Czy zaklejać kamerę naszego laptopa? Hasła zapisywać na kartce, czy w przeglądarce? Jak długie musi być bezpieczne hasło? Co może zrobić haker siedząc w kawiarni obok nas?
Zasady cyberbezpieczeństwa omawia w najnowszym odcinku podcastu Dobra Treść Kuba Chrapek, programista i specjalista od cyber security. Posłuchaj i dowiedz się, czy odpowiednio chronisz swoje dobra cyfrowe.
Podcast o cyberbezpieczeństwie z udziałem Kuby Chrapka
Listen to „Jak chronić dobra cyfrowe? Zasady cyberbezpieczeństwa” on Spreaker. Spis treści
- Jak chronić dobra cyfrowe? Zasady cyberbezpieczeństwa – transkrypcja rozmowy z Kubą Chrapkiem
- Zabezpieczenie urządzeń
- Bezpieczeństwo haseł
- Jak zabezpieczyć stronę internetową?
- Treść na stronie internetowej – jak ją chronić?
- Kamerka w laptopie – zasłaniać czy nie zasłaniać?
- Najważniejsze zasady cyberbezpieczeństwa – podsumowanie
- Linki do narzędzi związanych z cyberbezpieczeństwem
- Zasady cyberbezpieczeństwa w pigułce
Jak chronić dobra cyfrowe? Zasady cyberbezpieczeństwa – transkrypcja rozmowy z Kubą Chrapkiem
Kamila Paradowska: Kuba Chrapek. Programista, ale też specjalista od cyberbezpieczeństwa, jest gościem podcastu Dobra Treść i filmu youtube`owego. Kuba, jest mi bardzo miło gościć Cię po raz kolejny w podcaście Dobra Treść.
Kuba Chrapek: Kamila, jest mi również bardzo miło. Bardzo się cieszę, że mamy okazję dzisiaj porozmawiać.
Publikujemy tę rozmowę w Dniu Bezpiecznego Internetu i choć ten Dzień związany jest przede wszystkim z dziećmi i młodzieżą, to myślę, że każdy z nas jest trochę dzieckiem w internecie. Nikt nas przecież nie uczył internetu, nie mieliśmy w szkole zasad bezpieczeństwa i BHP. Może niedługo będzie taki nowy zawód? Taki BHP-owiec internetowy.
Dobrze to brzmi. Trzeba się zastanowić nad przebranżowieniem.
Tak, ale dzisiaj to Ty, Kubo, będziesz naszym BHP-owcem. Chciałabym Ci zadać trochę pytań, które są ważne dla każdej osoby, która publikuje w internecie, na stronach lub w mediach społecznościowych, czy w ogóle porusza się po internecie, szukając różnych informacji i mając różne narzędzia. Od nich chciałabym zacząć rozmowę.
Zabezpieczenie urządzeń
Każdy z nas ma laptop, każdy z nas ma smartfon, przeszukuje Internet, płaci rachunki, jest w mediach społecznościowych. Wiesz, czasem włos mi się jeży, jak patrzę, w jaki sposób te urządzenia są zabezpieczone, np. w przypadku spotkań z przedsiębiorcami, gdy nie ma żadnego hasła na komputer. W takich sytuacjach zapala mi się czerwona lampka. Co Ty o tym sądzisz? Jak do tego podejść w kontekście pierwszego punktu, czyli zabezpieczenia urządzeń? Zdarzają się przecież ataki hakerskie, wycieki danych albo inne poważne sytuacje.
Kamila, bardzo się cieszę, że taki temat poruszasz, bo jestem pewien, że Twoi odbiorcy niesamowicie na tym skorzystają. Dzisiaj poruszymy temat dotyczący podstawowych praktyk związanych z cyberbezpieczeństwem i bezpiecznego używania elektroniki na co dzień. Zanim zacznę, chciałbym powiedzieć jedną rzecz. Nie jesteśmy „świrami”, którzy na każdym etapie chcą być maksymalnie zabezpieczeni i nie mieć prawdziwego, luźnego kontaktu w internecie. Internet to jest narzędzie – można go używać świadomie, bezpiecznie i korzystać z jego dobrodziejstw albo przegiąć w drugą stronę. Musimy zatem ułożyć sobie ten temat tak, by wyważyć bezpieczeństwo i użyteczność. Bez sensu jest przecież mieć tak zabezpieczony komputer, by zalogowanie się do niego zajmowało nam 10 minut. Na pewno dzisiaj aż tak ekstremalnie nie będziemy rozmawiać na ten temat.
Kamila, zaczęłaś temat fizycznego dostępu i fizycznego zabezpieczenia urządzeń. Super, że zaczynamy od tej warstwy fizycznej, bo ona jest najważniejsza. Później będziemy wchodzić w temat oprogramowania, aplikacji i innych rzeczy, ale tak naprawdę naszą pierwszą linią ochrony jest rozsądek i fizyczna ochrona urządzenia, czyli to, o czym Kamila powiedziałaś.
Bardzo często widzę takie sytuacje, że użytkownicy komputera czy smartfona nie dbają o to, żeby ograniczać do niego dostęp. I to jest pierwszy i najważniejszy aspekt, który dzisiaj wymienimy. Jeśli nie będziecie mieć na oku swojego telefonu czy komputera choćby przez kilkanaście minut, to jest mnóstwo złych rzeczy, które mogą się z nimi wydarzyć. Kamila, już powiedziałaś o ekstremalnej sytuacji, gdy ktoś nie ma w ogóle hasła nawet na komputerze, który jest jak otwarta księga. Można wejść na taki komputer i zrobić naprawdę dużo złego, np. wgrać jakieś złośliwe oprogramowanie lub wyciągnąć dane z komputera. Zaraz Wam powiem, jak się na to przygotować, ale na początek – możemy zlikwidować takie zagrożenia, gdy cały czas będziemy mieć nasz komputer czy telefon na oku. Gdy nie mamy go na oku, to musimy działać z automatu, czyli po prostu wylogowywać się z komputera czy z telefonu i blokować ekran logowania odpowiednio złożonym hasłem albo biometrią, którą polecam. Teraz biometria jest dostępna w większości urządzeń. Biometria to oparcie się o nasze cechy fizyczne, które nas jednoznacznie uwierzytelniają, czyli np. odcisk palca, skan siatkówki oka czy skan twarzy. Teraz jest to już coraz bardziej popularne.
Mój smartfon czasem mnie rozpoznaje, czasem nie.
To jest problem tych czasów, prawda? Ja cały czas, jak jadę, mam ściągniętą maseczkę, żebym mój telefon mnie rozpoznał.
No tak.
W przeciwnym razie on mnie nie rozpoznaje.
Ale mówisz, że biometria jest okej? Opowiem taką anegdotę – kiedyś fryzjerka powiedziała mi, że dowiedziała się o zdradzie swojego męża w taki sposób, że kiedy spał w nocy, ona przyłożyła jego palec do telefonu i znalazła jego zdjęcia z kochanką. Jak już śpimy z kimś, jesteśmy pijani, to wtedy to się może przydać.
Jak z kimś śpimy, to ewidentnie wtedy hasło. Rezygnujemy z biometrii. [śmiech]
Dobrze, dobrze, jasne. [śmiech]
Zawsze to trochę bezpieczniej. Nie, żartuję. Kamila, pytasz o biometrię? Tak, zdecydowanie polecam wykorzystywać cechy biometryczne, są zdecydowanie bardziej bezpieczne w porównaniu do haseł. To jest naprawdę bardzo trudne, żeby mieć hasło prawdziwie bezpieczne. One wymagają też fajnej polityki zarządzania hasłami, czyli odpowiedniej długości i stopnia skomplikowania. To jest dodatkowa praca, o której musisz pomyśleć. A biometria? Zapewnia niesamowity stopień bezpieczeństwa, porównując z innymi metodami, np. odcisk palca, siatkówka czy skan twarzy są zdecydowanie lepsze niż alternatywy, jakimi są hasła.
Jasne, tylko nie każde urządzenie ma biometrię. Ja mam przyjemność korzystać z najnowszego iPada, który natychmiast rozpoznaje moją twarz w każdej aplikacji, ale już na desktopie muszę wpisywać hasło.
Bezpieczeństwo haseł
Jeśli chodzi o hasła – Google Chrome czy Safari proponują nam różnego rodzaju hasła. Wiadomo, że logujemy się do wielu narzędzi i te skomplikowane hasła są później zapisywane gdzieś w tej przeglądarce. I teraz pytanie, czy to jest w ogóle bezpieczne? Czy nie lepiej zapisywać je sobie na kartce? Ale wtedy mamy wielką listę różnych haseł.
Świetne pytanie, Kamila. Powiedziałaś kluczowe zdanie: „Gdzieś to hasło jest zapisywane w przeglądarce”. Ja już na to bym uważał, ponieważ każdy kolejny stopień skomplikowania to kolejny wektor ataku. Często wychodzą luki bezpieczeństwa w przeglądarkach i jeśli będziemy mieć zapisane wszystkie hasła w tej przeglądarce… Myślę, że raczej to się nie stanie w najbliższym czasie, bo przeglądarki są naprawdę na bardzo wysokim poziomie, ale jest jednak jakieś prawdopodobieństwo, że któregoś dnia nasze hasła mogą zostać wykorzystane przez odpowiednio wprawionego hakera. Ja bym zatem nie dokładał kolejnego wektora ataku i wyszedł zupełnie poza przeglądarkę.
Dalej to, o czym mówiłaś – zapisywanie haseł ręcznie. Kolejna zupełnie niepolecana praktyka. Z jednej strony jest ona zupełnie niepraktyczna, bo przy posiadaniu więcej niż kilku haseł to jest naprawdę trudne do ogarnięcia. Z drugiej strony to może bardzo łatwo zginąć, zniszczyć się, spalić, kawa może to zalać i pozamiatane. Dlatego możemy skorzystać ze świetnych alternatyw. Jest specjalne oprogramowanie, które bardzo polecam – managery haseł, które polegają na tym, że zapamiętujesz jedno bardzo trudne hasło i nic więcej już nie potrzebujesz. Jest to tak zwane master password, czyli hasło administracyjne, które umożliwia Ci odszyfrowanie Twojej małej bazy danych. Ta baza danych jest po prostu listą haseł do różnych portali, z których korzystasz. Świetna sprawa. Kamila, w opisie podcastu, jeśli będziesz chciała, zamieścimy linki do oprogramowania, które ja polecam.
Bardzo polecam KeePass oraz MacPass, rozwiązanie przeznaczone dla produktów Apple. Jest też sporo platform on-line, np. 1pass albo LastPass, aczkolwiek ja się nie skłaniam ku nim, bo, tak jak słyszycie, ja wolę tego nie łączyć w ogóle z internetem ani z przeglądarką, tylko lepiej ściągnąć aplikację.
Tylko doprecyzuję – wchodzę na stronę z jakimś produktem, o którym mówisz, ściągam sobie program na swój komputer i ten program zabezpiecza mi wszystkie moje hasła.
Dokładnie. Te programy są multiplatformowe. Są rozwiązania na Linuxa, na MacBooka, na Windowsa i tak samo na smartfony, np. na Androida. To naprawdę jest teraz popularne rozwiązanie. Super się je synchronizuje między telefonem a desktopem, więc bardzo polecam. Podeślę linki do tych rozwiązań.
Co jest ważne, Kamila, to to, że musisz zapamiętać tylko jedno hasło. Jeśli zadbasz dobrze o stopień złożoności tego hasła, będziesz je zmieniała co kilka miesięcy, to bezpieczeństwo Twoich haseł będzie na bardzo wysokim poziomie. Co jeszcze jest ważne – bez problemu ten plik możesz wysyłać wszędzie w internet, on jest publiczny, ale odszyfrować możesz go tylko Ty, znając hasło. To jest bardzo fajne, bo nie ma możliwości, żeby ten plik zginął. Wrzuć go sobie śmiało na Google Drive, wyślij do mnie w mailu, a ja i tak go nie odszyfruję. Chodzi o to, że będziesz miała jakiś ślad cyfrowy w internecie i bez problemu, nawet jak komputer Ci zginie i wszystko przepadnie, po prostu ściągasz ten plik, instalujesz znów KeePassa na nowym komputerze, odszyfrowujesz to za pomocą hasła, które tylko Ty znasz i masz dostęp do wszystkich haseł na portale, banki czy inne social media. To jest najbezpieczniejsze rozwiązanie.
W ten sposób tworzymy taki cyfrowy skarbiec.
W MacPassie jest FileVault, chyba z angielskiego tak nazwali, czyli szyfrowany zbiór wszystkich plików na systemie operacyjnym. Myślę, że to jest taki skarbiec cyfrowy.
Dobrze, porozmawiajmy więc o tytułowych dobrach cyfrowych. Wydaje mi się, że największym dobrem cyfrowym jest nasza własna strona internetowa. Zdecydowanie uważam, że tylko własna strona to jest najpiękniejsze źródło naszych treści, bo mamy nad nią kontrolę, wiemy, co, gdzie, to my nią zarządzamy. Własna strona to nie są żadne zewnętrzne media społecznościowe, a często tak jak ja, mamy jakiś sklep, kurs oraz różne inne rzeczy cyfrowe, które przekazujemy odbiorcom.
Jak zabezpieczyć stronę internetową?
Zatem na początek pytanie o kłódeczkę. Każdy hostingodawca sugeruje, żeby kupić certyfikat SSL. Odczaruj może, czym jest ten certyfikat, tak w skrócie, i dlaczego jednak warto go mieć?
Jasne! To jest dla mnie bardzo trudne opowiedzieć o tym krótko, bo pod spodem kryje się niesamowita historia. Jeśli chodzi o SSL i nazwę, która jest używana na co dzień – paradoksem jest to, że jest ona błędnie używana. To nie jest wcale SSL, tylko TLS. Już nie będę wchodził w szczegóły, ale chodzi o to, że SSL jest starym protokołem, który był ulepszany przez lata. Ten, którego aktualnie używamy i który jest naprawdę bezpieczny, miał ostatnie wydanie w 2018 roku. To jest właśnie TLS 1.3, czyli Transport Layer Security (warstwa bezpieczeństwa). Jest to protokół, czyli ustalone zasady, zbiór algorytmów, które zapewniają nam, w tym przypadku, dwie rzeczy: poufność naszych danych, a więc dane, które przesyłamy między sobą, są szyfrowane oraz integralność, czyli mamy pewność, że te dane na pewno nie zostały zmienione po drodze. Ponadto algorytmy weryfikują także uwierzytelnienie jednej i drugiej strony, co daje mi pewność, że jeśli ja wysłałem maila do Kamili, to tylko Kamila może go odczytać. I w drugą stronę – Kamila też ma taką pewność. Mamy między nami bezpieczny kanał komunikacji.
Właśnie od tego jest ta kłódeczka. Jeśli tej kłódeczki nie ma, to wszystko leży, a więc te wszystkie rzeczy, o których przed chwilą powiedziałem. Oznacza to, że nie mamy poufności danych, dane są wysyłane tekstem jawnym. To jest masakra. Gdybyśmy siedzieli z Kamilą w tej samej sieci WiFi, na przykład w Macu [w restauracji McDonald’s, przyp. red.], to ja słuchając odpowiednio ruch jestem w stanie przechwycić wszystko, co Ty z tej strony wysyłasz. Jak nie ma tej kłódeczki, to wszystkie aspekty bezpieczeństwa komunikacji i informacji leżą, bo w takiej sytuacji nie ma czegoś takiego jak poufność. Dane, które są przesyłane, lecą tekstem jawnym. Kamila, wyobraź sobie, że logujesz się na platformie, wpisujesz login i hasło, klikasz „Wyślij”, a w tym momencie ja, słuchając tej samej sieci i Twojego ruchu sieciowego, widzę dokładnie Twój login i hasło. Nie ma żadnego szyfru, tekst jest jawny i mam od razu dostęp do Twojego konta. To jest jeden z wielu przykładów.
Inne rzeczy, np. z angielskiego impersonate, czyli jak chcę się pod kogoś podszyć. To też żaden problem, bo jestem w stanie np. spreparować zapytanie do jakiegoś serwera, by on „myślał”, że to Kamila Paradowska do niego napisała, a nie ja. Mogę w ten sposób bardzo Tobie zaszkodzić – na przykład, gdy jest generowany potężny ruch na serwerze, spowodował to haker, ale pod spodem widać, że to była Kamila Paradowska. Nigdy się nie dowiemy, kto to tak naprawdę zrobił, bo ruch nie był uwierzytelniony, widać tylko to, co było napisane. Podsumowując – kłódka to jest w dzisiejszych czasach standardem, jest wymagana i wpływa na mnóstwo rzeczy, jak choćby na SEO i wyniki wyszukiwania Waszej strony. Jest to po prostu warunek konieczny. Strony HTTP są przez przeglądarki już od dobrych 10 lat odrzucane, bo przeglądarki chcą narzucić nam, użytkownikom, żebyśmy nie używali rzeczy niebezpiecznych.
Kolejna rzecz, Kamila, Ty bardzo dobrze orientujesz się w tym temacie, a więc RODO i prawa autorskie. Nie mamy prawa przetwarzać na naszej stronie danych użytkowników, przechowywać ich maili i loginów na naszej stronie, gdy nie zapewniamy bezpieczeństwa tym danym. Czyli jeśli nie szyfrujemy tych danych, to przesyłamy internetem tekstem jawnym dane osobowe naszych użytkowników. To jest nie do pomyślenia. RODO krzyczy od razu! Kłódka jest po prostu wymagana w dzisiejszych czasach.
Jeśli chcielibyście wdrożyć na swojej stronie jakiekolwiek transakcje, czyli na przykład podpiąć bramkę płatności, to w Polsce wiele bramek płatności, jak choćby Przelewy24 czy PayU, bardzo dużą wagę przykłada do tematu bezpieczeństwa stron i zabezpieczenia każdej możliwej podstrony za pomocą protokołu SSL.
Jeszcze jest temat długości kluczy i stopnia bezpieczeństwa związanego z tym protokołem, ale myślę, że to jest temat na kiedy indziej. Podeślę link do strony Let`s encrypt. To jest organizacja non-profit, która jest oficjalnym urzędem certyfikacyjnym wystawiającym certyfikaty SSL zupełnie za darmo. Uważam, że to rozwiązuje 90% przypadków biznesowych. Nie potrzebujecie jakiegoś niesamowitego certyfikatu EV (extended validation), czyli mega szczegółowego. Potrzebujecie naprawdę podstawowy certyfikat SSL, żeby zapewnić szyfrowanie Waszej komunikacji. Mówię o tym, bo są różne certyfikaty na rynku, za bardzo duże pieniądze.
Jasne, dobrze. To może od razu przejdę do tego, tak zwanego „wylatywania strony w kosmos”. Są tacy ludzie, którzy mówią: „Wiesz, moja strona wyleciała w kosmos, straciłem wszystko” i ja sobie myślę, jak to jest w ogóle możliwe, że tworzy się tyle dóbr cyfrowych bez żadnego tak zwanego ubezpieczenia. Musimy to przenieść z naszego życia analogowego – gdy budujemy dom, to on ma zawsze jakieś ubezpieczenie. Tymczasem ludzie czasami tracą strony i nie potrafią ich odzyskać. Pytanie do Ciebie, Kubo, co tu się mogło wydarzyć i jak wygląda takie cyfrowe ubezpieczenie?
Kamila, wszystko się mogło zdarzyć. Wektorów ataku są tysiące, ale przeanalizujemy te najbardziej popularne i porozmawiajmy na co zwrócić uwagę, żebyście wiedzieli, jak wykorzystać tę wiedzę w praktyce. Na pewno chciałbym uświadomić Wam, że w internecie cały czas działają hakerzy i skrypty, czyli oprogramowanie, które samo wykonuje jakąś powtarzalną czynność. Cały czas trwa w internecie wyścig zbrojeń osób, które atakują nasze strony i osób, które myślą, jak się zabezpieczyć. Nasze strony, jeśli umożliwią temu użytkownikowi czy hakerowi na przykład zalogowanie na stronie, są sprawdzane na każdy możliwy sposób, czy na pewno są dobrze zabezpieczone. To jest normalne i musimy mieć świadomość właśnie takiej sytuacji. Jest na szczęście sporo dobrych praktyk, które jeśli wprowadzimy na stronie, będą bardzo utrudniać życie hakerom. Są to naprawdę proste rzeczy, które każdy może wprowadzić u siebie.
Musimy też odpowiedzieć sobie na pytanie, co jest przyczyną takiego np. zalogowania czy złamania strony? Kamila, mówiłaś o tym, że strona wyleciała w kosmos. Przyczyn może być bardzo dużo. Może to być na przykład DDoS, czyli distributed denial of service. Polega to na tym, że mnóstwo ruchu z całego świata atakuje Twój serwer, zalewa go zapytaniami, a Twój serwer jest malutki i nie jest w stanie odpowiedzieć na to. On się po prostu „wysypuje”, bo ma przepełnioną całą pamięć i nie jest w stanie obsłużyć tyle żądań. Gdy użytkownik wchodzi na taką zaatakowaną stronę, to widzi komunikat „Kurza twarz” albo w ogóle nie ma tej strony. To jest popularna niestety sytuacja.
Kolejny scenariusz jest taki, że osoba, złamie zabezpieczenia, podniesie sobie uprawnienia u Ciebie na stronie i nie będzie już na przykład zwykłym użytkownikiem a adminem. To jest już masakra. Taka osoba wchodzi na panel admina, ma dostęp do plików, do Twojej bazy danych FTP. Bardzo często te osoby dążą do tego, żeby Ci zaszkodzić i szantażować Cię, na przykład poprzez zaszyfrowanie całej bazy danych. Wtedy Twoja strona nie działa, a ta osoba czeka na przelew bitcoinów i dopiero wtedy odszyfruje bazę danych. No i makabra. To jest taki nowoczesny szantaż cyfrowy. Bardzo dużo rzeczy można później zrobić, ale zamiast wchodzić w temat, jak zaszkodzić, wolę mówić, jak z tym walczyć, jak się przed tym bronić.
Przejdźmy więc do mechanizmu logowania, bo to jest najczęściej atakowany aspekt strony internetowej i zabezpieczeń. Sugeruję, żeby wykorzystywać tylko sprawdzone rozwiązania, a nie pisać takie rzeczy samemu. Jest to bardzo niebezpieczne, gdy młody początkujący programista wchodzi w ten temat i sam pisze mechanizm logowania. Na to trzeba bardzo uważać, a więc po prostu zwrócić uwagę, czy ktoś wie, co robi. Przykładem jest świetne rozwiązanie, czyli wykorzystanie protokołu OAuthOLAF [za Wikipedią – OAuth 2.0 to standardowy protokół autoryzacji dostępu, skoncentrowany na ułatwieniu użytkownikowi przepływu autoryzacji dla aplikacji internetowych. Pozwala na zatwierdzenie współpracy między jedną stroną, aplikacją a drugą w Twoim imieniu, lecz bez podawania haseł. Z takiego rozwiązania korzystają między innymi Facebook, Twitter, Microsoft, Google czy Amazon, chcąc tym samym ułatwić udostępnianie informacji. – przyp. red.]. On pozwala na to, żeby wykorzystać third party, czyli zaufaną trzecią stronę, którą jest na przykład Google, Facebook, LinkedIn itd. Możemy na przykład zalogować się za pomocą tego konta i to jest świetna sprawa, bo zazwyczaj ten mechanizm zapewnia dużo wyższy poziom bezpieczeństwa. Nie stosujemy dzięki temu natywnego mechanizmu logowania pisanego przez nas, tylko wykorzystujemy logowanie za pomocą third party, providera z zewnątrz, tej zaufanej trzeciej strony.
Jest jeszcze kilka innych elementów. Kamila, kojarzysz taki temat jak recaptcha? Jest to mechanizm, w którym trzeba wykonać małą łamigłówkę. To tak niszczy życie hakerom, że oni po prostu płaczą, bo jest bardzo trudno zautomatyzować te procesy za pomocą skryptu. Dlaczego? Bo te zadania się zmieniają. To nie jest zawsze to samo zadanie, żeby np. wskazać most na zdjęciu, ale trzeba obliczyć jakieś działanie matematyczne. To działanie nie jest opisane liczbami i osoba nie jest w stanie łatwo odczytać tego z ekranu, a jest to np. jakiś malunek, coś mało wyraźnego. Chodzi nam o to, żeby utrudnić życie hakerom i skryptom, żeby nie mogły one zautomatyzować procesu logowania na stronę.
Kolejny przykład – brutalny, najbardziej trywialny, atak. Polega na tym, że haker wchodzi na WordPress, wpisuje Twój mail, Twoje hasło i otrzymuje informację „Hasło jest nieprawidłowe”. To jest najgorszy komunikat, jaki możemy dać, bo w ten sposób panel informuje, że e-mail się zgadza, a jedyne co musi zgadnąć, to hasło. Zwróćcie więc uwagę na to, aby w Waszym mechanizmie logowania komunikat brzmiał zawsze „Hasło lub adres e-mail się nie zgadza”. Nie zawężamy dzięki temu wektorów ataku.
Co jeszcze możemy zrobić? Na pewno polityka haseł, czyli narzucenie stopnia skomplikowania hasła i jego długości. W dzisiejszych warunkach polecam hasła co najmniej 12-znakowe, alfanumeryczne, czyli małe, wielkie litery, znaki, cyfry i do tego znaki specjalne. To bardzo poszerza możliwość tego hasła. No i oczywiście nie może być ono słownikowe. Nie używamy żadnych imion czy logicznych słów. Nie o to chodzi. Używamy zupełnie losowych ciągów znaków. Ja wiem, że to jest cholernie trudno zapamiętać, ale po to jest właśnie manager haseł. Dzięki temu mamy tylko jedno hasło, które pamiętamy, a podczas logowania jedyne co robimy, to wpisujemy to hasło, kopiujemy je z managera i wklejamy do odpowiedniej platformy. Nie musimy pamiętać o niczym innym.
Jasne. Dotknęliśmy w zasadzie dwóch moich pytań, ale to bardzo dobrze. Chciałabym porozmawiać też troszeczkę o chronieniu treści, w sensie kopiowaniu.
Treść na stronie internetowej – jak ją chronić?
Zdarzyło mi się być na takich stronach, gdzie nie mogłam skopiować tekstu ze stron. Oczywiście nie chciałam tego kopiować w celu publikowania, ale np. cytowania fragmentów, co umożliwia te sieciowe przepływy treści, pozyskiwanie linków zewnętrznych do naszej strony. Czy w ogóle warto to robić ze względu na SEO na przykład? Co to są za mechanizmy, jeżeli chcemy to wprowadzić? Czy to jest drogie rozwiązanie, czy może to jest jakaś jedna wtyczka, którą się montuje? Jak to wygląda?
To jest świetny temat, którym dałaś mi do myślenia przed naszym podcastem. Zrobiłem na ten temat solidny research i na początek powiem, jaka jest moja subiektywna opinia. Uważam, że takie działanie, czyli próba uchronienia się przy tym, żeby ktoś kopiował teksty z naszej strony, robi więcej złego niż dobrego. Prawdziwa ochrona przed tym, żeby ktoś nie mógł skopiować treści z naszej strony, nie polega na tym, żeby nie można było zaznaczyć tylko tekstu. Można zrobić to też z poziomu programistycznego. To jest żaden problem, żeby np. selectorem wybrać konkretny element, skopiować jego wartość tekstową i wyciągnąć. To są tak zwany web scraping. Skrypty, jeśli tylko będą chciały skopiować dane z Twojej strony, to to zrobią.
Idąc krok dalej – ja uważam, że stosując takie praktyki, zabieramy innym osobom możliwość cytowania naszych treści. To jest to, o czym przed chwilą powiedziałaś. Linkowanie zewnętrzne niesamowicie dobrze działa na SEO naszej strony. Obcinając tego typu możliwość, może i uniemożliwimy niektórym użytkownikom plagiat, ale z drugiej strony jednocześnie uniemożliwimy innym użytkownikom nawiązanie potencjalnej współpracy z nami i wykorzystanie naszych treści, inspiracji itd. Dlatego uważam, że to daje więcej złego niż dobrego.
Znalazłam w sieci kilka fajnych ruchów, które zajmują się tym tematem. Jest taka strona jak DMCA i to jest organizacja, która umożliwia zamieszczenie takiej malutkiej plakietki u Ciebie na stronie, która gwarantuje, że treść na Twojej na stronie jest unikalna i faktycznie Twoja, że to Ty jesteś autorką. Oni działają w ten sposób, że udostępniają snippet kodu [za Wikipedią – „mały wycinek kodu źródłowego, kodu maszynowego lub tekstu do wielokrotnego użycia. Snippetów używa się zazwyczaj w celu zminimalizowania powtarzalności tego samego kodu lub tekstu.” – przyp. red.], czyli kod, który działa u Ciebie na stronie i w momencie, gdy wykryją plagiat Twoich treści, to automatycznie ściągają tę drugą stronę z internetu. Jestem ciekaw, jak to działa na rynku polskim, ale to jest organizacja ogólnoświatowa, więc powinno działać to równie dobrze. Jak ktoś naprawdę ma problem z plagiatem online, to może być to fajne rozwiązanie. Drugi sposób – bardzo łatwo można sprawdzić plagiat online, np. kopiując kilkanaście pierwszych słów z artykułu, wklejając je w Google w cudzysłowie. Dzięki temu Google wykryje wszystkie strony, na których ten tekst został użyty. Jeśli kilkanaście słów, słowo w słowo, się powtarza, to może oznaczać, że inne strony próbują Was kopiować.
Mnie zdarzyło się kiedyś znaleźć swoje artykuły ukradzione, ale te z czasów teatralnych, kiedy pisałem recenzje itd.
Jest jeszcze kilka innych narzędzi. Ja znalazłem 4 top narzędzia, które są albo darmowe albo bardzo tanie. Polecam je, bo za pomocą tych narzędzi w kilka sekund możecie sprawdzić, czy w internecie pojawiają się Wasze treści na innych stronach. Wejdźcie na przykład na Copyscape.
Super. Szczególnie odsyłamy do tego artykułu, który będzie na stronie Dobra Treść, bo tam będzie samo mięso i bardzo wartościowe linki od Kuby.
Kamerka w laptopie – zasłaniać czy nie zasłaniać?
Na koniec zapytam jeszcze o wizerunek. Dotyczy to tej słynnej kamerki w urządzeniach i tego jej zaklejania. Są osoby, które zaklejają kamerki, są takie, które nie zaklejają. Trochę śmiesznie wygląda ten plasterek. Powiedz, Kuba – warto, nie warto? Jak to jest tak naprawdę? Czy ktoś naprawdę chce oglądać moje nudne życie, moje siedzenie przed laptopem i wklepywanie tam tekstu? Nic ciekawego przecież tam nie ma.
