in World Wide Web

Bezpečne na internete

V poslednom čase sa mnohým mojim známym niekto snažil dostať alebo v horšom prípade aj dostal do Gmailu. Pre niektorých ľudí sa to môže zdať bezvýznamné ale berte na vedomie, že na jeden účet od Google zvyčajne máte napojené aj iné služby. Napríklad zoznam kontaktov s emailom, telefónnym číslom a adresou máte vo svojom Gmail účte, prípadne ho máte napojený na svoj Android telefón. Tieto osobné údaje môže útočnik speňažiť alebo iný spôsob zneužiť Váš email na rozosielanie spamu až kým sa Vaša adresa nedostane do zoznamu spamlistu a odrazu nikto od Vás nedostane mail. Preto je dobre ovládať niektoré základné pravidla počítačovej bezpečnosti.

Prihlasovanie sa

Veľmi kľúčová činnosť internetovej aktivity je prihlasovanie sa na webstránku (alebo FTP, alebo na iné konta). V tejto časti prihlasovania si dôkladne skontrolujte miesto, kde zapisujete www adresu (Adress Bar). Malo by obsahovať na začiatku textu https (napríklad: https://mail.google.com) alebo aspoň zelený prúžok, prípadne zobrazenú ikonu visiaceho zámku.

Google_Account_Chrome

Bezpečné prihlasovanie (zelené https)

Bezpečne prihlasovanie je dôležite preto, aby zabránilo útoku man in the middle, kde počítač umiestnený medzi Vaším PC a serverom môže ľahko získať  heslo, ktoré je medzi počítačmi posielané nešifrovane.

Používajte zložité hesla

12345678, password, qwerty, 111111. Koľkým som uhádol heslo? Viem, nie všetkým. Ale toto sú len niektoré z najviac používaných hesiel na internete. Zoznam svetovo najviac používaných hesiel nájdete v článku na živé.sk a ak sa budete  snažiť isto nájdete aj odkazy na najviac používané heslá na Slovensku. A čo to znamená? Jeden z možných útokov je dictionary attack, pri ktorom útočník použije slovník najviac používaných hesiel (slov), ktoré špeciálny program postupne skúša. Je to jednoduchšie ako hesla skúšat metódou brute-force attack, kde sa postupne podľa stanovených pravidiel generuje nové slovo – heslo a skúša sa.

Dobré heslo by malo samozrejme obsahovať znaky zložené ako veľkých tak aj malých písmen, číslice ale aj špeciálne znaky. Z matematiky viete, že čím máte viac možnosti tým je ťažšie zistiť heslo. Je ľahšie zistiť heslo pozostávajúce zo štyroch číslic, kde číslice sú od nuly po deväť ako osem miestne pozostávajúce z písmen od “A” po “Z” a ešte ťažšie, ak máme na výber aj “A” až “Z” a “a” až “z”. Ako dobrý príklad poslúži heslo: vT4N2prrn/*WgEw?eys9+K4rmsjt alebo v*Er6Hk2:duPtQ.

Bezpečné a ťažké heslo

Bezpečné a ťažké heslo

Na vytvorenie hesla môžete použiť aj rôzne generátory hesiel. Na obrázku je príklad generovania hesla programom 1Password, ktorý mimochodom aj používam na všetkých svojich zariadeniach.

Rôzne hesla pre rôzne weby

Nebezpečenstvo spočíva aj v používaní všade rovnakého hesla. Len si predstavte, že používate iba jeden kľúč. Od bytu, od auta, od skrinky v škole. Ak stratíte kľuč od školskej skrinky, ľahko sa niekto môže dostať do Vášho bytu. To isté platí aj pri používaní jediného hesla. Aj keď sa bezpečne prihlásite, nikde nie je zaručené, že každý web je zabezpečený. Čo ak to fórum, ktoré navštevujete hesla neukladá šifrované a čo ak sa práve sa rozišli s adminom v zlom? Kde máte zaručené, že on nepoužije práve získané heslo s Vašim registrovaným emaiom na to, aby sa dostal do Vášho mailu alebo iného Vášho účtu.

Mimochodom, už je to celkom bežné, že unikne databáza s heslami z rôznych služieb. Stalo sa to Yahoo, LinkedIn, Twitter, môže sa to stať na každom webe. Je iba otázka času, kedy sa stanete obeťou práve Vy.

Neukladajte hesla do internetového prehliadača

Človek je tvor lenivý a preto hľadá spôsoby, ako robiť menej. Niekedy je výsledok v podobe nezadávania hesla, ale jeho uloženia do internetového prehliadača. Ale ak viete kde tento prehliadač ukladá hesla, postačí niekoľko minút (v prípade skriptu aj sekúnd) a zoznam hesiel máte skopírovaný. Poviete si no a čo, veď ich treba rozlúštiť. Ale nie, netreba, stačí použiť rovnaký prehliadač, kde nakopírujete súbor s heslami do rovnakého priečinku z kade ste ho získali a hesla máte ako na dlani.

Neprihlasujte na neznámych počítačoch

Nikdy sa neprihlasujte na počítači, ktorému nemôžete úplne dôverovať. Nikdy. Ani v škole. Ani v našej škole. Ani ja nedôverujem počítačovej sieti v našej škole. Jednak keď máte neznámu sieť, nikdy neviete predísť útoku man in the middle a ak je to neznámy alebo verejný počítač nikdy neviete, či niekto nenainštaloval do počítača keylogger. A ani ho nemusel nainštalovať. Keylogger môže byť aj hardvérový a proti takému sa je veľmi ťažko brániť. Odporúča sa nezadávať heslo v správnom poradí, najprv zadáte napríklad posledne 3 písmena vášho hesla, potom myšou sa presuniete na začiatok zadávania hesla (myšou preto, lebo keylogger zaznamenáva iba stlačenie kláves, nie pohyb myšou) a zadáte zvyšok hesla. V takomto prípade sa heslo do keyloggera uloží v zmenenom poradí.

Používajte výlučne iba šifrované spojenie

Posledným bodom budem nadväzovať na hneď prvý bod, kde som popísal, aby ste používali šifrované spojenie pri prihlasovaní. Ale teraz budem tlačiť na Vás, aby ste ho používali vždy, hlavne ak ste prihlásený. Mnoho webov funguje tak, že po prihlásení sa presmerujú na nešifrovaný web. Heslo máte chránené ale nemáte chránené session ID, ktoré sa prenáša nešifrovane a dokáže ho takmer hocikto (kto vie ako) zistiť. Session ID je identifikácia spojenia medzi PC a serverom. Je to niečo ako  číslo spojenia. Ak toto číslo získate a použijete vo svojom PC môžete sa dostať do zobrazeného webu inej osoby až kým sa dana osoba neodhlasí a tým sa znefunkčni session ID.

Ako dobrý príklad ako to funguje poslúži doplnok do prehliadača Firefox s názvom Firesheep. Po jeho nainštalovaní sa objaví v ľavo lišta so zoznamom všetkých ľudí prihlasených na rôzne weby ako je Gmail alebo Facebook.  Sú to všetky účty, ktoré nie sú prihlásené cez bezpečné pripojenie (https).

Varovanie : Hore uvedené video je plne funkčné ako aj modul Firesheep. Jeho použitie je iba na vzdelávacie účely, na overenie si, že je to pravda. V žiadnom prípade ho nezneužite inak Vám hrozí trestné stíhanie !

Záver

Netuším, koľkých z Vás som presvedčil starať sa aj o digitálnu bezpečnosť no dúfam, že minimálne posledný príklad je dostatočne odstrašujúci na to, aby ste sa o túto problematiku zaujímali. Je bežné mať doma bezpečnostné dvere alebo auto s airbagom ale veľmi malé percento ľudí sa zaujíma o svojú internetovú bezpečnosť a to v čase, kde veľké množstvo komunikácie (napríklad aj s bankou) prebieha cez internet.

Pridaj komentár