Nemylte se: Profesionální a různými státy sponzorovaní kyberzločinci se snaží zkompromitovat vaši identitu – ať už doma, a ukrást vaše peníze, nebo v práci, a ukrást peníze vašeho zaměstnavatele, citlivá data nebo duševní vlastnictví.
Většina uživatelů už má při používání internetu zažité základy počítačového soukromí a zabezpečení včetně používání protokolu HTTPS a dvoufaktorové autentizace, kdekoli je to možné. Také kontrola na webu haveibeenpwned.com pomůže ověřit, zda nebyly e-mailové adresy či uživatelská jména a hesla zkompromitované známým útokem.
V současné době by však uživatelé počítačů měli jít daleko nad rámec zpřísnění svých nastavení na účtech sociálních médií. Bezpečnostní elity používají řadu programů, nástrojů a specializovaného hardwaru k zajištění maximální ochrany svého soukromí a zabezpečení.
Podívejme se na tyto sady nástrojů počínaje těmi, které poskytují nejširší bezpečnostní pokrytí a konče specifickými aplikacemi zaměřenými na konkrétní účely. Použijte libovolné nebo třeba i všechny tyto nástroje k ochraně svého soukromí a zajištění nejlepšího možného zabezpečení počítače.
Bezpečné zařízení
Dobré počítačové zabezpečení začíná ověřenou ochranou zařízení včetně bezpečného hardwaru a ověřeného a kontrolovaného způsobu spouštění. Pokud se s čímkoli z toho mohlo manipulovat, potom neexistuje způsob, jak by bylo možné důvěřovat aplikacím na vyšší úrovni, nehledě na neprůstřelnost jejich kódu.
Vítá vás skupina důvěryhodné výpočetní techniky – TCG (Trusted Computing Group). Podporují ji společnosti jako IBM, Intel, Microsoft a další. Skupina TCG pomáhala vytvořit otevřená a na standardech založená počítačová zařízení a způsoby spouštění.
Nejpopulárnější z nich jsou čip TPM (Trusted Platform Module) a pevné disky s interním šifrováním. Vaše zkušenost se zabezpečenou výpočetní technikou tedy začíná u TPM.
TPM. Čip TPM poskytuje bezpečné kryptografické funkce a úložiště. Ukládá privátní klíče procesů na vyšší úrovni a umožňuje uložení šifrovacích klíčů nejbezpečnějším možným způsobem pro běžné počítače.
Díky TPM mohou počítače ověřit své vlastní procesy spouštění počínaje úrovní firmwaru. Téměř všichni výrobci počítačů nabízejí modely s čipy TPM. Pokud je vaše soukromí rozhodující, budete chtít, aby váš počítač používal čip TPM.
UEFI. Universal Extensible Firmware Interface (UEFI) je otevřený standard specifikace firmwaru, který nahrazuje mnohem méně bezpečné čipy s firmwarem BIOS. UEFI 2.3.1 a jeho novější verze umožňují výrobcům zařízení „uzamknout“ v zařízení originální kód firmwaru, takže se všechny budoucí aktualizace musejí podepsat a ověřit, aby bylo možné firmware zaktualizovat.
BIOS lze naopak poškodit pomocí minimálního počtu škodlivých bajtů, které udělají ze systému nepoužitelnou „cihlu“, kterou dokáže opravit jen výrobce. Bez UEFI lze nainstalovat důmyslný škodlivý kód, který může obejít všechny bezpečnostní ochrany vašeho operačního systému.
Pokud ale máte BIOS, neexistuje žádný způsob, jak by ho bylo možné upgradovat na UEFI.
Zabezpečené spouštění operačního systému. Váš operační systém bude potřebovat procesy sebekontroly, které zajistí, že nedošlo ke kompromitaci jeho spouštěcího procesu.
Počítače s UEFI (v.2.3.1 a novější) mohou použít proces UEFI Secure Boot k zahájení důvěryhodného procesu spouštění. Počítače bez UEFI mohou mít podobnou funkci, ale je důležité vědět, že pokud nemají hardware a firmware vestavěny potřebné mechanismy sebekontroly, nelze operačnímu systému na vyšší úrovni důvěřovat.
