INTERNETOVA BEZPECNOST PRE LAIKOV Autor Vydavatel Licencia Vydanie Autor obalky Peter Stec Greenie kniznica CC-BY-NC-ND Prve (2021) Peter Stec O knihe Tato knizka je urcena skor laikom, ktori uz maju ake-take znalosti o internetovej bezpecnosti, ale potrebuju nieco vysvetlit, pripadne objasnit. Nastrahy Internetu cihaju na nas vzdy, ked sme online a niektore podvody a podvrhy sa mozu tvarit celkom nevinne. Niektore je vidiet na prvy pohlad, ine su sofistikovanejsie a tazsie vystopovatelne. Neoplati sa podcenit vlastnu bezpecnost na Internete, hrozi velke mnozstvo druhov kyberzlocinov, ktore sa stale len velmi obtiazne dokazuju a tak sa stale podvodnikom oplatia. Nikto vsak nechce prist o peniaze a uz vobec nie o svoju identitu, ci osobne informacie. V tejto knihe sa vsak pozrieme i na zalohovanie dat a zistime, co mozeme riskovat so zobrazovanim nelegalneho alebo nechceneho softveru alebo multimedii a koho najviac chranit pred nastrahami sucasneho virtualneho sveta. Obsah INTERNETOVA BEZPECNOST PRE LAIKOV 1 O knihe 2 Obsah 3 Kapitola I: Moja znama pisala diplomovku na 3x… (Zalohovanie) 4 Kapitola II: Velke pismena? Male pismena? Cisla? To naco? (Hesla) 5 Kapitola III: Preco mi nejde crackovat hry? (Multimedia) 6 Kapitola IV: Tieto spravy su tak skvele, az nie su pravdive (Hoaxy) 8 Kapitola V: Aky vyznam ma jedno S? (HTTP a HTTPS komunikacia) 9 Kapitola VI: Cukriky alebo ochranny mechanizmus? (Proxy) 11 Kapitola VII: Attacke! (Typy utokov) 12 Kapitola VIII: A co si mam z toho odniest ja? (Zranitelnost siete) 14 Kapitola IX: Aj ruter toho dokaze vela (Blokovanie URL) 16 Kapitola X: Aby sme sa nenachytali (IP adresy) 17 Kapitola XI: Ake taktiky pouzivaju podvodnici? (Telefonicke podvody) 21 Kapitola XII: Ale ja v tom pocitaci predsa nic nemam! (Spambot) 23 Kapitola XIII: Nastrahy realneho sveta (Overovanie) 24 Kapitola XIV: Som lepsi, lebo som viac zavisly! (Freemium hry) 25 Kapitola I: Moja znama pisala diplomovku na 3x… (Zalohovanie) Nikto take cosi nechce zazit a predsa len zazil. Nie je potreba si zalohovat vsetko, len to, co povazujeme za nutne a nevyhnutne. Nie je predsa prihodne, ked sa vratite zo skoly a po troch kavach s energetakom dostanete napad nieco napisat do diplomovej prace. Mat jedinu kopiu na svojom USB disku (nevyrobenom v USA), po tom, co ste ju ukazali svojmu skolitelovi na jeho pocitaci, nie je dobry napad. Vedeli ste, ze asi tyzden pred tym vas kolegovia z vasej triedy vystrihali, ze po skolskej sieti sa siri virus a vy tam najdete len odkaz na ten samotny USB disk, ktory ste prave strcili do portu pocitaca. Zacudujete sa a chcete otvorit ten odkaz. Ako to, ze sa neda otvorit? A panika zacne. USB zalohy samy o sebe nestacia. Miniaturizacia pamatovych diskov sposobila, ze ked stratite USB disk, najdete ho o tri roky, ked ho uz nepotrebujete, tak maly dokaze byt (aspon co sa tyka fyzickej velkosti). Mozete takisto vyuzit i sluzby internetovych providerov ako Dropbox, Google Drive alebo MEGA. Ale pozor, odporucame dokladne precitat si to, co necita nikto: podmienky sluzby. Nezavisli provideri ako napr. MEGA ponukaju vela skvelych moznosti, ale ak vas cloud nepouzivate, provider ho moze po dlhsej aktivite deaktivovat, pripadne zmazat vase data. A prava sa nedockate, pretoze si neprecitate, ze ste s tym suhlasili pri zriadeni sluzby! Zalohovanie dat je velmi dolezitou sucastou vasej obrany voci nepredvidatelnym okolnostiam. Proti virusom, proti poskodeniu hardveru, softveru a tiez proti nam samotnym. Radi stracame USBcka, formatujeme SD karty, pricom zabudneme, ze na nich mame tisic fotiek z dovolenky v Tunisku, omylom potopime notebook v sukromnom bazene (alebo v chudobnejsej verzii – vo vani). Existuje velmi jednoduche pravidlo. Lepsie zalohovat data na viac nosicov (cloud, USB, SD karta) a stratit s tym par sekund zivota, ako stravit cele mesiace vytvaranim toho isteho od zaciatku alebo z velmi starej zalohy. Existuje mnozstvo sposobov, ako neprist o data a niekedy staci nieco uplne jednoduche, aby ste neboli v problemoch. Skor, ako sa dnesna mladez stretla s Internetom, si starsia generacia posielala najdolezitejsie informacie mailom, pokojne aj samym sebe. Otvorit totiz svoju mailovu schranku a v nej odoslanu postu je rychle a jednoduche a da sa to dnes uz na akomkolvek zariadeni. Neraz bola diplomovka zachranena tak, ze sa v podstate hotova, len s chybajucimi zmenami v detailoch, poslala niektorej korektorke, ktora si na to sice nenasla cas – ale mailovej adrese je to uplne jedno. Urobit si pokojne aj tisic zaloh doleziteho dokumentu nezaberie viac miesta na disku ako jediny diel oblubeneho serialu, tak preco to nespravit? Zaroven sa neraz zachranili data z notebooku, ktory sa nedal spustit. Pomoze pritom Linuxove LiveCD/LiveUSB, pripojenie disku do ineho zariadenia ci pravidelna zaloha na Internet, ktoru niekto nastavil pred rokmi a stale funguje, ak pouzivatel dodrziaval zakladne pravidla. Kapitola II: Velke pismena? Male pismena? Cisla? To naco? (Hesla) Pravdepodobne ste sa stretli s frazami „tych mladych by mal niekto otrieskat slovnik o hlavu“ a „ja mam vsade rovnake heslo a mam tam meno dcery, to aspon nezabudnem“. Cuduj sa svete, tieto dve frazy suvisia ovela viac, ako to vyzera na prvy pohlad. Dostat sa cez heslo nie je nikdy take, ako v znamej scene z ceskeho serialu Comeback (myslela som, ze vies, ze Lexa sa pise s X!) alebo v roznych americkych filmoch, kde ho hacker uhadne ci prelomi za pol minuty, ani si poriadne nesadne k pocitacu. Alebo ano? Na Slovensku bolo zname heslo nbusr123. Ano, bolo to realne heslo pre Narodny bezpecnostny urad SR. Bezpecnost na prvom mieste, ci nie? Kazdopadne, zlych hesiel je naozaj velmi vela. Napriklad heslo 123456, password ci totoniktoneuhadne sa daju prekonat lahko. Tak, ako meno dcerky, psika ci presna adresa aj s popisnym cislom. Dobry sposob, ako napisat zle heslo, je aj pouzivanie uplne beznych slov. Keby mali stranky pivovaru heslo pivo, ako velmi by to bolo bezpecne? Ako vytvorit dobre heslo? Prvym krokom je vediet, ako utocnik premysla. Povedzme, ze sa chce dostat do mailov ci Facebookovej stranky svojej byvalej, ktora ho podvadzala s celou futbalovou reprezentaciou. Pravdepodobne by isiel podla tychto krokov: 1. Rovnake hesla ako inde. Ak vedel niektore heslo z ineho uctu, vyskusa ho aj tu. Ak ma ta zena rovnake heslo vsade, moze si ho jednoducho zistit a precita si cokolvek. A je len na nom, ci ho okamzite zmeni, alebo nie. 2. Databaza najcastejsich hesiel. 123456 a podobne kombinacie, pripadne qwertz alebo qwerty, podla klavesnice. Znamych a castych hesiel je vela. 3. Samozrejme nazvy obci a ulic, kde sa dany clovek nachadzal, nemoze chybat. Ak ste napriklad kazdy den v Nitre, tak by vase heslo nemalo byt Nitra123 ani nic podobne. 