Dudkiewicz-main-PDC

Mój realny dom – moja cybertwierdza

Cyberbezpieczeństwo? Tak, słyszałem – zajmują się nim sztaby ludzi zatrudnionych w firmach o rozbudowanych strukturach. Albo specjaliści w służbach państwowych do spraw wykrywania włamań i przestępstw w sieci – to oni są odpowiedzialni za nasze bezpieczeństwo. Czy to prawda?

 

Poniekąd tak, bo im więcej środków prewencyjnych, tym mniejsza szansa na udane działanie złośliwe. Jednak pierwszą linią obrony zawsze jesteśmy my sami.

Autor: Mateusz Dudkiewicz, Cloud Engineer, ProData Consult

Korekta tekstu: Maria Dudkiewicz

Jako ludzie jesteśmy ogniwem w łańcuchu utrzymującym bezpieczeństwo w przestrzeni cybernetycznej – może nie najsłabszym, ale podatnym, bo tego ogniwa nie da się po prostu spatchować, załatać, lub postawić za firewallem. I choć edukacja w tym zakresie może być formą hardeningu naszej obecności w sieci, tak czasem gorszy dzień, niedyspozycja zdrowotna czy zmęczenie mogą narazić nas na jakieś przeoczenie, na które nie pozwolilibyśmy sobie będąc w pełni sił. Dlatego trzeba sobie pomagać wszelkimi środkami i nie chodzi tu o wzajemne przesyłanie sobie linków do artykułów opisujących jakiś nowy wektor ataku. Oczywiście, świadomość sytuacyjna – którą w obszarze bezpieczeństwa i w środowiskach korporacyjnych nazywa się Security Awareness – jest bardzo ważna i pożyteczna, ale chodzi tu raczej o pomaganie samemu sobie. Nie tylko przez budowanie świadomości, ale przez samodzielne przygotowanie środków obrony.

Ale zaraz! Czy nie powiedziałem wcześniej, że za obronę odpowiedzialne są wykwalifikowane zespoły specjalistów? Jak można pomóc samemu sobie? Przecież każdy z nas wie, że należy w sieci zachować ostrożność. Teorię znamy – nie klikać w podejrzane linki, zwracać uwagę na szyfrowanie połączenia, nie podawać danych logowania, gdy nie jesteśmy pewni czy podajemy je we właściwym miejscu. Coraz chętniej korzystamy z VPNów mających zapewnić nam bezpieczeństwo i prywatność. Tak chętnie, że czasem zapominamy czym ten VPN w ogóle jest.

Może jeszcze krótkie wyjaśnienie czym różni się anonimowość od prywatności:


Anonimowość
oznacza, że wiemy co robisz, ale nie wiemy kim jesteś.

Prywatność oznacza, że wiemy kim jesteś, ale nie wiemy co robisz.

VPN

Co nam zatem daje VPN – wirtualna sieć prywatna? Jest to nic innego jak podłączenie naszego komputera (a właściwie terminalu) do wewnętrznej sieci danej organizacji. Często w stosunku do VPNa stosuje się nazwę „tunel” i jest to całkiem zasadne, bowiem protokoły VPN, w lekkim uproszczeniu, utrzymują połączenie między naszym urządzeniem końcowym a infrastrukturą, do której się łączymy, transmitując cały ruch wewnątrz swoich pakietów (nazywa się to kapsułkowaniem lub enkapsulacją). Idea VPNów powstała, aby dać urządzeniom znajdującym się w sieci rozległej (czyli w Internecie) dostęp do wewnętrznych zasobów sieci lokalnej. Obecnie dostawcy VPN umożliwiają korzystanie ze swojej infrastruktury każdemu użytkownikowi, któremu zależy na bezpieczeństwie – właśnie w ten sposób reklamują swój produkt: jeśli chcesz być bezpieczny – używaj VPN. Czy VPN to jednak wystarczające zabezpieczenie? I który wybrać?

Dudkiewicz-middle-1-PDC

Przytoczę klika istotnych faktów dotyczących komercyjnych (płatnych i darmowych) VPN:

1. Prawdą jest, że VPN ukrywa ruch w sieci przed dostawcą Internetu (ISP) oraz przed administratorem sieci, ale w warunkach domowych urządzenia nie logują naszych działań - zatem jest to forma zapewnienia prywatności wyłącznie przed ISP – ale przed nikim innym. Serwery DNS, które są odpowiedzialne za rozwiązywanie adresów internetowych, najczęściej logują adresy wszystkich stron, które odwiedzasz, także zostają zastąpione tymi od firmy dostarczającej VPNa.  Za to ta firma sama przejmuje wszystkie ruchy w sieci i dla niej widoczne jest wszystko, co widziałby ISP. Pytanie zatem komu bardziej ufasz? ISP czy VPN?

2. Dostawca Internetu widzi, że korzystamy z VPN. VPN ukrywa adres IP (ten od ISP) tylko przed serwisami docelowymi, ale prezentujemy im wówczas adres IP VPNa (co też czasami uniemożliwia korzystanie z niektórych serwisów). Znane są również przypadki, że nawet firmy, które szczyciły się tym, że nie zbierają logów –udostępniały służbom informacje kto z jakiego współdzielonego IP korzystał.

3. Którego VPNa wybrać? – Są zarówno płatne jak i bezpłatne. Trzeba pamiętać, że gdy usługa jest bezpłatna, towarem stajemy się my sami i nasze dane – dużo warte na rynku marketingowym. Nie znaczy to, że darmowy VPN jest z założenia zły. Warto po prostu wiedzieć dlaczego jest darmowy.

4. Po co to jest? – ISP nie jest jedynym pośrednikiem między nami a siecią. Tunelowanie ruchu przez VPN może być ważne, szczególnie w miejscach z publicznym dostępem do sieci (kawiarnie, lotniska, itp.) – tu faktycznie ukryjemy swoją aktywność nie tylko przed ISP, ale i przed zarządcą sieci. W takim scenariuszu rzeczywiście warto korzystać z VPN… ale może w dobie powszechnego dostępu LTE w ogóle nie warto korzystać z publicznych, z założenia niebezpiecznych sieci?
Ponieważ adres IP pozwala na ustalenie przybliżonej lokalizacji użytkownika – VPN może pomóc ukryć miejsce, z którego korzystamy z sieci. To może być pomocne przy korzystaniu z serwisów z zawartością limitowaną geograficznie, czyli na podstawie lokalizacji użytkownika. Takie serwisy, niestety, coraz częściej blokują użytkowników VPN (bo po adresie IP wiedzą kto z VPN korzysta).


Zatem można zauważyć, że VPN na pewno nie jest remedium na wszystko – owszem, może w określonych warunkach pomóc – ale nie jest rozwiązaniem problemów z prywatnością, anonimowością i bezpieczeństwem w sieci. Na pewno nie bez dodatkowych środków zapobiegawczych. Nie jestem przeciwnikiem VPNów, ale jeśli nie wiesz jak zapewnić sobie to wszystko bez VPN, to nie korzystaj z VPNa.

SSL

Kłódeczka przy adresie w pasku zadań – zainteresowani tematem wiedzą, że to dziś konieczność i że zawsze należy zwracać uwagę na jej obecność. Organizacje takie jak np. Google nakładają na wystawców certyfikatów coraz to wyższe wymagania dotyczące ich generowania i utrzymywania po to by zwiększać bezpieczeństwo użytkowników sieci. Czy jednak protokół SSL, a właściwie należałoby zgodnie z prawdą i najnowszymi standardami powiedzieć protokół TLS, zawsze oznacza bezpieczeństwo? Tu jest trochę podobnie jak z VPN – bo owszem, oznacza, ale nie bezwzględnie. Protokoły szyfrowania zapewniają prywatność ruchowi w sieci – zatem ktoś, kto podsłucha ruch szyfrowanych pakietów nie będzie w stanie wyciągnąć z nich żadnych danych. Te są dekodowalne wyłącznie dla naszego komputera i serwera z którym się łączy (dzięki np. protokołowi Diffiego-Hellmana pozwalającemu na ustalenie wspólnych kluczy szyfrowania bez ich jawnej wymiany w sieci). Ale czy strona złośliwa udająca nasz bank, np.: banκ.pI zdradzi się przez brak kłódeczki? Zwracam uwagę, że użyta w adresie litera κ nie jest z naszego alfabetu. To symbol, który ją bardzo przypomina. Albo oriet.pl lub wq.pl? Łatwo przeoczyć różnicę, a każdy z tych adresów może być zabezpieczony szyfrowaniem SSL, a zatem zobaczymy przy nim kłódeczkę. Dlatego właśnie tak ważne jest, by do bezpieczeństwa podchodzić z pełną świadomością i nie klikać w każdy link przypominający ten znany i aby nie dać się złowić na zabezpieczony kłódeczką Phishing.


