Podróże z Internetem (internet w podróży – jak bezpiecznie korzystać)

„Podróże z Internet” to wydana ponad 20 lat temu (kwiecień 1995) książeczka. Ponieważ Google pojawił się dopiero 3 lata później, tego typu wydawnictwa odpowiadały na potrzebę docierania do określonych tematycznych zasobów sieci – tutaj dotyczących podróżowania. Indeks zawiera alfabetyczny spis kontynentów i krajów, a poszczególne rozdziały po 2-3 witryny www, które możemy sobie przepisać w okno naszego Mosaica. Polski w wykazie nie było.

Dzisiaj już odmieniamy słowo internet (niektórzy politycy mówią wręcz o internetach), a na hasło „Podróże z internetem” większość pomyśli sobie pewnie, że chodzi o dostęp do wifi w trakcie podróży za pomocą smartfona albo sposób na to, jak tanio kupić na lokalnym rynku kartę 3G/LTE, tak żeby móc być online na facebooku w czasie wyjazdu non-stop. A przynajmniej zawsze wtedy, kiedy poczujemy, że tego potrzebujemy.

Od tych zamierzchłych czasów technologia ewoluowała. Dzisiaj problemy takie jak znalezienie informacji, czy wykonanie rezerwacji i zakupu przez internet praktycznie nie istnieją (chyba że siedzicie na 3G w prepaidzie od Brazylijskiego TIMa, który z jakichś powodów postanowił limitować łącze do 100 kilobitów na sekundę). Są za to inne, istotne problemy, często wiążące się z bezpieczeństwem, które są chlebem powszednim podczas podróżowania („Czy właśnie nie zrobiłem czegoś strasznie głupiego?”) i o których, o dziwo, nikt jeszcze nie napisał książki.

Skorzystajcie z mojego zawodowego doświadczenia, a wpis ten niech ten będzie takim podręcznikiem przetrwania, opisującym podstawowe zagrożenia, z jakimi możecie mieć do czynienia podróżując i korzystając z internetu oraz – w drugiej części – poradnikiem, co zrobić aby konkretne zagrożenia zminimalizować.

Ilustracją niech będą strony uroczej książki, która części może pomóc – tym, którzy je pamiętają – odbyć podróż w czasy, kiedy internetem rządził usenet i gopher, a pozostałym pokazać, jak świat zmienił się przez niespełna dwie dekady.

Zagrożenia

Przyjrzyjmy się najpoważniejszym problemom, z jakimi może się spotkać podróżujący użytkownik internetu. Jeśli nie chcecie dać się wystraszyć albo macie mało czasu, przejdźcie od razu do drugiej części, gdzie piszemy jak problemom tym przeciwdziałać. :)

Kradzież pieniędzy i tożsamości

Kradzież tożsamości to najpoważniejszy problem w sieci; może  się on wam kojarzyć z odcinaniem ludziom palców, aby dostać się do super-tajnego ośrodka badawczego, prowadzonego przez agencje rządową do spółki z wojskiem. W rzeczywistości nic nie trzeba nikomu odcinać, aby skutecznie w internecie przekonać każdego, że jesteśmy tą osobą, za którą się podajemy.

Dwie najważniejsze informacje, które należy bezwzględnie chronić, to nasze dane finansowe – czyli dostęp do naszych danych i kont bankowych oraz numeru i pozostałych informacji z kart płatniczych oraz nasz adres email. Poczta elektroniczna, najstarsza internetowa forma komunikacji, to tak powszechna usługa, że nie zdajemy sobie często sprawy z jej istotności. W rzeczywistości rejestracja oraz zmiany kluczowych danych w dowolnym serwisie internetowym są zazwyczaj autoryzowane właśnie przez email – otrzymujemy wiadomość, gdzie musimy kliknąć na link, który znamy tylko my i już po sprawie. Pamiętajcie więc, aby przede wszystkim i ponad wszelką wątpliwość chronić wasze dane osobiste oraz dane płatnicze.

Jeśli boicie się, że zapamiętanie wszystkich sposobów na ochronę zawartych poniżej jest ponad wasze siły, to przede wszystkim zadbajcie o te kilka pierwszych: chrońcie przede wszystkim dostęp do waszych danych finansowych (karty i konta) oraz poczty elektronicznej i nigdy nie korzystajcie z publicznie dostępnych komputerów!

Oprócz tych dwóch najpopularniejszych metod, aby dobrać się do naszych środków oraz, używając naszych danych, prowadzić szemrane biznesy w sieci ważne jest też zachowanie prywatności, a więc pewność, że w sieci nikt nas nie podsłuchuje i nie jest w stanie przechwycić naszej cyfrowej tożsamości w serwisach internetowych, nawet bez konieczności wykradania naszego hasła. Zwróćcie uwagę na kwestię używania obcych komputerów, na wszechobecne sieci wifi i wreszcie na włączenie, gdzie się tylko da, szyfrowania transmisji, która zabezpieczy nas przed podsłuchami.

Te wszystkie starania oczywiście staną się zupełnie nieskuteczne, jeśli nasze dane logowania będą nieefektywne, np. konto będzie chronione przez słabe hasło lub będzie możliwość korzystania z tego samego hasła wykradzionego z jakiegoś niszowego i słabo zabezpieczonego serwisu. Warto również, przynajmniej w krytycznych zastosowaniach (poczta), zainteresować się mechanizmem tzw. dwuskładnikowego uwierzytelnienia, gdzie poza hasłem potrzebne będzie coś jeszcze…

Nigdy, nigdy, nigdy ale to przenigdy nie używaj tego samego hasła dla banku, kont pocztowych, miejsc gdzie masz podpiętą kartę kredytową (np. sklep z aplikacjami Apple/Android) i pozostałych serwisów. Twórcy większości serwisów internetowych (no może poza google i bankami) nie są w stanie zapanować nad swoimi serwisami, więc regularnie dochodzi do wycieku danych logowania. Nie dopuść do tego, żeby twoje hasło, wykradzione w mało istotnym serwisie, mogło posłużyć do włamania tam, gdzie masz wiele do stracenia!

Weźcie pod uwagę również to, że dowód osobisty i paszport (i ewentualnie wiza), czy imienne rezerwacje lotów/przejazdów, to też elementy naszej tożsamości. A te, jak wszystkie przedmioty niewirtualne można zgubić lub stracić (np. przez kradzież). Dobrze jest się na tę ewentualność zabezpieczyć i przechowywać ich cyfrowe kopie w bezpiecznym miejscu.

Prywatność w sieci to trudny problem. Nawet Facebook swego czasu nie ustrzegł się problemu, przez który każdy mógł czytać prywatne wiadomości innych użytkowników. Najlepiej i najbezpieczniej jest przyjąć (nieco niewygodny) fakt, że w sieci nie ma prywatności i nie przekazywać swoich „tajemnic” w formie elektronicznej. A więc za pomocą wiadomości (nawet tych prywatnych!) nie należy wysyłać nikomu naszych danych kontaktowych (np. adres zamieszkania), informacji wrażliwych (np. o chorobach) czy intymnych (np. roznegliżowane fotki). Weź też pod uwagę, że cokolwiek sfotografujesz smartfonem, prawdopodobnie automatycznie zostanie przesłane „do chmury”, jak tylko po raz pierwszy połączysz się z wifi, a zdjęcie będzie dostępne nawet wtedy, kiedy zostanie skasowane z telefonu.

Kradzież telefonu i komputera

Tutaj sprawa jest prosta, ktoś nam kradnie telefon, laptopa nieopatrznie zostawiamy w pokoju hotelowym, a tablet w kieszeni z tyłu fotela w samolocie. Teraz możemy opłakiwać stratę i pożalić się na swoją krzywdę na fejsie albo blogu.

Potem przychodzi natarczywa myśl, o zdjęciach, które „tam” mieliśmy, a nie zdążyliśmy ich zgrać, o książce telefonicznej, o smsach. Ale… tego jest więcej… przecież może ktoś właśnie czyta naszą pocztę, loguje się na naszego twittera, bo hasło jest na stałe zapisane w aplikacji. A może – nie daj boże – mieliśmy też na tym urządzeniu zapisane konto służbowe i kiedy wrócimy do pracy możemy zostać oskarżeni o przyczynienie się do włamania do sieci firmowej.

Tutaj środki bezpieczeństwa mamy dwa – kopie zapasowe (czyli popularne „backupy” jak i ich warianty w postaci automatycznego kopiowania danych do „chmury”) oraz szyfrowanie naszego urządzenia oraz blokowanie ekranu za pomocą kodu, tak aby nikt niepowołany nie mógł się dostać do naszych danych bez naszej wiedzy. Dobrze jest też zapamiętać adresy odpowiednich usług, które umożliwią nam zdalne wymazanie danych z telefonu czy tabletu oraz wyświetleniu odpowiedniego komunikatu na ekranie (np. „Udław się paszkudny kradzieju!” lub bardziej dyplomatycznie „To urządzenie zaginęło, na uczciwego znalazcę czeka nagroda”).

Dla telefonów, tabletów i komputerów Apple przydatna będzie usługa „Znajdź mój iPhone„, dla Androidów dostępny jest „Menedżer urządzeń Android„.

Należy pamiętać też o danych znajdujących się na innych niesieciowych urządzeniach, jak np. lustrzanka czy gopro i systematycznie przenosić dane z kart na jakiś zewnętrzny nośnik – my używamy świetnego małego dysku twardego podczepianego pod USB we wstrząsoodpornej obudowie.

Spam, robaki, konie trojańskie i inne

O ile zazwyczaj nie mamy wątpliwości, kiedy zgubiliśmy nasz smartfon czy komputer albo staliśmy się ofiarami ich kradzieży, o tyle ustalenie, czy tylko my mamy kontrolę nad systemem i nikt inny nie grzebie nam w naszych danych za naszymi plecami, zainstalowawszy wcześniej jakąś tylną furtkę, bywa nie lada wyzwaniem.

Tutaj mogę zalecić przede wszystkim „higienę” pracy w internecie – w trakcie podróży lepiej się nie narażać przez otwieranie maili czy stron, co do których autentyczności nie jesteśmy stuprocentowo pewni. Dużo dotkliwsze może być dla nas zmierzenie się z problemem, z którym wolelibyśmy nie zostać sami, niż po prostu nie zaznajomienie się z jakimiś niekrytycznymi informacjami. Dobrze jest też zamiast komputera używać do poczty i stron smartfonów i tabletów – one zazwyczaj są znacznie lepiej zabezpieczone przed wirusami i robakami niż tradycyjne „duże” komputery. Jednak rozsądek przede wszystkim. Przestępcy starają się również (rzadziej, ale jednak) przemycać szkodliwe programy i na te platformy.

Dla większości osób podróż to odpoczynek. Zatem nie, nie musisz sprawdzać służbowej poczty w trakcie podróży. Nie, nie musisz robić w tym czasie zakupów na Allegro (płacąc kartą lub przelewem przez internet). Nie, nie musisz logować się do wszystkich portali, na których masz konto i sprawdzać, czy w tamtejszych skrzynkach nie ma do ciebie nowych wiadomości.

Działania

Wiemy już, co nam może grozić, czas przejść do metod przeciwdziałania. Pamiętajcie – najważniejsze kwestie są poruszone na górze listy i reguł tam opisanych należy ich bezwzględnie przestrzegać!

Jak największą część opisanych tu działań powinniście wykonać jeszcze przed wyruszeniem w drogę, tak żeby potem nie zaprzątały one waszej uwagi i żebyście nie musieli się o nie martwić.

Ochrona kart płatniczych

Korzystając z kart płatniczych, musicie pamiętać o kilku zasadach, nawet poza internetem. Zazwyczaj wszyscy wiedzą, że nie powinni pokazywać karty, ani dać sfotografować jej przedniej strony, zawierającej numer karty. To bardzo dobry pomysł, chociaż w internecie można znaleźć wiele zdjęć polskich kart, zatem nie jest to tak oczywiste, jak by się mogło wydawać.

Dużo ciekawsza jest jednak druga strona karty. Za paskiem z podpisem po prawej stronie zawiera ona trzycyfrowy kod, który jest wykorzystywany wyłącznie w transakcjach internetowych, czyli takich, gdzie karta nie jest sczytywana, a jedynie użytkownik wprowadza jej dane. Jeśli trafimy na nieuczciwego sprzedawcę tradycyjnego sklepu (jest to dość znany problem w Azji), to przy okazji wkładania karty do czytnika może on dyskretnie sfotografować obie strony naszej karty i potem używać jej do płatności online. Polecam zaklejenie trzycyfrowego numeru z tyłu, a nawet, np. jeśli mieszkacie w dormach i ktoś może w nocy dobierać wam się do porfela zapamiętanie go i zeskrobanie na stałe (zapamiętajcie dobrze, bo bank nie jest w stanie wam tego kodu odzyskać bez wymiany karty!).

Jeśli sami korzystacie ze swojej karty online w podróży – nigdy nie róbcie tego z innego niż własny komputera. Podobnie jak w poprzednim przypadku, właściciel komputera może zainstalować program (tzw. keylogger), który „sfotografuje” wam dane karty, które wprowadzacie. Jak również wasze loginy i hasła.

Zawsze pamiętajcie aby sprawdzić, że strona na której podajecie dane karty jest szyfrowana (odpowiednie oznaczenie przy adresie strony, ale – uwaga! – sama wzmianka w treści strony o jej szyfrowaniu jest niewystarczająca!). W przypadku korzystania z publicznych (niezahasłowanych) lub niezaufanych sieci wifi (np. nie mamy pewności że należą do hostelu/hotelu) sama kłódka może być niewystarczającą ochroną. Zrezygnuj wtedy z zakupów w sieci albo przeczytaj niżej jak „wymusić” szyfrowanie wszystkich danych.

Wróćmy jeszcze na chwilę do ochrony karty w rzeczywistym świecie. Przede wszystkim w czasie podróży nie korzystajcie z funkcji płatności zbliżeniowych (paypass/paywave) – mają one swoje problemy, a proces reklamacji w banku jeśli ktoś wykorzysta tę funkcję na swoją korzyść może być znacznie utrudniony jeśli znajdujemy się za granicą. Najlepiej przed wyjazdem tę funkcję wyłączyć (może być konieczna zmiana banku, bo niektóre próbują wmówić klientowi, że to bezpieczne i odmawiają wyłączenia, choć są do tego prawnie zobligowani – ale kto ma czas na batalie sądowe?), ewentualnie – ale na własną odpowiedzialność – we własnym zakresie zdeaktywować antenę od chipa bezprzewodowego (nie ma to wpływu na chip główny).

Drugi problem to przechwytywanie danych karty podczas korzystania z bankomatów (tzw. skimming) – tutaj aby się ochronić należy korzystać tylko z „popularnych” (obleganych) bankomatów oraz zawsze zakrywać klawiaturę numeryczną przy wpisywaniu kodu PIN. Część banków oferuje też karty chipowe bez paska magnetycznego, które również skutecznie chronią przed tym atakiem (ale z drugiej strony mniej cywilizowane kraje mogą mieć bankomaty, które nie odczytują chipa, ale właśnie pasek).

Ochrona kont w serwisach bankowych

Logując się do naszego banku musimy korzystać z własnego komputera. Od tej zasady nie ma wyjątków. Opisałem to już powyżej, więc powinieneś już wiedzieć dlaczego i zgodzić się z moją opinią. Pamiętaj też o tym, żeby upewnić się, że połączenie jest szyfrowane!

Aby zminimalizować prawdopodobieństwo kłopotów w czasie podróży powinniśmy zrezygnować z ustalania zdefiniowanych odbiorców w banku. Ten mechanizm jest najczęściej atakowany przez cyberprzestępców i po prostu nie warto ryzykować.

Jeśli nasz bank nie wymaga od nas wprowadzenia kodów SMS w czasie wysyłania przelewów to nie powinniśmy z niego korzystać, ani w podróży ani nawet w domu. Serio, zmień bank! Jest to absolutne minimum bezpiecznego korzystania z tego typu serwisów (dobrze jest też, kiedy bank do logowania wymaga wpisywania tylko wybranych liter hasła – tzw. hasła maskowane). Aby ten mechanizm dobrze działał musimy też poświęcić pół minuty (lub krócej), aby sprawdzić, czy dane w SMSie są takie same jak na ekranie – atakujący potrafią podmienić te dane (np. przy kopiowaniu ich do schowka w zawirusowanym komputerze), więc nie lekceważmy tej weryfikacji!

