Legyen meghekkelhetetlen!

Az utóbbi évek technikai fejlődése révén (hordozható eszközök, online világ kiszélesedő lehetőségei) és felgyorsuló mindennapok miatt az internet, az online szolgáltatások használata (pl. levelezés, közösségi oldalak) mindennapos rutinná váltak. Mind a magánszférában, mind pedig az üzleti életben megkerülhetetlenek lettek, sőt az online világ immár egyfajta élettér.

A digitális világnak kialakult a saját rendszere, saját szabályokkal, amiben a digitális állampolgárok immár nem viselkedhetnek felelőtlenül, következmények nélkül. Napi szinten ér támadás felhasználókat, cégeket, bankokat és kerülnek érzékeny adatok milliói a fekete piacra, onnan pedig óriási összegekért illetéktelenek tulajdonába.
 
A STOP.THINK.CONNECT. kezdeményezés kiemeli, hogy az online felületek használata előtt a felhasználónak tisztában kell lenni a veszélyekkel és fel kell ismernie a lehetséges problémákat és figyelmeztető jeleket.
 
El kell kerülni, hogy támadók valamilyen eszközzel úgymond “meghekkeljék” a felhasználót, mivel nem csak a személyes adatok, állományok kerülhetnek rossz kezekbe, hanem adott esetben egy egész cég, vagy cégcsoport, intézmény szenvedhet komoly károkat.
 
Alább olvasható öt jótanács, hogyan lehet elkerülni mindezt:
 

1. Gondolkozzon, mielőtt kattint

A meghekkelhetetlen felhasználók nem gondolkodás nélkül, hanem megfontoltan kattintanak.
 
Nap, mint nap több száz alkalommal kattintunk egerünkkel, érintjük meg okoseszközünk kijelzőjét. Emiatt könnyen előfordulhat, hogy óvatlanul olyan linkre, állományra kattintunk, melyre – mint utóbb kiderül – nem szabadott volna.
 
A 2013-as évben a támadások közel 95%-ának az volt az oka, hogy a felhasználó rossz linkre kattintott. Az emberi hiba, a human error minden elővigyázatosság és technikai felkészültség mellett is komoly károkat tud okozni. A számtalan kattintás figyelmetlenséget, a figyelmetlenség pedig számtalan “veszélyes” kattintást szül, melyek pedig minden online támadás gyökerei.
 
Az utóbbi évek legnagyobb támadásai, biztonsági incidensei (pl. Carbanak, Mask) vagy a közelmúltban nagy vihart kavart CTB-Locker fertőzés úgy kezdődtek, hogy az egyik felhasználó rákattintott egy linkre egy gyanús emailben.
 
A spam, vagy épp az adathalász levelek felismerése és elkerülése sokat segíthet abban, hogy ezek a támadások ne ismétlődhessenek meg újra.
Ehhez mindenképp szükséges proaktív és felelős hozzáállás: folyamatos figyelem, tájékozódás, adott esetben szakember segítsége.
 

2. Győződjön meg róla, hogy titkosított kapcsolatot használ

A meghekkelhetetlen felhasználók ragaszkodnak a https kapcsolat használatához, amikor személyes adatokat adnak meg az interneten.
 
Minden weblap címe http-vel, vagy https-sel kezdődik. A különbség köztük az, hogy a https protokollt használó oldalak letitkosítják a látogató által küldött információkat és titkosítva küldik tovább azokat a szerver felé. Míg http kapcsolat esetén nincs titkosítás.
 
A jelenleg használt HTTP 1.x protokoll szövegalapú megoldás, amelynél a kérések és a válaszok ember által olvasható szöveg formájában mozognak a szerver és a kliens között.
Ezáltal illetéktelenek számára könnyen hozzáférhető válnak az információk, bárki el tudja olvasni azokat.
Ezzel szemben a https kapcsolat során az adatfolyam titkosításra kerül, látszólag értelmetlen karakterek sora.
 
Bármilyen bejelentkezés előtt, vagy a személyes adatok elküldését megelőzően meg kell győződni arról, hogy az adott oldal https kapcsolatot biztosít.
Http kapcsolat esetén nem javasolt a személyes adatok megadása!
 

3. Használjon erős, de eltérő jelszavakat a különböző felhasználói profiljainál – menedzselje jelszavait

A meghekkelhetetlen felhasználók mindig erős jelszavakat használnak – amiket nem mindig jegyeznek meg.
 
