Kategoria | Bezpieczeństwo

10 lekcji z ataku na Michała Dworczyka – czyli co zrobić, żeby tego typu wycieki danych nie spotkały Ciebie

Dodany 25 lipca 2021 przez admin

Na początku czerwca 2021 roku całą Polskę obiegła informacja o cyberataku na skrzynkę mailową szefa Kancelarii Prezesa Rady Ministrów, Michała Dworczyka. W wyniku ataku do wiadomości publicznej trafiła duża liczba wrażliwych informacji państwowych, włączając w to prywatne rozmowy z czwartą osobą w państwie, premierem Mateuszem Morawieckim. Jak nie stać się ofiarą cyberprzestępców? Poniżej poradnik – zarówno dla osób publicznych, prywatnych, ale również przedsiębiorców, którzy coraz częściej w wyniku pracy zdalnej narażeni są na tego typu niebezpieczeństwa.

Jak doszło do samego wycieku danych szefa Kancelarii Rady Ministrów? Tego już najprawdopodobniej nigdy się nie dowiemy, ale możemy założyć, że cyberprzestępcy wykorzystali kilka różnych metod. Najpopularniejszymi sposobami takich ataków jest socjotechnika, wykorzystanie danych uzyskanych z wykradzionych baz haseł oraz luki bezpieczeństwa systemów operacyjnych i oprogramowania.

Tak, czy inaczej, oficjalna informacja potwierdza, że skrzynka ministra została zhackowana. Wyciąganie wniosków na tym etapie jest jednak przedwczesne i portal Niebezpiecznik zaleca w tej kwestii wstrzemięźliwość. “(…)nie oznacza, że wszystkie publikowane przez włamywaczy treści e-maili są prawdziwe lub faktycznie pochodzą z tego źródła. W operacjach dezinformacji celowo miesza się prawdę z fałszywkami.”

Czy możemy z tej rządowej cyberwpadki wyciągnąć jakieś wnioski? Zdecydowanie tak.

1.  Upewnij się, że nie wykorzystujesz tych samych haseł w różnych miejscach

Twoje hasło na pewno jest już w sieci. Możesz się o tym przekonać, korzystając z serwisu o nazwie ‘have i been pwned?’ przechowującym wszystkie hasła, które w wyniku różnych ataków hakerskich wyciekły w przeszłości do internetu. W serwisie możesz wstukać swoje hasło i zobaczyć, w ilu atakach zostało ono wykradzione. Możesz też wpisać swój adres email i sprawdzić, czy hasło do tej skrzynki znajduje się w bazach wykradzionych haseł do nich przypisanych. Jeśli, ani twoje hasło, ani twoja skrzynka nie znalazły się na tej liście oznacza, że masz bardzo dużo szczęścia i należysz do naprawdę nielicznych. Sytuacja może jednak zmienić się w każdym momencie, nie ma bowiem tygodnia, w którym w wiadomościach z branży cyberbezpieczeństwa nie pojawiłaby się informacja o wycieku kolejnej bazy.

Jeśli masz jednakowe hasło do kilku miejsc, haker spróbuje użyć tego ukradzionego, np. podczas ataku na sklep internetowy, aby dostać się też do innych miejsc – do twojej skrzynki mailowej, mediów społecznościowych lub bankowości internetowej. Z punktu widzenia bezpieczeństwa poszczególnej aplikacji, do każdej jednej hasło powinno być inne. Statystyki mówią, że przeciętny użytkownik korzysta miesięcznie z 30 aplikacji. Jeśli dodamy do nich jeszcze aplikacje biurowe oraz internetowe, liczba ta spokojnie może dobić do 50. Z punktu widzenia użytkownika, który powinien stworzyć i zapamiętać 50 różnych haseł jest to więc prawdziwy horror.

2. Używaj menadżerów haseł

Z pomocą przychodzi również menadżer haseł, czyli aplikacja umożliwiająca generowanie silnych haseł i zapamiętywanie ich za użytkownika. Dzięki temu trzeba pamiętać wyłącznie jedno hasło, zamiast wielu. Menadżer zabezpieczony jest wieloskładnikowym uwierzytelnianiem, które daje pewność, że po drugiej stronie komputera znajduje się właściwa osoba.