4. Slovnikovy utok! Vsetko co je v slovniku zaradom. Ak vie maximalnu a minimalnu dlzku, vie si slovnikovy utok prisposobit. Dovolenka, milenka, futbal… cokolvek, co je v slovniku. 5. Pomale softverove prelamovanie. Vsetko, co sa da a inde sa nedostalo. V praxi sa da povedat, ze co sa neprelomi do nejakeho casu, to sa neprelomi vobec, jednoducho to utocnika prestane bavit. Je teda dolezite mu tuto pracu co najviac skomplikovat, a to najlepsie dlhym, komplikovanym heslom, ktore nie je v ziadnom slovniku. Dobre heslo moze byt napriklad Q11uTlwirTmt8u, ale… kto by si take pamatal? Tu je par jednoduchych prikladov: Chorvatsko 2018 letna dovolenka s Luckou a Jozkom => LuJoChor2018Let Dcera Iveta ma rada ruze => ive456ruze789tka Jano kupil ukulele za 1000€ =1000_jnkplkll_1000 Ak neviete vymysliet heslo ani za svet, pokojne vyskusajte niektory generator a upravte si ho tak, aby sa vam lepsie pamatal, no dbajte na to, aby bolo heslo dost silne podla generatora. Kapitola III: Preco mi nejde crackovat hry? (Multimedia) Od 90. rokov a zaciatku storocia sa par veci zmenilo. Hry a podobne softvery podivne podobneho zanru uz nie je potrebne crackovat, cize oblbnut protipiratsku ochranu. Jednak je to zakazane (ale kto ma pri tom vidi, ze?) a na druhu stranu je to trosku nemoralne. Ak dvesto vyvojarov pracovalo na hre tri roky a my im nezaplatime, tak je vobec dovod robit nove hry? Alebo udrziavat ich nazive cez pridavanie noveho obsahu a vychytavanie chyb? A s prichodom streamovania a internetu je crackovanie o dost narocnejsie a v podstate nepotrebne. Ak si cez webovu platformu kupite nejaku hru, ktora sa vam nepaci, nie je nic jednoduchsie, ako si vyziadat vratenie penazi. Vela ludi totiz namietalo, ze crackuju hry len preto, aby si ju len skusili a ked sa im zapaci, tak si ju kupia? Tak presne ten dovod im odpadol. Co to ale je ten crack? Trochu si o tom povieme viac, urobme si male okienko do historie. Kedysi bolo bezne, ze ste museli pri hrani hry mat vlozene CD. Je to jednoducha protipiratska ochrana. Samozrejme ti, ktori nemali CD mechaniku, alebo im nefungovala spravne, alebo jednoducho nevedeli najst CD, mali smolu. Vytvoril sa tak jednoduchy program, ktory odstranil nutnost mat vlozene CD. Jednoduchy program, tzv. crack. Tych je viac druhov a casto je to subor, ktorym sa nahradi iny, nespravne nainstalovany subor. Vsetky subory su v poriadku, az na jeden. A ten staci nahradit dopredu pripravenym crackom. Problemov je s tym hned niekolko, okrem ineho i to, ze crack moze mat nielen to, co chcete, ale velmi casto ma pribalene aj nieco, o com neviete nic. Mozete sa tak stretnut s trojskym konom alebo inou hrozbou. Jozko napriklad vytvori hru a da do nej mechanizmus, ktory bojuje proti pirateniu. Ferko urobi crack, aby si to mohol nelegalne zahrat ktokolvek. Anicka upravi Ferkov crack tak, aby jej umoznil vybielit vase bankove konto. Jednoduche, no nie? Antivirusy casto vymazavaju cracky, a to prave preto, ze sa tam nachadza bezpecnostna hrozba. Ak si mate vybrat medzi crackom aj s hrozbou a medzi legalnou hrou, zistite si, kolko ta hra stoji a zvazte, ci chcete autorov tej hry podporit, alebo potopit. Zaujimavym prikladom ochrany pred kopirovanim mala najnovsia hra zo serie Prince of Persia. Na nelegalnej (a niekedy i legalnej) verzii hry sa asi v tretine nedali otvorit jedny dvere. Vysledok? Mnozstvo najroznejsich crackov, ktore sice nepomozu, ale maju pre vas neprijemny obsah navyse. Taktiez sa ukazala vlna kritiky, ktora oznacila hru za malo kvalitnu a plnu chyb. Hrac nasledne prestal mat chut na kupu tejto hry, pretoze je jednoducho sklamany. Ludia sa snazia branit proti nelegalnemu obsahu rozne. Napriklad v jednej pocitacovej hre sa s tym popasovali svojsky. Cracknuta hra fungovala celkom normalne, iba vasa postava mala cely cas pasku cez oko, ktoru ste jej nemohli dat dole. Inde vam dali zbran, ktora striela kurata a nesposobuju ziadne poskodenie superovi. Uz davno boli prekonane „kodove mriezky“, teda akoby kontrolne otazky. Ak ste si napriklad v roku 1991 kupili hru na nejaky stary Commodore, tak sa hra opytala napriklad: Aky znak je v riadku 5 a stlpci 10? Ak ste si totiz hru poctivo kupili, dostali ste i vytlacenu stranu s kodmi. Stlacili ste napriklad „p“ a hra sa spustila. Inak ste si totiz nezahrali. S filmami je situacia horsia. Ludia stahuju horentne mnozstva audiovizualnej zabavy, napriek streamovacim sluzbam, ktore sa mozu rovnat virtualnym knizniciam zabavy. To je prave spolocnym menovatelom vsetkeho audiovizualneho v dnesnej dobe. Niekomu k prospechu, inym nie. Vela hudobnikov sa takto napriklad stazuje, ze len co bezny posluchac dostal prilezitost na jedine kliknutie dostat sa k databazam milionov a milionov skladieb, tak oni maju problem ziskavat nove a nove publikum. A ked stiahnete film, ktory nejde ani za toho boha prehrat, tak bud ste sa nachytali nejakym sikovnikom, alebo ste stiahli po verzii, ktoru na lokalnych prehravacoch nekupite. Alebo vidite priserny obraz z kina, ktory je kazdych 10 minut prerusovany reklamou na stavkovu spolocnost. Vydavatelia filmov na DVDckach boli nuteni kodovat svoj obsah iba pre urcitu cast sveta. Dokonca existoval zvlastny format datovych diskovych nosicov, ktory sa mal po jedinom prezreti znefunkcnit. Mal to byt format pre pozicovne filmov, ale nepresadil sa. Ludia sa vsak vzdy vynajdu a napriek tomu si davaju pasku cez oko, pretoze vediac, ze este nikoho za piratske stahovanie obsahu nevzali do Ilavy, si takto mozu uzivat hodiny a hodiny zabavy zadarmo, miesto toho, aby svoj cas stravili nejak produktivne. Do kategorie multimedia uz davno patria i aplikacie na mobily a tablety. Casto vsak nutia pouzivatela zapnut internetove pripojenie, aby vobec fungovali. Potom mate v rukach monstrum. O tom by mohla vsak byt nova knizka, ako s nami kvalitne vyvojari appiek manipuluju. Kto by chcel aplikaciu, ktora vas kazdu chvilu pripaja na Internet, aby vam pustila reklamu (samozrejme so zvukom na plne pecky) a vy mohli dalej hrat? Nie je to ako televizia, len horsie? Horsie na tom je vedomost, ze my to akceptujeme. A akceptujeme i ten fakt, ze si kupime pokoj – ved len za styri dolare patdesiat a reklam, skvrn a spiny sa zbavis! Akceptujeme i ten fakt, ze toto monstrum dame do ruky nasim neplnoletym detom, ktore mozu na tomto „rodicovstve 21.storocia“ kvalitne doplatit. Prave deti su tou najzranitelnejsou skupinou online, a tak ich musime viest k co najrozumnejsiemu pouzivaniu Internetu! Deti tak casto dostavaju kvalitnu davku hnusnych reklam, navykovych hier s pastelovymi farbami a socialnych sieti, dokonale niciace ich detstvo a mozno i ich buducnost, za ktoru sa budu o desat rokov hanbit. Je vsak takmer nemozne dnes detom cokolvek zakazat, ale o tom, co na deti dneska prostrednictvom modernej doby ciha, je mozne urobit dalsiu knizku. K detom jedna zaujimavost dnesnej doby. Dieta, ktore