Právě vychází závěrečná řada skvělého hackerského seriálu Mr. Robot, tak mě v této souvislosti napadlo napsat něco málo o zabezpeční dat.
Zabezpečit firemní data je a vždy byla nutnost. Experti dnes stále častěji radí zadávat složitá hesla, která se špatně pamatují. Musíte si je pak někam napsat, takže nejsou úplně v bezpečí. Heslo byste měli mít „fyzicky“ zapsané jenom a pouze ve své hlavě. Jaká jsou rizika a jak se bránit?
Největší rizika
Značně nebezpečné je napadení ransomwarem, tedy máte-li v počítačích cenná data, jako například 3D modely zařízení, výrobní výkresy, tabulky, účetnictví, databáze apod. Když se útočníkům podaří vlámat se do systému, spustí program, který zablokuje přístup do počítače nebo zašifruje všechny soubory a nechají u každého vzkaz, že je rozšifrují až když jim zaplatíte. Přirozeně nemáte jistotu, že nebudou chtít víc peněz (a potom to stejně nerozšifrují). Vtipné je, že ani nejlepší anitivir se sám nenastaví tak, aby data proti tomuto typu útoku ochránil automaticky. Například v Avastu se musí ručně nastavit složky, které chcete chránit. Nevíte-li o tom, o data přijdete i když máte zaplacený a aktualizovaný antivir. V některých případech již profláknutých ransomware lze data rozšifrovat, ale také to bude něco stát.
Stejně nebezpečné může být, dostane-li se do počítače keylogger (spyware) nebo něco podobného. Tento typ útočného software je však většinou antivirů snadno detekovatelný. Vir, který zaznamenává co vyťukáváte na klávesnici a odesílá to spolu se screenshoty vaší činnosti, lze detekovat i heuristicky, odhadem. Hesla dnes však má většina lidí uložená „bezpečně“ přímo v prohlížečích, protože komu by se chtělo heslo pracně pořád dokola vkládat, takže když se někdo dostane do vašeho počítače, nemusí čekat až heslo vyťukáte, prostě si zkopíruje profil ze složky „C:\Users\[váš účet]\AppData\Local\Mozilla\Firefox\Profiles“ nebo „C:\Users\[váš účet]\AppData\Local\Google\Chrome\User Data“ do svého počítače a má všechna vaše uložená hesla.
Malware se do systému dostane téměř vždy chybou uživatele – nedodržováním základních bezpečnostních návyků. Najde se hodně pitomců, kteří otevřou a spustí přílohu od neznámého odesilatele, nebo kliknou na odkaz v podezřelém emailu. Klikat na návnady může jen úplný počítačový negramot nebo idiot a to vy předpokládám nejste, takže nejzákladnější věci zde rozebírat nebudu.
Horší je, že se mohou do počítače dostat infekce například při předávání dat z flash karty nebo přes LAN. Ve výchozím nastavení mají totiž Windows zapnuté automatické přehrávání médií. Nechápu, který vůl tohle vymyslel a proč. Asi kvůli značnému množství negramotů, kteří neví jak se dostat na flashku nebo na DVDčko, když je vloží do počítače. Funkci automatické přehrávání médií je dobré preventivně vypnout. Je zbytečná a řekl bych vyloženě pro debily. Jak na to si najděte přes Google. (Omlouvám se, že se vyjdadřuji poněkud obhrouble, ale potřebuji už nějak ventilovat rozčarování z přirozené lidské blbosti, která se zdá být už úplně všude. Je mi z toho nedobře.)
Nemáte-li vysoce cenná data, mělo by stačit nechat pravidelně aktualizovat antivirový software a nic zlého se do systému pravděpodobně nedostane. Pokud však máte něco, na co by mohla mít nějaká organizace velký zálusk a vyplatilo by se jim najmout si hackera, který by vytvořil malware na míru, tak je lepší dát si práci s vyšším stupněm zabezpečení a najít si na to specialistu.
