Menu

Deset bezpečnostních přikázání

Deset bezpečnostních přikázání

Mít bezpečný počítač neznamená jen koupit ten nejlepší antivirový software. Mnohem důležitější je dodržovat základní pravidla bezpečnosti. Prozradíme vám, jak na to.
PETR KRATOCHVÍL 

PETR KRATOCHVÍL
„Dobře nastavená bezpečnostní pravidla nebudou vaši práci nijak brzdit,“ říká Petr Kratochvíl, bezpečnostní specialista Chipu.
 
Pro většinu čtenářů Chipu je počítač nejdůležitějším zařízením doma i v práci. Je centrem zábavy, prostředkem pro správu financí, usnadňuje učení nebo „pomáhá“ s nákupy či zvládnutím domácnosti. Tohoto trendu jsou si vědomi i hackeři, kteří připravují stále sofistikovanější metody, jak vás připravit o peníze nebo důležitá data. I kvůli tomu je stále těžší počítač zabezpečit tak, abyste na něm mohli bez obav pracovat nebo se prostřednictvím něj bavit. Naše doporučení jsme shrnuli do deseti tipů, které vám se zabezpečením pomohou.

1) Sledujte stav svého PC

U člověka lze většinu zdravotních problémů zjistit podle celé řady příznaků, a podobně je tomu i u počítače. Pravidelně proto sledujte stav svého počítače a jakékoliv změny důsledně prověřujte. Startuje počítač o půl minuty déle? Zkontrolujte pomocí nástroje „msconfig“, který software se spouští po startu systému. Čím dál tím častěji se vám při instalaci do počítače snaží dostat různé „vyhledávácí lišty“ nebo „akcelerátory videa“. Při instalaci softwaru tak více než důkladně sledujte, co povolujete a na co klikáte. Stačí přehlédnout malé „zatržítko“, a najednou je váš prohlížeč plný nežádoucích prvků. Začne po několika minutách surfování zuřivě blikat kontrolka disku? Zkontrolujte, jaké doplňky prohlížeče máte nainstalovány a které programy využívají připojení k internetu. Vaší pozornosti by neměla ujít žádná neobvyklá činnost systému a počítače.
Stále také platí rada týkající se záplat: mějte vždy systém a často používané programy v nejnovějším „stavu“. I pro kvalitní bezpečnostní balík je totiž velmi obtížné zabezpečit systém, když jsou kvůli zranitelnému softwaru jeho „okna dokořán“. Mimořádně ostražití byste měli být, pokud například používáte software od Adobe (Acrobat, Flash) nebo Javu: zmiňované produkty jsou totiž častým cílem útočníků. Na „rizikový“ počítač s rozsáhlou softwarovou výbavou doporučujeme nainstalovat Secunia Personal Software Inspector (najdete ho na Chip DVD), který vás na potenciální zranitelnosti upozorní a nabídne vám i řešení bezpečnostní mezery.

2) Předcházejte problémům

Celé řadě problémů sice nelze zabránit (například selhání hardwaru), lze ale minimalizovat jejich dopady. Pro klidnější spaní tak doporučujeme věnovat svému počítači o trochu více pozornosti a těm největším hrozbám předcházet.
Každý z nás má na svém počítači nejen gigabajty zbytečností, ale také nemalý objem toho, o co by rozhodně nechtěl přijít. Je jedno, zda jde o klíčové účty a faktury, fotografie dětí či přátel, nebo důležité kontakty.
Nikomu se pochopitelně nechce pravidelně trávit hodiny zálohováním stovky gigabajtů. Proto doporučujeme shromáždit důležitá data na jednom místě a to zálohovat minimálně jednou týdně. Rozhodně ale nedoporučujeme umístit data do složky „Dokumenty“, neboť právě ta bývá často cílem vybraného malwaru. Záloha by měla mířit vždy na dvě nezávislá média, v ideálním případě na USB flash disk a internetové úložiště.
Technicky zdatnější uživatelé by měli i pomocí programů s podporou technologie S. M. A. R. T. (například Drive Health) pravidelně kontrolovat i stav svého disku. Zájemcům o toto téma doporučujeme například článek „Kouzlení s disky“, který najdete na našem webu v eArchivu.

3) Kvalitní zabezpečení je základ

Ještě před několika lety platilo, že pokud nenavštěvujete rizikové stránky, nestahujete z pirátských webů nebo nehrajete „cracknuté“ hry, antivirový software v podstatě ani nepotřebujete. Tento přístup už ale bohužel nefunguje. Zdrojem nákazy jsou stále častěji i běžné weby, jejichž zranitelnost využijí hackeři k šíření malwaru. Typickou ukázkou útoku tohoto typu byl nedávno známý nizozemský zpravodajský portál (Nu.nl). Ten byl napaden hackery a přibližně hodinu na něm fungoval javascript, který infikoval počítače návštěvníků trojským koněm. Nakaženo bylo přibližně sto tisíc počítačů.
Dalším problémem je, že samotný web ani napaden být nemusí - škůdce se může skrývat v jeho dalších „prvcích“, například v reklamě nebo widgetech. Ty je častokrát extrémně těžké odhalit, protože škodlivý kód se může aktivovat až při splnění specifických podmínek - například u uživatele s vybraným prohlížečem a zranitelnou verzí přehrávače Adobe Flash.
Před těmito hrozbami by vás ale měl ochránit kvalitní antivir nebo (v lepším případě) bezpečnostní balík. Pokud ho z nějakého důvodu nemůžete použít, proskenujte svůj počítač čas od času alespoň pomocí on-line antiviru (jejich test najdete v tomto Chipu na straně 66).

4) Důkladná kontrola

Vzhledem k rychlosti vývoje malwaru a hrozeb fungujících na úrovni rootkitu doporučujeme alespoň jednou za měsíc zkontrolovat počítač z „boot disku“. Tato kontrola je zcela nezávislá na systému a díky tomu se například rootkit nemá šanci skrýt. Výhodou je navíc to, že celá řada těchto nástrojů je k dispozici zdarma - v Chipu jsme vám jejich test nabídli v čísle 7/2010 a zmiňovaný článek najdete i na našem webu v eArchivu.
A jaký nástroj konkrétně zvolit? Pokud potřebujete pouze rychlou a snadnou kontrolu, použijte Kaspersky Rescue Disk 10. Naopak pokud je systém již zavirován a potřebujete například zazálohovat soubory nebo přesunout data na jiné místo, zvolte nástroj Dr. Web LiveCD, který vám kromě klasického antiviru nabídne i další systémové pomocníky.
Nezávislá kontrola má ale i další výhody - například vám umožní odhalit i digitálně podepsaný soubor s virem, který mohou klasické antiviry považovat za bezpečný. Nedávno například výzkumníci z Kaspersky Labs objevili digitálně podepsaný malware určený pro 64bitovou verzi Windows 7 a Vista. Za zmínku také stojí, že pomocí ukradených digitálních certifikátů (od výrobců polovodičů Realtek a JMicron) byl již „podepsán“ Stuxnet.

5) Na internetu přemýšlejte

Celá řada uživatelů je při práci na svém počítači obezřetná, ale jakmile se dostanou na internet a narazí na „něco zdarma“, ihned ztrácí zábrany a zbytečně riskují. Je ale důležité si uvědomit, že „skutečně zdarma a bez rizika“ je na internetu (stejně jako v reálném životě) opravdu jen velmi málo věcí. Základním bezpečnostním nástrojem by tak měl být při surfování váš mozek: nikam nespěchejte, vše si promyslete a zásadně neklikejte na něco, čemu nerozumíte. Slibuje vám někdo za kliknutí na banner výhru nejnovějšího iPhonu? Opravdu vám tento skvělý bezpečnostní nástroj zdarma proskenuje registry systému a zrychlí počítač o 170 %? Nedejte se napálit!
Pokud se opravdu rozhodnete pro použití některého softwaru, stahujte instalační data z prověřených zdrojů (například ze serverů typu Stahuj.cz nebo Slunecnice.cz). Pozor, ani stahování přímo z webu výrobce nemusí být zcela bezpečné. Na počátku tohoto roku jsme se v Chipu zmínili o nástroji na obnovu poškozených dat a tento program i přidali na DVD. O týden později byl web autorů napaden hackery a nejnovější, 64bitová verze programu byla infikována trojským koněm!
To, že mimořádně obezřetní by měli být i uživatelé služeb „zdarma“, dokazuje i příběh známého slovenského serveru DownloadPortal, který stažení freewaru podmiňoval registrací. V rámci ní jste ale „nenápadně“ uzavřeli na dva roky smlouvu s firmou sídlící na Seychelských ostrovech a zavázali jste se jí dva roky platit 6 eur měsíčně.
Podobně zpozornět byste měli i při internetovém nakupování, kdy internetový obchod nebo soukromý prodejce nabízí zboží výrazně pod cenou nebo požaduje platbu předem. V některém z příštích čísel Chipu pro vás připravíme průvodce bezpečným nakupováním, který vám prozradí, jaké triky podvodní prodejci používají.