PS Wyrafinowany atak MITM (Man In The Middle) na infrastrukturę sieciowo-serwerową może również w teorii skutkować odszyfrowaniem ruchu między serwerem a użytkownikiem, ale w prostej infrastrukturze domowej jest on w zasadzie niespotykany.

WiFi

Wifi jest dziś nieodłącznym elementem infrastruktury sieciowej naszych domów. Najczęściej tzw. Punkt Dostępowy (Access Point) rozgłaszający sieć wifi jest zintegrowany w jednym urządzeniu z routerem podłączonym do łącza przewodowego lub komórkowego, a także z przełącznikiem (switchem) pozwalającym na podłączenie wielu urządzeń przewodem sieciowym. Okazuje się zatem, że ta mała skrzyneczka pod telewizorem to całkiem skomplikowane urządzenie łączące wiele funkcji, z których każda może zawierać podatności. Wróćmy jednak do sieci bezprzewodowej – czy hasło do sieci jest wystarczająco silne? Czy nazwa sieci i hasło do niej zostały zmienione, czy jednak pozostały te domyślne, skonfigurowane na początku? Znane są przypadki urządzeń, do których złamano schemat generowania hasła, więc jego odgadnięcie stało się niesamowicie proste.
– Ale ja przecież nie mam nic do ukrycia! Nikt by nic nie znalazł na moim komputerze!
Czy na pewno? Prywatność nie odnosi się wyłącznie do tego co robimy w sieci – konta w serwisach społecznościowych również są prywatne. Nikt nie chce, aby ktoś obcy zaczął nagle zamieszczać na takim koncie jakieś „dziwne” materiały. Jeszcze bardzie krytyczny w kontekście prywatności jest dostęp do naszych kont bankowych. To wszystko może być zagrożone, gdy atakujący uzyska dostęp do naszej sieci i zacznie ją podsłuchiwać. Używajcie silnych, nieprzywiązanych do was osobiście haseł do sieci Wifi. Nazwa sieci jest mniej istotna, ale również warto żeby była unikalna. Doskonałym pomysłem jest, jeśli urządzenie taką funkcję udostępnia, stworzenie osobnej sieci Wifi dla gości, którym podajemy osobne hasło. Takie hasło dużo łatwiej zmienić niż hasło do sieci, z której korzystamy na co dzień – unikniemy w ten sposób wycieku danych, gdy ktoś z naszych gości utraci swoje urządzenie, lub padnie ofiarą cyberataku.

Dudkiewicz-middle-2-PDC

Przeglądarka

Niemal cała nasza aktywność w sieci realizowana jest przy użyciu ulubionej przeglądarki internetowej. Należy mieć pełną świadomość tego, że mimo silnego hasła Wifi i szyfrowanego połączenia, cały ruch sieciowy w przeglądarce musi zostać odszyfrowany, aby był dla nas użyteczny. Zatem np. wszystkie hasła podawane w polach logowania w momencie ich wpisywania – choć na ekranie „wykropkowane” – to przez ten moment między jego pełnym wpisaniem a wysłaniem do serwera – są przechowywane w polu logowania w postaci jawnej – a więc niezaszyfrowane. Jakie może to sprawiać niebezpieczeństwo? O ile przeglądarce samej w sobie ufamy, tak instalowane dodatki często wymagają udzielenia dostępu do przeglądanych przez nas stron. Jeśli pobierzemy i zainstalujemy dodatek z nieznanego źródła – może on okazać się złośliwy i dane mogą wyciec.
W kontekście anonimowości i prywatności istotne jest również zagadnienie Canvas Fingerprintu – unikalnego dla konkretnego komputera bądź telefonu identyfikatora przeglądarki, który ma służyć właśnie śledzeniu aktywności użytkownika w sieci. Co ważne – ten identyfikator pozostaje niezmienny w oknie „incognito”, przy użyciu VPN, czy nawet sieci TOR. Ogólnie ta technika ma służyć lepszemu dopasowaniu wyświetlanych, spersonalizowanych treści, ale jeśli komuś szczególnie zależy na prywatności – warto zgłębić ten temat.

Router

– Nigdy nie zamienię swojego routera. Miałem kiedyś inny i ciągle się wieszał a ten działa od 5 lat.
– A jaką wersję oprogramowania ma Twój router? Czy producent nadal go wspiera? Czy podatności w oprogramowaniu są regularnie łatane?
Może się wydawać, że to proste urządzenie nie powinno sprawiać dużo problemów. I to prawda – nie powinno. Jeśli sprawia to należy je wymienić – najlepiej na nowsze, może nieco droższe, ale markowe, polecane i dla którego przewidziano kilkuletnie wparcie producenta. Te małe, proste urządzenia bardzo często operują gdzieś „pod spodem” na systemie operacyjnym Linux. Systemie, w którym – jak w każdym innym – mogą zdarzyć się błędy (dlatego się wiesza), lub w którym mogą zostać znalezione nowe podatności na ataki. W akapicie powyżej ustaliliśmy, że atak na urządzenie w domowej sieci może mieć bardzo nieprzyjemnie skutki – od prostego wycieku zdjęć z wakacji, po utratę oszczędności z konta bankowego. Regularnie słyszy się o odkrytych podatnościach w konkretnych modelach urządzeń, lub całych seriach produkcyjnych. Zdarzają się również najtańsze modele urządzeń, do których producent przestaje się przyznawać na swojej witrynie w ogóle, a więc i o wsparciu nie może być mowy. Wtedy warto je wymienić.
Dbajcie o swoje routery – zaglądajcie do ich paneli administracyjnych i sprawdzajcie regularnie czy pojawiają się aktualizacje oprogramowania. I oczywiście instalujcie je. Nie tylko w routerach – inne urządzenia sieciowe, jak np. dodatkowe Access Pointy są równie ważne. Na każdym z tych urządzeń zmień domyślne dane logowania do panelu zarządzania na unikalne. Upewnij się, że router nie udostępnia panelu zarządzania ani konsoli (np. SSH) w sieci WAN.

IoT

IoT – Internet of Things już na dobre gości w naszych domach. Jeszcze niedawno jedynym urządzeniem sieciowym był router od sprzedawcy Internetu, dziś w sieci mamy telewizory, odkurzacze, pralki, lodówki łączące się z siecią (na ogół przez WiFi), ale również domofony, NASy (dyski sieciowe), sterowniki ogrzewania, światła i tak dalej... Wykorzystanie podatności w jakimkolwiek z tych urządzeń nie tylko naraża je samo na niebezpieczeństwo – zatem nie tylko możemy oczekiwać samodzielnie zapalającego się światła, czy podniesienia temperatury w domu do 30 stopni – ale może stanowić dla atakującego bramę dostępową do całej domowej sieci. A dalej już wiecie…
A zatem ponownie – każde urządzenie należy aktualizować i dbać o jego „higienę” przez używanie własnej, niedomyślnej konfiguracji, w tym danych dostępowych.

Czy stworzenie osobnej, wyizolowanej sieci Wifi dla takich urządzeń to dobry pomysł? Jak najbardziej, ale niewiele routerów domowych to umożliwi, więc takie działanie zostawmy tym, którzy szczególnie serio traktują domową infrastrukturę sieciową.

Ze szczególną ostrożnością należy także podchodzić do podłączania do sieci systemów bezpieczeństwa domu, jak inteligentne zamki, napęd bramy garażowej, czy rolet antywłamaniowych i rozważyć, czy koszt bezpieczeństwa domu to dobra cena za odrobinę wygody.

Terminale

Terminalem nazywa się wszystkie końcowe urządzenia pozwalające na interakcję z użytkownikiem, które łączą się do sieci. Terminalem zatem może być (choć nie musi) cały szereg urządzeń IoT, ale nie można zapominać, że są nimi oczywiście komputery, telefony, tablety, zegarki, i każde inne urządzenie na którym przeglądamy Internet. O te terminale, jak o każde inne urządzenia, należy dbać i nie unikać aktualizacji. Każdy z nas słyszał, że aktualizacje obniżają wydajność urządzeń lub czas pracy baterii. To, niestety, okazywało się w przeszłości prawdą, ale dziś urządzenia i tak powinno się wymieniać po zakończeniu okresu wsparcia producenta dla własnego bezpieczeństwa, a aktualizacje chronią nas przed utratą cennych danych.


PS Rzeczywiście – bardzo rzadko, ale zdarzają się nieudane aktualizacje powodujące problemy. Na ogół jednak są one szybko poprawiane przez producentów.

Ale kto by mnie tam atakował?

