Še pred nekaj leti smo ob zagonu novega računalnika najprej pomislili na namestitev protivirusnega programa, danes pa je jasno, da zgolj ena plast zaščite nikakor ni dovolj. Sploh pa težava pogosto ni v samem sistemu, temveč v uporabniku.
Računalniška varnost danes ni več vprašanje ene same aplikacije ali naprave, temveč celovite strategije, ki vključuje osnovno računalniško higieno, nenehno izobraževanje uporabnikov in premišljeno uporabo tehnologije. Vse se začne pri operacijskem sistemu – nekateri so tradicionalno bolj izpostavljeni napadom, preprosto zato, ker jih uporablja več ljudi. Tako pomembno kot izbira sistema je tudi redno posodabljanje – ne le operacijskega sistema, temveč tudi gonilnikov in aplikacij.
Najpomembnejše varovalo pa je kar naša zdrava pamet. Previdnost pri odpiranju priponk, dvom ob nenavadnih sporočilih in nezaupanje do nepreverjenih virov so ukrepi, ki rešijo marsikatero nevšečnost. Družinski računalniki, ki jih uporablja več članov gospodinjstva, pogosto nimajo niti osnovne ločnice med uporabniki. Uporaba enega samega administratorskega računa brez gesla ali s trivialnimi, kot je »1234«, odpira vrata številnim zlorabam. Pomembno je, da vsak uporabnik računalnika deluje v svojem okolju, z omejenimi pravicami, saj to znatno zmanjša možnosti za okužbo sistema. Enako velja za podjetja, kjer mora biti informacijska varnost del vsakodnevne poslovne prakse, ne pa prelaganje odgovornosti na zadnjo linijo obrambe – informatika.
Za povprečnega uporabnika je osnovna konfiguracija, ki jo ponujajo operacijski sistemi, običajno dovolj, a zahtevnejši uporabniki in podjetja lahko posežejo po naprednejših rešitvah. Sodobni protivirusni programi so danes precej več kot le orodje za iskanje virusov – vključujejo funkcionalnosti za varnostno kopiranje podatkov, upravljanje gesel, uporabo VPN, filtriranje spletnih vsebin in celo zaščito za spletno bančništvo. Čeprav večina uporabnikov teh funkcij ne izkorišča v celoti, ponujajo ti paketi precej višjo raven varnosti kot nekoč. A še vedno ostaja dejstvo: nič ne more nadomestiti razumevanja, kako tehnologija deluje, in kaj se lahko zgodi, če ji slepo zaupamo.
In ko vse odpove, so zadnja linija obrambe varnostne kopije. Ko zlonamerna koda zaklene datoteke ali jih izbriše, lahko podatke reši le še to, če jih imamo shranjene še drugje. V svetu, kjer je mogoče skoraj vse digitalizirati, je varnostna kopija edina »analogna« rešitev, ki še vedno zanesljivo deluje.
Digitalna varnost ni enkratno dejanje, temveč neprestano ravnotežje med udobjem in zaščito. Vsak klik, vsaka nameščena aplikacija, vsaka priključena naprava je lahko nova priložnost za vdor ali okužbo. Če želimo ostati varni, moramo razumeti, da zaščita ni odvisna le od programske opreme, temveč predvsem od nas – naših odločitev, navad in pripravljenosti, da se učimo.
Bolje preprečiti, kot pa (pre)pozno zdraviti.
Bolje preprečiti kot …
Računalniški virusi, črvi, trojanski konji in drugi kosci zlonamerne programske opreme obstajajo praktično od samega začetka računalništva. Še pred dobrim desetletjem smo ob namestitvi operacijskega sistema Okna mrzlično iskali tudi najboljši protivirusni program, ker pravega soglasja o tistem najboljšem ni bilo. Dandanes pa velja, da je največja nevarnost za naše podatke v resnici naša naivnost, in to ne le na enem področju.
Namestitev protivirusnega programa ni edina zaščita, ki jo naš računalnik potrebuje. Pravzaprav lahko spletno varnost razdelimo na različna področja, za katera je treba redno skrbeti, da nam bo naš računalnik, tablica ali telefon dolgo in dobro služil. Na dobro postavljenih temeljih, torej skrbi za operacijski sistem in programsko opremo, se začne vsaka zgodba o uspehu.
Dobro položeni temelji (operacijskega sistema)
Začne se v resnici že pri izbiri samega operacijskega sistema. Microsoftova Okna, kot najbolj razširjen operacijski sistem na svetu, so bila že od samega začetka najbolj »hvaležna« tarča za napadalce in varnostne luknje v njih so bile najbolj zavzeto izkoriščane. Čeprav lahko z gotovostjo trdimo, da so imeli (imajo?) nekateri drugi operacijski sistemi boljše varnostne mehanizme kot Okna, pa množičnega števila virusov ne moremo preprosto pripisati slabemu načrtovanju in izvedbi. Ne gre zanemariti dejstva, da je to operacijski sistem, ki ga množično uporabljajo tudi tehnološko manj vešči uporabniki (v nasprotju z, recimo, različnimi distribucijami Linuxa), zato se je širjenje različne neželene programske opreme odvijalo z večjo hitrostjo, kot bi se sicer lahko. Širjenje virusov je bilo v preteklosti neizogibno povezano tudi s piratiziranjem programske opreme (predvsem iger), ki na drugih operacijskih sistemih ni bila tako dostopna.
Kaj je dandanes dobro geslo in alternative
Priporočila za dobra gesla se iz leta v leto zaostrujejo in dandanes je priporočljivo geslo dolgo že 16 znakov ali več, ima raznolike znake (velike in male črke, številke, posebne znake kot so !, @ ali #) in je nepredvidljivo (torej ne vsebuje osebnih podatkov, imen, rojstnih datumov, naslovov in pogostih vzorcev kot so 12346 ali geslo). Vsaka storitev naj bi imela svoje unikatno geslo in priporoča se uporaba geselnih fraz v smislu ZeleniKonj!JeP0wn0chiŠeV€dn0Z€len.
Čeprav se pogosto menjavanje gesel ne oglašuje več tako pogosto kot včasih, pa ob obilici različnih storitev hitro pridemo na sam rob človeških zmogljivosti pomnjenja. Iz istega naslova je tudi tvorba vedno daljših in daljših gesel vedno manj smiselna, strojna moč pa se iz leta v leto povečuje in tudi čas za razbitje gesel z metodo »gole sile« se vedno bolj krajša.
Za shranjevanje gesel se na trgu ponuja kar nekaj ponudnikov, ki trdijo, da so njihove shrambe varne in da lahko opravilo pomnjenja ter vsakokratnega vnosa gesla prepustimo kar njim. Med boljšimi so zagotovo storitve podjetja 1Password in Bitwarden, a zavedajte se, da absolutne varnosti ni in da se vdor lahko zgodi tudi najboljšim. Prav v ta namen imajo boljše storitve podporo tudi za geselne fraze in se povezujejo tudi z dvofaktorsko avtentikacijo (katerakoli kombinacija dveh ali več različnih načinov preverjanja pristnosti).
Med alternativami geslom se uporabljajo biometrični podatki (prstni odtis, obraz, šarenica, glas), ki so na mobilnih napravah tako rekoč standard in skupaj z uporabo varnostnih ključev tvorijo tako imenovano prijavo brez gesel. A če se biometrične podatke ukrade, jih iz očitnih razlogov ni moč ponastaviti. Omenimo še preverjanje prek potisnih obvestil in vnosa unikatno generiranih kod (Microsoft Authenticator, Google Prompt), SMS in sporočil po e-pošti.
Med bodoče načine preverjanja pristnosti (ker je trenutno za vsakdanjo rabo še preveč nezanesljiva) pa zagotovo spada vedenjska biometrija, ki preverja uporabnika tudi po samem načinu uporabe, torej kako tipka, premika miško, hodi, premika glavo ipd.
