Jak nie dać się zrobić w konia - czyli jak uchronić swój czas, dane i pieniądze



W okresach świątecznych często można zaobserwować wzmożoną aktywność ludzi, którzy dla własnego interesu szkodzą innym. Chciałbym przedstawić Wam kilka porad bezpieczeństwa, które zabezpieczą basze dobra informatyczne, jak również i pieniądze na koncie. Co ma wspólnego nasz komputer, smartfon, czy tablet z naszym rachunkiem bankowym... Bardzo dużo. dostęp do konta bankowego lub zakupy internetowe na nasz rachunek to tylko kilka z przykładów.


Zdrowy rozsądek - przemyśl, nie podejmuj działań zbyt szybko

Metody stosowane przez złodziei są coraz bardziej wyrafinowane, nie wszystkie ataki na nasze dobra będą polegać na atakach wirtualnych. Chyba obecnie najbardziej powszechnymi i najłatwiejszymi metodami na ograbienie nas są metody socjotechniczne. Polegają one na wydobyciu od nas informacji w sposób nie jawny. Poszkodowani sami podają złodziejom informację, które później mogą ułatwić złodziejowi kradzież. Przykłady są bardzo proste:
- złodziej podaje się za pracownika banku. Informuje nas o tym, że ktoś dokonał nieautoryzowanych transakcji na naszej karcie kredytowej. Prosi o podanie danych dostępowych np w celu zablokowania karty.
- złodziej udaje pracownika salonu telefonicznego. Oferuje nową umowę ale do jej zawarcia potrzebuje skan dowodu osobistego.
- złodziej udaje pracownika sklepu w którym wystąpił problem z płatnością. Prosi o podanie Pierwszych cyfr karty kredytowej lub numeru CCV.
- jesteśmy w sklepie / restauracji. Jest problem z płatnością. Pracownik prosi o kartę kredytową by ją sprawdzić. Karta znika nam na chwilę z oczu. W tym czasie jest klonowana.
Sposobów jest bez końca. Dlatego też zachowajmy zdrowy rozsądek. Nigdy nie podawajmy numerów kart kredytowych przez telefon. Nawet jeżeli mamy rzekomo zabezpieczone połaczenie i numer wciskamy na klawiaturze telefonu. Odczytanie tonowo wpisanych liczb nie jest trudne. Co do samego numeru karty, to złodziej może już część tego numeru posiadać, uzupełnimy mu parę cyfr, ostatnią może wyliczyć, gdyż jest do liczba kontrolna i ma do dyspozycji naszą kartę. To samo się tyczy skanów dokumentów. To co wysyłamy w sieci na maila powinniśmy uznać za wpełni jawną informację, którą każdy może odczytać.


Poczta elektroniczna

Kolejna bardzo popularna metoda dająca bardzo duży wachlarz możliwości. Wszelkiego rodzaju załaczniki do poczty elektronicznej stanowią potencjalne zagrożenie dla naszych danych. Zanim otworzymy załacznik upewnijmy się, że dostaliśmy go od odpowiedniej osoby. Adresat może nie być tym za kogo się podaje. I tu Was zasmucę. Większość antywirusów nie wykryje złośliwego oprogramowania w Waszych załącznikach. Przed kliknięciem w załacznik sprawdźmy nadawcę, czy nazwa jego maila nie jest podejrzana. To samo tyczy się nazwy załacznika. Jeżeli ma dziwną nazwę lub dziwne rozszeżenie to już jest sygnał by zachować ostrożność. Spam, który dostajemy może mieć bardzo dziwną formę. Tu także liczy się zdrowy rozsądek, choć dobry filtr spamowy jest zawsze pomocny. Jeżeli korzystamy z klienta pocztowego to warto doposarzyć się w dodatkowy filtr antyspamowy. Wiele antywirusów takowy oferuje. Dodatkową opcją gwarantującą nam większe bezpieczeństwo jest konfiguracja klienta pocztowego w taki sposób by domyślnie blokował załączni i pobierał je na nasz komputer tylko na nasze żądanie.
Tutaj warto dodatkowo polecić konta pocztowe na gmail'u. Google posiada chyba najlepszy filtr antyspamowy. Warto pomyśleć o migracji konta lub utworzeniu na gmailu nowego, a stare zostawić na spam.
Jeżeli nie chcemy zakładać nowego konta jest jeszcze jedna alternatywa. Gmail oferuje możliwość otwierania poczty elektronicznej innego dostawcy, warto zapoznać się z tym tematem.


