• Technika /
  • Bzik cyber - przestrzenny. Czy zwykły użytkownik jest całkiem bezbronny?

Bzik cyber - przestrzenny. Czy zwykły użytkownik jest całkiem bezbronny?

Bzik cyber - przestrzenny. Czy zwykły użytkownik jest całkiem bezbronny?
Patrząc z punktu widzenia cyberprzestępcy, pojedynczy, zwykły, właściciel komputera czy komórki nie jest celem najbardziej atrakcyjnym. Nie ma tylu pieniędzy ani zasobów, co firmy czy ważne instytucje. Nie znaczy to jednak, że wystarczy nie wyróżniać się, by być bezpiecznym. Tak czy inaczej możemy być częścią atrakcyjnego łupu jako pozycja w wartościowej bazie lub węzeł botnetu.

Niejeden raz publikowaliśmy na łamach MT poradniki w punktach – co zrobić, by zabezpieczyć się przed atakami, wirusami, kradzieżą danych, włamaniami i oprogramowaniem żądającym okupu. Obecnie taki zestaw rad warto zacząć od uwagi, by przestać wierzyć w mity, np. że istnieje jedno rozwiązanie, które wybawi nas od wszelkich niebezpieczeństw życia cyfrowego. Że będzie to np. specjalnie nabyte „od specjalistów” dodatkowe oprogramowanie antywirusowe. Według niedawno publikowanych badań, Amerykanie powyżej 65. roku życia są dwukrotnie bardziej skłonni do płacenia za programy antywirusowe innych firm niż osoby młodsze. Ogólnie prawie połowa użytkowników wciąż nabywa taki dodatkowy software.

Departament Handlu Stanów Zjednoczonych ogłosił zakaz stosowania oprogramowania firmy Kaspersky, ale Norton czy McAfee są wciąż kupowane i instalowane na domowych komputerach. Zdaniem ekspertów to niepotrzebny wydatek. Na przełomie XX i XXI wieku, kiedy krajobraz komputerów PC z systemem Windows był jeszcze stosunkowo dziki, większość złośliwego oprogramowania docierała do komputerów jako załączniki do wiadomości e-mail lub za pośrednictwem sieci. Dziś te wektory są skutecznie zamknięte. Automatyczne aktualizacje chronią przed nowo odkrytymi lukami w zabezpieczeniach. Nowoczesny klient poczty elektronicznej blokuje wszelkiego rodzaju załączniki plików wykonywalnych, w tym pliki oparte na skryptach. Dziś w większości kategorii urządzeń oferowana jest domyślna ochrona, która jest częścią platformy. W przypadku urządzeń mobilnych (iOS lub Android) oznacza to sklep z aplikacjami, którym zarządza twórca systemu operacyjnego. Na komputerach Mac technologia antymalware XProtect istnieje od ponad dekady i jest skuteczna w walce z głównymi zagrożeniami. Jeśli chodzi o Windows, to Microsoft Defender Antivirus, który jest integralną częścią systemu Windows, rutynowo przechodził testy w zewnętrznych laboratoriach. Od ok. siedmiu lat rozwiązanie Microsoft Defender regularnie uzyskuje wyniki od 99 do 100 proc., co czyni go tak samo skutecznym jak wyspecjalizowane oprogramowanie antywirusowe stron trzecich.

Dlatego też nowoczesny, w pełni załatany i niekonfigurowany domowym sposobem odzierającym go z zabezpieczeń, komputer konsumencki nie jest zwykle wybranym celem gangów przestępczych atakujących za pomocą złośliwego oprogramowania. Większość ataków od lat już jest wymierzona w firmy i instytucje. Wykorzystuje luki, które z większym prawdopodobieństwem znajdują się w oprogramowaniu firm trzecich, które instalują w swoich systemach duże podmioty, niż w samym systemie operacyjnym. Na przykład rosyjscy hakerzy wykorzystali oprogramowanie firmy SolarWinds, by zhakować pięć lat temu Microsoft i inne ważne cele. Wykorzystali lukę w popularnej aplikacji o nazwie MOVEit firmy Progress Software, dzięki której mogli zaatakować systemy dużych podmiotów, w tym m.in. Shella, British Airways, BBC i kanadyjską prowincję Nowa Szkocja w 2023 r. W dzisiejszych czasach zorganizowani cyberprzestępcy koncentrują się na tego rodzaju celach, bo cybeprzestępczość też kosztuje, a duża ofiara to potencjalnie duży zwrot z inwestycji w atak.

Z drugiej strony żadna aplikacja antywirusowa oparta na sygnaturach nie zapewni ochrony przed takimi ukierunkowanymi atakami, więc także kupione przez szarego użytkownika oprogramowanie antywirusowe. W firmach obrona jest zadaniem działów IT, które wdrażają zaawansowane oprogramowanie sieciowe, pozwalające administratorom monitorować bezpieczeństwo systemów w czasie rzeczywistym.

Klucze dostępu zamiast haseł – bezpieczniejsze, ale kłopotliwe 

A co z hasłami? Ostatnio sporo jest doniesień, że firmy Big Tech chcą się definitywnie rozstać z hasłami. Zamiast nich proponuje się tzw. passkeys, wspierane m.in. przez Google (1), Apple, Microsoft i FIDO Alliance. Głównym argumentem za wprowadzeniem passkeys jest świadomość, że tradycyjne hasła są stare i niepewne. Hasła komputerowe zostały pierwotnie pomyślane jako łatwy do zapamiętania sekret dla ludzi do wpisania w polu tekstowym. Z czasem pojawiły się specjalne programy „password managers”, ułatwiające zapisywanie i przywoływanie haseł. Wciąż jednak to tylko kontynuacja w rozwinięciu oryginalnego pomysłu pola tekstowego. Eksperci uważają, że tak naprawdę nie potrzebujemy już takiego rozwiązania, podobnie jak programów antywirusowych.

1. Symbole passkeys Google.
Fot. stock.adobe.com

Stosunkowo nowa alternatywa, określana terminem passkeys (z ang. klucze dostępu), wymienia klucze kryptograficzne WebAuthn bezpośrednio ze stroną internetową. Nie ma potrzeby, by człowiek przywoływał sekretny ciąg znaków czy robił to menedżer haseł. Autentykacja dzieje się automatycznie, bez wypełniania pola tekstowego. Minusem tego rozwiązania jest to, że obsługa klucza dostępu nie jest przynajmniej w typowych znanych przeglądarkach „wbudowana”, lecz musi zostać dodana, także do każdej strony internetowej. Nie brzmi to jak wygodne rozwiązanie, ale, jak twierdzą specjaliści, tak jest bezpieczniej. Kolejnym rozwiązaniem, które również nie brzmi jak wygodne, jest korzystanie w technice passkeys z telefonu połączonego przez Bluetooth, a nie przez Internet, jak to ma miejsce w znanym i popularnym już uwierzytelnianiu dwuskładnikowym. Bluetooth służy do upewnienia się, że telefon znajduje się w pobliżu urządzenia i rozpoczęcia sesji sieciowej. Utrzymanie lokalnej komunikacji gwarantuje, że przypadkowe osoby w Internecie nie będą mogły zalogować się na twoje konta. Do uwierzytelniania wykorzystywana jest też biometria, skany twarzy lub odciski palców. Telefon komunikuje się z  klientem przez Bluetooth, przeglądarka odblokowuje klucz dostępu, a następnie wysyła go do witryny.

Trudno zaprzeczyć, że ta procedura jest nieco skomplikowana, jednak, jak zapewnia Google, całkowicie chroni przed wielką liczbą naruszeń i ataków, np. przed phisingiem. Po prostu nikt nie jest w stanie nam ukraść danych dostępowych do banku czy systemu wewnętrznego firmy, w której pracujemy, jeśli nie jest w tym miejscu, gdzie jest użytkownik i nie korzysta z jego urządzeń. Jest to rzecz stosunkowo nowa i zapewne warto obserwować jej wdrażanie, a nawet samemu spróbować. Można wypróbować tę technikę na Passkeys.io, gdzie proste konto demo pokazuje, jak to działa. Google twierdzi, że klucze dostępu są „znacznie szybsze niż hasła” ze średnią 14,9 sekundy na zalogowanie się do Google w porównaniu do 30,4 sekundy w przypadku haseł. Co więcej, Google twierdzi, że „odsetek użytkowników pomyślnie uwierzytelniających się za pomocą kluczy dostępu do tego samego urządzenia jest czterokrotnie wyższy niż wskaźnik sukcesu zwykle osiągany za pomocą haseł”.

Nie trzeba zresztą korzystać z rozwiązań Google. Są inne produkty typu passkeys, np. ten oferowany przez firmę 1Password. W swoim katalogu obsługiwanych i zarejestrowanych stron internetowych, aplikacji lub usług firma ta ma już znane wielkie marki, np. Adobe, Amazon, Apple, GitHub, Google, Microsoft, Nintendo, Nvidia, Okta, OnlyFans, PayPal, Robinhood, Roblox, Shop Pay, Shopify, Sinology, TikTok, Uber. „Passkeys eliminuje hasła. Bez haseł nie ma nic do kradzieży, co sprawia, że ataki socjotechniczne, takie jak phishing, są nieskuteczne”, wyjaśnia „Forbesowi” przewagi nowego rozwiązania Steve Won z 1Password.

Te „bezhasłowe” rozwiązania sprawiają wrażenie typowego targu „coś za coś”. Tak, są dość kłopotliwe i na pierwszy rzut oka skomplikowane, ale za to dają więcej bezpieczeństwa. Trzeba wybierać.

Uwaga na Wi-Fi

W świecie mobilnego Internetu na zwykłego użytkownika czyhają typowo mobilne zagrożenia, np. niepewne, przygodnie napotykane sieci Wi-Fi. Sieć taka może znajdować się w kawiarni, na lotnisku, w pojeździe, którym podróżujemy, w centrum handlowym lub gdziekolwiek indziej. Problem z łączeniem się z publicznymi sieciami bezprzewodowymi polega na tym, że nigdy nie wiadomo, czy można im zaufać (2). Ponieważ te publiczne sieci bezprzewodowe są otwarte dla każdego, nie wiadomo, kto jest podłączony w danym momencie i czy przypadkiem nie używa narzędzi do przechwytywania danych, które, jeśli uda mu się uzyskać dodatkowe informacje o użytkowniku, może wykorzystać w celach przestępczych, kradnąc tożsamość lub pieniądze.

3. Darmowe Wi-Fi bywa pułapką.
Fot. stock.adobe.com

Konieczne jest więc ostrożne korzystanie z publicznych połączeń bezprzewodowych. Zacząć trzeba od wymogu weryfikacji sieci. Niektórzy cyberprzestępcy potrafią tworzyć fałszywe sieci bezprzewodowe, podszywające się pod znane użytkownikowi lub takie, którym, jak się wydaje, można zaufać, np. jesteśmy w hotelu Morskie Oko. Z informacji w obiekcie wynika, że dostępna dla jego klientów sieć Wi-Fi to Morskie_Oko, ale użytkownik przez nieuwagę przyłącza się do sieci Morskie__Oko, którą widzi jako dostępną. Różnica to tylko jeden znak „_”. Gdy nieuważny użytkownik to zrobi, ten, kto skonfigurował fałszywą sieć, będzie miał dostęp do jego danych. Lepiej więc być uważnym i dokładnie sprawdzać nazwę sieci bezprzewodowej, z którą się łączymy. Jeszcze lepiej, jeśli istnieje kod QR upraszczający połączenie. Zawsze można też upewnić się, pytając kogoś na miejscu.