Od leta 2012 je v Okna vgrajen res uporaben protivirusni program, ki je skozi dobro desetletje razvoja nosil različna imena in je danes poznan kot Protivirusni branilec (Defender Protivirus). Če smo povsem iskreni, česa boljšega za vsakdanjo rabo niti ne potrebujemo, četudi nas oglaševalske spletne strani konkurenčnih paketov prepričujejo o nasprotnem. Na različnih primerjalnih testih se Microsoftov branilec navadno izkaže kot zelo dober, kadar mora najti viruse, ki so (že nekaj časa) znani, manj pa, ko naleti na virus, ki je bil ravnokar »izvaljen«.
Uporabniki MacOS in različnih distribucij Linuxa poročajo, da je neželene programske opreme za njihove sisteme manj, a z večjo rabo teh operacijskih sistemov se vztrajno širi tudi »smetje«. Redno posodabljajmo operacijski sistem, tako se bodo namreč naložili tudi vedno sveži podatki o novih virusih ter zaščiti pred njimi, in večino dela smo s tem že opravili.
Prepričani smo, da se bodo mnogi med vami takoj sporekli z nami in nam hiteli razlagati o neodpiranju čudnih priponk, datotek na ključkih USB, diskih, cedejih in podobno. Osebno prenosnih naprav USB za prenašanje datotek, slik, videov in različnih preglednic sploh ne uporabljamo že dolgo vrsto let. Večino stvari si pošljemo po elektronski pošti oziroma, še raje, datoteke delimo prek oblačnih shramb. Tak način prenašanja datotek mimogrede preverja tudi okužbe z morebitnimi virusi in potencialno nevarnih datotek niti ne dovoli pošiljati oziroma nalagati. Seveda ima taka raba tudi svoje slabosti, predvsem se moramo vprašati, kje se ti naši podatki nahajajo in kaj si podjetja dovolijo z njimi početi (o čemer pa več lahko preberete v zadnji redni številki Monitorja).
Da, vse manjša uporaba pomnilniških medijev USB je na smetišče zgodovine poslala večino tako imenovanih trojancev in črvov, a v skladu z našo »spletno potrošnjo« so se spremenili tudi virusi. Vsaj tako pomemben dejavnik, kot je posodabljanje operacijskega sistema, programov in gonilnikov, ki jih uporabljamo, pa je tudi njihovo odstranjevanje, če jih ne uporabljamo več oziroma so zastareli in brez podpore. Ranljivosti nimajo le operacijski sistemi, ampak jih najdemo v vsaki programski opremi, strojni programski opremi različnih naprav, ki jih uporabljamo, in pravzaprav v vsaki napravi, ki ima vgrajen vsaj krmilnik in pomnilnik. In namenskega protivirusnega programa za vašega sesalnega robota v tem trenutku najbrž še ni …
Zdrava pamet
V zadnjem desetletju se je zlonamerna programska koda preusmerila iz računalnika na splet, tako kot tudi večina naših podatkov. Lažno predstavljanje (phishing), zlonamerne spletne strani in napadi prek ranljivosti v programski opremi najbolj merijo na naivnost, nevednost, včasih pa tudi dobronamernost uporabnika. Banke nas tedensko opozarjajo, naj ne nasedamo lažnim obvestilom o potrebnem dodatnem posredovanju podatkov na čudne elektronske naslove ali pa celo lažne spletne strani bank, ki so namenjene zgolj kraji dostopnih podatkov. Na video portalih si lahko dnevno ogledamo posnetke ogoljufanih strank, ki so prek klica iz domnevno Microsoftove podpore, da je nekaj narobe z njihovim računalnikom, ostali brez prihrankov. Zdi se kot pretiravanje, a če take na videz preproste goljufije ne bi delovale, potem tudi obvestil o prevarah ne bi bilo več.
