Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Cyberbombki - podsumowanie
05 stycznia 2024 | CERT Polska | #cyberbombki

Okres świąteczny powoli dobiega końca, zatem najwyższy czas ostatecznie rozprawić się z cyberbombkami.

W grudniu przygotowaliśmy dla Was cykl „Rozbrajamy cyberbombki”, w którym obalaliśmy najpopularniejsze mity dotyczące cyberbezpieczeństwa.

Z naszych mediów społecznościowych mogliście dowiedzieć się:

  • Dlaczego zielona kłódka przy adresie strony nie gwarantuje bezpieczeństwa
  • Dlaczego w roku 2023/2024 nie trzeba obawiać się publicznych sieci WiFi
  • Dlaczego częsta zmiana hasła nie podnosi poziomu bezpieczeństwa.

W tym tekście chcemy rozwinąć powyższe tematy, ale też rozbroić naszą ostatnią cyberbombkę:

Czy temat cyberbezpieczeństwa dotyczy każdego?

Kłódka to (nie) bezpieczeństwo

Na początek wróćmy do zielonej kłódki. Popularny mit głosi, że jeśli obok adresu w przeglądarce widnieje symbol zielonej kłódki to jesteśmy bezpieczni. To niestety nieprawda.

Zacznijmy od początku. Czym w ogóle jest ta zielona kłódka?

Zielona kłódka przy adresie strony informuje o tym, że połączenie z serwerem jest szyfrowane, ponieważ strona posiada certyfikat TLS.

Tyle tylko, że certyfikat TLS jest bardzo łatwy do uzyskania i można dostać go za darmo. Z jednej strony to bardzo dobrze, bo rośnie ogólny poziom bezpieczeństwa sieci. Ale z drugiej strony sprawia to, że większość stron phishingowych ma adres zaczynający się od https i poprzedzony kłódką.

Ten paradoks zauważyli nawet twórcy przeglądarki Google Chrome, którzy mylący symbol kłódki postanowili zastąpić symbolem ustawień, który ma zachęcać użytkowników do zapoznania się z informacjami dotyczącymi odwiedzanej strony.

Zatem złota zasada: ważny jest adres odwiedzanej strony, nie to czy znajduje się przy nim kłódka.

Publiczne nie znaczy bezpieczne

Temat certyfikatów naturalnie prowadzi nas do zagadnienia publicznych sieci WiFi. Nie widzicie zależności? Nie szkodzi, o tym właśnie będziemy pisać.

Jak to jest z tym publicznym WiFi? W powszechnej świadomości utarło się przekonanie, że używanie takiej otwartej sieci w kawiarni, hotelu lub na lotnisku to proszenie się o kłopoty. A konkretnie? Że atakujący mogą wtedy podsłuchać nasz ruch i wykraść nasze hasła.

I owszem. Tak BYŁO.

Obecnie praktycznie cały ruch w Internecie jest szyfrowany właśnie za pomocą certyfikatów TLS, tak to dokładnie te od zielonych kłódek. Zatem dane, które można podsłuchać w publicznej sieci będą zaszyfrowane. A zaszyfrowane dane bez odpowiedniego klucza to po prostu nic niewart bełkot.

Hasła – nowsze nie znaczy bezpieczniejsze

Mieliśmy sporo pomysłów na tytuł tego rozdziału np.:

  • Hasła, niech ktoś zatrzyma tę karuzelę śmiechu
  • Dirty securing, czyli wirujące hasła
  • Nowsze jest zawsze lepsze, a ta zasada jest najstarsza, czyli jest najlepsza (Jak poznałem waszą matkę).

To o co chodzi z tymi hasłami? Badania dowiodły, że wymuszona cykliczna zmiana hasła sprawia, że staje się ono coraz prostsze. Czyli jest zupełnie odwrotnie niż wyobrażają sobie specjaliści od bezpieczeństwa w instytucjach, które wymagają takich zmian.

Nikt lub prawie nikt nie zmienia hasła:

vvpE_fRR9HXt na .!JNP@R8ktMW

To, co robi większość użytkowników wygląda raczej tak:

Moje_haslo1 na Moje_haslo2

Lub bardziej kreatywnie:

MojeBezpieczneHaslo1Styczen na MojeBezpieczneHaslo4Kwiecien

Jako istoty ludzkie nie lubimy się przemęczać. A już szczególnie nie lubimy zapamiętywać losowych ciągów znaków. Nic więc dziwnego, że na wymóg częstej zmiany hasła reagujemy jego uproszczeniem. To naturalne.

No dobrze. W takim razie jak pozostać w zgodzie z naszą ludzką naturą, a jednocześnie używać bezpiecznych haseł?

Trzy zasady:

  1. Najlepsze hasło to kombinacja kilku słów np. NaKolacjeZjemZielonePomidory
  2. Różne hasła do różnych usług
  3. Weryfikacja dwuetapowa

Lub jedna złota zasada, czyli korzystanie z managera haseł.

Jeśli interesuje was temat haseł, to zajrzyjcie do naszego poradnika, który znajdziecie tutaj.

Wreszcie nadszedł czas na ostatnią – sylwestrową cyberbombę.

Tak, temat cyberbezpieczeństwa dotyczy każdego

Często słyszymy, że cyberbezpieczeństwo to temat, którym powinny martwić się duże firmy, ważne persony i, oczywiście, politycy. Tymczasem, my, zwykli zjadacze chleba możemy sobie odpuścić, bo raczej nie staniemy się celem ataku.

No cóż, raczej nikt nie będzie nas śledził przez kamerkę i nie zażąda okupu za oddanie dostępu do fotek z wakacji. Ale:

  • Przejęcie konta na Facebooku
  • Phishing we wszystkich jego odmianach
  • Wyczyszczenie konta w banku
  • Kradzież tożsamości

To także są cyberataki. Może nie są spektakularne, ale mogą przysporzyć wielu kłopotów.

Cyberprzestępstwa to nie tylko wielkie i głośne sprawy. Większość ataków opiera się na skali, czyli masowym rozsyłaniu maili lub smsów z linkami do fałszywych stron płatności. Znacie smsy o wstrzymanej paczce i maile o jedynej i niepowtarzalnej okazji na inwestycję, prawda? To właśnie cyberataki. Niby niepozorne, a jednak mogą mieć fatalne konsekwencje.

Dlatego przypominamy – temat bezpieczeństwa dotyczy wszystkich.

I dlatego w 2024 planujemy dalej edukować i szerzyć wiedzę o cyberbezpieczeństwie i cyberhigienie. (i mamy trochę nadziei, że na naszej przyszłorocznej choince nie będzie już bombek, które rozbrajaliśmy w tym roku).

Udostępnij: