Poradnik sieciowy. Część 11 - Jak być bezpiecznym w sieci

Bezpieczeństwo w Internecie

Ostatnim punktem dotyczącym bezpieczeństwa sieciowego, istotnym z punktu widzenia domowego użytkownika, jest bezpieczne poruszanie się po zasobach Internetu. Wbrew pozorom, nie jest to wcale takie oczywiste i wielu nawet bardziej doświadczonych internautów często pada ofiarą różnorodnych szkodników. Liczba wszystkich możliwych zagrożeń z tej strony jest tak duża, że chyba jedynie wyjątkowo wzmożona i ciągła czujność jest w stanie znacząco ograniczyć prawdopodobieństwo „wpadki”. Stosowanie poniższych wskazówek na pewno w tym Wam pomoże.

1. Zwracanie uwagi na wykonywane na stronach działania.

Zasada numer jeden podczas przeglądania treści w Internecie jest pozornie, bardzo prosta – nie klikamy, w co popadnie. Zawsze sprawdzamy, na dolnym pasku przeglądarki, czy adres, pod który kieruje nas konkretny link faktycznie prowadzi tam, gdzie się tego spodziewamy. Blokujemy również wyskakujące okienka i reklamy (oczywiście, nie na PurePC.pl ;)), a jeśli już się takowa na ekranie pojawi, spokojnie szukamy przycisku okno to zamykającego, najczęściej w postaci krzyżyka, nie ulegając przy okazji napisom w stylu „Kliknij tu, by zamknąć”.

2. Stosowanie oprogramowania blokującego wykonywanie skryptów.

uBlock Origin, NoScript, Tampermonkey – to tylko kilka przykładów dodatków do przeglądarek, które służą do blokowania wykonywania skryptów JavaScript. Owszem, współczesne strony WWW w zasadzie nie funkcjonują bez skryptów. Przyczyną tego stanu rzeczy są różne powody: chęć dynamicznej zmiany wyglądu, asynchronicznych żądań do serwera w celu pobrania danych „w tle”, czy walidacja pól formularzy to tylko jedne z wielu zastosowań. Pozbawiając strony możliwości wykonywania kodu JS możemy pozbawić jej części funkcji. Z drugiej jednak strony, bezwarunkowe zgadzanie się na wykonywanie każdego skryptu może prowadzić do uruchomienia na komputerze użytkownika złośliwego kodu.

O zwracaniu szczególnej uwagi na parę HTTPS wraz z "zieloną kłódką" musimy pamiętać przede wszystkim logując się do serwisów transakcyjnych banków, aukcji, sklepów internetowych, czy swojej skrzynki pocztowej.

3. HTTPS i „zielona kłódka”.

W każdym przypadku, gdy logujemy się na jakiejś stronie internetowej swoim loginem i hasłem, a strona ta obsługuje transmisję za pośrednictwem protokołu HTTPS, pilnujemy dwóch rzeczy: ciągu znaków „https” w pasku adresu, przed właściwym URL strony oraz tzw. zielonej kłódki poświadczającej wiarygodność certyfikatu nadanego domenie. Szczególnie pilnować tego musimy np. logując się do serwisów transakcyjnych banków, aukcji, sklepów internetowych, czy swojej skrzynki pocztowej. Taka kombinacja znacząco zwiększa prawdopodobieństwo bezpiecznej, bo szyfrowanej transmisji danych. Jeśli zamiast zielonej kłódki ujrzymy przy adresie np. strony banku przekreślony napis „https”, powinno to wzbudzić naszą czujność. Normalnie opisana sytuacja w przypadku tego typu witryn nie powinna mieć miejsca (no chyba, że ktoś zapomniał odnowić certyfikat…) – administratorzy przeważnie dbają o instalację dla strony certyfikatu SSL podpisanego cyfrowo przez tzw. zaufane CA (np. CERTUM, Unizeto, thawte czy VeriSign). W przypadku stron „mniejszego kalibru” czasem zdarza się, że certyfikat ten jest typu self-signed – wtedy właśnie prefiks „https” będzie przekreślony. Nie należy wtedy z góry takich stron skreślać.