Omezení počtu pokusů o přihlášení
Proč si máme nastavovat složitá dlouhá hesla? Protože dnešní relativně rychlé sítě a rychlé počítače mohou „bušit na dveře“ s vysokou frekvencí. Prolomit snadno zapamatovatelné heslo lze potom během několika hodin či dní neustálého „bušení“. U kvalitního systému však lze vždy nastavit práh pro zablokování účtu na určitou dobu dojde-li k zadání chybného hesla. Asi hned namítnete, že se vám po zadání chybného hesla nechce zbytečně čekat několik minut nebo hodin na další pokus. Uvědomte si, že v tomto případě není složité heslo zapotřebí, takže se téměř nikdy nespletete a počet pokusů i čekací dobu lze nastavit rozumným způsobem. Například můžete mít pět pokusů a zablokování účtu na půl hodiny. To je 240 pokusů za den pro potenciálního útočníka. Na slabě zabezpečený účet bez nastaveného prahu by mohl záškodnický software bušit i tisíckrát za sekundu, což představuje několik milionů pokusů o průlom za den. Jistě chápete, že 240 pokusů u zabezpečeného účtu versus 4 miliony u nezabezpečeného je již znatelný rozdíl a těch 240 pokusů za den nemá šanci.
Ve Windows lze prahovou hodnotu pro uzamčení účtu nastavit v editoru místních zásad skupiny. Spouští se příkazem gpedit.msc .
Když už jste v sekci Zásady účtů, můžete přinutit uživatele používat složitější hesla. Typicky musí heslo obsahovat alespoň 6 znaků, musí obsahovat znaky ze tří z následujících kategorií: velká a malá písmena, číslice a především jiné než alfanumerické znaky (například !, $, #, %). Ta poslední podmínka je o trochu účinnější, ale špatně se pamatuje.
Podle mého názoru máte-li zapnuté zásady uzamčení účtu, pak má smysl vynutit složitá hesla jen v případě, kdy se pohybujete v rizikovém pracovišti, kde vám může často někdo zírat na prsty když se přihlašujete. Stačí používat heslo z malých písmen včetně diakritiky, ne zcela běžné, ale dobře zapamatovatelné slovo. Chcete-li mít větší jistotu, vložte někam do toho slova jiný znak než písmeno nebo číslici. Nepatrně silnější heslo pro náš případ je například K0k0ška. Místo ó jsou použité nuly. Nevím jak dlouho by prolomení trvalo přes internet, ale pokud byste tímto heslem měli zašifrovaná důležitá data například na flashce a tu byste ztratili, někdo ji našel a pokusil se přečíst obsah násilně (použitím skriptu, který jednoduše zkouší všechny možné kombinace), pak na běžném počítači by data získal přibližně za hodinu až tři dny.
Množství kombinací a tedy i času nutného na jejich vyzkoušení se zvyšuje řádově s délkou hesla. Podíváte-li se na tabulku na stránce password depot, zjistíte, že heslo z pěti znaků lze prolomit ani ne za jednu sekundu, heslo ze sedmi znaků za 10 minut, z osmi znaků za necelé tři dny, z devíti znaků za 9 let, z 12-ti znaků za 7,5 milionů let. Nejbezpečnější jsou tedy hesla z devíti a více znaků. Má to ale háček. Software pro průlom hesla nejprve používá slovníky, tzn. vyzkouší všechna existující slova a kombinace slov. Teprve potom přichází na řadu hledání kombinací všeho ostatního. Tím se situace poněkud komplikuje. Máte-li například heslo „unbreakablepass“, nebude trvat 1017 roků než dojde k prolomení, ale jen pár týdnů. Záleží na tom, jak moc je software promyšlený. Proč nezkoušet třeba i do délky 20 znaků, byť jen kombinace existujících slov? To určitě musí hackery napadnout. Ale budou útoky dostatečně propracované i v případě snahy o průlom do počítače obyčejných firem nebo běžných uživatelů? Silně pochybuji. Přes 7 znaků nepůjdou. Tolik času na nás nikdo nemá. U většiny uživatelů zašifrují stejně jenom fotky z dovolené, protože nic cennějšího lidé v počítači nemají, takže to s paranoiou strachu z hackerů nemusíme tolik přehánět.