Ostatnia rzecz, to znów zdrowy rozsądek (cenna rzecz w bezpieczeństwie informatycznym) – jeśli nasz serwis bankowy po zalogowaniu każe nam wykonywać jakieś akcje, których nigdy wcześniej nie było i dodatkowo potwierdzać je kodem SMS, to na sto procent jest to wirus na naszym komputerze, a nie zmiana polityki banku i powinniśmy natychmiast przerwać operację, wylogować się i skontaktować z bankiem. Oczywiście, wiem, że na tym komputerze nigdy wcześniej nie było wirusa, a bank coś tam sobie wymyśla raz po raz, ale pomyśl na chłodno… Banki są zobligowane przez prawo do najwyższych standardów bezpieczeństwa. Wirus może zdarzyć się każdemu, nawet jeśli do tej pory nic się nie działo, to zawsze kiedyś musi być ten pierwszy raz.

Na tę ewentualność dobrze mieć na smartfonie skonfigurowaną jakąś usługę pozwalającą na wykonywanie połączeń do Polski przez internet (tzw. VOIP). Wiele firm sprzedaje taką usługę za niewielkie pieniądze i dostarcza aplikacji na smartfona, więc rozmawiamy przez normalny telefon. Warto przy okazji zapytać operatora, czy rozmowy prowadzone przez jego serwery są szyfrowane (i oczywiście wybrać takiego, który na to pytanie odpowie twierdząco).

Ochrona kont poczty elektronicznej

Jak stwierdziliśmy na początku dostęp do konta pocztowego jest tak samo ważny jak dostęp do konta bankowego, więc i tutaj obowiązują te same zasady:

• nigdy nie korzystaj z obcych komputerów do odbierania poczty
• zawsze upewnij się, że połączenie jest skutecznie szyfrowane

Z tym drugim punktem jest kłopot – wielu polskich operatorów poczty elektronicznej nie szyfruje w całości dostępu do swojej poczty przez webmaila, więc nie powinniśmy w ogóle z takiego webmaila korzystać. Jest to najczęściej błąd projektowy lub programistyczny, z którym te firmy mogą się spierać. Trudno z nimi dyskutować, ale jest prosty sposób aby takie szyfrowanie wymusić: zamiast webmaila korzystamy z dostępu do poczty w aplikacji mobilnej lub na komputerze za pomocą protokołu Secure IMAP. Aby go skonfigurować musimy upewnić się, że jedna z opcji konfiguracyjnych jest zaznaczona w programie:

• włączone TLS (zawsze)
• włączone SSL (zawsze)
• port jest ustawiony na 993

Po takiej konfiguracji zapominamy na zawsze o korzystaniu z (mniej bezpiecznego) webmaila!

Absolutnie konieczne jest także, aby nasza skrzynka pocztowa była chroniona za pomocą hasła, którego nie używamy nigdzie indziej. Jeśli twoje hasło nie spełnia tego warunku, zobacz punkt niżej odnośnie haseł.

Bywa, że dostawcy poczty (np. Gmail) stosują nowocześniejsze zabezpieczenia niż nasze banki i tak jest w przypadku tzw. „uwierzytelniania dwuskładnikowego” (logowania dwuskładnikowego). W skrócie polega to na tym, że po wpisaniu loginu i hasła musimy uruchomić aplikację na telefonie (lub np. inteligentnym zegarku) i przepisać odpowiedni kod. Wcześniej aplikacja musi być zainicjowana specjalnym kodem QR, którego nikt inny nie powinien poznać, a więc warto to zrobić jeszcze przed wyjazdem. Warto również zaopatrzyć się w kody awaryjne, które chowamy głęboko do portfela na wypadek utraty urządzenia generującego kody.

Z podobnego systemu korzysta też np. Facebook, Twitter i inni. Warto je włączyć, bo nie komplikuje to zbytnio życia, a znacznie zwiększa skuteczność naszej obrony przed atakami – ktokolwiek chciałby przejąć nasze konto musi teraz zarówno znać nasze hasło jak i mieć dostęp do jednego z urządzeń generującego kody.

Szczerze polecamy!

Kolejną funkcją, która może być dla nas przydatna w przypadku utraty jednego z naszych urządzeń są hasła aplikacji w Google (działają też np. na Youtube) – odsyłam do opisu haseł nieco niżej.

Zapomnij o korzystaniu z publicznych komputerów

Jeśli to, co do tej pory napisałem cię nie przekonało, spróbuję jeszcze raz.

Nigdy nie powinieneś w podróży korzystać z publicznych komputerów (lub jakichkolwiek nie należących do ciebie). Ok, możesz ich używać, aby zagrać w Angry Birds, ale jeśli gra poprosi cię o zalogowanie się, to powinna ci się zaświecić czerwona lampka.

Najczęściej ludzie tłumaczą, że muszą użyć komputera ze względu na wyższą konieczność, czyli odczytanie jakiegoś ważnego maila czy zarezerwowanie biletów, a nie mogą zrobić tego na własnym sprzęcie (bo np. padła bateria). Jednak to właśnie to działanie – uderzające w samo serce sieciowej tożsamości – może narazić ich na największe ryzyko utraty kontroli nad swoimi kontami, a nawet utratą poważnej sumy środków (i co za tym idzie konieczności przerwania podróży).

Jeśli okoliczności są podbramkowe, spróbuj zdobyć jakiś zaufany komputer (np. osoby którą dobrze znasz i masz do niej zaufanie). Jednak nigdy nie ufaj kafejkom internetowym, hostelowym czy jakimkolwiek ogólnodostępnym komputerom, na którym każdy mógł zainstalować dowolny program szpiegujący (np. keylogger). Po użyciu takiego „zaufanego” komputera i tak powinieneś zmienić przy najbliższej okazji hasło z którego korzystałeś – właściciel może nawet nie wiedzieć, że jego komputer jest zawirusowany i udostępnić ci go w dobrej wierze.

Korzystanie z publicznych sieci wifi

Wszyscy wiemy mniej więcej jak działa wifi – publiczne i nieszyfrowane, do którego może się podłączyć każdy (i np. podsłuchiwać innych użytkowników za pomocą programu FireSheep i podobnych) i to „z kłódeczką” czyli chronione hasłem i zaszyfrowane.

Cóż, nie jest tak łatwo. To prawda, że pierwsza kategoria sieci, to coś czego powinniśmy unikać. Jednak nawet jeśli znamy dane sieci (login i hasło) nie możemy być tak na prawdę w stu procentach pewni, że to bezpieczne wifi. Sieci bezprzewodowe działają tak, że zawsze podłączają się do najsilniejszego nadajnika. Zatem jeśli w okolicy znajdzie się kilka nadajników o tej samej nazwie i haśle (no bo przecież złoczyńca też znajduje się w tym samym hostelu co my), to bez naszej wiedzy nasz komputer lub smartfon może podłączyć się do tego nieautoryzowanego. A wtedy tak naprawdę atakujący będzie widział wszystko to, co robimy podobnie jak to ma miejsce w niezabezpieczonej sieci.

Tak naprawdę to nam ułatwia sprawę, bo możemy po prostu uznać, że każda sieć bezprzewodowa do której podłączymy się w trakcie podróży jest niebezpieczna. Czy to paranoja? Nie, po prostu ta technologia jest tak powszechna, że istnieją gotowe programy pozwalające na podstawienie „fałszywej” sieci, zaś fale radiowe nie dają się w żaden sposób kontrolować.

Rozwiązanie nie jest jednak tak skomplikowane, wymaga jedynie świadomości w czasie pracy: wszystkie strony i aplikacje z którymi się łączymy muszą być szyfrowane.

Jako ciekawostkę obrazującą skalę problemu dodam, że na konferencje dotyczące bezpieczeństwa (tzw. hakerskie) ludzie zabierają „czyste” laptopy, na których nie ma żadnych istotnych danych i które po powrocie można przeinstalować, zaś ci, którzy nie używają połączeń VPN zazwyczaj tracą dostęp do swojego konta na Facebooku i są ofiarami niewybrednych żartów współuczestników do końca eventu.

Szyfrowanie transmisji

W podróży (a pan Edward Snowden przekonuje nas że tak naprawdę zawsze) powinniśmy korzystać jedynie z bezpiecznych stron szyfrowanych za pomocą HTTPS. Oznaczenie takich stron zależy od przeglądarki, ale zazwyczaj znajduje się bezpośrednio koło adresu strony. Nie należy mylić tego (i ufać) informacjom na samej stronie, które informują o szyfrowanej komunikacji, bo zwyczajnie mogą one nie być wiarygodne.

Jest z tym pewien kłopot, a właściwie dwa.

Po pierwsze musimy o tym pamiętać, czyli przed każdym logowaniem czy inną czynnością jaką wykonujemy musimy się upewnić czy nasza przeglądarka lub aplikacja korzysta z szyfrowania. Warto to zrobić, bo to jedyna darmowa metoda na zapewnienie sobie przyzwoitego poziomu bezpieczeństwa.

Jednak w przypadku aplikacji mobilnych ich twórcy nie informują zazwyczaj jakiego rodzaju połączeń używają. Warto więc używać tylko popularnych aplikacji, w których brak zastosowania szyfrowania zapewne zostałby szybko odkryty, a na czas podróżowania nie uruchamiać innych aplikacji jakie mogłyby przesyłać nasze dane do sieci. Niestety to dotyczy też aplikacji bankowych – dla banków mobilny świat to coś zupełnie nowego i adopcja rozwiązań mobilnych dopiero postępuje. Oni będą się zastrzegać, że wszystko jest zgodne z zasadami sztuki i nie ma mowy o żadnej wpadce, ale realnie mają trochę mniejsze doświadczenie niż Facebook, Twitter, Instagram i spółka, więc na czas podróży dałbym sobie z tymi aplikacjami spokój.

Także wiele portali internetowych (w tym chyba wszystkie polskie) używa bezpiecznego szyfrowanego połączenia jedynie do logowania, a potem wyłącza szyfrowanie, aby oszczędzić sobie kosztu przesyłu danych (szyfrowane są nieco większe) i mocy obliczeniowej serwerów (to już mocno dyskusyjne przy dzisiejszych superwydajnych procesorach). To nie jest bezpieczne, po logowaniu nasze dane oraz nasze konto może zostać w takim przypadku podsłuchane a nawet przechwycone (tzw. atak session hijacking).

Rozwiązanie?

Nie korzystać z portali, które nie pozwalają na szyfrowanie całości transmisji? A jeśli piszemy własnego bloga, a platforma blogowa nie umożliwia szyfrowanego połączenia?

Na własnym WordPressie możemy ustawić szyfrowany tryb administracyjny i zakupić certyfikat. Jeśli nasz dostawca hostingu nie oferuje możliwości serwowania szyfrowanych stron taką usługę za darmo dostarcza firma CloudFlare.

Dość wygodnym rozwiązaniem jest VPN, czyli usługa, która – niezależnie od tego czy szyfrowane jest połączenie docelowe – dodatkowo zaszyfruje nasz ruch pomiędzy naszym urządzeniem (aplikacja jest łatwa dla zainstalowania i dostępna zarówno na smartfony, tablety jak i komputery) a serwerami dostawcy usługi (np. popularnego hidemyass). Dzięki temu ktoś podsłuchujący nasze łącze zobaczy tylko jedno połączenie do serwera VPN i nie będzie miał pojęcia co tak na prawdę robimy i z kim oraz jak (z szyfrowaniem czy bez) się łączymy. Taka usługa zazwyczaj nie będzie bezpłatna (chyba że dysponujemy własnym serwerem – hosting nie wystarczy – wtedy możemy sami zainstalować oprogramowanie OpenVPN), trzeba będzie na nią wydać ok $10 miesięcznie.

Czytelne porównanie ofert dostawców VPN oferują strony vpn Mentor oraz Find the Best VPNs.

Trzeba także pamiętać, że po dotarciu do serwera dostawcy VPN nasza komunikacja może nie być już szyfrowana (o ile docelowa strona nie jest szyfrowana), a co za tym idzie ów dostawca może się z nią zapoznać. Nadal weryfikujmy więc czy przy okazji płatności, połączeń do banków i poczty dodatkowo chroni nas bezpieczne połączenie z daną stroną. Możemy mieć duże zaufanie do firmy, która pozwala nam bezpiecznie korzystać z sieci o nieznanej reputacji, ale nadal nie powinniśmy jej powierzać naszych prywatnych informacji – oni też mogą zostać kiedyś zhakowani.

Reasumując:

• kontroluj szyfrowanie na stronach – tylko ono gwarantuje że komunikacja jest prywatna od twojego komputera aż po serwer do którego się łączysz i nikt po drodze nie będzie w stanie jej podsłuchać
• w niezaufanych sieciach (czyli praktycznie zawsze poza domem) używaj usługi VPN – zagwarantuje ona szyfrowanie (nawet jeśli strona docelowa nie jest szyfrowana – choć powinna) oraz zapewni ci prywatność (podsłuchujący będzie widział tylko pojedyńcze połączenie do serwera VPN, nie będzie w stanie stwierdzić z jakimi innymi zasobami łączysz się przy jego wykorzystaniu)
• na smartfonie i tablecie korzystaj tylko z popularnych aplikacji używanych masowo, niszowe aplikacje mogą wysyłać twoje dane niezaszyfrowane, a nie ma możliwości zweryfikowania tego jaki typ transmisji jest właśnie wykorzystywany

Elektroniczne kopie dokumentów

Prosta sprawa – dla spokoju ducha przed wyjazdem robimy zdjęcia (obu stron) naszych dokumentów, biletów i innych kwitów (np. wiza), których strata może być dla nas problematyczna w czasie podróży.

Zdjęcia można przechowywać w skrzynce mailowej (o ile zastosowaliście się do zasad jej ochrony opisanych powyżej) lub – nieco mniej bezpieczne ze względu na zdażające się incydentu wycieku danych – na wirtualnym dysku (jak Dropbox, Google Drive, Microsoft SkyDrive, itp).

Można również użyć aplikacji na telefonie (o jego zabezpieczeniu poniżej), takiej jak np. Google Keep, która umożliwia tworzenie notatek i dołączanie do nich fotografii. Zadbajmy wtedy o szyfrowanie naszego urządzenia.

Używanie haseł

Jak już wcześniej wspomniałem przy okazji ustępu o poczcie, hasła są jednym z kluczowych środków ochrony przed napastnikami.

Nasze hasło powinno spełniać kilka wymagań:

• być unikalne w każdym serwisie, w którym mamy konto (aby uniknąć problemów związanych z jego możliwym wyciekiem)
• być złożone, ponieważ konta zazwyczaj można atakować przez wypróbowywanie wszystkich „oczywistych” kombinacji haseł (tzw. atak słownikowy / brute force)
• być przechowywane w sposób bezpieczny (najlepiej w głowie lub zaszyfrowanym pliku za pomocą odpowiedniego programu)

Aaaaale jak mieć głowę do tych wszystkich haseł?!

Są dwa godne uwagi rozwiązania.

Pierwsze z nich to korzystanie z banków haseł. To programy (takie jak LastPass czy KeePass), które będą magazynować hasła oraz tworzyć nowe, losowe hasła dla serwisów, w których się rejestrujemy. Najczęściej też wykryją, jeśli zapisane do nich hasło jest zbyt słabe i grozi złamaniem. Jestem jednak zdania, że najważniejsze hasła – do konta bankowego oraz poczty – powinniśmy trzymać jedynie w głowie. W końcu taki magazyn haseł to tylko program, a tym jak wiemy, nie możemy do końca ufać. Całą resztę pracy związanej z zapamiętywaniem możemy jednak zwalić na nie! Najczęściej można też dodawać oprócz haseł bezpieczne notatki lub zdjęcia (np. kart, paszportów).

Drugie, nie mniej popularne rozwiązanie to mnemotechnika, czyli zapamiętywanie jakiegoś zdania, wierszyka lub historyjki, którą następnie konwertujemy na hasło (i tak np. „Litwo! Ojczyzno moja! ty jesteś jak zdrowie;” zmienia się w „L!0m!tjjz;”).

W świetny sposób wykłada to artykuł Przemysława Jaroszewskiego „Jak skonstruować dobre hasło?„, więc zachęcam do lektury, nie będę go tutaj powielał.

Warto też pamiętać o ochronie naszego właśnie zaprojektowanego z dbałością o nieprzełamywalność hasła w kontekście poniższego obrazka :)

Jeśli korzystamy z usług Google (a kto nie korzysta?) to dodatkowo na stronie kont google (zauważ że strona jest szyfrowana!) możemy też ustawić dowolną liczbę losowych haseł (zakładka „Bezpieczeństwo” > „Hasła aplikacji”), które opiszemy i w ten sposób każde urządzenie, które zabierzemy w podróż może logować się innym hasłem. W przypadku problemów logujemy się i odwołujemy jedno konkretne hasło. Musimy tylko pamiętać żeby na urządzeniach przenośnych nie korzystać z konta głównego.

Szkoda że ta technika nie jest bardziej rozpowszechniona…

Kopie bezpieczeństwa

Ten temat może mniej ma wspólnego z naszym bezpieczeństwem, ale na pewno ze spokojem ducha. Podobno ludzie dzielą się na tych, którzy nie robią backupów i tych, którzy już stracili swoje dane. Dlaczego więc nie uczyć się na błędach innych i nie zadbać o to przed tym, jak problem wystąpi?

A już na pewno przed wyjazdem!

W przypadku laptopa wystarczy dysk przenośny albo duży pendrive i nawyk kopiowania na niego ważnych plików. Można też oczywiście użyć narzędzi systemowych do backupu, które zadbają o to, żeby kopia zawierała wszystkie informacje z naszego katalogu domowego, a nawet kilka kopii, tak aby możliwe było odtworzenie danych zmienianych w czasie.

Z telefonami jest łatwiej – zazwyczaj można włączyć backup całego urządzenia w chmurze (może to wymagać wykupienia dodatkowego miejsca u naszego operatora, czyli Apple/Google) i tylko dbać by raz na jakiś czas (czyt. w nocy w hostelu) urządzenie było włączone i w zasięgu wifi.

Warto o to zadbać, tymbardziej, że telefon jest bardziej narażony na kradzież, bądź np. utopienie go w wannie lub gorących źródłach :)

Szyfrowanie urządzeń

Również przed wyjazdem warto zadbać o szyfrowanie urządzenia mobilnego (telefon, tablet) oraz zabezpieczenie go kodem.

Dzięki temu w przypadku kradzieży nie nabawimy się okropnego bólu głowy z powodu myśli, co z naszymi danymi może chcieć zrobić złodziej. Po prostu dla niego urządzenie będzie bezużyteczne, dopóki nie przywróci go do stanu fabrycznego, usuwając bezpowrotnie nasze dane.

W przypadku urządzeń Apple należy wykonać upgrade do systemu iOS 8 oraz ustawić kod blokady ekranu (i proszę, niech to nie będzie „0000”, „1111” lub „1234”!).

W przypadku Androida (opcja nie jest dostępna we wszystkich urządzeniach, należy rozważyć czy nie lepiej zmienić telefonu na taki, który pozwala na bezpieczne z niego korzystanie) jest to ukryte w Ustawienia > Zabezpieczenia > Zaszyfruj telefon.

W laptopach Apple w wersji 10.10 lub nowszej szyfrowanie jest standardowo włączone.

W laptopach Windows należy użyć TrueCrypt, w wersji 7.1a.

Jeśli używacie linuksa, odpowiednią opcję można znaleźć w trakcie instalacji (formatowania dysku).

Oczywiście hasło, które chroni szyfrowane zasoby (dysk) musi być odpowiednio skomplikowane.

UWAGA! Niektóre kraje (np. Wielka Brytania) mogą wymusić na was podanie haseł (np. na lotnisku) i wg. tamtejszego prawa jesteście do tego zobligowani, a więc (a) sprawdźcie to przed wyjazdem i (b) nie używajcie szyfrowania jako ochrony przed odkryciem, że na urządzeniu znajdują się nielegalne programy lub pliki (muzyka, filmy).

Z drugiej strony, w niektórych krajach jak Chiny szyfrowanie laptopu pozwoli wam spokojnie zostawić go w pokoju hotelowym bez obawy, że pokojówka dorabia sobie w tamtejszych służbach bezpieczeństwa i będzie chciała upewnić się, że nie korzystacie na terenie ChRL z żadnych imperialistycznych serwisów internetowych (np. z wykorzystaniem VPNa).

Zdalne wymazywanie

Punkt powiązany z powyższym – w przypadku utraty urządzenia będziemy chcieli je prawdopodobnie odnaleźć (pomóc w tym może włączony GPS, o ile bateria jeszcze nie padła) lub – dla pewności – wymazać jego pamięć.

Jak wcześniej wspomniałem, dla telefonów, tabletów i komputerów Apple przydatna będzie usługa „Znajdź mój iPhone„, dla Androidów dostępny jest „Menedżer urządzeń Android„.

LoJack to z kolei płatna usługa, która pełni podobną rolę dla systemu Windows.

Aktualizacje systemu i aplikacji

Warto wyrobić sobie nawyk aktualizowania systemu (przez komponent wbudowany w system – najczęściej usługę systemową lub sklep z aplikacjami) lub aplikacji (jeśli sama aplikacja posiada taką funkcję) oraz definicji wirusów.

Uchroni nas to od sytuacji, kiedy w podróży będziemy narażeni na jakiś dopiero co odkryty poważny błąd bezpieczeństwa (to ludzie tworzą programy, a więc te nigdy nie będą pozbawione błędów, sztuka polega na tym, żeby po ich odkryciu pozbyć się ich jak najszybciej).

Niestety publiczna dystrybucja poprawek powoduje, że osoby zainteresowane wykorzystaniem danego błędu bardzo szybko dowiadują się gdzie on się znajduje i konstruują w oparciu o nie złośliwe programy czy strony. Musimy zatem mieć nawyk szybkiej ich instalacji, tak aby być szybsi od tych, którzy z tych błędów korzystają.

Należy też podkreślić, że aktualizacje pochodzące spoza oficjalnego kanału (np. rzekome monity mailowe „od twórcy programu/systemu” wraz z „aktualizacją” w załączniku lub aktualizacje ze stron typu „dobre programy”) to najczęściej fałszywki i powinniśmy się ich wystrzegać! W dzisiejszym czasie większość platform oferuje oficjalne kanały aktualizacji i to wyłącznie z nich należy korzystać.

Z tego samego powodu blogerzy powinni pamiętać o aktualizacji WordPressa. Pomóc tu może plugin WordFence Security, który monity o update wyśle nam mailem, a dodatkowo zadba, aby pliki systemowe nie zostały zmodyfikowane.

Czerwona lampka powinna natomiast zaświecić się nam, kiedy system żąda zainstalowania dodatkowych, niezaufanych, certyfikatów (SSL). W większości przypadków będzie to związane z bezprawnym przechwyceniem zaszyfrowanego ruchu sieciowego i powinniśmy takie prośby systemu odrzucać, nawet jeśli dostawca usługi tłumaczy, że to „absolutnie niezbędne” – absolutnie to operatorzy mogą (i powinni) korzystać z zaufanych certyfikatów, które – w przeciwieństwie do niezaufanych – nie będą próbowały się podszyć pod Google itp.

Zapomnij o Windows

To kontrowersyjna rada z którą nie zgadza się nawet druga połowa naszego bloga :) ale pamiętajcie, że mówimy „na czas podróży”, nie „na zawsze”.

Nie da się ukryć, że Windows jest platformą najbardziej popularną i najbardziej podatną na ataki, w dodatku często radzącą sobie z zagrożeniami w sposób dość nieporadny w porównaniu do konkurencji.

Oczywiście w podróż najlepiej ruszyć w komputer z jabłuszkiem na obudowie, ale niewielu stać na taki komfort.

Weźcie jednak pod uwagę użycia w zamian Windows na waszym notebooku/netbooku Ubuntu (lub odmiany dla wolniejszych komputerów: Xubuntu). Dzięki temu:

• wasz system będzie działał szybciej (Linux jest generalnie mniej zasobożerny niż Windows) oraz dłużej na baterii (bo procesor będzie obciążony w mniejszym stopniu)
• będziecie mieć problem z aktualizacjami i antywirusem z głowy (Ubuntu można ustawić tak, aby samo instalowało poprawki, co więcej obejmuje to nie tylko system ale i wszystkie zainstalowane aplikacje, a do tego na Linuksie nie ma problemu wirusów i spyware)
• będziecie mieć do dyspozycji podstawowe aplikacje za darmo (procesor tekstu, przeglądarka WWW, program graficzny oraz wideo i inne)

W sieci jest wiele poradników pt. „jak nie dostać zawału serca korzystając z Ubuntu po raz pierwszy”, więc jeśli macie żyłkę odkrywcy (w końcu piszę do podróżników?), to polecam taki eksperyment :)

https://www.youtube.com/watch?v=JVVHgga0v7o

The Great Firewall of China

Lepiej nie mówić nic otwarcie w internecie w Chinach.

Jeśli się tam wybierasz, to pewnie nie chcesz zrezygnować z blogowania i kontaktu w sieciach społecznościowych. Na pewno musisz uważać aby nie korzystać z tych serwisów w miejscach publicznych. Jednak w hotelu/mieszkaniu możesz użyć usług VPN (pisałem o nim wyżej) lub Tor aby połączyć się z cenzurowaną częścią sieci.

Część tych usług na pewno będzie cenzurowana, więc warto zapoznać się przed wyjazdem jak skonfigurować komputer, bo na miejscu może być już za późno. Warto zapisać sobie adres email bota: bridges@bridges.torproject.org, któremu można wysłać maila o treści „get bridges„, aby uzyskać listę nieocenzurowanych usług będąc już poza granicami „wolnego internetu”.

Chyba nie muszę wam też tłumaczyć, że urządzenie na którym znajdują się „wywrotowe” aplikacje powinno być zaszyfrowane na wypadek gdyby wpadło w niepowołane ręce?

Reasumując

Nic tak nie sprzyja zapamiętywaniu jak powtarzanie, więc pokrótce na poniższej infografice powtórzymy wszystkie najistotniejsze informacje.

Kliknij tutaj aby otworzyć infografikę w nowym oknie przeglądarki!

Down the rabbit hole…

Dodatkowe informacje o zbliżonej tematyce znajdziecie:

• DEKALOG bezpiecznych zachowań korzystania z e-bankingu INFOGRAFIKA (Fundacja Bezpieczna Cyberprzestrzeń) – koniecznie zobaczcie tę infografikę! Pozwala zminimalizować ryzyka podczas korzystania z banku online.
• 10 porad podnoszących bezpieczeństwo twojego komputera (Niebezpiecznik – blog o bezpieczeństwie i nie) – najważniejsze zasady bezpiecznego korzystania z sieci wg. specjalistów ds. bezpieczeństwa – dokument w dużej mierze zgodny z tym, o czym tutaj pisałem
• „Cisza w sieci” Michał Zalewski – tylko dla ambitnych i ciekawych  świata! Książka jednego z najbardziej utalentowanych polskich hakerów (w sensie badaczy i pasjonatów bezpieczeństwa, nie tym powszechnym pejoratywnym i niewłaściwym znaczeniu) opowiadająca o zagrożeniach w sieci o jakich wam się nie śniło (część tematyki może się okazać trudna, ale samo spojrzenie na koncepcje, które tam są zawarte spowoduje, że inaczej będziecie oceniać swoje bezpieczeństwo w sieci – czy to w ogóle możliwe? czy oprócz determinacji napastnika są w ogóle jakieś granice poza którymi będziemy mieć w sieci święty spokój?)