5 varnostnih nasvetov, ki naj gredo v pozabo
V svetu kibernetske varnosti so edina stalnica spremembe. Če so se nekateri varnostni pristopi zdeli učinkoviti, danes morda ne zagotavljajo več ustrezne zaščite. Nacionalni odzivni center za kibernetsko varnost SI-CERT je pripravil pregled nekaj varnostnih nasvetov, ki naj v letu 2025 gredo v pozabo, saj gre za prakse, ki ne ustrezajo več sodobnim varnostnim zahtevam.
Redno menjavanje gesel
Številna podjetja se še vedno držijo navodila, da morajo zaposleni vsake tri mesece menjati gesla, vendar gre to počasi v pozabo. Predlogi smernic ameriškega Urada za standardizacijo in tehnologije (NIST) pravijo, da pogosto menjavanje gesel povzroča le še večjo zmedo pri uporabnikih in ustvarjanje kvečjemu še enostavnejših gesel, da si jih lažje zapomnijo. Veliko bolj varen in učinkovit pristop je uporaba upravljalnikov gesel, namenskih aplikacij za generiranje in shranjevanje gesel ter drugih občutljivih podatkov. Upravljalniki za vsako storitev ustvarijo močno in unikatno geslo ter ga varno shranijo. Za dostop do gesel si moramo zapomniti le eno samo glavno geslo – to pa naj bo res dolgo in unikatno. Strokovnjaki priporočajo, da uporabimo daljšo frazo (t. i passphrase): gre za naključne besede in znake, ki nekaj pomenijo samo nam. A tudi upravljalnik gesel ne ščiti pred vsemi vrstami zlorab, zato je priporočljivo, da nastavimo večfaktorsko avtentikacijo, kjer koli je to mogoče.
Strokovnjaki namesto množice gesel priporočajo uporabo upravljalnika gesel.
Ključavnica pred naslovom
Ključavnica v naslovni vrstici brskalnika oz. oznaka https v spletnem naslovu pomeni, da je povezava med brskalnikom in spletnim strežnikom zašifrirana in da nihče ne more prestrezati vsebine komunikacije. Šifriranje se izvaja s pomočjo šifrirnih ključev v strežniških certifikatih. Ti včasih niso bili tako dostopni, kot so danes, tako da veliko lažnih spletnih mest ni imelo ključavnice, kar je bilo dobro znamenje, da gre za lažno spletno stran. V današnjih časih so strežniški certifikati že nekaj običajnega, tako da imajo praktično vse spletne strani, tudi lažne, v naslovni vrstici ključavnico. Še več, nekateri spletni brskalniki niti ne prikazujejo več ključavnice, saj je ta samoumevna. Vendar gre tu le za zaščito pred prestrezanjem komunikacije, ključavnica pa prav nič ne pomaga, če je na drugi strani napadalec. Zato lahko rečemo, da je ta nasvet zastarel in ne zagotavlja večje varnosti.
Phishing hitro prepoznamo
Včasih je veljalo, da povezave v lažnih sporočilih vodijo na spletne naslove, ki so drugačni od naslova legitimne storitve. Tako smo lahko hitro ugotovili, ali je povezava prava ali ne. Delno to velja še danes, toda napadalci v phishing napadih čedalje pogosteje zakupijo domeno, ki je zelo podobna domeni ciljane storitve. Ime domene se lahko razlikuje samo po končnici ali po malenkost drugačnih črkah in besednih zvezah, tako da smo lahko uporabniki hitro zavedeni in odpremo povezavo, tudi če smo jo prej preverili.
Novo pravilo je tako, da nikoli ne odpiramo povezave v sporočilih (elektronski pošti ali esemesih), ki od nas želijo vpis kakršnih koli podatkov (uporabniška imena, gesla, telefonske številke, predvsem pa finančni podatki), ampak spletno stran vedno odpremo prek zaznamka v brskalniku, prek aplikacije ali naslov ročno vpišemo.
Nikoli ne odpiramo povezave v sporočilih, ki od nas želijo vpis kakršnih koli podatkov.
Javna wi-fi omrežja
Javna wi-fi omrežja so lahko problematična, ker ne moremo vedeti, kdo jih upravlja in kakšni so njegovi nameni. Načeloma lahko kdor koli postavi wi-fi omrežje, ki ga je dostikrat nemogoče razlikovati od drugega znanega javnega omrežja (npr. v knjižnici, letališču, hotelu ipd.). Včasih, ko velik del spletnega prometa ni bil zaščiten s šifriranimi povezavami, je bilo to lahko velika težava, saj so napadalci lahko spremljali in prestrezali vsebino komunikacije. Dandanes praktično vsa spletna komunikacija poteka prek šifriranih povezav med brskalniki in strežniki. Pozorni pa moramo biti na morebitna opozorila brskalnika, če nam javi napako ali težavo s certifikatom ali če v naslovni vrstici prikaže opozorilo s klicajem. V tem primeru izberimo drugo omrežno povezavo.
Še vedno pa velja, da je priporočljivo uporabljati povezavo VPN (navidezno zasebno omrežje), pri kateri je vsa komunikacija še dodatno zašifrirana.
Aplikacije iz uradnih tržnic so varne
Eden od osnovnih elementov zaščite naprav je, da aplikacije nameščamo le iz uradnih virov – spletnih strani proizvajalcev in uradnih tržnic z aplikacijami (Google trgovina play, AppStore, Microsoft trgovina). Predvsem za mobilne naprave velja, da aplikacij nikoli ne nalagamo iz neuradnih virov, saj lahko te pogosto vsebujejo dodatno škodljivo kodo.
Lahko pa se zgodi, da je tudi aplikacija, ki jo namestimo iz uradnega vira, škodljiva. Letos so pri SI-CERT obravnavali primere zelo nevarnih bančnih trojancev za mobilne naprave, ki so bili dostopni v Googlovi trgovini play. Aplikacije, ki so se predstavljale kot zastonjski pregledovalniki PDF-dokumentov ali aplikacije za čiščenje sistema, so vsebovale dodatno kodo, ki je prevzela nadzor nad telefonom in nekaterim uporabnikom z vdorom v mobilno banko izpraznila bančni račun. Včasih se celo zgodi, da napadalci vdrejo v sistem proizvajalca aplikacije in v kodo vstavijo škodljivi program, ki se nato širi prek uradnega vira. Ti napadi so na srečo precej redki, a vseeno se moramo zavedati, da obstajajo.
Letos so pri SI-CERT obravnavali primere zelo nevarnih bančnih trojancev za mobilne naprave, ki so bili dostopni v uradni Googlovi trgovini z aplikacijami.
Priporočamo
Predstavitvene informacije
Komentarji:
Priporočamo
