Pouze tento týden sleva až 80 % na e-learning týkající se C# .NET. Zároveň využij akce až 50 % zdarma při nákupu e-learningu. Více informací:
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.
Slevovy týden 3/50

Lekce 12 - Zásady bezpečnosti při práci s maily a webovými stránkami Nové

V předchozí lekci, Praktický postup bezpečného zálohování dat, jsme se dozvěděli, jak bezpečné zálohování dat prakticky realizovat.

Dnes si v našem tutoriálu ukážeme, jak správně využívat komunikace prostřednictvím emailu z hlediska bezpečnosti a jaké zásady dodržovat při prohlížení webových stránek. Díky tomu se pak vyhneme nechtěnému předání citlivých informací cizím osobám či možným kybernetickým útokům.

Zabezpečení elektronické pošty

Elektronická pošta (email) patří k nejpoužívanějším způsobům komunikace. Běžně slouží i pro předávání důležitých nebo důvěrných firemních sdělení. Přesto si naprostá většina uživatelů dodnes neuvědomuje, jaká rizika při tom podstupují.

Rizika komunikace prostřednictvím emailu

Při používání emailu bychom měli mít na mysli dvě základní věci:

  1. Data přenášená emailem jsou často veřejná. V dnešní době sice už existuje zabezpečený přenosový protokol (SMTP a IMAP nad SSL/TLS), nicméně stačí, aby ho jeden server na cestě přenosu nepodporoval a data se pak přenáší otevřeně. Zmíněné opatření navíc už z principu nechrání data před provozovateli vlastních mailserverů. To platí minimálně o serveru, na kterém máme svou emailovou schránku.

Pokud tedy např. používáme Gmail je provozovatelem mailserveru společnost Google apod.

Existence zabezpečeného přenosového protokolu tedy není něčím, na co se můžeme spolehnout.

  1. V hlavičce přijatého emailu máme uvedeno jméno odesílatele nebo jeho emailovou adresu. To ovšem vůbec neznamená, že email od uvedené osoby opravdu je. Je tam prostě napsáno jen to, co tam potenciálně neznámý odesílatel emailu sám napsal! Přičemž podvržení falešného autora, který se vydává za banku nebo jiný úřad, či za někoho z našich známých, patří k nejčastějším metodám útoku! Ty doposud patří bohužel stále mezi ty nejúspěšnější.

Možnosti zabezpečení emailové komunikace

Nejjednodušším řešením je, že vlastní sdělení nenapíšeme přímo do těla emailu, ale pošleme ho ve zvláštním dokumentu jako přílohu. Svůj dokument, vytvořený např. v MS Office nebo Libre Office, nejdříve zašifrujeme a podepíšeme, jak bylo popsáno v lekci Šifrujeme jednotlivé soubory. Pokud používáme pro emaily pouze běžná webová rozhraní, jako zmíněný Gmail od Google, tak nám většinou ani nic jiného nezbývá.

Předchozí řešení je sice jednoduché, ale není úplně vhodné pro častou komunikaci. Navíc není příliš praktické používáme-li utility jako kontakty, kalendář, úkoly apod. Může se nám také občas stát, že se „zapomeneme“ a nějakou důvěrnou informaci nechtěně uvedeme i v těle emailu, kde zašifrovaná není.

Ukažme si tedy sofistikovanější řešení v podobě vhodného emailového klienta či desktopové aplikace. Taková aplikace by měla za nás automaticky obsah emailu šifrovat. Je dobré, když zvládne také spolupracovat se službami nejčastějších poskytovatelů emailových služeb, jako je Google a Microsoft. To nám právě umožní sdílet např. zmíněné kontakty, v ideálním případě i třeba úkoly, kalendář apod.

V současnosti se používají dva standardy pro šifrování emailů: PGP (Pretty Good Privacy) a S/MIME (Secure/Multi­purpose Internet Mail Extensions). U S/MIME si musíme pohlídat, zda ho náš poskytovatel podporuje, ale u většiny moderních klientů ho lze už použít.

Aplikace pro šifrovaní emailů

Pokud používáme Office od Microsoftu, pak MS Outlook bude asi první volba, kterou můžeme zkusit. Jen kvůli tomu si však MS Office kupovat nebudeme. Proto si ukážeme ještě další alternativy.

Aplikace MS Outlook Express, neboli „Pošta“, která je součástí Windows, uvedené funkce nepodporuje!