< No właśnie, o ile nie jesteśmy biznesmanami bądź osobami eksponowanymi publicznie to ryzyko wzięcia właśnie nas na celownik jest niewielkie. Nie należy jednak zapominać o tym, że atak nie zawsze jest skierowany przeciwko konkretnej osobie. Akcje masowej wysyłki SMS czy maili z próbami Phishingu to norma – a przecież nie jesteśmy wybrańcami, dla których został ten atak przygotowany. Podobnie bywa z podatnościami – szczególnie tzw. 0-dayami, czyli takimi, na które jeszcze nie ma łatki. Czasem hakerzy, albo po prostu tzw. script kiddies (na ogół młode osoby poznające dopiero świat cybersecurity) korzystają ze skryptów skanujących sieć w poszukiwaniu znanych podatności – jak akurat trafi na nas  możemy paść ofiarą takiego mniej lub bardziej złośliwego ataku. Zatem to nie jest tak, że jeśli „nie mamy nic do ukrycia” to nie mamy też czego się obawiać. >

Co robić? Jak żyć?

Po przeczytaniu powyższego można wysnuć wniosek, że korzystanie z sieci i nowoczesnych urządzeń niesie ze sobą same ryzyka i właściwie wystawia nas na atak. Przecież czasem nawet nowe urządzenia nie otrzymują wsparcia i aktualizacji, a niektóre mają znane, niezałatane podatności od lat. Cóż – najbezpieczniejszy system to ten odłączony od Internetu. Wygoda korzystania z usług online, bądź konieczność pracy lub nauki zdalnej, wymusza jednak na nas konieczność bycia online. Rozwój technologii, przy jednoczesnym spadku jej cen, zmusza nas również do tego, byśmy swoje bezpieczeństwo wzięli we własne ręce. Najważniejsza jest świadomość zagrożeń i minimalizowanie ryzyka. Poziom ryzyka można zmniejszyć do zera – odłączając się od sieci całkowicie – a może on osiągnąć pułap maksymalny, gdy korzystamy z niezaktualizowanego urządzenia na ustawieniach domyślnych, po prostu wyjętych z pudełka i podłączonych do sieci.

Zatem użytkownikowi domowemu mogę poradzić:

1. Używaj zawsze silnych, unikalnych haseł – jeśli masz ich dużo skorzystaj z managera haseł.

2. Konfiguruj swoje urządzenia – te domowe są łatwe w konfiguracji. Nie używaj domyślnych haseł do WiFi ani panelu konfiguracyjnego.

3. Aktualizuj wszystkie swoje urządzenia podłączone do sieci tak często jak to możliwe. Warto sprawdzać dostępność aktualizacji przynajmniej raz na kwartał.

4. Nie błąkaj się po sieci – instaluj aplikacje na telefon, programy na komputer czy dodatki do przeglądarki wyłącznie z zaufanych galerii oprogramowania.

5. Jeśli nie musisz – nie korzystaj z publicznych sieci. Jeśli musisz – rozważ korzystanie z VPN.

6. Nie klikaj w każdy link z SMS, czy emaila. Nie odpisuj na podejrzane wiadomości.

7. Ciesz się z dostępu do sieci – odrobina ostrożności i dbałości o infrastrukturę pozwala naprawdę bezpiecznie z niej korzystać! 😊

 

O świadomości i bezpieczeństwie infrastruktury firmowej pisał już mój kolega w artykule Ty też zostałeś powołany do cyberwojska! – należy pamiętać, że żołnierzami jesteśmy również w domu. Wszak to właśnie my jesteśmy zawsze pierwszą linią obrony.

Wszystkiego bezpiecznego w Nowym Roku! 😊

Mateusz Dudkiewicz

Sesja_Prodata-Consult_2021-08-04_0251_fullres

O autorze:

Mateusz Dudkiewicz

Cloud Engineer w ProData Consult. Od dwóch lat dostarcza rozwiązania chmurowe dla jednego ze skandynawskich klientów firmy. Wcześniej związany z markami CitiBank i Emag/Agito. W latach 2014 – 2015 prowadził własną firmę IT, świadcząc usługi min. dla Allegro. Ukończył studia magisterskie na wydziale Informatyki i Transportu Wyższej Szkoły Ekonomii i Innowacji w Lublinie. Kontynuując naukę uzyskał tytuły MBA i następnie DrBA (Doctor of Business Administration) w Apsley Business School of London. Może pochwalić się wieloma ukończonymi szkoleniami i certyfikatami. Prywatnie pasjonat judo, strzelectwa sportowego i lotnictwa. Od 2017 posiada licencję pilota PPL.

Chcesz pracować jako niezależny konsultant IT?

Daj się połączyć z najlepszymi projektami na rynku!