Przeglądarka internetowa

Przeglądarka internetowa musi być zawsze aktualna. Firefox i Chrom (i jego pochodne) oferują autoaktualizacje. Co do Internet Explorera, to jeżeli z niej korzystacie i nie jest to wersja IE 11 lub EDGE to proponuje jak najszybszą przesiadkę na inne wymienione. Z IE jest ten problem, że starsze windowsy nie mogą jej aktualizować. IE 10 i starsze odmiany z początkiem roku 2016 (12 stycznia) tracą wsparcie ze strony Microsoftu. Prawdę mówiąc to o ile nie pracujemy w firmie z Active Directory i/lub SharePointem to te przeglądarki dla większości osób służa tylko do tego by pobrać z internetu przeglądarkę innej firmy.


Dodatki do naszej przeglądarki

Tutaj już trochę bardziej technicznie. Jeżeli zależy nam na dodatkowym bezpieczeństwie i prywatności w sieci to warto zastanowić się nad kilkoma rozwiązaniami.
Dodatki do przeglądarki:
- HTTPS Everywhere - wymusza szyfrowane połaczenia o ile są dostępne (kłódeczka na pasku adresowym i https zamiast http).
- NoScript (Firefox) i NoScripts (Chrome) - zapewnia pełną kontrolę nad tym co nam się uruchamia na odwiedzanych przez nas stronach.
- AdBlock - blokowanie reklam.
Wtyczki, na które warto zwrócić uwagę:
- wszelkie wtyczki oparte na Javie do wyłączenia. Stwarzają potencjalne zagrożenie, a w większości przypadków nie są przez nas używane.
- clik-2-play - czyli wtyczka Shockwave Flash. Warto zmienić jej właściwości na "Pytaj o aktywacje". Dzięki tej zmianie filmy flashowe przestaną nam się automatycznie uruchamiać w przeglądarce. Uruchomią się tylko te, które będziemy chcieli. Technologia flash jest już na wymarciu i stwarza potencjalne zagrożenie dla naszego komputera. HTML5 go zastępuję i tego się trzymajmy.


Aktualizacje

Aktualizacje systemu i oprogramowania są bardzo ważną czynnością. Starajmy się nie ignorować tego. Adobe Reader i MS Office mają bardzo dużo luk bezpieczeństwa. Znalezienie luk bezpieczeństwa przez crackera w aplikacjach to dosłownie chwila. Wystarczy tylko wiedzieć, że nie macie aktualnego softu.


Hasła

Hmm... co tu dużo mówić. Tam gdzie to możliwe polecam logowanie dwuetapowe. I hasła, hasła i jeszcze raz hasła. Duże, małe litery, liczby, znaki specjalne. Najlepiej min 16 znaków i na każdej stronie inne. Nie mogą być słownikowe, co to znaczy. Hasła bazujące na wyrazach ze słownika są bardzo łatwe do złamania, np. 123Szafa. Nie ustawiajmy takich haseł. Są skrypty które potrafią po kilka tysięcy takich haseł sprawdzać w ciągu sekundy i mowa tytaj o tych z liczbami na początku i/lub końcu, a nawet o takich co sa pisane wspak. Losowy ciąg znaków.
Odpowiecie mi - kto to zapamięta. Tu jest wiele narzędzi ułatwiających przechowywanie haseł, np. KeePass. Przechowuje zaszyfrowane hasła. Jedyne o co musicie się martwić to hasło do tego narzędzia.


Antywirus

Tu nie trzeba się rozpisywać. Warto go mieć. Nie ważne czy płatny, czy też nie. Ważne by był aktualny. Nie gwarantuje bezpieczeństwa, ale często uchroni przed już znanymi rzeczami. Zawsze można go wspomóc za pomocą takich narzędzi jak: EMET, Bit9 i Antyexploit.


Firewall

Warto mieć włączony. Ogólnie należy trzymać się zasady: firewall ma blokować wszystko. Jeżeli korzystamy z usług, dla których potrzebna jest reguła "allow" w firewallu to ją dodajemy i nic ponad to.


Uprawnienia

Uprawniania administratora to zło ;) Warto pomyśleć nad założeniem innego użytkownika, z którego byśmy korzystali na co dzień. Zwykły "Kowalski" nie korzysta z uprawnień admina na codzień o ile w ogóle korzysta.


Szyfrowanie

Warto pomyśleć nad szyfrowaniem ważnych dla nas danych i/lub trzymaniem ich na nośniku nie podłaczonym do sieci jako backup (również zaszyfrowanym). Chroni to nas przed kradzieżą tą wirtualną i tą fizyczną. Utrata ważnych danych jest nie do nadrobienia, ale jeszcze gorsza sytuacja to gdy dane są w niepowołanych rękach. Jeżeli korzystacie z pendrive'ów z takimi cennymi danymi to proponuję przerzucić się na pendrive'y szyfrowane.


Dodatkowo

- VPN - choć w ostatnich czasach bywa z tym różnie. To jest to jedna z lepszych metod zabazpieczenia połaczeń. - hasło na BIOS - utrudni nieco życie złodziejowi.