Tento článek přináší stručný přehled bezpečnosti a témat s ní souvisejících. Vzhledem k obrovské různorodosti hardwaru, instalovaných operačních systémů a programů, navíc ještě doplněné o činnost virů, hackerů, nelze zcela předvídat, co se stane, ani když použijete tu nejneškodnější radu z tohoto textu. Proto se autor zříká zodpovědnosti za jakékoliv škody, které vám v důsledku použití těchto rad vzniknou. Máte-li správce počítače, obraťte se na něj s žádostí o aplikaci těchto rad. Nemáte-li správce, pak než něco uděláte, zálohujte, zejména data. Nejste-li si jisti, obraťte se na odborníky.
Dokument se zabývá technickými možnostmi ochrany. Některé tyto možnosti (např. šifrování) však mohou být v některých zemích nelegální a zakázané zákonem. Před jejich použitím si tedy ověřte jejich legálnost ve vaší zemi. Opět se zříkám jakékoliv odpovědnosti za vše, co vám způsobí použití těchto technických prostředků v rozporu se zákonem.
Psychologické útoky
Jedním z technicky nejsnadnějších a přitom velmi účinných útoků je útok psychologický. Spočívá v tom, že jste pod vhodnou záminkou vyzváni k zadání citlivých údajů nebo účasti v různých zajímavých transakcích.
Vylákání údajů
Příkladem, který vás může stát desítky tisíc korun, může být např. takzvaný phishing. Spočívá v tom, že dostanete e-mailem dotazník, který vás nabádá k vyplnění čísla platební karty, pinu, doby platnosti a dalších údajů, údajně proto, že odesílatel (tvářící se jako např. společnost VISA) je potřebuje k vyřešení nějakého problému s vaší platební kartou. Poté, co tyto údaje v dobré víře odešlete, mohou být zneužity skutečným autorem mailu k vašemu okradení. Podobně vypadá i celá řada dalších dopisů, které se např. tváří, jako že jsou od administrátora vaší lokální sítě, a vyzývají k zaslání vašeho hesla, protože potřebuje cosi vyřešit s vaším (síťovým) účtem. K tomu lze říci jen to: Jsou to všechno podvody. Banka samozřejmě číslo vaší platební karty zná, zná i její dobu platnosti a vše další. PIN banka NIKDY znát nepotřebuje. Podobně administrátor sítě sice vaše heslo nezná a obvykle nemůže zjistit, ale obvykle může manipulovat s vašimi nastaveními a daty a vůbec vším, co se týká vašeho síťového účtu, bez jeho znalosti. Proto pokud vám takový mail přijde, ignorujte ho. Bez výjimek.
Mnoho virů se dnes šíří tak, že vám přijde mail s přílohou, kterou musíte vy sami ručně spustit. Teprve poté, co toto uděláte, bude váš počítač zavirován. Vrcholem tohoto přístupu je virus, který se šíří v zaheslované příloze, takže pronikne sebelepším antivirem, a v textu zprávy je uvedeno něco jako „Otevřete přílohu a pro její rozbalení zadejte heslo XYZ“. Jakkoliv se to může zdát neuvěřitelné, tento virus se skutečně šíří a to pouze a jenom díky tomu, že uživatelé, kterým přijde, si neuvědomí, že zpráva je podezřelá. Podobně existuje virus, který se šíří jako příloha mailu, který se tváří jako upozornění poslané Microsoftem a obsahující poslední bezpečnostní záplaty. I tento virus si pravděpodobně musíte sami ručně spustit a sami ručně nainstalovat v dobré víře, že jde o skutečné bezpečnostní záplaty. Zde je třeba si uvědomit jednu věc: zfalšovat odesilatele e-mailu vůbec není problém. Proto to, že v kolonce odesilatel je napsán váš známý nebo společnosti jako VISA nebo Microsoft neznamená, že tito jsou skuteční odesilatelé. Jak už bylo řečeno, správce sítě nebo VISA nepotřebuje, abyste zadávali své heslo nebo pin do jakéhosi formuláře, mohou veškeré opravy dělat bez jeho znalosti. Podobně Microsoft ani žádná jiná solidní společnost nerozesílá lidem záplaty ani jakékoliv jiné upgrady mailem sama od sebe. Je možné, že dostanete mail skutečně od Microsoftu a skutečně obsahující bezpečnostní záplaty -- ale to jen a pouze tehdy, pokud jste se zaregistrovali do příslušných mailing listů apod. Pokud jste nikdy nic takového nedělali, veškeré takové maily mažte, protože jsou to bez výjimky viry. Skutečné slušné společnosti neposílají nevyžádané maily milionům uživatelů, ale jen těm, kteří se výslovně zaregistrovali a vyjádřili své přání takové maily dostávat.
Dostanete-li mail známého, je také dobré si ho před spuštěním příloh prohlédnout. Většina vašich známých asi budou Češi. Myslíte, že vám budou psát dopisy anglicky? (Naprostá většina zavirovaných mailů je anglicky.) Podobně vám asi nebudou naprosto cizí lidé s česky znějícími jmény psát anglické maily s textem jako „See my photos“ („Podívej se na moje fotky“). Současné mailové viry postupují tak, že z napadeného počítače rozesílají stovky a tisíce mailů se svými kopiemi. Přitom jako adresu odesilatele obvykle použijí buď adresu toho, z jehož počítače se rozesílají, a nebo náhodně vybranou adresu z jeho adresáře. Tedy pokud vám přijde mail, který je jakkoliv podezřelý, je lépe ho neotevírat a odesilatele se zeptat, zda ho skutečně odeslal on a zda vám skutečně dnes ráno posílal fotky ze včerejší párty, jak se píše v mailu.
Nigerijské dopisy
Dalším značně rozšířeným příkladem jsou takzvané nigerijské dopisy. Jejich struktura je v podstatě následující:
Vážená paní, vážený pane, jsem pracovníkem banky v ... . Před 20 lety si u nás americký občan John Smith uložil 20.000.000 USD (dvacet milionů dolarů). Pokud by si tyto peníze nevybral do 31.12. tohoto roku, vklad propadne naší zkorumpované vládě. Proto jsme hledali jeho nebo jeho příbuzné, ale ani on, ani jeho přímí příbuzní již nežijí. Nalezli jsme pouze jeho nejlepšího přítele, který však nemá nárok na dědictví. Protože nechceme, aby tyto peníze propadly naší vládě, rozhodli jsme se je tajnou operací převést tomuto jeho příteli. Bohužel k tomu potřebujeme nějaký účet mimo naši banku, který k transakci použijeme. Dovolujeme si proto s důvěrou obrátit na Vás a požádat Vás, zda byste nám neposkytl(a) svůj účet. Za tuto laskavost dostanete provizi ve výši 10\% z převedené částky, tedy 2.000.000 USD (dva miliony dolarů). Máte-li zájem ..........
Tyto dopisy jsou samozřejmě podvrh. Není příliš pravděpodobné, že někdo, kdo by vážně chtěl převádět 20 milionů USD z Nigérie, by se skutečně obrátil zrovna na vás. Pokud tedy váš otec není velmi dobrým známým šéfa nigerijské národní banky. Pokud na tento dopis naletíte, mohou následovat v podstatě tři scénáře. První spočívá v tom, že budete vyzváni, abyste poslali pár (desítek či stovek) tisíc na dořešení nějakých drobných detailů celé transakce. Samozřejmě že poté, co je pošlete, celá transakce skončí a žádných 20 milionů Vám nepřijde. Druhý scénář spočívá v tom, že vám bude napsáno, že je třeba dojednat nějaké detaily a kvůli tomu musíte do Nigérie. Poté, co tam odletíte (je možné, že peníze na cestu tam dostanete od podvodníků), budete víceméně uneseni a budete se muset ze svého zajetí vykoupit tím, že na účet těchto podvodníků převedete nemalou částku. Teprve poté budete propuštěni a budete se moci za své peníze vrátit domů, chudší o pár set tisíc. Třetí možností je, že váš účet bude zneužit k nelegálním transakcím jako je praní špinavých peněz.
Proč se těmto dopisům říká nigerijské - jednak první takové dopisy, ještě v dobách, kdy nebyl internet, chodily v papírové podobě právě z Nigérie. A jednak proto, protože jako země, v níž si dotyčný pán uložil své dolary, typicky vystupuje Nigérie, případně je tam nějak jinak zmíněna. Není to nutné, ale je to velmi časté.
Hoaxy
Na internetu se šíří celá řada planých poplachů (hoaxů). Krásnou ukázkou je zpráva, která mi chodí pravidelně cca každých půl roku, a která tvrdí, že nějaká holčička nutně potřebuje asi 100.000 USD na operaci rakoviny. A její otec, který nemá peníze, sháněl sponzory. Sehnal firmy AOL a Netscape, které se zavázaly, že za každý mail s touto zprávou, který pošlete svým přátelům, zaplatí na příslušné konto 1 cent. Tento mail je samozřejmě falešný poplach a nesmysl. Nemá cenu zde zabíhat do technických podrobností, ale jakmile někde uvidíte, že se někdo zavázal zaplatit nějakou částku za každý mail s touto zprávou, který pošlete, tak ten mail klidně ignorujte. Takový závazek je totiž technicky nesplnitelný, nerealizovatelný. Prostě to technicky nejde. Nemluvě o legálních, morálních, ekonomických dalších problémech s ním spojených.
Podobně se pravidelně šíří hlášky typu „Micorosoft a AOL varují před tím, že v souboru XYZ.EXE na vašem disku se skrývá virus, který ještě žádný antivir nedetekuje. Virus odstraníte tím, že tento soubor smažete. Prosíme, rozešlete všem svým přátelům.“ Tento soubor je ve skutečnosti obvykle nějaký systémový soubor, který má netypické jméno. Rozhodně ne virus. Nejlepší, co můžete s takovým mailem udělat, je ignorovat ho. Stáhněte si poslední aktualizace antivirového programu, proskenujte svůj počítač a pokud antivir nic nenajde, buďte klidní.
Proč řadím tyto falešné poplachy mezi psychologické útoky? Tak zaprvé je to skutečný útok na vás, na vaši psychiku. Komu je to příjemné, když mu chodí maily, jak zachránit umírající holčičku? Za druhé, tyto falešné poplachy produkují neuvěřitelné množství internetového provozu a zbytečně zahlcují sítě a zpomalují provoz. Je možné, že mohou vést až ke zhroucení poštovních serverů, které prostě nevydrží nápor. Za třetí, čtení těchto mailů vás zdržuje a snižuje vaši produktivitu v práci. Čili tyto maily produkují skutečné měřitelné ekonomické škody. Za čtvrté, pokud v dobré víře, že je to virus, skutečně smažete systémový soubor, může to mít následky pro funkčnost vašeho počítače.
Dalším případem falešných poplachů jsou různé emailové petice typu Brazilská vláda bude za týden projednávat zákon, který umožní další kácení deštných pralesů. Můžete se připojit k této elektronické petici proti. Máte-li zájem, připište své jméno a emailovou adresu na konec tohoto seznamu. Budete-li pětistý v pořadí, prosíme pošlete mail na adresu XYZ. Prosíme, pošlete mail všem svým přátelům, je to důležité. Tento mail nejenže má všechny tři příznaky škodlivosti, které jsem uvedl výše. On má ještě čtvrtý. Pokud totiž adresa, na niž máte mail jako pětistý v pořadí poslat, bude skutečně funkční, bude téměř jistě patřit někomu, kdo sbírá adresy pro spammery -- tedy pro lidi, kteří vám pak budou každý den posílat několik nevyžádaných reklamních mailů typu „Prodlužte si penis o dvacet centimetrů.“ Jistě nechcete, abyste se vy nebo vaši přátelé v takových databázích objevili (oni si vás stejně najdou jinak, ale to je druhá věc). Obecně se dá říci, že petice, kam máte napsat pouze svoje jméno a emailovou adresu, je podvrh. Podíváte-li se např. na náležitosti petice dle příslušných zákonů ČR, zjistíte, že jméno a e-mail nestačí. Vzhledem k tomu, jak snadno se dá vytvořit desítky mailů a falešných identit pro tutéž osobu (nebo dokonce pro neexistující osobu), pochybuji, že kdekoliv na světě by jméno a mail stačily k uznání petice.
A na závěr ještě jednu důležitou informaci: pokud se neumíte rozhodnout, zda daný mail je nebo není falešný poplach, řetězový mail atd., zkuste navštívit stránky jako www.hoax.cz, www.urbanlegends.com a podívat se, zda mail, který jste dostali, již náhodou není v databázi známých falešných poplachů. Případně navštivte www.google.com a zadejte příslušná klíčová slova. Obvykle tím velmi rychle naleznete odkazy na přesně takový mail, jako jste dostali, s vysvětlením, že a proč je to falešný poplach.
Autor se zabývá zakázkovým vývojem software, elektroniky a optiky.
V druhém díle rozebereme volbu hesla a odposlech, sledování a kradení údajů.
