Článek
„Na mě si nemají co vzít“ - Největší lež v cybersecurity
Vše v tomto článku je smyšlené (kromě ozdrojovaných informací) a jakákoliv podobnost s realitou je čistě náhodná. Vše se zakládá na reálných zkušenostech.
„Hele kámo, proč tolik řešíš ty hesla a firewally? Vždyť heslo123 nikoho nenapadne.“
Už jsi to někdy slyšel? Já jo. A možná až moc často.
Bezpečnost v IT (a obecně v životě) má často nálepku „něco, co brzdí“. Zdržuje to, komplikuje to, stojí to peníze a čas. Jenže víš co? Ono to není o zbabělosti. Je to o zodpovědnosti a často i o přežití.
To máš pořád multifaktorové ověřování, pro každou službu jiné heslo, VPNky, otisky prstů, obnova hesel, odhlašování po určité době. Vždyť to jen otravuje.
Na mě si nemají co vzít.
!!Není to pravda!!
Na každém je si co vzít a na někom si vezme i mnohem více než člověk může dát.
Jakto? Představme si situaci:
Člověk, co pracuje jako vrátný. Od 6 do 18 sedí ve vrátnici. Sem tam pustí auto, zvedne telefon, kouká na televizi. V klidu. Připojený na firemní Wi-Fi. //Hned se chci omluvit všem vrátným. Já osobně si nedokážu představit co tato práce obnáší, co vše se musí dělat a jak náročné to je. Nikterak toto povolání nehaním, ani neponižuji. Je to záslužná práce jako každá jiná.// Má k dispozici malou televizi, wi-fi připojení a počítač. Nosí si vlastní telefon i do práce a občas si přečte nějaký článek.
Je na tom něco špatně?
Ani ne, vždyť to děláme všichni. Proč čerpat data? Máme free wi-fi v práci.
Normální zaměstnanec
Tento pracant, nazveme ho třeba Vrátný, má doma manželku, spolu mají dvě děti, bydlí v pronajatém bytě, platí auto a spoří době i dětem na důchod. Když si přečte o bezpečnosti hesel a multifaktorovém ověřování, tak si řekne: „Na mě si stejně nemaj co vzít,“ a neřeší to. Není nikterak opatrný při prohlížení stránek, e-mailů, stahování a tak. Do všeho se přihlašuje stejně – na Wi-Fi, na sociální sítě, do mailu. Heslo? jsemborec
„Na mě si stejně nemají co vzít.“ Tak proč by se s tím zdržoval?
Dokud
Registruje se na další a další weby, do aplikací. Jednou se registroval na server, kde kouká na filmy a seriály zdarma. Ok, ať se kouká. Jenže netuší, že tento web bude zanedlouho napaden, a všechny údaje o uživatelích budou ukradeny útočníky (hackery chcete-li).
E-mail a heslo našeho Vrátného. jsemborec
Zkusí ho i do e-mailu – a hele, funguje.
A je v mailu. Projde si komunikaci přijatou i odeslanou. Najde si že před měsícem vyřizoval přepis auta a posílal svoje doklady mailem (!!).
Ukradená identita
Už jsi to někde slyšel, viď?
Útočník má plný přístup do e-mailu našeho Vrátného. Přes e-mail může zjistit mnoho služeb registrovaných na tento e-mail, do kterých se díky stejnému heslu dostane bez problémů. V této chvíli si útočník může zajistit například letenky na jméno Vrátného, může si teoreticky vytvořit online účet na Vrátného, hned jak mu ovládne bankovnictví. Může si vzít půjčku na Vrátného a mnoho dalšího. Ukradne mu celkově identitu. A sice si na něm neměli co vzít, ale vzali si na něj například půjčku. Kterou musí vrátný začít splácet. Dále se útočník dostal i do účtu počítače a přes dobře podstrčený link si zajistil přístup do počítače, který si vrátný bere do práce. Tento útočník si počkal, zjistil si, kde se Vrátný připojuje. Proscanoval si celou síť, napadl špatně zabezpečený router v budce vrátnice.
Nezabezpečené zařízení „na vrátnici“
„To je na vrátnici, tam není přístup, není potřeba to jakkoliv zabezpečovat…“
V tuto chvíli má útočník neomezené množství času a prohledává síť ve vrátnici a zároveň čeká, až někdo udělá chybu. Ve chvíli, kdy dostane příležitost, může se dostat do infrastruktury celé společnosti, kde Vrátný pracuje. Nasadí Ransomware a zašifruje veškerá data, která jsou ve firmě k dispozici, a bude požadovat výkupné (jako kdysi i v čr).
Vrátný? Zničený život. Firma? Zničená reputace, peníze, důvěra.
A to byl jen jeden vrátný. Kolik jich je?
„Na mě si nemají co vzít“ až na tvou identitu, tvého zaměstnavatele, tvé úspory.
Co s tím? Můžeme se bránit?
Ano.
Heslo je základ. Pomocí slovníkových útoků se dá heslo prolomit snadno. Můj slovník začíná třeba takto:
12345678
123456789
0123456789
heslo123
kocicka1
123heslo123
homam1
martin1980
Heslo není vše. Důležité je i dvoufaktor. I když je to otravné, pořád přepisovat kódy, potvrzovat něco v telefonu, má to svůj smysl. Pokud někdo zjistí nebo prolomí heslo, ale na služby je multifaktorové ověření, nedostane se do žádné ze služeb, ze kterých by mohl získat více a více informací o uživateli a škodit tak i nadále.
Takže, nepoužíváme stejná hesla, ani jejich modifikace (protože „123Heslo321“ je stejné jako "321Heslo123"), používáme multifaktorové ověřování, používáme VPNky (někdy jindy vysvětlím). Důležitost bezpečnosti je na prvním místě.
Bezpečnost není zbabělost. Je to zdravý rozum.
V dnešním světě nejde o to, jestli jsi „zajímavý cíl“. Stačí být nejjednodušší cíl. A to může být kdokoli – i vrátný, účetní, nebo manažer.
Do lesa si taky vezmeš dlouhé kalhoty, na sváření kuklu, na sklo rukavice. Proč bys do digitální džungle měl jít s "holým zadkem"?
A víš co, radši si změň heslo!
Tento článek byl napsán pro osvětu a pro to, aby trošičku pomohl lidem si uvědomit důležitost bezpečnosti na síti. Není psán pro to, aby někoho vyděsil nebo pošpinil.