Niestety, pomimo że menadżer haseł to kolejny krok w kierunku podniesienia bezpieczeństwa w sieci, wciąż może być obiektem ataku. Dlaczego? Ponieważ, jeśli hasła nie zostaną całkowicie wyeliminowane lub wzmocnione drugim składnikiem, zawsze podatne będą na kradzież i wykorzystanie. Stało się tak m.in. w przypadku wycieku firmy Passwordstate, w wyniku którego narażonych zostało 29 tysięcy firm. Z Passwordstate korzysta wiele największych firm na świecie, w tym te notowane w rankingu Fortune 500. Nauczka? Hasła zawsze powinny być wzmocnione dwuskładnikowym uwierzytelnianiem.

3. Włącz dwuskładnikowe uwierzytelnianie wszędzie, gdzie to możliwe

Większość aplikacji komercyjnych umożliwia już wykorzystanie dwuskładnikowego uwierzytelniania, zwanego także silnym uwierzytelnianiem lub wieloskładnikowym uwierzytelnianiem. Pierwsze metody dwuskładnikowego uwierzytelniania powstały wiele lat temu, stąd też bardziej tradycyjne nie są więc już tak skuteczne, jak te bazujące na kryptografii.

Niepodważalnym faktem jest jednak to, że nawet słabe hasło i tradycyjna metoda dwuskładnikowego uwierzytelniania np. SMS będzie skuteczniejsza niż jednoetapowe logowanie z użyciem hasła – mówi Tomasz Kowalski, prezes firmy Secfense, która opracowała technologię podnoszącą poziom bezpieczeństwa w procesie uwierzytelniania użytkowników oraz autoryzacji kluczowych transakcji w dowolnej aplikacji web. – Stąd też, jeśli aplikacja daje możliwość uruchomienia dodatkowego etapu uwierzytelniania, zawsze trzeba to zrobić.

4. Jeśli korzystasz z mediów społecznościowych, ogranicz widoczność publikacji wyłącznie do najbliższych

Ilość danych, jaką cyberprzestępca może wyciągnąć, korzystając wyłącznie z mediów społecznościowych jest nie do przecenienia. Portale branżowe donosiły niedawno, że adres ministra zdrowia Adama Niedzielskiego internauci z łatwością odkryli właśnie dzięki mediom społecznościowym. Minister sam zdradził swoje miejsce zamieszkania, publikując na Twitterze przebieg swojego treningu rowerowego. Dzięki opublikowanej przez Niedzielskiego mapie, z łatwością namierzyli jego adres zamieszkania, będący po prostu miejscem, w którym rozpoczął i zakończył się trening.

Wielu z nas umieszcza informacje o treningach w mediach społecznościowych kilka razy w tygodniu – mówi Tomasz Kowalski z Secfense. – Nawyki zmienia się trudno i nie dzieje się to z dnia na dzień. To, co jednak możemy zrobić już teraz, to przynajmniej postarać się o to, aby zdjęcia i publikacje widziane były wyłącznie przez najbliższych znajomych, a nie wszystkich w internecie.

Oczywiście ten punkt nie należy do kategorii działań, które zabezpieczają przed włamaniem, ale do dobrych praktyk cyberbezpieczeństwa, które znacznie utrudniają życie cyberprzestępcy. Pamiętaj, im mniej wrażliwych informacji o Tobie da się znaleźć w internecie, tym lepiej.

