Vydělávej až 160.000 Kč měsíčně! Akreditované rekvalifikační kurzy s garancí práce od 0 Kč. Více informací.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Lekce 20 - Bezpečnost kyberprostoru - Možnosti ochrany

Předchozí
Další

V předchozí lekci, Bezpečnost kyberprostoru a anonymita na internetu, jsme si nastínili, jak to ve skutečnosti je s anonymitou a (ne)dohledatelností na internetu.

Dnes si v našem tutoriálu o bezpečnosti ukážeme pokročilejší možnosti ochrany v kyberprostoru. Na závěr si také položíme otázku, jak moc je třeba doporučené postupy uvedené v celém kurzu dodržovat.

Ochranná opatření

Nejdříve si představíme speciální distribuci Linuxu, která výrazněji zohledňuje téma bezpečnosti a nedohledatelnosti.

Operační systém Tails

Operační systém Tails je Linuxová distribuce zaměřená právě na nedohledatelnost a bezpečnost. Výhodou je, že vše je bezpečně předkonfigurované a nemusíme tedy Linuxu rozumět nějak moc do hloubky. Všechna připojení, nejen prohlížeč, v něm jedou přes dříve zmíněný TOR net zcela automaticky. Svazek systému je připojen read-only, takže po vypnutí nezanechá naše práce na disku žádné stopy atd.

Tails se zpravidla instaluje na samostatný Flash disk, takže je i přenosný.

Pokud ovšem Linuxu trochu rozumíme a myslíme to s bezpečností vážně, tak si spíše nakonfigurujme vlastní. Můžeme vyjít třeba z minimální instalace Ubuntu. Tails má totiž i některé nepříjemné nedostatky:

  • Ne vždy jde na Flash disk vypálit – alespoň ne snadným, oficiálním postupem.
  • Neumožní nám ani zašifrovat systémový disk.
  • Pro některé Wi-Fi karty nejsou v jádře ovladače a ani je tam z bezpečnostních důvodů tak snadno jako v normálním Linuxu nedostaneme.

Podobné je to s instalací některých dalších programů. Jde například o nástroje pro SIEM (Security Information and Event Management) či IDS (Intrusion Detection System). Proto je lepší, pokud si nakonfigurujeme či necháme pomoci nakonfigurovat Linux vlastní.

Distribuce Kali a Parrot

Pokud se naopak chceme věnovat spíše hackingu, tedy penetračnímu testování a forenzní analýze, zkusme distribuce Kali nebo Parrot.

Jejich popis a srovnání by vydalo na samostatný článek, který je nad rámec našeho kurzu. Upozorníme tedy pouze na skutečnost, že opět můžeme narazit na problém při použití naší Wi-Fi karty. Některé z nich se například strašně brání přechodu do promiskuitního režimu.

Webové prohlížeče

Ačkoli původní název prohlížeč odkazuje na prohlížení dokumentů primárně umístěných na internetu, fungují dnešní prohlížeče už spíše jako vlastní operační systém. Ostatně takový Chrome OS není v zásadě nic jiného než "prohlížeč" Chrome. Ten navíc stahuje a interpretuje kód umístěný na internetu kdekoli a od kohokoli. Není tedy žádný zvláštní problém mu z internetu podstrčit ke zpracování úplně cokoli. Stačí pak chyba v jeho zabezpečení a neštěstí je na světě.

SandBox a VirtualBox

Bylo by proto z bezpečnostního hlediska rozumné ho od zbytku systému ještě explicitně oddělit. Lze k tomu využít tzv. SandBoxy, např. Sandboxie-Plus. Jedinou vážnější nevýhodou je, že prohlížeč pak samozřejmě nepropojíme ani s dalšími funkcemi systému, pokud s nimi SandBox sám nepočítá (třeba se správcem hesel).

Další možností je samozřejmě vytvoření celého virtuálního počítače. K tomu lze využít například Oracle VM VirtualBox. Toto řešení je výhodné zejména v případě, kdy chceme současně na jednom počítači provozovat dva různé operační systémy současně.

Ochrany proti vynucenému prozrazení hesla

I v našem státě se může stát, že budeme státními orgány tlačeni k tomu, abychom prozradili svoje přihlašovaní heslo. Proto pokládáme ochranu proti jeho vynucenému prozrazení jako součást základní úrovně naší bezpečnosti. Ve světě se jistě ještě najde spousta zemí, kde může být tato funkce zcela zásadní. V každém případě šifrovací program VeraCrypt, který jsme v tomto kurzu také probírali a doporučovali, tyto funkce podporuje. Najdete je pod položkami Skrytý svazek (Hidden volume) a Skrytý operační systém.