ma menej ako desat rokov, si vie vyhladat a pozriet rozpravku, pricom povypina vyskakujuce okna so sexualnym obsahom a najroznejsimi kasinami, zatial co nejeden dospely klikne na veci, na ktore by nemal – a nasledne prosi svoje dieta, aby skusilo odstranit skodu, co on napachal par kliknutiami. A nie vzdy sa to da… Kapitola IV: Tieto spravy su tak skvele, az nie su pravdive (Hoaxy) Co je na tomto obrazku podozrive ako prve? Hlavne to, oznacene zltym zvyraznovacom a ciernou sipkou. A preco? Pretoze tato stranka chce vyzerat ako oficialna stranka Noveho Casu, az na to, ze v adresnom riadku je readreadnews.com, ktora je vymyslena. Ak by sme sa po tejto stranke skusili prejst mysou a prezreli si, kde nas to chce presmerovat, zistime, ze kazdy jeden element – obrazok alebo preklik na lubovolnu sekciu, nas nasmeruju na jedinu adresu, odkial od nas bude chciet, aby sme naleteli trebars na nejaku pyramidovu hru s vidinou rychleho zarobku. Mozno si niekto vsimne aj nevysklonovane meno v nadpise. Podvodnici sa casto snazia prelozit svoje stranky do vsemoznych jazykov a pritom casto pouzivaju strojovy preklad, ktory este do dokonalosti musi dospiet. Je vsak pravdou, ze v poslednom case je takychto stranok s lamanou slovencinou uz nizsi, ako pred par rokmi, a tak sofistikovanost tychto podvodov len rastie. Mozeme len odporucat stranku hoax.sk, ktora sa stala v podstate uplnym zakladom pre sirsie informacie o hoaxoch na Slovensku. Dozviete sa z nej nielen to, ake nepravdive informacie alebo hoaxy teraz frcia a tiez i ako funguju. Su tam skvele informacie i o Ponziho scheme, ktora je urcitym typom pyramidovej hry a tiez ako funguje. My mozeme len konstatovat, ze cokolvek, co vyzera velmi nerealisticky skvele na Internete, je takmer vzdy podvod! Ak sa trochu zaujimate o taketo uzasne informacie, urcite ste sa stretli aj s rovnakymi clankami, kde je ale spomenuty iny clovek. Je najlahsie hodit tam niekoho velmi znameho a je jedno koho. Hlavne, aby bol znamy a kontroverzny. A hlavne, ak nieco vylakalo odbornikov, tak to pravdepodobne je uplny nezmysel, ktory vie ktorykolvek odbornik lahko vyvratit. Kapitola V: Aky vyznam ma jedno S? (HTTP a HTTPS komunikacia) HTTPS (Hypertext Transfer Protocol Secure) je protokol, umoznujuci zabezpecenu komunikaciu v pocitacovej sieti. Vyuziva protokol HTTP spolu s SSL a TLS (to je uz zastarany protokol). Zaistuje autentifikaciu, doveryhodnost prenasanych dat a ich integritu. Vseobecne sa odporucuje pouzivat HTTPS miesto HTTP. Trend je taky, ze vsetky nove web servery uz pouzivaju HTTPS protokol prednostne. Umoznil to vyvoj technologii a hlavne zistenie, ze tajne sluzby casto dokazali zachytavat nesifrovany webovy priestor. Komunikacia v HTTP je po ceste komukolvek zachytitelna, citatelna a zmenitelna, cim moze byt prenos dat pozmeneny v okamihu, ked sa pouzivatel pripaja napr. do internetoveho bankovnictva. Utocnik moze ziskat prihlasovacie udaje a keksiky (cookies) a moze sa za pouzivatela vydavat (a vybielit mu bankove konto). Preto sa vyuziva v emailovej komunikacii, online bankovnictve a vsade tam, kde sa prenasaju osobne alebo citlive informacie. Pre utocnika nie je problem vyskusat vase prihlasovanie aj na inych strankach, ktore navstevujete. Aj preto je dobre mat odlisne hesla. V tomto pripade ide o stranku, ktoru sama spravuje a riadi mala skupina nadsencov do strategickych hier. Stranka je dostupna i po zadani HTTPS a ma platny certifikat. Je tu len na ukazku, ako vyzera adresny riadok po vyhladani stranky s protokolom HTTP. Pouzitie HTTPS sa indikuje v adresnom riadku, casto i vizualne (nejakou zamkou, kladkou alebo zelenou farbou). Po kliknuti na kladku (visaci zamok – velmi zvlastne slovo) sa zobrazia informacie o certifikate (mozno ste nieco poculi o SSL certifikatoch – tak to je ono), vydanom pre danu domenu. Nie je potreba sa tak nejak zbytocne prehrabavat, pretoze ak by certifikat vyprsal alebo bol znehodnoteny, prehliadac by nas na to upozornil, pretoze tento SSL certifikat je dolezity pri overeni identity webu. Cela tato masineria je vybavena systemom pre vydavanie overenych certifikatov, obmedzenim ich casovej platnosti a podobne. Ani to vsak nie je na 100% blbuvzdorne a pre obycajneho pouzivatela je to casto matuce, no moze to dost pomoct pri odhaleni phishingu a podobnych utokoch. Ak niekoho zaujima pozadie: Na stranke je umiestneny skript, ktory inak nie je viditelny. Ak ideme na nejaku URL, tak je tam token, ktory si web server kontroluje s CA (Certifikacna autorita). To je konkretny server, ktory spravuje certifikacna spolocnost, pricom jedna spolocnost moze mat i viac serverov. Ak sa tokeny nezhoduju, certifikat sa zneplatni. Ak teda chceme vydat certifikat pre stranku napr. https://blukote.sk, tak sa najprv rozhodneme, od koho chceme vyuzivat tuto sluzbu (napr. DigiCert). Potom si vygenerujeme CSR (Certificate Sending Request) - urcime si, co od neho vyzadujeme – autentifikaciu voci serveru, typ enkrypcie a metaudaje (adresa, kontaktne osoby a pod.). Posleme hotove CSR, DigiCert potom komunikuje s kontaktnou osobou, uvedenou v meta informaciach. Ak prejde validacia, oni zoberu informacie z CSR a podpisu ho verejnym klucom a vysledkom je certifikat, kde je uvedene, pre koho je vydany, su tam metaudaje z CSR, kym bol vydany (DigiCert) a je tam pridany i certifikacny chain – teda i metainfo o certifikate Root CA, ktora autorizovala Issuing CA (vo Windowse sa da pozriet, ked klikneme na ten zamok a dame si zobrazit certifikaty a vyberieme Cesta k certifikatu). V hotovom certifikate este budu uvedene i vlastnosti samotneho certifikatu – platnost (validity – not before, not after) – a miesto, kde je CRL. CRL vydava certifikacna autorita, je to verejne dostupny zoznam revokovanych certifikatov – Certificate Revocation List - (teda neplatnych certifikatov pred datumom skoncenia platnosti). Revokacia (zneplatnenie certifikatu) moze nastat napriklad vtedy, ked ho niekto ukradne, alebo sa najde iny dovod, preco by mal byt certifikat zruseny. Revokacia prebieha tak, ze certifikacna autorita zaradi fingerprint (odtlacok, jeho jednoznacny identifikator) certifikatu na CRL zoznam. Kazdy, kto overuje certifikaty, ma moznost overit si CDP (CRL Distribution Point - je to internetova adresa, kde je CRL uvedena) a tak sa tento revoknuty certifikat neuzna. Tedav kratkosti, ak pristupujeme prehliadacom na web server, ten sa nam predstavi certifikatom, napriek tomu, ze mu prehliadac doveruje, pred naviazanim spojenia sa este skontroluje CDP, ci nie je nahodou zneplatneny. Ak je, tak prehliadac odmietne vytvorit spojenie. V pripade, ze je CDP nedostupne, tak sa to bud predvolene pusti, alebo sa zahodi. Kapitola VI: Cukriky alebo ochranny mechanizmus? (Proxy) Proxy (nie Doxy) je nastroj na kontrolovanie trafiky a skryvanie identity mnozstva pouzivatelov, ktori sa skryju pod jedinu IP adresu. Casto je jej sucastou nejaka antivirusova zlozka, kontrolujuca i dynamicky obsah stranok. Proxy tiez dekryptuje HTTPS komunikaciu prostrednictvom SSL Interception. Ta sa moze vypinat, kedze podla zakonov sa v urcitych typoch institucii nema robit kontrola sifrovanej trafiky. Ide predovsetkym o banky a financne institucie, kedze sifrovana komunikacia musi byt podpisana certifikacnou autoritou a vypina sa preto, aby neunikli citlive alebo osobne udaje. Proxy sa da este pouzit na okaslanie geolokacie, ked nas kvoli priradenej IP z rozsahu pre krajiny niekam nepusti. Proxy moze byt transparentna – trafika prechadza cez proxy, no nikto v sieti o nej nevie a ani ju nema nastavenu v prehliadaci. Ta sa moze napojit ako fyzicky stroj, alebo ako virtualna masina. Najcastejsim typom je vsak explicitna proxy – vsetci o nej v sieti vedia a je u nich nastavena. Trafika prebieha od koncoveho pozivatela na proxy a odtial uz nova trafika s IP adresou proxy na web server, pricom proxy zistuje, ci je pouzivatel autentifikovany, ak je pripojeny i antivirusovemu softveru, tak ju rovno i skontroluje. Proxy sa da predstavit ako Black a Whitelisty pre datove typy. Proxy sa diva len na frame – vidi proste len napriklad ZIP, nemoze sa uz divat do dokumentov. Az antivirovy softver sa podiva do suborov a je schopny zachytavat zakazane datove typy. Vykonava i SSL Interception. Pri nom je zrusene zabezpecene SSL spojenie (resp. je rozpojene), aby sa proxy dostala k nezabezpecenym udajom a tie mohla poslat na antivirus (AV). Aby sa nestalo, zeby sa zabezpecene informacie dostali na AV ako text, casto proxy vyuzivaju vlastne protokoly. Pokial web stranka ma certifikat podpisany napr. spolocnostou VeriSign, prehliadac bude tomuto spojeniu doverovat. Certifikat, ktory je self-signed (podpisanym samym sebou) je primarne nedoveryhodny prehliadacom. SSL Interception funguje nasledovne: Prehliadac kontaktuje proxy server a ziska informacie o obsahu web stranky. Proxy vytvori zabezpecenu HTTPS komunikaciu s web strankou. Web server doda este SSL certifikat, ktory bol vydany pre danu web stranku. Ak proxy spozna Root (hlavny) certifikat, oznaci ho ako doveryhodny. Ak vsak neveri serverovemu certifikatu, nemoze vytvorit HTTPS komunikaciu a pouzivatel dostane chybovu hlasku, ze je serverovy certifikat nedoveryhodny. Ak je vsak potrebne, aby proxy doverovala tomuto certifikatu, musi byt manualne pridana na proxy. Ak je uz certifikat nainstalovany ako doveryhodny a proxy mu doveruje, vytvori novy certifikat s rovnakym obsahom, kedze certifikat nebol vydany a podpisanym doveryhodnym CA, ale samotnou proxy. Nakoniec tento certifikat je samopodpisany a posle ho prehliadacu. Proxy vsak nie je doveryhodna CA, preto by sa pouzivatelovi mala tiez zobrazit chybova hlaska. Aby sa tomuto problemu predislo, vykona sa SSL Interception. Tak prehliadac doveruje i proxine. Casto sa vyuziva vo firmach a korporaciach. Zamestnanci napriklad vdaka nej nie su sledovatelni pomocou IP adresy. Kapitola VII: Attacke! (Typy utokov) DoS alebo DDoS utoky – (Denial of Service alebo Distributed Denial of Service) – tento typ utoku je pomerne casty vo vacsich korporaciach a jeho cielom je znemoznit pristup na web stranku, pripadne inu sluzbu zahltenim internetovej linky. Web stranka sa bude zvonku javit ako nedostupna. Pri DDoS utoku sa pouzivaju casto viacere pocitace z roznych IP adries. Utocnik vacsinou akymkolvek sposobom zahtli linku zaplavou ziadosti, napriklad klasickym PINGom (ICMP floods). Utocnik teda tolko raz a tak casto kontaktuje danu sluzbu, az ju vytazi. A to tak, akoby z jednej haly plnej ludi vypustite naraz vsetkych a ti sa ponahlaju, prechadzajuc jedinymi malickymi dvermi. Skuste im ist oproti. Tento typ utoku moze zasiahnut web stranky i emailove schranky. Niekto totiz moze zahltit mailovu schranku opakujucimi sa mailami az natolko, ze sa nebudeme moct vobec do nej dostat. Co sa tyka emailov, mozeme sa stretnut i s tzv. Outbreak Attackom. Je to taky utok, pri ktorom sa utoci na Address book (Zoznam adries) a posiela zavirenu spravu vsetkym v zozname. Phishing Attack na druhej strane nema prilohy, ale nejaku zavirenu adresu a snazi sa nachytat lahkomyselnych pouzivatelov, ze zdedili miliony po nigerijskom princovi. Jedna z menej prijemnych veci, ktore mozeme dostat kliknutim napriklad na exe subor (i ked to dnes vacsina mailovych rieseni blokuje), je tzv. trojsky kon, alebo skratene trojan. Tie su nebezpecne, sice sa nesiria ako virusy, ale mozu otvorit vas pocitac pre utocnika a pravidelne mozu odosielat vase udaje utocnikovi, alebo umozni nahrat skutocne nebezpecny kod do pocitaca. Dobrym prikladom je tzv. keylogger, ktory moze odoslat utocnikovi napriklad vase meno a heslo napisane na pocitacovej klavesnici. Pomocou umelej inteligencie je relativne lahke zistit, ktora cast vami zadanych znakov je skutocne meno a heslo. Preto je dobry napad neotvarat prilohy. Skodlivy kod sa moze dostat do pocitaca taktiez cez reklamu. Chcete vypnut otravnu reklamu, no pri jej vypinani sa dostanete na stranku, ktora vam zacne nieco stahovat do pocitaca a v horsom pripade tento kod aj spusti. Aj preto je dobry napad mat blokovac reklam v internetovom prehliadaci. Historicky sa stale zaznamenava narast utokov, pri ktorych je potreba sa ochranit podla hesla: „Mysli ako utocnik“. Typy sietovych utocnikov: White hat - hlada slabiny zabezpecenia systemu. Jeho umysel je vsak upozornit providerov na chyby v zabezpeceni siete. Da sa tak povedat, ze ide o cloveka, ktory hlada chyby v novych projektoch a stara sa o to, aby boli zabezpecene. Hacker - historicky sa nim oznacovali programatori – experti, dnes su to skor ludia, ktori sa snazia ziskat neautorizovany pristup k sietovym zdrojom a udajom (casto i sukromnym) Black hat – clovek, ktory zneuziva svoje IT vedomosti k prielomu do siete neautorizovane. Cielom je casto osobny alebo financny zisk. Phreaker – je utocnik, ktory sa neautorizovane snazi dostat do telefonnej siete (napriklad za ucelom volani zadarmo) Phisher - vyuziva maskaradu za niekoho za ucelom ziskania citlivych informacii. Kapitola VIII: A co si mam z toho odniest ja? (Zranitelnost siete) Kazda sietova a pocitacova technologia sama o sebe obsahuje urcite bezpecnostne problemy. Velku ulohu pri bezpecnosti sieti zohrava ludsky faktor. Pri zlom zaobchadzani alebo konfigurovani i tej najbezpecnejsej technologie vznika velke riziko ohrozenia bezpecnosti (nezabezpecene ucty, zle a chybne konfiguracie a pod.) Nielen aktivny hacking je problem, ale aj riesenie fyzickej bezpecnosti zariadeni. Hrozby tykajuce sa hardveru - fyzicke poskodenie serverov, smerovacov (prilis teplo, zima, vlhkost, prasnost, napatove spicky, prepatia, prepady, sum, rusenie, interferencie, strata napajania) No a