SPIS TREŚCI:
W środowisku, w którym poruszają się drapieżnicy, musimy uważać na to, co mówimy i gdzie mówimy. Dokładnie tak samo jest w przypadku komunikacji i IT. Jest to bardzo ważne, gdyż najskuteczniejsze ataki na różnego typu zasoby informatyczne to te, które angażują inżynierię społeczną. Najsłabsze ogniwo przepływu informacji to my – w tym przypadku użytkownicy WordPressa. Zaś bezpieczna komunikacja to fundament bezpieczeństwa aplikacji webowej.
Sieć
Zagrożenia sieciowe możemy podzielić na te, które są powiązane z modelem sieci komputerowej, czyli urządzenia, aplikacje itd., oraz te, które są związane bezpośrednio z komunikacją.
Kabel czy ruter?
Jeśli urządzenie, na którym pracujemy, połączone jest z Internetem za pomocą kabla, to z naszego środowiska znika jeden element podatny na zagrożenia, czyli ruter. Z reguły użytkownicy Internetu wykorzystują sprzęt dostarczany przez operatora sieci kablowej. Są to tanie, i dziurawe urządzenia, rzadko aktualizowane – ich niechlubna historia jest długa i niekończąca się.
Problemy z ruterem mogą prowadzić do katastrofalnych skutków. Łatwa do złamania sieć bezprzewodowa powoduje, że osoba postronna może z niej korzystać w złośliwy i przestępczy sposób; może także przechwytywać ruch wychodzący do Internetu, a to oznacza poznanie m.in. haseł.
Jeśli już musimy korzystać z takiego urządzenia, to warto zadbać o jego poprawną konfigurację. Lepszym rozwiązaniem będzie jednak rozpoznanie tematu sieci Wi-Fi i urządzeń bezprzewodowych, a następnie zakup własnego rutera i jego gruntowna konfiguracja. Dodatkowo możemy pomyśleć o instalacji alternatywnego oprogramowania, które kontroluje ruter.
[Aktualizacja 16 październik 2017] Październik 2017 będzie pamiętnym miesiącem dla ruterów i protokołu WPA2 powszechnie wykorzystywanym w tych urządzeniach. Uwierzytelnienie oparte na 4-way handshake zostało podważone dzięki atakowi, który prowadzi do wielokrotnego wykorzystania klucza. Więcej informacji można znaleźć tutaj.
Bezpłatna sieć bezprzewodowa
Słowo „bezpłatna” może kojarzyć się z „bezpieczna”, ale jest na odwrót. Bezpłatna sieć jest niebezpieczna i może słono kosztować. Istnieją tutaj pewne zagrożenia, których po prostu nie da się wyeliminować. Możemy także paść ofiarą radosnego skanu całej sieci. Następstwa są długoterminowe – problemy pojawiają się dopiero po opuszczeniu takiej sieci. Dlatego jeśli korzystaliśmy z bezpłatnej sieci bezprzewodowej, to wyczyśćmy przynajmniej pamięć podręczną przeglądarki.
Jeśli musimy korzystać z wrażliwych urządzeń w bezpłatnej sieci, to możemy pomyśleć o komunikacji z pośrednictwem VPNa. Dodatkowo komunikacja musi przebiegać z wykorzystaniem bezpiecznego protokołu HTTPS. Mimo tego miejmy na uwadze to, że operatorzy VPN mogą przechowywać wrażliwe dane, można ich skłonić do współpracy, oraz są podatni na ataki.
Wylewność w Internecie
Jesteśmy istotami ufnymi, lubimy się dzielić i chwalić – lubią to także osoby, którym zależy na zbieraniu informacji w celach, które są dla nas niekorzystne. Postarajmy się ograniczyć naszą aktywność do kwestii pozazawodowych. Nie publikujmy zdjęć z przestrzeni wrażliwych, w których mogą pojawić się dokumenty, notatki, liczby, loginy oraz hasła. Uważajmy na zrzuty ekranowe, ostrożnie obchodźmy się ze smartfonem i urządzeniami rejestrującymi.
Ochota na podzielenie się ze światem czymś ważnym nigdy nie idzie w parze z chłodną kalkulacją, której nie poświęcamy zbyt wiele czasu. W przeciwieństwie do osób, które „zawodowo” wyszukują dane wrażliwe. Taki delikwent może spokojnie, przy kawie, przeglądać publikowane treści, kolekcjonować dane i łączyć je w zbiory. Fachowcy mają znakomite oko i wiedzą co robią – nie da się z nimi wygrać.
W ramach przykładu chciałbym przytoczyć „przygodę” jednego z redaktorów portalu Niebezpiecznik, który zamazał dane wrażliwe na dowodzie osobistym, wykorzystując rozmycie Gaussa. Okazało się to niewystarczające – polecam lekturę na łamach niebezpiecznika, oraz artykuł czytelnika, który znalazł jeszcze jedną metodą na „inżynierię wsteczną rozmycia”.
