17. diel - Bezpečnosť kyberpriestoru - Možnosti ochrany

V predchádzajúcej lekcii, Bezpečnosť kyberpriestoru a anonymita na internete , sme si načrtli, ako to v skutočnosti je s anonymitou a (ne)dohľadateľnos­ťou na internete.

Dnes si v našom tutoriále o bezpečnosti ukážeme pokročilejšie možnosti ochrany v kybernetickom. Na záver si tiež položíme otázku, ako veľmi treba odporúčané postupy uvedené v celom kurze dodržiavať.

Ochranné opatrenia

Najskôr si predstavíme špeciálnu distribúciu Linuxu, ktorá výraznejšie zohľadňuje tému bezpečnosti a nedohľadateľnosti.

Operačný systém Tails

Operačný systém Tails je Linuxová distribúcia zameraná práve na nedohľadateľnosť a bezpečnosť. Výhodou je, že všetko je bezpečne predkonfigurované a nemusíme teda Linuxu rozumieť nejako veľmi do hĺbky. Všetky pripojenia, nielen prehliadač, v ňom idú cez skôr spomínaný TOR net úplne automaticky. Zväzok systému je pripojený read-only, takže po vypnutí nezanechá naša práca na disku žiadne stopy atď.

Tails sa spravidla inštaluje na samostatný Flash disk, takže je aj prenosný.

Pokiaľ však Linuxu trochu rozumieme a myslíme to s bezpečnosťou vážne, tak si skôr nakonfigurujme vlastné. Môžeme vyjsť napríklad z minimálnej inštalácie Ubuntu. Tails má totiž aj niektoré nepríjemné nedostatky:

• Nie vždy ide na Flash disk napáliť – aspoň nie jednoduchým, oficiálnym postupom.
• Neumožní nám ani zašifrovať systémový disk.
• Pre niektoré Wi-Fi karty nie sú v jadre ovládače a ani ich tam z bezpečnostných dôvodov tak ľahko ako v normálnom Linuxe nedostaneme.

Podobné je to s inštaláciou niektorých ďalších programov. Ide napríklad o nástroje pre SIEM (Security Information and Event Management) alebo IDS (Intrusion Detection System). Preto je lepšie, ak si nakonfigurujeme alebo necháme pomôcť nakonfigurovať vlastný Linux.

Distribúcia Kali a Parrot

Ak sa naopak chceme venovať skôr hackingu, teda penetračnému testovaniu a forenznej analýze, skúsme distribúciu Kali alebo Parrot.

Ich opis a porovnanie by vydalo na samostatný článok, ktorý je nad rámec nášho kurzu. Upozorníme teda iba na skutočnosť, že opäť nepodporujú všetky typy Wi-Fi kariet. Niektoré z nich sa napríklad strašne bránia prechodu do promiskuitného režimu.

Webové prehliadače

Hoci pôvodný názov prehliadač odkazuje na prezeranie dokumentov primárne umiestnených na internete, fungujú dnešné prehliadače už skôr ako vlastný operačný systém. Ostatne taký Chrome OS nie je v zásade nič iné ako "prehliadač" Chrome. Ten navyše sťahuje a interpretuje kód umiestnený na internete kdekoľvek a od kohokoľvek. Nie je teda žiadny zvláštny problém mu z internetu podstrčiť na spracovanie úplne čokoľvek. Stačí potom chyba v jeho zabezpečení a nešťastie je na svete.

SandBox a VirtualBox

Bolo by preto z bezpečnostného hľadiska rozumné ho od zvyšku systému ešte explicitne oddeliť. Možno k tomu využiť tzv. SandBoxy, napr. Sandboxie-Plus. Jedinou vážnejšou nevýhodou je, že prehliadač potom samozrejme neprepojíme ani s ďalšími funkciami systému, pokiaľ s nimi SandBox sám nepočíta (napríklad so správcom hesiel).

Ďalšou možnosťou je samozrejme vytvorenie celého virtuálneho počítača. K tomu je možné využiť napríklad Oracle VM VirtualBox. Toto riešenie je výhodné najmä v prípade, keď chceme súčasne na jednom počítači prevádzkovať dva rôzne operačné systémy súčasne.

Ochrany proti vynútenému prezradeniu hesla

Aj keď žijeme v štáte, kde máme možnosť odmietnuť štátnym orgánom naše heslo oznámiť, môžeme pokladať takú ochranu ako zvýšenie úrovne našej bezpečnosti. Vo svete sa určite ešte nájde množstvo krajín, kde môže byť táto funkcia úplne zásadná. V každom prípade šifrovací program VeraCrypt, ktorý sme v tomto kurze tiež preberali a odporúčali, tieto funkcie podporuje. Nájdete ich pod položkami Skrytý zväzok (Hidden volume) a Skrytý operačný systém.

