cyberbezpieczenstwo

Cyberbezpieczeństwo, czyli jak nie dać się zhackować?

Dzisiaj będzie trochę… hackersko! A to za sprawą ostatniego warszawskiego meet-up’u Geek Girls Carrots, po którym postanowiłam przybliżyć Wam zagadnienie cyberbezpieczeństwa. Chociaż nie jest to temat związany bezpośrednio z nauką programowania, uważam, że jest on w dzisiejszych czasach na tyle istotny, że postanowiłam go tutaj poruszyć. Powiedziałabym wręcz, że kwestia bezpieczeństwa naszych danych w Internecie powinna zainteresować każdego, niezależnie od branży, którą zajmuje się zawodowo. Jeżeli chcecie się dowiedzieć, jak skutecznie chronić się przed atakami hackerskimi i co nam może grozić, gdy nie zachowamy odpowiednich środków bezpieczeństwa, to zajrzyjcie do wpisu. 🙂

Dzisiejszy wpis powstał na bazie dwóch wystąpień: Wiolety Bartczak – Security Analyst w Accenture oraz Tomasza Kawalca – Network Support Engineer z F5 Networks.

 

Co to jest cyberbezpieczeństwo?

Zacznijmy od tego, czym w ogóle jest cyberbezpieczeństwo (ang. cybersecurity). Cyberbezpieczeństwo to ochrona systemów informatycznych, w tym sprzętu, oprogramowania i danych, przed cyberatakami. Jest to niezwykle ważne zagadnienie, ponieważ organizacje rządowe, wojskowe, korporacyjne, finansowe i medyczne zbierają, przetwarzają i przechowują ogromne ilości danych na komputerach i innych urządzeniach. Część z nich to informacje wrażliwe, takie jak własność intelektualna, dane finansowe czy dane osobowe. Nieupoważniony dostęp do tych danych może mieć bardzo poważne dalsze konsekwencje. Według raportu Symanteca w 2017 roku ofiarami cyberprzestępców padło 978 milionów ludzi w 20 krajach świata. Ataki hackerów spowodowały straty na poziomie 172 miliardów dolarów, co daje średnio po 142 dolary na osobę.¹

 

Z jakimi rodzajami cyberataków możemy się spotkać?

Istnieje wiele rodzajów cyberataków, a spośród najpopularniejszych możemy wyróżnić między innymi:

  • wycieki danych
  • wirusy
  • spyware – oprogramowanie szpiegujące, którego celem jest gromadzenie informacji o użytkowniku oraz przekazywanie ich dalej bez jego wiedzy
  • phishing – próba uzyskania hasła użytkownika do logowania, np. do portalu społecznościowego czy bankowości elektronicznej
  • ransomware – atak polegający na zaszyfrowaniu danych użytkownika, a następnie żądaniu opłaty za ich odszyfrowanie
  • DDos (ang. distributed denial of service) – atak na system lub usługę sieciową, np. poprzez logowanie się wielu użytkowników na raz w celu uniemożliwienia działania danego serwisu

Jakie konsekwencje grożą nam w przypadku niewłaściwych zabezpieczeń?

Konsekwencje zależą od rodzaju pozyskanych przez hackerów danych – od naruszenia prywatności (poczta elektroniczna, portale społecznościowe) i utraty reputacji (firmowe bazy danych), przez kradzież pieniędzy (konta bankowe) i uniemożliwienie pracy (zaszyfrowanie komputerów), po zniszczenie całej infrastruktury IT.

 

Jak się chronić przed cyberatakami?

Oto najważniejsze zasady, które powinniśmy wdrożyć jeszcze dziś, aby zminimalizować ryzyko ataków hackerskich na nasze dane:

1. Używaj różnych haseł dla każdej witryny – nie korzystaj z tego samego hasła, utwórz co najmniej kilka kombinacji haseł do różnych portali

2. Korzystaj z uwierzytelniania dwuskładnikowego – jeżeli masz taką możliwość, stosuj logowanie dwuetapowe, np. poporzez dodatkowe kody wysyłane na telefon

3. Szyfruj swój dysk – zabezpiecz dane dzięki specjalnemu oprogramowaniu, również na wypadek kradzieży czy zepsucia

4. Zaklej kamerkę internetową – na wypadek ataku polegającego na włączeniu jej przez hackera bez Twojej wiedzy

5. Szyfruj połączenia telefoniczne i wiadomości tekstowe – korzystaj z takich aplikacji, które uniemożliwią przechwycenie, np.  wiadomości tekstowych

6. Aktualizuj aplikacje i oprogramowanie – aby zapobiec wykorzystaniu „dziury” przez hackerów w celu złamania zabezpieczeń

7. Korzystaj tylko z legalnego oprogramowania – j.w.

8. Korzystaj z programów antywirusowych na telefonach i komputerach – aby uchronić się przed wirusami i złośliwym oprogramowaniem

 

Jak być na bieżąco z informacjami dotyczącymi bezpieczeństwa w Sieci?

Polecam Wam dwa popularne serwisy, dzięki którym będzie poinformowani o najnowszych wyciekach danych i innych groźnych incydentach. Są to: Niebezpiecznik.pl i ZaufanaTrzeciaStrona.pl. Sugeruję już dziś dodać do obserwowanych. 😉

 

Jak to wygląda od strony technicznej, czyli kilka słów o kryptografii

Z cyberbezpieczeństwem wiąże się ważna dziedzina zwana kryptografią, czyli kodowaniem lub inaczej szyfrowaniem jawnych (zrozumiałych) wiadomości w ukryte (kryptogramy), aby zapobiec dostępowi do nich osobom niepowołanym. Przypomina to trochę zabawę z czasów szkolnych, kiedy chcieliśmy wysłać komuś karteczkę z wiadomością, ale zakodowaną tak, aby tylko odbiorca mógł ją rozszyfrować według ustalonego wcześniej klucza. Nie wiem, jak Wy, ale ja strasznie lubiłam tego typu łamigłówki. 🙂

Szyfrowanie może być symetryczne lub asymetryczne.

W przypadku szyfrowania symetrycznego nadawca i odbiorca używają tego samego klucza do szyfrowania i deszyfrowania wiadomości. Przed wysłaniem wiadomości  muszą wspólnie ustalić tajny klucz i przekazać go sobie w bezpieczny sposób.

W przypadku asymetrycznego szyfrowania nadawca i odbiorca używają oddzielnych par kluczy – klucza publicznego (public key) i klucza prywatnego (private key). Klucz publiczny jest jawny, natomiast prywatny powinien być utajniony. Nadawca szyfruje wiadomość za pomocą klucza publicznego, ale odbiorca może ją odszyfrować tylko przy użyciu klucza prywatnego.

Jak wykorzystuje się kryptografię w praktyce?

Szyfrowanie asymetryczne stosuje się między innymi podczas wymiany korespondencji elektronicznej, cyfrowego podpisywania transakcji i dokumentów oraz w różnych protokołach kryptograficznych takich jak SSL (TLS) czy HTTPS. Jeżeli chcemy nawiązać bezpieczne połączenie z serwerem, np. sklepu internetowego czy banku, musi on nam przedstawić specjalny certyfikat, podpisany przez urząd certyfikacji. Dopiero po jego otrzymaniu mamy gwarancję, że serwer jest tym, za jaki się podaje, a połączenie jest bezpieczne. W przeciwnym razie na stronie wyświetli się odpowiedni komunikat.

To by było na tyle, jeśli chodzi o podstawową wiedzę z zakresu cyberbezpieczeństwa, którą chciałam się z Wami podzielić. Jest to temat bardzo gorący w ostatnich czasach, a w Sieci znajdziecie mnóstwo artykułów i dyskusji jemu poświęconych. Co więcej, w branży tej wciąż brakuje specjalistów, zatem jeśli zainteresowało Was to zagadnienie, polecam zastanowić się nad wyborem takiej ścieżki kariery. Wśród najpopularniejszych stanowisk macie do wyboru między innymi: specjalistę ds. bezpieczeństwa ITpentestera oraz security engineera.

A może jest wśród Was ktoś, kto zajmuje się na co dzień cyberbezpieczeństwem? Jak Wy chronicie się przed cyberatakami? Koniecznie dajcie znać w komentarzu. 🙂

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.