6) Riziko jen v bezpečném prostředí

Čas od času se pravděpodobně nikdo z nás „rizikovějším akcím“ nevyhne - stáhnete si hudbu či video z „nekorektního zdroje“, vyzkoušíte cracknutou novou hru nebo se zajdete podívat na lechtivé internetové stránky. I přes existující rizika to ale nemusí být pro bezpečí vašeho počítače problém: důležité je, zda tyto „operace“ provádíte s přiměřenou ochranou.
Základem je použití profilu s omezenými právy - pokud jste přihlášeni jako správci, získá potenciální hrozba přístup do celého systému.
Pro surfování lze doporučit použití alternativního prohlížeče (například Operu, kterou najdete na Chip DVD) s vypnutou javou a javascriptem. Nouzovou alternativou může být Firefox s rozšířením „NoScript“.
Ty nejnebezpečnější akce (například zkoušení cracknutého softwaru) doporučujeme provádět pouze ve virtuálním prostředí, kde malware nemůže napáchat žádné škody. Na podezřelé soubory lze navíc doporučit internetové nástroje na kontrolu virů - tzv. file scannery (Jotti.org, Virustotal.com), které skrytý malware odhalí.

7) Na sociálních sítích opatrně

Google+, Facebook, Twitter - sociální sítě na nás útočí z každého rohu. Bavíte se na nich s přáteli, diskutujete s ostatními surfaři, ukládáte na ně fotografie - zkrátka chováte se jako mezi nejlepšími přáteli.
Jenže na sociálních sítích nejsou jen vaši přátelé a ani jejich provozovatelům nejde jen o vaše blaho - jejich cílem je logicky zisk. A vzhledem k tomu, že se Facebook a podobné sítě staly fenoménem, začínají se okolo nich točit opravdu velké peníze, což zároveň láká podvodníky. Na sociálních sítích byste tedy měli být pozorní a neklikat na vše „lákavé“. Dávejte si pozor, koho si přidáváte do seznamu přátel, a při publikování si zkontrolujte, kdo bude mít k informaci přístup. Před několika týdny jsme na Facebooku například narazili (u cizího člověka) na zprávu typu:
Kdo se nám bude starat o pejska? Jedeme na 14 dní na Seychely, sousedi jsou věčně pryč. Poraďte tip na dobrý „psí hotel“.
Vzhledem k tomu, že na základě již dříve zveřejněných údajů nebyl problém zjistit adresu autora zprávy, mohla být tato zpráva výbornou pozvánkou pro bytové zloděje.
Stejně důkladně také na Facebooku kontrolujte, k čemu mají přístup vámi používané aplikace. Nezapomeňte, že přímo v samotném nastavení aplikací se píše: „Aplikace mohou přistupovat k seznamu přátel a k informacím, které sdílíte se všemi…“

8) Finanční operace pod dozorem

Pokud vás v tomto článku nabádáme k opatrnosti, v případě finančních prostředků to platí dvojnásob. Nemusíte sice zacházet do extrému (viz rámeček Nejbezpečnější internetové bankovnictví), ale zbytečné podcenění zabezpečení může být pěkně drahé. Typickou chybou nových a nadšených uživatelů internetového bankovnictví je časté přihlašování z různých lokalit a veřejných Wi-Fi sítí. Jen málokdo si uvědomuje, že tyinzerce to slabě zabezpečené (nebo zcela nezabezpečené) sítě lze velmi snadno „prolomit“ a hacker tak může získat přístup k vašim financím. Pokud přistupujete do banky přes domácí Wi-Fi router, měl by mít aktuální firmware a spojení by mělo být zabezpečeno pomocí WPA2. Ideální ochranou bankovních transakcí je také využití tzv. mTan, kdy je každá operace autorizována pomocí kódu zaslaného na mobilní telefon. To vám (prozatím) zaručí bezpečné uložení vašich financí v bance. Možná se divíte slovu „prozatím“, ale vzhledem k rychlosti vývoje „zlodějských aplikací“ si nemůžeme být do budoucna jisti téměř ničím (více podrobností najdete v tipu č. 10).

9) Šetřete se soukromými údaji

Staré pravidlo říká, že co se jednou na internetu objeví, už z něj nikdy nezmizí - ani pokud to po několika dnech smažete nebo na (diskusním či fotografickém) serveru zrušíte účet. Data už někdo může mít uložena a může je šířit dál. To je důležité si uvědomit, když zveřejňujete citlivé nebo osobní informace, a neplatí to jen pro ženy a dívky, které na internetových seznamkách publikují své lechtivé fotografie!
Stejně rizikové může být „pro pány“ publikování kontroverzních názorů. Nezapomeňte, že pro vaši profesionální budoucnost může být důležité i budování reputace. Během loňského roku se na naši redakci obrátilo několik lidí, kteří potřebovali poradit, jak odstranit „nevhodné texty“ spojené s jejich jménem. Plánovali totiž založit firmu a poněkud kontroverzní informace, které se po zadání jejich jména do Googlu objevily na předních místech, by jejich podnikání příliš nepomohly.
Stejně rizikové může být zveřejnění velkého množství osobních informací - nikdy nevíte, kdo se k nim na internetu může dostat a jak je lze zneužít. Doby prvních nadšenců, kteří na své WWW stránky psali vše včetně rodného čísla, jsou už sice pryč, i v současnosti se ale nezanedbatelný počet lidí na webu „chlubí“ adresou či telefonním číslem.

10) Nepodceňujte mobilní nebezpečí

Mobilní hrozby mají pro většinu uživatelů příchuť mediální bubliny: všude se o nich píše, nikdo je ale na vlastní oči neviděl. Pravda ale je, že hackeři jsou vždy o krok před námi a připravují se na útok na další „lukrativní oblast“. Jen málokdo si totiž uvědomí, jak masivní byl nárůst počtu smartphonů v loňském roce - ve srovnání s rokem 2010 se jich prodalo o 60 % více (celkově téměř 500 milionů). A to už je hodně lákavý cíl. Prozatím si ale hackeři testují své „schopnosti“ na „běžných aplikacích“ - cílem je převážně OS Android. U něj je další výhodou i skutečnost, že do obchodu s aplikacemi může dát bez kontroly svůj software téměř kdokoliv, tudíž pro hackery není problém vytvořit mobilní malware a skrýt ho do libovolného, obvykle zábavného softwaru - typickým cílem jsou hry, filmová či hudební „témata“ nebo horoskopy. Do budoucna však musíme počítat s tím, že se malware objeví i jinde než v „pubertálních aplikacích“. Podle bezpečnostněanalytické firmy Lookout se například hrozba známá DroidDream objevila i v několika skutečně užitečných aplikacích. Google je sice brzy smazal, i tak se ale odhaduje, že byly nakaženy tisíce přístrojů.
Skutečná noční můra se však vynoří, uvědomíme-li si, že stále více bank používá autorizaci pomocí mTan, odeslaných na váš mobilní telefon/smartphone. Odborníci očekávají, že se tímto směrem brzy zaměří i hackeři. To potvrzuje i zpráva zveřejněná na serveru Fortinet, kde je popsán „Zitmo“ (Zeus in the mobile). Pomocí tohoto malwaru lze totiž obejít i zmiňované dvoustupňové zabezpečení pomocí mTan. Prozatím byla zachycena jen verze pro Symbian, je ale otázkou času, než hackeři přijdou i s variantami pro další mobilní systémy.
Jediným prvkem, který prozatím brání masovějšímu rozšíření této nebezpečné hrozby, je komplikovaná forma šíření - pro správné fungování musí být nakažen jak počítač, ze kterého se přistupuje k internetbankingu, tak i smartphone, který finanční transakce autorizuje.
PETR.KRATOCHVÍL@CHIP.CZ


