Studijní opora kurzů kyberbezpečnosti Czechitas

Podklady pro samostudium a další zajímavé materiály sdílené na kurzech kyberbezpečnosti

View on GitHub

Zabezpečení

Antivir

Doporučíte dobrý antivirus zdarma?

Pokud používáš Microsoft Windows určitě můžeme doporučit Microsoft Defender, je součástí Windows.

Je doporučeno používat antivirus i v mobilech/tabletech? Pokud ano, jaký?

Ano, určitě je vhodné používat. Vybíral bych z osvědčených značek: Avast, ESET.

Jaký máte názor na rozšířenou a placenou verzi Avastu? Neni nějaká jiná neplacená alternativa, která pokryje vše co potřebuji zabezpečit na svém domácím počítači popřípadě telefonu?

Na počítači (s Windows 10) máš možnost používat Windows Defender. Je zdarma, k dispozici na každému.

Co se týče telefonu, pokud vím existují neplacené verze: Avast, ESET.

Chci se jen ujistit, pokud mám iPhone a MacBook nepotřebuji žádný antivirus?

iOS nepodporuje žádné AV. Systém na to není navržený, žádný AV by nefungoval. Co se týče laptopu/desktopu od Apple tam bych použití AV doporučil. Škodlivý software pro macOS existuje také.

Abych měla bezpečný přístup v mobilu Samsung potřebuji nějaký antivirus? Jaký? Jde mi o to, že se tam taky přihlašuji do internetbankingu.

Ano, Samsung používá nádstavbu nad OS Android. Proto bych doporučil používat antivir.

Můžu nějak zjistit že se mi do PC stáhnul nějaky malware? Mužu se někam podívat?

Můžeš, ideálně když si rozklikneš antivir. Měla bys vidět, že tvůj počítač je chráněný a zároveň tam najdeš informaci jestli někdy v historii něco zachytil.

Jak často je potřeba spouštět nějaké testy/skenování v antiviru?

Důlěžitá je prevence (všemožné štíty, analýza před spuštěním). Nicméně čas od času (nedokážu říct jestli jednou týdně nebo měsíčně) je dobré takový test spustit.

Jak zjistit malware na PC nebo v telefonu?

Ideální je spustit antivirový sken celého počítače.

Když mám Avast (neplacená verze) má smysl k tomu používat i Defender?

Ne. Antivir používej jen jeden. Dva antiviry se na počítači nemají rády, budeš mít pomalejší počítač - o dost.

Jak ten škodlivý javascript na stránce spustím, jenom tím že ji navštívím?

Ano, jakmile stránku navštívíš, kód se stáhne k tobě do prohlížeče kde se spustí (vykoná).

Je nějaký způsob jak ověřit, zda je flashka bezpečná? V práci teď řeším to, že svou flashku jsem posílala kolegovi, ten mi ji má zaslat zpět. Jak mohu ověřit, že flashku můžu dál používat?

Ideálně ji před použitím otestovat antivirem. Nejlépe v izolovaném prostředí - což pro běžného uživatele není možné.

Umí se nějaký nežádaný software “schovat” v počítači tak, že ani přeinstalací systému bychom ho nesmazali?

Ano, možné to je. Takový škodlivý SW přežije v BIOS.

Windows Defender mám automaticky? A musím vypnout ostatní antiviry?

Windows Security je výchozí antivirus ve Windows - součást Windows 10. Je potřeba ověřit, jestli ho máte zapnutý.

Settings -> Update and Security -> Windows Security.

Vždy mějte nainstalován jen jeden antivirus, v opačném případě se budou “bít” o systémové prostředky a nebude to dělat dobrotu.

Zabezpečení obecně

Je opravdu Linux o hodně bezpečnější než Microsoft?

Nic není černobílé. Každý software má chyby. Tím, že je software společnosti Microsoft velmi rozšířený je v něm objevováno také množství chyb. Určitě to neznamená, že je nebezpečnější.