Na prvi pogled se mogoče zdi, da »cepiva« za človeško naivnost, razen nenehnega izobraževanja, ni. Vendar pa v skladu s pregovorom, da je previdnost mati modrosti, lahko sprejmemo nekatere ukrepe, da naivnost ne more biti kaznovana. Recimo, da nehamo uporabljati administratorske račune operacijskih sistemov za uporabnike, ki ne vedo, kaj delajo, in povsem nekritično nameščajo programsko opremo neznanega izvora ter klikajo tisti znameniti Naprej, dokler je to fizično mogoče. Na tak način lahko neposredno preprečimo, da bi nevešč uporabnik na računalnik namestil nekaj, kar na računalniku nima kaj iskati.
Pravzaprav nas vedno znova šokira, kako zelo malo ljudi v resnici doma uporablja ločene račune za vsakega člana družine; v večini povprečnih gospodinjstev najdemo računalnike z enim administratorskim računom, ki, uganili ste, nima nastavljenega nobenega gesla ali, kar je celo še slabše, ima geslo v obliki 1234. Zelo na hitro rečeno ima račun brez nastavljenega gesla blokiran vsaj oddaljeni dostop, kar je v primeru slabega gesla ovira za zgolj nekaj pičlih milisekund. Kdor je kadarkoli delal v podjetju kot informatik, ve, da je obdobje po dopustih vedno prvenstveno namenjeno obnovitvi gesel, ki so med dopustom izpuhtela. O tem, kakšna gesla je še smiselno nastavljati, pa pišemo v okvirčku.
Požarni zid, ki ne varuje pred ognjem
Požarni zid v računalniških omrežjih deluje kot filter med računalnikom in internetom, saj nadzira ves vhodni in izhodni promet v računalnik oziroma napravo ter iz njiju ter blokira nepooblaščen dostop. V praksi to pomeni, da požarni zid lahko prepreči, da bi se zlonamerna programska oprema povezala z zunanjimi strežniki ali pa da bi nepridipravi dostopali do našega sistema. V večino operacijskih sistemov je požarni zid že vgrajen oziroma ga je moč namestiti, samo nastavljanje pa zahteva računalniško znanje, ki se ne šteje za osnovno. Podjetja in napredni uporabniki lahko uporabljajo tudi strojne požarne zidove, torej namenske naprave, ki poskrbijo, da se zaradi tega internetni promet ne upočasni pod sprejemljivo mejo.
V Oknih je požarni zid sicer nameščen in delujoč, kar priča tudi semaforček v Varnosti sistema Windows. Za osnovne potrebe sicer zadošča, a »pirati« med bralci ste se zagotovo srečali z delovanjem požarnega zidu, ko ste poskušali »deliti« kako datoteko z drugimi uporabniki. Kako je požarni zid nastavljen pri vas, je v veliki meri odvisno od tega, koliko različnih programov ste na operacijski sistem že naložili in kolikim ste tak ali drugačen dostop do vašega računalnika tudi dovolili prek pojavnih oken, ki so zahtevala dostop. Požarni zid namreč lahko nastavljate na različne načine: bodisi dovoljujete ali blokirate dostop različnim programom bodisi zaščito nastavljate na transportni plasti računalniških omrežij (odpiranje vrat in protokolov). Prvi način je nekoliko lažje razumljiv laikom, a s tem tudi manj zanesljiv, saj v resnici ne vemo, kaj program v ozadju počne oziroma s kom komunicira.
Je protivirusni program res še to?
Ker imajo Okna že dobro desetletje vgrajeno zelo spodobno zaščito pred virusi in ostalo zlonamerno nesnago, so se nekdanji veliki igralci (Bitdefender, Norton, Malwarebytes in drugi) morali prilagoditi. Poleg prehoda na mobilne naprave, o katerih več pišemo v okvirčku, so zraven osnovne zmogljivosti morali ponuditi še nekaj več. Nekateri v kompletu ponujajo tudi orodje za izdelavo varnostnih kopij, napredne požarne zidove, VPN, upravljalnike gesel, filtre spletnih strani, »peskovnike« za spletno bančništvo, podporo več operacijskim sistemom (tudi za mobilne naprave) in še bi lahko naštevali. Dodana vrednost je torej v preventivi pred človeško naivnostjo, ki jo sicer lahko nadomesti tudi zdrava kmečka pamet in pa kakšno izobraževanje na temo spletne varnosti. Svoje osnovno poslanstvo, torej zaščito pred zlonamerno programsko opremo, večina paketov opravlja več kot zgolj zadovoljivo, izrazite favorite pa torej iščite tam, kjer za svoj denar dobite največ (pa če to v resnici potrebujete ali ne).
