IT Architekt na RD. IT Bezpečnost? Straší vás? Strach jsou peníze. Open Source.

Nejsem žádný počítačový hacker. I když jsem se dokázal dostat do systému klasickou cestou. A věděl jsem a stále pravděpodobně vím, jak vám zavolat z vašeho telefoního čísla. Ale k věci.

Bojíte se bezpečnosti Open Source kódů? Pak byste měli:

  • Vyhodit svůj mobilní telefon – Android je Linux, iOS je Darwin čili BSD
  • Vypnout prohlížeče – 60% z vás má Chrome čili Chromium – Open Source, dalších 5% Firefox a Safari běží na Webkitu, což je Open Source
  • Přejít se svými weby na Microsoft Server řešení, protože většina webových serverů běží nad Apachem nebo Nginxem – obojí Open Source
  • Mnoho a mnoho softwarů proprietárních software je založeno na Open Source frameworcích, čili obsahují otevřené kódy – Angular, React, Vue kupříkladu pro vývoj webu

Proč má mnoho lidí tendenci se vyjadřovat k bezpečnosti, přestože problematice naprosto nerozumí?

  • Viděli ve filmu, jak je jednoduché napadnout systém – takzvaný hacker seděl u grafického klikacího rozhraní ve Flashi a uklikal bezpečnost Pentagonu – takto si většina lidí představuje hackera
  • Lidé jsou neustále strašení IT bezpečností – kolik znáte ve svém okolí lidí, kterým odcizili byť jen jedinou korunu z kreditní karty, což bývá nejčastější terč IT útoku na osobu?
  • Lidé se bojí o bezpečnost svých mikro eshopů
  • 99.9% lidí v životě žádného hackera nevidělo – sám jsem v životě viděl možná dva a to se v komerčním IT pohybuji docela dlouho
  • Televizní zprávy, články z druhé ruky o hackingu v bezpečnostním smyslu – toto vytváří strach

Co si lidé vůbec neuvědomují?

  • Váš eshop vůbec nikoho nezajíma – automatické systémy neustále scanují web, aby napadly známé díry v systémech a ve finále mohly použít napadené systémy pro spam nebo pro další cílený útok na služby, které mají skutečně cenu.
  • Najít díru v systému není úplně jednoduché, jelikož se využívá stále sofistikovanějších mechanismů, aby se do systémů díry nedostávaly
  • Největší hrozbou pro systémy a bezpečnost jsou lidé sami – nejčastěji nám útočili na slabá hesla – heslo123 pro FTP není to pravé
  • Výhody Open Source pochopil svět již v roce 2014, kdy já osobně nemám na desktopu uzavřený systém již od roku 2004. Češi možná pochopí výhody Open Source plně v roce 2020 – klasicky jsme trošičku za světem.
  • Bílý dům používá WordPress pro svůj web a před tím měli Drupal – oboje Open Source pod GPL licencí
  • Nejbezpečnější systém světa se jmenuje OpenBSD – Open proto, že do něj nesmí jediný řádek zavřeného kódu – a to z důvodu, že v zavřených kódech mohou být backdoory, chyby a nikdo není téměř schopen toto zkontrolovat a opravit
  • Lidé mívají jeden email a jedno heslo pro mnoho služeb – pokud má například Yahoo uloženy hesla v plain text podobě a data se dostanou na světlo světa je velmi rychlé a jednoduché naprogramovat roboty, kteří se snaží pod stejným přihlašovacím údajem přihlašovat do služeb jako LinkedIN, Facebook, Twitter a další
  • Lidé žijí v omylu, že uzavřený kód je bezpečnější, protože si systémy představují jako trezor – ale je to právě naopak – čím více očí kód vidí, tím je pravděpodobnější odhalení chyby (http://www.franklinfitch.com/blog/2017/06/13/open-source-vs-closed-source-secure/)
  • Velkou hrozbou jsou opět lidé, kteří si bez rozmyslu instalují na své počítače a telefony software, otevírají emaily s přílohami a všeobecně nemají o bezpečnosti ani tušení
Čtěte také:   100 000 produktů v eshopu bez vlivu na výkon

Co vám mohu ukázat, jak bych napadl systém a co dělat?

  • Existují YouTube videa, kde mladí kluci ukazují Metaspoit v akci – nechají běžet 2 antiviry na Windows a skrz přílohu mailu a VB makro spustí kód v Excelu, kterým si otevřou port na Windows a začnou stroj kontrolovat
  • Existují videa na YouTube, kde Jacom Appelbaum tvrdí, že CIA a NSA mají cracknuté routery od čínských výrobců a řízeným packet stormem jsou schopni vypnout internet v případě potřeby
  • V současnosti se systémy napadají nejvíce takzvaným Distributed Denial of Service útokem, kdy statisíce IP kamer začnou posílat požadavky na zobrazení některé webové stránky – IoT zařízení bývají nezabezpečené již z výroby
  • Rozhodně bych neútočil na hrad tlučením hlavou do hradeb – buď bych se nechal najmout jako IT pracovník ve firmě, kterou bych chtěl hacknout, nebo bych přes sociální inženýrství dostal kódy za firemní firewally – sekretářky rády otevírají emaily s platy vedení
  • Mějte vždy několik typů hesel
  • Pro důležité služby jako je Gmail, Facebook pokud je pro vás důležitý, Amazon, LinkedIN a různé další používejte dvoufaktorovou autentikaci – čili uživatel, heslo a kód na telefonu jako do banky – tam je to jasné
  • Mějte vše zálohované – na dvě místa online plus pokud máte důležitá data, mějte jeden disk offline s archivy svých důležitých dat
  • Jako heslo si nastavte kousek básničky, nějakou větu či osobní motto
  • Existují antivirové firmy, které sice tvrdí, že vás chrání a dávají své antiviry zadarmo, ale jako součást antiviru si instalujete spyware, kdy každý svůj klik a to včetně zabezpečených webů odesíláte oné antivirové firmě, která následně s těmito daty obchoduje – mohu dokázat
  • Jediné, co firmy zajímá, jsou vaše data, aby na vás lépe mohly cílit reklamu – toto dělá Facebook, LinkedIN, Google a Angry Birds nebo Pokemon GO ve vašem mobilu na vás řeknou snad dokonce to, že jste na WC
  • Facebook měl dokonce ve své mobilní aplikaci odposlech z důvodu, aby lépe updatoval status uživatele – čili aplikace vás v klidu skrz mikrofon poslouchají, přestože je display telefonu vypnutý
  • I když vyhodíte telefon z okna, stále bude na stole ležet pár telefonů vašich spolupracovníků či známých, které provádějí to samé
  • Svá data odevzdádváte Microsoftu, Googlu, Facebooku, LinkedINu, Instagramu, Snapchatu, O2, T-Mobilu, Vodafonu a mnoha dalším
  • Velká bezpečnostní díra vašeho domova je váš router, který vás spojuje se světem – Ubiquiti a další měli v minulosti bezpečnostní problémy
  • Ve vašich Windows 10 je nová Zero day zranitelnost https://thehackernews.com/2018/08/windows-zero-day-exploit.html
  • Za 14 let jsem na svém BSD a Linuxu na desktopu neměl jediný virus
  • Viděl jsem mnoho napadený webů – nejúčinější je mít mnoho a mnoho záloh
  • Nemáte zálohy? Neexistujete
  • Viděl jsem mnoho a mnoho prosících lidí, kterým kolegové architekti čistili jejich Windows od ransomwaru – zašifrované soubory s vydíráním – pokud by lidé měli zálohy, což nikdy neměli, nemuseli se trápit
Čtěte také:   Push notifikace jako další marketingový kanál. Proč jim věnovat pozornost?

Jsem jenom obyčejný uživatel počítače, takže si mě prosím nepleťte s hackerem. Na ty se chodí dívat do kina, protože ty skutečné nikdy nepoznáte, neuvidíte a váš eshopík je skutečně nezajímá!

Jak bezpečnost řeší WPDistro?

  • Zálohujeme na tři místa
  • Servery nejsou mezi sebou nijak propojeny
  • Zálohujeme offline
  • Na WordPressech máme automatické aktualizace
  • Máme monitoringy, které hlídají naše služby
  • Používáme kvalitní pluginy pro WordPress od ověřených firem
  • MaMarketing zatím nikdy nemusel řešit bezpečnostní problém na svých systémech
  • Díky zkušenostem bychom jakýkoli bezpečnostní incident vyřešili naprosto v klidu a bez problémů s minimem škod

Více o bezpečnosti zde.

Sdílejte, ať je nás víc!

Share on facebook
Share on twitter
Share on linkedin