4. Zachowanie czujności wobec wyglądu znanych stron.

Certyfikaty SSL podpisane przez zaufane CA to jedno. Może się też zdarzyć, że znana nam strona z jakiegoś powodu podejrzanie wygląda lub się zachowuje, np. jej elementy typu przyciski, menu czy układ odbiegają od tego, do czego zdążyliśmy się już przyzwyczaić. Tak samo zachowanie, np. przekierowania w dziwne miejsca, otwieranie okien, tudzież kart, podczas gdy do tej pory nic takiego nie występowało. To wszystko również powinno wzbudzić naszą czujność – warto wtedy skontaktować się bezpośrednio z administratorem strony i poinformować o naszych obawach, a samemu przynajmniej tymczasowo zaprzestać z niej korzystania.

5. Zwracanie uwagi na pobierane pliki.

Wcześniej podaliśmy przykład, kiedy to może dojść do infekcji naszego komputera lub smartfona – otóż bardzo często dzieje się to wyłącznie z winy użytkownika, który otwiera jakiś plik, a reszta dzieje się dalej sama. Warto przede wszystkim pilnować tego, co pobieramy na swoją maszynę i uruchamiamy czy później instalujemy. Zdarza się bowiem, że pobierając jakiś pozornie znany i zaufany program z równie pozornie znanego i zaufanego źródła pobierzemy nie tylko to, co nas interesuje, ale razem z różnymi niechcianymi dodatkami. Takimi dodatkami mogą być np. menedżery pobierania przesyłane do nas najczęściej po kliknięciu w sprytnie wyolbrzymiony napis typu „Pobierz program”, podczas gdy linki do właściwej aplikacji skrywają się gdzieś obok i bezpośrednio nie są widoczne. Te dodatki to najczęściej oprogramowanie typu adware, dzięki któremu serwis zarabia na wyświetlaniu reklam. Z punktu widzenia biznesowego, takie serwowanie użytkownikom plików jest może i dobre, ale z etycznego…nie bardzo. Ponadto, użytkownicy systemów Microsoft Windows powinni włączyć wyświetlanie rozszerzeń plików. Można tego dokonać przechodząc do okna Eksploratora Windows, kliknąć na zakładkę Widok i zaznaczyć pole wyboru przy opcji „Rozszerzenia nazw plików” (w przypadku Windows 10). To pozwoli uchronić się przed pułapkami w stylu „Wazny_Dokument.doc.exe” – patrzymy na fragment znajdujący się maksymalnie z prawej strony nazwy pliku, po ostatniej kropce. Jeśli jest tam właśnie rozszerzenie pokroju „exe”, „msi”, „com”, „vbs”, czy „bat”, a część przed kropką nie wskazuje, by to miała być jakaś aplikacja, takiego pliku nie otwieramy. Może on zawierać złośliwy kod, który w jakiś sposób może zaszkodzić naszej maszynie.

6. Rozważne podchodzenie do otrzymywanej poczty e-mail.

Przypadek bardzo podobny do opisanego powyżej, szczególnie, jeśli chodzi o przesyłane w mailach załączniki. Znów niestety wszelkie zagrożenia sprowadzają się do uruchomienia przez użytkownika pliku udającego dokument MS Worda czy Excela, a zawierającego w rzeczywistości kod wykonywalny. Na szczęście, zarówno programy pocztowe, jak i tzw. webmaile nie ukrywają rozszerzeń załączników. Podobnie zatem, jak w poprzednim punkcie, nie otwierajmy otrzymanych plików, jeśli nie mamy co do nich pewności. Drugą, ale nie mniej ważną zasadą, jest weryfikowanie wszelkich linków zawartych w treści maila. Klikanie, w co popadnie, grozi staniem się ofiarą phishingu, tj. ataku polegającemu na wyłudzaniu różnych informacji. Poza unikaniem przechodzenia pod podejrzane linki, sprawdzajmy również właściwy adres nadawcy maila. Możemy tego dokonać, np. poprzez sprawdzenie serwera, z jakiego został on do nas wysłany. Dane te znajdziemy podglądając źródło maila – np. w GMailu klikamy na strzałkę w dół obok ikony „Odpowiedz” i wybieramy „Pokaż źródło”. Podobnie jest w przypadku klienta pocztowego Mozilla Thunderbird – tu na widoku wyświetlonej wiadomości przechodzimy do menu rozwijającego się po kliknięciu na „Więcej” i ostatecznie – „Wyświetl źródło”. Potrzebne dane znajdziemy w sekcji oznaczonej jako „Received:”. Jeśli widnieje tam coś dla nas podejrzanego, takiego maila najlepiej usunąć.

7. Ograniczenie aktywności na portalach społecznościowych.

Media społecznościowe, takie jak Facebook, Twitter czy nawet YouTube przyciągają do siebie coraz więcej osób i nie jest to w żadnym wypadku nic odkrywczego. Teoretycznie, nic w tym złego, ot dzielimy się naszymi poglądami, wiedzą czy wydarzeniami z życia z innymi. Tyle tylko, że czasem można „przedobrzyć”. Pamiętajmy, że w Internecie obowiązuje żelazna zasada: jeśli coś zostało wrzucone, pozostanie tam na zawsze. Uważajmy zatem na treści, jakie udostępniamy publicznie. Nie raz głośne były przypadki o tym, że ktoś umieścił na Facebooku zdjęcie swojego dowodu rejestracyjnego, prawa jazdy czy karty płatniczej. Wiele osób tylko czeka, by korzystając z takich danych np. wyczyścić komuś konto bankowe albo nabrać na jego koszt różnych zobowiązań, chociażby w postaci kredytów. Zdarzają się również ataki socjotechniczne, podobne do phishingu, tyle że obierające właśnie jako cel konkretnego użytkownika portalu społecznościowego. Atakujący wysyła jakiś link i zachęca, by w niego kliknąć. Nie musi to być fałszywa osoba, ale np. nasz dobry znajomy, którego konto w jakiś sposób zostało przejęte przez atakującego.

8. Dbanie o „jakość” haseł na stronach.

Złożoność i różnorodność haseł do portali internetowych jest bardzo istotnym punktem, który może bezpośrednio przełożyć się na bezpieczeństwo naszych kont. Zasada jest prosta – im dłuższe i bardziej skomplikowane (tj. złożone z różnych znaków) hasło, tym trudniej je złamać. Utrzymanie takiej dyscypliny dla każdej strony internetowej, na której logujemy się za pomocą loginu i hasła nie jest łatwe – bardzo często kusi bowiem kilkukrotne wykorzystanie tych samych haseł. Już o kwestii ich pamiętania nie wspominamy…Są jednak sposoby na znaczące zmniejszenie wagi tych problemów. Jednym z nich jest stosowanie menedżera haseł, o którym wspomnieliśmy kilka stron wcześniej. Niektóre z nich, jak np. KeePass2 pozwalają, za pomocą dedykowanych wtyczek, automatycznie wypełniać pola z hasłami na konkretnych stronach WWW. Inne rozwiązanie, to opracowanie sobie sprytnego algorytmu, tudzież wzoru, zgodnie z którym będziemy sobie takie hasła „generować” i łatwiej je będzie zapamiętywać. Najważniejsze jest jednak, by stosowane hasła posiadały następujące cechy:

• długość przynajmniej 8 znaków,
• nie zawierały popularnych słów / fraz,
• składały się z różnych znaków drukowalnych, czyli liter, cyfr i znaków specjalnych.

9. Stosowanie dwuskładnikowego uwierzytelniania.

Im więcej różnych zabezpieczeń przypisanych do danego konta, tym lepiej. Zgodnie z przyjętymi tzw. dobrymi praktykami, dostęp do wrażliwych danych powinien być udzielony bądź nie po weryfikacji trzech atrybutów:

• tego, co użytkownik wie,
• co posiada,
• i kim jest.

Ścisłe przestrzeganie tej zasady w przypadku zabezpieczenia np. prywatnej skrzynki mailowej byłoby jednak dość kłopotliwe, żeby nie powiedzieć, przesadnie irytujące. Dlatego warto ograniczyć się do dwóch. Tym, co użytkownik wie, będzie oczywiście silne hasło dostępu. Dodatkowo, warto do niego dołożyć coś, co się posiada, jak np. jakiś jednorazowy kod dostępu. Otrzymamy wtedy nic innego, jak dwuskładnikowe uwierzytelnianie. W przypadku np. złamania lub wycieku hasła mamy jeszcze dodatkowe zabezpieczenie w postaci np. jednorazowego kodu SMS. By i do tej formy zabezpieczeń się dobrać, atakujący musiałby się zdecydowanie bardziej postarać.

• « pierwsza
• ‹ poprzednia
• 1
• 2
• 3
• 4
• 5