Osoby postronne
Współpracownicy, koledzy, przyjaciele i rodzina – lubimy ich i ufamy z automatu. Niech tak pozostanie. Nam powinna wystarczy świadomość, że wymienione osoby nie muszą dbać o nasze bezpieczeństwo i nie muszą znać się na bezpieczeństwie. Pełna odpowiedzialność leży po naszej stronie. Nie ma sensu złościć się na to, że siostrzenica – z naszego firmowego laptopa – kliknęła na fajną facebookową akcję, po prostu nie ma sensu…
Ufajmy, ale dbajmy o nasze zasoby. Nie udostępniajmy ich nikomu dla własnego bezpieczeństwa i spokoju ducha osoby, która nieświadomie może nam wyrządzić szkody. Posiadanie zapasowych urządzeń jest bardzo dobrym rozwiązaniem.
Komunikacja elektroniczna
Każda bezpośrednia komunikacja lub komunikacja elektroniczna, niesie za sobą odmienne klasy zagrożenia – związane z inżynierią społeczną. Są to groźne i skuteczne działania, gdyż opierają się na relacjach międzyludzkich. Wejście w relacje oznacza emocje, oraz konieczność zwrócenia informacji.
Inżynieria społeczna
Inżynieria społeczna jest bardzo groźna i skuteczna, a zarazem bardzo łatwo można się przed nią bronić. Ta niespójność ma związek z naszą naturą: nieuwaga, podatność na stres, umiarkowana asertywność – w końcu chcemy być postrzegani jako pomocni i mili – może nas wpędzić w tarapaty. Jeśli wyczuwamy jakikolwiek dyskomfort podczas komunikacji, to lepiej okazać się gburem (i bezpardonowo ją zakończyć), niż ofiarą.
E-mail z niespodzianką
Tutaj, obecne są zagrożenia związane z atakami typu phishing i spear phishing. Nie musimy nawet znać szczegółów technicznych, aby takich ataków uniknąć. Kiedy pojawi się w naszej skrzynce odbiorczej wiadomość można zadać sobie trzy podstawowe pytania: Co to jest? Kto mi to wysłał? W jakim celu?
Przyda się także praca nad odruchami, szczególnie nad skłonnością do automatycznego klikania w odnośniki i załączniki. Jeśli mamy jakiekolwiek podejrzenia to poczekajmy, zasięgnijmy opinii, zadzwońmy do osoby, która rzekomo się z nami komunikuje – po prostu każdy cień podejrzeń powinien spowodować zwiększenie naszej uwagi. Jeśli nie spodziewaliśmy się załączników, to najlepiej je przeskanować online za pomocą Virus Total.
Telefon i komunikacja personalna
W komunikacji telefonicznej i personalnej musimy być szczególnie ostrożni. Wynika to z samej sytuacji – nie ma komunikacji bez emocji. Podchodzimy do niej nieprzygotowani, nastawieni pozytywnie na świat, chcemy pomóc i wypaść jako fajny i przyjacielski gość. Tymczasem osoba atakująca skupiona jest tylko na 1 celu i skupiona jest tylko na nas. Pamiętajmy: lepiej okazać się gburem…
- Przez telefon nie załatwiamy żadnych spraw, które wymagają od nas podania danych wrażliwych, żadnych. Instytucje państwowe i prywatne nie proszę o takie dane, jeżeli dzwonią do nas – nie jesteśmy zobligowani prawem do podawania przez telefon jakichkolwiek informacji wrażliwych. Pamiętajmy: lepiej okazać się gburem…
- Jeśli dojdzie do takiej rozmowy i pojawią się prośby/naciski związane z danymi wrażliwymi, to rozmowę należy zakończyć. Dzwoniącego lub firmę możemy spróbować zidentyfikować w Internecie. Weryfikujemy wszystko, co jesteśmy w stanie zweryfikować.
- Jeżeli podczas rozmowy czujemy dyskomfort, to taką rozmowę także należy zakończyć; jeżeli czujemy opór drugiej strony, to po prostu „rzućmy słuchawką” i ochłońmy. Rozmowa telefoniczna nie daje nam szansy na dystans. Naszą najskuteczniejszą bronią jest w tej sytuacji asertywność. Nie wolno obawiać się, że okażemy się gburem; nie wolno wstydzić się, że źle wypadniemy; że na czymś się nie znamy; że nie chcemy pomóc i że żona dzwoniącego właśnie rodzi (ona sobie poradzi). Po prostu, nawet jeżeli jesteśmy kompletnymi laikami w kwestiach bezpieczeństwa, to atakujący umrze z głodu, jeśli nie podejmiemy z nim interakcji.
Bezpieczna komunikacja i WordPress
Dużo było o komunikacji, a niewiele o WordPressie. O tym, na co zwracać uwagę w komunikacji z serwerem i WordPressem piszę w Zabezpieczanie WordPressa a serwer współdzielony. Uwagi zawarte w powyższym poradniku mają zastosowanie wszędzie tam, gdzie w grę wchodzi Internet i dane wrażliwe.
Ten cykl artykułów to rozwinięcie i podsumowanie wybranych zagadnień ze szkolenia wideo: Bezpieczeństwo WordPressa – fundamenty.
Powodzenia.