaczniemy chronić swoje dane, musimy określić, jakie dane posiadamy i na ochronie czego warto najmocniej się skupić. W dzisiejszym świecie obrona wszystkich naszych danych prywatnych lub biznesowych jest niezwykle trudna. Bardzo ważne jest, aby dokonać właściwej oceny ryzyka i ustalić priorytety i hierarchie danych/urządzeń/systemów od tych na które musimy poświęcić najwięcej uwagi, do tych które mogą być zabezpieczone lżej.
Na przykład urządzenie pamięci masowej w sieci domowej, na którym przechowujemy zdjęcia będzie mieć mniejszy priorytet w ochronie niż nasze konto bankowe. Jeżeli chodzi o zasoby organizacji, to lepiej w pełni skupić się na zabezpieczeniu i monitorowaniu infrastruktury brzegowej (która jest na styku naszej sieci z Internetem publicznym), niż poświęcać dużo czasu na zabezpieczanie folderów sieciowych w sieci wewnętrznej na który przechowujemy mało ważne pliki.
Zbieranie informacji o naszych zasobach w organizacjach jest też o tyle ważne, że nie jesteśmy w stanie chronić czegoś o czym nie wiemy i co nie jest odpowiednio uporządkowane, dlatego ważne jest, aby dział IT wiedział o wszystkich zasobach informatycznych które posiada firma.
Zarządzanie hasłami
W dzisiejszych czasach loginy i hasła są często głównym zabezpieczeniem naszej „sieci brzegowej” czyli ściany chroniącej nasze dane przez światem zewnętrznym, zwłaszcza jeżeli mówimy o usługach w chmurze publicznej. Wyciek danych uwierzytelniających to najczęstsza przyczyna naruszeń bezpieczeństwa danych i cyberataków, dlatego naprawdę ważne jest, aby tworzyć silne hasła i przechowywać je w bezpiecznym miejscu.
Porady w tworzeniu silnych haseł:
- Hasło powinno mieć minimum od 12 do 16 znaków
- Użyj mieszanki dużych / małych liter, numerów i znaków specjalnych (polskie litery też będą dobrym pomysłem, jeżeli serwis / aplikacja je obsługuje)
- Nie używaj znanych słów
- Nie używaj prywatnych informacji (daty urodzenia, imienia i nazwiska, adresu zamieszkania itd.)
- Nie używaj popularnych sloganów i kombinacji klawiszy (qwerty, P@sswd, 1234 itd.)
Silne hasła są często trudne do zapamiętania, dlatego należy je przechowywać w menedżerze haseł, na przykład KeePassXC (lub tym wbudowanym w przeglądarkę, uważaj tylko aby nie synchronizować go z kontami na innych urządzeniach których nie jesteś właścicielem, gdyż może to prowadzić do wycieku). Dobrym pomysłem jest losowe generowanie haseł, KeePassXC i podobne narzędzia posiadają wbudowany generatory, które podczas tworzenia pokażą Ci jak silne i trudne do złamania jest twoje hasło (jak wysoka jest jego entropia).
Jeżeli potrzebujesz silnego, ale łatwego do zapamiętania hasła to najlepszą metodą jest wybranie cytatu lub stworzenie dłuższego zdania, a następnie przetasowanie w nim słów, a także dodanie kilku dużych / małych liter, cyfr i znaków specjalnych.
Silne hasło może uratować Cię nawet w przypadku wycieku. Większość serwisów które utrzymują odpowiedni standard bezpieczeństwa szyfruje hasła użytkowników, więc w czasie wycieku atakujący otrzymuje je w formie zaszyfrowanej i żeby je wykorzystać do nikczemnych celów musi najpierw je odszyfrować. Im silniejsze jest twoje hasło (bardziej złożone) tym dłużej zajmie jego odszyfrowanie. Przy bardzo silnych hasłach atakującemu może dosłownie nie starczyć życia (jeżeli nie posiada superkomputera) do odszyfrowania go co pokazuje poniższa tabela (odszyfrowanie 12 znakowego hasła z zachowanymi wszystkimi zasadami tworzenia bezpiecznych haseł zajmie standardowemu komputerowi 34 tysiące lat).
Bronienie się przed atakami na nasze hasła
Obecnie wiele metod ataków umożliwia hakerom łamanie haseł i uzyskanie dostępu do chronionych danych i systemów.
Niektóre z nich to:
- atak siłowy (eng. Brute-force attack) – atak ten polega na zautomatyzowanym testowaniu wszystkich możliwych kombinacji liter, cyfr i znaków specjalnych, aby uzyskać dostęp do kont lub łamaniu zaszyfrowanych haseł / kluczy.
- atak słownikowy (eng. Dictionary attack) – wariant ataku siłowego, który zamiast losowych kombinacji cyfr i liter wykorzystuje wcześniej przygotowane słowniki (ogromne pliki TXT) z przygotowanymi hasłami.
- atak Rainbow table – atak siłowy polegający na użyciu specjalnych tablic w których przechowywane są hash’e haseł (czyli ich zaszyfrowana forma), atakujący porównuje je z hash’em hasła, które próbuje złamać.
