W dzisiejszych czasach, bezpieczeństwo komputera, to bardzo ważna sprawa. Wielkie firmy zbierają o nas mnóstwo informacji, rządy państw, w tym Polski, wykupują narzędzia do włamywania się na komputery swoich obywateli, do tego mamy ustawę inwigilacyjną, GIODO to już pewnie samo nie wie po co w ogóle istnieje, ransomware – czyli szyfrowanie dysku dla okupu, staje się plagą i weź tu człowieku korzystaj z komputera. Dlatego przygotowałem, mam nadzieję kompletny i w miarę aktualizowany, poradnik, jak bezpiecznie korzystać z komputera i innej elektroniki łączącej się z internetem.
Ostatnia aktualizacja: 14 maj 2018 r.
Spis treści
- Socjotechniki czyli „własna głupota”
- Czym się kierować przy wyborze laptopa?
- Jak zabezpieczyć laptop od strony programowej?
- Dodatkowe zabezpieczenia programowe
- Kontrola dostępu fizycznego
- Hasłologia
- Korzystanie z poczty
- Korzystanie z przeglądarki internetowej
- Smartfony i tablety (czyli urządzenia mobilne)
- Bezpieczne łączenie się z siecią
- Korzystanie z komunikatorów
- Dodatkowa ochrona prywatności
- Przypomnienie
- Na koniec coś ekstra dla huge nerdów
Socjotechniki czyli „własna głupota”
Obecnie, w natłoku wszelkiej maści zabezpieczeń komputerów, antywirusów, szyfrowań, coraz trudniej jest włamywaczom obchodzić te zabezpieczenia. Dlatego też wymyślają oni wszelkie metody inżynierii społecznej aby to użytkownik sam zainfekował sobie komputer, ułatwiając włamywaczowi obchodzenie zabezpieczeń. Tak jest po prostu prościej! Dlatego ważne jest aby mieć jak największą świadomość tego, jak mogą działać osoby chcące Ci zaszkodzić. W socjotechnice, często wykorzystuje się:
- ciekawość ofiary, zachęcając, np. do obejrzenia sensacyjnych materiałów, czy do otworzenia załącznika w e‑mailu, podając fałszywą, niezapłaconą fakturę (skrywające oczywiście, złośliwe oprogramowanie),
- niedostateczną wiedzę informatyczną, np. oferując ofierze fałszywy program antywirusowy, który tak naprawdę jest szkodnikiem,
- zaufanie do instytucji, np. spreparowane strony internetowej czy e‑maila, udające korespondencję od zaufanej instytucji, jak bank, urząd pocztowy, kurier, itp.,
- strach przed instytucjami, np. pisma z sądu, kancelarii prawnych, nawet wymyślonych instytucji, straszących paragrafami. Przy okazji, pamiętaj: instytucje są dla Ciebie, aby Ci służyć, nie Ty dla nich, więc nie ma się co ich bać!
Pamiętaj, że żadne zabezpieczenia, czy to programowe czy techniczne (o których jest też ten wpis), nie pomogą, jeżeli sam/a, przez nieuwagę, zainstalujesz sobie szkodnika.
Czym się kierować przy wyborze laptopa?
-
System operacyjny GNU/Linux lub jeżeli o zamkniętym kodzie, to najlepiej przeznaczony dla firm (np. Windows Pro, Enterprise). Unikaj jednak Windows 10 – nie jest to bezpieczny system dla twoich danych i prywatności. Z systemów od Microsoft polecam Windows 7.
Dlaczego Linux?
- Jest wydawany z otwartym kodem źródłowym, dzięki czemu trudniej w nim dokonać „tylnych furtek”, czy luk w systemie, jako że mając wgląd do kodu źródłowego, wiele osób może sprawdzić i wykryć, że coś tu nie gra.
- Systemy Linux zaprojektowane są z myślą o bezpieczeństwie, gdzie, np. domyślnie pracuje się na koncie zwykłego użytkownika z ograniczonymi uprawnieniami.
- Linux jest mniej popularny na komputerach domowych (około 2% wszystkich desktopów), dzięki czemu jest dużo mniej narażany na ataki, jako że zwyczajnie nie opłaca się twórcom szkodników, atakować jedynie 2% wszystkich użytkowników internetu.
- Twórcami systemów GNU/Linux są społeczności pasjonatów, wolontariuszy rozproszonych po całym świecie, dlatego ciężej jest agencjom szpiegowskim, nakazywać współpracę, dla łamania zabezpieczeń.
- Nie wymaga rejestracji/aktywacji, czy podawania swoich danych osobowych.
- Nie zawiera reklam, czy ukrytych programów szpiegujących dodawanych przez producentów sprzętu, jak np. Superfish od Lenowo.
- Wszelkie aplikacje instalowane z repozytoriów, otrzymują aktualizacje, dzięki czemu nie musimy pamiętać o samodzielnym sprawdzaniu czy są do nich aktualizacje. Poza tym, aplikacje nie zawierają dodatkowych malware, często dodawanych do samodzielnych instalatorów na inne systemy.
- GNU/Linux jako wolne oprogramowanie, daje nam wolność jego użytkowania. Możemy ten system swobodnie modyfikować, ulepszać, zmieniać, rozpowszechniać, kopiować. Możemy mieć własną kopię i być jego pełnoprawnym właścicielem a nie tylko licencjonowanym użytkownikiem.
Jeżeli Windows, to dlaczego dla firm a nie edycja domowa (Home)? Dlatego, że wersje dla przedsiębiorstw posiadają więcej możliwości, jak np. narzędzie BitLocker (ale nie używaj tego na Windows 10 – o tym poniżej) do szyfrowania dysków, czy większe możliwości przydzielania dostępów do zasobów komputera, poszczególnym użytkownikom.
Poza tym, jakikolwiek system wybierzesz, ważne jest aby był on wspierany i rozwijany. Tak więc, np. używanie Windows XP, którego wsparcie zakończyło się 8 kwietnia 2014 roku, jest już mocno ryzykowne, ponieważ Microsoft nie wydaje już dla tego systemu poprawek bezpieczeństwa (poza bankomatami). Weź także pod uwagę, że jakiekolwiek wsparcie dla Windows 7 zakończy się 14 stycznia 2020, dla Windows 8 – w 2023 roku.
Wybierając system GNU/Linux, zwróć uwagę czy wybrałeś/aś dystrybucję LTS (ang. Long Term Support), czyli dystrybucję z długim okresem wsparcia. Na przykład Ubuntu LTS wydawany jest co 2 lata i ma pięcioletni okres wsparcia. Ostatnio wydaną wersją Ubuntu LTS jest wersja 18.04 (wydana w 2018), więc wsparcie dla tej wersji zakończy się w 2023 roku. W między czasie użytkowania wersji LTS, warto aktualizować system, do kolejnych wersji LTS, zachowując ciągłość wsparcia i aktualizacji.
- System operacyjny 64 bitowy. Obecnie jest to podstawa – są to nowocześniejsze systemy obsługujące ponad 4 GiB pamięci RAM. System 32 bitowy wybierz tylko wtedy, gdy posiadasz bardzo stary komputer, tj. taki, którego procesor ma 32 bitową architekturę (sprzęt sprzed około 2003 roku) oraz ma 4 GiB pamięci RAM lub mniej. Chociaż w takiej sytuacji zalecam wymianę sprzętu na nowszy i zainstalowanie 64 bitowego systemu, jako że powszechnie odchodzi się od wspierania 32 bitowych systemów dla komputerów desktopowych.
- UEFI jako oprogramowanie wewnętrzne (firmware), zamiast przestarzałego BIOS‑u. UEFI zapewnia bezpieczny rozruch, który utrudnia złośliwym programom zagnieżdżenie się w nim, poprzez sprawdzenie certyfikatu systemu operacyjnego. Ma to zastosowanie jedynie w systemach Windows. Dla Linux trzeba się bardziej nagimnastykować i np. samemu podpisać sobie system własnym certyfikatem, jeżeli chcemy z tego zabezpieczenia skorzystać. Choć dla Linuxów jest to nad wyraz nadgorliwe.
- Wbudowany TPM (Trusted Platform Module), specjalny mikroukład wspierający funkcje bezpieczeństwa i szyfrowania, biorący udział np. przy szyfrowaniu dysku, czy ustanawiania hasła do UEFI/BIOS‑u.
Jak zabezpieczyć laptop od strony programowej?
- Na co dzień, korzystaj z konta zwykłego użytkownika (bez praw administratora). Pod tym względem domyślnie działają systemy GNU/Linux. Jest to istotne, aby utrudnić automatyczną instalację złośliwego oprogramowania lub gdy dojdzie do zhakowania Twojego komputera, wówczas intruz będzie miał bardzo ograniczony dostęp do wrażliwych zasobów komputera.
- Dla swojego konta użytkownika, ustaw hasło do logowania. W ten sposób po uruchomieniu komputera i załadowaniu systemu operacyjnego, wymagane będzie podanie hasła. Dzięki temu zabezpieczysz się przed używaniem Twojego komputera przez osoby niepowołane. Innymi, często spotykanymi zabezpieczeniami, zamiast hasła jest używanie danych biometrycznych, np. skanowanie odcisku palca, twarzy, itp. Wg mnie, jednak hasło jest najmniej kontrowersyjnym rozwiązaniem pod względem zaufania do przekazywania danych biometrycznych o sobie. Poza tym, odcisk palca ma się jeden, więc wymiana na inny, nie będzie tak prosta jak wymiana hasła.
- W systemie ustaw sobie wygaszacz ekranu wraz z blokadą ekranu, który włączy się automatycznie maksymalnie, np. po 10 minutach bezczynności. Jest to istotne w przypadku, gdy odejdziesz od komputera i zapomnisz go zablokować. Wówczas niepowołane osoby mogą mieć do niego łatwy dostęp. Gdy ustawisz wygaszacz z blokadą, wówczas przy powrocie do pracy z komputerem, trzeba będzie go odblokować poprzez podanie hasła do Twojego konta (czyli tego samego co przy logowaniu się). Hasło właśnie uchroni Twój komputer przed dostępem osobom nieuprawnionym.
- Odchodząc od komputera zablokuj ekran (oczywiście ma to sens gdy ustawisz sobie wygaszacz z hasłem, co jest opisane w punkcie wyżej). Gdy tego nie zrobisz, to osoby postronne będą mogły „dłubać” w twoim komputerze (przynajmniej do czasu włączenia się wygaszacza automatycznie po upływie zadanego czasu). Dlatego warto wpoić to sobie w nawyk. Aby zablokować ekran, najprościej jest użyć odpowiedniej kombinacji klawiszy. Dla systemu Windows: [Win] + [L], dla Linux przeważnie: [Ctrl] + [Alt] + [L].
- Pracując z danymi osobowymi, upewnij się, że nikt nie zagląda Ci w ekran. Najlepiej zatem usiąść pod ścianą – ma to także walory psychologiczne, gdzie widzisz cały pokój i pewność, że nikt Cię od tyłu nie zajdzie :-) W pociągu możesz użyć filtra prywatyzującego, czyli nakładki na ekran, dzięki której Ty widzisz wszystko, a osoba patrząca z boku – ciemny ekran.
- Nie używaj pamięci USB z nieznanego źródła, jako że często w ten sposób przenoszone są wirusy. Zawsze też skanuj pendrive’y antywirusem, także swoje, które pożyczałeś komuś.
- Używaj programu antywirusowego, zwłaszcza dla Windows. Upewnij się, że antywirus ma włączoną funkcję aktywnego skanowania, oraz że jego baza antywirusów jest aktualna. Stosuj automatyczne aktualizacje. Dzięki temu zawsze masz pewność, że jesteś zabezpieczony/a. Uwaga! Przy zakupie nowego laptopa, często wraz z systemem Windows, dostarczane jest oprogramowanie antywirusowe, ale w ograniczonej czasowo wersji, np. do 30 dni. Po danym okresie, program przestaje się aktualizować. Pamiętaj: nieaktualny program antywirusowy jest gorszy od braku jakiegokolwiek antywirusa, gdyż daje złudne poczucie bezpieczeństwa. Uważaj także na darmowe, mało znane, programy antywirusowe, jako że mogą być oszustwem, instalującym wirusy a nie je wyłapującym. Ze znanych i sprawdzonych polecam Comodo, Avast, AVG.
Gdy używasz Linuxa, także zainstaluj antywirusa, wystarczy ClamTk, chociażby po to aby ręcznie przeskanować pocztę, pliki podręczne różnych programów pobieranych z internetu, pendrive’y, dyski zewnętrzne, które mogły mieć styczność z Windows. Mimo że wykryte szkodniki mogą nie mieć wpływu na Linuxa, ale warto to robić po to aby nie przenosić szkodników dalej. Uważaj jednak, gdyż ClamTk jest bardzo drobiazgowy i nie wszystko co wskaże za zagrożenie, rzeczywiście nim jest – więc nie pousuwaj sobie „zdrowych” plików! Jeżeli chcesz aktywnej ochrony, możesz skorzystać z Comodo dla Linuxa. - Używaj programu typu Firewall, tzw. zapora sieciowa. Program taki zapobiega łączeniu się innych komputerów z Twoim, gdyż często mogą to być niechciane połączenia skanerów sieciowych, poszukujących otwartych portów, przez które można połączyć się z Twoim komputerem i drążyć dalej dostęp do Twojego systemu operacyjnego, czy otoczenia sieciowego. Firewall automatycznie odcina takie próby połączenia. Pożądane połączenia zawsze możesz ustawić ręcznie lub automatycznie zapyta o nie firewall jeżeli będzie taka potrzeba.
- Zawsze aktualizuj system operacyjny, zwłaszcza krytyczne poprawki bezpieczeństwa. Każdego dnia, hakerzy, czy badacze bezpieczeństwa, znajdują luki w systemach operacyjnych, przez które można włamać się do Twojego komputera. Gdy taka luka zostanie ujawniona, rozpoczyna się wyścig włamywaczy z twórcami podatnego oprogramowania. Włamywacze zawsze dążą do jak najszybszego wykorzystania luki, zanim zostanie opracowana aktualizacja. Gdy dojdzie do takiej sytuacji, mamy do czynienia z luką zwaną 0‑day (czyli nie mającej, ani jednego dnia zwłoki z wprowadzeniem łatek – trzeba to zrobić natychmiast, jako że luka jest już wykorzystywana przez szkodniki). Zatem gdy nie aktualizujesz swojego systemu operacyjnego (lub używasz takiego, który nie jest już wspierany), ciągle pozostajesz narażony na potencjalne zagrożenia. Poza systemem operacyjnym warto także aktualizować przeglądarkę internetową, Flash Playera, Java’ę, jako że także są często „dziurawe” i wykorzystywane do włamań.
- Nie instaluj „skrakowanych” (ang. crack) programów/systemów operacyjnych z nieznany źródeł. Po pierwsze nie wiadomo kto i dla jakich celów dokonał cracka. Dlatego takie aplikacje mogą zawierać szkodniki czy tylne furtki otwierając zdalny dostęp do Twojego komputera. Zamiast tego, poszukaj darmowych odpowiedników programów, które Cię interesują (wolne oprogramowanie lub open source) albo wykup licencję uprawniającą Cię do używania oryginalnej kopii.
- Oprogramowanie pobieraj z oficjalnych stron twórców danego oprogramowania. Istnieje wiele stron pośredniczących, z których można pobrać wszelkie programy, jak „instalki”, „programosy”, „dobreprogramy”, itp., które także często instalują dodatkowe, niechciane aplikacje, malware, reklamy, toolbary do przeglądarek, itp.
A nawet jak instalujesz program z oficjalnego źródła, zawsze zwróć uwagę na instalację zaawansowaną i wybieraj tę opcję. Bardzo często, pod szybką i „zalecaną” instalacją, kryje się instalacja dodatkowych, niechcianych programów. Zatem nie klikaj bezmyślnie na „Dalej” tylko dokładnie czytaj co instalujesz. Dobrze omawia to film Dawida. - Gdy używasz Windows Vista lub Windows 7, nie wyłączaj Kontroli konta użytkownika (ang. User Account Control, w skrócie: UAC). Opcja ta często opisywana jest jako zbędna i denerwująca, jako, że przy każdej instalacji czy uruchomieniu jakiegoś programu, UAC żąda od użytkownika dodatkowego potwierdzenia, czy rzeczywiście chcemy dany program uruchomić. Rzeczywiście może być to bardzo denerwujące. Jednak jest bardzo przydatne, gdy np. malware będzie próbowało potajemnie, uruchomić jakiś program. Wtedy UAC poinformuje nas o tym! Jest to wówczas cenna informacja, raz – że nie zostanie, samoczynnie zainstalowane malware, dwa – wiemy że coś jest nie tak z naszym komputerem i że warto go przeskanować.
- Rób kopie zapasowe, swoich ważnych plików i danych. Jest takie powiedzenie: „są dwa typy ludzi, ci którzy robią kopie zapasowe i ci, którzy będą je robić”. Kiedy kopia zapasowa się przyda:
- gdy zgubisz laptop lub zostanie skradziony,
- dysk twardy ulegnie awarii,
- przez nieuwagę zainstalujesz sobie ransomware, szkodnika, który szyfruje wszystkie pliki użytkownika, kopie przywracania systemu, jednocześnie żądając okupu w celu odzyskania zaszyfrowanych plików.
Kopie danych (ang. backup) przechowuj najlepiej w formie zaszyfrowanej (tym bardziej jeżeli zawierają dane osobowe lub inne wrażliwe informacje). Możesz użyć do tego, np. VeraCrypt – dzięki temu nikt bez znajomości hasła, nie odczyta plików z Twojej kopii zapasowej. Oczywiście zrobienie kopii zapasowej i trzymanie jej na tym samym komputerze nie jest zbyt mądre, dlatego przechowuj ją w co najmniej dwóch osobnych miejscach, np. pendrive’ach, dyskach zewnętrznych, płytach DVD, czy na innym Twoim komputerze.
- Dla użytkowników Windows: protokół WPAD (Web Proxy Auto-Discovery) jest dziurawy i podatny na ataki, polegające na wykradaniu poufnych danych jak loginy i hasła, nawet jeżeli korzystasz z połączeń szyfrowanych jak HTTPS czy VPN. Jeżeli nie korzystasz z WPAD – a jeżeli nie wiesz co to jest, to znaczy, że nie korzystasz – warto go wyłączyć. Jak to zrobić: Panel sterowania → Opcje internetowe → Połączenia → Ustawienia sieci LAN → odznacz „Automatycznie wykryj ustawienia”. Więcej o tym w niebezpieczniku.
Dodatkowe zabezpieczenia programowe
- Ustaw hasło do UEFI/BIOS‑u. Dzięki temu każda modyfikacja w UEFI/BIOS będzie możliwa tylko wówczas, gdy osoba wprowadzająca zmiany poda prawidłowe hasło. Bez znajomości hasła, uniemożliwi to rozruch innego systemu operacyjnego z zewnętrznego nośnika (LiveCD, LiveUSB), który ułatwił by podglądanie / skanowanie dysków twardych na komputerze.
- Zaszyfruj dysk twardy, o ile opcja szyfrowania całych dysków twardych jest dostępna w Twoim systemie operacyjnym. Systemy Windows dla firm (oraz Windows 8.1 Home) posiadają program BitLocker. Jednak jeżeli chodzi o BitLockera w Windows 10, to niestety przestał on pełnić tam swoją funkcję, gdyż automatycznie bez twojej wiedzy, klucze do zaszyfrowanego dysku, synchronizowane są na serwery Microsoftu, tym samym pozbawiając Cię prywatności – gdyż te klucze nie są już Twoje. Poza tym nigdy nie masz pewności kiedy i komu mogą zostać przekazana, np. organom rządowym. Dlatego pamiętaj o nie używaniu BitLockera na Windows 10 – najlepiej zapomnij o tym systemie.
Jeżeli chodzi o system Linux, to praktycznie każda nowoczesna dystrybucja posiada opcję szyfrowania dysku, która jest dostępna w trakcie instalowania systemu (warto z niej skorzystać).
Można także użyć osobnych programów jak VeraCrypt (zarówno na Windows jak i Linux) do szyfrowania całych partycji dysku czy tworzenia zaszyfrowanych wirtualnych dysków. Dlaczego warto zaszyfrować dysk? W przypadku zgubienia laptopa, można wyjąć z niego dysk twardy, podłączyć do innego komputera i bez problemów dostać się do zawartych tam danych. Gdy dysk jest zaszyfrowany, zadanie to będzie mocno utrudnione, a nasze dane wciąż zostaną poufne. - Laptopy wyposażone w mikroukład TPM, dysponują także oprogramowaniem umożliwiającym ustanowienie dodatkowej warstwy logowania, zanim załaduje się UEFI/BIOS i system operacyjny. Jest to dodatkowa opcja chroniąca przed dostępem do komputera, istotna gdy nasz laptop zostanie skradziony lub gdy go zgubimy. Warto z tego skorzystać i ustawić sobie hasło.
- Najnowsze procesory firmy Intel, z rodziny Intel Core i3, i5, i7 oraz Intel Xeon, posiadają wbudowany układ Intel Management Engine oraz w ramach niego Active Management Technology (AMT). Jest to osobny moduł zdalnego dostępu do procesora, posiadający niezależny dostęp do sieci, nawet gdy komputer jest wyłączony! Poza tym, nikt do końca nie wie, co się pod tym modułem kryje, jako że jest to strzeżona tajemnica producenta. Dodatkowo jest to łakomy kąsek dla przedostawania się tą drogą malware. Nam to, zazwyczaj do niczego nie jest potrzebne, dlatego najlepiej to wyłączyć w UEFI/BIOS o ile masz taką możliwość. Poszukaj takich opcji jak: „Intel ME”, „Intel AMT Control”, „Intel AT”, i tym podobnie brzmiących.
Kontrola dostępu fizycznego
- Aby zabezpieczyć laptop przed kradzieżą stosuje się linki Kensington (ang. Kensington Lock). Większość laptopów jest wyposażone w gniazdo Kensington, do którego przymocowuje się specjalną linkę z szyfrem. Przyczepioną do laptopa linkę, można opasać do jakiegoś trwałego elementu w pomieszczeniu czy budynku. Dzięki temu kradzież laptopa będzie mocno utrudniona, o ile ktoś nie ma przy sobie kartonika z rolki po papierze toaletowym (sic!).
Hasłologia
- Stosuj silne hasła, czyli trudne do odgadnięcia. Obecnym standardem jest, aby hasło zawierało wielkie i małe litery oraz cyfry lub znaki specjalne, oraz miało co najmniej 8 znaków. Przykład silnego hasła: hW6!t4r^&tF.
- Hasła nie powinny wskazywać na żadne Twoje dane (jak imię, data urodzenia, miejscowość zamieszkania, itp.) czy cechy, hobby, itp. Nie powinny zawierać tzw. wyrazów słownikowych, jak tytuły piosenek, cytaty, itp. łatwo dostępne zwroty, jako że będą łatwiejsze do odgadnięcia i złamania. Najlepiej opracować zlepek słów, czy sylab kompletnie nie powiązanych ze sobą. Niektóre osoby wymyślają sobie pewien system tworzenia haseł, np. z nazwy serwisu do którego się logują, jego adresu URL, itp. Zaletą jest to że wystarczy zapamiętać sposób tworzenia hasła, ale są też spore wady. Jeżeli nasz przepis na hasło będzie zbyt trywialny, np. nazwa serwisu pisana od tyłu, to jedno takie wykradzione hasło, może dać do zrozumienia niepowołanej osobie, w jaki sposób tworzymy wszelkie hasła i tym samym dać dostęp do innych naszych kont.
- Nie używaj tego samego hasła do wielu, różnych kont czy usług. Gdy tak zrobisz, to gdy ktoś wykradnie hasło z jednej usługi, będzie mógł zalogować się na inne Twoje konta czy do Twojego komputera.
- Nie zapisuj haseł na karteczkach, czy jawnych plikach w komputerze, telefonie, do których osoby trzecie mogą mieć swobodny dostęp.
- Używanie osobnych haseł do różnych usług, spowoduje, że po pewnym czasie, nie będziesz w stanie ich wszystkich zapamiętać. Dlatego powstały aplikacje zwane menadżerami haseł, takie jak KeePass. W programie tym możesz zapisywać wszystkie hasła do różnych usług, dzięki czemu nie musisz ich pamiętać! KeePass przechowuje je w postaci zaszyfrowanej, czyli nie można się do nich w prosty sposób dobrać. Wymaga to oczywiście zapamiętania tylko jednego hasła – do KeePass’a. Innym rozwiązaniem jest używanie po prostu VeraCrypt, którym zaszyfrujesz zwykły plik tekstowy z Twoimi hasłami i loginami. Oczywiście tutaj także musisz pamiętać tylko jedno hasło, do odszyfrowania przez VeraCrypt Twojego pliku. Dzięki tym rozwiązaniom możesz używać naprawdę silnych haseł, jako że nie musisz przejmować się ich zapamiętaniem oraz jednocześnie podnosisz bezpieczeństwo dostępu do swoich kont.
- Wiele firm, instytucji, organizacji, tworzy zestawienia najczęściej używanych haseł, aby też przestrzec przed ich nieużywaniem. Oczywiście są one także bardzo trywialne, jak: 123456, password, 12345678, qwerty, 12345, 123456789, football, 1234, 1234567, baseball, welcome, 1234567890, abc123, 111111, 1qaz2wsx, dragon, master, itp.
- Zmieniaj hasła. Te do bardziej wrażliwych danych, jak dane osobowe, nawet co 30 dni. Osoby chcące pozyskiwać dostęp do danych w sposób ciągły, mogą raz zdobyte hasło wykorzystywać przez cały czas, „tyko” do wglądu do danych, bez ich modyfikacji, tak aby pozostać niezauważonym. Jedynie zamiana hasła odetnie takie osoby od próby kolejnych nieautoryzowanych logowań. Ponadto, gdy otrzymasz od usługodawcy, sprawdzony komunikat, że nastąpił u nich wyciek danych i zalecają zmianę hasła – zrób to jak najszybciej. Upewnij się jednak, że ów wiadomość nie pochodzi od oszustów, wyszukaj zatem informacji o wycieku w internecie.
- Nigdy i nikomu nie przekazuj hasła, choćby podawał się za nie wiadomo kogo. Firmy czy instytucje, które poważnie podchodzą do ochrony danych, nigdy nie proszą swoich użytkowników o podawanie haseł. Jeżeli potrzebna jest zmiana hasła, to dobre systemy informatyczne są tak napisane, że to użytkownik sam nadaje sobie nowe hasło, ewentualnie przesyłane jest e‑mailem.
- Jeżeli system informatyczny, na którym się zarejestrowałeś/aś, podesłał Ci hasło e‑mailem, pierwsze co należy zrobić po zalogowaniu się tam, to zmienić hasło na własne – silne. E‑maile przeważnie nie są szyfrowane, więc po włamaniu się na skrzynkę pocztową, hasło z takiego maila, jest jawne do odczytania.
Korzystanie z poczty
- Jeżeli korzystasz z programów pocztowych, jak Thunderbird, czy Outlook, nie zaleca się zapamiętywać w nich, haseł do kont pocztowych. Hasła takie zapisywane są w plikach konfiguracyjnych owych programów w sposób jawny i dostępny dla osoby, która wie gdzie ich szukać. Natomiast jeżeli logujesz się na pocztę z przeglądarki internetowej, tak samo nie zapamiętuj w niej hasła do poczty.
- Nigdy nie ufaj załącznikom. Nawet jeżeli e‑mail wydaje się być dostarczony przez osobę, którą znasz lub firmę, z której usług korzystasz lub korzystałeś/aś. Oszuści, często wysyłają spreparowane e‑maile, np. z rzekomo nie opłaconymi fakturami, jakimiś problemami, dokumentami do zapoznania się, itp. Nigdy nie ufaj i nie otwieraj takich załączników, zwłaszcza jeżeli się ich nie spodziewałeś/aś. Jeżeli uruchomisz taki załącznik, jednocześnie możesz uruchomić groźnego wirusa, albo zalogować się na podstawioną stronę internetową, podając oszustom jak na tacy, swój login i hasło do ważnych usług, np. bankowych. Tutaj oszuści stosują tzw. socjotechniki, wzbudzając ciekawość lub strach, która skłania do otwarcia załącznika.
- Sprawdzaj dokładnie adres nadawcy e‑maila, zwłaszcza jeżeli list jest niespodziewany i coś od Ciebie chce. Oszuści często tworzą iluzorycznie podobną witrynę, wprowadzając w błąd użytkowników. Często w tym celu rejestrują domeny złudnie podobne do oryginalnych, np. w nazwie adresu e‑mail, mogą napisać „bnak”, zamiast „bank”.
- Nie klikaj w linki podawane w e‑mailach, zwłaszcza tych podejrzanych. Lepiej wejdź na daną stronę internetową, tak jak to zawsze robiłeś/aś, np. wpisując adres ręcznie, czy z zapamiętanej zakładki. W ten sposób, możesz też upewnić się, czy przekazywane w mailu informacje są prawdziwe czy spreparowane.
- Podejrzane i niechciane e‑maile oznaczaj jako spam. W ten sposób Twój klient poczty, nauczy się rozpoznawać takie same czy podobne e‑maile i od razu będzie je przenosił do spamu, nie zawracając Ci już więcej nimi uwagi.
- Nie odpisuj na podejrzane e‑maile. W ten sposób dasz sygnał, że Twój adres e‑mail jest aktywny i używany.
