Jak nie być Dworczykiem i chronić swoje maile przed złymi ludźmi [Rady eksperta]

Mantra specjalistów od bezpieczeństwa informatycznego głosi, że "systemy całkowicie bezpieczne nie istnieją".

Polskie instytucje państwowe mają długą i bogatą tradycję dowodzenia tego twierdzenia: wystarczy przypomnieć hasło Niebieski7 z naklejki na laptopie, z którego korzystał premier Tusk, czy hasła admin1 do konta administratora portalu premier.gov.pl, który w burzliwym okresie protestów anty-ACTA został przejęty przez internetowych dowcipnisiów.

O ile jednak te dwa incydenty trudno nazwać poważnymi - rzeczony laptop prawie na pewno nie był dostępny z zewnątrz, a strona internetowa kancelarii premiera prawie na pewno nie zawierała żadnych informacji kluczowych dla bezpieczeństwa kraju - przypadek afery mailowej szefa KPRM Michała Dworczyka jak najbardziej incydentem poważnym jest.

Jest też świetnym przykładem, jak nie dbać o swoje bezpieczeństwo cyfrowe. Skorzystajmy więc z okazji i wspólnie nauczmy się na tym antyprzykładzie.

Nie panikujmy

Przede wszystkim, bez paniki. Może i nie ma systemów całkowicie bezpiecznych, ale nie oznacza to, że nie możemy być wystarczająco zabezpieczeni.

Jak słusznie (choć być może nieco zbyt późno) zauważył premier Morawiecki, pytany o włamanie na konto Dworczyka: "To jest sytuacja bardzo niedobra i mam nadzieję, że skłoni wszystkich obywateli do tego, aby bardzo skrupulatnie dbali o przestrzeganie higieny zasad bezpieczeństwa w sieci".

Bezpieczeństwo informacji to właśnie kwestia codziennej higieny. I podobnie jak codzienna higiena, wcale nie musi być idealna. Ważne, żeby była konsekwentna. Każdy mały krok się liczy.

Ta "codzienna higiena" różni się w zależności od tego, czym się zajmujemy. Reguły higieny w zupełności wystarczające dla murarza czy graficzki będą nieadekwatne dla chirurga czy lekarki na oddziale zakaźnym.

Reguły bezpieczeństwa cyfrowego, o których piszemy poniżej, są bardzo podstawowe. Jeśli na przykład pracujesz z danymi poufnymi, jesteś dziennikarką lub aktywistą (albo pracujesz w kancelarii premiera...), koniecznie skontaktuj się z kimś, kto pomoże Ci zabezpieczyć się lepiej.

Lokalny hackerspace może być dobrym pierwszym punktem kontaktu, wbrew obiegowej opinii hakerzy to nie włamywacze.

Skupiamy się tu przede wszystkim na phishingu i bezpieczeństwie kont on-line. Istnieją inne zagrożenia (jak złośliwe oprogramowanie) i metody radzenia sobie z nimi (kopie zapasowe, regularne aktualizacje), ale to już temat na oddzielny artykuł.

Hasła

Nie ma co się łudzić, że możemy pamiętać wszystkie hasła, których potrzebujemy na co dzień (i od święta). Efekt jest taki, że większość z nas używa tych samych haseł w wielu miejscach.

To proszenie się o włamanie -- hasła wyciekają regularnie, a gdy ewentualny włamywacz zdobędzie dostęp do jednej usługi, z której korzystamy, spróbuje użyć tego samego hasła, żeby włamać się na inne nasze konta.

Gwarantuję też, że włamywacze zauważą, jeśli mamy jakiś prosty "system" (np. Niebieski1, Czerwony5, itd.) i spróbują przynajmniej kilka pasujących kombinacji.

Zamiast tego, korzystajmy z menadżerów haseł (takich jak KeePassXC, LastPass). Dane o kontach zapisujemy w menadżerze haseł i za jego pomocą generujemy dla nich kompletnie losowe hasła, których nie musimy pamiętać. Jedyne hasło, które pamiętać musimy, to hasło do samego menadżera haseł.

