Paranoikovy základy bezpečnosti

Vzhledem k tomu, že z mnoha různých důvodů využívám několik počítačů na dvou různých platformách, musel jsem postupem doby vyřešit problém se synchronizací dat a bezpečností jejich předávání. Sepsal jsem si pár věcí, které mi přijdou jako naprostý základ „bezpečnosti práce“ v online prostředí, ve kterém 4/5 dat leží v cloudech.

Šifrované disky

Jak jsem psal výše, dostal jsem se do stavu, kdy se během dne pohybuji na mnoha místech a na více pracovních stanicích. Zvykl jsem si mít v kanceláři pevný počítač, protože mě neskutečně rozčiluje připojování periferií k notebooku. Vzhledem k tomu, že například domácí počítač využíváme s Andulkou oba, rozhodl jsem se na něj nainstalovat Windows 10, ač používám primárně OS X. Postupně jsem dospěl do stavu, kdy neexistuje stroj, na kterém bych neměl systémový disk SSD, tzn. padl poslední důvod k obavám z rychlosti práce s daty. V současné chvíli tedy neexistuje jediný stroj, na jehož disku by data nebyla šifrována. Vzhledem k tomu, že 2 z těch zařízení jsou notebooky (jeden s OS X a druhý s Windows 10, to je takový ten co s sebou vozím když hrozí, že by mohl spadnout ze skály), je to dokonce nezbytné! Možná se ptáte proč… Představte si situaci, kdy vám někdo notebook ukradne. Vyndá z něj disk, připojí ho ke svému počítači, z vašeho nešifrovaného disku si přečte přihlašovací údaje do vašich služeb, a je vymalováno…
Ať už se jedná o FileVault (OS X) nebo Bitlocker (Windows), je to dnes první věc, kterou aktivuji po čisté instalaci nového OS.

Dvoufaktorová autentizace

Většina cloudových služeb, které uchovávají jakákoliv data osobního charakteru, dnes nabízí možnost zapnutí dvoufaktorové autentizace. Jedná se o to, že vám k přihlášení nestačí pouze uživatelské jméno (e-mail) a heslo, ale je nezbytné potvrdit přihlášení nějakým dalším způsobem, ať už se jedná o SMSku, e-mail nebo kód vygenerovaný specializovanou aplikací pro mobilní telefony. Pokud by došlo k tomu, že vám někde utečou přihlašovací údaje například k Gmail, jsou útočníkovi stejně k ničemu. Navíc, pokud se bude snažit přihlásit, dozvíte se to díky SMSce s číselným kódem, která vás na to upozorní.
Pokud to online služba umožňuje, okamžitě u ní zapínám dvoufaktorovou autentizaci.

Password manager

Je tomu cca 6 let, co jsem začal pro správu hesel používat 1Password. Principem takového řešení je to, že si hesla pro všemožné registrace necháváte vygenerovat za pomoci rozšíření do prohlížeče, a následně je v šifrované podobě ukládáte do tzv. klíčenky. K té pak přistupujete pomocí tzv. Master password, které si jako jediné pamatujete, a necháváte password manager doplňovat hesla do webových stránek či aplikací, které to umožňují. Většina lidí používá rámcově 1–5 hesel, které vyplňují do typově podobných služeb. Rizikem takového chování je to, že pokud dojde u jakékoliv služby k úniku citlivých dat, může se stát, že se vám kdokoliv přihlásí i jinam (například e-mailu) za pomocí stejného hesla, jaké bylo ukradeno. Já sám mám v současné chvíli ve 1Password uložených cca 500 hesel, u kterých neexistuje duplikace – pro každou službu mám vygenerované samostatné heslo. Pokud by došlo ke kompromitaci služby jako Steam, nijak se to nedotkne jakéhokoliv dalšího přístupu.
Osobně znám jen dvě hesla – heslo k primárnímu e-mailu (hodí se si ho pamatovat) a master password do klíčenky.

Vlastní VPN servery

VPN server je jednou z těch věcí, u kterých už to chce alespoň trochu znalostí dané problematiky. Přesto si myslím, že jste schopni najít ve svém okolí někoho, kdo vám takovou věc dokáže zařídit či nastavit. Spousta domácích routerů umožňuje zapnutí VPN serveru na pár kliků, pokud máte například doma připojení s pevnou IP adresou či router s DDNS službou, není co řešit.V podstatě se jedná o to, že pokud se připojuji z jakéhokoliv místa s nezabezpečenou wi-fi sítí (a že jich stále je!), je takové připojení extrémně náchylné na odcizení dat během komunikace mezi vaším počítačem (mobilem) a wi-fi routerem. V takovém případě se vždy připojím šifrovaným spojením na svůj VPN server, který mi pro takový účel poskytne jeho vlastní IP adresu (pro koncový web/e-mail tedy vypadám, jako bych se připojoval například z domova).
Má online komunikace je na veřejných sítích díky připojení na vlastní VPN šifrovaná a složitě odposlechnutelná pro případného útočníka.

Maily za SSL/TLS

Ač mi přijde, že tohle je věc, která by se měla učit na základní škole, spousta lidí nemá sebemenší tušení, že je něco takového možné. Pokud používáte pro přístup k e-mailu například Outlook nebo Thunderbird, na mobilních zařízeních třeba Mail v iOS, zkontrolujte nastavení přístupu ke své e-mailové schránce. Většina klientů dnes naštěstí při automatické konfiguraci sama volí připojení přes SSL (většinou port 993) a odesílání přes autentizované SMTP s TLS, ale pokud nepoužíváte Gmail a e-mail vám nastavoval sousedův syn, protože ten přeci počítačům rozumí, nebyl bych si jistý tím, že udělal co měl.
Neexistuje, abych se k něčemu tak citlivému jako je e-mail připojoval bez šifrovaného spojení.

Předávání hesel

Čas od času se může stát, že musíte někomu předat heslo k nějaké službě (například kolegovi v práci). V případě, že se rozhodnete sdělit mu heslo jinak než osobně, rozhodně doporučuji využít víc komunikačních kanálů (například login sdělit po telefonu, e-mailem poslat pouze heslo bez uvedení toho, k jaké službě patří – tzn. do předmětu nepsat „heslo do banky“).
V případě, že by se někdo dostal k samotnému heslu, je mu v podstatě k ničemu, pokud neví kam s ním.

Edit (5.5.2016, 13:40): Veškeré zásady bezpečnosti začínají a padají na tom, že NIKDY nesmíte opustit nezamčený počítač například v práci nebo v kavárně. Jakmile se vzdalujete od jiného počítače, než je ten pevný domácí, zamykejte svou přihlášenou session!

PS: Většinu informací z tohoto článku jste možná už někde četli, chtěl jsem si je jen někam odložit, až budu zase někomu někdy vysvětlovat, proč se podle mě chová jako nezodpovědný blbec.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *