Jak chronić się w sieci? Posłowie otrzymali sekretną instrukcję. "To nie jest wiedza tajemna"
Po serii ujawnionych maili z prywatnych skrzynek pocztowych polityków pojawiła się seria pytań - jak chronić się w sieci? Podczas tajnego posiedzenia Sejmu posłowie otrzymali instrukcję z najważniejszymi zasadami cyberbezpieczeństwa. - Szkoda, że taki dokument powstaje dopiero teraz, ale lepiej późno niż wcale. Wiedza znajdująca się w tej ulotce nie jest wiedzą tajemną. To zestaw powtarzanych od lat przez ludzi z branży bezpieczeństwa IT dobrych praktyk - komentuje w rozmowie z WP Łukasz Grzmot z niebezpiecznik.pl.
17.06.2021 13:18
Afera związana z bezpieczeństwem polityków w sieci wybuchła po ujawnionych mailach m.in. szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka. Na rosyjskiej platformie Telegram pojawiła się prywatna korespondencja, w której najważniejsi urzędnicy w państwie - korzystając z prywatnych skrzynek mailowych - mieli omawiać sprawy wagi państwowej.
Dyskutowano m.in. o sprawach wojskowości, Strajku Kobiet, czy wprowadzaniu nowych obostrzeń. Wśród adresatów - oprócz Dworczyka - znaleźli się m.in. premier Mateusz Morawiecki, minister zdrowia Adam Niedzielski czy szef Centrum Analiz Strategicznych przy KPRM dr hab. Norbert Maliszewski.
Po ujawnieniu części dokumentów szef KPRM wydał dwa oświadczenia, w których przekonywał, że "intencją ataków jest podważenie zaufania do niego oraz wielu innych osób pełniących funkcje publiczne". W środę na tajnym posiedzeniu Sejmu politycy PiS tłumaczyli się z ostatnich wycieków. Następnie do mediów trafiła poselska instrukcja dotycząca zasad cyberbezpieczeństwa.
Zobacz też: Afera mailowa. Tomasz Siemoniak zdumiony: To jest niesłychane
Afera mailowa. Pytamy eksperta o szczegółowy poselskiej instrukcji
Podstawa rada dla posłów jest prosta - "stosuj długie (co najmniej 15 znaków) i unikalne hasło". Łukasz Grzmot w rozmowie z WP stwierdza: "rada o hasłach jest dobra, przede wszystkim powinny one być jak najdłuższe i różnić się od siebie".
- Warto jednak dodać, żeby nie budować haseł z jednego "wzorca" (np. MojeTajne&DlugieHasloDoTwittera2021!), bo po wycieku jednego z nich i tak każdy się domyśli jak brzmi hasło np. do e-maila. Ten problem rozwiązuje korzystanie z managerów haseł, które są w instrukcji rekomendowane, ale problem z managerami haseł jest taki, że trzeba je pokazać w akcji, bo "nowemu" użytkownikowi, zwłaszcza temu niezbyt biegłemu technicznie, często ciężko jest samodzielnie uruchomić i skonfigurować manager - mówi nam pentester w Niebezpiecznik.pl, firmie zajmującej się włamywaniem na serwery innych firm za ich zgodą, w celu namierzenia błędów bezpieczeństwa w ich infrastrukturze teleinformatycznej, zanim zrobią to prawdziwi włamywacze.
- Już prościej korzystać z haseł zapisywanych w przeglądarkach, ale tu ulotka nie wiedzieć czemu, odradza zapamiętywanie haseł w przeglądarce, choć dziś jest to zarówno najwygodniejsze, jak i bezpieczne podejście do zarządzania hasłami, jeśli ktoś nie współdzieli konta na swoim urządzeniu z innymi, a mamy nadzieję, że posłowie tego nie robią. Swoją drogą, tej rady zabrakło - podkreślił ekspert w rozmowie z WP.
Wśród rozwiązań mających skutecznie chronić prywatne dane posłów znalazł się m.in. zapis: "Przy połączeniach internetowych korzystaj z sieci VPN (np. NordVPN), szczególnie jeśli używasz publicznych sieci Wi-Fi".
- Jeśli chodzi o stosowanie VPN do zabezpieczenia przed "podsłuchem" to w dzisiejszych czasach ta rada traci na znaczeniu. Prawie cały ruch w internecie, a na pewno ten do istotnych usług, jest domyślnie szyfrowany. Ktoś ostatnio widział jakąś stronę działającą bez HTTPS? Stosowanie VPN może za to wpłynąć pozytywnie na prywatność, bo nawet jeśli ruch jest zaszyfrowany, to ktoś kontrolujący sieć z której korzysta poseł, będzie mógł ustalić do jakich stron poseł się łączy lub z jakich aplikacji korzysta - twierdzi Grzmot.
- Trzeba tylko pamiętać, ze VPN to nie usunięcie tego problemu z prywatnością, a jego przeniesienie do innej sieci, tej w której znajduje się wyjściowy węzeł usługi VPN. Lepszą radą byłoby więc rekomendowanie nie komercyjnych VPN-ów, a usługi VPN zlokalizowanej w infrastrukturze Sejmu (o ile taka istnieje). Skoro i tak korzystają na jego terenie z internetu, to chyba nie postrzegają zagrożenia dla swojej prywatności ze strony administratorów sejmowej infrastruktury - dodaje ekspert z niebezpiecznik.pl.
Afera mailowa. Czy można się włamać przez kabel HDMI?
Wśród innych zaskakujących porad znalazły się takie, które przestrzegają przed podłączaniem obcych urządzeń do portu HDMI oraz USB. - Ataki przez HDMI faktycznie istnieją i są na ten temat publikacje naukowe. Przez HDMI można wysłać do urządzeń różne komendy, inne pytanie: to jak bardzo użyteczne dla atakującego. Załóżmy, więc że intencją było uczulenie na podpinanie pod swoje urządzenie "obcego" sprzętu. W praktyce nie słyszy się wiele o tych atakach, bo wymagają albo dostępu fizycznego do uruchomionego komputera ofiary, albo podrzucenia jej odpowiedniego urządzenia (np. imitującego przejściówkę, dysk USB, itp.) - mówi nam Łukasz Grzmot.
- Znamy nawet operacje gdzie służby tego czy innego kraju podrzuciły odpowiednio zmodyfikowane smartfony lub pendrivy do lokalnych sklepów, licząc na to, że zostaną kupione przez osobę, którą były zainteresowane. Takie ataki mają miejsce i choć nie dotyczą szarego człowieka, to jak najbardziej niektóre służby mogą włożyć aż tyle zachodu, aby podejść ważnego polityka - dodaje ekspert z portalu niebezpiecznik.pl
- Rada, aby uważać na to, co podpina się do komputera, choć kuriozalna, brzmi więc całkiem sensownie w kontekście VIP-ów, ale znów -- skoro ulotka mówi o HDMI i USB to dobrze, aby wspomniała też o innych portach, np. Thunderbolcie, a nawet ładowarkach prądowych czy bateriach, które też można wyposażyć w złośliwy firmware, który będzie mieć negatywny wpływ na urządzenie, pod które się je podepnie - zauważył ekspert.