Před pár dny prolétla i velkými zpravodajskými médii zprávička Národního úřadu pro kybernetickou a informační bezpečnost o vzrůstajícím riziku cílených phishingových útoků na české firmy a úřady v roce 2021. Bezpečnost českých firem čerstvě zmapovali také experti Sophos (PDF).
Není se čemu divit, tuzemské firmy a další instituce jsou totiž i nadále děravé, přičemž králem mezi těmito ementály je velmi často člověk ve slušivém kostýmku či perfektně padnoucím obleku – bílý límeček managementu počínaje účetní a konče ředitelem, který bez bázně a strachu klepl ve falešném e-mailu na ten zatracený odkaz či přílohu.
REDITEL, UCETNIPC, KANCELAR
Když jsme si zkraje letošního roku mohli projít surová data o jednom velkém útoku nejméně na stovky českých institucí a podniků počínaje OKD a konče obecními úřady i vysokými školami, udivilo nás, kolikrát měl osobní počítač označený jako pacient nula síťový název REDITEL/REDITELKA, UCETNIPC, UCTO, BACK-OFFICE nebo KANCELAR.
Co puntík, to jedna napadená firma, obecní úřad či jiná instituce v jedné velké malwarové kampani. Kvůli ochraně zdroje vám toho ale více nemůžeme prozradit.
Těch malwarových kampaní bylo pochopitelně hned několik a my si i kvůli ochraně zdroje necháme další detaily pro sebe, každopádně jednou z těchto vln byl i útok záškodnického softwaru Emotet. Mluvilo se o něm loni, na začátku letošního roku a nyní před Emotetem znovu varuje i NÚKIB, který zkraje října vydal upozornění před jeho zvýšenou aktivitou.
Říjen je měsícem kybernetické bezpečnosti
Ale pozor, vedle plošných i cílených útoků na firmy tu máme i kampaně, u kterých se může nachytat také domácí uživatel. Avast aktuálně varuje před podvodnými e-maily, které se vydávají za Českou poštu. Přidal se také Eset, podle kterého zase mířila celá třetina zářiových útoků u nás na hesla.
NUKIB v říjnu upozorňoval na internetové záškodníky hned několikrát a není to náhoda, desátý měsíc roku totiž už tradičně patří propagační akci Měsíc kybernetické bezpečnosti. V evropském měřítku je to European Cyber Security Month, který zastřešuje celou plejádu lokálních událostí v jednotlivých zemích.
Avast varuje před phishingem, který zneužívá Českou poštu. Všimněte si webové adresy falešné Pošty Online na druhém snímku.
Přidala se i mnichovská pobočka Googlu, GSEC (Google Safety Engineering Center), jejíž bezpečnostní expert Andreas Türk sepsal sedm mýtů o heslech pro běžné domácí smrtelníky, ale vlastně i ty korporátní, kde může děravá bezpečnost způsobit milionové škody.
Sedm mýtů o heslech a bezpečnosti
Pojďme si ty mýty v následujících kapitolkách jeden po druhém projít. Jelikož jdou některé proti zažitým (byť dávno přežitým) poučkám, které bohužel přetrvávají v nejedné velké firmě či instituci, možná budete překvapení.
Všechny následující mýty a jejich vysvětlení zpracoval Andreas Türk, expert GSEC pro oblast ochrany soukromí a identity z mnichovské bezpečnostní pobočky Googlu. Vycházejí tedy z praxe společnosti, která se potýká s ohromným množstvím útoků na sebe samotnou a miliardy uživatelů každý den.
1. mýtus: Automatické nebo manuální odhlašování z webových stránek je důležité
Skutečnost: Výzkumy ukazují, že čím častěji musejí lidé zadávat hesla, tím spíše tíhnou k tomu, že budou opakovat svá stará hesla. Neustálé odhlašování a přihlašování je pak dokonce kontraproduktivní.
Pokud je to možné, uživatelé by měli funkci automatického odhlašování deaktivovat. Místo toho by ale rozhodně měli zvolit možnost odemykat svůj mobil nebo počítač pomocí hesla, PINu, gesta, otisku prstu nebo rozpoznání obličeje. Na webech a v aplikacích je pak možné zůstat přihlášen.
Poznámka redakce: Čím méně častěji budete ručně vyplňovat heslo, tím méně častěji jej bude moci odchytit i malware.
Odhlásit, či neodhlásit? Toť otázka...
2. mýtus: Heslo byste si měli měnit každých pár měsíců
Skutečnost: Čím častěji musejí lidé měnit svá hesla, tím pravděpodobněji budou používat stále stejná hesla, nebo jen s jednoduchými obměnami jako např. jan2020, místo jan2019. Podobné předvídatelné úpravy základní podoby hesel jsou dnes součástí každého pokročilejšího prolamovače hesel.
Uživatelé by měli pro své heslo volit především slova, která si oni sami zapamatují velmi snadno, ale druzí na ně tak snadno nepřijdou.
Poznámka redakce: Politika častých obměn uživatelských hesel je běžná praxe i v českých podnicích. Byť je základní myšlenka správná, nikdo v počátcích nepomyslel na to, že zaměstnanci nejsou stroje, ale lidé. A tak jsme si začali psát hesla na nástěnky a pro snadné zapamatování volili inkrementální řady jako heslo1, heslo2, heslo3 apod.
Periodická změna podnikových hesel sice ochrání, ale nese sebou přirozené riziko toho, že si uživatel začne měnit hesla podle předvídatelného vzorce
3. mýtus: Heslo by mělo být hlavně dlouhé a komplexní
Skutečnost: Všeobecně vzato je to dobrá rada, ale platí pouze tehdy, je-li heslo vytvořeno Správcem hesel. Protože pokud heslo vytváří uživatel sám a využívá komplikované kombinace speciálních znaků a čísel, často tíhne k tomu, aby zbytek hesla pojal jednoduše. Aby si heslo vůbec zvládl zapamatovat.
V principu platí: heslo volme raději dlouhé, než komplikované. Čím delší heslo je, tím obtížněji se botům a hackerům získává přístup do takového účtu. Osm znaků je absolutní minimum, lepší jsou dvanáctiznaková, či dokonce šestnáctiznaková hesla.
Poznámka redakce: Čeština má se svými 13 miliony mluvčích tu výhodu, že je příliš okrajová pro hromadu zahraničních slovníkových prolamovačů hesel. Heslo složené z českých slov s troškou soli (speciální znaky, šum) je tak bezpečnější, než heslo složené třeba z běžných anglických slov.
Třeba: Plesaty@MoPs#Ti$Sezral%2vecere
Heslo se sice skládá z běžných českých slov, která se sama o sobě nacházejí v CZ slovnících, nicméně je jich hodně a celý řetězec je osolený speciálními znaky. Ačkoliv je heslo extrémně dlouhé, stále je zapamatovatelné. Pokud ke všemu služba umožňuje v heslu použít maximum znaků Unicode, nemusíte se omezovat jen na základní anglické znaky, ale součástí hesla může být třeba i emoji: 🐷🐖. Musíte jej pak ale umět vyvolat na své klávesnici. V případě Windows 10 třeba pod zkratkou WIN+. (včetně tečky na konci).
Mnoho systémů pro uložení hesla podporuje pouze základní znaky na klasické klávesnici. Poslední verze Unicode přitom nabízí 143 tisíc možných znaků včetně emoji, což by složitost hesla zvýšilo o mnoho řádů.
4. mýtus: Dobré heslo vás ochrání před všemi riziky
Skutečnost: Samotné heslo není nikdy ta nejbezpečnější cesta k zabezpečení vlastních dat. Je jedno jak je heslo dlouhé, či komplikované. I tak se můžete stát obětí phishingu nebo zneužití dat. Zvlášť, pokud znovu využíváte svá stará hesla.
Hesla musí být jedinečná a při použití pro důležité weby a aplikace musí být dodatečně chráněna dvoufázovým ověřením. Dvoufázové ověření samo o sobě bezpečné heslo také nenahradí. Proto by tyto dvě metody měly být vždy použity společně.
Poznámka redakce: Viz útoky na české firmy a instituce z úvodu článku. Hypotetický ředitel a účetní mohli mít sebesilnější heslo, pokud však sami umožnili malwaru dostat se do počítače a získat vysoká práva, bylo to všechno k ničemu.
Sice můžete mít sebelepší heslo, nebude vám to ale nic platné, když uvěříte třeba tady tomuto falešnému Tesku
5. mýtus: Používání správců hesel je nebezpečné, protože se všechna moje hesla nachází na jednom místě
Skutečnost: To největší nebezpečí vám hrozí, pokud někdo neoprávněně vnikne do vašeho hlavního e-mailového účtu. Právě z něj je totiž možné obnovit většinu hesel, které používáte různě na webu.
Výhody správců hesel dalece převažují rizika. Bez nich je téměř nemožné používat hesla, která jsou opravdu bezpečná.
Poznámka redakce: Stejně jako u jakéhokoliv jiného systému platí, že pokud se dostane člověk k master heslu, nebo získá vysoká práva v kritickém stroji (fyzický přístup k PC, malware obcházející zabezpečení apod.), všechna odvozená zabezpečení (včetně správců hesel) se často zhroutí jako domeček z karet.
Základní správce uložených hesel v prohlížeči Chrome. Je pouze tak bezpečný, jak je bezpečný i váš počítač. Pokud útočník pronikne do počítače, může pak principiálně proniknout skoro do všeho.
6. mýtus: Když si vytvořím heslo podle pokynů dané webové stránky, jsem v bezpečí
Skutečnost: Webové stránky, na nichž si musíte založit účet, většinou radí, abyste si vytvořili heslo sestávající z kombinace velkých a malých písmen a čísel. Neurčují však v jakém pořadí. Francouzský institut internetové bezpečnosti ale zjistil, že většina z nás má tendenci vytvořit si heslo vždycky ve stejném formátu. Na začátku použijeme velká písmena a na konci číslice. Zní vám to povědomě?
Samotný fakt, že jste si heslo vytvořili heslo v souladu s pravidly webové stránky, k zabezpečení vašich dat nestačí. Různé typy znaků byste měli při tvorbě nového hesla dobře nakombinovat.
Poznámka redakce: Nehledě na to, že není vůbec jisté, jakým způsobem jsou tato hesla zakódovaná/zahešovaná na straně provozovatele. Ještě relativně nedávno zejména některé menší weby hešovaly hesla v databázi již dávno překonaným algoritmem (MD5 apod.). Pokud pak došlo k úniku databáze, hacker mohl byť sebesložitější hesla z hešů relativně rychle zrekonstruovat.
Zpětné vypočítání hesla „mojeheslo“ z heše na webu crackstation.net zabralo jen okamžik. Jednalo se však o primitivní heslo skryté pomocí překonané hešovací funkce MD5.
7. mýtus: Biometrie vyřeší všechny naše bezpečnostní problémy
Skutečnost: Biometrie se skvěle hodí k odemykání zařízení nebo aplikací, v nichž je uživatel již přihlášen. K přihlášování do online služeb se ale z bezpečnostních důvodů a z důvodu ochrany dat nedoporučuje.
To, že se mohu později snadno do aplikace přihlásit biometrickými údaji neznamená, že jsem chráněn před útoky hackerů. Proto je třeba při přihlášení vsadit na kombinaci bezpečného hesla a dvoufázového ověření.
Biometrie usnadňuje a zrychluje přihlašování bez potřeby zadávat heslo, podle experta Googlu se ale zatím nehodí pro všechny případy autentizace
Co bezpečnostní expert, to často i trošku jiný názor na bezpečnost. Máte na některé mýty a tipy od experta z Googlu jiný názor? Razíte vy samotní nebo vaše firma jinou bezpečnostní politiku? Jsou podle vás některé zmíněné rady zcela mimo?
V takovém případě se podělte nám i ostatním v diskuzi pod článkem.
A video na závěr:
Hesla jsou důležitá, ale stejně tak důležité je zabezpečení před fyzickým průnikem do systému – třeba vstupu vetřelce se štěnicí do budovy. V našem seriálu o programování elektroniky jsme si proto vyrobili digitálního hlídacího psa, který k smrti vyděsí všechny špiony z Moskvy i Pekingu:
Tento článek je součástí balíčku PREMIUM+
Odemkněte si exkluzivní obsah a videa bez reklam na devíti webech.
Vyzkoušet za 1 Kč
Nebo samostatné Živě Premium