12. diel - Zásady bezpečnosti pri práci s mailami a webovými stránkami
V predchádzajúcej lekcii, Praktický postup bezpečného zálohovania dát , sme sa dozvedeli, ako bezpečné zálohovanie dát prakticky realizovať.
Dnes si v našom tutoriále ukážeme, ako správne využívať komunikáciu prostredníctvom emailu z hľadiska bezpečnosti a aké zásady dodržiavať pri prezeraní webových stránok. Vďaka tomu sa potom vyhneme nechcenému odovzdaniu citlivých informácií cudzím osobám či možným kybernetickým útokom.
Zabezpečenie elektronickej pošty
Elektronická pošta (email) patrí k najpoužívanejším spôsobom komunikácie. Bežne slúži aj na odovzdávanie dôležitých alebo dôverných firemných oznámení. Napriek tomu si väčšina užívateľov dodnes neuvedomuje, aké riziká pri tom podstupujú.
Riziká komunikácie prostredníctvom emailu
Pri používaní emailu by sme mali mať na mysli dve základné veci:
- Dáta prenášané emailom sú často verejné. V dnešnej dobe síce už existuje zabezpečený prenosový protokol (SMTP a IMAP nad SSL/TLS), ale stačí, aby ho jeden server na ceste prenosu nepodporoval a dáta sa potom prenášajú otvorene. Spomínané opatrenie navyše už z princípu nechráni dáta pred prevádzkovateľmi vlastných mailserverov. To platí minimálne o serveri, na ktorom máme svoju emailovú schránku.
Pokiaľ teda napr. používame Gmail je prevádzkovateľom mailservera spoločnosť Google a pod.
Existencia zabezpečeného prenosového protokolu teda nie je niečím, na čo sa môžeme spoľahnúť.
- V hlavičke prijatého emailu máme uvedené meno odosielateľa alebo jeho emailovú adresu. To však vôbec neznamená, že email od uvedenej osoby naozaj je. Je tam jednoducho napísané len to, čo tam potenciálne neznámy odosielateľ emailu sám napísal! Pričom podvrhnutie falošného autora, ktorý sa vydáva za banku alebo iný úrad, či za niekoho z našich známych, patrí k najčastejším metódam útoku ! Tie doteraz patria bohužiaľ stále medzi tie najúspešnejšie.
Možnosti zabezpečenia emailovej komunikácie
Najjednoduchším riešením je, že vlastné oznámenie nenapíšeme priamo do tela emailu, ale pošleme ho v zvláštnom dokumente ako prílohu. Svoj dokument, vytvorený napr. v MS Office alebo Libre Office, najskôr zašifrujeme a podpíšeme, ako bolo popísané v lekcii Šifrujeme jednotlivé súbory. Ak používame pre emaily iba bežné webové rozhrania, ako spomínaný Gmail od Google, tak nám väčšinou ani nič iné nezostáva.
Predchádzajúce riešenie je síce jednoduché, ale nie je úplne vhodné na častú komunikáciu. Navyše nie je príliš praktické ak používame utility ako kontakty, kalendár, úlohy a pod. Môže sa nám tiež občas stať, že sa „zabudneme“ a nejakú dôvernú informáciu nechtiac uvedieme aj v tele emailu, kde nie je zašifrovaná.
Ukážme si teda sofistikovanejšie riešenie v podobe vhodného emailového klienta či desktopovej aplikácie. Takáto aplikácia by mala za nás automaticky obsah emailu šifrovať. Je dobré, keď zvládne aj spolupracovať so službami najčastejších poskytovateľov emailových služieb, ako je Google a Microsoft. To nám práve umožní zdieľať napr. spomínané kontakty, v ideálnom prípade aj napríklad úlohy, kalendár a pod.
V súčasnosti sa používajú dva štandardy pre šifrovanie emailov: PGP (Pretty Good Privacy) a S/MIME (Secure/Multipurpose Internet Mail Extensions). US/MIME si musíme postrážiť, či ho náš poskytovateľ podporuje, ale u väčšiny moderných klientov ho možno už použiť.
Aplikácia pre šifrovanie emailov
Ak používame Office od Microsoftu, potom MS Outlook bude asi prvá voľba, ktorú môžeme skúsiť. Len kvôli tomu si však MS Office kupovať nebudeme. Preto si ukážeme ešte ďalšie alternatívy.
Aplikácia MS Outlook Express, čiže „Pošta“, ktorá je súčasťou Windows, uvedené funkcie nepodporuje!
Ako náhradné riešenie obvykle uvádzame nejaký open source program, dostupný pre všetky bežné desktopové platformy, ktorý býva často zadarmo, resp. platený z darov. Takým programom by mohol byť Thunderbird, ten je ale užívateľsky náročný. Pokiaľ ho budeme chcieť totiž prepojiť napr. so svojimi kontaktmi na Google, počítajme s tým, že sa pri tom riadne zapotíme. Možné to je, ale rozhodne to patrí medzi tie veci, ktoré už nikdy v živote nechcete robiť znova:)
Takže v tomto prípade urobíme výnimku a odporučíme komerčnú aplikáciu eM Client. Vie toho naozaj veľa a pritom zostáva jednoduchá, ako z hľadiska konfigurácie, tak aj z hľadiska následného ovládania užívateľom. Z týchto dôvodov ju mnohí užívatelia dávajú prednosť aj pred MS Outlookom:
- Napísaná je pod .NET a aktuálne je dostupná pre MS Windows a macOS. Port pre Linux sa plánuje.