co my s tym? Ako mozeme zmiernovat nasledky utokov? • odstranenim vyrobnych nastaveni po instalacii alebo umiestneni na sieti • pravidelnou aktualizaciou antivirusu • vlastnenim osobneho firewallu • instalovanim zariadeni, zvysujucich uroven zabezpecenia siete • zakazanim nechcenych alebo nepotrebnych sluzieb • zabezpecenim konektivity pomocou VPN, Web SSL • zabezpecit autentifikaciu (autorizovanie) • dodrziavanim bezpecnosti pravidelnou zmenou hesiel kazde 3 mesiace • pozorovanim a detekciou nechcenych aktivit • neotvarat prilohy v mailoch, ktore vyzeraju podozrivo a pouzivat blokovac reklam Vlastnenim osobneho firewallu. Hm, dve brany firewall su lepsie ako jedna, vsak? Ak ich clovek nevie nastavit, tak su samozrejme celkom nanic. V sietovej komunikacii, pokial sa bavime o firewalloch, su to presne tym, comu hovorim “omen nomen”. Teda horiaca stena. V prenesenom vyzname teda protipoziarna stena. Dokaze zablokovat vela nechcenej trafiky z Internetu, hoci velmi casto sa pouzivaju i v internych sietach spolocnosti a korporacii. Tam je prud dat tak spletity a zlozity, ze vzdy potrebuju niekolko parov firewallov. Preco hovorime o paroch? Nie preto, ze v dvojici sa lepsie kraca zivotom, ale preto, ze vzdy sa musi mysliet na zadne vratka. Co ak nahodou vypadne elektrina a po jej nahodeni zrazu jeden z nich zlyha? Alebo ak nahodou zlyha jeho nejaka vnutorna suciastka? Vtedy by sme boli na holej, ak by sme nemali druhy firewall, ktory jeho funkciu rad zastupi. Dve firewally sa pouzivaju i v pripade, ze cez ne maju tiect obrovske mnozstva dat. Kazdy jeden z nich je koncipovany na urcitu zataz. Co ak ju jeden proste nepotiahne? Preto sa mozu pouzit i na tzv. load balancing, teda na balansovanie zataze na sieti. A co tie nase nechvalne zname aktualizacie Windowsu, ktore maju schopnost objavit sa v najnevhodnejsej chvili? Ano, cloveka dokazu poriadne rozculit, pretoze len a jedine na Windowsoch je potrebny restart pri nich. Aktualizacie riesia zranitelnosti, ktore so sebou prinasaju nove verzie operacnych systemov. Preto skaceme z Windows XP do Windows 7, cez 8, 8.1. az k sucasnej desiatke a jedenastke (nikdy nenechajte, aby vase dieta ucit Bill Gates pocitat, prosim). Este i v januarovej verzii sa moze objavit nejaka zranitelnost, ktora je osetrena vo februarovej verzii a tak podobne. Teda nezabudajme, ze kym je operacny system plne Microsoftom podporovany (narozdiel od XP, 7 a o chvilu to caka i osmicky a desiatky) a kym mame aktualizacie zapnute, znizujeme sancu na akykolvek utok. Prichodom SSD diskov sa ale bootovanie do operacneho systemu skratilo na par sekund a to plati i o restartoch. Je potrebny antivirus ked chodim len na Internet? A kde inde by si prehliadal? Ak je pocitac mimo Internetu a siete, pricom vskutku pri nom nestoji niekto s flash diskom a na nom nahratym virusom, co uz taky pocitac moze dostat? Ale v opacnom pripade, co taky antivirus robi? Je to zoznam vsetkych znamych virusov, ktore existuju. A vedzte, ze malo ich nie je. Je to v podstate databaza, na zaklade ktorej sa antivirus rozhoduje, ktore subory, programy a aplikacie su neskodne a ktore dokazu narobit sarapatu. Preto je dolezite mat antivirus zapnuty a nechat ho aktualizovat si databazy. Co spravi antivirus, ked nema nejaky potencialne skodlivy virus v databaze? Ja jsem vsude zdejsi, ja jsem vsude zdejsi, u mne nejsi zdejsi...ja te tady nemam! Pusti ho priamo do pocitaca ako neskodny subor, pricom on si uz moze kradnut informacie z vasho pocitaca. Kapitola IX: Aj ruter toho dokaze vela (Blokovanie URL) Administratori pouzivaju ACL (access listy) na zakazanie prevadzky alebo na povolenie iba specifickej casti prevadzky. Pouzivaju bezpecnostne brany (dalej len firewally) na to, aby ochranili siet pred neopravnenym vstupom. Filtruju neautorizovany alebo potencialne nebezpecny paket (balicek s datami) este predtym ako vstupi do siete. ACL je sekvencny zoznam povoleni a zakazov, ktory sa aplikuje na adresy alebo protokoly vyssich vrstiev. ACL poskytuje ucinny sposob ako kontrolovat prevadzku, ktora vstupuje alebo vychadza zo siete. Je schopny vybrat informacie z hlavicky paketu, otestovat ich a rozhodnut o jeho osude na zaklade zdrojovej IP adresy, cielovej IP adresy a typu ICMP spravy. ACL je kontrolovane od hora smerom dole, kazdy riadok samostatne, hladajuc zhodu v prichadzajucom pakete. Smerovac (router, ten pristroj na vasom stole, vdaka ktoremu ide doma Internet) nema standardne ziadne predkonfigurovane ACL, teda nefiltruje prevadzku. Pakety, ktore prijme sietove rozhranie su priamo smerovane do smerovacej tabulky. Vseobecnym pravidlom pri aplikovani ACL je konfiguracia jedneho ACL pre protokol, pre smer a pre rozhranie. Jednoducho definuje subor pravidiel, ktore kontroluju pakety, vstupujuce na vstupne rozhrania, prechadzaju cez smerovac, odchadzaju cez vystupne rozhrania. Neaplikuju sa na pakety, ktore vzisli zo smerovaca. Aplikuju sa vsak na vstupne a vystupne rozhrania. A uplne jednoducho: Do samotneho rozhrania routera viete napisat zoznam web stranok ci uz s podozrivym, nebezpecnym alebo pornografickym materialom. Bezne si mozete stiahnut i rozne ine softvery, ktore to dokazu blokovat i bez nutnosti instalovat tieto pravidla na router. Mavaju i kategorizacie web stranok podla obsahu, aby sa dali lahsie identifikovat. Vy teda zablokujete pornograficky obsah a aplikacia ma uz v sebe zabudovanu databazu web stranok tejto kategorie a vy teda nemusite do zoznamu manualne pridavat jednu po druhej. Teda mozete, ak sa nahodou omylom prekliknete na podobne hnusnu stranku, ktora v tejto databaze chyba. V rozhrani aplikacie si jej adresu hodite do chlievika tej kategorie, do ktorej zapada. Mozete takto ochranit seba a deti pred nastrahami coraz blaznivejsieho Internetu. I hnusny obsah je totiz lahsie pristupny. Kapitola X: Aby sme sa nenachytali (IP adresy) Podvodnici radi vyuzivaju technologicku bublinu a ked sa snazia ziskat peniaze, povymyslaju si kopec volovin. A podvodnici nie su ti, ktori chodia pod vodou, ale to su ti, ktori podvadzaju. Pouzivaju rozne metody na ziskanie penazi od svojich obeti. A jednou z tychto metod je i technologicka bublina – podvodnik si moze vymyslat klamstva a nepravdivo svoju obet informovat o skutocnostiach, o ktorych obet nema dostatok informacii. Ak obet napriklad nevie podrobnosti o IP adresach a podvodnik jej povie, ze jeho IP adresa je ukradnuta, tak obet zareaguje zhrozene moze povedat: „Preboha a viete mi to opravit?