Nacionalni odzivni center za kibernetsko varnost SI-CERT je pripravil seznam varnostnih nasvetov, ki jih velja upoštevati v letu 2025. Na seznamu so posebno pozornost namenili praksam, na katere so varnostni strokovnjaki nekoč prisegali, a so izkušnje pokazale, da se zaradi takšnih ali drugačnih razlogov ne izidejo.
Redno menjavanje gesel ali ne?
Prvi takšen primer je še dokaj razširjeno navodilo varnostnih strokovnjakov v podjetjih, naj zaposleni gesla menjajo vsake tri mesece. Pri ameriškem uradu za standardizacijo tehnologij NIST pravijo, da je takšno početje praviloma povzročalo zlasti zmedo pri uporabnikih, ki so zaradi pogostega menjavanja gesel vse bolj posegali po takšnih, ki so si jih enostavno zapomnili. Takšna gesla pa običajno niso najbolj varna. Zato svetujejo, naj se raje uporablja namenske aplikacije za generiranje in shranjevanje gesel. Te aplikacije za vsako storitev ustvarijo močno in predvsem unikatno geslo in ga nato tudi varno shranijo. Si pa moramo za dostop do gesel še vedno zapomniti glavno geslo, ki naj bo res zelo dolgo in unikatno.
Za še večjo varnost lahko uporabimo še napravice, kot je yubikey, ki omogoča dvofaktorsko avtentikacijo za dostop do urejevalnika gesel s pomočjo prstnega odtisa.
Če že ustvarjamo svoje lastno geslo, pa strokovnjaki še vedno predlagajo uporabo daljših fraz, ki vsebujejo velike in male črke, še kakšno številko in kakšen poseben znak.
Ali ključavnica ob spletnem naslovu še kaj pomeni?
Druga zastarela varnostna praksa je zanašanje na ikono ključavnice ali oznake https v naslovni vrstici brskalnika. To označuje, da je povezava med brskalnikom in spletnim strežnikom šifrirana in da nihče na prenosni poti ne more prestrezati vsebine komunikacije, a hudič je v podrobnostih. Ikona ključavnice nič ne pomaga, če na drugi strani varnega tunela stoji nepridiprav.
»Šifriranje se vrši s pomočjo šifrirnih ključev v strežniških certifikatih. Ti včasih niso bili tako dostopni, kot so danes, tako da mnogo lažnih spletnih mest ni imelo ključavnice. In to je bil precej dober indikator, da je spletna stran, na kateri moramo vpisati svoje geslo, lažna,« pojasnjujejo pri SI-CERT. »V današnjem času so strežniški certifikati postali nekaj povsem običajnega, tako da imajo praktično vse spletne strani, tudi lažne, v naslovni vrstici ključavnico. Še več, nekateri spletni brskalniki niti ne prikazujejo več ključavnice, saj je ta samoumevna.« Ob tem pri SI-CERT izpostavljajo, da je k tej težavi pripeljala napačna zasnova sistema overiteljev potrdil (certificate authority).
Nas mora biti strah javnih omrežij wifi?
Kar je slabo za prepoznavanje lažnih spletnih strani, je po drugi strani koristno za varnost pri uporabi javnih omrežij wifi. Za ta je nekoč veljalo, da so lahko problematična, saj ni bilo mogoče vedeti, kdo jih upravlja ter kakšni so njegovi nameni.
Če se povežemo na kakršno koli javno omrežje, se moramo namreč zavedati, da lahko naš omrežni promet spremljajo upravljalci omrežja, ti pa imajo lahko tudi škodljive namene. Kot pojasnjuje SI-CERT, nekoč velik del spletnega prometa ni bil zaščiten prek šifriranih povezav. Uporaba javnih omrežij je lahko predstavljala veliko težavo, saj so napadalci lahko spremljali in prestrezali vsebino komunikacije. »Vendar pa v današnjem času praktično vsa spletna komunikacija poteka preko šifriranih povezav med brskalniki in strežniki, tako da tudi če smo povezani v zlonamerno omrežje, je naša komunikacija še vedno varna. Pozorni pa moramo biti na morebitna opozorila brskalnika, če nam javi napako ali težavo s certifikatom ali pa če v naslovni vrstici prikaže opozorilo s klicajem. Tako opozorilo lahko kaže tudi na poskus prestrezanja prometa. V tem primeru raje izberimo drugo omrežno povezavo. Za dodatni nivo zaščite lahko poskrbimo tudi sami z uporabo povezav VPN, pri katerih je vsa komunikacija še dodatno šifrirana,« svetujejo pri SI-CERT.
Si lahko pomagamo z imenom domene?
V pozabo naj gre tudi stara strategija za prepoznavanje sumljivih povezav v sporočilih. »Včasih je veljalo, da povezave v lažnih sporočilih vodijo na spletne naslove, ki so povsem drugačni kot naslov legitimne storitve. Tako smo lahko precej hitro ugotovili, ali je povezava prava ali ne. Delno to velja še danes, vendar pa napadalci čedalje pogosteje v phishing napadih zakupijo domeno, ki je zelo podobna domeni ciljane storitve,« opozarjajo pri SI-CERT. »Ime domene se lahko razlikuje zgolj po končnici ali po malenkost drugačnih črkah in besednih zvezah. Uporabniki pa seveda ne vemo, katere vse domene uporablja neka storitev, tako da smo lahko precej hitro zavedeni in odpremo povezavo, tudi če smo jo prej preverili.« Kot novo pravilo pri SI-CERT navajajo, naj nikoli ne odpiramo povezave v sporočilih (elektronski pošti ali SMS-sporočilih), ki od nas želijo vpis kakršnih koli podatkov (uporabniška imena, gesla, telefonske številke, predvsem pa finančni podatki), ampak spletno stran vedno odpremo prek zaznamka v brskalniku, aplikacije ali pa naslov ročno vpišemo.
Previdnost pri aplikacijah ni nikoli odveč!
Še naprej se splača zavedati, da so nepridipravi spretni in znajo včasih za kratek čas prelisičiti tudi varnostne ukrepe največjih podjetij. Tudi varnostne preglede tehnoloških velikanov, kot so Google, Apple in Microsoft. Slednji dajo zeleno luč aplikacijam, ki jih lahko naložimo z njihovih uradnih tržnic, šele ko jih preverijo za zlonamerno kodo. »Vendar pa se lahko zgodi, da je tudi aplikacija, ki jo namestimo iz uradnega vira, škodljiva,« opozarjajo pri SI-CERT. »Letos smo obravnavali primere zelo škodljivih bančnih trojancev za mobilne naprave, ki so bili nekaj časa dostopni v trgovini Google Play. Aplikacije, ki so se predstavljale kot zastonjski pregledovalniki dokumentov PDF ter aplikacije za čiščenje sistema, so vsebovale dodatno kodo, ki je prevzela nadzor nad telefonom in nekaterim uporabnikom izpraznila bančni račun z vdorom v mobilno banko. Včasih pa se celo zgodi, da napadalci vdrejo v sistem proizvajalca aplikacije in v kodo vstavijo svoj škodljivi program, ki se potem širi preko uradnega vira. Ti napadi spadajo v kategorijo napadov na dobavne verige in so na srečo precej redki. Vseeno pa se moramo zavedati, da obstajajo.«