5. Usuń aplikacje i rozszerzenia o wątpliwej renomie, poproś o brak śledzenia

Firma Apple od wielu lat udowadnia, że cyberbezpieczeństwo jest dla niej bardzo istotne. W porównaniu do innych dostawców technologii mobilnych, wypada też zdecydowanie najlepiej. W systemach iOS 14.5, iPadOS 14.5 i tvOS 14.5 aplikacja musi poprosić o pozwolenie, zanim zacznie śledzić aktywność użytkownika w aplikacjach i witrynach internetowych firm trzecich. W innych dzieje się to automatycznie. Spójrzmy na Google, który śledzi każdy nasz krok. Dosłownie. Chcesz sprawdzić? Wejdź w takim razie w ‘Google Maps’, kliknij w ‘Menu’ a następnie w ‘Your Timeline’. Jeśli to ustawienie nie zostało wcześniej przez Ciebie wyłączone, to Google zapewne pokaże Ci każde miejsce, które odwiedziłeś w przeciągu ostatnich miesięcy lub nawet lat. Inny przykład? W 2012 roku sklep Target ‘wiedział’ o ciąży swojej klientki, zanim była ona sama tego świadoma. Jak to możliwe? Algorytm po prostu trafnie oszacował na podstawie historii zakupów, że tak właśnie zachowują się kobiety w ciąży. To pokazuje, jak wiele danych jest poza naszą kontrolą i jak wykorzystywane są bez naszej wiedzy.

I znowu – trudno myśleć, że “patykiem zawrócimy bieg rzeki” i całkowicie zablokujemy informacje płynące o nas do dostawców oprogramowania. Ważnym jest jednak, aby starać się przekazywać dostawcom absolutne minimum informacji, które są od nas wymagane.

6. Nie wysyłaj wrażliwych danych, korzystając z prywatnych skrzynek mailowych

I wreszcie punkt, którym żyją ostatnio wszystkie media. Portal RMF24 donosi, że “Najważniejsi politycy z rządu porozumiewają się za pomocą darmowych, prywatnych skrzynek mailowych”. Zagadnienie bezpieczeństwa poczty elektronicznej, podobnie jak higiena haseł jest znane praktycznie każdemu pracownikowi biurowemu. Jest jednak nagminnie łamane. Złe nawyki są bardzo trudne do wyplenienia, m.in. dlatego wiele korporacji blokuje możliwość wysyłania i odbierania wiadomości z adresów pochodzących spoza firmy. W życiu codziennym dobrą praktyką jest unikanie wysyłania numerów PESEL, haseł, loginów, zdjęć dokumentów, wykorzystując darmowe skrzynki komercyjne. Jeśli jednak trudno jest z tego całkiem zrezygnować, wysyłajmy część informacji innym medium.

7. Załóż skrzynkę ProtonMail

Bezpieczeństwo skrzynki firmowej jest zawsze oczkiem w głowie działu bezpieczeństwa. O skrzynkę prywatną trzeba zadbać samemu. Warto rozważyć w tym kontekście ProtonMail, który jest największym na świecie dostawcą bezpiecznej poczty elektronicznej, rozwijanej przez naukowców z CERN i MIT. Serwis zapewnia, że nie zbiera i nie przekazuje żadnych danych użytkownika, a wiadomości szyfrowane są za pomocą kryptografii z otwartym kodem źródłowym.

8. Załóż komunikator Signal

Podobnie jak ze skrzynkami email jest z komunikatorami. Podczas, gdy jeden stara się zapewnić odpowiednie standardy, bezpieczeństwo drugiego dziurawe jest jak szwajcarski ser. Jeśli więc chcemy mieć pewność, że korzystamy z najbezpieczniejszego na rynku komunikatora, to sięgnijmy po Signal. Według portalu Niebezpiecznik, Signal to obecnie najbezpieczniejszy komunikator dostępny na rynku: “Od dawna rekomendujemy wybór tego komunikatora do prowadzenia zaszyfrowanych rozmów przez sieć. Dlaczego? Przede wszystkim dlatego, że w przeciwieństwie do WhatsAppa, Signal poza poufnością daje też prywatność Twoim konwersacjom, bo nie zbiera metadanych połączenia, czyli nie tylko nie zna treści rozmów (bo są zaszyfrowane) ale również nie wie kto i z kim rozmawia.”