NEJBEZPEČNĚJŠÍ internetové bankovnictví
Pro minimalizaci rizik internetového bankovnictví stačí dodržovat alespoň několik bezpečnostních pravidel. Pokud však chcete mít své finance skutečně 100% v bezpečí, vyžaduje to radikální přístup. Mezi bezpečnostní „extremisty“ patří i jeden z našich redakčních kolegů, který se (bez zveřejnění svého jména) s vámi podělí o své „bezpečnostní řešení“. Tento opravdu náročný přístup ke svým financím vám doporučovat nebudeme, některé prvky jeho zabezpečení ale může v praxi využít kdokoliv. Zde je jeho zpověď:
Své peníze chci mít v bezpečí a pro jejich ochranu udělám cokoliv. Základem mé práce s financemi jsou tři bankovní účty. Na prvním z nich mám většinu svých financí, včetně rezerv. K tomuto účtu nemám „rizikový“ internetový přístup a pro jakoukoliv „operaci“ s ním musím do banky. Z tohoto účtu si každý měsíc přesouvám trvalým příkazem určenou částku na druhý účet, pomocí kterého pokrývám své měsíční „provozní“ náklady a řeším nenadálé výdaje. K tomuto účtu mám přístup pomocí internetového bankovnictví (viz dále), ale nikdy na něm nemám příliš vysokou částku. Poslední, třetí účet využívám pouze pro platby na internetu pomocí karty. Částku potřebnou pro provedení platby na něj ale přesunu z druhého účtu vždy těsně před nákupem.
Pro přístup do banky přes internet mám starší notebook (používám jej pouze k tomuto účelu), na kterém se spouští Linux z DVD (Live distribuce). Počítač má vypnutou Wi-Fi a k internetu se připojuje přes kabel. Adresu webu zadávám ručně, po načtení stránky finanční instituce vždy zkontroluji certifikát, zdroj využívané webové grafiky a prověřím, zda komunikace probíhá přes https.
Přihlašovací údaje zadávám „z hlavy“ (nemám je nikde uložené v elektronické podobě), při prvním přístupu záměrně zadám heslo špatně. Pokud by totiž (i přes veškerou mou snahu o prověření) šlo o web podvodníků, považovali by mé chybně zadané heslo za správné.
Pro zadávání přístupových údajů používám virtuální klávesnici, abych ztížil práci potenciálním keyloggerům. Heslo měním minimálně jednou měsíčně a jeho délka vždy přesahuje čtrnáct znaků.
Pro bezpečnější práci s internetbankingem používám zabezpečení operací pomocí mTAN, kdy je nutné každou důležitou operaci (včetně přihlášení) potvrdit zadáním kódu, který je zaslán pomocí SMS na mobilní telefon. I pro tento účel mám starší mobilní telefon (bez OS), který je používán pouze pro tento účel. Při každé finanční transakci si poznamenám, na který účet a jakou částku odesílám, tyto údaje poté zkontroluji i při obdržení SMS s kódem. Před odhlášením si poznamenám poslední čas přihlášení a zkontroluji IP adresu, ze které k přihlášení došlo.
Možná je můj přístup do banky přes internet trochu komplikovanější, vynaložené úsilí se mi ale vrací v pocitu bezpečí a jistoty, že se z mých financí nebudou radovat hackeři kdesi v Rusku…


NEBEZPEČÍ v jediném čtverečku
Z hlediska zabezpečení vašeho počítače je také důležité „být v obraze“ a mít přehled o nových počítačových hrozbách. Jedině tak se můžete chránit i před novými riziky. Ideální ukázkou tohoto tvrzení mohou být i nebezpečné QR kódy. Na tyto „nenápadné čtverečky“ už můžete narazit téměř všude - v pražském metru lze pomocí nich nakoupit, v letácích lákají na slevové kupony a nedávno jsme je zahlédli i v dětském časopise Mateřídouška.
QR kód je grafický kód skutečně umožňující (jak naznačují písmena zkratky Quick response) rychlou odezvu: kód v podobě čtverce vyplněného grafickými prvky stačí vyfotografovat například mobilním telefonem s integrovanou čtečkou, a jeho obsah je ihned k dispozici. Maximálně může být čtverec veliký až 177 x 177 bodů, díky čemuž do něj lze uložit až 3 000 bajtů. V praxi se používají mnohem menší QR kódy, protože nejčastěji obsahují jen několik desítek znaků - adresu WWW stránky. Uživatel si smartphonem kód vyfotí, a integrovaná čtečka převede kód na adresu WWW stránky, která se v zařízení ihned otevře. Pro uživatele je to rychlé a praktické, z hlediska bezpečnosti jde o velmi rizikovou záležitost - uživatel nikdy neví, na kterou stránku ho QR kód zavede. Může to být jak web obchodu nabízejícího výprodej, tak i stránka obsahující malware. Naštěstí se už začínají objevovat první antiviry (například nový Avast), které vás dokážou ochránit i před touto novou hrozbou.
Pokud ale na svém chytrém telefonu mobilní antivir nemáte, doporučujeme používat jen QR kódy ze spolehlivých zdrojů.


Foto popis |  Nejste si jisti instalačním souborem: Jotti prověří zda neobsahuje malware.
Foto popis |  Bezpečně k penězům: Virtuální klávesnice a u Wi-Fi sítě šifrování WPA.
Foto popis |  Vždy ve střehu: I nenápadná registrace pro stažení freewaru vás může stát tisíce korun…
Foto popis |  Nejlepší kontrola: Dokonalé prověření systému vám nabídne například bootovací disk.
Foto popis |  Nenápadně: Do systému se čas od času vetře například lišta vyhledávače Ask.
Foto popis |  Risk nebo zisk: Donutí vás vidina slevy vyzkoušet neznámý QR kód?