Inzerce | Chci tu být také
Nejoblíbenější témata:
Další témata:
Nejoblíbenější témata:
Další témata:
Inzerce | Chci tu být také
Inzerce | Chci tu být také
Inzerce | Chci tu být také
Před několika týdny hackeři napadli twitterový účet agentury UPI a jménem papeže Františka na něm publikovali informaci, že začala třetí světová válka. Společně s tím byl napaden i účet New York Postu a jen pár dní předtím byla prolomena i twitterová hesla velitelství USA pro Blízký a Střední východ.
Podobných útoků stále přibývá a nemusí se jednat jen o Twitter, ale i o další sociální sítě, e-mailové schránky či samotné webové stránky. Jak je vůbec možné, že jsou při útocích hackeři úspěšní, a jak se jim můžeme bránit? Zeptali jsme se Vratislava, IT konzultanta ze společnosti Unicorn Systems.
Proč se sociální sítě stávají cílem hackerů?
Velké internetové služby obecně jsou pro hackery lákavým soustem ať už kvůli vlastnímu zviditelnění, nebo potenciálnímu zisku, takže riziko jejich napadení není malé. Sociální sítě nejsou výjimkou. Obrana je přitom složitá a nákladná. Provozovatelé těchto služeb do zabezpečení určitě investují, ale 100% bezpečnosti ve světě informačních technologií dosáhnout nelze. Tím se IT ani nijak neliší od reality. Ačkoliv jsme bezpečná země uprostřed Evropy, i u nás může dojít k podobné události jako před několika dny v Uherském Brodu…
Jak může někdo hacknout něčí profil na sociální síti?
To je široká otázka. Je samozřejmě možné, že hacker pronikne do databáze sociální sítě a zmocní se tak hesel k uživatelským účtům – to se stalo v roce 2012 síti LinkedIn. Poslední podobný případ, útok na Sony Pictures Entertainment z listopadu loňského roku, máme ještě v živé paměti.
Inzerce | Chci tu být také
Druhou, a podle mě mnohem pravděpodobnější variantou je, že hackerům jejich život značně usnadňujeme my sami – používáme příliš jednoduchá hesla nebo si je málo hlídáme. Lidé se obecně bojí toho, co je pro ně neznámé, takže když svedeme vlastní nedbalost na hackera, záhadnou „temnou sílu internetu”, zní to docela uvěřitelně. Jenže tím „hackerem” je většinou třeba bývalý kolega z práce nebo bývalý zaměstnanec našeho dodavatele, který se k uživatelskému účtu dostal třeba jen náhodou a později se mu hodil při vyřizování účtů.
Pokud vím, komu zavolat, a umím se správně zeptat, nemusí pro mě být nijak složité získat účet k vašemu firemnímu Twitteru třeba od vaší asistentky. Nebo jí pošlu mail s nabídkou produktu zdarma, podmíněnou registrací. Při troše štěstí vyplní při registraci stejné jméno a heslo jako do jejího facebookového účtu. Vůbec tedy nemusím být hacker, spíš přesvědčivý herec a dobrý psycholog.
Je to tedy spíše vina přímo dané sociální sítě nebo samotného uživatele?
V tomto případě si myslím, že jde spíš o chybu uživatele. Bližší informace o tomto „hackerském útoku” zatím zveřejněny nebyly, takže je to pouze spekulace, ale předpokládám, že někdo zneužil přihlašovací údaje k twitterovým účtům daných organizací, ke kterým měl v rámci svých pracovních povinností běžně přístup.
Není neobvyklé, že weby a profily těchto organizací spravují různé agentury, a účty tedy disponuje celkem široký okruh lidí. Mohlo také dojít třeba ke ztrátě nebo odcizení notebooku – při troše štěstí měl nálezce Twitter na takovém notebooku rovnou přihlášený. A pokud to byl notebook dodavatele, třeba PR agentury, mohlo být takto přihlášeno twitterových účtů hned několik.
Třetí možností je, že útočník heslo jednoduše uhodl – stačí se podívat na seznam nejpoužívanějších hesel. Je spočítané, že 100 nejpoužívanějších hesel tvoří 40 % všech hesel. Stačí mi tedy 100 pokusů a mám statisticky 40% šanci, že se do systému přihlásím vaším účtem…
A protože člověk je tvor líný, často používáme stejný účet na řadě různých míst. Pokud už se tedy někdo dostane k našemu účtu pro Twitter, nejspíš mu stejně dobře poslouží i pro editaci webu.
A ještě poznámka: všimněte si, že tyto „hackerské útoky” zjevně využívaly standardní uživatelské rozhraní internetové služby, žádná zadní vrátka. Takže šlo opravdu spíš o hackera-uživatele než hackera-IT specialistu.
Jak se uživatel může bránit?
Rady jsou notoricky známé. Předně používat netriviální hesla – dostatečně dlouhá, se speciálními znaky, typicky se ve slovech nahrazují písmena podobně vypadajícími čísly a znaky (B = 8, S = $ a podobně). Hesla nosit v hlavě, ne na papíře nalepeném na notebooku. Hesla nikdy a nikomu nesdělovat. A v neposlední řadě používat pro různé služby různá hesla, například nesdílet stejný login pro Facebook i pro internetové bankovnictví.
Asi daleko horší mohou být útoky na e-mailové schránky a webové stránky. Jak se postup liší od postupu při napadání sociálních sítí?
Nijak zásadně, sociální síť i webmail je pořád webová stránka. S e-maily je situace trochu složitější, protože k nim lze přistupovat více způsoby než jen přes webmail a jsou více „v pohybu” – jeden a tentýž e-mail se nachází na stanici odesílatele, příjemců i na serveru. Standardní protokoly mailové komunikace jsou navíc z principu nezabezpečené. Ochrana mailů je proto komplexnější úkol.
Věnujme se tedy první e-mailům. Co tedy můžeme udělat pro to, abychom je měli v bezpečí?
Pokud máte v e-mailech opravdu citlivá data, používejte e-mailového klienta na vaší pracovní stanici a odesílané e-maily šifrujte, například PGP klíčem. Optimálně si zašifrujte i pevný disk vašeho počítače – umí to například bezplatný nástroj TrueCrypt nebo služba BitLocker, která je součástí některých verzí operačního systému Windows. Hesla k certifikátům a webmailům pak spravujte podle už zmiňovaných pravidel.
V korporátním prostředí se navíc čím dál více prosazují systémy pro prevenci úniku dat (data loss prevention nebo data leakage prevention), které dokážou do jisté míry zamezit tomu, aby citlivá firemní data (třeba onen účet k Twitteru) někdo poslal mailem někomu mimo firmu.
Doporučujete využívat e-mailových služeb menších poskytovatelů, nebo raději využít například Gmailu? A proč?
Každá varianta má své plusy a mínusy – Google určitě dokáže dát do zabezpečení o několik řádů vyšší prostředky než malý lokální poskytovatel, zároveň je ale větším a lákavějším cílem. Osobně bych hlavně doporučoval nenechávat soukromá data v e-mailové schránce a raději bych využil služeb, které jsou pro uchování takových dat vybaveny lépe, třeba do cloudových datových úložišť. Opravdu citlivá data bych navíc zašifroval.
Spíš než riziko napadení Gmailu ale vnímám jako problém to, že tyto „velké” služby si vyhrazují právo používat data, která jim svěříte, ke svému podnikání. Google se nijak netají tím, že e-maily ve vašem Gmailu používá k dolování dat. Na jednu stranu tedy řešíme zneužití vašich dat hackerem, na druhou stranu ale ta samá data dáváme, často nevědomě, třetí straně zcela dobrovolně.
Gmail například nabízí dvoufázové ověření, kdy kromě hesla musíme zadat i kód, který nám přijde v SMS. Je to maximum, co lze udělat? A stačí to?
Je to určitě přidaná hodnota, ale k mailboxu na Google se můžete přihlásit i přes e-mailový protokol IMAP a ten takové ověření vyžadovat nebude. Ověření přes SMS používá Google hlavně kvůli svým ostatním službám, u e-mailu to podle mě zvláštní význam nemá.
Co ty webové stránky? Jak lze napadnout ty?
Možností je celá řada. Ta nejjednodušší funguje stejně jako u sociálních sítí – pomocí loginu se přihlásím ke správě webu a upravím, co potřebuji. Jsou ale i sofistikovanější způsoby. Můžu například prolomit heslo k FTP, které se používá ke vzdálené správě obsahu webu, a nahrát na web vlastní stránku. To může hrozit zejména u veřejných webhostingových služeb.
Uživatele také můžu přesměrovat na úplně jiný server, na který umístím vlastní obsah – původní web zůstane nedotčený, ale uživatel vidí obsah podvržený útočníkem, takže efekt je stejný.
Už několikrát jsme byli svědky toho, že útočníci napadli něčí web a získali z něj spoustu cenných dat. Co jako provozovatelé webu můžeme udělat pro to, abychom těmto situacím předcházeli?
Záleží, jaký web provozujete, s jakými daty web, resp. internetová služba pracuje, kde ho provozujete a kolik máte uživatelů. Pokud jste například e-shop, který pracuje s kreditními kartami, nemůžete si moc vybírat – kartová asociace vám nařídí, jaká opatření máte implementovat, jinak s vámi nebude spolupracovat.
Výčet dostupných opatření by vystačil na menší knížku. Za základ považuji bezpečnou aplikační platformu. V souvislosti s bezpečností nás asi většinou napadne antivir nebo firewall, ale podle statistik je více než 75 % útoků cíleno na softwarovou část webu, nikoliv infrastrukturu. Web musí být navržen tak, aby nebylo možné manipulovat s daty jinak, než zamýšlel jeho autor. Je nutné validovat data zadávána do vstupních polí, jinak mohou být náchylná ke zranitelnostem, jako SQL injection. Web by neměl být monolitická aplikace, ale měl by být rozdělen do samostatných vrstev pro přístup, aplikační logiku a data.
Je proto vhodné se při výběru systému pro správu webu řídit třeba i tím, jestli produkt prošel vhodnou certifikací. U software vyvinutého na míru, což je běžné u velkých e-shopů a dalších komerčních platforem, pak požadovat realizaci bezpečnostních a penetračních testů.
Samozřejmostí je také podepsání webu, resp. domény bezpečnostním certifikátem a šifrování komunikace mezi uživatelem a serverem. Správci webu musí respektovat odvětvovou praxi, zejména pokud se týká hesel k jejich účtům, přístupům k serverům a podobně.
A na zmiňovanou infrastrukturu samozřejmě také dojde. Web je potřeba zabezpečit firewallem, který řídí a kontroluje komunikaci mezi uživatelem a serverem i mezi komponentami systému navzájem, například mezi aplikační logikou a databází. Na serverech nesmí být software, který tam nemá co dělat – různé vzorové stránky instalovaných produktů, nepotřebné služby a podobně. Veškerý software, operační systém i aplikační platformu je potřeba udržovat aktualizovaný. Je potřeba přechodně uchovávat přístupové logy, abychom mohli identifikovat problém v případě, že už k napadení dojde. A tak dále a tak dále.
Měl by toto řešit provozovatel webu?
Spíše než se stát samoukem v oboru IT bezpečnosti bych doporučoval svěřit váš web poskytovateli, který vám dokáže bezpečný provoz webu zajistit. Na trhu jich je dnes už bohatý výběr. Můžete sice namítat, že si tím zaděláváte na problémy, které jsme už probírali, ale specializovaný poskytovatel hostingových služeb pořád dokáže zajistit vašim datům větší bezpečí než vy sami. A pokud už jste provozovatelem renomované internetové služby, máte tuto otázku nejspíš dávno vyřešenou :)
Jak tato pravděpodobnost úspěchu útočníka ovlivňuje např. využití bezplatných redakčních systémů, jako je WordPress, Drupal a další?
Stejně jako u jiných „balíkových” řešení a platforem je výhodou, že už byly mnohokrát testovány, a jsou tedy relativně bezpečné, na druhou stranu jsou také veřejně známé jejich nedostatky, což může útočníkovi práci naopak usnadnit. Použití těchto systémů bych proto určitě nezavrhoval, ale o to více bych se soustředil na druhotná bezpečnostní opatření – sledoval komunity, které tyto platformy vyvíjejí, aplikoval poslední aktualizace, případně se pomocí dostupných technologií snažil útočníkovi ztížit identifikaci používané platformy.
Kromě toho jsou na trhu pokročilé aplikační firewally, které do jisté míry dokážou suplovat bezpečnost samotné aplikační platformy – zachytí pokusy o zneužití chyby, kvůli které by jinak byl samotný systém zranitelný.
Bezpečnost serveru, na kterém je web umístěn, je v rukou jeho poskytovatele. Co nás jako klienty tedy má zajímat? Na co se poskytovatele zeptat?
Zajímejte se o informace i o to, jakým způsobem vám je poskytovatel dodá. Renomovaný poskytovatel nebude mít problém se s vámi podělit o koncepci svého zabezpečení, ale jen do určité míry – aby nevyzradil příliš v případě, že se za zákazníka jen vydáváte a chcete tyto informace zneužít. Renomovaný poskytovatel se také určitě pochlubí certifikací na některou z norem, např. ISO 27000. A na co se máte ptát už jsme si řekli.
Myslíte si, že bezpečnost v IT bude stále vyšší a že může předběhnout zdatnost útočníků?