- Szyfruj e‑maile, którymi przesyłasz kody dostępowe, hasła, dane osobowe, itp. wrażliwe informacje lub w ogóle jeżeli dbasz o prywatność i nie chcesz aby osoby niepowołane czytały Twoje e‑maile (np. administrator serwera, czy cały świat po wycieku maili z serwera). To tak jakbyś list papierowy wysyłał/a bez zaklejonej koperty, albo w ogóle bez koperty, gdzie każdy po drodze może go przeczytać, i jeszcze zrobić odbitkę i przechowywać gdzieś w urzędzie pocztowym. Dlatego, tutaj rozwiązaniem jest szyfrowanie za pomocą GPG (GNU Privacy Guard). Do tego celu można użyć wtyczki enigmail do Thunderbirda. Polega to na tym, że każdy z użytkowników tworzy poprzez enigmail, parę kluczy: prywatny i publiczny. Kluczami publicznymi należy się wymienić, przesyłając je sobie nawzajem. Klucz prywatny zaś, należy strzec jak oka w głowie i nikomu nie udostępniać. Teraz jeżeli ktoś wyśle do Ciebie e‑maila, to zostanie on zaszyfrowany Twoim kluczem publicznym, i jedynie, osoba która posiada klucz prywatny (czyli Ty), będzie mogła go odszyfrować i odczytać. Bez klucza prywatnego, zobaczymy jedynie niezrozumiały ciąg znaków i liczb.
https://sekurak.pl/szyfrowanie-poczty-w-thunderbird/ - Rozważ założenia konta e‑mail np. na Proton Mail zamiast np. na popularnych gmailach czy innych, popularnych portalach. Proton mail został stworzony z myślą o prywatności, więc np. z automatu wszystkie e‑maile są szyfrowane. Ale uwaga. Bezpieczne szyfrowanie jest tylko między e‑mailami w domenie Protona. Gdy wyślemy e‑maila na skrzynkę spoza Proton Maila, to wiadomość będzie jedynie zaszyfrowana Base64 co bardzo łatwo odszyfrować choćby w onlione’owych dekryptorach.
- Zawsze aktualizuj programy pocztowe. Domyślnie aktualizacja następuje automatycznie i najczęściej wymaga jedynie restartu programu pocztowego.
Korzystanie z przeglądarki internetowej
- Korzystaj jedynie ze znanych i zaufanych przeglądarek jak Firefox, Chrome/Chromium, Opera. Jeżeli korzystasz z Maxthon to najlepiej, natychmiast przestań, jako, że przeglądarka ta przesyła na chińskie serwery, dane o Twoim systemie i odwiedzanych stronach internetowych. Artykuł o tym w zaufanatrzeciastrona.pl.
- Nie używaj opcji zapamiętywania haseł w przeglądarce (przynajmniej tych do wrażliwych kont). Hasła w przeglądarkach zapisywane są w sposób jawny, czyli łatwy do odczytania z plików konfiguracyjnych czy używając dostępnych opcji w przeglądarce.
- Ogranicz używanie wtyczek, podatnych na ataki, takich jak Flash Player, Silverlight czy Java. Najlepiej ustaw w opcjach aby przeglądarka pytała Cię czy załadować daną wtyczkę, zamiast ładować je automatycznie. Zabieg ten może Cię ustrzec przed automatycznym aktywowaniem złośliwego oprogramowania.
- Sprawdzaj certyfikaty i połączenia szyfrowane. Jeżeli coś jest nie tak z certyfikatem szyfrowania, dla danej strony internetowej, to przeglądarka najczęściej powiadomi Cię o tym, stosowną ikonką kłódki przy adresie strony. Możesz też kliknąć na ikonkę kłódki i sprawdzić informacje o certyfikacie, kto jest wystawcą certyfikatu i dla kogo jest przypisany.
- Zawsze aktualizuj przeglądarkę internetową. Domyślnie aktualizacja następuje automatycznie i najczęściej wymaga jedynie restartu przeglądarki.
- Zainstaluj przydatne rozszerzenia, jak:
- NoScripts, Ghostery albo Privacy Badger (blokuje wszelkie skrypty śledzące),
- HTTPS Everywhere (wymusza szyfrowane połączenia, o ile są dostępne).
Smartfony i tablety (czyli urządzenia mobilne)
- Zaszyfruj urządzenie. Wszelkie popularne, mobilne systemy operacyjne jak iOS czy Android, posiadają opcję zaszyfrowania dysku urządzenia. Jest to istotna opcja jeżeli urządzenie zostanie skradzione lub zgubione. Wówczas osoby nieupoważnione, będą miały bardzo utrudniony dostęp do danych na dysku. Za każdym razem, gdy zrestartujesz urządzenie, wymagane będzie podanie hasła do zaszyfrowanego dysku, zanim jeszcze uruchomiony zostanie system operacyjny. W systemie Android, zaszyfrować dysk można w każdej chwili, bez utraty danych.
- Ustaw blokadę ekranu. Dzięki temu, gdyby ktoś chciałby skorzystać z Twojego urządzenia, to najpierw będzie musiał go odblokować. Blokada ekranu może polegać na podaniu kodu PIN, podania hasła czy przesuwania palcem własnego wzoru wg schematu. Zalecam korzystać z hasła lub ewentualnie z kodu PIN. Z własnego doświadczenia zauważyłem, że rysowanie wzoru, poprzez przesuwanie palca po dotykowym ekranie, pozostawia dosyć trwały ślad na ekranie, dzięki czemu dużo łatwiej można go odtworzyć.
- Ustaw automatyczne blokowanie urządzenia, po zadanym czasie bezczynności. Proponuję dosyć krótkim, np. 10 sekund.
- Instaluj aplikacje tylko ze znanych i oficjalnych źródeł. Takimi źródłami są oczywiście oficjalne sklepy: Sklep Play (dla Android), App Store (dla iOS), Sklep Windows (dla Windows Mobile). Mimo to, także zachowaj ostrożność, jako że czasami także mogą się tam trafić złośliwe aplikacje.
- Skonfiguruj opcje prywatności. Powyłączaj synchronizację wszelkich aplikacji, z których nie chcesz wysyłać danych na serwery producenta, jak Google czy Apple. Tutaj, np. taka aplikacja Keep na Android, służąca do tworzenia notatek, które często mogą być bardzo prywatnymi notatkami, jest domyślnie synchronizowana, o czym często możemy nie wiedzieć. Innymi danymi, które są domyślnie synchronizowane to kontakty, dane o osobach, kalendarz, przeglądarka (historia odwiedzin, ulubione, otwarte zakładki – czyli wszystko to co przeglądamy), poczta e‑mail.
- Unikaj aplikacji, które wymagają do działania wiele uprawnień systemowych, co jest mało adekwatne do tego co robi dana aplikacja, jak dostęp do SMS-ów, telefonu, kontaktów, mikrofonu, geolokalizacji, kamery.
