Hacker radí, Vol. 2 — nedůvěřuj, ale na maximum prověřuj
To je ale velmi pesimistický výhled a každý z nás ví, že některým se z tohoto bláta podařilo dostat. Jak to ale udělali? Jak se jim povedlo nabrat XP nebo snížit procento své IT zranitelnosti? A má to vůbec cenu?
Tohle jsou oblasti, na které se zaměříme v tomhle článku. Řekneme si pár tipů, proč by to každého z nás mělo zajímat a jak se inspirovat v osobním životě přístupem pokrokových firem s názvem zero-trust.
Změna je záchrana 🌱
Už to není tak, že změna je život. Pokud nezměníme svůj přístup k osobní kyberbezpečnosti, tak pro nás není ani život, ani záchrana. Přitom to zase tolik nebolí.
Když nejsou koncový uživatelé zodpovědní ve svém přístupu k zabezpečení a dodržování základních postupů a procesů, může to jako domino vytvářet další problémy.
Uveďme si příklad. Základním pilířem uživatelské zodpovědnosti jsou včasné instalace upgradů a aktualizací. Drží se toho ale málo lidí, takže firmy přistoupili k razantnímu kroky — ochráníme vás násilím. Někteří poskytovatelé začali nové verze a záplaty nuceně instalovat. Pak ale může jednoduše dojít k tomu, že se někam vloudila chybička a update nebo upgrade není v pořádku.
Pokud by uživatelé na tyto kroky dbali, dalo by se těmto nepříjemnostem z velké části předejít.
90 % běžných koncových uživatelů používá Windows a jejich zodpovědnost nebývá na té nejvyšší úrovni — proto například Windows aktualizace vynucují a Linux ne.
Jak se ale tato změna smýšlení a postoje promítá do chování uživatelů? Jak by se měla promítnout ve vašem životě? Začněme tím, že si ohlídáte, že máte vždy aktualizovaná zařízení, se kterými pracujeme.
Ano, může se stát, že se aktualizace nebo upgrade objeví v nepříhodnou dobu, ale neodsouvejte ji více jak 2x. Některé systémy nám to dnes ulehčují, že se připomínají třeba večer, využijte toho. Bonusové body pro ty, kteří se proaktivně jednou za čas kouknou, jestli náhodou nějaká aktualizace nevisí ve vzduchu (to platí i pro aplikace, nejen třeba pro operační systém).
Dalším krok nastává už při výběru nového zařízení. Možná jste si toho už všimli. Android zařízení od různých poskytovatelů nemají stejné podmínky s ohledem na oblast zabezpečení. Každý výrobce specifikuje, jaká verze bude na zařízení nainstalovaná, jak dlouho bude mít zařízení podporu a bezpečnostní aktualizace.
Jen pro zajímavost. Jeden výrobce netradičních telefonů (tedy netradičních pro dnešní dobu) pokrývá díry na trhu. Vyrábí ultra malé smartphony nebo QWERTY telefony. Skvělý nápad, než se podíváte na to, že tato zařízení běží na verzích OS o několik starších než je ta současná. Pokud je pro vás telefon hlavním zařízením, radši oželte vzhled a dejte na první místo bezpečnost.
Zároveň také mějte na mysli, že zranitelnosti a díry v systému se netýkají pouze uživatelských zařízení. Mohou se objevit jak na síťových prvcích, tak IoT zařízeních, dnešních aut nevyjímaje. Nezapomeňte si tedy říct o pomoc někomu, kdo se v tomhle vyzná, aby vám zkontroloval zabezpečení toho, na co vaše znalosti a zkušenosti už nestačí.
Pokud to neuděláte, můžete si sebelíp zamknout dům se všemi cennostmi, ale mezi tím vám někdo vybílí bankovní účet.
Proč? 🤔
Proč by mě to mělo zajímat? Co mi je potom? Já to nepotřebuju. Já jsem v bezpečí dost. Takové názory jsou jak dělané pro nějaký velký průšvih. Ačkoli jsou bezpečnostní kroky prací navíc, je to zrovna oblast, ve které se pilná práce skutečně vyplatí.
Po celém světě existují skupiny lidí, které aktivně díry a zranitelnosti vyhledávají a ne všichni mají dobré úmysly.
- White-hat hacker ▶️ to je člověk, který prolomí zranitelnost, ale nezneužije ji. Pokud k tomu má možnost, díru spraví a ještě nechá vám i poskytovateli informaci o tom, že nějaký problém nastal.
- Grey-hat hacker ▶️ to je člověk, který hackuje, aby se v této oblasti vzdělal. Chyby, které nalezne nahlásí, ale nezneužije je. Vlastně je to takový bug bounty hunter, ale nečeká na něj žádná bug bounty.
- Black-hat hacker ▶️ to je člověk, u kterého budete rádi, když se mu vyhnete. Jakmile najde zranitelnost, zneužije ji na maximum. Navíc tuto zranitelnost zveřejní nebo zpřístupní tak, aby z ji mohli zneužít i další.
A teď ještě špatné úmysly některých hackerů spojíme s typy zranitelností, abyste viděli, proč je aktivita každého z nás tak důležitá.
- Zero-day ▶️ zranitelnost, která zatím nebyla objevena a nikdo neví, že existuje.
- Nezáplatovaná ▶️ zranitelnost, která již byla objevena, ale neexistuje na ní záplata, která by ji spravila.
- Záplatovaná ▶️ zranitelnost, o které ví i poskytovatel a už pro ni vydal opravu. Ta je například součástí aktualizací.
Hackeři nejen zranitelnosti hledají, ale také s nimi obchodují. A ta, která je pro ně nejlevnější, ale zároveň z ní mají velký zisk, patří do kategorie třetí. A jejich úspěšnost právě závisí na tom, jak aktivní budeme my jako uživatelé v aktualizacích svých zařízení.
Když aktualizace nevyužijeme, vlastně tak hackerům servírujeme ten nejsnadnější cíl. A oni se ostýchat nebudou.
Zero-trust 🔒
Jak už název napovídá, takový přístup zahrnuje naprosto žádnou důvěru k zařízením, systémům, uživatelům nebo dalším prvkům, se kterými se naše zařízení dostanou například přes internet do styku.
Ze zásady bychom tedy neměli důvěřovat žádnému softwaru, ale měli bychom si ho nejprve důkladně proklepnout. Například je dobré si ověřit, že jeho poskytovatel je důvěryhodný a že i zdroj, odkud ho stahujete, je důvěryhodný.
Například obchody s aplikací pro mobilní zařízení se snaží mít takový screeningový proces, aby nám v tomhle pomohli. Ne vždy se ale malware podaří zachytit. Nespoléhejte tedy na to, že tu práci udělá někdo za vás.
Pokud se naučíte ve svém životě uplatňovat zero-trust přístup a budete ho učit i své okolí, můžete předejít tomu, že se někdo z vás stane obětí scamů. Základem je přemýšlet a nespěchat.
Kyberbezpečnost není drobnost 🛡️
V dnešním online světě už jde skutečně o hodně. Nenechte se překvapit útoky, ale buďte připravení. Bude se to hodit, protože kyberzločinci budou používat ještě sofistikovanější nástroje, některé z nich budou obohacené o AI prvky.
Svoji kyberbezpečnost máte ve svých rukou, nenechte ji náhodě.