Část problémů je také způsobena nastavením, za to software nemůže.

Pracuju v nadnárodní společnosti, jejíž obor činnosti je celkem široký, pracujeme s daty zákazníků, např automobilek, takže je pro útočníky jistě zajímavá. Čas od času nám přiijde varování od IT, že probíhá útok a dejte si pozor na toto a ono. Přijde mi ale úplně unreal, pokud mi přijde nějaký mail z adresy, která vypadá věrohodně (např. obsahuje název firmy, kde pracuji) a je v ní jen rozdíl mezi I a el, tak že si toho typický zaměstnanec všimne. Nechci věřit, že je to jediný způsob, jak jde takovému útoku zabránit, že na to uživatel neklikne. Mnohé mé kolegy přímo magicky přitahuje modrý podtržený text nebo tlačítko, nehledě na to, jaké činnosti se právě věnují a co se po nich chce. Automaticky klikají. Na to přece nemůže firma spoléhat nebo snad ano?

Samozřejmě, že na to jako člen bezpečnostního oddělení nemůžeš spoléhat. Spolehnout se můžeš jen na to, že uživatelé kliknout. Respektive, vždycky se najde někdo kdo klikne. Nemůžeš to mít takovému člověku za zlé, nemusí mít svůj den, něco řeší anebo je to dobře připravené.

Musíš ale mít další vrstvy ochrany, které zabrání nejhoršímu. Něco se zpravidla musí stáhnout, z nějaké stránky, pak se to musí spustit… všemu se dá předejít.

Nicméně edukace uživatelů je základ. Je to řádově levnější a mnohdy efektivnější.

Jak snadné je dostat se někomu do e-mailu z běžně používaných (gmail, seznam apod.) A jak se případně co nejlépe chránit? Má smysl tam dávat ten záložní email a telefon?

Záleží jak dobré máte heslo/kontrolní otázku. Nicméně určitě má smysl tam mít záložní telefon a email.

Jak nejlépe chránit dokumenty na PC? Cloudovým službám na 100% nevěřím a mám velké množství dat+ fotek

Zálohovat :-) Externí disk je ideální začátek. Cloudových služeb se neboj, velká většina podporuje šifrování - tj. provozovatel neví co tam máš uložené (např. Proton Drive nebo pCloud).

Umí zdatní hackeři už nějakým způsobem prolomit identifikaci otiskem prstu nebo obličejem?

Nevím o tom, spíš se stane, že je nějaká chyba v implementaci - kdy dojde k odemčení telefonu chybou protože ten algoritmus špatně rozpozná člověka. Stalo se to nedávno Samsungu.

Pro držení kryptoměň je potřeba nějak ještě více dbát na bezpečnost počítače, případně jak?

Oficiální doporučení ze stránek Bitcoin je popsáno v Securing your wallet.
Obecně to, kde máte uložené informace o tom, že nějakou kryptoměnu držíte je potřeba chránit - protože je to jedinná informace o tom, že to máte.

Zabezpečení sítě

Co se tedy týče té chytré domácnosti, tak jak to tedy segmentovat? Jak zabezpečit např. tu chytrou žárovku, aby se “nenabourala” jinam?

Ideálně by takové zařízení (žárovka) neměla mít přístup do Internetu. Měla by mít vlastní virtuální síť (VLAN).

Nicméně běžné SOHO (small office, home office) zařízení takové nastavení spíš neumožňují. Proto je potřeba věnovat pozornost výběru, aby člověk nekoupil něco s pochybnou reputací.

Můžu se zeptat na zabezpečení Wifi? Heslo máme dobré, silné, ale když se k naší domácí WiFi připojuji, tak tam mám sdělení, že máme slabou bezpečnost (weak security), co dělat pro vyšší bezpečnost?

Nejspíš používáš starší protokol WPA/WPA2 TKIP. V nastavení tvého WiFi Routeru/AP změň TKIP na AES a bude to v pořádku.

Jak snadno se lze vzdáleně připojit do nastavení routeru? Tzn, můžu se připojit např. z práce na router a vidět právě připojená zařízení?

Pokud to tvůj router umožňuje a máš veřejnou IP adresu možné to je. Stejně tak, pokud to router podporuje, můžeš vidět připojené klienty.

Jak si ohlídat zabezpečení tiskárny, pokud je wireless?

Postupoval bych stejně jako v případě “chytrých zařízení”. Nicméně tiskárna čas od času potřebuje aktualizaci proto to nebude uplně jednoduché ji “odříznout”. Každopádně jako u všeho platí - aktualizace.

Platby na Internetu

Co můžu udělat pro bezpečnější platby na zahraničních webech (Aliexpress, Wish, …), na kterých není nastaveno 2FA?

Určitě bych nepoužíval platební kartu, kterou používám běžně. Vytvořil bych si virtuální, ideálně s limitem jen na tuto platbu - kdyby došlo k jejímu zneužití.

Poprosím o názor na bezpečnost platby přes PayPal.

Nevidím tam žádný problém. Tím, že tam člověk má zpravidla uloženou platební kartu určitě bych věnoval čas zabezpečení PayPal účtu (2FA je nutnost + limit na uloženou platební kartu). Ideálně by to měla být uplně jiná karta než člověk používá.

Opravdu je zabezpečení přes SMS kod nedostačující a nebezpečný? Banky vnucují přechod na jakési jiné klíče, které ale vyžadují instalaci aplikace do mobilu - není tohle nebezpečnější?

Určitě je bezpečnější zmíněná aplikace, protože po tobě vyžaduje ověření otiskem prstu případně PINem. SMS už je pár let silně nedoporučovaná (NIST Special Publication 800-63B, Digital Identity Guidelines, Authentication and Lifecycle Management)

Hesla

Bylo mi prolomeno heslo na Canvě, na Canvu jsem se přihlašovala přes gmail, je třeba změnit heslo i na Gmail?

Ne, není to potřeba. Jde o federovaný účet, tzn. Canva tam sice bude mít uložený tvůj e-mail ale heslem disponuje pouze Google, přes který se přihlašuješ. Ten pak Canvě říká, jo to je XY, je přihlášená - může dál.

Co je menší zlo - mít pro každou webovou stránku vlastní ale zapamatovatelné heslo a nebo pro všechny stránky stejné heslo ale složité?

Obojí je špatně. Jakmile někdo přijde na to, jak to zapamatovatelné heslo tvoříš uhodne i budoucí… co se týče složitého hesla na všech stránkách - jednou nějakou stránku napadnou a máš problém. Ne jeden, ale plno problémů.

Zkus správce hesel.

Co dělat, když zjistím, že moje data unikla? (Včetně adresy, telefonního čísla,…) Jen změnit heslo na tu stránku a doufat?

Zpravidla jde útočníkům o e-mail a heslo. To můžou prodat. Telefon samozřejmě také, ale zatím jsem se s tím nesetkal.

Kdybychom to hnali do extrému můžeš se přestěhovat a změnit si telefon :-)

Jak je to s „modifikací“ hesel? Např. používám jedno a jen měním, kde je tečka, kde je velké/malé písmeno. Je to stejně bezpečné, jako mít úplně jiné heslo?

Není, určitě není. Vždy je bezpečnější mít pro každou službu různé heslo. Jakmile útočník zjistí tvůj systém, je pro něj snadné předpovídat hesla minulá i budoucí.

Správce hesel

Když funguju primárně na mobilu a na NTB téměř nechodím, pak je mi správce hesel asi k ničemu, že? Když se budu chtít podívat jaké heslo mám třeba na lidl shop, budu muset k počítači.

Ne nutně. Správce hesel můžeš mít i na mobilu, tabletu.

Jak moc bezpečné je ukládání hesel do aplikace typu KeePass?