“ A to je presne to, kam sa kazdy podvodnik chce dostat. Chce si ziskat doveru svojej obete a tak tara dve na tri. Preto je dobre vediet aspon zaklady. V takomto pripade, ked podvodnik ohlasi, ze vasa IP adresa je kompromitovana (alebo poskodena – nech to znamena cokolvek) a ze hackeri ju vyuzivaju na svoje nekale ucely, cielene klame (sam to ale dobre vie). Vystriha vas, ze ked „sa nieco stane“, tak to bude na vas. Urcite. Neverte im to. IP adresa sa neda nijak poskodit ani ukradnut, da sa poskodit zariadenie alebo pocitac, ale nie IP adresa. Dokonca povedia, ze sa da branit „IP maskovanim“. To je blud na druhu. Takze si to preberme postupne. IP adresa rozhrania je adresa samotneho rozhrania (sietovej karty). Slovo „adresa“ ma dokonca v mene! Je to ako adresa bydliska. Kazdy niekde byvame a tak i pocitace a vsetky zariadenia v sieti tiez niekde byvaju. A napriklad 37.9.175.9 moze byt adresa nejakeho servera v sieti. A to je adresa web stranky Greenie kniznice. Ako to viem? Ked je pocitac pripojeny do Internetu, mozete si vyvolanim cmd (prikazoveho riadku) a prikazom nslookup skontrolovat akukolvek adresu ci web server. Ako to funguje? Vsade po Internete existuju specialne servery, majuce skratku DNS (Domain Name System). Ked vy zadavate do adresneho riadka napriklad greenie.elist.sk, tak zjednodusene sa vzdy po stlaceni klavesy Enter prehliadac opyta DNS servera: „Prosim ta, aku IP adresu ma tato web stranka? Pouzivatel ju zadal do adresneho riadka a potrebujem ju kontaktovat.“ A ten mu odpovie: „Jasne kamo, mam tu zaznam vo svojej tabulke, ze tejto web stranke je pridelena adresa 37.9.175.9.“ Ucenymi slovami ide o 4 skupiny dekadickych cisiel, oddelenych bodkami, v kazdej skupine su cisla v intervale od 0 po 255 (8 bitov umoznuje generovat max. 28 , t.j. 256 kombinacii). Okrem verejnych, „beznych“ adresnych rozsahov su k dispozicii i tri tzv. „sukromne“ adresne rozsahy, ktore sa pouzivaju rozsahy: 10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255 pre tzv. „nepripojene“ siete. Adresy z tychto rozsahov nesmu byt pouzite na „verejnom“ internete! Sukromne IP adresy sluzia v sietach, ktore bud vobec nie su pripojene ku Internetu (izolovane lokalne siete) alebo su ku Internetu pripojene prostrednictvom proxy serverov, firewallov ci NAT serverov, teda zariadeni, ktore zabezpecia preklad „sukromnej“ adresy na realnu „verejnu“ IP adresu. Vezmime si teda to, co mam vyhodil prikaz nslookup pri druhom pokuse s 13.xx.xx.xx adresou (niekedy sa da takto oznacit adresny rozsah sieti.) Vsimli sme si, ze nam ukazalo 2 vysledky a teda i tuto adresu 192.168.0.1. Mozno je vam povedoma. Veru tak. Mozno je to adresa i vasho routera, ktorym sa pripajate na Internet vy. Preco je tomu tak? Ak si vezmeme vsetky mozne kombinacie, (pozor na vyhradene adresne priestory – mozu byt vyhradene pre testovacie ucely a pod.) tak mozeme vytvorit 232 adries, teda celkovo 4 294 967 296 adries. Vela, nie? No uz nie. V dnesnom svete sa tieto adresy pomaly vycerpavaju. Preto sa zaviedli „sukromne“ adresne bloky, pre sukromne siete, ako je ta vasa. Skratene, adresa 192.168.0.1 sa moze na svete vyskytovat milionkrat, zatial co 13.56.68.30 len raz. Sukromne adresy z izolovanych sieti vsak nemozu byt vysielane, preto su prelozene na jedinu verejnu. Predtym, nez si povieme, nieco o maske, mozno si lamete hlavu nad tym, preco take cisla. Preco od 0 do 255, preco nie do 800? Prakticky sa stretneme s IP adresou najcastejsie v dekadickom tvare, napr.: 94.160.100.211. Ale precitali ste si i to v zatvorke? Myslim to, ze 8 bitov umoznuje generovat max. 28 , t.j. 256 kombinacii. Takze sa mrknime na tuto adresu. Toto je dekadicky zapis: 94.160.100.211 Toto je binarny zapis: 01011110.10100000.01100100.11010011 Kazde cislo v tejto stvorici je teda osemmiestne binarne cislo. Maximum je binarne cislo 11111111, teda dekadicke 255. A naco je nam maskovanie IP adries? Mozno to nie je stastne pomenovanie, pretoze to prave tymto podvodnikom nahrava na smec. My si vsak zapamatajme to, ze maska siete udava, ktora cast IP adresy predstavuje adresu siete a ktora adresu samotneho rozhrania v ramci siete. Jednoducho povedane, maska predstavuje objekt s velkostou 32 bitov (pozicii) a je zlozena zo suvislej oblasti samych jednotiek, na ktore nadvazuje suvisla oblast nul. Priklad: MASKA 11111111.11111111.11111111.11000000 v dekadickom zapise je to 255.255.255.192 a urcuje pre adresu siete 26 bitov (z tych 32 bitov je jednotiek prave 26). Namiesto dekadickeho zapisu sa moze pouzit i zjednoduseny zapis prefixom a to takto: IP 94.160.100.0 MASK 255.255.255.192 je mozne nahradit uspornejsim zapisom IP 94.160.100.0 /26 Aby sme tomu pochopili, ako maska deli siete, dame si priklad: Priklad: Siet 94.160.100.0 rozdelime maskou 255.255.255.128 na dve podsiete. Siet 1: adresa siete: 94.160.100.0 brana: 94.160.100.1- tu moze ist router broadcast: 94.160.100.127 – volanie siete Siet 2: adresa siete: 94.160.100.128 brana: 94.160.100.129 – tu moze ist router broadcast: 94.160.100.255 – volanie siete V kazdej sieti moze byt 125 pocitacov (spolu s branou to je 126 rozhrani v kazdej sieti). Kazda podsiet moze byt samostatne smerovana. Vratme sa na chvilu este k staremu dobremu nslookup a skusme este jednu vecicku. Vyhladajme si adresu napriklad znamej nakupnej platformy wish.com. Co tak pozerate, s amazonom alebo ebayom sa take nieco neukaze: Z tohto zapisu vieme, ze adresa ma viacero serverov s roznymi adresami, ale co zac su tie, ktore zacinaju na 2600? Zmateni? Poslednych 9 adries, ktore uz pozname, su typu IPv4 (verzie 4) a tie vrchne su IPv6 (verzie 6). Preco teda celkom iny zapis? Vieme, ze velkost dostupneho IPv4 adresneho priestoru klesa, pretoze je zaznamenany narast populacie pripojenej na internet (najma Azia) a narast zariadeni s IP pristupom. Preto sa zadefinovala nova forma IP adries. Tieto „sestky“ maju vacsi adresovy priestor, su lepsie globalne dosiahnutelne, konfiguruju sa samy, nemusia sa prekladat (nejestvuju ziadne „sukromne“ siete) a tiez to pomaha i sietarom, kedze nie je potrebna ani maska. IPv4 ma 32 bitov (znakov) a celkovo asi 4 294 967 296 adresovatelnych uzlov. IPv6 ma 128 bitov (16 bajtov) - stvornasobna dlzka oproti IPv4- teda 3,4x1038 adresovatelnych uzlov (340 282 366 920 938 463 374 607 432 768 211 456) - 5x1028 adries na osobu. To uz je riadne mnozstvo! Zatial co IPv4 su binarne, IPv6 su 16-bitove (hexadecimalne)! Preto mozu vyzerat napriklad i takto: 2031:0:130F:0:0:9C0:876A:130B Kapitola XI: Ake taktiky pouzivaju podvodnici? (Telefonicke podvody) Aj vam volali nejaki typci, hovoriaci anglictinou s divnym prizvukom a povedali vam, ze mate nieco s pocitacom? Alebo zase ini (pokojne i v cestine alebo slovencine), ze ste vyhrali nejaku vonavku? Tak v prvom rade, ak ste sa nezucastnili ziadnej sutaze, nemate ako vyhrat. Chcu od vas vylakat osobne informacie a hlavne peniaze. Tolke prekvapenie. Co sa tyka tych blaznov s udajne pokazenym pocitacom, ti budu chciet, aby ste im umoznili remote session, teda vzdialene pripojenie. Nikdy nikomu cudziemu nedavajte remote access! Moze od vas vylakat osobne hesla, ktore mate ulozene v prehliadaci. Neukladajte si hesla