Bezpečne na Internete

alebo

Ako sa nenechať oklamať na Internet-e

Občas sa v správach vyskytne reportáž o tom, ako sa ľudia nechali dobehnúť na Internete. Občas to skončí podvodom a stratou nejakých eur, občas krádežou identity. Navyše sa v reportážach vyskytujú "rady", ktoré skutočne patria medzi úvodzovky. Na Internet-e sa pohybujem už 15 rokov a chcem vám v tomto článku ponúknuť pár tipov, ako sa takýmto problémom vyhnúť. Hneď na začiatku musím upozorniť, že tento článok nebude o nekonkrétnych radách typu "choďte len na dôveryhodné webové stránky" či "aktualizujte si antivír" alebo "používajte firewall". Napriek tomu sa budem snažiť zbytočne nezachádzať do technických detailov. Tento článok je skôr určený počítačovým nováčikom, než pokročilým. V prvej časti sa budem venovať webovému prehliadaču, v druhej sa pozrieme na e-mail.

Web

Rada prvá - všimnite si ako komunikujete

Mnohým problémom sa dá vyhnúť ak budete pozorní.

  • Všimnite si titulok okna/záložky
  • Všimnite si text v URL
  • Všimnite si text v stavovom riadku

URL To, čo webový prehliadač zobrazuje, je (zjednodušene povedané) obsah HTML súboru - dokumentu. To, kde je ten dokument uložený, popisuje to, čo sa spravidla nazýva URL (alebo tiež URI). Toto URL je zobrazené zvyčajne vo vrchnej časti okna prehliadača.

Okrem textu v HTML dokumente môže byť povedané "na tomto mieste zobraz obrázok" či "na tomto mieste zobraz video" alebo "pri kliknutí na toto slovo prejdi na inú stránku" - tzv. linka. Vo všetkých týchto prípadoch je informácia o tom, kde ten obrázok/video vziať alebo na akú stránku prejsť, popísaná takisto v URL. URL obrázku/videa na prvý pohľad nikde nevidno. URL linky sa zvyklo zobrazovať v stavovom riadku:
url thumbnail Žiaľ, v poslednej dobe sa objavili nápady odobrať z prehliadača políčko URL v snahe pridať vertikálny priestor, v ktorom môže byť zobrazená samotná webová stránka. Tiež sa čoraz častejšie vyskytuje situácia, kedy sa cieľ linky pred užívateľom schováva. Webový prehliadač totiž už dávno nie je len nástroj na zobrazovanie textu a obrázkov. Jeho prevažnú časť tvorí spracovanie JavaScript-u. To je programovací jazyk, vďaka ktorému webové stránky dostávajú dynamiku. Príkazy v tomto jazyku sú súčasťou webovej stránky a váš webový prehliadač tieto príkazy môže vykonať. V podstate zobrazovanie textu či obrázkov z webovej stránky je pomerne jednoduchá vec. A prevažná časť browsera sa stará o spracovanie JavaScript-u. Ten meniť farbu textu, kontrolovať správnosť údajov vo webovom formulári a mnoho iných užitočných funkcií. Ale je možné ho použiť aj napr. na upravenie stavového riadku keď sa kurzor nachádza nad hypertextovou linkou. V ňom sa spravidla zobrazuje URL, na ktorú linka vedie. Prečo je URL dôležitá? Prezrádza nám 2 veci: protokol a meno servera. Protokol je informácia o tom, akým spôsobom sú prenášané dáta medzi vašim prehliadačom a serverom, z ktorého berie HTML dokument, obrázky, videá, atď. Najčastejšie používaným protokolom je HTTP. Jeho podstata spočíva v tom, že prehliadač pošle "daj mi dokument/obrázok/... na URL takej-a-takej" a server odpovie príslušnými dátami. Okrem jednoduchej situácie, kedy browser pošle URL, ktorú požaduje, môže poslať aj informáciu zo vstupných políčok, ktoré na webovej stránke môžu byť. Hovorím o políčkach, kam môžete napísať svoje meno, adresu, informáciu o veku, či to, že ste muž alebo žena. To, čo do stránky naťukáte a odošlete, sa prenáša ako súčasť požiadavky na webový server. S tým sú spojené dva problémy. Prvý z nich je, že táto informácia sa prenáša nešifrovaná. To znamená, že každý počítač (a je ich neúrekom), cez ktorý táto požiadavka prejde, tieto informácie vidí, môže ich prečítať, uložiť, spracovať, použiť. Riešením tohoto problému je HTTPS Jeho princíp spočíva v tom, že si browser najprv vypýta od servera šifrovací kľúč a všetky požiadavky posielané na tento server sa pred odoslaním najprv týmto kľúčom zašifrujú. Prehliadač tiež pošle svoj vlastný šifrovací kľúč a server ho použije na to, aby ním zašifroval dáta, ktoré prehliadaču posiela. Super. Má to dve chyby: Na jednej stránke je hromada obrázkov a všeličoho iného, čo je sprístupňované cez ďalšie URL. Nikde nie je povedané, že ak HTML dokument berieme zo servera S, tak všetko potrebné pre zobrazenie toho dokumentu je tiež brané zo severa S. Práve naopak - často to tak nie je. Takisto linky zo stránky na URL používajúcej HTTPS môžu viesť na URL, ktorá používa len HTTP. Prečo každý nepoužíva HTTPS? Pretože je náročnejšie na výpočtový výkon servera a pri populárnych stránkach sa to rýchlo nazbiera. Tiež na to server potrebuje zakúpiť tzv. bezpečnostný certifikát a to sa mnohým neoplatí. Komunikáciu spravidla používajú banky, poisťovne, úrady pre odosielaní osobných údajov.

Druhý problém, ktorý ani HTTPS nerieši je to, že vlastne nevieme s akým serverom sa náš prehliadač vlastne baví. Spomínate si? Dve dôležité veci sú v URL: protokol a server.

Rada druhá - všimnite si s kým komunikujete

Často je možné podvodnú stránku odhaliť, ak si všimneme meno servera, na ktorom je stránka umiestnená, či na ktorý vedie linka. V ukážke URL na obrázku hore je meno servera "www.w3.org". Toto meno je zložené z viacerých častí. To čo je za poslednou bodkou je

TLD.
Existujú mnohé TLD niektoré sú generické iné národné
comkomerčné organizácie
orgnekomerčné organizácie
eduorganizácie pôsobiace v oblasti vzdelávania
netorganizácie súvisiace s infraštruktúrou Internet-u
milrezervované pre americkú armádu
govrezervované pre americkú vládu
skSlovensko
czČesko
ruRusko
cnČína
euEurópska Únia
......

Tradične bol zoznam TLD domén obmedzený, ale tieto pravidlá sa začínajú uvoľňovať a v blízkej budúcnosti uvidíme .bank, .travel, .info, .xxx a mnohé ďalšie. Rovnako sa uvoľňujú pravidlá pre názvy domény druhej úrovne - teda to, čo je medzi poslednou a predposlednou bodkou - kde sa plánuje povolenie IDN, teda aj znakov z arabskej, japonskej, čínskej abecedy a mnohých ďalších. To prináša problémy, pretože rozoznať napr. azbukové písmeno р od našeho p asi nebude ľahké, však.

Dôležité je, že nikde nie je povedané, že majiteľ stránky s TLD .sk je na Slovensku, majiteľ stránky .cz je v Česku a majiteľ stránky .com je v USA. To vôbec neplatí. Ako teda zistíme, komu patrí doména? Aby doménu a server na nej bolo možné nájsť na Internete, musí tú doménu niekto vlastniť, resp. niekto kúpiť. Existuje organizácia IANA, ktorá v spolupráci s regionálnymi registrátormi (tých je 5) udržiava v tomto systéme poriadok. Každá krajina dostala od regionálneho registrátora svoju národnú doménu a každý, kto chce mať svoju doménu druhej úrovne pod nejakou TLD, sa musí dohodnúť so správcom tej TLD. To znamená, že napr. doménu .sk spravuje SK-nic. V spolupráci s ním rôzni registrátori predávajú jednotlivé domény. Takýmito registrátormi sú napr. ISP, alebo prevádzkovatelia web-hostingových firiem a podobne. Samozrejme, hľadať registrátora a žiadať od neho informácie by bolo nepraktické a preto existuje služba whois. Je to služba na rovnakej úrovni ako http či e-mail. Skrátka program pošle požiadavku špecializovanému whois-sever-u a ten odpovie údajmi o doméne. Tento program často nie je súčasťou desktopového OS, ale našťastie existujú webové stránky, ktoré túto službu poskytujú. Táto služba nám napr. prezradí, že doména w3.org bola vytvorená v júli 1994 a jej majiteľom je organizácia W3C v meste Cambridge v štáte MA (Massachusetts) v USA. Informácie tohoto druhu nám teda umožňujú zistiť ako dlho doména existuje a kto ju vlastní. V kombinácii s týmto by som rád upozornil na stránku Obchodného registra SR, kde sa môžete dočítať o firmách podnikajúcich na Slovensku, ich majiteľoch, konateľoch, dátume vzniku či predmete podnikania. Podľa štúdie ICANN z roku 2010 asi tretina z domén pod piatimi najväčšími TLD obsahuje nesprávne údaje vo whois záznamoch. Napriek tomu je šanca, že údaje z nej vám môžu byť užitočné.

Rada tretia - premyslite si, komu veriť

IE thumbnail
FF thumbnail
Chrome thumbnail
Opera thumbnail

Služba whois spomínaná v prechádzajúcom odstavci nie je jediným nástrojom, ktorý dovoľuje overiť totožnosť servera. Pri použití šifrovaného spojenia sa server predstaví vášmu prehliadaču tzv. bezpečnostným certifikátom. Tento certifikát je špeciálny elektronický dokument, ktorý prevádzkovateľ servera dostane od certifikačnej autority. CA je organizácia, ktorá sa živí tým, že overuje totožnosť žiadateľov o bezpečnostný certifikát a následne im tento certifikát vydá. Aby to nebolo také jednoduché, tak certifikát nesie so sebou meno subjektu, ktorému bol certifikát vydaný (teda spravidla meno a adresu človeka či firmy) a predovšetkým obsahuje tiež elektronický podpis. Váš prehliadač obsahuje certifikát CA. Elektronický podpis a certifikát CA vo prehliadači spolu dovoľujú overiť pravosť certifikátu vydaného webovému serveru - teda určiť, či je to skutočne ten certifikát, ktorý CA vydala. CA teda funguje ako akýsi dôverník, ktorý nám potvrdí alebo vyvráti totožnosť toho, kto sa certifikátom preukazuje. V praxi sa môžete stretnúť s reťazou certifikátov, kedy CA1 potvrdzuje platnosť certifikátu CA2 a tá potvrdzuje platnosť certifikátu CA3 ... až na konci je certifikát klienta. Je to akási stromová štruktúra CA, pričom by mala končiť dôveryhodnou CA. Populárnymi CA sú firmy Verisign, Comodo, Entrust, Equifax, GlobalSign či Thawte.

Vytvorenie certifikátu je technicky jednoduchá záležitosť. So správnymi nástrojmi a znalosťami to zvládne ktokoľvek. Problém je skôr presvedčiť ľudí o tom, aby CA a certifikátom ňou vydaným dôverovali. Populárne CA si svoju reputáciu budovali roky a je to ich hlavný obchodný artikel. Napriek tomu sa vyskytujú "malé, domácke" CA. Neznamená to, že sú podvodné. Len jednoducho niekto nepotrebuje kupovať drahý certifikát od svetoznámej CA a pre dané účely mu stačia. Prenos informácií medzi vaším prehliadačom a serverom je šifrovaný, ale nemáte istotu o identite servera na druhej strane spojenia. Tiež sa môžete stretnúť s pojmom "self-signed certifikát" - je to certifikát, ktorý sám o sebe tvrdí, že je pravý. Pokiaľ sa s takýmito certifikátmi stretnete, môže sa stať, že vás prehliadač vyzve na zaradenie takejto CA alebo takéhoto certifikátu do zoznamu CA resp. certifikátov, ktorým váš prehliadač dôveruje.

certificate window Na Slovensku máme zákon 215/2002 o elektronickom podpise, ktorý stanovuje, že vrcholom stromu pre právne záväzné dokumenty na Slovensku je NBÚ. Tá vydala certifikáty niekoľkým CA a Akreditovaným CA na Slovensku, ktoré potom následne vydávajú CA jednotlivým žiadateľom. Môže sa stať, že na to, aby ste mohli overiť certifikát nejakého servera, budete si do prehliadača musieť najprv nahrať (importovať) certifikát CA, ktorá ho vydala.

Samozrejme ani systém CA nie je dokonalý - predovšetkým, ak to CA odflákne. Ako napríklad DigiNotar v Holandsku v roku 2011, ktorá zanedbala ochranu svojich systémov, následkom čoho stratila dôveru na trhu a zbankrotovala. Jej certifikát bol následne odstránený z prehliadačov v rámci ich aktualizácie.

A ako sa vlastne na certifikát pozrieme? To závisí od použitého prehliadača. Viď obrázky vpravo. Pri použití protokolu HTTPS, sa spravidla niekde objaví symbol visacieho zámku. Kliknutie na symbol otvorí okno s dodatočnými informáciami o certifikáte. V ňom by sme si mali predovšetkým všimnúť, komu bol certifikát vydaný(angl. "Common name" sa musí zhodovať s menom servera, položka "Organisation" je meno firmy), kto ho vydal (angl. Issued by) a dátumy jeho vydania a expirácie. Okrem týchto údajov tu nájdeme aj tzv. elektronický odtlačok (angl. Fingerprint) - to je séria písmen a číslic, ktoré umožňujú odkontrolovať identitu certifikátu iným komunikačným kanálom. Na Slovensku sa to veľmi nepraktizuje, ale po správnosti by sme si mali tento odtlačok overiť. Napr. by nám ho mali byť na požiadanie schopní poskytnúť v banke. V civilizovanom svete sa odtlačky napr. prikladajú do výpisu z účtu, pätičky faktúry, alebo sú publikované v dennej tlači. Dôležité je overovať ich z nezávislého zdroja informácií. Už som sa stretol s tým, že mi odtlačok v banke chceli vytlačiť z webovej stránky tej banky.

Rada štvrtá - technicky zdatného užívateľa je ťažšie oklamať

Ako sme už v závere predchádzajúceho odstavca videli, elektronická bezpečnosť kladie isté nároky aj na technickú zdatnosť užívateľa. Neverte tomu, že existuje jednoduché riešenie, ktoré akoby mávnutím čarovného prútika vyrieši bezpečnosť za vás. Bez istých technických znalostí to nepôjde. Napr. na začiatku tohto článku sme hovorili o URL. Jej časťou je meno servera, s ktorým komunikujeme. Toto meno sa však nepoužije priamo na vyhľadanie servera a nadviazanie komunikácie. Najprv sa musí premeniť na IP adresu. To sa udeje pomocou DNSSEC verification DNS. Prehliadač najprv kontaktuje DNS server a požiada ho o preloženie mena servera z URL na IP adresu. Ak by váš server použil DNS server, ktorý ovládol útočník, tak meno môže byť preložené na IP adresu iného - falošného servera. Moderná doba prináša riešenie aj pre tento problém a tým je elektronický podpis DNS záznamov - DNSSEC. Ten funguje (zhruba) tak, že operačný systém má od výrobcu v sebe elektronický kľúč umožňujúci overiť platnosť informácií o DNS serveroch TLD. Od nich si potom OS môže vypýtať kľúče pre overenie odpovedí od DNS serverov na nižších úrovniach. To, či používate DNS servery s takýmto zabezpečením, sa môžete napr. dozvedieť na stránkach správcu Českej národnej domény. Ak je všetko v poriadku, tak na stránke uvidíte zelený kľúčik, inak červený. Systém DNSSEC funguje pre mnohé TLD . Žiaľ, správca slovenskej TLD túto oblasť zanedbáva a servery v doméne .sk týmto spôsobom overiť nemožno.

Rada piata - nie je všetko zlato, čo sa blyští

Entrust seal
GlobalSign seal
Niektoré webové stránky vás chcú presvedčiť o svojej dôveryhodnosti použitím najrôznejších trikov. Napr. firma Verisign, spomínaná vyššie, ponúka zákazníkom obrázok - pečať, ktorý môžu umiestniť na svoju stránku. Tento obrázok po kliknutí vedie na stránky Verisign, a tá vám povie, či ručí za pravosť stránky s obrázkom alebo nie. Samozrejme podvodník na svoju stránku takisto rád umiestni obrázok, aby vás presvedčil o svojej dôveryhodnosti. Pokiaľ vás obrázok nezavedie na webové stránky jednej zo globálnych CA, ktoré potvrdia platnosť pečate, neznamená vôbec nič. Verisign seal

Rada šiesta - niekedy je dôležité aj to, čo neexistuje

Doteraz sme sa prevažne venovali technickým prostriedkom umožňujúcim posúdiť dôveryhodnosť webovej stránky. Naopak, malé Internetové obchody, inzertné stránky - tam sa musíme spoľahnúť na obsah stránok samotných. Napríklad to, čo tam nie je, alebo malo by byť. Napríklad na serióznej stránke by nemal byť problém nájsť meno firmy, ktorá ju prevádzkuje. Jej úplné meno, adresu. Takisto kontaktné informácie, ako telefón, e-mail alebo kontaktný formulár. Tiež by nemali chýbať informácie o všeobecných obchodných podmienkach, dodacích lehotách, poplatkoch za dopravu, možnosti reklamácie atď. Prípad so 60-eurovými webmi na Slovensku sa napr. týkal webu, ktorého všeobecné podmienky bol zobrazené ako obrázok - to znamená, že v nich nie je možné vyhľadávať text a takisto možnosť uloženia či vytlačenia je obmedzená.

Rada siedma - nedajte na klebety

Bradatý vtip hovorí, že na Internete muži sú muži, ženy sú v skutočnosti muži, a 12 ročné dievčatá sú v skutočnosti agenti FBI, ktorí sa snažia nachytať pedofilov. Skrátka na Internete takmer nikto nie je ten, za koho sa vydáva. Za starých čias si ľudia budovali svoju Internetovú identitu a boli na ňu hrdí. Nárast SPAM-u a krádeží identity sú príčinou, prečo to tak dnes už nie je. Ak čítate na Ineternete diskusný príspevok od Zuzany Novákovej, ktorá hovorí, ako je nesmierne spokojná s nákupom na webovej stránke XY, tak to byť môže pravda, ale rovnako dobre to môže byť Peter Horvát - študent, ktorému webová stránka XY zaplatila, aby písal o nej pozitívne príspevky. Alebo si príspevok urobil majiteľ stránky XY sám. To nie je nič výnimočné. Každá líška svoj chvost chváli. Niekedy je to nápadné až moc - ak napr. dotyčný používa samé superlatívy a nevidí žiadne nedostatky, alebo používa slovné spojenia zhodné s reklamnou kampaňou predajcu. Je to reklama ako každá iná. Len sa tvári, že to reklama nie je. Bežne sa s týmito praktikami napr. stretnete na stránkach ponúkajúcich cestovné pobyty, ale aj inde. Je to smutné pre novozačínajúce firmy, ale najlepšia ochrana je spoľahnúť sa na odporúčanie človeka, ktorému dôverujete. Ak k vám na ulici pristúpi človek a začne vám vychvaľovať nejaký výrobok, asi budete veriť menej, ako kaderníčke, s ktorou klebetíte každý mesiac. Skrátka použite zdravú dávku skepticizmu. To nemôže uškodiť.

Rada ôsma - tajomstvá sa nevyzrádzajú

Internet je verejná sieť. Prepája počítače po celom svete. Ak sa raz nejaká dôverná informácia dostane na Internet, nikto ju odtiaľ nikdy nedostane. Nikto a nikdy. Nezáleží na tom, čo vám tvrdí stránka, do ktorej informácie naťukáte. Nezáleží na obchodných podmienkach servera, na ktorý údaje nahráte. Firmy svoje zásady zaobchádzania s údajmi menia. Firmy krachujú a kupujú ich iné firmy. Niektorí správcovia serverov nie sú takí poctiví a niektorí zoberú do práce svoje dieťa a nechajú ho chvíľu bez dozoru. Zákony sa menia. Niektoré platia tu, trocha iné platia za hranicou a úplne iné platia na druhom konci sveta. Dátam je to jedno. Prinútiť prevádzkovateľa slovenskej firmy k zmazaniu nejakých údajov je možné. Ale ťažké a drahé. Prinútiť k tomu firmu v Číne, alebo na ostrovoch v Pacifiku by zvládol možno James Bond. Prinútiť k tomu náhodného užívateľa, ktorý sa k vašim údajom dostal náhodou či nevedomky a uložil si ich do svojho mobilného telefónu, na ktorý sa mu dostane vírus a údaj rozošle po celom svete ... no skrátka - to nejde. To, že sa z Internetu niečo zmazať dá, je jeden z omylov, ktorý sa laickej verejnosti nedá dostatočne zdôrazniť.

Prezradím vám tajomstvo:

Tajomstvo č. 1
Chcete ešte jedno? OK! Tu je:
Tajomstvo č. 2

Nie vždy je zrejmé, že to, čo dávate na Internet, je tajomstvo. Fotky z bujarej oslavy narodenín určite pobavia vašich priateľov. Avšak váš potenciálny budúci zamestnávateľ nemusí toto nadšenie zdieľať. Vaše názory na sexuálny život môžu byť moderné a liberálne, ale až ich bude čítať vaše dieťa alebo jeho pubertálni spolužiaci, to už bude iná káva. Vaše plány na dovolenku iste prídu bytovým vlamačom vhod. Vaše e-maily bývalej spolužiačke sa môžu hodiť rozvodovému právnikovi vašej ženy. Vaše nadšenie pre strelné zbrane môže zaujať bezpečnostnú kontrolu na letisku. Nedá sa vymenovať, koľkými nečakanými spôsobmi sa môžu informácie zvrtnúť.

Môže to byť ešte horšie? Samozrejme. Údaje o vás na Internet totiž nemusíte dať len vy. Môže ich tam dať ktokoľvek. Ohrdnutý priateľ, nespokojný zákazník či pohnevaný sused. A niet sily, ktorá by vynútila ich pravdivosť. Nie vždy za tým môže byť zlý úmysel.

Čo sa s tým dá robiť? No, pravdu povediac, nič moc. Môžete sa s tým zmieriť - ako s mnohými inými rizikami, ktoré nám v bežnom živote hrozia. Môžete tiež žiť poctivý a slušný život, za ktorý sa nikdy pred nikým nebudete musieť hanbiť. A existuje ešte jedna možnosť ako riešiť negatívne informácie na Internete: utopiť ich. Ak vyhľadávanie vašeho mena prinesie jeden-dva výsledky, ktoré sú voči vám nelichotivé, môžete vybudovať sieť stovky iných blogov, diskusných príspevkov, a stránok, ktoré vaše meno očistia. Je to však na beh na dlhé trate. Nie je to jednoduché, stojí to veľa času a námahy a nie je to dokonalé.

Rada deviata - nemyslite si, že ste malá ryba

Názor, že váš počítač je pre útočníka nezaujímavý, je naivný a nesprávny. Jedným z mnohých druhov útokov na počítačové systémy, ktoré sa v dnešnej dobe vyskytujú, je DDOS. Ide o útok, pri ktorom sa desaťtisíce, niekedy aj stotisíce počítačov dostanú pod vládu kriminálnika a ten im prikáže, aby naraz požiadali server-obeť o poskytnutie služby (napr. webovej stránky). Takáto skupina počítačov sa nazýva "botnet". Keby každý počítač poslal tú požiadavku samostatne a nezávisle od ostatných, bolo by to celkom legitímne. Ak to však urobia koordinovane, tak obeť zahltia a znemožnia jeho fungovanie. Obrana proti takémuto útoku je veľmi náročná, pretože jednotlivé počítače tvoriace botnet môžu byť kdekoľvek na svete. Útočníci svoje služby ponúkajú na čiernom trhu ako bežnú službu a váš počítač sa im celkom zíde.

Rada desiata - dajte prednosť bezpečnosti pred pohodlím

Aj keby to bolo tak, že na počítači nie je ani jeden dokument hovoriaci o vás, váš počítač je stále cenný, pretože ak ho útočník ovládne, môže ho použiť ako základňu pre vedenie útoku na iný cieľ. V prípade, že sa niečo pokašle a bude sa hľadať vinník, stopa môže končiť u vás. V odbore počítačovej bezpečnosti je všeobecne známe, že ak bezpečnosť systému stúpa, zákonite klesá jeho užívateľská prívetivosť. Máte domáci počítač bez hesla? Otvárate dvere počítačovým kriminálnikom. Máte e-mailovú schránku s jednoduchým heslom? Niekto sa môže do nej dostať a poslať mail pod vaším menom. Manželke. Šéfovi. Rozmyslite si, či obetujete bezpečnosť pre svoje pohodlie.

E-mail

Rada prvá - používajte hlavu

Z technického hľadiska sa e-mailová správa skladá z hlavičky a tela. Telo je samotný text správy a obsahuje to, čo do neho napíše odosielateľ - čo môže byť čokoľvek. Naopak pri hlavičke sú pravidlá trocha prísnejšie - obsahuje údaje o tom, kto/komu/kedy/o čom/... píše. Každý z týchto údajov má vyhradené miesto. Programy na čítanie e-mailu mnohé tieto údaje skrývajú alebo prekladajú z angličtiny (v ktorej tieto údaje pôvodne sú). Je možné, že budete musieť vyvinúť trocha úsilia na ich zobrazenie. Ukážka hlavičky e-mailu je tu:

Received: by 10.204.231.197 with SMTP id jr5csp161133bkb;
        Tue, 4 Sep 2012 23:10:55 -0700 (PDT)
Received: by 10.68.189.37 with SMTP id gf5mr8733268pbc.78.1346825454887;
        Tue, 04 Sep 2012 23:10:54 -0700 (PDT)
Received: from mail.kriterhosting.com (mail.kriterhosting.com. [188.132.211.221])
        by mx.google.com with SMTP id wk6si1121397pbc.325.2012.09.04.23.10.53;
        Tue, 04 Sep 2012 23:10:54 -0700 (PDT)
Date: Wed, 5 Sep 2012 09:10:52 +0000 (UTC)
From: LinkedIn Reminders <reminders@sealy-linkedin.com>
To: rastos@example.org <rastos@example.org>
Subject: There are a total of 2 messages awaiting your response

Pokiaľ používate e-mailový program v inom jazyku než v angličtine, tak mená polí hlavičky vidíte preložené. Ich význam je takýto:

  • Form - hovorí kto e-mail odoslal
  • To - hovorí komu má byť e-mail doručený
  • Date - hovorí kedy bol e-mail odoslaný
  • Subject - sa po slovensky nazýva zvyčajne Predmet správy
  • Received - týchto polí môže byť viacero a vymenúvajú servery, cez ktoré správa putovala od odosielateľa k príjemcovi.

Hlavička môže obsahovať aj ďalšie políčka. Ich obsah však nemá veľký význam (aspoň v kontexte tohto článku) Veľmi dôležitá vec je, že: obsah mnohých tých políčok môže byť falošný. A to vrátane políčok From: a To:. To znamená, že ak vám príde e-mail s odosielateľom Albert Einstein, tak to neznamená, že vám tvorca Teórie relativity píše zo záhrobia. A keď sa vám v e-mailovej schránke objaví správa pre baróna René Rotschilda nabádajúca k výhodnému burzovému obchodu, tak to neznamená, že sa na vás usmiala šťastena a omylom sa k vám dostala informácia, ktorá z vás urobí miliardára. Smutné? Hej, aj mne je to ľúto.

Samozrejme, že riešenie existuje a je ním použitie elektronického podpisu - podobne ako pri HTTPS spojení je možné použiť bezpečnostné certifikáty. Tie nám dokážu dôveryhodne overiť odosielateľa správy. Samozrejme za predpokladu, že si dôsledne overíme kto a komu ceritifkát vydal, či je platný atď. Podobnú funkcionalitu ponúka napr. systém PGP. Okrem overenia odosielateľa správ tieto systémy tiež umožňujú šifrovanie správy - teda zabránia, aby text správy prečítal aj niekto iný okrem odosielateľa a adresáta. Jediným problémom je, že tieto systémy sa medzi širokou laickou verejnosťou nepresadili. Zatiaľ.

Rada druhá - vyhnite sa SPAM-u

90% dát prenášaných Internetom je SPAM. Nevyžiadaná pošta. Sú to e-mailové správy, ktoré odosielateľ posiela obrovskému množstvu ľudí, pričom tí o tieto správy vopred neprejavili záujem. Motívy spammer-a bývajú rôzne. Najčastejšie ide o reklamu, ktorou sa snaží príjemcu presvedčiť k nákupu nejakého tovaru alebo služieb cez nejakú webovú stránku. Príjmom spammer-a pritom nemusí byť len príjem z uskutočneného obchodu, ale aj napríklad zo samotného zobrazenia reklamy na stránkach, na návštevu ktorých vás e-mail nabáda. To je ten najbežnejší scenár. Ale existujú aj iné.

V časoch, keď e-mail bol ešte len v plienkach, prenášané správy boli čisto textové. Neniesli žiadnu informáciu o veľkosti písma, použitom fonte, farbe, či akomkoľvek inom formátovaní textu. Vývoj však zasiahol aj túto oblasť a e-mail dnes môže obsahovať množstvo iných vecí.

HTML
najjednoduchším spôsobom ako rozšíriť možnosti e-mailu bolo použiť podobnú technológiu ako používajú webové stránky - HTML. To znamená, že text už mohol byť tučný, šikmý, väčší/menší, farebný. Mohol obsahovať linky a obrázky.
obrázky
Dáta obrázku môžu byť uložené priamo v správe, ale môžu byť takisto len odkazované z HTML značiek v texte správy. Pri zobrazení takejto správy sa e-mailový program pokúsi získať dáta obrázku z URL adresy uvedenej v HTML značke. Zaujímavé pritom je, že ak táto URL vedie na server odosielateľa správy, tak ten vidí, že sa niekto pokúsil získať dáta tohoto obrázku. Táto vlastnosť sa používa na to, že odosielateľ sa dozvie, a) že e-mailová adresa, kam e-mail poslal je funkčná (niekto číta správy na tú adresu poslané) a b) že správu niekto prečítal. To mu umožňuje udržovať si zoznam adries, ktoré sú "živé". Treba si uvedomiť, že obrázok môže mať napr. veľkosť len jedného bodu (a vlastne ani nemusí viesť na existujúci obrázok) a teda ho vlastne nemusí byť vidieť. Moderné programy na čítanie e-mailu majú možnosť takéto chovanie zakázať.
linky
Podobne ako pri obrázkoch, kliknutie na linku môže odosielateľovi dať informáciu o tom, že e-mail bol doručený na živú adresu. Dosiahne to napríklad tak, že URL je unikátna - v každom poslanom e-maile iná. Ak spammer pošle milión správ, tak v každej môže byť iná URL a on sa dozvie, kto z toho milióna príjemcov jeho správu skutočne čítal. Dôležitou poznámkou na tomto mieste je: seriózne banky/firmy/inštitúcie nevyzývajú e-mailom na zmenu či overenie prihlasovacích údajov. Ak máte účet v banke, viete jej webovú adresu. Naťukajte ju do webového prehliadača priamo. Môže vás to uchrániť pred vstupom na podvodnú stránku, ktorá síce vyzerá celkom ako tá od vašej banky, ale ktorá sa z vás pokúsi napr. vymámiť prihlasovacie údaje.
JavaScript
Ako som už v časti o Web-e spomínal, JavaScript je programovací jazyk, ktorého príkazy sa vykonávajú na vašom počítači. Zlomyseľní odosielatelia e-mailu ho, podobne ako pri webových stránkach, môžu použiť na to, aby zamaskovali napr. informáciu o tom, kam URL v texte e-mailu skutočne vedie. Opäť platí, že moderné programy na čítanie e-mailu majú možnosť takéto chovanie zakázať.
prílohy (angl. attachment)
Je to spravidla súbor, ktorý je prilepený k e-mailovej správe a program na čítanie e-mailov spravidla ponúkne jeho uloženie na disk alebo priamo otvorenie v príslušnom programe. Uložením na disk asi nič nepokazíte. Pokiaľ súbor nie je spustený ako program alebo nie je spracovávaný nejakým programom, je ako mŕtva váha - neškodný. Ak ho však spustíte, alebo skúsite otvoriť nejakým programom (napr. pre čítanie .doc či .pdf) môže to už byť značne nebezpečnejšie. Preto by ste si mali veľmi dobre rozmyslieť, či súbor z e-mailovej správy nejakým spôsobom použijete. To zvlášť platí na operačných systémoch, ktoré nezobrazujú celé meno súboru. Skrývajú jeho príponu, takže súbor objednavka.zip.exe sa zobrazí ako objednavka.zip takže užívateľ sa mylne domnieva, že pri kliknutí na súbor ho rozbalí, ale v skutočnosti dôjde k spusteniu programu.
iné objekty
Keď už e-mail môže obsahovať obrázky či JavaScript, môže samozrejme obsahovať aj iné objekty ako napr. Flash, Active X. Mávajú podobnú funkciu ako JavaScript, ale je pri nich ťažšie zistiť, čo presne robia a ich fungovanie zabezpečujú moduly, ktoré majú nelichotivú históriu bezpečnostných problémov.

Rada tretia - vaša adresa má svoju cenu

Spomínam si na televíznu reportáž o panej, ktorá dostala e-mail vyzývajúci ju na uhradenie nejakého poplatku. Išlo o podvod a to, čo ma zaujalo, boli slová obete: "Neviem, odkiaľ vzali moju adresu." Nuž to je ľahké. Zaregistrovali ste sa v internetovom obchode? Má vašu adresu. Zaregistrovali ste sa v diskusnom fóre? Má vašu adresu. Poslali ste e-mail priateľovi? Má vašu adresu. Poslal priateľ vám (a ďalším 50 známym) vtipné video, obrázok roztomilej koaly alebo pozdrav k Novému roku? Ďalších 50 ľudí má vašu adresu. A pravdepodobne všetci ďalší, ktorým tých 50 ľudí "neškodný" e-mail preposlalo. A možno nikto z nich nemá v úmysle vám posielať spam či poslať podvodný e-mail. Ale každý z nich je vystavený riziku počítačových vírusov. Dnešné vírusy nemažú súbory a neformátujú disky. Prehľadávajú e-mailové schránky a chrumkavé e-mailové adresy posielajú svojmu tvorcovi. A ten ich s chuťou predá spammerom a podvodníkom. Stačí, ak jediný z počítačov, na ktorých sa nachádza vaša e-mailová adresa, podľahne vírusu alebo cielenému útoku a vaša e-mailová adresa sa dostane do pazúrov počítačových kriminálnikov. Alebo aj celkom poctivých reklamných agentúr, ktoré sa veľmi nestarajú odkiaľ adresy nakúpili.

Dobrá ochrana voči tomu neexistuje. To, čo môžete urobiť, je a) nedávať e-mailovú adresu ľuďom, ktorí s ňou budú zaobchádzať ľahkovážne a b) používať viacero, prípadne dočasné e-mailové adresy. Ak už jednu e-mailovú adresu máte, informujte sa, či k nej nemôžete dostať tzv. "alias" - ďalšiu e-mailovú adresu, ktorá ale prijaté správy presmerovávať na tú vašu pôvodnú adresu. Vyrobiť/zrušiť alias môže byť lacné a rýchle. Dočasné e-mailové adresy ponúka niekoľko webových služieb - príkladom je napr. mailinator.com alebo guerrillamail.com. Pri dočasných e-mailových adresách pozor na to, že prakticky nie sú chránené voči tomu, aby správy na ne poslané čítal prakticky ktokoľvek a schránka spravidla zaniká po krátkom čase.

Posielanie nevyžiadanej pošty - spam-u je zakázané zákonom. Je zakázané v USA aj EÚ a pravdepodobne veľkej časti civilizovaného sveta. Napriek tomu je boj proti nemu problematický, pretože náklady na jeho rozosielanie sú veľmi nízke a jeho pôvodcovia môžu ľahko fungovať z krajín tretieho sveta s nízkou vymožiteľnosťou práva. Ďalším dôvodom je, že spam nemusí byť odosielaný len z počítačov, ktoré vlastní odosielateľ spam-u, ale aj z počítačov, nad ktorými počítačoví kriminálnici získali kontrolu, riadia ich na diaľku a ich majitelia o tom často ani nevedia. Odosielatelia spam-u sa môžu snažiť vzbudiť zdanie legitímnosti priložením linky umožňujúcej odhlásenie vašej adresy z odoberania týchto správ. To zákon prikazuje tým, kto súhlas na posielanie hromadných reklamných ponúk získali legitímne. Pri tých nepoctivých je veľmi pravdepodobné, že keď už porušili zákon poslaním prvej správy, tak sa nezachovajú poctivo ani tentokrát a miesto vyradenia vašej adresy z databázy si u nej ešte urobia kvačku, že táto adresa je funkčná a čítaná.

Rada štvrtá - Nigéria nie je len krajina v Afrike

Teda ... Nigéria samozrejme je krajina v Afrike, ale tiež dala meno Nigérijským listom. Sú to rôzne varianty na e-maily asi v takomto znení: "Som Dr. Adewale Ondo a som správcom majetku po nedávno zosnulom kráľovi Olarunsa Solabenovi a potrebujem z krajiny dostať veľkú sumu peňazí. Ak mi pomôžete dostanete pár miliónov ako províziu." Mail býva často napísaný zlou gramatikou či prekladaný mizerným strojovým prekladom. Jeho odosielateľ vás prosí o poskytnutie čísla účtu a rôznych osobných údajov, dokladov, či dokonca "drobnej" zálohy pár tisíc, ktoré by mu umožnili presunúť majetok z občianskou vojnou zmietanej krajiny niekam do bezpečia.

Nemusíte sa báť, pán kráľ neumrel. Nikdy neexistoval. Cieľom je len vylákať od vás údaje či doklady, ktoré by potom mohli byť použité pri ďalšom podvode. Nigérijské listy dostali meno podľa prvých takýchto pokusov o podvod, ktoré mali pôvod v Nigérii, kde bola malá šanca, že sa podarí podvodníkov vypátrať a potrestať. Správa však kľudne môže spomínať arabského šejka, indického maharadžu, alebo dávno zabudnutého strýka, ktorý zbohatol ťažbou zlata v Paraguaji.

Použite zdravý rozum a podvodníkovi jeho snaženie neuľahčujte. Ani len tým, že potvrdíte, že vašu e-mailovú adresu má správnu.

Rada piata - pozor na triky

Ďalším spôsobom ako sa občas podvodníci snažia prilákať vás na svoju webovú stránku je poslanie mailu s priloženou linkou. Mail býva často v znení "prosím zmeňte si svoje heslo na tejto linke", alebo "vyhrali ste, kliknite sem" či "vaša objednávka je pripravená kliknite sem" a tak ďalej a tak podobne. Treba si uvedomiť, že text linky nemusí sedieť s tým, kam linka vedie. Všimnite si čo ukáže v stavovom riadku váš prehliadač ak myšou namierite na tento odkaz: http://www.nbs.sk.


Na záver malé zhrnutie: takmer všetky rady v tomto článku (a niektoré som isto zabudol) sú v tvare "všímajte si ...". A je to skutočne tak. Ochrana pred nástrahami Internet-u dnes spravidla nestojí na technických prostriedkoch - antivíroch, spam filtroch, firewalloch, aktualizáciách ... . Tie sú samozrejme dôležité, ale samotné nestačia. Tá ochrana stojí na užívateľovi. Stojí na vás, na vašej všímavosti, kritickom myslení a technickej zdatnosti. To sú najslabšie články vašej ochrany. Sústreďte sa na ne a máte dobrú šancu prežiť v džungli zvanej Internet.

©Katarína Staníková, 2013