Bezpečné používanie počítača

Počítače prenikajú do nášho života čím ďalej tým vyšším tempom. To čo bolo kedysi doménou odborníkov, sa stáva bežne dostupné komukoľvek. Ale nie je to tým, že by počítače boli jednoduchšie. Práve naopak. A pre ich bezpečné používanie sú potrebné isté znalosti. V tomto článku budem hovoriť o tom čo by užívateľ mal vedieť, aby používaním svojho počítača nebol hrozbou pre seba ani pre ostatných.

Začneme tým, že odpovieme na otázku "čo je to operačný systém (OS)". Žiaden program, s ktorým sa užívateľ dostáva do styku nie je schopný fungovať bez pomoci OS. OS tvorí medzi vrstvu, ktorá leží nad hardwarom a pod užívateľským programom. Jeho základnou úlohou je vytvoriť jednotné rozhranie, ktoré potom môžu užívateľské programy používať. Táto definícia OS časom prestala byť presná a súčasťou OS sa stali aj programy, ktoré poskytujú niektoré základné služby: napr. správu súbrov, webový prehliadač, kalkulačka, textový editor a podobne

Mnohoužívateľské a mnohoúlohové systémy

Operačné systémy používané v dnešnej dobe sú mnohoužívateľské. Znamená to že umožňujú viacerým užívateľom používať systémové prostriedky počítača (processor, disk, pamäť, ...) naraz. Počítače sú rýchle a pokiaľ práve nerobia nejaký skutočne zložitý výpočet alebo spracovanie väčšieho množstva dát, tak sa nudia. Ak píšete text, tak v čase medzi napísaním dvoch písmen počítač môže urobiť stovky a tisíce iných operácií.

Väčšina užívateľov má počítač len s jednou klávesnicou, jednou myšou a jedným monitorom. To ale neznamená, že všetko čo počítač robí, robí len pre jedného užívateľa. Z pohľadu počítača je užívateľom ten, kto sa "autentifikuje" (prihlási do systému) svojím menom a heslom. To možno urobiť nie len pomocou klávesnice a monitoru ale, ak je počítač pripojený k počítačovej sieti, aj na diaľku. Každý program, ktorého spustenie iniciuje užívateľ sa stáva "procesom" a užívateľ je jeho vlastníkom. Jednou z úloh OS je strážiť aby proces (a teda jeho vlastník) nepoškodil (či už úmyselne alebo omylom) niečo (dáta, procesy, ...) iného užívateľa. Väčšina objektov v OS má svoje prístupové práva. To znamená, že s objektom (procesom, súborom, ...) je spojená informácia o tom kto k nej má prístup a kto nie. Táto informácia má často podobu zoznamu trojíc [užívateľ, druh operácie, dovolená/nedovolená].

Popísaná situácia sa komplikuje ďalším faktom: Moderné OS potrebujú poskytovať služby (prístup k súborom po sieti, tlačenie na tlačiareň, posielanie správ, ...). Táto funkcionalita je implementovaná tak, že okrem procesov spustených užívateľom, beží v OS množstvo ďalších procesov. Keďže každý proces potrebuje mať svojho vlastníka, existuje v systéme niekoľko ďalších "virtuálnych" užívateľov. No a aby to bolo ešte o niečo zložitejšie, tak niektorí užívatelia (či už virtuálni alebo skutoční) majú viac práv než iní. Spravidla existuje aspoň jeden užívateľ, ktorý je správcom systému - administrátorom. Ten kto sa prihlási ako správca systému má pomerne rozsiahle možnosti zasahovať do chodu systému - či už pozitívne alebo negatívne.

Ak sa ako správca systému prihlasuje človek, ktorý nemá potrebné znalosti môže systém poškodiť. Môže zmazať súbory s cennými dátami, môže zmazať súbory potrebné pre beh programov, môže zmeniť konfiguráciu a tak znefunkčniť niektoré podsystémy, môže rozšíriť či obmedziť prístupové práva atď atď. Preto ak nie ste expertom, je pre vás určená prvá rada: Neprihlasujte sa ako správca systému ak to nie je skutočne nevyhnutné.

Útočníci

Chyby v programoch

Písanie počítačových programov je komplikovaná vec. Aj relatívne malé programy obsahujú desať-tisíce inštrukcií popisujúcich, ako sa má program v rôznych situáciách zachovať. Napísať netriviálny program bez chýb je prakticky nemožné. Ak tvorca programu napr. urobil chybu pri načítavaní vstupných dát, môže sa stať, že to čo program dostane na vstup nebude považovať za vstupné dáta, ale za inštrukcie, ktoré má vykonať. Keďže v OS beží v každom okamihu množstvo procesov a každý z nich potenciálne obsahuje chyby, je vhodné obmedziť počet procesov v systéme na minimálnu možnú mieru. Preto rada druhá znie: Nech v systéme nebeží nič, čo nemusí. Užívateľ by mal aspoň zhruba vedieť, aké procesy mu v systéme bežia a čo robia. Ak váš počítač nerobí web server, tak nemusí bežať zodpovedajúci proces. Ak nepreposiela e-mail-y, nemusí bežať proces pre spracovanie mailov.

Vírusy

Pred desiatimi rokmi počítačové vírusy boli malinké programy. Vedeli svoj kód prilepiť k inému programu, alebo sa aktivovať počas štartu (bootovania) počítača. Písali ich často ľudia buď zlomyseľní, alebo ľudia, ktorí chceli predviesť svoje schopnosti. Cieľom vírusu bolo (okrem šírenia sa) spravidla poškodenie dát alebo pád celého systému.

Dnes je situácia iná. Vírusy sa nesnažia ničiť. Snažia sa len poskytnúť kontrolu nad počítačom svojmu tvorcovi. Sú len dva spôsoby ako sa počítač môže infikovať. Buď vírus spustí užívateľ (často nevedomky alebo omylom), alebo vírus využije chybu v niektorom systémovom procese. Tomu druhému spôsobu sa možno brániť dvoma spôsobmi - obmedzením počtu systémových procesov a ich aktualizáciou. S tým prvým spôsobom je to bohužiaľ zložitejšie. Potrebovali by sme vzdelaných, pozorných a opatrných užívateľov. Takých je nedostatok a situáciu sa snažia riešiť špecializované programy - anitvíry. Antivír však bude málo platný ak je zastaralý, nie je spustený, alebo jeho funkcionalitu užívateľ úmyselne obmedzí. Navyše antivír musí neustále kontrolovať množstvo operácií - každý prístup k súborom na disku, každý presun dát po sieti. Má teda dopad na výkon systému.

Dnešné vírusy majú niekoľko cieľov: Ľudia si často myslia, že ich počítač nie je pre útočníkov ničím zaujímavý. Uvedené príklady by vás mali presvedčiť o opaku. Hoci na vašom bankovom účte možno nie sú milióny, isto ho možno použiť na vystavenie falošnej faktúry. Hoci vám rodné číslo a číslo občianskeho nepripadajú ako údaje, ktoré treba chrániť, stačí, aby si zlodej obsataral na vaše údaje požičku či lízing a čierny peter ostane vám.

Takže na ochranu pred vírusmi platí rada tretia: neinštalujte a nespúšťajte programy, ktoré ste si sami aktívne nevyhľadali a ktorých reputáciu ste si neoverili. Pozor treba tiež dať na to, že niektoré formáty dát (textové dokumenty, tabuľky, prezentácie, webové stránky) môžu tiež obsahovať vykonateľný kód (napr. vo forme makier). Preto k dátam neznámeho pôvodu pristupujte nanajvýš opatrne.

Osobné údaje

Mnohé internetové servery požadujú aby ste im poskytli rôzne údaje, prv než vám poskytnú svoje služby. Platí to, čo bolo už spomínané vyššie. Keď raz na internete poskytnete údaje, strácate kontrolu nad tým kto a ako ich použije. Internet je celosvetová sieť, právne predpisy platné v jednej krajine, nemusia platiť v krajine druhej. Hoci vy ako užívateľ ste v krajine A, dáta môžu putovať cez krajinu B do krajiny C. Legislatívne túto situáciu nemožno ošetriť.

Tiež si treba uvedomiť, že prevádzkovateľ servera A môže byť tá istá osoba ako prevádzkovateľ servera B, hoci tieto servery na prvý pohľad nemusia mať nič spoločné. Ak jednému serveru poskytnete časť osobných údajov a druhému serveru inú časť, je možné, že ich prevádzkovateľ ich skombinuje a získa kompletný obraz.

Rôzne registračné formuláre nevedia či ste z Popradu, Žiliny a lebo Košíc. Ak napíšete, že ste Jožko Mrkvička z Kocúrkova, tak webový formulár vás neusvedčí z klamstva a nedostanete z to pokutu. Áno navádzam vás, aby ste klamali. Prečo? Pretože cieľom tohoto zbierania údajov je často ich speňaženie či využitie pre cielenú reklamu. Mnohí užívatelia to nevedia ba priam odmietajú pochopiť, ale obchod s osobnými údajmi či len e-mail adresami je obrovský biznis. Pokiaľ webová stránka potrebuje vašu e-mailovú adresu, zriaďte si e-mailovú schránku na jedno použitie. Neuvádzajte svoje pravé meno, adresu, telefónne číslo, číslo platobnej karty, rodné číslo, číslo občianskeho, pasu, životnej/zdravotnej poistky, účtu, banky ... pokiaľ to nie je nevyhnutné. Rada štvrtá poskytnutie osobných údajov je riziko, zvážte či vám to stojí za to.

Phishing

Phishing je forma útoku, pri ktorej sa útočník snaží podstrčiť svojej obeti e-mailovú správu alebo webovú stránku dôveryhodnej inštitúcie - napr. banky, poisťovne či ISP. Podvrhnutá správa či stránka sa snaží presvedčiť vás, aby ste jej poskytli prihlasovacie meno, heslo či iné osobné údaje. Ako odosielateľ správy môže byť skutočne uvedená adresa podobná e-mailovým adresám banky. Webová stránka bude mať farby vašej banky, bude na nej známe logo ... bude to presná kópia. Jediný rozdiel je, že údaje do nej zadané, pôjdu útočníkovi.

Žiadna seriózna banka nebude od vás e-mailom požadovať zaslanie hesla. Dobrá banka ani nebude do e-mailu písať URL, na ktorú máte kliknúť a zadať tam svoje údaje. Nebude vás vyzývať na zaslanie údajov na priloženú e-mail adresu, faxový či telefonický kontakt. Ak už vás bude kontaktovať cez e-mail, tak vás vyzvú: "kontaktujte svoju banku obvyklým spôsobom". Vy ste klient a vy _viete_ ako kontaktovať svoju banku.

E-mailové správy v dnešnej dobe sú (podľa môjho názoru, žiaľ ) často posielané v HTML formáte. To môže znamenať (napr. pri použití javascriptu), že neexistuje zjavný spôsob, ako spoľahlivo vedieť kam vedie linka na URL. Webové stránky dostupné cez url môžu byť presmerované na iný server napr. podvrhnutím falošných údajov DNS - ktoré hovoria o tom aká IP adresa sa skrýva pod menom www.banka_xyz.sk. Banky preto odporúčajú "používanie šifrovaného spojenia a uistenia sa o bezpečnosti spojenia sledovaním 'kľúčika'". Málokto ale už vie čo to vlastne znamená.

Šifrovanie je možné robiť mnohými spôsobmi. Niektoré sú viac bezpečné niektoré menej. Spravidla sa používa tzv. systém SSL, čím sa ale nohovorí sile/kvalite šifry. Šifra by mala byť buď symetrická aspoň 128-bitová, alebo asymetrická aspoň 1024-bitová. Informujte sa o použitej šifre vo svojej banke.

So spomínaným kľúčikom to tiež nie je také jednoduché. Kľúči, či iný indikátor hovorí o tom, že server sa prehliadaču identifikoval bezpečnostným certifikátom. Tento ceritifkát hovorí o tom, že majiteľ servera zaplatil certifikačnej autorite (CA) za vydanie certifikátu. Je na reputácii CA, že dôsledne overí či vydaný certifikát obsahuje správne údaje. Ak sa do certifkátu pozriete (čo webový prehliadač umožňuje) môžete si overiť údaje v kolonkách Issued by, Valid from a Valid unil a tiež meno a adresa na ktorú bol certifkát vydaný. Ak bol vydaný spoľahlivou známou CA, ak nevypršala jeho platnosť, ak sedí meno a adresa - máte celkom dobrú šancu, že skutočne komunikujete s tým správnym serverom. Rada piata teda je: ak používate šifru, používajte bezpečnú šifru, ak sa server identifikuje certifikátom, overte si, že je platný.