Jeśli chodzi o hasła, które musimy pamiętać, używajmy fraz. Kilka słów (minimum 4-5, im więcej tym lepiej) łatwiej zapamiętać, niż losowy ciąg znaków. Hasło, które zapomnieliśmy, jest bezużyteczne...

Gdy jednak nasze hasło wycieknie, jest spora szansa, że przeglądarka ostrzeże nas przy jego wpisywaniu. Możemy też sami sprawdzić, czy dane naszego konta pojawiły się w którymś z wycieków. Oczywiście, nie wpisujmy tam (ani na żadnej innej podobnej stronie) naszych haseł!

Uwierzytelnianie dwuskładnikowe

Drugą, bardzo skuteczną, linią obrony jest uwierzytelnianie dwuskładnikowe (lub "dwuetapowe"). Znamy to dziś z portali bankowych, które wysyłają nam SMSy z kodem potwierdzającym próbę logowania czy konkretne operacje.

Metod uwierzytelniania dwuskładnikowego jest wiele, najpopularniejsze to właśnie SMS lub połączenie głosowe z kodem, aplikacje generujące kody tymczasowe (na przykład Aegis czy Google Authenticator), czy fizyczne klucze bezpieczeństwa (jak YubiKey czy NitroKey).

Portal Niebezpiecznik.pl zauważa, że najlepszą ochronę zapewnią fizyczne klucze bezpieczeństwa. Choć to prawda, to jakakolwiek metoda uwierzytelniania dwuskładnikowego jest już ogromnym krokiem naprzód i znacznie utrudni życie cyberprzestępcom.

Dziś większość usług wspiera przynajmniej jedną z metod, a wiele poważnych usług wspiera kilka różnych. Jeśli usługa, z której korzystasz, nie oferuje uwierzytelniania dwuskładnikowego wcale, warto zastanowić się nad zmianą dostawcy.

Włączenie uwierzytelniania dwuskładnikowego zajmie dosłownie parę minut. Najlepiej zrób to OD RAZU, przynajmniej dla usług, które są dla Ciebie ważne (poczta, media społecznościowe).

Jak rozpoznać phishing

Gdyby minister Dworczyk miał włączone uwierzytelnienie dwuskładnikowe, być może jego konto nie zostałoby przejęte nawet po tym, gdy kliknął phishingowy link i podał swoje hasło.

Najlepiej oczywiście umieć rozpoznawać phishing i nie klikać w podejrzane linki. Cyberprzestępcy poświęcają ogromne ilości czasu i energii na doskonalenie ataków, więc zawsze jest szansa, że na coś się nabierzemy. Ale kilka zasad pomoże nam uniknąć większości ataków.

1.Przede wszystkim, bądźmy szczególnie czujni jeśli jakaś wiadomość jest stresująca lub sugeruje, że jakieś działanie należy podjąć bezzwłocznie.

Wiadomości phishingowe bardzo często udają wiadomości od dostawców usług ("zaloguj się i zmień hasło albo konto zostanie zablokowane!", "potwierdź zmiany na koncie!" itp.), albo współpracowników czy przełożonych ("ten przelew musi wyjść natychmiast!"). Stres powoduje, że nie zauważamy potencjalnych znaków ostrzegawczych, i łatwiej nas nabrać.

Gdy więc czujemy, że ciśnienie nam skacze po jakiejś wiadomości, zanim klikniemy link, weźmy głęboki oddech i dajmy sobie pięć minut na uspokojenie. I ufajmy naszym przeczuciom. Czasem wyłapiemy, że coś jest nie tak, ale nie będziemy w stanie określić dokładnie, co. Warto wtedy być bardziej ostrożnymi.

2. Zwróćmy baczną uwagę na adres nadawcy i domenę w linku

Autorzy wiadomości phishingowych korzystają z faktu, że wiele klientów pocztowych ukrywa pełny adres e-mail. Mogą więc wysłać wiadomość z adresu e-mail, nad którym mają kontrolę, w taki sposób, że w skrzynce nadawca wyświetli się jako osoba czy instytucja, pod którą się podszywają.

Jeśli mamy jakiekolwiek podejrzenia, albo jeśli wiadomość każe nam się zalogować pod konkretnym linkiem czy przelać środki na konkretne konto, upewnijmy się, że adresy (nadawcy, i w linku) się zgadzają.