Generalnie należy unikać przesyłania poufnych danych (takich jak numery dokumentów, PESEL, informacje o koncie bankowym, dane karty kredytowej itp.) w sieci publicznej, w której gościmy. Czasem można natknąć się na publiczne połączenie bezprzewodowe, które wymaga podania adresu e-mail przed nawiązaniem połączenia. Warto utworzyć nowy adres e-mail (np. na Gmailu), który służy tylko do tego. W ten sposób unikamy sytuacji, w której nasz prywatny e-mail stanie się przedmiotem handlu w sieci. Jeśli publiczna sieć bezprzewodowa wymaga skonfigurowania hasła dostępu do niej, to nie należy używać hasła powiązanego z żadnym posiadanym kontem. W takim przypadku bardzo przydatny może okazać się program typu menedżer haseł. Za pomocą menedżera haseł można utworzyć folder specjalnie dla publicznych połączeń bezprzewodowych, a następnie użyć generatora losowych haseł dla tych kont.

Po zakończeniu korzystania z publicznej sieci bezprzewodowej należy wrócić do ustawień sieciowych i polecić systemowi operacyjnemu, aby zapomniał sieć. Jeśli sieć publiczna zostanie wśród zapamiętanych na urządzeniu, następnym razem urządzenie może automatycznie połączyć się z nią bez wiedzy użytkownika i przesłać poufne dane przez tę sieć, z wszystkimi możliwymi konsekwencjami, np. wykradaniem danych przez podmioty niepowołane.

Podczas korzystania z publicznej sieci bezprzewodowej nie zaszkodzi rozważyć też dodania dodatkowej warstwy zabezpieczeń za pomocą wirtualnej sieci prywatnej (VPN). Usługi te maskują adres IP/lokalizację użytkownika (co jest ważnym krokiem w celu ochrony prywatności w Internecie) i szyfrują wszystkie dane opuszczające urządzenie. Obie te funkcje są nieocenione w podróży. Jest wielu różnych dostawców, którzy oferują łatwe w instalacji i obsłudze sieci VPN. Należy pamiętać, że większość sieci VPN jest płatną usługą. To rozwiązanie głównie dla tych, którzy dużo podróżują i mają dużo do stracenia w swojej sieciowej aktywności.

Co radzi NSA

Pisaliśmy o rozwiązaniach bezhasłowych, ale wciąż silne hasło znacznie zmniejsza prawdopodobieństwo stania się ofiarą hakera. Powinno ono wyglądać jak „&899##!EEsl03@V4$qm#”, a nie jak np. „haslo1234”. Poradniki wspominają zwykle, by zmieniać hasło co trzy miesiące lub częściej, jeśli zarządzamy wieloma kontami, pracujemy w finansach lub staliśmy się ofiarą kradzieży tożsamości. Oczywiście warto korzystać z autoryzacji dwuskładnikowej. Obecnie wiele platform pozwala sprawdzić ostatnie logowania do kont i ich pochodzenie. Czasami strony internetowe mogą również wysyłać wiadomości e-mail, jeśli nowa przeglądarka i adres IP uzyskują dostęp do konta. Jeśli zauważymy podejrzane logowanie, możemy zablokować ten adres IP lub przeglądarkę, klikając „wyloguj na wszystkich urządzeniach”, jeśli oczywiście ta opcja jest dostępna. Warto pamiętać, że hakerzy mogą mieć na początku swojej operacji stosunkowo niewiele informacji i sukcesywnie zbierać kolejne, jeśli nie będzie reakcji i ofiara nie podejmie żadnych działań, nadal podając nieostrożnie swoje wrażliwe dane np. w sieciach społecznościowych.

