V svetu kibernetske varnosti so edina stalnica spremembe. Če so se nekateri varnostni pristopi zdeli učinkoviti, danes morda več ne zagotavljajo ustrezne zaščite. Pripravili smo pregled nekaj varnostnih nasvetov, ki naj v 2025 gredo v pozabo, saj gre za prakse, ki več ne ustrezajo sodobnim varnostnim zahtevam.
1. REDNO MENJAJTE GESLA
Marsikatera varnostna politika podjetja še vedno vključuje navodilo, da morajo zaposleni vsake tri mesece menjati gesla, vendar gre to počasi v pozabo. Predlogi smernic ameriškega Urada za standardizacijo in tehnologije NIST pravijo, da pogosto menjavanje gesel povzroča le še večjo zmedo pri uporabnikih in ustvarjanje kvečjemu še enostavnejših gesel, ki si jih lahko zapomnijo. Veliko bolj varen in učinkovit pristop je uporaba upravljalnikov gesel. To so namenske aplikacije za generiranje in shranjevanje gesel in drugih občutljivih podatkov. Upravljalniki gesel za vsako storitev zgenerirajo močno in predvsem unikatno geslo, in ga nato tudi varno shranijo. Za dostop do vseh gesel si moramo zapomniti le eno samo glavno geslo, ta pa naj bo res zelo dolgo in unikatno.
Namesto gesla raje uporabimo daljšo frazo (t.i passphrase), To so naključne besede, ki med sabo nimajo nobenega vsebinskega pomena, npr. FotosintezaSrečaSonce in že v osnovi vsebujejo veliko znakov (več je boljše). Vendar pa tudi upravljalnik gesel ne ščiti pred vsemi vrstami zlorab, zato je zelo priporočljivo, da kjerkoli je možno, sploh pa za pomembne storitve, nastavite večfaktorsko avtentikacijo (MFA). Tudi sami že nekaj let ne vključujemo menjave gesel med navodila.
2. VEDNO PREVERITE, ČE JE V NASLOVNI VRSTICI SLIKA KLJUČAVNICE
Ključavnica v naslovni vrstici brskalnika oz. oznaka https v spletnem naslovu pomeni, da je povezava med brskalnikom in spletnim strežnikom zašifrirana, in da nihče na prenosni poti ne more prestrezati vsebine komunikacije. Šifriranje se vrši s pomočjo šifrirnih ključev v strežniških certifikatih. Ti včasih niso bili tako dostopni, kot so danes, tako da mnogo lažnih spletnih mest ni imelo ključavnice. In to je bil precej dober indikator, da je spletna stran, na kateri moramo vpisati svoje geslo, lažna. V današnjem času so strežniški certifikati postali nekaj povsem običajnega, tako da imajo praktično vse spletne strani, tudi lažne, v naslovni vrstici ključavnico. Celo več, nekateri spletni brskalniki niti ne prikazujejo več ključavnice, saj je ta samoumevna.
Vendar pa gre tu zgolj za zaščito pred prestrezanjem komunikacije, ključavnica pa prav nič ne pomaga, če na drugi strani tunela stoji napadalec.
Zato lahko rečemo, da je ta nasvet povsem zastarel in ne zagotovi večje varnosti. Da je k temu pripeljala napačna zasnova sistema overiteljev potrdil (CA, Certificate Authority) pa ob kakšni drugi priložnosti.
3. PHISHING LAHKO PREPOZNATE PO POVEZAVI V SPOROČILU
Včasih je veljalo, da povezave v lažnih sporočilih vodijo na spletne naslove, ki so povsem drugačni kot naslov legitimne storitve. Na ta način smo lahko precej hitro ugotovili, ali je povezava prava ali ne. Delno to velja še danes, vendar pa napadalci čedalje pogosteje v phishing napadih zakupijo domeno, ki je zelo podobna domeni ciljane storitve. Ime domene se lahko razlikuje zgolj po končnici ali po malenkost drugačnih črkah in besednih zvezah. Uporabniki pa seveda ne vemo, katere vse domene uporablja neka storitev, tako da smo lahko precej hitro zavedeni in odpremo povezavo, tudi če smo jo prej preverili.
Novo pravilo se tako glasi, da nikoli ne odpiramo povezave v sporočilih (elektronski pošti ali SMS-sporočilih), ki od nas želijo vpis kakršnihkoli podatkov (uporabniška imena, gesla, telefonske številke, predvsem pa finančni podatki), ampak spletno stran vedno odpremo preko zaznamka v brskalniku, prek aplikacije ali pa naslov ročno vpišemo.
4. NE UPORABLJAJTE JAVNIH WI-FI OMREŽIJ
Javna Wi-Fi omrežja so lahko problematična, ker ne moremo povsem vedeti, kdo z njimi upravlja ter kakšni so njihovi nameni. Načeloma lahko kdorkoli postavi Wi-Fi omrežje, ki ga je dostikrat nemogoče razlikovati od drugega znanega javnega omrežja (npr. v knjižnici, letališču, hotelu ipd.).
Če se povežemo na kakršnokoli javno omrežje, se moramo zavedati, da lahko naš omrežni promet spremljajo upravljavci tega omrežja, ti pa imajo lahko tudi škodljive namene. Včasih, ko velik del spletnega prometa ni bil zaščiten prek šifriranih povezav, je to lahko predstavljalo veliko težavo, saj so napadalci lahko spremljali in prestrezali vsebino komunikacije. Vendar pa v današnjem času praktično vsa spletna komunikacija poteka preko šifriranih povezav med brskalniki in strežniki, tako da tudi če smo povezani v zlonamerno omrežje, je vsa naša komunikacija še vedno varna. Pozorni pa moramo biti na morebitna opozorila brskalnika, če nam ta javi neko napako ali težavo s certifikatom ali pa če v naslovni vrstici prikaže opozorilo s klicajem. Tako opozorilo lahko kaže tudi na poskus prestrezanja prometa, v tem primeru raje izberimo drugo omrežno povezavo.
Za dodatni nivo zaščite lahko poskrbimo tudi sami z uporabo VPN povezav, pri katerih je vsa komunikacija še dodatno zašifrirana.
5. APLIKACIJE IZ URADNIH TRŽNIC SO VARNE
Da ne bo pomote, eden od osnovnih elementov zaščite naprav je, da aplikacije nameščamo le iz uradnih virov – spletnih strani proizvajalcev in uradnih tržnic z aplikacijami (Google Play, AppStore, Microsoft Trgovina). Predvsem za mobilne naprave velja, da aplikacij nikoli ne nalagamo iz neuradnih virov, saj te pogosto vsebujejo dodatno škodljivo kodo.
Vendar pa se lahko zgodi, da je tudi aplikacija, ki jo namestimo iz uradnega vira, škodljiva. Letos smo obravnavali primere zelo škodljivih bančnih trojancev za mobilne naprave, ki so bili nekaj časa dostopni v Google Play trgovini. Aplikacije, ki so se predstavljale kot zastonjski pregledovalniki PDF dokumentov ter aplikacije za čiščenje sistema, so vsebovale dodatno kodo, ki je prevzela nadzor nad telefonom in nekaterim uporabnikom izpraznila bančni račun preko vdora v mobilno banko. Včasih pa se celo zgodi, da napadalci vdrejo v sistem proizvajalca aplikacije, v kodo vstavijo svojo škodljiv program, ki se potem širi preko uradnega vira. Ti napadi spadajo v kategorijo napadov na dobavne verige in so na srečo precej redki. Vseeno pa se moramo zavedati, da obstajajo.