Mobilna zaščita
Za mobilne naprave poleg vsega v članku naštetega velja, da je treba zelo veliko pozornosti posvetiti izvorom aplikacij, ki jih nameščamo na svojo napravo, in pa dovoljenjem, ki jih aplikacije zahtevajo. Če aplikacije nameščamo iz uradnih trgovin (Play ali App store), bojazni skorajda ni, saj se Google in Apple trudita že v kali zatreti vsako neželeno programsko opremo. Vseeno pa, ko nas aplikacije sprašujejo, ali jim dovolimo uporabljati neko funkcionalnost naprave, krepko razmislimo, kaj v resnici dovoljujemo. Mar naš robotski sesalnik resnično potrebuje dostop do naših fotografij? In naš tiskalnik, mar res potrebuje dostop do mikrofona naprave?
»Piratsko« navdahnjeni bralci vedo, da lahko mobilne naprave tudi »odklenemo« (rootamo, jailbrejkamo in podobno), s čimer ponavadi odklepamo zmogljivosti, ki so jih proizvajalci zaklenili, ali pa nameščamo programsko opremo, ne da bi zanjo plačali. Vir takih aplikacij so pogosto vprašljive spletne strani, ki ne ponujajo nobenega jamstva, da so aplikacije, ki se jih namešča, tudi v resnici varne. Pod vprašanjem torej ni le garancijsko jamstvo naprave (ki je ponavadi s takim dejanjem izničeno), ampak tudi podatki v njej.
V zadnjem obdobju se je doba programske podpore mobilnim napravam močno podaljšala; večina proizvajalcev novih naprav tako obljublja najmanj petletno podporo v obliki nadgradenj, popravkov in izboljšav programske opreme naprave, kar nekako sovpada z njeno uporabno dobo (z izjemo baterije). Zavedajte pa se dejstva, da je naprava, ki že dolgo časa ni posodobljena oziroma varnostnih popravkov niti ne prejema, prava varnostna »črna« luknja v vašem žepu.
Kaj pa mobilni protivirusni programi, povprašate. Kot smo že pisali v samem članku, je njihova največja dodana vrednost v dodatnih zmogljivostih, ki jih ponujajo (VPN, zaščita pred krajo, spletni filtri, zaščita pred phishingom), in pa dejstvu, da Android in iOS v osnovi nimata nameščenega klasičnega protivirusnega programa. Hkrati pa velja poudariti dejstvo, da imata oba operacijska sistema vgrajene varnostne mehanizme, ki delujejo kot zaščita pred zlonamerno programsko opremo. Odločitev je torej prepuščena vam in vašim potrebam; za vsakdanjo rabo, in če ne tvegate z odklepanjem naprave in nameščanjem nepregledane programske opreme, niso zares potrebni.
Posebno mesto v tej zgodbi imajo VPN, navidezna zasebna omrežja, ki so poleg zasebnosti in varnosti (ki jo, roko na srce, večina povprečnih uporabnikov le stežka upraviči, poznavalci pa uporabljajo strojne rešitve priznanih podjetij) postali pravi prodajni hit zaradi odklepanja geografsko omejenih vsebin na vse bolj popularnih pretočnih video in igričarskih storitvah. Kar ponavadi lahko preberete v drobnem tisku, je seveda to, da vseh storitev ne podpirajo, da jih ne podpirajo ves čas, da ponudba lahko variira in da ugodna cena zgolj ene kavice na mesec velja zgolj ob zakupu triletnega paketa. VPN vam za potrebe službe ponavadi priskrbi delodajalec, ki ga skrbi za lastne podatke, oziroma za to poskrbite sami z namensko rešitvijo, ki najbolj ustreza vašemu podjetju. Ali VPN potrebujete za to, da boste enkrat v letu dostopali do svoje mobilne banke s plaže na hrvaški obali, pa presodite sami.