do browseru (prehliadaca)! Robte to mimo neho. Existuje kopec organizerov, ktore vam umoznia si bezpecne ukladat svoje hesla v jednej databaze, ktora je zaheslovana. Principialne, staci si pamatat jedno heslo, ktorym otvorite databazu. V tychto organizeroch vidite svoje prihlasovacie udaje iba ako hviezdicky, po dvojkliku vam umoznia skopirovat heslo iba na par sekund, kym ho zadate do okna prehliadaca, cim obchadzaju softvery na sledovanie klavesnice. A hlavne, vyberajte si offline password organizery. Nie zriedka sa totiz stane, ze databazy velkych korporacii a firiem sa leaknu (to je anglicky vyraz pre ukradnutie udajov hackerom) a na svetlo sveta ujde velke mnozstvo personalnych informacii. Urcite si skontrolujte svoj email cez stranku https://haveibeenpwned.com. Ta vam da informaciu o tom, ci niekto ukradol hesla k prepojenym sluzbam k vasmu emailu. V tom horsom pripade moze od vas ziskat citlive udaje. Ani za cokoladu im nevyplnujte formulare, obsahujuce osobne ci bankove udaje! A co je dolezitejsie nikdy tym trollom neplatte! Preco? No pretoze platit sa ma za sluzbu. A tito podvodnici vam ukradnu data, osobne udaje, zhorsia bezpecnost pocitaca a oklamu vas. Stoji vam to za tie peniaze? A ak sa im to vyplati, idu do toho znovu a znovu a znovu. Casto sa stane, ze zle zadate adresu do adresneho riadka, napriklad goooogle.com (a nie ze to budete skusat, vy nezbednici). I na to cakaju podvodnici. Presmeruje vas to na akusi ohyzdne vyzerajucu stranku, ktora vam oznamuje, ze v PC mate virus a ze sa vam Windows zmaze od 300 sekund. Preco to nie je pravda? Je to len skript na tej stranke, prehliadac nikdy nevie siahat do antivirusoveho softveru. A ak je na stranke uvedene i telefonne cislo na to, aby ste im zavolali, je to podvod ako vysity. Vysivany podvod. Ich klasicke taktiky: • Otvoria Event Viewer a snazia sa vas presvedcit, ze to mnozstvo chybovych hlasok je nejaky virus alebo hocco, pricom tieto nemaju s virusmi vobec nic spolocne, na kazdom normalnom pocitaci to bude ukazovat rovnako. • V Spravcovi uloh vam ukazu Stopped Services. Na normalnom PC maju byt niektore sluzby zapnute a ine vypnute, to neznamena ziaden problem. • Nainstaluju scareware – softver, ktory ma posobit ako legitimny program, ale jeho ulohou je vystrasit pouzivatela falosnymi hlaseniami o udajnych virusoch a samozrejme, nuti vas kupit si plnu verziu toho softveru, napr ReimagePlus. • Nainstaluju tzv. Registry Cleaners. Ale tie nerobia nic! Skor mozu este poskodit PC. • Snazia sa vas presvedcit, ze chodite na stranky HTTP miesto HTTPS – pozor, to len znamena, ze trafika (nie ta na rohu ulice, ale internetovy tok udajov) nie je v HTTP nijak zabezpecena, teda ak zadate prihlasovacie udaje, idu ako plain text (prosty, nijak nesifrovany text), neznamena to ale, ze je stranka nejak skodliva. • Aj ked mate vsetky polozky vo Windows Updates zelene, tak on si bude mliet svoje, ze updates padaju, vyhlada si len tie, ktore spadli – ale to je normalne a vacsinou sa tie nedokoncene i tak po case spustia znova. S tym suvisi i dalsia loz, ktora spociva v tom, ze tie aktualizacie, ktore z nejakeho dovodu spadli, oznaci ako nevyhnutne, ale tie sa temer vzdy nainstaluju bez problemov, obcas ide o zlyhanie instalacie balicka, ktory je uz nainstalovany. Aktualizacie sa navyse deju ticho na pozadi a len malokedy upozornia uzivatela, pricom tento clovek povie: „A preco ste si to nevsimli?“ • Ak nemate iny antivirusovy softver, iba Windows Defender (nie je to nic zle, ten je v podstate velmi dobry! Bez ironie) a podvodnik, pozruc do nainstalovanych programov povie: „Hmm, vidim, ze vy nepouzivate ziaden antivirusovy program.“, tak znova klame. Windows Defender sa nikdy v nainstalovanych programoch neukaze, pretoze v Ovladacom paneli ma svoju vlastnu sekciu. • Virus sa nechyti tym, ze kliknete na mnozstvo reklam. Virus sa dostane do PC len aktivnym nainstalovanim alebo na pocitaci, ktory nie je aktualizovany a ktory nie je inak chraneny. Ano, reklamy nas istym sposobom sleduju, pomocou keksikov (cookies), ale tie iba navrhuju reklamy a ziadne udaje nikomu nepodstrkuju. Problem je v tom, ze velmi casto pri kliknuti na web, ktory sa tvari ako originalna stranka napriklad kozmetiky, sa presuniete na uplne ine miesto. Pripadne je reklama, ktora imituje klasicke tlacidlo na stahovanie, ale namiesto vytuzeneho softveru ziskate niekym upravenu verziu. • Ukazujuc vystupnu tabulku z netstat sa vam snazia povedat, ze mate tolko a tolko cudzich ludi, ktori su na vas pripojeni. Nebastite im to. Vacsina zaznamov v tabulke vznika tym, ze mate otvorene nejake web stranky, mail klienta alebo pripojenie prave prostrednictvom remote session, takze ak je niekto cudzi na vas pripojeny, tak je to on sam! Tu by bolo dobre doplnit si info o internetovych protokoloch, ktore sa zobrazuju v samotnom vypise. Nastastie napriklad taka aplikacia ako TeamViewer rozpozna konekcie, prichadzajuce z Indie (odkial 90% tychto podvodnikov pracuje). Aplikacia vas upozorni, ze sa k vam pripaja niekto cudzi a vystriha vas pred moznymi utokmi podobneho razenia. Tito spekulanti to vsak obisli tym, ze chcu, aby ste sa vy pripojili na nich ako prvy. Uz to je ale indikator toho, ze jeho umysly su nekale. Kapitola XII: Ale ja v tom pocitaci predsa nic nemam! (Spambot) Nejeden clovek, bez ohladu na vek, je presvedceny, ze v pocitaci nic dolezite nema. Par fotiek, par hier, nic zaujimave pre utocnika. Preto ani nie je potrebne riesit bezpecnost a vsimat si mozne rizika. Je to podobne ako s medicinou, kde sa neda ockovat niekto, kto je presvedceny, ze jeho telo je z titanu a nic sa mu nestane a tak si na neho nikto ani ziadny virus netrufne. Vysledok? Ohromne mnozstvo spamu siria pocitace, o ktorych to ich majitelia vobec netusia. Znamy bol pripad z Nemecka, kde sa akosi nahodne objavilo ohromne mnozstvo detskej pornografie v pocitacoch domova dochodcov. Ludia, ktori to tam dostali cez diery v zabezpeceni, tak len posielali IP adresy dalsim ludom s podobnou zalubou. Prislo sa na to jednoducho, ked novy pocitac s velkym diskom, na ktory neboli doinstalovane ziadne programy a na ktorom si obcas dochodcovia pozerali fotky z dovoleniek, zacal hlasit nedostatok volneho miesta. Sikovny a zlomyselny clovek moze dostat niektorou cestou svoj softver do vzdialeneho, nezabezpeceneho pocitaca, kde moze monitorovat aktivitu a kde moze dany pocitac vyuzivat pre svoje ciele. Obcas sa tak stane, ze pocitace, ktore skoro nikto nepouziva a nic zaujimave tam na prvy pohlad nie je, mozu sposobit problemy tak majitelovi, ako i ostatnym. Ak sa napriklad vytvori spambot, zacne z tohto pocitaca sirenie nebezpecnych suborov k ludom, ktorych poznate a mate v adresaroch. Vasa mamicka si od vas prevezme virus a uz je zle. Pripadne sa cez vasu mailovu schranku dostane k heslam, ktore doteraz