Mají vaše heslo? Expert odpovídal, co vám hrozí na webu

Jiří Hovorka Jiří Hovorka
Aktualizováno 11. 4. 2014 13:07
Máte Windows XP, který už Microsoft nepodporuje? Bojíte se, že hackeři využili Heartbleed Bug a mají vaše heslo? Co vám hrozí? Máme odpovědi.
Online rozhovor s IT expertem Michalem Valáškem
Rozhovor skončil
Na vaše otázky odpovídal Michal Valášek, specialista na internetovou bezpečnost.
Přečíst si rozhovor

Praha - "Bezpečnost je možné chápat jako pyramidu: základem je bezpečný operační systém. Druhou polovinu tvoří jeho zodpovědné používání uživatelem, k čemuž může pomoci i antivirus. Ale pokud nemáte solidní základ, stojí to celé na vodě," napsal v online rozhovoru se čtenáři Aktuálně.cz Michal Altair Valášek, nezávislý IT expert.

Internetová bezpečnost je - alespoň podle zpráv z tohoto týdne - výrazně ohrožena. Microsoft přestal podporovat Windows XP, který v Česku používá stále zhruba pětina počítačů. A BBC pak přinesla zprávu o tom, že hackeři mají přes obří chybu pojmenovanou The Heartbleed Bug volnou cestu k heslům do mailů či internetového bankovnictví u značné části internetové populace.

Hrozí vám něco? Co konkrétně? Máte se bát, že vaše údaje budou zneužity? Na takové dotazy Valášek odpovídal. Řešil také, zda je bezpečnější Linux, nebo Windows.

"Stabilita systému závisí především na hardware a způsobu správy. Dobře spravovaná Windows budou stabilnější než špatně spravovaný Linux. Pokud vám Linux vyhovuje, používejte ho, ale není to magická pilulka, která by vyřešila všechno zlé," odpověděl Valášek, který chystá k internetové bezpečnosti speciální kurz.

Online rozhovor s IT expertem Michalem Valáškem

Rozhovor skončil
11. 4. 2014
Ptá se: Jan Novák

Dobrý den, jaký software na šifrování dat byste doporučil? Narazil jsem na program TrueCrypt, co si o něm myslíte? Děkuji za odpověď, jn

Odpovídá: Michal Valášek

Záleží na tom, co chcete šifrovat a před čím to chcete chránit. Pro řadu použití je TrueCrypt dobrý (je to jeden z programů, které používám). Bohužel, na tuto otázku se nedá odpovědět jednoduše.

Připravuji seminář "Bezpečnost a zachování důvěrnosti dat pro běžné smrtelníky", můžete se na něj přijít podívat, tam toto téma budu probírat do hloubky: http://kurzy.altairis.cz/5

11. 4. 2014
Ptá se: J. Poštulka

Jak se dá dál používat "bezpečně" W-xp?

Odpovídá: Michal Valášek

Izolovaně. Pokud máte Windows XP na počítači, který nijak nekomunikuje s vnějším světem (není připojen do sítě, nestrkáte do něj žádné flash disky a nikdo se k němu nedostane...), používejte si ho do skonání světa nebo hardware - podle toho, co přijde dřív.

Problém je, že takové systémy prakticky neexistují. Dříve či později do toho někdo tu zavirovanou flashku strčí.

11. 4. 2014
Ptá se: Pepa

Dobrý den,

běžně používám dva notebooky. Jeden firemní a jeden osobní. Na osobním mám Windows 7 a na firemní mám Windows XP (firemní notebook, neovlivním verzi softwaru). Jako prohlížeč používám Chrome od Google, takže při přihlášení na jednom z notebooků se mi prohlížeč synchronizuje. Přihlašovací jména a hesla do i-bankovnictví samozřejmě vypisuji pokaždé, ale na emaily apod. mám uložené.

Jsem v nebezpečí?
Eliminuji nebezpečí tím, že se budu do i-bankovnictví přihlašovat pouze z osobního notebooku?Děkuji za odpověď.

Odpovídá: Michal Valášek

Obecně je lepší přihlašovat se z počítače, který máte pod svou výhradní kontrolou a s aktuálním operačním systémem. Na druhou stranu, vaše firemní IT může ten "horší" notebook spravovat lépe, než vy osobně ten "lepší".

11. 4. 2014
Ptá se: Rudolf Vodička

Dobrý den,
týká se problém Hearthbleed Bug všech operačních systémů tedy i OS Max?
Předpokládám bohužel, že ano...
Děkuji Rudolf Vodička

Odpovídá: Michal Valášek

Problém se týká všeho, co používá chybnou verzi OpenSSL (1.0.1 až 1.0.1.f), nezávisle na operačním systému.

