Technologická novoroční předsevzetí: Aby vaše zabezpečení v roce 2020 bylo 20/20

Předsevzetí první: Budu používat dvoufaktorovou autentizaci

Běžné přihlašování pomocí statického hesla v dnešní době postačuje jenom pro ty nejjednodušší a nejméně důležité systémy. Způsobů, jak může útočník vaše heslo získat, je prostě příliš mnoho, než abychom mu mohli věřit. Nejjednodušší cestou, jak se bránit, je kromě "faktoru znalosti" (heslo) používat ještě "faktor vlastnictví" (specifické zařízení).

Nainstalujte si do svého smartphonu univerzální aplikaci typu Google Authenticator nebo Microsoft Authenticator a u všech webů, kde je to možné, zapněte dvoufaktorové ověření. Dosáhnete tím řádového zvýšení bezpečnosti s nulovými náklady a minimálním obtěžováním – služby jsou typicky nastavené tak, že vás o druhý faktor požádají jenom při přihlášení z nového zařízení nebo nějaké nové lokace, neobtěžují s ním pokaždé.

Jak se připravit na nové desetiletí? Naučte se programovat, statistiku nebo cizí jazyk, jde to i zdarma

2. 1. 2020 ▪ 10 min. čtení

Jako první zabezpečte dvoufaktorovou autentizací ty nejdůležitější služby. Přístup do e-mailové schránky a služby, pomocí kterých se přihlašujete někam jinam, typicky Microsoft Account, Google Account, Facebook, Twitter. E-mailová schránka je obzvláště důležitá, protože pokud někdo získá kontrolu nad vaším e-mailem, může si na většině webů obnovit přístup k libovolnému účtu nastavením nového hesla. Správně nastavená dvoufaktorová autentizace ostatně představuje jednu z mála cest, jak se takovému útoku bránit.

Většina rozumných provozovatelů webu používá standardní protokoly pro generování jednorázových hesel, a můžete tedy mít jednu aplikaci, kterou použijete pro různé služby. Vyplatí se vybrat si tu, která se váže k vašemu primárnímu účtu. Pokud pracujete zejména v Microsoft ekosystému (Outlook.com/Office365, OneDrive atd.), nainstalujte si Microsoft Authenticator, protože pak se budete moci přihlašovat za určitých okolností úplně bez statického hesla. Jste-li spíše příznivci Googlu, Gmailu a podobných služeb, nainstalujte si ze stejného důvodu tutéž aplikaci od Googlu.

Pro českého uživatele je tragické, že spojení "většina rozumných provozovatelů" nezahrnuje největší český freemailový systém od Seznam.cz. Ten standardní dvoufaktorovou autentizaci nepodporuje. Místo toho podporuje jenom "dvoufázové ověření" pomocí svého vlastního mechanismu, který není kompatibilní s normálním světem a vyžaduje, abyste si nainstalovali jejich vlastní prohlížeč. Vzhledem k tomu, že se jedná o typickou ukázku přístupu společnosti ke kybernetické bezpečnosti, může být dobrým novoročním předsevzetím migrace e-mailu k některé z příčetnějších alternativ.

Předsevzetí druhé: Budu používat správce hesel

Klasických hesel se bohužel dost dobře nelze úplně zbavit. A aby byla tato hesla co k čemu, musí splňovat řadu podmínek: musí obsahovat dostatek entropie (tj. musí být dostatečně dlouhá a přitom náhodná) a především se nesmí opakovat. Pro každý systém nebo službu potřebujete samostatné heslo, jinak riskujete, že únik informací z jedné služby zkompromituje váš přístup ke všem službám se stejným heslem. Což bohužel znamená, že nemáte nejmenší šanci si všechna potřebná hesla zapamatovat. A z hlavy objektivně kvalitní heslo ani nevymyslíte, lidské bytosti jsou notoricky špatné ve vytváření entropie.

Jediné řešení je používat password manager – správce hesel. Je vcelku jedno, jakého konkrétního. Můžete používat KeePass, který je zdarma (já ho používám) a je zcela off-line, nezávislý na vnějších službách. Na mém YouTube kanálu najdete návod jak KeePass nainstalovat a používat. Pokud dáváte přednost pohodlí placených cloudových služeb, je zcela v pořádku používat je. Asi nejznámější jsou LastPass a 1Password. Můžete použít i password manager vestavěný v aktuálních verzích prohlížečů Chrome a Firefox. Používejte v podstatě jakýkoliv password manager, cokoliv vám vyhovuje, je dobré.

Všechna mainstreamová řešení jsou dobře. Mají různé relativní výhody či nevýhody, ale ty jsou nepodstatné v porovnání s rizikem, jaké dnes nese nepoužívání silných a unikátních hesel. A bez password manageru je prakticky nemožné unikátní silná hesla používat.

Předsevzetí třetí: Budu používat aktuální a aktualizovaný software

Když se Google ve svém slavném průzkumu Nobody can hack my mind ptal bezpečnostních specialistů, co je z bezpečnostního hlediska pro uživatele nejdůležitější, na prvním místě se umístilo používání aktuálního a aktualizovaného softwaru.

Softwarové aktualizace jsou pro uživatele často nepříjemné. Objeví se zrovna ve chvíli, kdy se nám to nejméně hodí. Přeskládají ikonky v aplikaci tak, že vypadají jinak a jsou jinde. Vaše nejoblíbenější funkce, pokud vůbec nezmizí, jsou schované tam, kde je nenajdete, a chovají se jinak. Za upgrade na aktuální verzi je třeba občas platit, no prostě fuj. Přesto je používání aktuálního a aktualizovaného softwaru z hlediska bezpečnosti kritické.

Většina útoků přichází nikoliv cestou neznámých a neopravitelných "zero day" chyb, ale prostřednictvím zranitelností, na které existují opravy dlouhé měsíce, někdy i roky. Týká se to s největší pravděpodobností i mediálně známých útoků z poslední doby, které vyřadily z provozu systémy OKD a nemocnice v Benešově. Ze zveřejněných informací je pravděpodobné, že k útoku a šíření byly využity dávno opravené zranitelnosti v protokolu RDP.

Mějte zapnuté automatické aktualizace všeho softwaru, a pokud vyjde nová aktualizace, instalujte ji pokud možno v řádu hodin (z pozice soukromého uživatele) nebo dnů (z hlediska větší firmy, kde přece jenom testování a nasazení nějakou dobu trvá).

Jenom velice zřídkakdy se stává, že aktualizace něco doopravdy "rozbije". Takové případy existují, ale jsou spíše mediálně profanované (protože velice vděčné) než reálně běžné.

Předsevzetí čtvrté: Budu zálohovat svá data. A budu to dělat správně.

Zálohování dat je ochranou proti mnoha problémům. Může se jednat o selhání hardwaru (disků, řadiče...), selhání softwaru nebo uživatele (omylem smažete něco, co jste neměli) či bezpečnostní incident vnitřní či vnější povahy. Nebo třeba o živelní pohromu, požár či povodeň, vykradení firmy nebo domovní prohlídku. Staré ajťácké úsloví praví, že uživatelé se dělí na dvě skupiny: jedni zálohují a druzí ještě nikdy nepřišli o svá data.

Osobně jsem se setkal i se třetí skupinou, a to jsou ti, kteří o svá data přišli opakovaně a své návyky nejsou ochotni či schopni změnit. V podobných případech však pomůže jenom svěcená voda – plnou vanu a utopit.

Důležité je nejenom zálohovat, ale také dělat to správně. V mnoha případech jsou špatně udělané zálohy uživateli k ničemu. Pokud máte záložní média uložena v poličce vedle serveru, sebere vám požár, velká voda, zloděj nebo policejní zásahovka obojí (vím o čem mluvím, z vlastní zkušenosti). Pokud jsou vaše zálohy běžně dostupné z produkčního systému, zašifruje vám je ransomware také.

Pro jednotlivého uživatele je dobrým řešením pro důležitá data používat cloudové služby typu Microsoft OneDrive nebo Google Drive. Jedná se o zálohu sui generis – primárním cílem těchto služeb není zálohovat, ale proti selhání disku nebo útoku ransomwaru dovedou ochránit docela dobře.

Lepší je používat speciální zálohovací řešení, které je oddělené od produkčního prostředí. A to jak logicky (aby útok na produkční prostředí nesmazal zálohy), tak fyzicky (aby případná fyzická katastrofa nepostihla obě lokace). Můžete si ho postavit sami, pokud k tomu máte dostatečné zdroje a znalosti, ale pro většinu běžných uživatelů bude vhodnější použít nějaké hotové cloudové řešení typu Backblaze, CrashPlan, Carbonite a podobně.

Předsevzetí páté: Budu používat šifrování disku

Všechny současné operační systémy podporují transparentní šifrování obsahu disku. Na Windows platformě se to jmenuje Device Encryption (na Windows 10 Home) nebo BitLocker Drive Encryption (ve verzi Professional). Šifrování disku vás ochrání nikoliv před ztrátou, ale před únikem dat, což může být nepříjemné vždy a s ohledem na GDPR v současnosti dvojnásob.

Prvním scénářem, kdy vám šifrování disku pomůže, je ztráta nebo krádež zařízení s citlivými údaji. Zloděj nebo nepoctivý nálezce si sice může nechat hardware (který je dneska levný), ale drahá data nezíská.

Druhým scénářem je likvidace či odprodej již nepotřebného zařízení. Určitě jste četli historky o tom, jak se někde na skládce nebo ve výprodeji přebytečného majetku našly lékařské zprávy, finanční záznamy nebo třeba seznamy členů utajovaných vojenských jednotek. Šifrování disku znamená, že stačí smazat šifrovací klíč a k datům se nikdo nedostane.

Poslední častý scénář je reklamace. Lepší výrobci u vyšších řad zařízení při reklamaci nepožadují zaslání/vrácení paměťových médií. Ale běžný standard to není. Opravdu při reklamaci notebooku věříte každému, komu se dostane do ruky?

Dodržet předsevzetí

Dodržování shora zmíněných předsevzetí vám nezaručí naprostý klid a bezpečí. Ale výrazně sníží šanci, že se s vámi potkám v roli bezpečnostního konzultanta nebo publicisty, který svým typicky jedovatým stylem komentuje nejnovější mrzení v oboru kybernetické bezpečnosti.

A to je asi to nejlepší přání, které vám do nového roku mohu dát.