- Korzystaj z aplikacji skanujących przed szkodnikami. W oficjalnych sklepach znajdziesz ich wiele. Ja osobiście korzystam z Bitdefender Antivirus. Programy te skanują także na bieżąco inne aplikacje, które instalujemy, sprawdzając czy nie zawierają szkodliwego kodu.
- Aktualizuj na bieżąco system operacyjny urządzenia mobilnego. Niestety dla systemu Android jest to często utrudnione na poziomie operatora czy producenta urządzenia, którzy często nie kwapią się z aktualizacjami, gdyż operacje takie są kosztowne. Tutaj jedynie Androidy z linii Nexus otrzymują, automatycznie i dosyć szybko, wszelkie aktualizacje od Google’a.
- Połączenia telefoniczne, SMS‑y/MMS‑y mogą być łatwo podsłuchiwane, chociażby przez służby inwigilacyjne – dla których otrzymanie dostępu to żaden problem. Tutaj możesz zastosować open source-ową aplikację Signal (są wersje na iOS oraz Androida) i używać jej zamiast domyślnych aplikacji telekomunikacyjnych. Signal używa szyfrowanej komunikacji, dzięki czemu tylko odbiorca wiadomości lub rozmowy głosowej będzie w stanie ją odczytać – jednak aby było to możliwe, obie strony muszą korzystać z tej aplikacji. Jest niestety też i tutaj pewien myczek. Otóż Signal potrzebuje bardzo dużo danych o twoim urządzeniu, jak dostęp do geolokalizacji, SMS-ów, telefonu, aparatu, galerii zdjęć, mikrofonu, połączeń Wi-Fi, identyfikatora urządzenia oraz informacji o połączeniu. Pytanie zatem nad którym sam/a się zastanów, czy zaufać firmie WhisterSystems z Mountain View w Kalifornii. Za przemawia otwarty kod źródłowy aplikacji oraz to, że nawet Edward Snowden ją poleca.
- Poza rozmowami telefonicznymi oraz SMS-owaniem poprzez Signal, raczej unikaj z korzystania z mobilnych urządzeń na systemach iOS oraz Android, do pracy, z wrażliwymi danymi. Poprzez szereg domyślnych synchronizacji wszelkich Twoich danych z serwerami producentów, profilowania Twoich danych, odwiedzanych stron, nie są to bezpieczne systemy. Po prostu iOS oraz Android już od dawna działają podobnie jak obecnie Windows 10 – czyli poprzez brak poszanowania Twojej prywatności.
Bezpieczne łączenie się z siecią
- Bazuj na sprawdzonych producentach routerów, jak Asus, Cisco, D‑Link, Linksys.
- Nie używaj bezpośrednio routera od operatora, dostawcy internetu. Istnieje bowiem możliwość dostępu do routerów operatora przez agencje rządowe/inwigilacyjne oraz odczytywania z nich danych, jak adresy MAC kart sieciowych twoich urządzeń. Poprzez adresy MAC, jako najczęściej niezmienne oraz unikatowe dla każdego osobnego urządzenia, można jednoznacznie sprecyzować, że to z Twojego komputera nastąpiło połączenie. Zatem zakup dodatkowy router jako urządzenie pośredniczące i podepnij go pod router operatora, a Twoje komputery i urządzenia mobilne.
- Sprawdzaj poprawność adresów DNS ustawionych na routerze. Oszuści włamując się do ruterów, mogą podmienić w nich adresy DNS. Dzięki temu mogą śledzić cały ruch internetowy jaki przechodzi przez Twój router, a tym samym hasła czy inne wrażliwe dane.
- Zmień wszystkie domyślne hasła routera, administratora, itp. na własne – silne. Hasła domyślne są często łatwe do odgadnięcia lub wręcz są podawane w instrukcji obsługi dla danego modelu routera, które są dostępne w internecie, na stronach producenta.
- Zmień nazwę sieci WiFi (SSID), na taką, która nie będzie zawierała nazwy producenta routera, czy innych informacji mogących ułatwić atak na Twoją sieć.
- Stosuj szyfrowanie w sieci WiFi, najlepiej WPA-AES lub WPA2 z wykorzystaniem silnego i długiego hasła. Dzięki temu dane z urządzenia, np. laptopa przesyłane będą do routera w sposób zaszyfrowany, czyli podsłuchiwanie ich będzie znacznie utrudnione. Nie stosuj szyfrowania WEP – jest już rozpracowane i znane jako dziurawe.
- Jeżeli router ma taką opcję to udostępniaj sieć WiFi tylko dla wybranych adresów MAC. Dzięki temu, tylko Twoje urządzenia będą w stanie połączyć się z Twoją siecią, nawet gdyby wyciekło hasło do Twojej sieci WiFi.
- Aktualizuj firmware routera. Często wykrywane są krytyczne luki w zabezpieczeniach routerów, nawet poważanych marek, dlatego warto je aktualizować. Tutaj kolejna uwaga, aby nie korzystać bezpośrednio z routerów operatora, jako że najczęściej w umowie jest zapis, że jedynie operator może aktualizować oprogramowanie routera.
- Nigdy nie korzystaj z publicznych sieci WiFi. Nie masz tam gwarancji, że połączenia są szyfrowane oraz czy ktoś ich nie podsłuchuje. Publiczne sieci mogą być także wystawiane fałszywie przez oszustów, dla zbierania danych. Ewentualnie możesz tutaj skorzystać z usługi VPN (Virtual Private Network – Wirtualna Sieć Prywatna), która zapewni bezpieczne szyfrowanie połączenia.
Korzystanie z komunikatorów
- Popularne komunikatory dużych korporacji, jak np.: Skype (Microsoft), Messenger (Facebook), Hangouts (Google), współpracują z agencjami rządowymi, często także automatycznie skanują przesyłane treści pod kątem różnych słów, także profilują dane o nas i je sprzedają. Dlatego lepiej ich unikaj do podawania danych wrażliwych, loginów, haseł. Zalecane komunikatory to takie o architekturze rozproszonej, bez centralnego serwera, jak Bleep, Tox, czy innych opartych o łańcuch bloków Bitcoin.
- Uważaj na udostępnianie pulpitu. Jeżeli udostępniasz podgląd swojego pulpitu przez komunikator, upewnij się najpierw, że nie ujawnisz chronionych danych. Najlepiej wówczas pozamykaj wszelkie okna z wrażliwymi informacjami, tak abyś nie musiał/a się martwić o ich przypadkowe ujawnienie.