A legfontosabb: használjon erős jelszót. Ha nem tudja, ez pontosan mit is jelent, az Intel Security oldalán bővebben olvashat a témában, valamint a jelszava erősségét is tesztelheti.
 
Még ha a felhasználó tudja is mit jelent az, hogy erős és megbízható jelszó, sokszor mégsem azt használ, mivel nehéz megjegyezni azt. Azonban nem megjegyezni kell a jelszavakat, hanem menedzselni.
 
Számos jelszó menedzsment szoftver létezik (pl. a többfaktoros autentikációt támogató Intel Security True Key szoftver), melyek létrehozzák, tárolják és a megfelelő helyen automatikusan megadják a felhasználó jelszavait. Mindez pedig biztonságossá és kényelmessé teszi a napi munkavégzést és web használatot.
 

4. Használjon kétfaktoros autentikációt

A meghekkelhetetlen felhasználók tudják, hogy az erős jelszó fontos, de a kétfaktoros autentikáció még nagyobb biztonságot nyújt.
 
A kétfaktoros autentikáció (2FA) kétszintű azonosítást jelent. A kétfaktoros azonosítás során az alábbi három lehetőségből legalább kettő használata kötelező:
 

• tudni valamit (pl. jelszó)
• birtokolni valamit (pl. token, one-time password)
• valakinek lenni (pl. ujjlenyomat, retina szkenner)

A felsorolt lehetőségekből a jelszó mellett leggyakoribb megoldás a token, vagy valamilyen jelszógenerátor (pl. mobilios applikáció, SMS-ben kapott jelszó stb). A bejelentkezés során a felhasználó megadja az azonosítóját és a hozzá tartozó jelszavát. Ezt követően kerül sor a második szintű azonosításra.
 
Ezáltal ha valaki hozzá is fér a felhasználó jelszavához, nem éri el a profilját, köszönhetően a kétszintű védelemnek.
 
Azonban hiába szeretne a felhasználó 2FA-t használni, ha az által használt oldal, szolgáltatás mindezt nem biztosítja. Ahol van rá lehetőség, javasolt a használata (bankok esetében erősen ajánlott).
A twofactorauth.org oldalon naprakész információt talál arról, mely oldalakon érhető el kétfaktoros autentikáció.
 
Néhány szolgáltatás a 2FA-n túl biztosít többfaktoros autentikációt (multi-factor authentication) is. A korábban már említett True Key alkalmazással akár öt szinten történő azonosítás is kikényszeríthető. Ez pedig már igazán biztonságos hozzáférést jelent a felhasználó fiókjaihoz.
 

5. Legyen tisztában azzal, hogy mikor használ VPN-t

A meghekkelhetetlen felhasználók tudják, hogy nincs mindig szükség VPN-re, azonban tudják, hogy azt milyen esetben és miért kell használni.
 
Némi informatikai ismerettel és 100$-ért cserébe bárki hozzájuthat olyan eszközhöz, mellyel egy nyilvános hálózatra (szállodában, kávézóban stb.) csatlakozva láthatja az azon történő aktivitást: lekért oldalakat, jelszavakat, bakkártya adatokat, leütött billentyűket stb.
Egy nyilvános hálózaton  a VPN használata megóvja a felhasználót a “lehallgatástól” azáltal, hogy egy titkosított csatornát épít ki számára biztonságos magánhálózat felé.
 
Az alábbi esetekben mindenképp javasolt a VPN használata:
 

• Ingyenes, nyílt, jelszóval nem védett hálózatok igénybevétele esetén.
• Vállalati hálózat, vagy szerver eléréséhez.

A VPN – a szükséges beállítások ismerete mellett, vagy rendszergazda közreműködésével – könnyedén konfigurálható laptopokon, tableteken és mobileszközökön is.
 
Az online világban a felhasználók - diákok, munkavállalók, nyugdíjasok, magánemberek – digitális állampolgárrá váltak. Ebben a digitális világban a mindennapi élet hasonlóan kusza, mint a valóságban. Számos veszély, buktató van, azonban mindezekre hatásos válaszok adhatók.
A fenti öt jótanács segít ebben, érdemes azokat szem előtt tartani és a gyakorlatban is alkalmazni.
Sok bosszúság és fáradság megelőzhető vele.
 
IT biztonságtechnikai kérdésekkel kapcsolatban keresse gyártói minősítéssel rendelkező kollégáinkat az alábbi elérhetőségen: ugyfelszolgalat.piksys@piksys.hu