SIM a siete mobilných operátorov

Do kyberpriestoru by sme zaradili aj použitie mobilných telefónov. Poďme si stručne v niekoľkých bodoch popísať základné predpoklady na zachovanie anonymity a nedohľadateľnosti:

• Pri nákupe predplatenej SIM karty nesmieme samozrejme platiť kartou. Rovnako tak nepoužijeme ani žiadnu inú identifikujúcu (napr. vernostnú) kartu.
• Ľahko nás možno identifikovať aj podľa toho, komu voláme alebo kto volá na také číslo nám!
• Sme si vedomí skutočnosti, že akonáhle sa prístroj so SIM raz prihlási do siete operátora, previaže sa spolu prístroj (kód IMEI), karta (kód ICCID) a telefónne číslo. A to prakticky navždy. Ak je jedno z toho kompromitované, musíme vyhodiť všetko.
• Pokiaľ prístroj zapneme opakovane alebo na dlhšiu dobu blízko iného prístroja, ktorý je k nám nejako dohľadateľný, kompromitovali sme ho. Záver je potom rovnaký ako v bode predchádzajúcom !
• To isté platí aj pokiaľ sa nám to podarilo pred bezpečnostnou kamerou, ktorej záznamy sa trvalo uchovávajú – napríklad pri bankomate.
• Pokiaľ sa nám to podarilo navyše na mieste, ktoré je s nami nejako zviazané (napr. náš byt či byt kamaráta), môžeme navyše „vyhodiť“ aj ten byt.
• Naša poloha sa zaznamenáva aj keď máme v telefóne všetko určovanie polohy vypnuté. Je k tomu potrebná len súčinnosť mobilného operátora, nie nutne ani toho nášho.

Presnosť lokalizácie závisí od mnohých parametrov. Pohybuje sa od 1,5 m až po pár stoviek metrov. V meste často nie je problém určiť s veľkou pravdepodobnosťou aj konkrétny byt, kde sme telefón použili. A to stále hovoríme len o civilných technológiách a nie napríklad vojenských!

Náš zoznam by v tomto prípade ešte mohol by som pokračovať, ale ako ilustrácia nám uvedené body bohato postačia.

Rozumná miera zabezpečenia

Téma primeraného zabezpečenia uveďme krátkym mottom:

Ľudia sa delia na dve skupiny - na tie, čo sú paranoidné moc a na tie, čo zase príliš málo. Druhá skupina je ale oveľa väčšia.

Prevažná väčšina toho, čo by sme asi radi utajili našťastie nikoho z profesionálov skutočne nezaujíma. (Teda pokiaľ nie sme vyložene teroristi pripravujúci útok zbraní hromadného ničenia). A ak polovica ich práce spočíva – obrazne povedané – v tom, že majú „vedieť všetko“, tak k tej druhej zase patria „zásady mlčanlivosti“. Aj keď sa občas pri svojej práci dozvie všeličo, o čom by vôbec vedieť nemuseli, nemusí nám to až tak vadiť. Väčšinou to naozaj pre nás nemá nejaké ďalšie negatívne následky.

V zásade sú tu také služby či inštitúcie naozaj preto, aby našu slobodu chránili a nie obmedzovali. Prostriedky na sledovanie s využitím operatívnej techniky tiež nie sú neobmedzené a tak sa každá prkotina týmto spôsobom spravidla nerieši.

Toľko k tej časti ľudí, ktorá je paranoidná zbytočne veľa.

Tá druhá časť ľudí by si ale mala uvedomiť, že zanedbávanie prostriedkov preventívnej ochrany môže predstavovať potenciálne nebezpečenstvo aj pre ich okolie. Často na to zrejme nemajú žiadnu zvláštnu motiváciu a umožňujú tak celkové zníženie stupňa bezpečnosti daného prostredia. Ako už sme si povedali na začiatku nášho kurzu, uniknuté informácie sa vrátiť späť nedajú. Nezmení to ani rozhodnutie nejakého súdu, aj keby sme boli desaťkrát v práve.

Ďalšou vecou je, že právo veci utajiť podľa nášho uváženia, úzko súvisí s našou osobnou slobodou. To nie je niečo, čo sa dá jednoducho niekomu odovzdať, nech to za nás zariadi. Ťažko budeme mať vždy a vo všetkom rovnaký názor na to, čo je pre nás dobré. Stále sa nájdu ľudia, ktorí si budú myslieť, že to vie lepšie ako my a budú nám to chcieť pre naše "dobro" vnútiť. Ak im potom bude zverené rozhodovanie o celej spoločnosti, musíme vedieť a mať právo sa brániť.

Aj preto by sme mali viac sledovať, aké zákony, potenciálne obmedzujúce naše súkromie, vláda schvaľuje. A občas treba poslať nejaký ten príspevok projektom, ktoré naše súkromie naopak chráni. O pár úplne konkrétnych sme sa v tomto kurze dozvedeli.

V nasledujúcom kvíze, Kvíz - Zabezpečenie e-mailu, telefónu a pracovného priestoru, si vyskúšame nadobudnuté skúsenosti z predchádzajúcich lekcií.