Wstęp
Cześć! No to ruszamy z normalnym terminarzem, wpisy będą w piątki o 13.14, do jednej kawy ;-). Z dzisiejszego wpisu dowiecie się:
- po co przejmować się swoim bezpieczeństwem IT, nawet jeśli pozornie nic Wam nie grozi
- jakie są najczęstsze zagrożenia związane z IT
- jakie są 3 pierwsze najważniejsze metody zabezpieczeń, które warto stosować zawsze
Będzie również zadanie domowe – “Wasz krok”, do którego bardzo, bardzo zachęcam, żeby ta seria wpisów dała Wam jak największą wartość. Miłej kawy i lektury!
Przeczytanie zajmie Ci: 7 min.
Uwaga na spadające skały!
Poznajcie Dominika, studenta AGH. Dominik lubi zdawać egzaminy w pierwszych terminach, żeby móc w weekendy jeździć rowerem po górskich trasach. Co mu grozi, tak “w realu”? Przebita dętka, potrącenie, spadające z urwiska skały? Jaka jest szansa, że to się zdarzy? Co wtedy robi, bierze zapasową dętkę, kask, cały ekwipunek?
A co mu grozi na uczelni, w mieście, gdzie mieszka? Co jeśli mieszka w mieszkaniu, a co jeśli w akademiku? Np. brak Internetu, brak prądu, brak wody… I najważniejsze – jakie działania podejmuje, żeby te ryzyka minimalizować przed ich wystąpieniem lub jak planuje reagować, gdy już wystąpią? (Propozycje możecie pisać w komentarzach ;))
Historia nie jest prawdziwa, podobnie jak Dominik (uważni spostrzegli już źródło zdjęcia), którego wizerunek został wygenerowany przez tzw. uczenie maszynowe/sztuczną inteligencję (skrót myślowy). Ale pytania, które postawiłem powyżej są ważne, bo w świecie IT powinniśmy zapytać o to samo. Co jest konkretnie dla mnie zagrożeniem i jak temu mogę ja przeciwdziałać lub reagować, gdy to zagrożenie wystąpi. Nazywa się to po prostu analizą ryzyka.
To co było do tej pory, jest oczywiste, a przykład wymyśliłem dla Waszego przykucia uwagi. Jakie są więc zagrożenia, ale w świecie IT? Poznajcie Kasię, studentkę UJ :).
Dokończ wreszcie tę magisterkę
Kasia korzysta na co dzień ze smartfona i laptopa. Lubi przesiadywać na Facebooku, Instagramie, słuchać Spotify’a przez słuchawki Bluetooth, w sklepie płaci kartą, a ze znajomymi komunikuje się przez Messenger. Pisze też pracę magisterską, więc nosi ze sobą pendrive do nagłych wydruków w uczelnianym ksero. Jej brat namawia ją na założenie BLIKa i zainstalowanie wreszcie apki bankowej w telefonie, a nie jakieś logowanie na lapku. A koleżanka ostatnio chwaliła się nowym iPhone’m :).
Standard u wielu z nas, dlatego już nie napisze, że Kasia również nie istnieje… Zastanówmy się po prostu – co (i kto!) jej grozi z perspektywy bezpieczeństwa IT?
Kto nam chce zabrać pieniądze, blask lub sławę?
Na potrzeby naszej serii proponuję się zastanowić i przypisać do 1 z 3 grup „docelowych”, różniących się tym, na czyim jesteśmy “celowniku”, co możemy tracić i jak się w związku z tym chronić.
- Służby
Pierwsza grupa to służby. Na ich celowniku są VIPy: politycy, szefowie korporacji, wojskowi, członkowie służb. Nimi nie będę się zajmował (przynajmniej w tej serii :)). Kto ich ma na celowniku? Służby państwowe lub obcych państw, mają ogromny budżet na atak. Trudno się chronić, więc lepiej nie robić nic nielegalnego ;).
- Korporacje
Druga to korporacje IT, marketingowe i inne, posiadające wiedzę o naszych aktywnościach.