Kamila, to też jest duży temat, dlatego zrobiłam solidny research. Bardzo mnie uderzyło takie zdanie szefa FBI, James Comeya, który powiedział, że zakrywanie kamery w laptopie w dzisiejszych czasach jest konieczne. Jeśli osoba z tą wiedzą i doświadczeniem mówi takie zdanie, to odpowiedzcie sobie sami, jakie są możliwości. Podeślę też link do platformy, która umożliwia przeglądanie różnych urządzeń sieciowych na całym świecie. Jak trochę pogrzebiecie, to pewnie też otworzycie oczy, jakie są możliwości. Jest to platforma Shodan. Tam można podejrzeć wszystkie niezabezpieczone kamery przemysłowe na świecie. Robi to ogromne wrażenie. Zobaczycie, jak dużo rzeczy widać. Hakerzy są naprawdę bardzo inteligentnymi osobami, które łączą kropki, analizują dużo metainformacji. Tobie, Kamila, może się wydawać, że tylko siedzisz i piszesz, ale haker na tej podstawie jest w stanie na przykład poznać Twoją rutynę dnia, przeanalizować, czy jesteś w domu, czy nie, i w pewnym momencie ma pewność, że Ciebie nie ma przez kilka godzin w domu. Sama się domyślasz, jak można to wykorzystać, prawda?
Kolejna sprawa – jeśli haker ma dostęp do Twojej kamery, to może przechwycić ten obraz i streamować go online, może Cię szantażować. Zdarzają się takie sytuacje, jak nagrywanie dzieci bawiących się w salonie, wysyłanie tego filmu ojcu tych dzieci i szantażowanie, bo nagranie widziało już kilka tysięcy osób. Myślę, że to może bardzo zestresować. To jest mała sprawa – możemy zakryć tę kamerkę albo kupić laptopa, który ma już wbudowane fizyczne zaciemnienie kamery. Myślę, że dużo stresu można w ten sposób oszczędzić.
Powiem Ci szczerze, to jest niezły paradoks, że ja cały czas zamykam laptopa i może dlatego nie zakrywam tej kamerki na co dzień. Tylko jak używam laptopa, to ta kamera rzeczywiście patrzy wtedy na mnie, ale myślę, że nie miałbym żadnego problemu, żeby tysiące osób patrzyły na mnie, jak programuję. Ale jeśli miałbym tego laptopa otwartego na biurku cały dzień, to na pewno bym zakrył kamerę. Polecam Wam, bo to nie jest duży wysiłek. Można to zrobić też fajnie wizualnie. Jest sporo takich nakładek za kilka, kilkanaście złotych, które też designersko, ciekawie wyglądają, więc można dorzucić sobie trochę koloru do życia za pomocą zakrycia kamerki.
Najważniejsze zasady cyberbezpieczeństwa – podsumowanie
Jasne, super. Kuba, jesteśmy w finale naszej rozmowy. To może zbierzmy te podstawowe praktyki i podsumujmy tę naszą rozmowę. Zaczęliśmy od fizycznych zabezpieczeń. Gdybyś mógł zebrać 10 przykazań cyberbezpieczeństwa od Kuby, BHP-owca internetu.
Bardzo mi miło, że tak mnie traktujesz. Super, dziękuję! Chciałbym, żebyście podeszli do tego trochę z przymrużeniem oka. To, co Wam proponuję, jest na bazie mojego doświadczenia, rozsądnych zasad użytkowania komputera i współpracy z superludźmi zajmującymi się cyberbezpieczeństwem na co dzień. Robię to już kilkanaście lat i mam nadzieję, że przydadzą się Wam moje rady. To po kolei. Nie nazywałbym tego co prawda przykazaniami, ale przygotowałem listę podsumowującą.
Pamiętajcie o tym, żeby wylogowywać się z każdego urządzenia, gdy z niego nie korzystacie – to jest ta pierwsza linia ochrony. Korzystajcie z szyfrowania danych na komputerze i w telefonie. Nie wrzuciliśmy przykładów oprogramowania, ale na pewno będzie to w opisie czy w artykule. W przypadku Windowsa to jest BitLocker, w przypadku Maca to jest FileVoult. To są bardzo znane rozwiązania. Zajmie Wam to dosłownie kilkanaście kliknięć i macie zaszyfrowany cały komputer i telefon, wtedy gdy go nie używacie. Jeśli chodzi o hasła, to musi być co najmniej 12 znaków alfanumerycznych i znaków specjalnych.
Korzystajcie z managerów haseł. Oszczędzicie sobie mnóstwo czasu i stopień bezpieczeństwa będzie maksymalnie wysoki. Trzymajcie bazę danych z hasłami w wielu miejscach, a nie tylko na komputerze, lokalnie. Można ją mieć na pendrive, wysłać znajomym, wrzucić na Google Drive. Będzie to taka dywersyfikacja bezpieczeństwa.
Jeśli chodzi o kłódeczkę, to jest to standard i wymaganie w dzisiejszych czasach. I pamiętajmy – nie używamy SSL, tylko TLS. To jest detal, ale ważne, żebyśmy o tym wiedzieli, żeby nie używać starych protokołów, tylko tych naprawdę bezpiecznych. Bezpieczny jest obecnie tylko TLS od wersji 1.3 w górę.
Bardzo ciekawym rozwiązaniem dla bezpieczeństwa strony jest limit logowania na stronę, czyli np. osoba może się zalogować maksymalnie 5 razy w ciągu 10 minut. To od razu odrzuca połowę hakerów.
Do tego recaptcha, o której mówiliśmy, czyli rozwiązanie łamigłówki graficznej, przeważnie podczas logowania na stronę.
Jeśli chodzi o backup strony, to w dzisiejszych czasach również jest to raczej standard. Polecam pogadać z hostingodawcą i wymagać od niego backupu do 30 dni wstecz.
Backup, czyli kopia zapasowa.
Tak, kopia zapasowa całej waszej strony, żeby nawet po tym jej „wyleceniu w powietrze”, można było wrócić do jej pierwotnej wersji. Jeszcze jedną rzecz mam zapisaną – nie używać konta administratora, gdy nie jest to konieczne. Dużo lepiej zrobić sobie konto redaktora, który wprowadza treści, a nie mieć administratora, bo jeśli Wasze konto zostanie przejęte, to osoba nie będzie miała tylu uprawnień, ile administrator.
Nie wspominaliśmy jeszcze, Kamila, podczas naszej rozmowy o temacie bitcoina i kopania kryptowalut za pomocą naszych komputerów, więc tylko wspomnę o tym – monitorujcie zużycie procesora. Gdy widzicie, że komputer naprawdę się grzeje albo bardzo głośno pracuje, zobaczcie, czy nie jest to związane z kopaniem kryptowalut na Waszym komputerze. W tym też może pomóc regularne wyłączanie komputera. To jest plaga dzisiejszych czasów, że nikt nie wyłącza komputera regularnie, tylko „kładzie go spać”, usypia. Powinniśmy regularnie, co najmniej raz na tydzień, wyłączyć komputer i telefon do zera i włączać je od nowa. Nie będę wchodził w szczegóły, ale zapewniam – pod względem bezpieczeństwa również Wam to pomoże.
Oczywiście solidny hosting. Weźcie pod uwagę, że jeśli serwer jest malutki i będzie za duży ruch, a hakerzy spróbują go zaatakować, to on padnie. Wykorzystujcie solidny hosting, który używa CDN (Content Delivery Network), czyli rozproszoną po całym świecie sieć serwerów, które hostują stronę. Dzięki temu strona jest bezpieczna i naprawdę będzie bardzo ciężko ją „położyć”. My mamy strony na Gatsby czy Next [Gatsby.js, Next.js, czyli frameworki webowe, służące do budowania stron i aplikacji internetowych – przyp. red.], które wykorzystują nowoczesne technologie. Obecnie większość stron tak robimy. Naprawdę nie byłem w stanie położyć żadnej z tych stron – starałem się, próbowałem, testowałem, ale jest ciężko, więc zapewniam, że dzięki temu od razu jest dużo wyższy poziom bezpieczeństwa.
Ponadto polecam zakrywać kamerkę i oczywiście aktualizować system operacyjny i wszelkie oprogramowanie. Mówi się „root of all evil”, czyli jest to taki pierwotny błąd, który jest podstawą bezpieczeństwa. Zatem aktualizujcie oprogramowanie, system operacyjny i wszystkie aplikacje, których używacie, najlepiej na bieżąco.
Wyszło mi nie 10, a 12 rad. Chciałem powiedzieć „tylko”, bo do głowy przychodzi mi kolejne 40, ale to już nie dzisiaj. Mam nadzieję, że omówiłem te najważniejsze, które pomogą Wam być bezpiecznymi online.
Super! Bardzo Ci dziękuję, Kubo. Rozpocząłeś karnawał dobrej treści w Dobrej Treści. Będzie więcej ciekawych materiałów właśnie w tym czasie, ale oczywiście zdaję sobie sprawę z tego, że oglądacie ten odcinek albo słuchacie go w różnym czasie. Mam nadzieję, że skorzystaliście. Jeżeli chcecie dopełnić informacji, zapraszam na moją stronę internetową. Tam znajdziecie szczegóły na temat tego, o czym mówił Kuba. Polecam też oczywiście współpracę z Kubą, Kryptonum się kłania. Jeżeli potrzebujecie specjalistę od cyberbezpieczeństwa, czy chcecie cokolwiek zrobić na swojej stronie bądź zrobić nową stronę, to Kuba jest świetnym adresem.
Bardzo dziękuję, bardzo mi miło. Zapraszam.
Dobrze. Serdecznie wszystkich pozdrawiamy. Cieszę się bardzo, że byłeś po raz kolejny gościem tego podcastu i mam nadzieję, że nie ostatni.
Za każdym razem jest świetnie. Bardzo dziękuję, bo mega mi miło.
Do zobaczenia!
Dzięki!
Linki do narzędzi związanych z cyberbezpieczeństwem
Zasady cyberbezpieczeństwa w pigułce
- Wylogowuj się z każdego urządzenia, gdy z niego nie korzystasz
- Korzystaj z szyfrowania danych na komputerze i telefonie → BitLocker, FileVault
- Pamiętaj, że hasła muszą mieć co najmniej 12 znaków alfanumerycznych + znaki specjalne
- Korzystaj z managera haseł
- Trzymaj bazę z hasłami w wielu miejscach
- Kup certyfikat SSL 1.3+, kłódka to konieczność każdej strony
- Włącz logowanie na stronę i recaptcha
- Rób backup strony 30 dni do tyłu. Nie używaj konta administratora, jeśli nie musisz
- Monitoruj zużycie procesora → wyłączaj komputer regularnie
- Zadbaj o solidny hosting
- Zakrywaj kamerkę
- Aktualizuj system operacyjny i oprogramowanie
Przenoszę komunikację marek na wyższy poziom. Projektuję ich obecność online (strony www, blogi, wideo, podcasty, prezentacje multimedialne) i uczę, jak robić to efektywnie. Pracowałam dla dużych marek: Aviva, Medicover, Bonami, ale także z mniejszych firm z branży IT (Ququplay, Cloudeamons), instytucji kultury i lokalnych przedsiębiorców.
Czy zaklejać kamerę naszego laptopa? Hasła zapisywać na kartce, czy w przeglądarce? Jak długie musi być bezpieczne hasło? Co może zrobić haker siedząc w kawiarni obok nas?
Zasady cyberbezpieczeństwa omawia w najnowszym odcinku podcastu Dobra Treść Kuba Chrapek, programista i specjalista od cyber security. Posłuchaj i dowiedz się, czy odpowiednio chronisz swoje dobra cyfrowe.
Podcast o cyberbezpieczeństwie z udziałem Kuby Chrapka
Listen to „Jak chronić dobra cyfrowe? Zasady cyberbezpieczeństwa” on Spreaker.Spis treści
Jak chronić dobra cyfrowe? Zasady cyberbezpieczeństwa – transkrypcja rozmowy z Kubą Chrapkiem
Kamila Paradowska: Kuba Chrapek. Programista, ale też specjalista od cyberbezpieczeństwa, jest gościem podcastu Dobra Treść i filmu youtube`owego. Kuba, jest mi bardzo miło gościć Cię po raz kolejny w podcaście Dobra Treść.
Kuba Chrapek: Kamila, jest mi również bardzo miło. Bardzo się cieszę, że mamy okazję dzisiaj porozmawiać.
Publikujemy tę rozmowę w Dniu Bezpiecznego Internetu i choć ten Dzień związany jest przede wszystkim z dziećmi i młodzieżą, to myślę, że każdy z nas jest trochę dzieckiem w internecie. Nikt nas przecież nie uczył internetu, nie mieliśmy w szkole zasad bezpieczeństwa i BHP. Może niedługo będzie taki nowy zawód? Taki BHP-owiec internetowy.
Dobrze to brzmi. Trzeba się zastanowić nad przebranżowieniem.
Tak, ale dzisiaj to Ty, Kubo, będziesz naszym BHP-owcem. Chciałabym Ci zadać trochę pytań, które są ważne dla każdej osoby, która publikuje w internecie, na stronach lub w mediach społecznościowych, czy w ogóle porusza się po internecie, szukając różnych informacji i mając różne narzędzia. Od nich chciałabym zacząć rozmowę.
Zabezpieczenie urządzeń
Każdy z nas ma laptop, każdy z nas ma smartfon, przeszukuje Internet, płaci rachunki, jest w mediach społecznościowych. Wiesz, czasem włos mi się jeży, jak patrzę, w jaki sposób te urządzenia są zabezpieczone, np. w przypadku spotkań z przedsiębiorcami, gdy nie ma żadnego hasła na komputer. W takich sytuacjach zapala mi się czerwona lampka. Co Ty o tym sądzisz? Jak do tego podejść w kontekście pierwszego punktu, czyli zabezpieczenia urządzeń? Zdarzają się przecież ataki hakerskie, wycieki danych albo inne poważne sytuacje.
Kamila, bardzo się cieszę, że taki temat poruszasz, bo jestem pewien, że Twoi odbiorcy niesamowicie na tym skorzystają. Dzisiaj poruszymy temat dotyczący podstawowych praktyk związanych z cyberbezpieczeństwem i bezpiecznego używania elektroniki na co dzień. Zanim zacznę, chciałbym powiedzieć jedną rzecz. Nie jesteśmy „świrami”, którzy na każdym etapie chcą być maksymalnie zabezpieczeni i nie mieć prawdziwego, luźnego kontaktu w internecie. Internet to jest narzędzie – można go używać świadomie, bezpiecznie i korzystać z jego dobrodziejstw albo przegiąć w drugą stronę. Musimy zatem ułożyć sobie ten temat tak, by wyważyć bezpieczeństwo i użyteczność. Bez sensu jest przecież mieć tak zabezpieczony komputer, by zalogowanie się do niego zajmowało nam 10 minut. Na pewno dzisiaj aż tak ekstremalnie nie będziemy rozmawiać na ten temat.
Kamila, zaczęłaś temat fizycznego dostępu i fizycznego zabezpieczenia urządzeń. Super, że zaczynamy od tej warstwy fizycznej, bo ona jest najważniejsza. Później będziemy wchodzić w temat oprogramowania, aplikacji i innych rzeczy, ale tak naprawdę naszą pierwszą linią ochrony jest rozsądek i fizyczna ochrona urządzenia, czyli to, o czym Kamila powiedziałaś.
Bardzo często widzę takie sytuacje, że użytkownicy komputera czy smartfona nie dbają o to, żeby ograniczać do niego dostęp. I to jest pierwszy i najważniejszy aspekt, który dzisiaj wymienimy. Jeśli nie będziecie mieć na oku swojego telefonu czy komputera choćby przez kilkanaście minut, to jest mnóstwo złych rzeczy, które mogą się z nimi wydarzyć. Kamila, już powiedziałaś o ekstremalnej sytuacji, gdy ktoś nie ma w ogóle hasła nawet na komputerze, który jest jak otwarta księga. Można wejść na taki komputer i zrobić naprawdę dużo złego, np. wgrać jakieś złośliwe oprogramowanie lub wyciągnąć dane z komputera. Zaraz Wam powiem, jak się na to przygotować, ale na początek – możemy zlikwidować takie zagrożenia, gdy cały czas będziemy mieć nasz komputer czy telefon na oku. Gdy nie mamy go na oku, to musimy działać z automatu, czyli po prostu wylogowywać się z komputera czy z telefonu i blokować ekran logowania odpowiednio złożonym hasłem albo biometrią, którą polecam. Teraz biometria jest dostępna w większości urządzeń. Biometria to oparcie się o nasze cechy fizyczne, które nas jednoznacznie uwierzytelniają, czyli np. odcisk palca, skan siatkówki oka czy skan twarzy. Teraz jest to już coraz bardziej popularne.
Mój smartfon czasem mnie rozpoznaje, czasem nie.
To jest problem tych czasów, prawda? Ja cały czas, jak jadę, mam ściągniętą maseczkę, żebym mój telefon mnie rozpoznał.
No tak.
W przeciwnym razie on mnie nie rozpoznaje.
Ale mówisz, że biometria jest okej? Opowiem taką anegdotę – kiedyś fryzjerka powiedziała mi, że dowiedziała się o zdradzie swojego męża w taki sposób, że kiedy spał w nocy, ona przyłożyła jego palec do telefonu i znalazła jego zdjęcia z kochanką. Jak już śpimy z kimś, jesteśmy pijani, to wtedy to się może przydać.
Jak z kimś śpimy, to ewidentnie wtedy hasło. Rezygnujemy z biometrii. [śmiech]
Dobrze, dobrze, jasne. [śmiech]
Zawsze to trochę bezpieczniej. Nie, żartuję. Kamila, pytasz o biometrię? Tak, zdecydowanie polecam wykorzystywać cechy biometryczne, są zdecydowanie bardziej bezpieczne w porównaniu do haseł. To jest naprawdę bardzo trudne, żeby mieć hasło prawdziwie bezpieczne. One wymagają też fajnej polityki zarządzania hasłami, czyli odpowiedniej długości i stopnia skomplikowania. To jest dodatkowa praca, o której musisz pomyśleć. A biometria? Zapewnia niesamowity stopień bezpieczeństwa, porównując z innymi metodami, np. odcisk palca, siatkówka czy skan twarzy są zdecydowanie lepsze niż alternatywy, jakimi są hasła.
Jasne, tylko nie każde urządzenie ma biometrię. Ja mam przyjemność korzystać z najnowszego iPada, który natychmiast rozpoznaje moją twarz w każdej aplikacji, ale już na desktopie muszę wpisywać hasło.
Bezpieczeństwo haseł
Jeśli chodzi o hasła – Google Chrome czy Safari proponują nam różnego rodzaju hasła. Wiadomo, że logujemy się do wielu narzędzi i te skomplikowane hasła są później zapisywane gdzieś w tej przeglądarce. I teraz pytanie, czy to jest w ogóle bezpieczne? Czy nie lepiej zapisywać je sobie na kartce? Ale wtedy mamy wielką listę różnych haseł.
Świetne pytanie, Kamila. Powiedziałaś kluczowe zdanie: „Gdzieś to hasło jest zapisywane w przeglądarce”. Ja już na to bym uważał, ponieważ każdy kolejny stopień skomplikowania to kolejny wektor ataku. Często wychodzą luki bezpieczeństwa w przeglądarkach i jeśli będziemy mieć zapisane wszystkie hasła w tej przeglądarce… Myślę, że raczej to się nie stanie w najbliższym czasie, bo przeglądarki są naprawdę na bardzo wysokim poziomie, ale jest jednak jakieś prawdopodobieństwo, że któregoś dnia nasze hasła mogą zostać wykorzystane przez odpowiednio wprawionego hakera. Ja bym zatem nie dokładał kolejnego wektora ataku i wyszedł zupełnie poza przeglądarkę.
Dalej to, o czym mówiłaś – zapisywanie haseł ręcznie. Kolejna zupełnie niepolecana praktyka. Z jednej strony jest ona zupełnie niepraktyczna, bo przy posiadaniu więcej niż kilku haseł to jest naprawdę trudne do ogarnięcia. Z drugiej strony to może bardzo łatwo zginąć, zniszczyć się, spalić, kawa może to zalać i pozamiatane. Dlatego możemy skorzystać ze świetnych alternatyw. Jest specjalne oprogramowanie, które bardzo polecam – managery haseł, które polegają na tym, że zapamiętujesz jedno bardzo trudne hasło i nic więcej już nie potrzebujesz. Jest to tak zwane master password, czyli hasło administracyjne, które umożliwia Ci odszyfrowanie Twojej małej bazy danych. Ta baza danych jest po prostu listą haseł do różnych portali, z których korzystasz. Świetna sprawa. Kamila, w opisie podcastu, jeśli będziesz chciała, zamieścimy linki do oprogramowania, które ja polecam.
Bardzo polecam KeePass oraz MacPass, rozwiązanie przeznaczone dla produktów Apple. Jest też sporo platform on-line, np. 1pass albo LastPass, aczkolwiek ja się nie skłaniam ku nim, bo, tak jak słyszycie, ja wolę tego nie łączyć w ogóle z internetem ani z przeglądarką, tylko lepiej ściągnąć aplikację.
Tylko doprecyzuję – wchodzę na stronę z jakimś produktem, o którym mówisz, ściągam sobie program na swój komputer i ten program zabezpiecza mi wszystkie moje hasła.
Dokładnie. Te programy są multiplatformowe. Są rozwiązania na Linuxa, na MacBooka, na Windowsa i tak samo na smartfony, np. na Androida. To naprawdę jest teraz popularne rozwiązanie. Super się je synchronizuje między telefonem a desktopem, więc bardzo polecam. Podeślę linki do tych rozwiązań.
Co jest ważne, Kamila, to to, że musisz zapamiętać tylko jedno hasło. Jeśli zadbasz dobrze o stopień złożoności tego hasła, będziesz je zmieniała co kilka miesięcy, to bezpieczeństwo Twoich haseł będzie na bardzo wysokim poziomie. Co jeszcze jest ważne – bez problemu ten plik możesz wysyłać wszędzie w internet, on jest publiczny, ale odszyfrować możesz go tylko Ty, znając hasło. To jest bardzo fajne, bo nie ma możliwości, żeby ten plik zginął. Wrzuć go sobie śmiało na Google Drive, wyślij do mnie w mailu, a ja i tak go nie odszyfruję. Chodzi o to, że będziesz miała jakiś ślad cyfrowy w internecie i bez problemu, nawet jak komputer Ci zginie i wszystko przepadnie, po prostu ściągasz ten plik, instalujesz znów KeePassa na nowym komputerze, odszyfrowujesz to za pomocą hasła, które tylko Ty znasz i masz dostęp do wszystkich haseł na portale, banki czy inne social media. To jest najbezpieczniejsze rozwiązanie.
W ten sposób tworzymy taki cyfrowy skarbiec.
W MacPassie jest FileVault, chyba z angielskiego tak nazwali, czyli szyfrowany zbiór wszystkich plików na systemie operacyjnym. Myślę, że to jest taki skarbiec cyfrowy.
Dobrze, porozmawiajmy więc o tytułowych dobrach cyfrowych. Wydaje mi się, że największym dobrem cyfrowym jest nasza własna strona internetowa. Zdecydowanie uważam, że tylko własna strona to jest najpiękniejsze źródło naszych treści, bo mamy nad nią kontrolę, wiemy, co, gdzie, to my nią zarządzamy. Własna strona to nie są żadne zewnętrzne media społecznościowe, a często tak jak ja, mamy jakiś sklep, kurs oraz różne inne rzeczy cyfrowe, które przekazujemy odbiorcom.
Jak zabezpieczyć stronę internetową?
Zatem na początek pytanie o kłódeczkę. Każdy hostingodawca sugeruje, żeby kupić certyfikat SSL. Odczaruj może, czym jest ten certyfikat, tak w skrócie, i dlaczego jednak warto go mieć?
Jasne! To jest dla mnie bardzo trudne opowiedzieć o tym krótko, bo pod spodem kryje się niesamowita historia. Jeśli chodzi o SSL i nazwę, która jest używana na co dzień – paradoksem jest to, że jest ona błędnie używana. To nie jest wcale SSL, tylko TLS. Już nie będę wchodził w szczegóły, ale chodzi o to, że SSL jest starym protokołem, który był ulepszany przez lata. Ten, którego aktualnie używamy i który jest naprawdę bezpieczny, miał ostatnie wydanie w 2018 roku. To jest właśnie TLS 1.3, czyli Transport Layer Security (warstwa bezpieczeństwa). Jest to protokół, czyli ustalone zasady, zbiór algorytmów, które zapewniają nam, w tym przypadku, dwie rzeczy: poufność naszych danych, a więc dane, które przesyłamy między sobą, są szyfrowane oraz integralność, czyli mamy pewność, że te dane na pewno nie zostały zmienione po drodze. Ponadto algorytmy weryfikują także uwierzytelnienie jednej i drugiej strony, co daje mi pewność, że jeśli ja wysłałem maila do Kamili, to tylko Kamila może go odczytać. I w drugą stronę – Kamila też ma taką pewność. Mamy między nami bezpieczny kanał komunikacji.
Właśnie od tego jest ta kłódeczka. Jeśli tej kłódeczki nie ma, to wszystko leży, a więc te wszystkie rzeczy, o których przed chwilą powiedziałem. Oznacza to, że nie mamy poufności danych, dane są wysyłane tekstem jawnym. To jest masakra. Gdybyśmy siedzieli z Kamilą w tej samej sieci WiFi, na przykład w Macu [w restauracji McDonald’s, przyp. red.], to ja słuchając odpowiednio ruch jestem w stanie przechwycić wszystko, co Ty z tej strony wysyłasz. Jak nie ma tej kłódeczki, to wszystkie aspekty bezpieczeństwa komunikacji i informacji leżą, bo w takiej sytuacji nie ma czegoś takiego jak poufność. Dane, które są przesyłane, lecą tekstem jawnym. Kamila, wyobraź sobie, że logujesz się na platformie, wpisujesz login i hasło, klikasz „Wyślij”, a w tym momencie ja, słuchając tej samej sieci i Twojego ruchu sieciowego, widzę dokładnie Twój login i hasło. Nie ma żadnego szyfru, tekst jest jawny i mam od razu dostęp do Twojego konta. To jest jeden z wielu przykładów.
Inne rzeczy, np. z angielskiego impersonate, czyli jak chcę się pod kogoś podszyć. To też żaden problem, bo jestem w stanie np. spreparować zapytanie do jakiegoś serwera, by on „myślał”, że to Kamila Paradowska do niego napisała, a nie ja. Mogę w ten sposób bardzo Tobie zaszkodzić – na przykład, gdy jest generowany potężny ruch na serwerze, spowodował to haker, ale pod spodem widać, że to była Kamila Paradowska. Nigdy się nie dowiemy, kto to tak naprawdę zrobił, bo ruch nie był uwierzytelniony, widać tylko to, co było napisane. Podsumowując – kłódka to jest w dzisiejszych czasach standardem, jest wymagana i wpływa na mnóstwo rzeczy, jak choćby na SEO i wyniki wyszukiwania Waszej strony. Jest to po prostu warunek konieczny. Strony HTTP są przez przeglądarki już od dobrych 10 lat odrzucane, bo przeglądarki chcą narzucić nam, użytkownikom, żebyśmy nie używali rzeczy niebezpiecznych.
Kolejna rzecz, Kamila, Ty bardzo dobrze orientujesz się w tym temacie, a więc RODO i prawa autorskie. Nie mamy prawa przetwarzać na naszej stronie danych użytkowników, przechowywać ich maili i loginów na naszej stronie, gdy nie zapewniamy bezpieczeństwa tym danym. Czyli jeśli nie szyfrujemy tych danych, to przesyłamy internetem tekstem jawnym dane osobowe naszych użytkowników. To jest nie do pomyślenia. RODO krzyczy od razu! Kłódka jest po prostu wymagana w dzisiejszych czasach.
Jeśli chcielibyście wdrożyć na swojej stronie jakiekolwiek transakcje, czyli na przykład podpiąć bramkę płatności, to w Polsce wiele bramek płatności, jak choćby Przelewy24 czy PayU, bardzo dużą wagę przykłada do tematu bezpieczeństwa stron i zabezpieczenia każdej możliwej podstrony za pomocą protokołu SSL.
Jeszcze jest temat długości kluczy i stopnia bezpieczeństwa związanego z tym protokołem, ale myślę, że to jest temat na kiedy indziej. Podeślę link do strony Let`s encrypt. To jest organizacja non-profit, która jest oficjalnym urzędem certyfikacyjnym wystawiającym certyfikaty SSL zupełnie za darmo. Uważam, że to rozwiązuje 90% przypadków biznesowych. Nie potrzebujecie jakiegoś niesamowitego certyfikatu EV (extended validation), czyli mega szczegółowego. Potrzebujecie naprawdę podstawowy certyfikat SSL, żeby zapewnić szyfrowanie Waszej komunikacji. Mówię o tym, bo są różne certyfikaty na rynku, za bardzo duże pieniądze.
Jasne, dobrze. To może od razu przejdę do tego, tak zwanego „wylatywania strony w kosmos”. Są tacy ludzie, którzy mówią: „Wiesz, moja strona wyleciała w kosmos, straciłem wszystko” i ja sobie myślę, jak to jest w ogóle możliwe, że tworzy się tyle dóbr cyfrowych bez żadnego tak zwanego ubezpieczenia. Musimy to przenieść z naszego życia analogowego – gdy budujemy dom, to on ma zawsze jakieś ubezpieczenie. Tymczasem ludzie czasami tracą strony i nie potrafią ich odzyskać. Pytanie do Ciebie, Kubo, co tu się mogło wydarzyć i jak wygląda takie cyfrowe ubezpieczenie?
Kamila, wszystko się mogło zdarzyć. Wektorów ataku są tysiące, ale przeanalizujemy te najbardziej popularne i porozmawiajmy na co zwrócić uwagę, żebyście wiedzieli, jak wykorzystać tę wiedzę w praktyce. Na pewno chciałbym uświadomić Wam, że w internecie cały czas działają hakerzy i skrypty, czyli oprogramowanie, które samo wykonuje jakąś powtarzalną czynność. Cały czas trwa w internecie wyścig zbrojeń osób, które atakują nasze strony i osób, które myślą, jak się zabezpieczyć. Nasze strony, jeśli umożliwią temu użytkownikowi czy hakerowi na przykład zalogowanie na stronie, są sprawdzane na każdy możliwy sposób, czy na pewno są dobrze zabezpieczone. To jest normalne i musimy mieć świadomość właśnie takiej sytuacji. Jest na szczęście sporo dobrych praktyk, które jeśli wprowadzimy na stronie, będą bardzo utrudniać życie hakerom. Są to naprawdę proste rzeczy, które każdy może wprowadzić u siebie.