- atak password spraying – to atak, w którym atakujący próbuje użyć tego samego hasła które udało mu się pozyskać do różnych systemów / platform, gdzie może istnieć konto ofiary w celu dostania się do jego danych
Aby poprawić bezpieczeństwo swoich kont, upewnij się, że:
- posiadasz system (lub uruchomiłeś konfigurację) blokującą konta po określonej liczbie nieudanych logowań (np. fail2ban dla systemów Linux lub Identity Protection services w Microsoft Entra ID).
- Zmień swoje hasło, jeżeli masz podejrzenie, że mogło ono wyciec.
- Jeżeli to możliwe zawsze korzystaj z uwierzytelniania wieloskładnikowego (eng. MFA authentication), dodaje ono dodatkową warstwę zabezpieczeń w przypadku, kiedy atakujący odgadnie twoje hasło
Uwierzytelnianie wieloskładnikowe to:
- coś co masz (np. aplikacja uwierzytelniająca na twoim telefonie lub prosta wiadomość sms)
- coś co wiesz (np. pytania bezpieczeństwa, na które musisz odpowiedzieć po podaniu hasła)
- coś czym jesteś (np. twój odcisk palca lub skan twarzy)
Ochrona przed Phishingiem i Socjotechniką
W kontekście cyberbezpieczeństwa socjotechnika (nazywana też inżynierią społeczną) to psychologiczna manipulacja ludźmi, nakłaniająca ich do wykonania określonych czynności w celu np. uzyskania dostępu do poufnych informacji.
Przykładowe ataki socjotechniczne:
– Phishing – to najbardziej powszechny typ socjotechniki, polega na wysyłaniu fałszywych wiadomości e-mail lub SMS (czasami nawet dzwonieniu) w celu nakłonienia ofiary do wydania swoich poufnych informacji.
– Pretexting – polega na wykreowaniu scenariusza przez atakującego który nakłoni ofiarę do wydania swoich wrażliwych informacji (np. podszywanie się pod kogoś komu ofiara ufa lub wyższy autorytet)
– Tailgating – polega na śledzeniu osoby z dostępem do pomieszczenia lub budynku i wtargnięciu do tego miejsca, kiedy ofiara nie jest ostrożna (np. zostawi otwarte drzwi)
– Shoulder surfing – bardzo prosta technika polegająca na pozyskaniu tajnych informacji po prostu poprzez patrzenie na ekran komputera lub telefonu ofiary, tak aby tego nie zauważyła
Niestety nie ma jednej dobrej metody, aby chronić się przed socjotechniką, ważne jest abyśmy byli ostrożni:
– Zawsze dokładnie sprawdzaj adresy stron internetowych na które wchodzisz (zwłaszcza jeżeli ktoś podejrzany wysłał ci link)
– Zawsze używaj HTTPS (zaszyfrowanego połączenia) podczas odwiedzania stron internetowych i weryfikuj czy strony te mają aktualny certyfikat SSL wystawiony przez zaufaną organizację
– Zawsze dokładnie weryfikuj adresy e-mail nadawców, zwłaszcza jeżeli są oni spoza twojej organizacji
– Sprawdzaj czy podejrzane e-mail nie mają błędów gramatycznych lub językowych, atakujący często je popełniają używając automatycznych narzędzi do tłumaczenia treści na język Polski
– Użyj Internetu, aby znaleźć więcej informacji o nadawcy maila, jeżeli nie jesteś pewien co do jego tożsamości (np. mediów społecznościowych jak FB czy LinkedIn)
– Dokładnie weryfikuj załączniki w emailach, nigdy ich nie otwieraj, jeżeli wydają się podejrzane (np. mają dziwne rozszerzenia) – Nigdy nie podawaj swoich prywatnych, wrażliwych danych przez formularze internetowe ani telefon
Jak sprawdzić czy twoje dane wyciekły?
Istnieje wiele usług, które pozwalają sprawdzić czy twoje dane wyciekły. Jedną z nich jest platforma https://haveibeenpwned.com/, która pozwala sprawdzić czy twoje konta e-mail były częścią większych wycieków danych, robi to sprawdzając publiczne bazy danych zawierające poufne informacje użytkowników, które cyberprzestępcy udostępnili w sieci.
Dodatkowo można ją też skonfigurować, aby automatycznie wysyłała powiadomienia, kiedy w takowej bazie zostanie wykryte twój adres e-mail lub jakikolwiek adres e-mail z twojej firmowej domeny. Dzięki temu zawsze będziesz na bieżąco informowany, kiedy twoje dane znajdą się w niebezpieczeństwie.
Jeżeli nie chcesz korzystać z Haveibeenpwned, istnieją też inne usługi jak https://monitor.firefox.com/ który zapewnia tą samą funkcjonalność.