Jako náhradní řešení obvykle uvádíme nějaký open source program, dostupný pro všechny běžné desktopové platformy, jenž bývá často zdarma, resp. placený z darů. Takovým programem by mohl být Thunderbird, ten je ale uživatelsky náročný. Pokud ho budeme chtít totiž propojit např. se svými kontakty na Google, počítejme s tím, že se u toho řádně zapotíme. Možné to je, ale rozhodně to patří mezi ty věci, které už nikdy v životě nechcete dělat znovu :)

Takže v tomto případě učiníme výjimku a doporučíme komerční aplikaci eM Client. Umí toho opravdu hodně a přitom zůstává jednoduchá, jak z hlediska konfigurace, tak z hlediska následného ovládání uživatelem. Z těchto důvodů ji řada uživatelů dává přednost i před MS Outlookem:

  • Napsaná je pod .NET a aktuálně je dostupná pro MS Windows a macOS. Port pro Linux se plánuje.
  • Nastavení zvládne opravdu každý. Nabízí přehledného průvodce a obsahuje vlastní (mezi uživateli eM Client sdílený) adresář veřejných klíčů.
  • Klíče a certifikáty v ní můžeme přímo vygenerovat. Umí i importovat naše existující klíče, vytvořené v GPG či Kleopatře. Nijak nám tedy nebrání použít i jiná řešení.
  • Spolupracuje se všemi běžnými službami, jako je Google Workspace, iCloud, Office 365, Outlook, MS Exchange, MacOS Server, Kerio a další.
  • Je rychlá a spolehlivá. Vše tam funguje. Má dobrou podporu i v češtině.
  • Na vyzkoušení plné verze máte 30 dnů, ale nejdůležitější funkce, včetně šifrování, lze používat i poté. Takže se můžeme spokojit i s neplacenou verzí.
eM Client: Pošta a správa certifikátů

Zjistil jsem, že pokud z eM Client pošlu email zašifrovaný metodou PGP sám sobě na gmail, tak ho Google do schránky nedoručí, a to aniž by ohlásil jakoukoli chybu. Pokud je jenom podepsaný, tak normálně přijde. Proč? Nevím. Google mi na dotaz dodnes neodpověděl. Pokud to tedy budete zkoušet, zašlete ho do jiné schránky, než z které ho odesíláte.

Prohlížení webových stránek

Podobný problém, jako u elektronické pošty, existuje i při práci s prohlížečem. U něho je už dnes poměrně běžné, že komunikace mezi webovým serverem a prohlížečem je automaticky šifrovaná pomocí protokolu HTTPS. To poznáme ze začátku URL adresy v adresním řádku prohlížeče, zpravidla doplněné ikonou zámku. Neznamená to ale, že skutečně komunikujeme s tím správným serverem, i když zobrazuje na pohled stejné stránky!

Typický útok v tomto případě vypadá tak, že útočník nejprve vytvoří úplně stejně vypadající stránky. Napodobí web banky nebo čehokoli, kam se přes prohlížeč přihlašujeme a posíláme důvěrné informace. Stránky spustí na svém serveru a nám zkusí v SMS či emailu podvrhnout odkaz na ně. Pokud pak na takových stránkách důvěrné informace zadáme (v domnění, že komunikujeme např. se svou bankou), útočník se je samozřejmě dozví, protože je ve skutečnosti posíláme jemu.

Obrana je poměrně jednoduchá, ovšem jen málokdo ji zná a hlavně dodržuje:

  • Pokud přistupujeme na stránky, kde budeme zadávat důvěrné informace, neotvírejme je nikdy z odkazu na jiných stránkách, z nepodepsaných emailů či dokumentů, nebo dokonce z SMS.
  • Adresu zadáme ručně nebo využijeme záložku Oblíbené stránky v našem prohlížeči, kde ji máme uloženou.
  • Po otevření stránky zkontrolujme, zda je doména v adresním řádku prohlížeče správná (např. www.google.com) a nikoli jen podobná.

Dvě domény ve skutečnosti nemohou mít úplně stejný název.

Útočník může samozřejmě využít i různé kódování a stvořit na pohled nerozeznatelný název. Např. CCCP v latince vypadá stejně, jako CCCP v azbuce, i když jsou to pro počítač dvě zcela odlišná slova. Přepsáno do latinky je CCCP totiž SSSR. Většinou se ale útočníci spokojí s pouhou záměnou jednoho písmenka, případně koncovky domény (tzv. TLD). Podvržené stránky pak mívají adresu banka.com, místo banka.cz a podobně.

Certifikáty webových stránek

Zcela nejbezpečnější metodou je, když si zkontrolujeme certifikát navštívené stránky. Ten totiž plní stejnou úlohu, jako elektronický (digitální) podpis u dokumentu či emailu. Nalezneme ho zpravidla tak, že v prohlížeči klikneme na ikonku zámku, která signalizuje zabezpečené HTTPS spojení. V zobrazeném okně klikneme poté na položku Připojení je zabezpečené a pak na ikonku certifikátu.

Ukažme si jako příklad certifikát stránek Moneta Money Bank:

Příklad certifikátu stránek – Moneta Money Bank v prohlížeči Edge

Pokud takový certifikát chybí, nebo je vystaven pro jinou doménu, případně jinou organizaci, pak ve skutečnosti komunikujeme s někým úplně jiným, než si myslíme, a to zcela bez ohledu na to, co je na vlastní stránce uvedeno!


 

Předchozí článek
Praktický postup bezpečného zálohování dat
Všechny články v sekci
Kybernetická bezpečnost
Článek pro vás napsal David Janko
Avatar
Uživatelské hodnocení:
3 hlasů
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity