Internetová (ne)bezpečnost – čeho se bát v roce 2009

Odstřihněte se od internetu, svůj počítač rozemelte na kousky, ty spalte a popel zakopejte tři metry pod zem. Zapomeňte na jakékoli elektronické spojení se světem, s mobilem naložte podobně jako s počítačem. Tak by se dal s trochou cynismu charakterizovat pocit, který mohl získat účastník dnešní konference Trendy v internetové bezpečnosti.

Skutečnost samozřejmě není tak děsivá, jak se může ze série prezentací, které na konferenci zazněly, zdát. Nicméně důvody k opatrnosti bezesporu existují, neustále se objevují nové a nové hrozby. Viry, trojské koně, spyware a další havěť mohou číhat prakticky všude. Lze se jim sice bránit, ale nikoli ubránit. Internetoví piráti nás zasypávají hromadami spamu, kradou naše virtuální identity, luxují data z počítače i peníze z konta...

"Začínám se bát," prohlásil moderátor konference, šéfredaktor serveru Lupa.cz Patrick Zandl, když dozněl příspěvek bezpečnostního konzultanta Rastislava Turka o internetových útocích na klienty bank. "To byste měl," pochválil ho Turek.

Na konferenci, kterou pořádala čtveřice serverů společnosti Internet Info, se sešli odborníci na internetovou bezpečnost ze softwarových firem, lidé zodpovědní za internetové bankovnictví českých bank a nezávislí odborníci.

Největší hrozba: lidský faktor

"Největším nebezpečím na itnernetu je člověk," tvrdí publicista a nezávislý konzultant Daniel Dočekal. Lidé podle něj ochotně kliknou prakticky na cokoli, náruživě stahují nejrůznější programy, hry a multimédia, aniž by si lámali hlavu s tím, z jakých stránek tak činí a co si do počítače opravdu instalují.

Dnešní viry podle Dočekala zpravidla nejsou destruktivní, nesmažou uživateli žádná data. Slouží hlavně k ovládnutí počítače pro další účely (například rozesílání spamu) nebo k získání informací o uživateli, což má široké využití - od cílených reklam po nabourání se do bankovního konta.

Lidé by na internetu neměli dělat nic, čeho by mohli později litovat. Dočekal upozornil, že v různých službách webu 2.0 (například v sociálních sítích) běžně zůstávají informace o uživatelích i poté, co své účty zrušili. A zatímco se často píše o hrozbách, které na děti číhají na internetu, jiné hrozby zůstávají skryté. "Děti spíše rodičům zavirují počítač stahováním různých her, než že by potkaly pedofila,"  tvrdí Dočekal.

"K internetovému bankovnictví by lidé neměli používat počítač, na kterém si děti hrají hry stažené z internetu. Lepší je využít firemní počítač, je-li to možné. Ten je zpravidla lépe zabezpečen," doplnil ho Jan Guzanič, specialista na bezpečnost z firmy Cleverlance Enterprise Solutions.

Ochranu podle něj nemůžeme čekat od státu, od policie. Je to na nás - tedy na uživatelích i na provozovatelích webů, kteří by se měli snažit své stránky co nejlépe zabezpečit. "EU a mnozí další stále nepochopili, že důležité je vzdělávání, nikoli zakazovaní," zdůraznil Dočekal.

Falešné antiviry

Filip Navrátil z firmy ESET software upozornil na hlavní trendy v internetové (ne)bezpečnosti. Podle něj roste počet i sofistikovanost falešných antivirových a antispyware programů. Tedy aplikací, které si člověk sám nainstaluje v dobré víře, že se tím ochrání před škodlivými programy, ale ve skutečnosti si počítač sám zaplevelí protivnou havětí. Příkladem je Antivirus XP 2008, který simuluje skutečný antivirový program a uživateli zobrazuje fiktivní seznam infikovaných souborů. "Za pár korun" si lze koupit "plnou verzi" programu, která slibuje, že vás údajných virů zbaví.

Další trendy: viry v datových souborech, oklamaný uživatel a mobilní hrozby

Přibývá virů zabudovaných do datových dokumentů, které řada lidí považuje za bezpečné. Ale zaplevelit počítač si dnes můžete i prostřednictvím zdánlivě nevinného PDF souboru nebo písničky ve formátu mp3.

Autoři škodlivých kódů využívají stále více sociální inženýrství, protože je to pro ně jednodušší než se pokoušet natvrdo prolomit zabezpečení počítače. Uživatelé tak často svěří citlivé údaje do nepravých rukou "dobrovolně", aniž to tuší. Sem patří známý phishing, tedy například falešné weby, které se tváří třeba jako stránka internetového bankovnictví a ukradnou vám přístupové údaje k účtu. Pozor také na odkazy v e-mailech nebo na internetových stránkách, které slibují něco jiného, než co se za nimi ve skutečnosti skrývá. Hrozby číhají i na některých legitimních stránkách, aniž o tom jejich provozovatelé vědí. Nemají web dobře zabezpečený a kdosi jim na stránky nainstaloval skript spouštějící škodlivý kód.

ČTETE TAKÉ: Spamu a virů loni mírně ubylo, objevují se nové hrozby

Rastislav Turek upozornil na takzvaný clickjacking. Uživatel má pocit, že kliknutím potvrzuje nějakou nevinnou operaci, ale přitom "pod povrchem" webu, který vidí, uděluje úplně jiné příkazy. Může tak třeba nevědomky změnit bezpečnostní nastavení svého počítače. Ze strany uživatele proti této hrozbě zatím prakticky neexistuje obrana. Jedinou výjimkou je podle Turka doplněk NoScript pro Firefox a Operu, který však často blokuje i nevinné stránky. Z českých bank mají prý své služby internetového bankovnictví proti clickjackingu zabezpečny pouze KB, Citibank a mBank.

Filip Navrátil varoval i před falešnými kodeky, které číhají především na návštěvníky stránek s pornografií, nelegálním softwarem nebo pirátskými kopiemi hudebních nahrávek a filmů.

Dalším trendem jsou útoky na mobilní telefony. Počet chytrých mobilů s připojením k internetu roste a s tím se zvyšuje i bezpečnostní riziko. "Objevují se první vlaštovky, větší rozšíření j jen otázkou času," předpovídá Navrátil.

ČTĚTE TAKÉ: Jak se chránit před viry v mobilech?

Foto: SXC, Nokia, archiv