Wszystkie programy pocztowe pozwalają nam "odkryć" pełne adresy e-mail, korzystajmy z tej funkcji. Zanim klikniemy link, sprawdźmy, na jaki adres prowadzi (sposób zależy od systemu operacyjnego, ale wystarczy nawet skopiować adres linka i gdzieś go wkleić).

3. Po trzecie, zweryfikujmy przez inny kanał komunikacji

Jeśli wiadomość rzekomo pochodzi od osoby, którą znamy, spytajmy tę osobę używając innego medium (np. SMSem, na komunikatorze, na inny adres e-maila) czy na pewno ją wysłała. Jeśli rzekomo pochodzi od jakiejś firmy czy organizacji (klienta, kontrahenta itp.), zadzwońmy i upewnijmy się, że faktycznie tak jest.

Jeśli wiadomość rzekomo wysłał bank czy nasz dostawca poczty, nie klikajmy w link w wiadomości! Zamiast tego, zalogujmy się na nasze konto sami, używając strony logowania z której zwykle korzystamy.

W ten sposób potencjalny włamywacz nie ma kontroli nad tym, co robimy i nie może nas przekonać, że wszystko jest w porządku. Z drugiej strony, jeśli wiadomość jest prawdziwa, otrzymamy jasne potwierdzenie.

Gdy zaś dojdziemy do wniosku, że wiadomość jest atakiem phishingowym, koniecznie powiedzmy o tym komuś -- zgłośmy w banku czy choćby naszemu dostawcy usług pocztowych. Pomoże to uchronić innych przed tym atakiem.

Warto też spróbować swoich sił w quizie, który pomoże nam zrozumieć (na konkretnych przykładach), jakich sztuczek używają cyberprzestępcy, i jak można je rozpoznać.

Bądźmy czujni

Specjaliści od bezpieczeństwa nie zasypiają gruszek w popiele. Dziś nie musimy się za bardzo martwić pewnymi zagrożeniami, które jeszcze 5 lat temu były poważnym problemem. Szyfrowanie HTTPS jest szeroko rozpowszechnione, a przeglądarki ostrzegą nas przed wpisywaniem haseł na niezabezpieczonych stronach.

Czasem nasza przeglądarka ostrzeże nas nawet przed wejściem na stronę użytą w atakach phishingowych (choć rzecz jasna lepiej po prostu nie znaleźć się w takiej sytuacji).

Wyścig zbrojeń jednak trwa: im skuteczniej się zabezpieczamy, tym bardziej zaawansowane będą kolejne generacje ataków: większość stron phishingowych też już używa HTTPS. Wypada więc raz na jakiś czas sprawdzać, czy nasze zasady higieny bezpieczeństwa informacyjnego są nadal wystarczające.

Dobra wiadomość jest jednak taka, że często mały krok w kierunku większego bezpieczeństwa bardzo znacznie zwiększa koszt, ryzyko, i poziom skomplikowania potencjalnych ataków.

Cyberprzestępcy wolą atakować łatwiejsze cele. Jeśli podniesiemy poprzeczkę, zaatakują kogoś innego. To trochę, jak uciekanie przed niedźwiedziem - nie musimy być szybsi od niedźwiedzia, wystarczy, że ucieka przed nim ktoś wolniejszy. Na przykład Michał Dworczyk...

Michał “rysiek” Woźniak (https://rys.io/) jest specjalistą ds. bezpieczeństwa informacji w rejestrze domen IS. Studiował filozofię, był członkiem Rady ds. Cyfryzacji, jest współzałożycielem warszawskiego Hackerspace'a.

Pracował jako Dyrektor ds. Bezpieczeństwa Informacji w OCCRP - The Organised Crime and Corruption Reporting Project, konsorcjum ośrodków śledczych, mediów i dziennikarzy działających w Europie Wschodniej, na Kaukazie, w Azji Środkowej i Ameryce Środkowej, a wcześniej zarządzał Fundacją Wolnego i Otwartego Oprogramowania.

Współpracuje z szeregiem organizacji pozarządowych zajmujących się prawami cyfrowymi w kraju i za granicą. Współautor „Net Neutrality Compendium”, oraz “Katalogu Kompetencji Medialnych”.