Nacionalni odzivni center za kibernetsko varnost SI-CERT je pripravil seznam varnostnih nasvetov, ki jih velja upoštevati v letu 2025. Na seznamu so še posebej veliko pozornost posvetili praksam, na katere so varnostni strokovnjaki nekoč prisegali, a so izkušnje pokazale, da se zaradi takšnih in drugačnih razlogov ne izidejo.
Redno menjavanje gesel ali ne?
Prvi takšen primer je še dokaj razširjeno navodilo varnostnih strokovnjakov v podjetjih, naj zaposleni gesla menjajo vsake tri mesece. Pri ameriškem uradu za standardizacijo tehnologij NIST pravijo, da je takšno početje praviloma povzročalo zlasti zmedo pri uporabnikih, ki so zaradi pogostega menjavanja gesel vse bolj posegali po takšnih, ki so si jih enostavno zapomnili. Takšna gesla pa običajno niso najbolj varna. Zato svetujejo, naj se raje uporablja namenske aplikacije za generiranje in shranjevanje gesel. Te aplikacije za vsako storitev ustvarijo močno in predvsem unikatno geslo, in ga nato tudi varno shranijo. Si pa moramo za dostop do gesel še vedno zapomnit glavno geslo, ki naj bo res zelo dolgo in unikatno.
Za še večjo varnost lahko uporabimo še napravice, kot je yubikey, ki omogoča dvofaktorsko avtentikacijo za dostop do urejevalnika gesel s pomočjo prstnega odtisa.
Če že ustvarjamo svoje lastno geslo, pa strokovnjaki še vedno predlagajo uporabo daljših fraz, ki vsebujejo velike in male črke, še kakšno številko in kakšen poseben znak.
Ali ključavnica ob spletnem naslovu še kaj pomeni?
Druga zastarela varnostna praksa je zanašanje na ikono ključavnice ali oznake https v naslovni vrstici brskalnika. To označuje, da je povezava med brskalnikom in spletnim strežnikom zašifrirana, in da nihče na prenosni poti ne more prestrezati vsebine komunikacije, a hudič je v podrobnostih. Ikona ključavnice nič ne pomaga, če na drugi strani varnega tunela stoji nepridiprav.
»Šifriranje se vrši s pomočjo šifrirnih ključev v strežniških certifikatih. Ti včasih niso bili tako dostopni, kot so danes, tako da mnogo lažnih spletnih mest ni imelo ključavnice. In to je bil precej dober indikator, da je spletna stran, na kateri moramo vpisati svoje geslo, lažna,« pojasnjujejo pri SI-CERT. »V današnjem času so strežniški certifikati postali nekaj povsem običajnega, tako da imajo praktično vse spletne strani, tudi lažne, v naslovni vrstici ključavnico. Celo več, nekateri spletni brskalniki niti ne prikazujejo več ključavnice, saj je ta samoumevna.« Ob tem pri SI-CERT izpostavljajo, da je k tej težavi pripeljala napačna zasnova sistema overiteljev potrdil (CA, Certificate Authority).
Nas mora biti strah avnih omrežij wifi?
Kar je slabo za prepoznavanje lažnih spletnih strani, je po drugi strani koristno za varnost pri uporabi javnih omrežij wifi. Za ta je nekoč veljalo, da so lahko problematična, saj ni bilo mogoče vedeti, kdo z njimi upravlja ter kakšni so njihovi nameni.
Če se povežemo na kakršnokoli javno omrežje, se moramo namreč zavedati, da lahko naš omrežni promet spremljajo upravljavci tega omrežja, ti pa imajo lahko tudi škodljive namene. Kot pojasnjuje SI-CERT, nekoč velik del spletnega prometa ni bil zaščiten prek šifriranih povezav. Tedaj je uporaba javnih omrežij lahko predstavljala veliko težavo, saj so napadalci lahko spremljali in prestrezali vsebino komunikacije. »Vendar pa v današnjem času praktično vsa spletna komunikacija poteka preko šifriranih povezav med brskalniki in strežniki, tako da tudi če smo povezani v zlonamerno omrežje, je vsa naša komunikacija še vedno varna. Pozorni pa moramo biti na morebitna opozorila brskalnika, če nam ta javi neko napako ali težavo s certifikatom ali pa če v naslovni vrstici prikaže opozorilo s klicajem. Tako opozorilo lahko kaže tudi na poskus prestrezanja prometa. V tem primeru raje izberimo drugo omrežno povezavo. Za dodatni nivo zaščite lahko poskrbimo tudi sami z uporabo povezav VPN, pri katerih je vsa komunikacija še dodatno zašifrirana,« svetujejo pri SI-CERT.
Si lahko pomagamo z imenom domene?
V pozabo naj gre tudi stara strategija za prepoznavanje sumljivih povezav v sporočilih. »Včasih je veljalo, da povezave v lažnih sporočilih vodijo na spletne naslove, ki so povsem drugačni kot naslov legitimne storitve. Na ta način smo lahko precej hitro ugotovili, ali je povezava prava ali ne. Delno to velja še danes, vendar pa napadalci čedalje pogosteje v phishing napadih zakupijo domeno, ki je zelo podobna domeni ciljane storitve,« opozarjajo pri Si-CERT. »Ime domene se lahko razlikuje zgolj po končnici ali po malenkost drugačnih črkah in besednih zvezah. Uporabniki pa seveda ne vemo, katere vse domene uporablja neka storitev, tako da smo lahko precej hitro zavedeni in odpremo povezavo, tudi če smo jo prej preverili.« Kot novo pravilo pri SI-CERT navajajo, naj nikoli ne odpiramo povezave v sporočilih (elektronski pošti ali SMS-sporočilih), ki od nas želijo vpis kakršnihkoli podatkov (uporabniška imena, gesla, telefonske številke, predvsem pa finančni podatki), ampak spletno stran vedno odpremo prek zaznamka v brskalniku, prek aplikacije ali pa naslov ročno vpišemo.
Previdnost pri aplikacijah ni nikoli doveč!
Še naprej se splača zavedati, da so nepridipravi spretni in znajo včasih za kratek čas prelisičiti tudi varnostne ukrepe največjih podjetij. Tudi varnostne preglede tehnoloških velikanov, kot so Google, Apple in Microsoft. Slednji dajo zeleno luč aplikacijam, ki jih lahko naložimo z njihovih uradnih tržnic, šele ko jih preverijo za zlonamerno kodo. »Vendar pa se lahko zgodi, da je tudi aplikacija, ki jo namestimo iz uradnega vira, škodljiva,« opozarjajo pri SI-CERT. »Letos smo obravnavali primere zelo škodljivih bančnih trojancev za mobilne naprave, ki so bili nekaj časa dostopni v Google Play trgovini. Aplikacije, ki so se predstavljale kot zastonjski pregledovalniki dokumentov PDF ter aplikacije za čiščenje sistema, so vsebovale dodatno kodo, ki je prevzela nadzor nad telefonom in nekaterim uporabnikom izpraznila bančni račun preko vdora v mobilno banko. Včasih pa se celo zgodi, da napadalci vdrejo v sistem proizvajalca aplikacije, v kodo vstavijo svojo škodljiv program, ki se potem širi preko uradnega vira. Ti napadi spadajo v kategorijo napadov na dobavne verige in so na srečo precej redki. Vseeno pa se moramo zavedati, da obstajajo.«