Większość z nas ma Gmaila, Facebooka. Robi zakupy w sklepach internetowych, czasem uczestniczy w wielkich festiwalach muzycznych. Wyrażamy często zgodę na “przetwarzanie danych w celach marketingowych”. Wtedy w Internecie odbywa się automatyczna giełda dotycząca naszych danych, a Google skanuje naszą skrzynkę, żeby lepiej dopasować reklamy. Prywatność to bardzo szeroki temat i nie będę dziś przekonywał, dlaczego warto o nią dbać, kiedyś jedynie pokażę kilka dobrych patentów, z których moim zdaniem warto korzystać. Bo przecież czytamy regulaminy usług i świadomie się na nie zgadzamy, prawda :)? Mamy więc drugą grupę – firmy mające naszą prywatność na celowniku (niekoniecznie oznacza to coś złego, ale warto wiedzieć, na co się decydujemy).
- Przestępcy
Trzecia to przestępcy, uzbrojeni w klawiaturę, komputer i telefon. Na celowniku są zwykli użytkownicy, jak Dominik, Kasia, Ty i ja. Przez ich atak, a naszą nieuwagę, możemy stracić pieniądze (różnymi kanałami), wizerunek (przejęte konto w mediach społecznościowych można wykorzystać na wiele sposobów) czy też cenne dane (często na zawsze). Oczywiście podjęte nasze działania ochronne powinny być skuteczne, a jednocześnie powinny pozwalać nam działać w normalny sposób. Tzn. trzeba znaleźć swój kompromis między bezpieczeństwem a wygodą.
Zdaje się, że nie mamy tu żadnych polityków, ani wojskowych, więc skupię się w naszej serii “Dla Znajomych” na zagrożeniach związanych z grupą trzecią i ewentualnie drugą. Mały przerywnik i opiszę na koniec zbiorczo najczęstsze problemy.
MałyWyciek (ciekawostka ze świata IT): HACKATHON
Idąc tropem poprzedniego MałegoWycieku, dziś słowo hackathon. Jest to wydarzenie zbierające programistów, testerów, designerów, elektroników, wizjonerów i specjalistów z wybranej dziedziny, w której odbywa się konkretny hackathon. Celem ich spotkania jest wytworzenie i wdrożenie pomysłu związanego z konkretnym obszarem, np. ekologia i środowisko, pomoc osobom wykluczonym czy nowe technologie. Zwykle spotkania odbywają się na żywo, na wiele osób, ale obecnie trwa online np. HackTheCrisis przeciwko koronowirusowi. Znany jest też ruch hack4good, gdzie “hakuje się” w dobrym celu społecznym. Są też komercyjne hackathony, w których można wygrać dużo pieniędzy i cenne nagrody :).
Więcej źródeł dla chętnych: 1 2 3 4
Lista najczęstszych zagrożeń wg autora bloga Uszczelka.IT
Jeśli już wiemy, kto nam grozi, możemy zobaczyć, co nam grozi. Dziś lista najczęstszych zagrożeń bezpieczeństwa IT, które szczegółowo opiszę w kolejnych wpisach. Jeśli macie ochotę i jeszcze tego nie zrobiliście , dodajcie adres bloga do zakładek ;).
Stan na marzec 2020.
- Utrata pieniędzy
- fałszywy SMS z linkiem do fałszywej strony banku (np. dopłata za paczkę)
- fałszywy e-mail z linkiem do fałszywej strony banku (nawet z zieloną kłódką :))
- fałszywy SMS/SMS Premium do zapisania się do loterii/konkursu/serwisu
- fałszywa strona z subskrypcją usługi, z której trudno się wypisać i dużo kosztuje
- utrata tożsamości i wzięcie kredytu na Wasze dane osobowe
- utrata numeru telefonu przez podszycie się u operatora
- utrata pieniędzy przez chęć odszyfrowania danych (jeśli zapłacicie okup)
- fałszywe reklamy ze zniżkami prowadzące do utraty pieniędzy (z karty lub z numeru telefonu)
- Utrata wizerunku
- przejęcie konta na Facebooku – i utrata pieniędzy Waszych znajomych np. przez prośbę o płatność BLIKiem
- przejęcie konta na Facebooku – i utrata Waszej tożsamości – dalszy SPAM do innych
- przejęcie konta na Instagramie – zmiana lub publikacja Waszych fotek
- przejęcie skrzynki pocztowej na Gmailu/Hotmailu/w innych portalach – wykorzystywanie do SPAMu lub publikacja Waszych danych
- utrata wizerunku (w tym nawet niewłaściwy wyrok sądowy) przez nieprawidłowe oskarżenie przez Policję – ze względu na dostęp firm i służb do Waszej prywatności np. miejsce biegania, gdzie zdarzyło się przestępstwo
- Utrata danych lub zasobów elektronicznych
- atak szyfrowania danych na dysku za okup tzw. ransomware
- atak zepsucia danych na dysku (jak wyżej tylko niemożliwe do odzyskania)
- niepowołany dostęp do Waszych danych wrażliwych np. faktur, umów, danych medycznych na laptopie lub smartfonie lub w chmurze
- dostęp do danych Waszej firmy, w której pracujecie – tajemnica handlowa, służbowa
- utrata ważnych danych przez awarię dysku bez działającej kopii zapasowej 🙂
- wirus na komputerze – powolny komputer, Internet (koparka kryptowalut)
Nie jest to kompletna lista, ale mam nadzieję, że na start serii zaznacza wystarczająco problemy, które rzeczywiście mogą nas spotkać. Jeśli czujecie już potrzebę zabezpieczeń to mam zadanie domowe + 3 szybkie porady dla ambitnych.
Zadanie dla Was
Wasz krok:
Weźcie białą kartkę papieru i długopis. Serio, to dużo lepiej zadziała, bardzo zachęcam. Na rozgrzewkę dziś eksperyment myślowy. Wyobraźcie sobie poniższe sytuację, poświęćcie na to chwilę i spróbujcie rozpisać sobie odpowiedzi na pytania:
- Tracicie w tym momencie i na zawsze dostęp do Waszego:
- Gmaila
- Facebooka
- Telefonu
- Banku
Jakie Wasze dane i inne sprawy na zawsze straciliście na tych kontach? Jakie będzie Wasze działanie po tej stracie?
- Level up – jeśli przestępca chciałby Wam zaszkodzić i uzyskałby dostęp do powyższych miejsc…
Jak mógłby Wam zagrozić mając takie dane – Wam lub Waszym bliskim? A może firmom/instytucjom, w których pracujecie?
Chodzi o pomyślenie o rzeczach, które mogłyby spotkać konkretnie Was. Na blogu będę omawiał każdy z podanych tematów i dokładnie wyjaśniał, co może się stać, ale ważne jest żebyście sami zobaczyli, co może być dla Was zagrożeniem. Na końcu serii, za kilkanascie tygodni, zrobimy podobną autorefleksję i jeśli zachowacie kartki, to zobaczycie, co się zmieniło, a o czym nowym się dowiedzieliście.
Dlaczego ważne jest to, żebyście spróbowali o tym pomyśleć już dziś? Bo wtedy będziecie mieli konkretną, rzeczywistą motywację do czytania tego bloga 🙂 Będziecie wiedzieć, co wam grozi, a co lepsze – jak się przed tym chronić!
Obiecane 3 porady dla ambitnych, które mogą zapobiec w największej mierze wielu ww. problemom:
- Korzystanie z managera haseł i dwuskładnikowego uwierzytelniania
- Robienie regularnie aktualizacji każdego oprogramowania
- Robienie działających kopii zapasowych (backupów) 🙂
Podsumowanie
Najważniejsze myśli, które warto z dziś zapamiętać to:
- w korzystaniu z urządzeń i Internetu trzeba znaleźć swój kompromis między bezpieczeństwem a wygodą i liczyć się z konsekwencjami tego wyboru
- jest wiele rzeczywistych zagrożeń dla nas – zwykłych użytkowników – związanych z utratą pieniędzy, wizerunku czy danych
- możemy minimalizować swoje ryzyko dzięki prostym patentom, takim jak: regularne aktualizacje urządzeń i programów, ograniczone zaufanie do stron i wiadomości czy posiadanie unikatowych długich haseł w różnych serwisach
Tyle na dziś, jeśli chcecie o coś zapytać lub mogę Wam jakoś w temacie pomóc, to piszcie w komentarzu lub mailowo (at to inaczej @).
Do usłyszenia w piątek o 13.14!