- Nastavenie zvládne naozaj každý. Ponúka prehľadného sprievodcu a obsahuje vlastný (medzi používateľmi eM Client zdieľaný) adresár verejných kľúčov.
- Kľúče a certifikáty v nej môžeme priamo vygenerovať. Vie aj importovať naše existujúce kľúče, vytvorené v GPG či Kleopatre. Nijako nám teda nebráni použiť aj iné riešenia.
- Spolupracuje so všetkými bežnými službami, ako sú Google Workspace, iCloud, Office 365, Outlook, MS Exchange, MacOS Server, Kerio a ďalšie.
- Je rýchla a spoľahlivá. Všetko tam funguje. Má dobrú podporu aj v slovenčine.
- Na vyskúšanie plnej verzie máte 30 dní, ale najdôležitejšie funkcie, vrátane šifrovania, je možné používať aj potom. Takže sa môžeme uspokojiť aj s neplatenou verziou.
Zistil som, že pokiaľ z eM Client pošlem email zašifrovaný metódou PGP sám sebe na gmail, tak ho Google do schránky nedoručí, a to bez toho, aby ohlásil akúkoľvek chybu. Pokiaľ je len podpísaný, tak normálne príde. Prečo? Neviem. Google mi na otázku dodnes neodpovedal. Pokiaľ to teda budete skúšať, zašlite ho do inej schránky, než z ktorej ho odosielate.
Prezeranie webových stránok
Podobný problém, ako pri elektronickej pošte, existuje aj pri práci s prehliadačom. U neho je už dnes pomerne bežné, že komunikácia medzi webovým serverom a prehliadačom je automaticky šifrovaná pomocou protokolu HTTPS. To spoznáme zo začiatku URL adresy v adresnom riadku prehliadača, spravidla doplnené ikonou zámku. Neznamená to ale, že skutočne komunikujeme s tým správnym serverom, aj keď zobrazuje na pohľad rovnaké stránky !
Typický útok v tomto prípade vyzerá tak, že útočník najskôr vytvorí úplne rovnako vyzerajúce stránky. Napodobní web banky alebo čohokoľvek, kam sa cez prehliadač prihlasujeme a posielame dôverné informácie. Stránky spustia na svojom serveri a nám skúsia v SMS či emaile podvrhnúť odkaz na ne. Pokiaľ potom na takýchto stránkach dôverné informácie zadáme (v domnení, že komunikujeme napr. so svojou bankou), útočník sa ich samozrejme dozvie, pretože ich v skutočnosti posielame jemu.
Obrana je pomerne jednoduchá, avšak len málokto ju pozná a hlavne dodržiava:
- Pokiaľ pristupujeme na stránky, kde budeme zadávať dôverné informácie, neotvárajme ich nikdy z odkazu na iných stránkach, z nepodpísaných emailov či dokumentov, alebo dokonca zo SMS.
- Adresu zadáme ručne alebo využijeme záložku Obľúbené stránky v našom prehliadači, kde ju máme uloženú.
- Po otvorení stránky skontrolujme, či je doména v adresnom riadku prehliadača správna (napr. www.google.com) a nie len podobná.
Útočník môže samozrejme využiť aj rôzne kódovanie a stvoriť na
pohľad nerozoznateľný názov. Napr. CCCP
v latinke vyzerá
rovnako, ako CCCP
v azbuke, aj keď sú to pre počítač dve
úplne odlišné slová. Prepísané do latinky je CCCP
totiž
SSSR
. Väčšinou sa ale útočníci uspokoja s obyčajnou zámenou
jedného písmenka, prípadne koncovky domény (tzv. TLD). Stránky potom
mávajú adresu banka.com namiesto banka.cz a podobne.
Certifikáty webových stránok
Úplne najbezpečnejšou metódou je, keď si skontrolujeme certifikát navštívenej stránky. Ten totiž plní rovnakú úlohu, ako elektronický (digitálny) podpis pri dokumente či emaile. Nájdeme ho spravidla tak, že v prehliadači klikneme na ikonku zámku, ktorá signalizuje zabezpečené HTTPS spojenie. V zobrazenom okne klikneme potom na položku Pripojenie je zabezpečené a potom na ikonku certifikátu.
Ukážme si ako príklad certifikát stránok Moneta Money Bank:
Pokiaľ takýto certifikát chýba, alebo je vystavený pre inú doménu, prípadne inú organizáciu, potom v skutočnosti komunikujeme s niekým úplne iným, než si myslíme, a to úplne bez ohľadu na to, čo je na vlastnej stránke uvedené!
V ďalšej lekcii, Bezpečnosť pracovného priestoru - Hrozby a útoky , si predstavíme možnosti špionážnej techniky na získanie citlivých dát. Tie sú vo väčšine prípadov založené na preniknutí do nášho súkromného priestoru.