Jasně a stručně: ne :-) Komplexita IT i jeho bezpečnosti se bude nadále zvyšovat, ale stejně tak porostou i schopnosti útočníků. Aktuální trend je spíš opačný – roste tzv. asymetričnost útoků, kdy osamocený hacker s využitím zanedbatelných prostředků v řádu stovek dolarů může zlikvidovat provozovatele celosvětové služby.
Ale pokud se vrátíme k původnímu tématu – nemyslím si, že by se tímto trendem musel trápit běžný uživatel internetu. Raději dělejme pro bezpečnost internetu všechno, co je v našich vlastních silách. Vždyť jde o pár jednoduchých zásad.
Tento článek/rozhovor vyšel před 9 lety. Informace v něm tedy již nemusí být aktuální, a proto vám doporučujeme, abyste je ověřili a dohledali si novější informace.
Veškerá doporučení, informace, data, služby, reklamy nebo jakékoliv jiné sdělení zveřejněné na našich stránkách je pouze nezávazného charakteru a nejedná se o odborné rady nebo doporučení z naší strany. Podrobnosti na odkazu zde.
Inzerce | Chci tu být také
Jirka ve svých 18 letech založil MladýPodnikatel.cz. Posledních skoro 10 let na něj zpovídá úspěšné osobnosti ze světa byznysu a vydává s nimi videorozhovory a podcasty, kterých má za sebou už více než 1 400. Jeho posláním je vzdělávat české a slovenské podnikatele, živnostníky, majitele firem a jejich zaměstnance. Pořádá také off-line akce, přednáší na vysokých školách a pomáhá s podnikáním ostatním v rámci konzultací. Časopis Forbes ho zařadil do žebříčku 30 pod 30 a získal řadu dalších ocenění a nominací.
Před 3 dny
Před 6 dny
Před 1 týdnem
Před 2 týdny
Cookie | Délka | Popis |
---|---|---|
cookielawinfo-checkbox-analytics | 11 měsíců | Tento soubor cookie je nastaven pomocí pluginu GDPR Cookie Consent. Cookie slouží k ukládání souhlasu uživatele s cookies v kategorii “Analytické”. |
cookielawinfo-checkbox-functional | 11 měsíců | Tento soubor cookie je nastaven pomocí pluginu GDPR Cookie Consent. Cookie slouží k ukládání souhlasu uživatele s cookies v kategorii “Funkční”. |
cookielawinfo-checkbox-necessary | 11 měsíců | Tento soubor cookie je nastaven pomocí pluginu GDPR Cookie Consent. Cookies slouží k ukládání souhlasu uživatele s cookies v kategorii “Nezbytné”. |
cookielawinfo-checkbox-others | 11 měsíců | Tento soubor cookie je nastaven pomocí pluginu GDPR Cookie Consent. Cookie slouží k ukládání souhlasu uživatele s cookies v kategorii “Ostatní”. |
cookielawinfo-checkbox-performance | 11 měsíců | Tento soubor cookie je nastaven pomocí pluginu GDPR Cookie Consent. Cookie slouží k ukládání souhlasu uživatele s cookies v kategorii “Výkonnostní”. |
PHPSESSID | relační | Tato cookie je nativním prvkem aplikací PHP. Tento soubor cookie se používá k ukládání a identifikaci jedinečného ID relace uživatele za účelem správy relace uživatele na webových stránkách. |
viewed_cookie_policy | 11 měsíců | Cookies jsou nastaveny pluginem GDPR Cookie Consent. Cookie slouží k ukládání informace, zda uživatel udělil souhlas s použitím cookies. Neukládá žádné osobní údaje. |
Cookie | Délka | Popis |
---|---|---|
language | relační | Tato cookie zaznamenává jazykové preference uživatele. |
sb | 2 roky | Tuto cookie používá společnost Facebook pro zapamatování si jazykových preferencí uživatele, kontrole funkcí a sdílených stránek. |
sp_landing | 1 den | Tuto cookies používá společnost Spotify za účelem implementace zvukového obsahu a také k zaznamenání informací o interakcích uživatele souvisejících s obsahem. |
sp_t | 1 rok | Tuto cookies používá společnost Spotify za účelem implementace zvukového obsahu a také k zaznamenání informací o interakcích uživatele souvisejících s obsahem. |
wordpress_logged_in_* | 14,5 dne | Cookie slouží k autorizaci přihlášení |
wordpress_sec_* | 14,5 dne | Cookie slouží k autorizaci přihlášení |
wordpress_test_cookie | ||
wpj_is_logged_in | 14,5 dne | Cookie slouží k informaci, zda je uživatel přihlášený |
Cookie | Délka | Popis |
---|---|---|