Musimy też odpowiedzieć sobie na pytanie, co jest przyczyną takiego np. zalogowania czy złamania strony? Kamila, mówiłaś o tym, że strona wyleciała w kosmos. Przyczyn może być bardzo dużo. Może to być na przykład DDoS, czyli distributed denial of service. Polega to na tym, że mnóstwo ruchu z całego świata atakuje Twój serwer, zalewa go zapytaniami, a Twój serwer jest malutki i nie jest w stanie odpowiedzieć na to. On się po prostu „wysypuje”, bo ma przepełnioną całą pamięć i nie jest w stanie obsłużyć tyle żądań. Gdy użytkownik wchodzi na taką zaatakowaną stronę, to widzi komunikat „Kurza twarz” albo w ogóle nie ma tej strony. To jest popularna niestety sytuacja.
Kolejny scenariusz jest taki, że osoba, złamie zabezpieczenia, podniesie sobie uprawnienia u Ciebie na stronie i nie będzie już na przykład zwykłym użytkownikiem a adminem. To jest już masakra. Taka osoba wchodzi na panel admina, ma dostęp do plików, do Twojej bazy danych FTP. Bardzo często te osoby dążą do tego, żeby Ci zaszkodzić i szantażować Cię, na przykład poprzez zaszyfrowanie całej bazy danych. Wtedy Twoja strona nie działa, a ta osoba czeka na przelew bitcoinów i dopiero wtedy odszyfruje bazę danych. No i makabra. To jest taki nowoczesny szantaż cyfrowy. Bardzo dużo rzeczy można później zrobić, ale zamiast wchodzić w temat, jak zaszkodzić, wolę mówić, jak z tym walczyć, jak się przed tym bronić.
Przejdźmy więc do mechanizmu logowania, bo to jest najczęściej atakowany aspekt strony internetowej i zabezpieczeń. Sugeruję, żeby wykorzystywać tylko sprawdzone rozwiązania, a nie pisać takie rzeczy samemu. Jest to bardzo niebezpieczne, gdy młody początkujący programista wchodzi w ten temat i sam pisze mechanizm logowania. Na to trzeba bardzo uważać, a więc po prostu zwrócić uwagę, czy ktoś wie, co robi. Przykładem jest świetne rozwiązanie, czyli wykorzystanie protokołu OAuthOLAF [za Wikipedią – OAuth 2.0 to standardowy protokół autoryzacji dostępu, skoncentrowany na ułatwieniu użytkownikowi przepływu autoryzacji dla aplikacji internetowych. Pozwala na zatwierdzenie współpracy między jedną stroną, aplikacją a drugą w Twoim imieniu, lecz bez podawania haseł. Z takiego rozwiązania korzystają między innymi Facebook, Twitter, Microsoft, Google czy Amazon, chcąc tym samym ułatwić udostępnianie informacji. – przyp. red.]. On pozwala na to, żeby wykorzystać third party, czyli zaufaną trzecią stronę, którą jest na przykład Google, Facebook, LinkedIn itd. Możemy na przykład zalogować się za pomocą tego konta i to jest świetna sprawa, bo zazwyczaj ten mechanizm zapewnia dużo wyższy poziom bezpieczeństwa. Nie stosujemy dzięki temu natywnego mechanizmu logowania pisanego przez nas, tylko wykorzystujemy logowanie za pomocą third party, providera z zewnątrz, tej zaufanej trzeciej strony.
Jest jeszcze kilka innych elementów. Kamila, kojarzysz taki temat jak recaptcha? Jest to mechanizm, w którym trzeba wykonać małą łamigłówkę. To tak niszczy życie hakerom, że oni po prostu płaczą, bo jest bardzo trudno zautomatyzować te procesy za pomocą skryptu. Dlaczego? Bo te zadania się zmieniają. To nie jest zawsze to samo zadanie, żeby np. wskazać most na zdjęciu, ale trzeba obliczyć jakieś działanie matematyczne. To działanie nie jest opisane liczbami i osoba nie jest w stanie łatwo odczytać tego z ekranu, a jest to np. jakiś malunek, coś mało wyraźnego. Chodzi nam o to, żeby utrudnić życie hakerom i skryptom, żeby nie mogły one zautomatyzować procesu logowania na stronę.
Kolejny przykład – brutalny, najbardziej trywialny, atak. Polega na tym, że haker wchodzi na WordPress, wpisuje Twój mail, Twoje hasło i otrzymuje informację „Hasło jest nieprawidłowe”. To jest najgorszy komunikat, jaki możemy dać, bo w ten sposób panel informuje, że e-mail się zgadza, a jedyne co musi zgadnąć, to hasło. Zwróćcie więc uwagę na to, aby w Waszym mechanizmie logowania komunikat brzmiał zawsze „Hasło lub adres e-mail się nie zgadza”. Nie zawężamy dzięki temu wektorów ataku.
Co jeszcze możemy zrobić? Na pewno polityka haseł, czyli narzucenie stopnia skomplikowania hasła i jego długości. W dzisiejszych warunkach polecam hasła co najmniej 12-znakowe, alfanumeryczne, czyli małe, wielkie litery, znaki, cyfry i do tego znaki specjalne. To bardzo poszerza możliwość tego hasła. No i oczywiście nie może być ono słownikowe. Nie używamy żadnych imion czy logicznych słów. Nie o to chodzi. Używamy zupełnie losowych ciągów znaków. Ja wiem, że to jest cholernie trudno zapamiętać, ale po to jest właśnie manager haseł. Dzięki temu mamy tylko jedno hasło, które pamiętamy, a podczas logowania jedyne co robimy, to wpisujemy to hasło, kopiujemy je z managera i wklejamy do odpowiedniej platformy. Nie musimy pamiętać o niczym innym.
Jasne. Dotknęliśmy w zasadzie dwóch moich pytań, ale to bardzo dobrze. Chciałabym porozmawiać też troszeczkę o chronieniu treści, w sensie kopiowaniu.
Treść na stronie internetowej – jak ją chronić?
Zdarzyło mi się być na takich stronach, gdzie nie mogłam skopiować tekstu ze stron. Oczywiście nie chciałam tego kopiować w celu publikowania, ale np. cytowania fragmentów, co umożliwia te sieciowe przepływy treści, pozyskiwanie linków zewnętrznych do naszej strony. Czy w ogóle warto to robić ze względu na SEO na przykład? Co to są za mechanizmy, jeżeli chcemy to wprowadzić? Czy to jest drogie rozwiązanie, czy może to jest jakaś jedna wtyczka, którą się montuje? Jak to wygląda?
To jest świetny temat, którym dałaś mi do myślenia przed naszym podcastem. Zrobiłem na ten temat solidny research i na początek powiem, jaka jest moja subiektywna opinia. Uważam, że takie działanie, czyli próba uchronienia się przy tym, żeby ktoś kopiował teksty z naszej strony, robi więcej złego niż dobrego. Prawdziwa ochrona przed tym, żeby ktoś nie mógł skopiować treści z naszej strony, nie polega na tym, żeby nie można było zaznaczyć tylko tekstu. Można zrobić to też z poziomu programistycznego. To jest żaden problem, żeby np. selectorem wybrać konkretny element, skopiować jego wartość tekstową i wyciągnąć. To są tak zwany web scraping. Skrypty, jeśli tylko będą chciały skopiować dane z Twojej strony, to to zrobią.
Idąc krok dalej – ja uważam, że stosując takie praktyki, zabieramy innym osobom możliwość cytowania naszych treści. To jest to, o czym przed chwilą powiedziałaś. Linkowanie zewnętrzne niesamowicie dobrze działa na SEO naszej strony. Obcinając tego typu możliwość, może i uniemożliwimy niektórym użytkownikom plagiat, ale z drugiej strony jednocześnie uniemożliwimy innym użytkownikom nawiązanie potencjalnej współpracy z nami i wykorzystanie naszych treści, inspiracji itd. Dlatego uważam, że to daje więcej złego niż dobrego.
Znalazłam w sieci kilka fajnych ruchów, które zajmują się tym tematem. Jest taka strona jak DMCA i to jest organizacja, która umożliwia zamieszczenie takiej malutkiej plakietki u Ciebie na stronie, która gwarantuje, że treść na Twojej na stronie jest unikalna i faktycznie Twoja, że to Ty jesteś autorką. Oni działają w ten sposób, że udostępniają snippet kodu [za Wikipedią – „mały wycinek kodu źródłowego, kodu maszynowego lub tekstu do wielokrotnego użycia. Snippetów używa się zazwyczaj w celu zminimalizowania powtarzalności tego samego kodu lub tekstu.” – przyp. red.], czyli kod, który działa u Ciebie na stronie i w momencie, gdy wykryją plagiat Twoich treści, to automatycznie ściągają tę drugą stronę z internetu. Jestem ciekaw, jak to działa na rynku polskim, ale to jest organizacja ogólnoświatowa, więc powinno działać to równie dobrze. Jak ktoś naprawdę ma problem z plagiatem online, to może być to fajne rozwiązanie. Drugi sposób – bardzo łatwo można sprawdzić plagiat online, np. kopiując kilkanaście pierwszych słów z artykułu, wklejając je w Google w cudzysłowie. Dzięki temu Google wykryje wszystkie strony, na których ten tekst został użyty. Jeśli kilkanaście słów, słowo w słowo, się powtarza, to może oznaczać, że inne strony próbują Was kopiować.
Mnie zdarzyło się kiedyś znaleźć swoje artykuły ukradzione, ale te z czasów teatralnych, kiedy pisałem recenzje itd.
Jest jeszcze kilka innych narzędzi. Ja znalazłem 4 top narzędzia, które są albo darmowe albo bardzo tanie. Polecam je, bo za pomocą tych narzędzi w kilka sekund możecie sprawdzić, czy w internecie pojawiają się Wasze treści na innych stronach. Wejdźcie na przykład na Copyscape.
Super. Szczególnie odsyłamy do tego artykułu, który będzie na stronie Dobra Treść, bo tam będzie samo mięso i bardzo wartościowe linki od Kuby.
Kamerka w laptopie – zasłaniać czy nie zasłaniać?
Na koniec zapytam jeszcze o wizerunek. Dotyczy to tej słynnej kamerki w urządzeniach i tego jej zaklejania. Są osoby, które zaklejają kamerki, są takie, które nie zaklejają. Trochę śmiesznie wygląda ten plasterek. Powiedz, Kuba – warto, nie warto? Jak to jest tak naprawdę? Czy ktoś naprawdę chce oglądać moje nudne życie, moje siedzenie przed laptopem i wklepywanie tam tekstu? Nic ciekawego przecież tam nie ma.