Bezpečné úložiště. Jakékoli zařízení, které používáte, by mělo mít ve výchozím stavu šifrované úložiště. Platí to jak pro úložiště primární, tak i pro úložná zařízení s výměnnými médii.
Lokální šifrování výrazně ztěžuje fyzické útoky na zjištění vašich osobních dat. Mnoho současných pevných disků dokáže samo kódovat svůj obsah a spoustu dodavatelů operačních systémů (včetně firem Apple a Microsoft) nabízí softwarové šifrování disků.
Mnoho přenosných zařízení nabízí šifrování celého zařízení již po vybalení z krabice. Neměli byste používat zařízení s operačním systémem bez možnosti šifrovat úložiště ve výchozím stavu.
Dvoufaktorová autentizace. Dvoufaktorová autentizace (2FA) se rychle stává nutností v dnešním světě, kde dochází každý rok ke krádežím stovek milionů hesel. Pro webové stránky, kde ukládáte své osobní informace či e-maily, vyžadujte 2FA, kdykoliv je to možné.
Pokud vaše výpočetní zařízení podporuje 2FA, zapněte ho. V případě požadavku 2FA je zajištěné, že útočníkovi nestačí jednoduše odhadnout nebo ukrást vaše heslo.
(Všimněte si, že použití jediného biometrického faktoru, jako je například otisk prstu, není ani zdaleka tak bezpečné jako 2FA. Je to právě druhý faktor, který přináší sílu.)
2FA zajišťuje, že útočník nemůže získat vaše přihlašovací pověření phishingem tak snadno, jako kdybyste používali jen heslo. Dokonce i když získají vaše heslo nebo PIN, budou stále ještě muset získat druhý přihlašovací faktor: biometrickou vlastnost, USB zařízení, mobilní telefon, čipovou kartu, zařízení, čip TPM atd. Už se to samozřejmě také povedlo, ale je to výrazně náročnější.
Uvědomte si však, že pokud útočníci získají úplný přístup k databázi, která ověřuje vaše přihlášení pomocí 2FA, budou mít přístup nejvyššího správce potřebný pro přístup k vašim datům bez potřeby vašich přihlašovacích údajů 2FA.
Uzamčení přihlašovacího účtu. Každé zařízení, které používáte, by se mělo samo zamknout po určitém množství neplatných přihlašovacích pokusů. Tento počet není důležitý. Jakákoliv hodnota mezi 5 a 101 je dost rozumná, aby zabránila útočníkovi hádat heslo či PIN.
Nižší hodnoty však mohou způsobit, že neúmyslně iniciovaná přihlášení vyvolají uzamčení zařízení.
Vzdálené vyhledání. Ztráta nebo odcizení zařízení je jednou z nejčastějších příčin úniku dat. Většina dnešních řešení (nebo operačních systémů) má funkci vyhledání ztraceného či odcizeného zařízení.
Tato funkce však často není ve výchozím nastavení aktivována. Existuje mnoho příkladů ze života, kdy lidé dokázali najít svá zařízení u zlodějů pomocí softwaru pro vzdálené vyhledání.
Samozřejmě že by se nikdo neměl pokoušet o konfrontaci se zlodějem. Vždy by se měla záležitostí zabývat policie.
Vzdálené nevratné smazání. Pokud nemůžete najít ztracené nebo odcizené zařízení, je nejlepším způsobem vzdáleně nevratně vymazat veškerá osobní data. Ne všichni dodavatelé umožňují vzdálené nevratné smazání, ale mnoho z nich ano včetně společností Apple a Microsoft.
Při aktivaci zajistí zařízení, které je, doufejme, již zašifrované a ochráněné proti neautorizovanému přihlašování, buďto smazání veškerých osobních dat po určitém počtu neúspěšných pokusů o přihlášení, nebo tento příkaz dostane při svém příštím připojení k internetu (pokud jste zadali příkaz, aby se smazalo).
Vše výše uvedené tvoří základ pro celkově bezpečné výpočetní prostředí. Bez mechanismů ochrany firmwaru, spouštění a úložiště nelze skutečně bezpečné výpočetní prostředí zajistit. To je však jen začátek.
Bezpečná síť
Nejvíce podezíraví praktici počítačového zabezpečení chtějí zabezpečit všechna síťová připojení, která používají. A všechno to začíná sítěmi VPN.
Bezpečné sítě VPN. Většina z nás zná sítě VPN, protože se jejich pomocí vzdáleně připojují do naší práce. Podnikové sítě VPN poskytují bezpečné připojení ze vzdálené lokality do podnikové sítě, ale často nenabízejí žádnou nebo jen omezenou ochranu pro jiná místa v síti.
Mnoho hardwarových zařízení a softwarových programů vám umožní používat zabezpečené sítě VPN bez ohledu na to, kam se připojujete. Tato zařízení či programy zajišťují šifrování vašeho připojení k síti, mezi vaším zařízením a cílovým místem, pokud je to možné.
Nejlepší sítě VPN skrývají informaci o vaší adrese a náhodně směrují vaše připojení tunelem s mnoha dalšími zařízeními, takže je pro odposlech těžší zjistit vaši identitu a místo.
Nejpoužívanější bezplatná a bezpečná služba VPN je v současné době Tor. Pomocí prohlížeče s podporou Toru jsou všechny vaše síťové přenosy směrované přes náhodně vybrané mezilehlé uzly a provoz je v maximální možné míře šifrovaný. Na Tor spoléhají desítky milionů lidí, takže vzniká přiměřená úroveň ochrany soukromí a bezpečnosti.
Tor však má mnoho dobře známých slabých stránek, takových, jaké se jiná bezpečná řešení VPN (jako např. MIT Riffle nebo Freenet) pokoušejí vyřešit. Většina z těchto pokusů je však více teoretická, než že by docházelo k nasazení (například Riffle), nebo vyžadují volbu exkluzivní účasti kvůli většímu zabezpečení (např. Freenet).
Freenet se například připojuje jen k dalším zúčastněným uzlům Freenetu (v režimu „darknet“), ale o tom víte předem. V tomto režimu se nelze připojit k jiným lidem a místům mimo Freenet.
Anonymizační služby. Anonymizační služby, které mohou, ale také nemusejí poskytovat VPN, jsou prostředníkem, který dokončuje síťové požadavky jménem uživatele. Uživatel tak svůj požadavek na spojení nebo připojení prohlížečem odešle na anonymizační server, který dotaz dokončí, získá výsledek a pošle ho zpět uživateli.
Každý, kdo se bude snažit odposlouchávat komunikaci u cílového místa, bude pravděpodobně neúspěšný a nepodaří se mu dostat se dále než k anonymizačnímu serveru, který skrývá informace o původci. Na internetu existuje mnoho anonymizačních služeb.
Některé anonymizační servery ukládají informace a některé byly zkompromitované nebo přinucené zástupci zákona poskytnout informace o uživatelích.
Nejlepším řešením pro ochranu soukromí je vybrat si anonymizační server jako například Anonymizer, který neukládá informace na dobu delší, než je aktuální požadavek. Další populární komerčně zabezpečenou službou je HideMyAss.
Anonymizační hardware. Někteří lidé se pokusili usnadnit používání Toru a na Toru založené anonymity pomocí speciálně nakonfigurovaného hardwaru. Oblíbený produkt je třeba Anonabox, což je přenosný směrovač pro Tor, který nabízí rozhraní Wi-Fi a podporu VPN. Namísto nutnosti konfigurovat Tor ve svém počítači či jiném zařízení můžete jednoduše použít Anonabox.
Zabezpečené sítě VPN, anonymizační služby a anonymizační hardware mohou významně zlepšit vaše soukromí zabezpečením vašeho připojení k síti. Je zde ale jedno významné upozornění: Žádné zařízení ani služba nabízející zabezpečení a anonymitu neprokázaly, že jsou stoprocentně bezpečné.
Odhodlaní protivníci a lidé s neomezenými prostředky zřejmě dokážou odposlouchávat vaši komunikaci a zjistit vaši totožnost. Každý, kdo používá zabezpečené sítě VPN, anonymizační služby nebo anonymizační hardware, by měl komunikovat s vědomím, že jednou může dojít ke zveřejnění jeho komunikace.
Příště se podíváme na to, jak vhodně chránit pomocí různých aplikací.
Tento příspěvek vyšel v Security Worldu 3/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.