W Internecie obecnie dostępne są narzędzia nie tylko monitorujące bezpieczeństwo dostępów do serwisów, ale również wszelkie dane użytkownika, które mogą pojawić się w sieci, np. stosunkowo nowa funkcja Google Results About You (z ang. „wyniki wyszukiwania informacji o tobie”) sygnalizuje, gdy numer telefonu, adres e-mail lub adres domowy danej osoby pojawiają się w wyszukiwarce. Pomaga też je usunąć.

Jeśli wszelkie te zalecenia kogoś nudzą, „bo on to wszystko już wie”, to może zaciekawi i ożywi go poradnik sławnej (dzięki Edwardowi Snowdenowi) amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA), a więc chyba znającej się na rzeczy, z „najlepszymi praktykami dotyczącymi urządzeń mobilnych”. Niektóre z tych zaleceń są znane z wielu innych poradników, np. rady, by „nie łączyć się z publicznymi sieciami Wi-Fi, wyłączać Wi-Fi, gdy jest niepotrzebne, usuwać nieużywane sieci Wi-Fi”, „wyłączać Bluetooth, gdy go nie używamy”, „używać silnych PIN-ów i haseł” oraz „blokad w razie błędnego ich wielokrotnego wprowadzania”, unikać nieznanych nośników, instalować minimalną liczbę aplikacji i tylko te z oficjalnych sklepów z aplikacjami, a korzystając z nich, kontrolować udostępniane dane, ale niektóre inne brzmią ciekawiej. Na przykład zalecenie: „rozważ użycie futerału ochronnego, który zagłusza mikrofon, aby zablokować dźwięk w pomieszczeniu”, „zakryj kamerę, gdy nie jest używana”, „nie prowadź poufnych rozmów w pobliżu urządzeń mobilnych, które nie są skonfigurowane do obsługi bezpiecznego głosu”, „nie prowadź poufnych rozmów na urządzeniach osobistych, nawet jeśli uważasz, że ich treść jest ogólna”, „używaj wyłącznie oryginalnych przewodów lub akcesoriów do ładowania
zakupionych od zaufanego producenta”, „nie używaj publicznych stacji ładowania USB”.

Te rady NSA zdają się potwierdzać pewne obiegowe opinie, czasem uznawane za teorie spiskowe czy przesadę, w którą wpadają „ludzie z bzikiem na punkcie bezpieczeństwa”. Sami sobie odpowiedzmy, czy to przesada, czy jednak nie.

Mirosław Usidus

 

Pozostałe artykuły
Wiek to tylko liczba. Dlaczego stare języki programowania nie odeszły i mają się całkiem nieźle? Wiek to tylko liczba. Dlaczego stare języki programowania nie odeszły i mają się całkiem nieźle?
Mające po kilkadziesiąt lat języki programowania takie jak Fortran (1) i Cobol wciąż są używane i w wielu okolicznościach wręcz niezbędne. Najciekawsze, że nowe obszary, w tym ...
0
Pogoda w telefonie Pogoda w telefonie
Która aplikacja pogodowa sprawdza się najlepiej na co dzień? Przyglądamy się popularnym rozwiązaniom oferującym prognozy krótko- i długoterminowe, radary opadów oraz alerty o zmianach ...
0
Mobilni tłumacze w podróży Mobilni tłumacze w podróży
Mobilne aplikacje do tłumaczeń potrafią dziś znacznie więcej niż tylko przekładać pojedyncze słowa. Oferują tryb offline, rozpoznawanie mowy i tekstu ze zdjęć, rozmówki, gry językowe ...
0
Co wie o tobie ciemna strona? Dostęp do Dark Web przez Google dla każdego Co wie o tobie ciemna strona? Dostęp do Dark Web przez Google dla każdego
Przydatna funkcja bezpieczeństwa, która wcześniej wymagała subskrypcji usłu-gi Google One, zostaje udostępniona wszystkim użytkownikom za darmo. Ozna-cza to, że od lata 2024 roku użytkownicy ...
0