Kamila, to też jest duży temat, dlatego zrobiłam solidny research. Bardzo mnie uderzyło takie zdanie szefa FBI, James Comeya, który powiedział, że zakrywanie kamery w laptopie w dzisiejszych czasach jest konieczne. Jeśli osoba z tą wiedzą i doświadczeniem mówi takie zdanie, to odpowiedzcie sobie sami, jakie są możliwości. Podeślę też link do platformy, która umożliwia przeglądanie różnych urządzeń sieciowych na całym świecie. Jak trochę pogrzebiecie, to pewnie też otworzycie oczy, jakie są możliwości. Jest to platforma Shodan. Tam można podejrzeć wszystkie niezabezpieczone kamery przemysłowe na świecie. Robi to ogromne wrażenie. Zobaczycie, jak dużo rzeczy widać. Hakerzy są naprawdę bardzo inteligentnymi osobami, które łączą kropki, analizują dużo metainformacji. Tobie, Kamila, może się wydawać, że tylko siedzisz i piszesz, ale haker na tej podstawie jest w stanie na przykład poznać Twoją rutynę dnia, przeanalizować, czy jesteś w domu, czy nie, i w pewnym momencie ma pewność, że Ciebie nie ma przez kilka godzin w domu. Sama się domyślasz, jak można to wykorzystać, prawda?
Kolejna sprawa – jeśli haker ma dostęp do Twojej kamery, to może przechwycić ten obraz i streamować go online, może Cię szantażować. Zdarzają się takie sytuacje, jak nagrywanie dzieci bawiących się w salonie, wysyłanie tego filmu ojcu tych dzieci i szantażowanie, bo nagranie widziało już kilka tysięcy osób. Myślę, że to może bardzo zestresować. To jest mała sprawa – możemy zakryć tę kamerkę albo kupić laptopa, który ma już wbudowane fizyczne zaciemnienie kamery. Myślę, że dużo stresu można w ten sposób oszczędzić.
Powiem Ci szczerze, to jest niezły paradoks, że ja cały czas zamykam laptopa i może dlatego nie zakrywam tej kamerki na co dzień. Tylko jak używam laptopa, to ta kamera rzeczywiście patrzy wtedy na mnie, ale myślę, że nie miałbym żadnego problemu, żeby tysiące osób patrzyły na mnie, jak programuję. Ale jeśli miałbym tego laptopa otwartego na biurku cały dzień, to na pewno bym zakrył kamerę. Polecam Wam, bo to nie jest duży wysiłek. Można to zrobić też fajnie wizualnie. Jest sporo takich nakładek za kilka, kilkanaście złotych, które też designersko, ciekawie wyglądają, więc można dorzucić sobie trochę koloru do życia za pomocą zakrycia kamerki.
Najważniejsze zasady cyberbezpieczeństwa – podsumowanie
Jasne, super. Kuba, jesteśmy w finale naszej rozmowy. To może zbierzmy te podstawowe praktyki i podsumujmy tę naszą rozmowę. Zaczęliśmy od fizycznych zabezpieczeń. Gdybyś mógł zebrać 10 przykazań cyberbezpieczeństwa od Kuby, BHP-owca internetu.
Bardzo mi miło, że tak mnie traktujesz. Super, dziękuję! Chciałbym, żebyście podeszli do tego trochę z przymrużeniem oka. To, co Wam proponuję, jest na bazie mojego doświadczenia, rozsądnych zasad użytkowania komputera i współpracy z superludźmi zajmującymi się cyberbezpieczeństwem na co dzień. Robię to już kilkanaście lat i mam nadzieję, że przydadzą się Wam moje rady. To po kolei. Nie nazywałbym tego co prawda przykazaniami, ale przygotowałem listę podsumowującą.
Pamiętajcie o tym, żeby wylogowywać się z każdego urządzenia, gdy z niego nie korzystacie – to jest ta pierwsza linia ochrony. Korzystajcie z szyfrowania danych na komputerze i w telefonie. Nie wrzuciliśmy przykładów oprogramowania, ale na pewno będzie to w opisie czy w artykule. W przypadku Windowsa to jest BitLocker, w przypadku Maca to jest FileVoult. To są bardzo znane rozwiązania. Zajmie Wam to dosłownie kilkanaście kliknięć i macie zaszyfrowany cały komputer i telefon, wtedy gdy go nie używacie. Jeśli chodzi o hasła, to musi być co najmniej 12 znaków alfanumerycznych i znaków specjalnych.
Korzystajcie z managerów haseł. Oszczędzicie sobie mnóstwo czasu i stopień bezpieczeństwa będzie maksymalnie wysoki. Trzymajcie bazę danych z hasłami w wielu miejscach, a nie tylko na komputerze, lokalnie. Można ją mieć na pendrive, wysłać znajomym, wrzucić na Google Drive. Będzie to taka dywersyfikacja bezpieczeństwa.
Jeśli chodzi o kłódeczkę, to jest to standard i wymaganie w dzisiejszych czasach. I pamiętajmy – nie używamy SSL, tylko TLS. To jest detal, ale ważne, żebyśmy o tym wiedzieli, żeby nie używać starych protokołów, tylko tych naprawdę bezpiecznych. Bezpieczny jest obecnie tylko TLS od wersji 1.3 w górę.
Bardzo ciekawym rozwiązaniem dla bezpieczeństwa strony jest limit logowania na stronę, czyli np. osoba może się zalogować maksymalnie 5 razy w ciągu 10 minut. To od razu odrzuca połowę hakerów.
Do tego recaptcha, o której mówiliśmy, czyli rozwiązanie łamigłówki graficznej, przeważnie podczas logowania na stronę.
Jeśli chodzi o backup strony, to w dzisiejszych czasach również jest to raczej standard. Polecam pogadać z hostingodawcą i wymagać od niego backupu do 30 dni wstecz.
Backup, czyli kopia zapasowa.
Tak, kopia zapasowa całej waszej strony, żeby nawet po tym jej „wyleceniu w powietrze”, można było wrócić do jej pierwotnej wersji. Jeszcze jedną rzecz mam zapisaną – nie używać konta administratora, gdy nie jest to konieczne. Dużo lepiej zrobić sobie konto redaktora, który wprowadza treści, a nie mieć administratora, bo jeśli Wasze konto zostanie przejęte, to osoba nie będzie miała tylu uprawnień, ile administrator.
Nie wspominaliśmy jeszcze, Kamila, podczas naszej rozmowy o temacie bitcoina i kopania kryptowalut za pomocą naszych komputerów, więc tylko wspomnę o tym – monitorujcie zużycie procesora. Gdy widzicie, że komputer naprawdę się grzeje albo bardzo głośno pracuje, zobaczcie, czy nie jest to związane z kopaniem kryptowalut na Waszym komputerze. W tym też może pomóc regularne wyłączanie komputera. To jest plaga dzisiejszych czasów, że nikt nie wyłącza komputera regularnie, tylko „kładzie go spać”, usypia. Powinniśmy regularnie, co najmniej raz na tydzień, wyłączyć komputer i telefon do zera i włączać je od nowa. Nie będę wchodził w szczegóły, ale zapewniam – pod względem bezpieczeństwa również Wam to pomoże.
Oczywiście solidny hosting. Weźcie pod uwagę, że jeśli serwer jest malutki i będzie za duży ruch, a hakerzy spróbują go zaatakować, to on padnie. Wykorzystujcie solidny hosting, który używa CDN (Content Delivery Network), czyli rozproszoną po całym świecie sieć serwerów, które hostują stronę. Dzięki temu strona jest bezpieczna i naprawdę będzie bardzo ciężko ją „położyć”. My mamy strony na Gatsby czy Next [Gatsby.js, Next.js, czyli frameworki webowe, służące do budowania stron i aplikacji internetowych – przyp. red.], które wykorzystują nowoczesne technologie. Obecnie większość stron tak robimy. Naprawdę nie byłem w stanie położyć żadnej z tych stron – starałem się, próbowałem, testowałem, ale jest ciężko, więc zapewniam, że dzięki temu od razu jest dużo wyższy poziom bezpieczeństwa.
Ponadto polecam zakrywać kamerkę i oczywiście aktualizować system operacyjny i wszelkie oprogramowanie. Mówi się „root of all evil”, czyli jest to taki pierwotny błąd, który jest podstawą bezpieczeństwa. Zatem aktualizujcie oprogramowanie, system operacyjny i wszystkie aplikacje, których używacie, najlepiej na bieżąco.
Wyszło mi nie 10, a 12 rad. Chciałem powiedzieć „tylko”, bo do głowy przychodzi mi kolejne 40, ale to już nie dzisiaj. Mam nadzieję, że omówiłem te najważniejsze, które pomogą Wam być bezpiecznymi online.
Super! Bardzo Ci dziękuję, Kubo. Rozpocząłeś karnawał dobrej treści w Dobrej Treści. Będzie więcej ciekawych materiałów właśnie w tym czasie, ale oczywiście zdaję sobie sprawę z tego, że oglądacie ten odcinek albo słuchacie go w różnym czasie. Mam nadzieję, że skorzystaliście. Jeżeli chcecie dopełnić informacji, zapraszam na moją stronę internetową. Tam znajdziecie szczegóły na temat tego, o czym mówił Kuba. Polecam też oczywiście współpracę z Kubą, Kryptonum się kłania. Jeżeli potrzebujecie specjalistę od cyberbezpieczeństwa, czy chcecie cokolwiek zrobić na swojej stronie bądź zrobić nową stronę, to Kuba jest świetnym adresem.
Bardzo dziękuję, bardzo mi miło. Zapraszam.
Dobrze. Serdecznie wszystkich pozdrawiamy. Cieszę się bardzo, że byłeś po raz kolejny gościem tego podcastu i mam nadzieję, że nie ostatni.
Za każdym razem jest świetnie. Bardzo dziękuję, bo mega mi miło.
Do zobaczenia!
Dzięki!
Linki do narzędzi związanych z cyberbezpieczeństwem
Zasady cyberbezpieczeństwa w pigułce
Przenoszę komunikację marek na wyższy poziom. Projektuję ich obecność online (strony www, blogi, wideo, podcasty, prezentacje multimedialne) i uczę, jak robić to efektywnie. Pracowałam dla dużych marek: Aviva, Medicover, Bonami, ale także z mniejszych firm z branży IT (Ququplay, Cloudeamons), instytucji kultury i lokalnych przedsiębiorców.