_ga | 2 roky | Tuto cookies používá společnost Google jako uživatelské ID, na základě kterého generuje statistická data o užívání stránek uživatelem. |
_gat | 1 den | Tuto cookies používá společnost Google k omezování počtu požadavků k omezení sběru dat na stránkách s vysokou návštěvností. |
_gid | 1 den | Tuto cookies používá společnost Google jako uživatelské ID, na základě kterého generuje statistická data o užívání stránek uživatelem. |
_hjAbsoluteSessionInProgress | 30 minut | Tato cookie počítá, kolikrát byla webová stránka navštívena různými návštěvníky. Tento proces je prováděn přidělením unikátního identifikátoru každému návštěvníkovi, aby nebyl do součtu zaregistrován dvakrát. |
_hjFirstSeen | 30 minut | Určuje, zda návštěvník tuto webovou stránku v minulosti již navštívil, nebo se jedná o nového návštěvníka. |
_hjid | 365 dní | Nastavuje unikátní identifikátor pro danou relaci. Tímto způsobem získává webová stránka data o návštěvníkově chování pro statistické účely. |
_hjIncludedInPageviewSample | 2 minuty (prodlužováno o 30 sekund) | Určuje, zda by měl být uživatelův pohyb registrován v určitém statistickém zástupném symbolu. |
_hjIncludedInSessionSample | 2 minuty (prodlužováno o 30 sekund) | Registruje data o návštěvníkově chování na webové stránce. Data jsou použita pro interní analýzu a optimalizaci stránky. |
_hjIncludedInSessionSample | 2 minuty (prodlužováno o 30 sekund) | Určuje, zda by měl být uživatelův pohyb registrován v určitém statistickém zástupném symbolu. |
_hjRecordingEnable | relační | Tato cookie se používá pro identifikaci návštěvníka a optimalizaci relevance reklam pomocí sbírání dat o návštěvníkovi z několika webových stránek. Tato výměna dat o návštěvníkovi je obvykle zprostředkována datovým centrem či reklamní výměnou třetích stran. |
_hjRecordingLastActivity | relační | Nastavuje unikátní identifikátor pro danou relaci. Tímto způsobem získává webová stránka data o návštěvníkově chování pro statistické účely. |
_hjRecordingLastActivity | Soubor cookie, který obsahuje data aktuální relace. | |
_hjTLDTest | relační | Registruje statistická data o návštěvníkově chování na webové stránce. Data jsou použita pro interní analytiku provozovatelem webové stránky. |
CONSENT | 2 roky | Tuto cookies používá společnost YouTube k ukládání prostřednictvím embeddovaných videí a využívá je k získávání anonymizovaných statistických údajù. |
hjViewportId | relační | Nastavuje unikátní identifikátor pro danou relaci. Tímto způsobem získává webová stránka data o návštěvníkově chování pro statistické účely. |
Vuid | 2 roky | Tuto cookies používá společnost Vimeo k ukládání statistických údajů o používání uživatelem, včetně informací o stránkách, které byly zobrazeny. |
Cookie | Délka | Popis |
---|---|---|
_fbp | 3 měsíce | Tuto cookies používá společnost Facebook a slouží k sledování Vašich návštěv. |
fr | 3 měsíce | Tuto cookies používá společnost Facebook a slouží k zobrazování reklamy v rámci inzertního systému této společnosti |
NID | 6 měsíců | Tuto cookies používá společnost Google a slouží k omezení zobrazení reklamy uživateli, ztlumení nežádoucí reklamy a měření účinnosti reklam. |
VISITOR_INFO1_LIVE | 6 měsíců | Tuto cookies používá společnost Youtube a slouží k měření a určení zobrazení rozhraní přehrávače. |
YSC | relační | Tuto cookies používá společnost Youtube a slouží k měření a sledování Vaší interakce. |
yt-remote-connected-devices | Neomezené | Tuto cookies používá společnost Youtube a slouží ji k získávání informací o nastavení při užívání YouTube přehrávače. |
yt-remote-device-id | Neomezené | Tuto cookies používá společnost Youtube a slouží ji k získávání informací o nastavení při užívání YouTube přehrávače. |
yt.innertube::nextId | Neomezené | Tuto cookies používá společnost Youtube a slouží k zaznamenání informací o tom, jaká videa uživatel viděl. |
yt.innertube::requests | Neomezené | Tuto cookies používá společnost Youtube a slouží k zaznamenání informací o tom, jaká videa uživatel viděl. |