Není dne, abychom si nepřečetli v médiích o hackerských útocích na nás, běžné uživatele. Představa hackera s maskou na obličeji je nepochybně čas od času součástí myšlenek všech, kteří elektronické služby využívají. Jenže… Reálné nebezpečí spočívá daleko více v naší mysli, důvěřivosti a svým způsobem i na našem lajdáctví. Mezi cca 50 % účtů, u kterých lze najít prolomené heslo, se může řadit i ten váš.
O tom, že tomu tak opravdu je, svědčí malé ankety, které vznikly v proběhu online školení k problematice osobních údajů z posledních let a na něž budu v dnešním článku odkazovat. Z následujícího grafu vyplývá, že většina učitelů (bez rozdílu škol) spatřuje největší reálné nebezpečí v útoku z vnějšího prostředí neznámou osobou. Pravé riziko ale leží v nás samotných.
Obrázek 1: Rizika virtuálního prostředí (Hausner, 2020)
V našem soukromí i v pracovním prostředí využíváme celou řadu účtů, ke kterým ve valné většině potřebujeme logina heslo. Zatím se dvojitá autorizace příliš mezi učiteli nevyužívá. Přestože jsme už mockrát slyšeli zásady, jak mají hesla vypadat, jejich celkové množství a spousty přihlašování vedou našince k tomu, že prostě použije svůj domácí login (e-shopy) a přiřadí v lepším případě jiné heslo, ale někdy ani to ne.
Velmi často se mezi uživateli objevují osobní námitky, že ve svých soukromých mailech nemají žádné údaje, pro které by hackerům stálo za to takové účty prolamovat. Nepochybně mají pravdu, jenže nebezpečí spočívá právě v opakování stejného přihlášení.
Obrázek 2: Prolomená hesla profesních skupin v roce 2020
Hesla v převážné míře neunikla po útoku zlovolného neřáda, ale především kvůli našim osobním vlastnostem. Nejčastěji prolomené heslo se totiž stává veřejným na základě hromadných „krádeží“ databází loginů pro přístup do obchodních aplikací.
Nevěříte? Navštivte prosím například aplikaci www.haveibeenpwned.com, se kterou mám poměrně dobré zkušenosti. Dnes mají obdobné porovnávací databáze k dispozicii renomovaní poskytovatelé antivirové ochrany.
Zadejte své heslo – ať již soukromé, či služební – a hned je vám jasné, zda se Vaše identifikátory objevují v jednom z mnoha nesčetných úniků komerčních databází různých portálů či e-shopů. Uvedená stránka ke dni psaní tohoto článku uvádí 10624652379 prolomených účtů. Od počátku února stouplo toto číslo o hezkých 115 000 000 záseků.
A co vaše osobní účty a hesla?
O tom, že úniky a útoky na slabá hesla jsou snadnou záležitostí, určitě svědčí i zkušenost pana Trumpa s jeho twitterovým účtem. Heslo MAGA a číslo odvozené z jeho kampaně Make America Great Again svědčí spíše o jeho bezstarostnosti než opatrnosti. A nemuseli bychom chodit k podobným případům až za oceán. I když v sobě tyto situace nepostrádají jistou dávku škodolibosti a možná i humoru, v samotném důsledku jsou reálným ohrožením naší bezpečnosti s katastrofálními důsledky.
Protože máme všichni problém si velké množství hesel pamatovat, velmi často využijeme login svého hlavního účtu i s heslem pro přihlášení do některého komerčního e-shopu. A pak už stačí opravdu málo a problém je na světě. Přesně v tomto případě jsou pak naše účty a hesla snadno zcizitelná a „útočníkovi“ stačí si příslušnou kombinaci vyhledat na darknetu, což zvládne každý rozumbrada.
V případě znalosti těchto údajů má pak hacker nepřeberné množství možností, jak kompromitovat majitele účtu: od vydírání (lze to samozřejmě i obecně bez znalosti hesla), zcizení fotografií, dokumentů či smluv odeslaných mailem až po mnohem méně banální a vysoce sofistikovaný útok, kterému se říká spear phishing (cílený útok na majitele účtu).
Ze svého okolí znám konkrétní případy (soukromé i zašifrování celých škol a úřadů), kdy přesně tímto útokem byl do digitální stanice vnesen ransomware, který zašifroval celý jeho obsah.
Podle CSIRT (2020) podíl phishingových útoků stoupl za minulý tok téměř na dvojnásobek. Velmi tomu napomáhá dnešní celková situace, kdy se prakticky veškerá činnost přesunula do online prostoru. Je tedy nepochybné, že i vy jste už někde zadali své identifikátory. A bylo to dost opatrné?
Nejsnadnější cestou ke kompromitaci účtů je vlastní lajdáctví, pocit vlastní neohroženosti a neopatrnost.
Aniž bych jakkoli validoval tvrzení uvedená v následujícím grafu, předkládám je k zamyšlení. Jsou to pouze sumarizované výsledky. Učitelé středních škol tvoří v přehledu zhruba jednu třetinu kategorie ostatní.
Oblasti ochrany koncových digitálních stanic učitelů je třeba věnovat zvýšenou odpovídající pozornost jak ze strany správce, tak i běžného uživatele.
Co tedy může učitel ze své pozice na svou ochranu při zjištění takového úniku udělat?
Tím nejdůležitějším je:- ověřit si, zda jsou hesla a uživatelské maily prolomeny!
Pokud ano, pak zvážit další postup:
- od změny daného hesla
- přes zálohování obsahu
- až po přechod na jiný mailový účet.
- A samozřejmě se vrátit k osvědčeným doporučeným poučkám o tom, jak má bezpečné heslo vypadat a jak s ním zacházet. A zde snad uvedu nový poznatek, jak vystavět bezpečné heslo. Organizace často požadují změnu hesla po třech měsících. Uživatel si často místo Jana.2021 nastaví Jana.2022. A nové heslo není o nic méně nebezpečnější, protože je lze velmi snadno uhodnout. Proto dnes platí: Nastavte si delší heslo, které má pro vás smysl (větu), a do textu vložte symboly, malá, velká písmena, čísla. Pokud je heslo dostatečně dlouhé, pak je prakticky neprolomitelné.
- Nepochybně také stojí za zvážení, zda již nenastal čas pro aplikaci určenou pro správu hesel.
Nezbývá než také připomenout doporučenou podobnou kontrolu i na služebních mailech, protože se bohužel ukazuje, že uživatel pracující se služebním mailem se k jeho obsahu chová ještě mnohem hůře než k tomu soukromému.
Nevěříte? Tak si to vyzkoušejte!!!
Zdroj: Pro časopis Speciál pro střední školy Ing. Milan Hausner