- Nie nawiązuj rozmowy z nieznajomymi, mogą to być oszuści. Najlepiej nie odpisuj, możesz także zablokować takiego użytkownika (przenieść go na „czarną listę”), tak, że już więcej nie otrzymasz od niego natrętnych wiadomości.
- Nie otwieraj przesyłanych plików, nawet od znanych Ci osób, jeżeli się ich nie spodziewałeś/aś. Najpierw zapytaj, czy dana osoba rzeczywiście coś Ci przesłała i co to jest.
Dodatkowa ochrona prywatności
- Zastąp wyszukiwarkę Google (i najlepiej zapomnij o niej), na taką która Cię nie śledzi, jak startpage.com lub duckduckgo.com. Google gromadzi o tobie informacje, takie jak wyszukiwane słowa kluczowe (czyli jednym słowem podajesz mu wszystkie swoje myśli), klikane linki, powiązane z twoim publicznym IP, tworząc Twój wirtualny profil osobowy. Po tym profilu można rozpoznać Twoje zachowania w sieci a tym samym z pewnym prawdopodobieństwem Cię zidentyfikować.
- Zainstaluj wtyczki do przeglądarki, które odcinają ze stron internetowych wszelkie skrypty śledzące. Takimi wtyczkami są: Privacy Badger, Ghostery czy NoScripts.
- Jeżeli używasz przeglądarki Firefox, to w oknie nowej zakładki wyłącz opcję „Sugerowane strony”. W ten sposób nie będziesz śledzony/a i Firefox nie będzie wyświetlał Ci kafelek z reklamami.
- Nie przechowuj wrażliwych danych w chmurach – to jest takich usługach jak OneDrive, Dropbox, Google Drive, itp. Jeżeli już to najpierw zaszyfruj te pliki, np. za pomocą programu VeraCrypt, używając silnego hasła.
- Jeżeli poważnie myślisz o prywatności to nie używaj Windows 10, ewentualnie jedynie do zabawy, np. z Xboxem czy dla gier korzystających z DirecX 12. Ale lepiej nie loguj się do danych wrażliwych, jak banki, prywatne pliki, nie przeglądaj internetu, nie wpisuj tam żadnych haseł, chyba że do osobnych kont służących jedynie do grania. Dla poważnych rzeczy używaj najlepiej GNU/Linux lub starszy wersji Windowsa.
Przypomnienie
- Wszystkie powyższe zabezpieczenia oraz porady, są niczym w porównaniu do Twoich beztroskich działań, gdzie sam/a możesz wyrazić zgodę na zainstalowanie wirusa, czy poprzez zapisywanie haseł na karteczkach, przylepianych do monitora. Zatem bądź czujny/a.
- Zastanów się co umieszczasz w sieci. Wszystko to co umieszczasz w Internecie, nawet prywatne e‑maile, traktuj jako publicznie dostępne, dla całego świata. E‑maile mogą wyciec, tak samo jak rozmowy w komunikatorach, prywatne zdjęcia na Facebooku czy dokumenty w Google Drive. Nigdy nie wiadomo, co może ulec wyciekowi, a przeróżne sytuacje już się zdarzały.
- Skrót PC pochodzi od Personal Computer, czyli komputer osobisty i tego się trzymaj. Zatem nie udostępniaj swojego komputera osobom trzecim, które np. mogą nie mieć żadnego pojęcie o bezpieczeństwie i omawianych tutaj rzeczach, przez co mogą nieświadomie narazić Twój komputer na zawirusowanie, wyciek danych, czy zaszyfrowanie wszystkich Twoich plików, uruchamiając ransomware z załącznika otrzymanego pocztą.
Tak samo nie pracuj na czyimś komputerze z ważnymi dla Ciebie danymi. Nigdy nie masz pewności, czy komputer taki nie ma jakiegoś malware, który wykradnie Twoje dane, hasła, itp. - Wylogowuj się z serwisów, zwłaszcza gdy logujesz się gdzieś, nie na swoim komputerze.
Na koniec coś ekstra dla huge nerdów
- Wyłącz całkowicie JavaScript w przeglądarce oraz pliki cookie. Niestety spowoduje to, że wiele stron przestanie funkcjonować prawidłowo. Tak to już jest – coś za coś.
- Używaj TOR-a. TOR to sieć, dzięki której możesz znacznie podnieść swoją prywatność, jako że TOR miesza połączenia różnych użytkowników tej sieci, tak że nigdy nie wchodzisz bezpośrednio na daną stronę, tylko po drodze Twoje połączenie przechodzi przez wiele węzłów sieci i w końcu trafia do Twojej strony docelowej, ale już nie jako Ty. Aby zabawa miała sens, musisz pamiętać, aby przepuszczać przez TOR cały ruch sieciowy ze swojego komputera, czyli także np. pocztę, komunikatory i inne aplikacje, które łączą się z internetem. Zrobisz to poprzez ustawienia połączenia z serwerem proxy, jako twojego klienta sieci TOR dla wszelkich aplikacji łączących się z internetem. Niestety i TOR ma swoje słabości także te związane z bezpieczeństwem, np. istnieje możliwość podejrzenia twoich danych i haseł.
- Przesiądź się na system operacyjny Tails (The Amnesic Incognito Live System). Jest to specjalna dystrybucja GNU/Linux, stworzona dla ludzi obawiających się o swoją prywatność, chociażby z powodów prowadzonego śledztwa, obaw o życie i zdrowie, itp. Tails domyślnie korzysta z sieci Tor, wszystko szyfruje, odcina skrypty śledzące, zmienia adres MAC karty sieciowej i robi wszelkie cuda wianki, abyś pozostał/a anonimowy/a. Najlepiej korzystać jako LiveCD/USB – nie zostawiasz śladów na dysku.
- Zamiast TOR‑a może zainteresuje Cię także ZeroNet. Jest to sieć wykorzystująca połączenia p2p, z rozwiązaniem znanym z Bitcoina, czyli Blockchain. ZeroNet podobno ma znacznie podnieść anonimowość i bezpieczeństwo, eliminując podatności na jakie są narażeni TOR-owicze.