SIM a sítě mobilních operátorů

Do kyberprostoru bychom zařadili i použití mobilních telefonů. Pojďme si stručně v několika bodech popsat základní předpoklady k zachování anonymity a nedohledatelnosti:

  • Při nákupu předplacené SIM karty nesmíme samozřejmě platit kartou. Stejně tak nepoužijeme ani žádnou jinou identifikující (např. věrnostní) kartu.
  • Snadno nás lze identifikovat i podle toho, komu voláme nebo kdo volá na takové číslo nám!
  • Jsme si vědomi skutečnosti, že jakmile se přístroj se SIM jednou přihlásí do sítě operátora, prováže se spolu přístroj (kód IMEI), karta (kód ICCID) a telefonní číslo. A to prakticky navždy. Pokud je jedno z toho kompromitováno, musíme vyhodit vše.
  • Pokud přístroj zapneme opakovaně nebo na delší dobu blízko jiného přístroje, který je k nám nějak dohledatelný, kompromitovali jsme ho. Závěr je pak stejný jako v bodě předchozím!
  • To samé platí i pokud se nám to podařilo před bezpečnostní kamerou, jejíž záznamy se trvale uchovávají – třeba u bankomatu.
  • Pokud se nám to povedlo navíc na místě, které je s námi nějak svázáno (např. náš byt či byt kamaráda), můžeme navíc "vyhodit" i ten byt.
  • Naše poloha se zaznamenává i pokud máme v telefonu veškeré určování polohy vypnuté. Je k tomu potřeba jen součinnost mobilního operátora, ne nutně ani toho našeho.

Přesnost lokalizace závisí na mnoha parametrech. Pohybuje se od 1,5 m až po pár stovek metrů. Ve městě často není problém určit s velkou pravděpodobností i konkrétní byt, kde jsme telefon použili. A to stále mluvíme jen o civilních technologiích a ne třeba vojenských!

Náš výčet by v tomto případě ještě mohl pokračovat, ale jako ilustrace nám uvedené body bohatě postačí.

Rozumná míra zabezpečení

Téma přiměřeného zabezpečení uveďme krátkým mottem:

Lidé se dělí na dvě skupiny - na ty, co jsou paranoidní moc a na ty, co zase příliš málo. Druhá skupina je ale mnohem větší.

Naprostá většina toho, co bychom asi rádi utajili naštěstí nikoho z profesionálů skutečně nezajímá. (Tedy pokud nejsme vyloženě teroristé připravující útok zbraní hromadného ničení). A jestliže polovina jejich práce spočívá - obrazně řečeno - v tom, že mají "vědět všechno", tak k té druhé zase patří "zásady mlčenlivosti". I když se občas při své práci dozví leccos, o čem by vůbec vědět nemuseli, nemusí nám to až tak vadit. Většinou to opravdu pro nás nemá nějaké další negativní následky.

V zásadě jsou tu takové služby či instituce opravdu proto, aby naši svobodu chránili a ne omezovali. Prostředky na sledování s využitím operativní techniky také nejsou neomezené a tak se každá prkotina tímto způsobem zpravidla neřeší.

Tolik k té části lidí, která je paranoidní zbytečně moc.

Ta druhá část lidí by si ale měla uvědomit, že zanedbávání prostředků preventivní ochrany může představovat potenciální nebezpečí i pro jejich okolí. Často k tomu nejspíš nemají žádnou zvláštní motivaci a umožňují tak celkové snížení stupně bezpečnosti daného prostředí. Jak už jsme si řekli na začátku našeho kurzu, uniklé informace se vrátit zpět nedají. Nezmění to ani rozhodnutí nějakého soudu, i kdybychom byli desetkrát v právu.

Další věcí je, že právo věci utajit dle našeho uvážení, úzce souvisí s naší osobní svobodou. To není něco, co se dá jednoduše někomu předat, ať to za nás zařídí. Těžko budeme mít vždy a ve všem stejný názor na to, co je pro nás dobré. Pořád se najdou lidé, kteří si budou myslet, že to ví lépe než my a budou nám to chtít pro naše "dobro" vnutit. Pokud jim pak bude svěřeno rozhodování o celé společnosti, musíme umět a mít právo se bránit.

Také proto bychom měli více sledovat, jaké zákony, potenciálně omezující naše soukromí, vláda schvaluje. A občas třeba poslat nějaký ten příspěvek projektům, které naše soukromí naopak chrání. O pár zcela konkrétních jsme se v tomto kurzu dozvěděli.

V následujícím kvízu, Kvíz - Kybernetická bezpečnost, si vyzkoušíme nabyté zkušenosti z kurzu.


 

Předchozí článek
Bezpečnost kyberprostoru a anonymita na internetu
Všechny články v sekci
Kybernetická bezpečnost
Přeskočit článek
(nedoporučujeme)
Kvíz - Kybernetická bezpečnost
Článek pro vás napsal David Janko
Avatar
Uživatelské hodnocení:
35 hlasů
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity