Kako pogosto zamenjate geslo spletnih storitev, ki jih uporabljate? Ste prepričani, da sumljiva sporočila v e-pošti dovolj dobro prepoznate in se vam phishing ne more pripetiti? Resnica je, da o tem, kako res varno ravnati pri svojih aktivnostih na svetovnem spletu in z napravami, povezanimi v internet, nikoli nismo tako poučeni, da svojega znanja ne bi mogli še izboljšati.

V svetu kibernetske varnosti so edina stalnica spremembe, pravijo v nacionalnem odzivnem centru za kibernetsko varnost Si-Cert. Če so se nekateri varnostni pristopi zdeli učinkoviti, danes morda ne zagotavljajo več ustrezne zaščite. Zato smo pripravili pregled varnostnih nasvetov, za katere bi bilo najbolj smiselno, da gredo letos v pozabo. Gre za prakse, ki ne ustrezajo več sodobnim varnostnim zahtevam, pravijo v Si-Certu.

Redna menjava gesel

Varnostna politika marsikaterega podjetja še vedno vključuje navodilo, da morajo zaposleni vsake tri mesece menjati gesla, vendar gre to počasi v pozabo. Predlogi smernic ameriškega urada za standardizacijo in tehnologije NIST pravijo, da pogosto menjavanje gesel povzroča le še več zmede pri uporabnikih in ustvarjanje kvečjemu še enostavnejših gesel, ki si jih lahko zapomnijo.

Veliko bolj varen in učinkovit pristop je uporaba upravljalnikov gesel. To so namenske aplikacije za generiranje in shranjevanje gesel ter drugih občutljivih podatkov. Upravljalniki gesel za vsako storitev zgenerirajo močno in predvsem unikatno geslo ter ga nato varno shranijo. Za dostop do vseh gesel si moramo zapomniti le eno glavno geslo, to pa naj bo res zelo dolgo in unikatno.

Namesto gesla raje uporabimo daljšo frazo (passphrase). To so naključne besede, ki med seboj nimajo pomenske zveze, na primer FotosintezaSrečaSonce, ki že v osnovi vsebujejo veliko znakov (več je bolje). Vendar tudi upravljalnik gesel ne ščiti pred vsemi vrstami zlorab, zato je priporočljivo, da kjerkoli je mogoče, sploh pa za pomembne storitve, nastavite večfaktorsko avtentikacijo (MFA).

Kako varna je ključavnica

Ključavnica v naslovni vrstici brskalnika oziroma oznaka https v spletnem naslovu pomeni, da je povezava med brskalnikom in spletnim strežnikom zašifrirana in da nihče na prenosni poti ne more prestrezati vsebine komunikacije. Šifriranje se izvaja s pomočjo šifrirnih ključev v strežniških certifikatih.

Ti včasih niso bili tako dostopni, kot so danes, tako da veliko lažnih spletnih mest ni imelo ključavnice. To je bil precej dober indikator, da je spletna stran, na kateri moramo vpisati svoje geslo, lažna. V današnjem času so strežniški certifikati nekaj običajnega, tako da imajo tako rekoč vse spletne strani, tudi lažne, v naslovni vrstici ključavnico. Nekateri spletni brskalniki niti ne prikazujejo več ključavnice, saj je ta samoumevna.

Vendar gre tu zgolj za zaščito pred prestrezanjem komunikacije in ključavnica ne pomaga, če na drugi strani predora stoji napadalec. Zato lahko rečemo, da je ta nasvet zastarel in ne zagotovi večje varnosti.

Phishing zlahka prepoznamo

Včasih je veljalo, da povezave v lažnih sporočilih vodijo na spletne naslove, ki so drugačni kot naslov legitimne storitve. Na ta način smo lahko hitro ugotovili, ali je povezava prava ali ne. Delno to velja še danes, vendar napadalci čedalje pogosteje v phishing napadih zakupijo domeno, ki je zelo podobna domeni ciljane storitve. Ime domene se lahko razlikuje zgolj po končnici ali po nekoliko drugačnih črkah in besednih zvezah. Uporabniki seveda ne vemo, katere različne domene uporablja neka storitev, tako da smo lahko precej hitro zavedeni in odpremo povezavo, tudi če smo jo prej preverili.

Novo pravilo se tako glasi, da nikoli ne odpiramo povezave v sporočilih (elektronski pošti ali SMS-sporočilih), ki od nas želijo vpis kakršnihkoli podatkov (uporabniška imena, gesla, telefonske številke, predvsem pa finančne podatke). Spletno stran vedno odpremo prek zaznamka v brskalniku, prek aplikacije ali naslov ročno vpišemo.

Težave javnih omrežij wi-fi

Javna omrežja wi-fi so lahko sporna, ker ne moremo vedeti, kdo jih upravlja in kakšni so njihovi nameni. Načeloma lahko kdorkoli postavi omrežje wi-fi, ki ga velikokrat ni mogoče razlikovati od drugega znanega javnega omrežja (na primer v knjižnici, letališču, hotelu).

Če se povežemo na kakršnokoli javno omrežje, se moramo zavedati, da lahko naš omrežni promet spremljajo upravljavci tega omrežja, ti pa imajo lahko tudi škodljive namene. Včasih, ko velik del spletnega prometa ni bil zaščiten prek šifriranih povezav, je to lahko pomenilo veliko težavo, saj so napadalci lahko spremljali in prestrezali vsebino komunikacije.

Vendar v današnjem času tako rekoč vsa spletna komunikacija poteka prek šifriranih povezav med brskalniki in strežniki, tako da tudi če smo povezani v zlonamerno omrežje, je vsa naša komunikacija še vedno varna.

Pozorni moramo biti na morebitna opozorila brskalnika, če nam ta javi napako ali težavo s certifikatom ali če v naslovni vrstici prikaže opozorilo s klicajem. Tako opozorilo lahko kaže tudi na poskus prestrezanja prometa, v tem primeru raje izberimo drugo omrežno povezavo.

Za dodatno raven zaščite lahko poskrbimo tudi sami z uporabo povezav VPN, pri katerih je vsa komunikacija dodatno zašifrirana.

Aplikacije iz uradnih tržnic

Da ne bo pomote. Eden od osnovnih elementov zaščite naprav je, da aplikacije nameščamo le iz uradnih virov – spletnih strani proizvajalcev in uradnih tržnic z aplikacijami (Google Play, AppStore, Microsoft Trgovina). Predvsem za mobilne naprave velja, da aplikacij ne nalagamo iz neuradnih virov, saj te pogosto vsebujejo dodatno škodljivo kodo.

Vendar se lahko zgodi, da je tudi aplikacija, ki jo namestimo iz uradnega vira, škodljiva. Lani je Si-Cert obravnaval primere zelo škodljivih bančnih trojancev za mobilne naprave, ki so bili nekaj časa dostopni v trgovini Google Play. Aplikacije, ki so se predstavljale kot brezplačni pregledovalniki dokumentov PDF, ter aplikacije za čiščenje sistema so vsebovale dodatno kodo, ki je prevzela nadzor nad telefonom in nekaterim uporabnikom izpraznila bančni račun z vdorom v mobilno banko. Včasih se celo zgodi, da napadalci vdrejo v sistem proizvajalca aplikacije, v kodo vstavijo svoj škodljivi program, ki se potem širi prek uradnega vira. Ti napadi spadajo v kategorijo napadov na dobavne verige in so na srečo precej redki. Kljub temu pa se moramo zavedati, da obstajajo.