Tak bezpečné jaký je přístup ke KeePassu. Tj. pokud do něj máš slabé heslo, moc si nepomůžeš. Nicméně, pokud se držíš zásad bezpečnosti můžeš mu věřit.

Správce hesel můžu používat i když měním prohlížeče? a třeba i zařízení (např. se chci přihlásit někam z počítače rodičů)?

Ano, můžeš. Musíš používat správce hesel, který ti umožňuje synchronizaci přes Internet (cloud). Pak můžeš do svého účtu přistoupit z prohlížeče, např. Bitwarden, 1Password a další.

Považujete lastpass za dobreho správce hesel?

Ne, v minulosti měl problémy s bezpečností.

Ohledně používání správy hesel prohlížečem: Jaký je rozdíl v tom, zda mi někdo ukradne soubor s hesly prohlížeče nebo soubor s hesly ze správce hesel. Předpokládám, že ani prohlížeče nemají ta hesla uložena nešifrovaně.

Pokud někdo má přístup k tvému počítači zkopíruje si celou složku s profilem prohlížeče. Zpravidla má pak přístup i k heslům.

Soubor správce hesel je šifrován, velmi dobře. Za pár stovek/tisíc let se do něj třeba někdo hrubou silou dostane (pokud nepoužíváš uhodnutelné heslo).

Správce hesel se dá nainstalovat i do mobilu?

Ano, např. Bitwarden, 1Password.

Jak nebezpečné je automatické ukládání hesel? (FB, seznam..)

Nepoužíval bych to, pokud se někdo dostane k tému počítači máš problém.

Jak je zajištěno, že služba správce hesel bude věčná a nestane se, že ukončí činnost, či jiná chyba dostupnosti služby?

To zajištěno samozřejmě není, je to typicky komerční služba. Nikdy ale neskončí ze dne na den, vždycky byste měli mít čas zálohovat svá data a vytvořit si účet jinde.

Webové stránky

Jakým nástrojem si tedy mohu zkontrolovat svoje stránky?

Záleží jaké, pro Wordpress existují bezplatné služby - např. wpsec a další.

Obecně můžeš zkusit poptat službu Skener webu od CZ.NIC, případně se obrátit na pentestery.

Jakým způsobem tedy zabezpečit svoje webové stránky, aby nemohly být zneužity?

Viz. výše, je dobré nechat si web otestovat (pokud je to například eshop). Obecně platí aktualizovat a držet se nejlepších praktik (best-prectice).

Kontrola kódu

Je nějaká ,,vyšší moc” ,která kontroluje bezpečnost softwarů (pro cokoliv - počítače, mobily, TV, vysavač? :D)? Dá se např. spolehnout na to, že když je něco na Google Play, je to prověřené a jak moc je to prověřené? Pokud dojde k nějakému problému, kdo je za to zodpovědný?

Vyšší moc existuje, konkrétně pro “obchody” je to Google a Apple. Nicméně ani to není 100% záruka, že je to bez problémů. Proto je dobré si nejdřív přečíst recenze a používat antivir i v mobilu/tabletu (Android).

Obecně existují společnosti, které dělají software audit/code revision. EU také dělá audit, nicméně je to zaměřeno jen na open source projekty.

Data

Jak moc velká šance je, že v případě, že si zálohuju data do cloudu (Dropbox, Google Drive atd.), tak se mi do toho někdo bude schopen dostat a ty data ukrást, případně smazat. Zálohuju si data na externí HDD, z nějakého důvodu nemám v ty cloudová úložiště takovou důvěru. Máte s nimi zkušenost? Případně jak je nejlépe zabezpečit, aby nedošlo k úniku nějakých dat?

Pokud máš svůj cloud zabezpečený, tj. používáš unikátní heslo a máš nastavený 2FA můžeš být v bezpečí. Nejsem si vědom toho, že by poskytovatel uložiště měl k datům přístup - v případě napadení dané služby.

Určitě bych se cloudu nebál, ať už jde o Google Drive, Dropbox, Mega, Proton Drive anebo pCloud.