Теме

Izgradnja kulture bezbednosti
Jake osnove:
Obezbeđivanje naloga i
uređaja
Bezbedna komunikacija
i skladištenje podataka
Bezbednost na
internetu
Zaštita fizičke
bezbednosti
Šta da radite kad
stvari krenu po zlu

Jake osnove: Obezbeđivanje naloga i uređaja

Bezbedni uređaji

Pored naloga, od suštinskog je značaja da dobro zaštitite sve uređaje - kompjutere, telefone, USB-ove, eksterne hard diskove itd. Ovakva zaštita počinje obraćanjem pažnje na to koje vrste uređaja vaša organizacija i osoblje nabavljaju i koriste. Bilo koji prodavci ili proizvođači koje odaberete bi trebalo da imaju istorijat poštovanja globalnih standarda za bezbedni razvoj hardverskih uređaja (kao što su telefoni i kompjuteri). Bilo koji uređaji koje nabavite bi trebalo da budu proizvedeni u pouzdanim kompanijama koje nemaju motiva da predaju podatke i informacije potencijalnom protivniku. Važno je napomenuti da kineska vlada od kineskih kompanija zahteva da joj prosleđuju podatke. Tako da uprkos svepristunosti jeftinih pametnih telefona kao što su Huawei ili ZTE, iste treba izbegavati. Iako cena jefitnog hardvera može biti jako privlačna nekoj organizaciji, potencijalni bezbednosni rizik za organizacije koje se zalažu za demokratiju, ljudska prava ili odgovornost države bi trebalo da bude dovoljno jak razlog da se opredelite za neke druge uređaje, pošto je pristup ovim podacima pomogao kineskoj i drugim vladama da se okome na određene pojedince i zajednice.

Vaši protivnici mogu ugroziti bezbednost vaših uređaja - i sve što radite sa tih uređaja - tako što će vašim uređajima pristupiti ili direktno (fizički) ili na daljinu.

Bezbednost uređaja i civilno društvo

cyber Photo

Neki od najnaprednijih malvera na svetu su kreirani i upotrebljeni kako bi se napale organizacije civilnog društva i branitelji ljudskih prava. U Indiji, na primer, Amnesty International je prijavio da je tokom 2020. bar devet branitelja ljudskih prava bilo meta napada spajverom (vrstom malicioznog softvera) preko kompjutera i mobilnih telefona. Spajver je ubačen preko niza „fišing“ (phishing) mejlova sa linkovima na zaražene fajlove poslate preko Firefox Send-a (programa za slanje linkova koji više ne postoji). Ukoliko bi neko otvorio fajl, uređaji bi im bili zaraženi softverom koji je snimao njihove razgovore, presretao poruke i beležio šta kucaju na tastaturi, te ih tako u principu stavio pod konstantni nadzor napadača. Takvi napadi, koji su često usmereni protiv grupa civilnog društva i pojedinačnih članova njihovog osoblja, nažalost predstavljaju uobičajeni način na koji napadači dobiju pristup uređaju na daljinu.

Fizički pristup uređajima usled krađe ili gubljenja

Kako biste sprečili da neko fizički pristupi vašim uređajima, od suštinskog je značaja da ih čuvate. Ukratko, nemojte protivniku olakšati da ukrade ili čak privremeno uzme uređaj od vas. Zaključavajte uređaje ako ih ostavite kod kuće ili u kancelariji. Ili, ako mislite da je to bezbednije, stalno ih nosite sa sobom. Ovo naravno znači da je bezbednost uređaja povezana sa fizičkom bezbednošću vašeg radnog prostora (bilo da radite u kancelariji ili od kuće). Možda ćete morati da instalirate jake brave, kamere ili druge sisteme za video nadzor - naročito ako je vaša organizacija izložena velikom riziku. Podsetite osoblje da se prema svojim uređajima ponašaju kao velikom svežnju novčanica – dakle, da ih ne ostavljaju posvuda bez nadzora ili zaštite.

Šta ako vam ukradu uređaj?

Kako biste smanjili štetu ako vam neko ukrade uređaj – ili čak i ako mu samo kratkotrajno pristupi - obavezno naložite upotrebu jakih lozinki ili šifri na svim kompjuterima i mobilnim telefonima. U slučaju kompjutera ili laptopa važe isti saveti kao u odeljku koji je obrađivao lozinke. Kad je u pitanju zaključavanje telefona, koristite šifre od bar šest do osam cifara i izbegavajte da otključavate ekran povlačenjem prsta. Za dodatne praktične savete o zaključavanju ekrana, pogledajte Data Detox Kit (Paket za detoksikaciju podataka) koji je kreirao Tactical Tech. Ako koristite jake lozinke na uređajima onda će proitivniku biti mnogo teže da brzo pristupi podacima na njima u slučaju krađe ili konfiskacije. Sa jakom šifrom, aktiviranje prepoznavanja lica ili otključavanja otiskom je u redu, ali obavezno iste deaktivirajte (bez deaktiviranja jake šifre) pre visokorizičnih aktivnosti poput učešća u demonstracijama ili prelaska granice ukoliko se vi ili vaše osoblje brinete da će vam vlasti konfiskovati te uređaje.

Ako bilo koji uređaj u vlasništvu organizacije ima „pronađi moj uređaj“ funkciju, kao npr. Find My iPhone na ajfonu ili Find My Device na android telefonima, razmislite da tražite od osoblja da je uključe. Podstaknite osoblje da ove funkcije koristi i na svojim privatnim telefonima. Kad je ova funkcija uključena, vlasnik uređaja (ili osoba iz njegove liste kontakta u koju ima poverenja) mogu da lociraju uređaj ili izbrišu sve na njemu na daljinu ukoliko je ukraden, izgubljen ili konfiskovan. U slučaju ajfona, možete i da podesite uređaj da sam izbriše sav sadržaj na sebi nakon nekoliko neuspešnih pokušaja prijave. Takve funkcionalnosti za upravljanje uređajima postaju od kritičnog značaja za neku organizaciju u slučaju da uređaj sa osetljivim informacijama bude izgubljen ili dospe u pogrešne ruke.

A šta je sa enkripcijom uređaja

Važno je koristiti enkripciju, šifrovati podatke tako da budu nečitljivi ili neupotrebljivi na svim vašim uzređajima, naročito kompjuterima i pametnim telefonima. Trebalo bi da na svim uređajima u vašoj organizaciji po mogućnosti podesite nešto što se zove enkripcija celog diska. Enkripcija celog diska zapravo znači da je ceo uređaj šifriran tako da protivnik, ukoliko ga ukrade, ne bi mogao da izvuče sadržaj sa njega a da ne zna lozinku ili ključ koji je korišten za šifrovanje.

Mnogi moderni pametni telefoni i kompjuteri nude enkripciju celog diska. Apple-ovi uređaji poput ajfona i ajpeda, veoma zgodno uključuju enkripciju celog diska kada kreirate normalnu šifru za pristupanje uređaju. Apple-ovi kompjuteri koji koriste Mac operativni sistem imaju funkcionalnost po imenu FileVault koju možete da uključite kako biste omogućili enkripciju celog diska.

Windows kompjuteri sa pro, poslovnim ili edukacionim licencama nude funkcionalnost koja se zove BitLocker koju možete da uključite kako biste omogućili enkripciju celog diska. BitLocker možete da uključite ako pratite ova uputstva, ali isti možda prvo treba da odobri administrator vaše organizacije. Ako osoblje ima samo Windows licencu za kućnu upotrebu BitLocker im neće biti dostupan. Međutim, i dalje mogu da uključe enkripciju celog diska ako u podešavanjima Windows operativnog sistema odu na komandu ‘Update & Security’ > ‘Device encryption’.

Na android uređajima, od verzije 9,0 nadalje, enkripcija celog diska je uključena u fabričkim podešavanjima. Ako korisite relativno novi android telefon i imate šifru, trebalo bi da vam je uključena i enkripcija celog diska. Međutim, dobra je ideja da proverite podešavanja čisto da budete sigurni, naročito ako su vam telefoni stariji od par godina. Kako biste proverili, idite na Podešavanja > Bezbednost na vašem android uređaju. U okviru bezbednosnih podešavanja bi trebalo da pogledate pododeljak „enkripcija“ ili „enkripcija i akreditivi“ koji će vam ukazati na to da li je vaš telefon pod enkripcijom i ako nije, dozvoliti vam da je uključite. 

Kod kompjutera (bilo da imaju Windows ili Mac operativni sistem), naročito je bitno da sve enkripcione ključeve (koje zovu ključevi za povraćaj) držite na sigurnom mestu. Ovi ključevi za povraćaj su u većini slučajeva u principu duge lozinke koje se mogu sastojati i od više reči. U slučaju da zaboravite vašu uobičajenu lozinku ili se desi nešto neočekivano (kao npr. kvar na uređaju), ključevi za povraćaj su jedini način da povratite svoje enkrriptovane podatke i, ukoliko je to potrebno, premestite ih na novi uređaj. Dakle, kad uključite enkripciju celog diska, obavezno te ključeve smestite na sigurno mesto, poput obezbeđenog naloga na klaudu ili u program za upravljanje lozinkama vaše organizacije.

Daljinski pristup uređaju – takođe poznat kao hakovanj

Pored fizičke bezbednosti uređaja, važno je i zaštiti ih od malvera. Vodič Security-in-a-Box  (Bezbednost u kutiji) NVO-a Tactical Tech daje koristan opis malvera i važnosti izbegavanja istog, koje u blago adaptiranom obliku prenosimo u ostatku ovog odeljka.

Razumevanje i izbegavanje malvera 

Postoje mnogi načini klasifikacije malvera (što je portmanto engleskih reči zlonamerni i softver) Virusi, spajver, crvi, trojanci, rutkitovi, ransomver i kriptodžekeri su sve tipovi malvera. Neki tipovi malvera se internetom šire preko mejlova, SMS-ova, lažnih sajtova i na druge načine. Neki se šire preko uređaja poput USB-a koji se koriste za razmenu i krađu podataka. I dok je u slučaju pojedinih malvera neophodno da nesvesna meta napravi grešku, drugi mogu da iz potaje zaraze ranjive sisteme, a da vi nigde ne pogrešite.

Pored generalnog malvera (koji se široko distribuira i meta mu je opšta javnost), ciljani malver se tipično koristi kako bi se uticalo na određenu osobu, organizaciju ili mrežu ili kako bi se isti špijunirali. Obični kriminalci koriste ove tehnike, ali to čine i vojne i obaveštajne službe, teroristi, lica koja uznemiravaju druge preko interneta, počinitelji nasilja u porodici i sumnjivi političari.   

Kako god ih zvali, kako god da se šire, malveri mogu da unište kompjutere, ukradu i izbrišu podatke, dovedu organizacije do bankrota, ugroze privatnost i dovedu korisnike u opasnost. Ukratko, malver je zaista jako opasan. Međutim, postoje jednostavni koraci koje vaša organizacija može da preduzme kako bi se zaštitila od uobičajene pretnje.

Da li će nas antimalveri zaštititi?

Antimalver programi nažalost nisu kompletno rešenje. Ali, jako je dobra ideja da koristite neki osnovni, besplatni program kao osnovu. Malver se menja tako brzo i novi rizici se tako često pojavljuju da ne možete da se oslonite samo na takav program da biste se zaštitili.

IUkoliko koristite Windows bacite pogled na Windows Defender koji dolazi sa tim operativnim sistemom. Mac i Linux kompjuteri nemaju ugrađeni antimalverski softver, kao ni android ili iOS uređaji. Na tim uređajima (kao i na računarima koji koriste Windows) možete instalirati pouzdani, besplatni softver kao što su Bitdefender ili Malwarebytes. Ali ne oslanjajte se na njih kao na jedinu liniju odbrane pošto će sigurno propustiti neki od najciljanijih, najopasnijih novih napada.

Takođe pazite da skidate samo pouzdane antimalvere i antiviruse iz legitimnih izvora (poput gore navedenih internet stranica). Nažalost, postoje mnoge lažne ili kompromitovane verzije antimalverskog softvera koje mogu pre da naškode nego da vas zaštite.

Ukoliko koristite Bitdefender ili još neki antimalver u okviru organizacije, pazite da ih ne aktivirate istovremeno. Mnogi od njih će rad drugog antimalver programa identifikovati kao sumnjivu aktivnost i zaustaviti ga, što će dovesti do toga da nijedan ni drugi program ne funkcioniše kako treba. Bitdefender ili druge pouzdane antimalverske programe možete besplatno ažurirati, a Windows Defender se ažurira zajedno sa vašim kompjuterom. Postarajte se da se vaš antimalverski softver redovno ažurira (neke probne verzije komercijalnog softvera koje dobijete sa računarom prestanu da rade nakon što probni period istekne i tako zapravo predstavljaju pre rizik nego pomoć). Novi malver nastaje i distribuiše se svakodnevno, i vaš kompjuter će brzo postati još ranjiviji ukoliko stalno ne skidate nove definicije malvera i nove antimalverske tehnike. Ukoliko je to moguće, treba da softver podesite tako da se automatski ažurira. Ako vaš antimalverski program ima opcionu „uvek uključen“ funkciju, trebalo bi da je uključite i da razmotrite da povremeno skenirate sve fajlove na kompjuteru.

Ažurirajte uređaje

Ažuriranje je od suštinskog značaja. Instalirajte poslednju verziju operativnog sistema koji vaš uređaj koristi (Windows, Mac, Android, iOS, itd), i redovno ažurirajte taj operativni sistem. Ažurirajte i sav ostali softver, internet pretraživač i bilo koje njegove dodatne komponente. Instalirajte ispravke čim postanu dostupne, idealno tako što ćete uključiti automatsko ažuriranje. Što je operativni sistem na vašem uređaju ažuriraniji, to će biti manje ranjiv. Razmišljajte o ažuriranju kao stavljanju flastera na posekotinu. Pokriva ranu i uveliko smanjuje mogućnost infekcije. Takođe dezinstalirajte softver koji više ne koristite. Zastareli softver često predstavlja pretnju po bezbednost i možda ste instalirali alatku koju njen kreator više ne ažurira zbog čega je ranjivija na hakerske napade.

Malver u stvarnom svetu: Ažuriranje je ključno

Malware photo

Napadi WannaCry ransomverom su 2017. godine zarazili milione uređaja širom sveta, zatvorili bolnice, državne institucije, velike i male organizacije i kompanije u desetinama zemalja. Zašto je ovaj napad bio tako uspešan? Zbog zastarelih, neažuriranih Windows operativnih sistema od kojih su mnogi bili piratske verzije. Veliki deo ove štete – kako po ljude tako i finansije – je mogao biti izbegnut da su se koristili legalni operativni sistemi i da je postojala obaveza uključivanja automatskog ažuriranja.

Budite oprezni kad radite sa USB-ima

Budite oprezni prilikom otvaranja fajlova koje vam šalju u prilozima mejlova, preko linkova za skidanje, ili na bilo koji drugi način. Takođe, dobro razmislite pre nego što ubacite uređaje poput USB-a, kartica sa fleš memorijom, DVD-a i CD-a u svoj kompjuter pošto sa njih možete pokupiti malver. USB-i koje duže vreme deli više ljudi vrlo verovatno sadrže viruse. Kako biste videli neke alternativne opcije bezbednog deljenja fajlova u okviru organizacije konsultujte odeljak o deljenju fajlova u ovom priručniku.

Takođe pazite sa kojim uređajima se povezujete preko Bluetooth-a. Sasvim je u redu da povežete svoj telefon ili uređaj sa poznatim i bezbednim Bluetooth zvučnikom kako biste pustili omiljenu pesmu, ali pazite da se ne povezujete sa nepoznatim uređajima niti primate zahteve za povezivanje od njih. Dozvolite povezivanje samo sa pouzdanim uređajima i setite se da isključite Bluetooth kad ga ne koristite.

Budite pametni tokom pretraživanja interneta

Nikad ne prihvatajte niti pokrećite aplikacije sa internet stranica koje ne znate niti im verujete. Na primer, umesto da prosto prihvatite „ažuriranje“ koje vam nudi prozorčić koji iskoči u vašem pretraživaču, proverite da li je nekoj vašoj aplikaciji zapravo uopšte potrebno ažuriranje na njenom zvaničnom sajtu. Kao što je pomenuto u odeljku priručnika koji se bavi fišingom (phishing), od suštinskog je značaja da pazite gde klikćete na interent sajtovima. Proverite destinaciju linka (tako što ćete postaviti strelicu kursora na nju) pre nego što kliknete, pogledajte adresu stranice nakon što kliknete na link i uverite se da izgleda kako treba pre nego što unesete bilo kakve osetljive podatke poput lozinke. Nemojte klikati na poruke ili upozorenja o grešakama i čuvajte se prozorčića koji automatski iskaču u pretraživaču pa ih uvek pažljivo pročitajte umesto da samo kliknete na „da“ ili „OK“. 

A šta je sa pametnim telefonima?

Kao i u slučaju kompjutera, redovno ažurirajte operativni sistem i aplikacije na vašem telefonu, i uključite automatsko ažuriranje. Instalirajte aplikacije samo iz zvaničnih ili pouzdanih izvora kao što su Google Play i Apple App Store (ili F-droid, besplatna, open source radnja za android aplikacije). Aplikacije mogu da sadrže malver a i dalje naizgled normalno funkcionišu pa nikad ne znate da li je neka opasna. Postarajte se i da uvek skidate legalne verzije aplikacija. Na android telefonima naročito, postoji puno „lažnih“ verzija popularnih aplikacija. Tako da proverite da li aplikacija ima legitimnog kreatora, dobre recenzije i očekivani broj skidanja (npr. lažna verzija WhatsApp-a će biti skinuta možda nekoliko hiljada puta, ali prava verzija je skinuta 5 milijardi puta). Obratite pažnju na to koje dozvole određena aplikacija traži. Ako ti zahtevi deluju preterani ili nelogični (kao digitron koji traži pristup kameri ili Angry Birds igrica koja traži pristup vašoj lokaciji, na primer) odbijte zahtev ili izbrišite aplikaciju. Brisanje aplikacija koje više ne koristite takođe može da doprinese bezbednosti vašeg telefona ili tableta. Kreatori aplikacija nekad prodaju vlasništvo nad njima drugim ljudima. Ti novi vlasnici mogu pokušati da zarade tako što će u datu aplikaciju ubaciti zlonamerni program.

Malver u stvarnom svetu: zlonamerne mobilne aplikacije

iphone Screen

Hakeri u čitavom nizu zemalja su godinama koristili lažne aplikacije u Google Play radnji da šire malver. Jedan specifičan slučaj gde su pod napadom bili korisnici u Vijetnamu je dospeo u vesti u aprilu 2020. Ova špijunska kampanja je koristila lažne aplikacije koje su navodno korisnicima pomagale da pronađu najbližu kafanu ili informacije o lokalnim crkvama. Jednom kad bi je naivni vlasnik android telefona instalirao, ova aplikacija bi evidentirala pozive, podatke o lokaciji i informacije o kontaktima i SMS porukama. Ovo je samo jedan od razloga što treba da pazite kakve aplikacije skidate.

Uštedite novac i poboljšajte bezbednost uz pomoć Tails operativnog sistema

Jedna veoma bezbedna opcija koja doduše zahteva određeni stepen tehničke veštine tokom instaliranja je operativni sistem Tails. Ovaj portabl operativni sistem je besplatan i možete ga pokrenuti direktno sa USB-a, i tako zaobići potrebu oslanjanja na licencirani Windows ili Mac operativni sistem. Tails je takođe dobra opcija za one koji su izloženi visokom riziku jer obuhvata čitav niz funkcionalnosti za zaštitu privatnosti. Ove funkcionalnosti podrazumevaju integraciju Tor-a (koji ćemo predstaviti u nastavku teksta) kako bi se omogućio bezbedan internet saobraćaj, i potpuno brisanje memorije svaki put kad ugasite operativni sistem. Suštinski vam dozvoljavaju da svaki put kad restartujete kompjuter počnete ispočetka. Tails takođe ima i „trajni način rada“ koji vam omogućava da sačuvate važne fajlove i podešavanja tokom više sesija, ako tako želite. 

Još jedan besplatni, bezbedni operativni sistem je Qubes OS. Dok nije najednostavnija opcija za korisnike koji nisu tehnički potkovani, Qubes je dizajniran da smanji opasnost od malvera i predstavlja još nešto što napredni korisnici u vašoj organizaciji, kao i oni koji su izloženi visokom riziku treba da razmotre, naročito ako vam cena licenci predstavlja problem.

Šta ako ne možemo da priuštimo legalni softver?

Licence za popularni softver kao što su Microsoft Office (Word, Powerpoint, Excel) za vašu celu organizaciju mogu biti skupe, ali ograničeni budžet nije izgovor za skidanje piratizovanih verzija softvera ili neredovno ažuriranje. Ovo nije pitanje morala, već bezbednosti. Piratizovani softver je često krcat malverom i ne može biti ažuriran kako bi se pokrpile rupe u bezbednosti. 

Ako ne možete da priuštite softver koji je vašoj organizaciji potreban, postoji niz odličnih, besplatnih open source softverskih alatki kao što su LibreOffice (zamena za standardne Microsoft Office aplikacije) ili GIMP (zamena za Photoshop) koje mogu da zadovolje vaše potrebe. Takođe razmislite da se registrujete preko TechSoup, što je organizacija koja nudi velike popuste na popularan softver za neprofitne organizacije.

Čak i ako možete da priuštite legalni softver i aplikacije, vaš uređaj je i dalje u opasnosti ukoliko operativni sistem nije legalan. Tako da ako vaša organizacija ne može da priušti licencu za Windows, razmislite o jeftinijim alternativama poput Chromebook-ova, koji predstavljaju odličnu opciju koju je lako obezbediti ako vaša organizacija radi uglavnom u klaudu. Ako korisitite Google Docs ili Microsoft 365, uopšte vam nije potrebno mnogo desktop aplikacija - besplatni editori dokumenata i tabela su sasvim dovoljni za gotovo sve potrebe.

Još jedna opcija, ako imate tehnički potkovano osoblje, je da instalirate besplatni Linux operativni sistem (open source alternativa Windows i Mac operativnim sistemima) na svim kompjuterima. Jedna popularna, laka za upotrebu Linux opcija je Ubuntu. Bez obzira na to koji operativni sistem odaberete, postarajte se da neko u organizaciji bude zadužen za to da redovno sa osobljem proverava da li su ažurirali sve što treba.

Kada odlučujete o novom alatu ili sistemu, razmotrite kako ga vaša organizacija može tehnički i finansijski podržati na duži rok. Postavite sebi pitanja poput: Možete li da priuštite i zadržite osoblje potrebno da ga bezbedno održavate? Možete li da platite obnavljanje pretplate? Da li imate pristup popustima od organizacija kao što je pomenuti TechSoup? Odgovaranje na ova pitanja može vam pomoći da vaše softverske i tehnološke strategije budu uspešnije tokom vremena

Zaštita uređaja

  • Obučite osoblje o rizicima malvera i najboljim načinima da se isti izbegnu.
    • Formulišite politike o povezivanju na eksterne uređaje, kliktanju na linkove, skidanju fajlova i aplikacija i proveri dozvola koje softver i aplikacije zahtevaju.
  • Uvedite obavezu redovnog ažuriranja uređaja, softvera i aplikacija.
    • Kad god je to moguće uključite automatsko ažuriranje.
  • Postarajte se da svi uređaji koriste legalni softver.
    • Ukoliko je trošak preveliki, prebacite se na besplatnu alternativu.
  • Zahtevajte zaštitu lozinkama na svim uređajima organizacije, uključujući lične mobilne telefone koji se koriste za poslovnu komunikaciju.
  • Uključite enkripciju celog diska na svim uređajima.
  • Često podsećajte osoblje da pazi na fizičku bezbednost svojih uređaja - i vodite računa o bezbednosti u poslovnim prostorijama tako što ćete ugraditi brave i zaključavati kompjutere.
  • Ne delite fajlove preko USB-a ili ne uključujte USB-ove u svoje kompjutere
    • Umesto toga koristite alternativne bezbedne opcije za deljenje fajlova.