Větší problém je hesly na serverech. Ne každý správce webhostingu dokáže zamezit průniku útočníků k souborům s hesly. I když je programátor tzv. „osolí“ (zakryptuje), útočníci se mohou salt metodu dozvědět a potom hesla ze souboru hromadně vytěží. Pokud se někdy na hostingu kde máte data objevil problém s hromadným únikem hesel, tak je tam lepší používat hesla dlouhá.
Firewall
Možnost „bušit“ na dveře, resp. na určitý port, lze omezit firewallem, kde se definují pravidla pro komunikaci s vnějšími sítěmi. Typicky se dnes ve firewallu nastavují pravidla pro překlad adres (NAT). Přijde-li požadavek na nějaký port, pro který není definované pravidlo, potom se dovnitř do sítě nedostane. Pokud byste firewall neměli nastavený, takže by se z internetu mohly do počítače na vnitřní síti dostat jakékoliv pakety, potom útočníci mohou zkusit například port 3389, který se používá pro přístup na vzdálenou plochu ve Windows. Kdybyste neměli nastavené omezení počtu pokusů o přihlášení, tak by mohli za pár dní či hodin prolomit heslo a získat absolutní kontrolu nad počítačem. Říkáte si, jak by ale mohli zkoušet napadnout zrovna váš počítač? Stačí chvíli prolézat zábavné stránky na internetu. Vaše IP adresa je většinou pro servery viditelná. Běží-li tam i nějaký méně zábavný software, který zkouší otevírat různé porty, můžete mít o zábavu brzy postaráno. A pokud byste se stali například obětí útoku jiné firmy na vaší firmu, není pro ně nic jednoduššího, než zjistit vaší IP adresu z e-mailu, který dostanou v odpovědi na nějaký běžný dotaz. Anonymní IP lze získat používáním Proxy nebo VPN tunelu.
VPN
Řada firem řeší jak zajistit bezpečné připojování svých pracovníků z domova. Nejspolehlivější je Virtual Private Network, čili virtuální privátní síť. Jde o zašifrované spojení, např. z notebooku přes internet do firemního intranetu. Na firewallu se otevře port (přesměruje). Vznikne šifrovaný tunel na VPN server. VPN server běží na intranetu a lze jej tedy ohlídat. Pracovníci potom získají bezpečný přístup k souborům. Jak jsem již naznačil v předchozím odstavci, lze VPN používat i k zajištění anonymity. Útočníci nebudou mít šanci začít bušit na dveře, protože žádné nenajdou. V tomto případě se připojujete k internetu z firmy prostřednictvím VPN serveru třetí strany. Například přes https://protonvpn.com/. Je jen otázkou, jak moc lze těmto poskytovatelům anonymity věřit. Nutné je, aby spojení bylo šifrované.
Zálohování
Dnes je běžné mít ve firmě i doma počítačovou síť s úložištěm, kam se ukládají zálohy. Jenže dojde-li k napadení některého z počítačů, úložiště je potom také snadno napadnutelné a můžete přijít i o zálohy. Je vhodné brát v úvahu riziko fyzického vloupání do objektu nebo riziko požáru. Zdaleka nejúčinnější je mít dvě úložiště, přičemž to druhé úplně jinde. Úložiště Synology jsou cenově dostupná. Lze do nich nainstalovat například Hyper Backup a nechat automaticky vytvářet zálohy mezi úložišti. Přijdete-li ráno do práce a počítače (včetně úložiště) nikde, tak máte alespoň relativně aktuální zálohu dat na jiném místě.
Další možností je vypalovat DVD a ukládat je na bezpečné místo. Je však poněkud pracnější. Méně časově otravná je metoda zálohování velkého množství dat na disk, který se zapíná pouze v momentě, kdy provádíte zálohu. Stačí-li vám vytváření takových záloh třeba jenom jednou týdně, potom jde o celkem dobré řešení. Budete-li však disk nosit z firmy s sebou, potom by měla být data zašifrovaná. Je snadné disk ztratit. Najde-li jej nějaký chytrák, může si zkusit přivydělat prodejem dat konkurenci.
Řada uživatelů si vystačí i cloudovými službami. Zvídavější uživatelé využívají k ukládání fotek z dovolené třeba Google Drive (Disk). Fotky už ani nedávají k sobě na disk a uploadují je rovnou z mobilu do úložiště Googlu.