9. Włącz automatyczne aktualizacje systemu i kluczowych aplikacji

W świecie cyberbezpieczeństwa istnieje pojęcie exploitu zero-day. Exploit to innymi słowy atak, który opiera się na wykorzystaniu błędów w zabezpieczeniach oprogramowania lub systemu operacyjnego. Zero-day mówi o tym, jak długo autorzy oprogramowania zabezpieczającego wiedzą o luce w zabezpieczeniach programu. Exploit zero-day to z kolei atak, wykorzystujący lukę zero-day w celu zainstalowania na urządzeniu złośliwego oprogramowania (malware). Jednym z najczęściej wskazywanych sposobów na zabezpieczenie się przed atakami zero-day
jest nieotwieranie załączników w wiadomościach z podejrzanych adresów ani niepobieranie plików z nieznanego źródła. Wskazanym jest też systematyczne aktualizowanie oprogramowania i instalowanie najnowszych łatek bezpieczeństwa. Jeśli nie aktualizujemy swoich aplikacji i systemów operacyjnych na bieżąco, z pewnością cyberprzestępca zna już przepis, jak dostać się do używanego przez nas oprogramowania. Aktualizacje trzeba robić regularnie, a najlepiej automatycznie, tak żeby upewnić się, że żadna nie została przeoczona.

10. Jeśli ktoś prosi Cię o natychmiastowe podanie danych – nie rób tego!

Ostatnim punktem, a zarazem wisienką na torcie jest socjotechnika, nazywana również inżynierią społeczną. To metoda wykorzystywana przez cyberprzestępców po to, aby wpłynąć na ludzkie zachowania i obudzić instynktowne reakcje. Czy to w przypadku aplikacji, która prosi o podanie danych, czy to maila, który wymaga natychmiastowej reakcji, czy fałszywego agenta dzwoniącego z banku i proszącego o zainstalowanie aplikacji na telefonie. Nigdy nie wolno tego robić. Nigdy! Zawsze, jeśli ktoś lub coś w internecie wymusza na nas natychmiastową reakcję powinna zapalać się lampka alarmowa.

Jak więc reagować i się bronić? W przypadku telefonów z banku, zawsze lepiej jest odłożyć słuchawkę i zadzwonić do swojej placówki. Jeśli dzwoniąca do nas osoba była autentycznym przedstawicielem banku, to informacja o rozmowie będzie zarejestrowana w systemach i agent wyjaśni, o co chodziło. Jeśli z kolei w wiadomość email znajduje się prośba o podanie jakiś danych, trzeba sprawdzić nadawcę, przyklejając jego adres do przeglądarki. Może wyświetlić się  jako scammer, czyli oszust. Można przesłać też wiadomość do swojego działu bezpieczeństwa lub działu wsparcia aplikacji, z której mail przyszedł. Spokój i wstrzemięźliwość jest zawsze lepszą reakcją niż natychmiastowe nieprzemyślane działanie.

Lista porad na pewno może być jeszcze dłuższa. Jednak, jeśli zaczniemy powoli realizować i zastanawiać się nad choćby kilkoma z powyższych, na pewno poziom naszego bezpieczeństwa wzrośnie. W tekście nie ma rekomendacji żadnych konkretnych, komercyjnych rozwiązań, a marki ProtonMail i Signal są organizacjami non-profit nie nastawionymi na zysk. Wśród menedżerów haseł jest pełen wybór rozwiązań, lepszych pod kątem użyteczności i innych sprawniejszych pod kątem bezpieczeństwa. Podobnie jest z metodami MFA, czyli wieloskładnikowego uwierzytelniania. Pamiętać jednak należy, że wybierać trzeba doświadczonych dostawców i implementować, jak najprostsze rozwiązania, jak najmniej ingerujące w infrastrukturę organizacji czy pojedynczego użytkownika.

Źródło: Secfense

Podziel się: Podziel się z innymi za pomocą portali społecznościowych.
  • Facebook
  • Twitter
  • Google Bookmarks
  • LinkedIn
  • MySpace
  • Wykop
  • Print

Napisz komentarz

Musisz być zalogowany aby dodać komentarz

Zdjęcia z naszego Flickr'a

Zobacz więcej zdjęć

POWIĄZANE STRONY

ELASTYCZNY WEB HOSTING