Varnostne kopije
Ko odpove čisto vsa zaščita, nas še vedno lahko rešijo dobro načrtovane in redno izvajane oziroma posodabljane varnostne kopije. Če bi v resnici postali tarča premišljenega hekerskega napada, katerega cilj je ukrasti podatke, jih zakleniti in nam jih prodati v zameno za bitcoin, dva ali tri, nam pogosto preostane le še restavriranje podatkov, če jih seveda imamo kje shranjene. Povprečni uporabniki si želijo zgolj povrnitve slik in videov, posameznih elektronskih dokumentov, ki jih nimajo natisnjenih, in to je v večini to. Smiselno je imeti najmanj tri varnostne kopije, dve na isti lokaciji (torej v naši hiši, stanovanju, sobi) in tretjo nekje zunaj stalnega bivališča (lahko tudi v oblaku) za primer, če bi nas poleg hekerskega napada doletelo več tegob hkrati (kakšen požar, potres, poplava ali celo vojna).
Varnostne kopije lahko delamo ročno oziroma uporabljamo sinhronizacijske možnosti (torej svoje podatke kopiramo na zunanje diske, oblačne shrambe), opravilo lahko prepustimo operacijskemu sistemu, kjer povemo kakšno vrsto varnostne kopije si želimo (tukaj je med bolj znanimi program Time Machine, vgrajen v Mac OS), lahko pa si za to omislimo programsko opremo določenega podjetja (med bolj znanimi so Acronis, Macrium ali EaseUS Todo).
Hitri pregled in čiščenje
V Oknih 11 osnovna vzdrževalna opravila niso več nobena umetnost; posodobitev operacijskega sistema, gonilnikov in Pisarne predlagajo sama Okna, na vas je le, da najdete čas, kdaj boste to opravilo prepustili računalniku. Če si želite sami ogledati, kako stvari stojijo, pa v nastavitvah Oken (ki jih ponavadi skriva ikona zobnika) poiščite Windows Update.
Varnostni elementi se skrivajo v razdelku Zasebnost in varnost ter podmeniju Varnosti sistema Windows, ki s preprostim sistemom semaforja takoj da vedeti, kje se nahajajo težave. Vmesnik je intuitiven in ni potrebno veliko znanja, da izvedete osnovni, napredni ali popolni pregled računalnika.
Med Nastavitvami pa najdemo tudi razdelek Aplikacije, ki omogoča pregled nad nameščenimi programi, kjer jim lahko spreminjamo nastavitve ali jih odstranimo. Med aplikacijami si lahko ogledate tudi, katere so privzete aplikacije za odpiranje posameznih datotek in storitev ter katere aplikacije se odprejo takoj ob zagonu računalnika (ter jih tudi ustrezno omejite).
Pri podjetjih je načrtovanje varnostnih kopij del širše varnostne politike podjetja in bi morala biti plod skrbnega načrtovanja več strokovnjakov in tudi končnih uporabnikov. Poleg samih podatkov je marsikje pomemben tudi čas, ko storitve podjetja niso na voljo in pomenijo tudi izpad vira prihodkov ter zaslužka.
Računalniška, spletna in pa seveda tudi fizična varnost so v veliki meri odvisne od poznavanja problematike, volje za učenje in sredstev, predvsem finančnih, ki so nam na razpolago. Mnogokrat najdražje rešitve niso nujno tudi najboljše, prav tako pa velja, da upoštevanje osnovnih navodil, ki jih naštevamo skozi celoten članek, odpravi 99,9 odstotka potencialnih varnostnih pomanjkljivosti povsem povprečnih domačih uporabnikov. Za kaj več, sploh če želite zaščititi občutljive podatke svojega posla, pa bo treba seči v žep in plačati za znanje ter predvsem izkušnje. Te pa se gradijo predvsem na napakah in seveda na okužbah ter vdorih v sisteme.