Weryfikacja widoczności twoich sieci i urządzeń w Internecie
Niezwykle ważne jest, aby monitorować nasze publiczne usługi, które udostępniamy do świata z sieci wewnętrznej naszej organizacji (np. serwery web) lub sieci domowej (np. kamery obsługiwane z aplikacji komórkowej). Usługi te muszą być dokładnie zabezpieczone i musimy mieć pewność, że wystawiamy do świata tylko to, co faktycznie chcemy, żeby było publiczne.
Najlepszą metodą szybkiej weryfikacji naszej sieci z zewnątrz są wyszukiwarki jak https://www.shodan.io/ lub https://www.zoomeye.org/. Używają one botów do skanowania publicznych adresów i indeksowania wszystkiego co znajdą, dzięki temu możemy zweryfikować podając nasz publiczny adres IP jakie zasoby są widoczne z zewnątrz. Wyszukiwarki te mogą wykryć niezabezpieczone kamery (i inne urządzenia IoT), a także otwarte porty RDP czy SSH.
Dodatkowo możemy sami też przeprowadzić takie skanowanie używając narzędzia Nmap (lub Zenmap w systemie Windows), wyświetli nam ono wszystkie informacje, które udało mu się wykryć o systemie lub systemach pod danym adresem IP, otwartych portach (czyli usługach dostępnych z Internetu) lub nawet znanych podatnościach, które mogą zostać użyte, aby przełamać zabezpieczenia danego serwera (jeżeli załadujemy do Nmap’a odpowiedni plugin).
Jest to świetne narzędzie, aby weryfikować czy nasza infrastruktura i zapory sieciowe są odpowiednia skonfigurowane, należy jednak pamiętać, że skan Nmap’em (zwłaszcza agresywny, próbujący zebrać dużo informacji o usługach) jest łatwo wykrywalny przez odpowiednie urządzenia służące do zabezpieczania sieci (oraz może nawet uszkodzić bardziej wrażliwe urządzenia sieciowe), a skanowanie infrastruktury, która nie jest naszą własnością bez zgody jest karalne.
Cyberbezpieczeństwo w podróży
Dbanie o bezpieczeństwo twoich informacji może być problematyczne podczas podróży, aby zminimalizować ryzyko, postępuj zgodnie z poniższymi zaleceniami:
- upewnij się, że twoje urządzenia są zabezpieczone hasłem lub biometryką
- upewnij się, że dysk twojego komputera jest zaszyfrowany (np. przy pomocy funkcji Bitlocker w systemie Windows)
- nigdy nie zostawiaj swoich urządzeń bez opieki w miejscu publicznym
- używaj oprogramowania antywirusowego (nie musi być to nawet zewnętrzny program, Microsoft Defender wbudowany w systemie Windows świetnie sprawdza się jako antywirus do komputerów prywatnych, ważne tylko żeby go nie wyłączać)
- zawsze na bieżąco instaluj aktualizacje do swojego systemu operacyjnego i programów
- nie wyłączaj zapory sieciowej w swoich prywatnych urządzeniach
- upewnij się, że nie udostępniasz żadnych folderów do sieci publicznych i że twój komputer ma wyłączoną widoczność w sieciach publicznych (zwłaszcza w systemach Windows)
Należy zachować szczególną ostrożność podczas korzystania z otwartych, publicznych sieci wifi. Zawsze istnieje niewielka szansa, że znajduje się w niej ktoś, kto będzie chciał jej użyć do przeprowadzenia ataków w celu wykradnięcia twoich danych.
Przykładowe ataki to:
- Man-in-the-middle – jest to typ ataku, w którym cyberprzestępca przechwytuje komunikację sieciową ofiary i przekierowuje ją lub modyfikuje zanim dotrze do celu (np. przekieruje cię do fałszywej strony banku).
- Evil twin – w tym ataku cyberprzestępca stawia fałszywy hotspot Wi-Fi (lub serwer wydający adresy IP w ramach otwartej sieci) z nadzieją, że ofiara sama da się nabrać i połączy się do niego, zamiast do realnej sieci Wi-Fi.
- Packet sniffing – nie jest to atak sam w sobie a metoda pozwalająca skanować całą sieć (urządzenia, które się w niej znajdują, a także pakiety sieciowe), dzięki temu cyberprzestępca może wykryć podatność w naszym urządzeniu lub jakąś udostępnianą zawartość i wykorzystać ją do spersonalizowanego ataku.
Dobrym pomysłem jest używanie połączenie VPN podczas korzystania z otwartych sieci Wi-Fi, takiego które przekierowuje nasz ruch sieciowy przez serwery VPN i ukrywa go przed niepożądanym wzrokiem.
Jeżeli nie mamy dostępu do klienta VPN to dobrym pomysłem będzie użyć sieć GSM z naszego telefonu do połączenia z Internetem (np. poprzez hotspot czy tethering USB).
Podsumowanie
W dzisiejszych czasach zapewnienie bezpieczeństwa naszych danych staje się coraz trudniejsze. Mam jednak nadzieje, że powyższe informacje zawarte w tym artykule pomogą wam poprawić swoje cyberbezpieczeństwo i znacznie zmniejszyć ryzyko udanych ataków.