mozno niekde pouzivate vy alebo napriklad spominana mamicka. Niektore utoky mozu byt naozaj nenapadne a medzi tie zakernejsie patri pripojenie sa do internetbankingu a presmerovanie pravidelnych platieb na iny ucet. Vy si to nevsimnete, adresat spociatku tiez nie a utocnik je stastny. Cim dlhsie sa to nebude kontrolovat, tym bude bohatsi a bude rovnaky postup skusat na dalsich pocitacoch a je uplne jedno v akej krajine. Najvacsi problem je s nezabezpecenymi pocitacmi, ktory ovlada viac pouzivatelov, vzdy len na par minut, napriklad v kniznici ci kaviarni. Nikto tam pocas kratkeho casu nebude kontrolovat antivirus, firewall ci aktualizacie, ale kazdy tam rychlo natuka svoje prihlasovanie do internetbankingu, socialnych sieti ci firemneho projektu. Staci, ak si tam da niekto chtiac alebo nechtiac ulozit informacie a uz sa k tomu dostane ktokolvek. A hlavne, len uplne minimum ludi na spolocnych, zdielanych pocitacoch, pouziva tzv. inkognito mod. Len co otvorite Facebook, uz vas vita sprava od milenky toho kolegu, ktory bol na pocitaci pred vami. Usmevne, alebo ani nie? Matematika nepusti. Staci pristup k jednemu napadnutemu pocitacu a desat ci dvadsat ludi, co ho pouziva, vie poskytnut sikovnemu utocnikovi vsetky pristupy ku vsetkym kontaktom, spravam ci napriklad k fotografiam, ktore by sa nemali dostat na Internet. A niekto, kto bude mat najviac smolu, svoje fotky na Internete uvidi, ak nezaplati mastnu sumu na modernom vypalnom. Kapitola XIII: Nastrahy realneho sveta (Overovanie) Internet je a vzdy bude o vymene informacii. Kedysi bol problem ziskat nove informacie, no dnes sa da dostat k takmer comukolvek bez namahy. O to tazsie je overit si pravost informacii, ked je ich vsade zaplava. Hovori sa, ze vsetko je na nete, vratane nastrah pre realny svet. Tych je, samozrejme, vela – a najlepsou obranou je zdravy rozum. Dnes je bezne, ze na roznych zoznamkach je ovela viac muzov ako zien. A tak muzovi vacsinou nikto nenapise, zatial co zeny dostavaju mnozstvo sprav, vratane najroznejsich netypickych poziadaviek. Ak vsak pride muzovi sprava o zeny, vo vacsine pripadov ide o nieco nekale. Ci uz reklamu, nejaky podvod alebo celkovo nieco, co si normalny muz nepraje. Sprava od zeny, ze muz vyzera sympaticky a chce s nim sex a este sa to doplni o fotografiu intimnych partii je s najvacsou pravdepodobnostou podvodom. Je to velmi jednoduchy sposob, ako bez namahy a na zaklade vytvorenia zenskeho profilu (2 minuty) a fotografie z akehokolvek videa (1 minuta) dostat cloveka na opustene miesto, kde je lahke zobrat penazenku ci vyziadat si vykupne od rodiny. Postoj typu „pojdem sa a keby nic nebolo tak sa vratim“ moze byt nebezpecny, ale i smrtelny. Podobne je to s pracou. Beznou praxou je nukanie jednoduchej praxe v Nemecku ci Rakusku za ovela vyssi plat ako tu, na Slovensku. Niekto, kto vie o bezpecnosti na Internete i mimo neho len minimum, tam moze ist aj bez akehokolvek overovania. Overit si pritom telefonne cislo (staci hodit do Google), meno a vsetko ostatne je pritom pomerne jednoduche. V kazdom pripade je dobry napad dat vediet viac ludom, ak sa niekde chystate – a idealne oslovit nikoho, kto sa vyzna do Internetu a ma dost zdraveho rozumu, aby to urobil za vas. Aby sa nestalo, ze namiesto opatrovania starsich ludi bude nutene ponukanie sexualnych sluzieb, alebo napriklad tazka praca za minimalnu mzdu alebo za jedlo niekde v podzemi. Mozete tiez spolupracovat s policiou, ktora overuje najroznejsie ponuky. Nahlasenim niecoho, co nemusi byt v poriadku, mozete zachranit zivoty ostatnym ludom. V kazdom pripade je vzdy lepsie ist spoznavat svet cez uznavanu agenturu nez cez niekoho uplne neznameho. Kapitola XIV: Som lepsi, lebo som viac zavisly! (Freemium hry) Internet je plny nebezpecenstiev, no nie vsetko je o internetovom bankovnictve, ukradnutych heslach ci roznych neznamych hrozbach. Niekedy patri medzi najvacsie hrozby to, co je krasne, farebne a vyzera tak bezpecne a bezproblemovo. Ozaj, uz mate svoje mesto? Freemium hry su zaujimave v tom, ze ich moze zadarmo hrat ktokolvek. Dostanete svoje mestecko a ako spravny architekt, Boh alebo cokolvek ine si robite co chcete. Teda, casto aj to co nechcete. Kto chce byt prvy v rebrickoch, odkryt vsetky specialne stavby a mat lepsiu armadu ako ostatni? Pravdepodobne vsetci. A je to logicke. Pekne vybudovane mestecko je krasne a coraz krajsie, tak… preco s tym prestat? Nebezpecenstvo je uplne jednoduche. Zavislost. Pocit, ked potrebujete prekonat toho otravneho hraca, ktory rychlo buduje svoje mesto z rovnakeho dovodu ako vy. Zavislost je zo zaciatku len tazko pozorovatelna, ale ak chcete postupovat v rebricku, rychlo sa chytite do pasce. Novy mlyn sa bude stavat este 15 minut. Pockate 15 minut, aby ste ho mohli znovu vylepsit? Ak ano, budete mat viac psenice. Ak nie, ten druhy hrac bude produkovat viac a bude mat vyhodu. Tvorcovia hier to dobre vedia. Naklady na udrzbu hier su male, no kto si kupi hru, ktoru predtym nehrali? A zvlast hru, ktora nema koniec? Asi nikto. Preto je registracia rychla a bezplatna. Co vsak, ak si to niekto po vyskusani zamiluje? Staci ponuknut par balickov, kde si mozete zakupit diamanty a za diamanty zlato. Preco dve meny? Je to preto, aby bezny hrac nemal presny prehlad, co si vlastne kupuje. Balicky minci, drahokamov a v podstate akejkolvek hernej meny si moze kupit za realne peniaze, pricom nikdy nevie presne ani aku hodnotu vlastne kupuje. No a teraz babo, rad! Naschval si vymyslia divne hodnoty (2800, na to ako prisli?) len preto, aby vam stazili pocitanie. Nie zriedka je nejaka ponuka oznacena ako Best Value, aby vam to „ulahcili“. V zmysle skor stazili, pretoze obcas su ponuky casovo obmedzene a ak rychlo nekupite, zdrazeju! To podmienuje len efekt nedostupnosti, vynimocnosti a to sa ludom paci. Na druhej strane ale nedava hracom cas na premyslenie si svojich krokov. Zaroven ten, kto ma diamanty, moze napredovat rychlejsie. A co je lepsie, dat par eur za rychle vypracovanie projektu alebo cakat dva mesiace, kym sa to postavi? Freemium hry tak prinasaju pocit, ze nieco dokazete, ale musite pracovat na svojej dedinke den i noc. Vstat skoro, aby sa dal povel na poslanie armady, stavanie noveho levelu muru a tak podobne. Ale co ak treba ist do prace, do postele alebo cokolvek podobne? Co ak ma niekto prepadne, ked tu nebudem? Co ak pridem o 1000 jednotiek, ktore som budoval dva mesiace? Najlepsim sposobom je vykaslat sa na tieto hry. Uz den ci dva po tomto rozhodnuti sa clovek citi lahsie, viac uvolnene a menej podrazdene. Zit v strachu, ze sa nieco stane vasej dedinke, je priserne a zvazujuce. Velmi rychlo to prestane byt potesenie a zacne to byt potreba, podobne ako spanok, ktora nedokaze byt naplnena, pretoze vzdy pride nova a nova vyzva, ktora hracovi prinesie maly bonus, ale cloveku vobec nic.