Nejohroženější jsou systémy založené na Linuxu po nich Mac OS (předpokládám, že to myslíte tím "OS Max"), pak dlouho nic a pak Windows. Ale znovu zdůrazňuji, to není věc operačního systému, ale OpenSSL. Windows je na tom lépe jenom proto, že má vlastní kryptografickou knihovnu (Schannel) a OpenSSL používá jenom zřídkakdy u malého množství software třetích stran.

11. 4. 2014
Ptá se: Evka

Mám nainstalovaný antivir AVG free 2013, je tato ochrana dostatečná,na běžné surfování,pokud nemám internetbanking?

Odpovídá: Michal Valášek

Ne. Žádný antivirus není dostatečná ochrana. Podstatné je vaše chování. Pokud se chováte nezodpovědně a hloupě, žádný antivirus vám nepomůže. Pokud se chováte zodpovědně a se znalostí věci, žádný antivir nepotřebujete.

11. 4. 2014
Ptá se: kopap

Dobrý den,měnit hesla u všech registrací např. eshopů by zabralo mnoho hodin... Jaký typ nebezpečí hrozí z této strany, když je tam jen jméno a adresa? U IB jsou pro aktivní operace nutné SMS klíče, ani to nestačí? Děkuji za odpověď.

Odpovídá: Michal Valášek

Zrovna u e-shopů je nebezpečí zneužití obecně minimální a tam bych to moc neprožíval, pokud stejné heslo nepoužíváte i jinde.

Na otázku ohledně SMS hesel jsem již odpovídal.

11. 4. 2014
Ptá se: Štěpán

Dobrý den,

rád bych se Vás zeptal na 2 otázky.

Jsou známé jakékoliv indicie, které by nasvědčovaly tomu, že někdo objevil a zneužil Heartbleed Bug dříve než pánové z Codenomicon?
Existují v ČR či na světě případy zneužití Heartbleed Bug po zveřejnění jeho existence?Děkuji mockrát za odpovědi.

Odpovídá: Michal Valášek

O žádných takových indiciích a případech nevím. Nicméně vzhledem k povaze útoku to nic neznamená: pokud se tak stalo, žádné stopy to nezanechá. Mimo jiné i v tom spočívá nebezpečnost tohoto útoku.

11. 4. 2014
Ptá se: Ludmila

Dobrý den, nevím jestli se někdo dostal k mému heslu, ale poslední dobou mě chodí maily "od mě" - což je nesmysl. Mail jsem sice neotevřela, ale vidím že tam jde o nějaké peníze atd.. Nevím, jestli si mám změnit mailovou adresu ???

Děkuji za radu, Ludmila.

Odpovídá: Michal Valášek

E-mailovou adresu odeslané zprávy lze snadno podvrhnout a nemůžete tomu nijak zabránit. Takové maily prostě ignorujte. Změna e-mailové adresy a podobně tomu zabránit nemůže.

Je to totéž, jako že kdokoliv může do poštovní schránky hodit dopis, na jehož obálce bude napsaná vaše adresa jako adresa odesílatele. Nezabráníte tomu nijak, tím méně přestěhováním.

11. 4. 2014
Ptá se: Jiří Paloch

Dobrý den,

zeptám se přímo. Na co windows, když je tedy zdarma linux? Reinstalaci se zálohou fotek Vám udělá sousedův syn, dáte mu za to 300 Kč a všichni budou spokojení. Souhlasíte, že jde o nejjednodušší dlouhodobé řešení?
Souhlasíte, že je stabilita systému linux dlouhodobě zcela někde jinde oproti XP?

Odpovídá: Michal Valášek

Na co Windows? Na praktické používání běžnými smrtelníky. Linux je fajn věc, ale téhle mety nedosáhl a nikdy nedosáhne, protože ho vyvíjejí ajťáci pro ajťáky.

Stabilita systému závisí především na hardware a způsobu správy. Dobře spravovaná Windows budou stabilnější, než špatně spravovaný Linux a vice versa. Pokud vám Linux vyhovuje, používejte ho, ale není to magická pilulka, která bu vyřešila všechno zlé.

11. 4. 2014
Ptá se: theo

Připadá vám knihovna OpenSSL a její vývojáři jako důvěryhodný projekt, jestliže už v minulosti byli upozorňování (Theo de Raad a další), že některé postupy, které při vývoji používají (wrappery kolem malloc, apod.), jsou potenciálně nebezpečné (což se ukázalo v Heartbleed chybě jako smutná realita)? Existuje nějaká alternativní, kompetentněji vyvíjená SSL knihovna srovnatelných kvalit, použitelná jako náhrada OpenSSL (přinejmenším v prostředí UNIX-like serverových systémů)? Děkuji.

Odpovídá: Michal Valášek

Říct, že OpenSSL je nedůvěryhodný projekt, je možná příliš silné, ale rozhodně tuto knihovnu nepovažuji za kvalitní. Mimo jiné z důvodů, které jste zmiňoval. Pozitivním efektem Heartbleedu by mohl být větší rozvoj alternativ a možná i změna vývoje stylu OpenSSL jako takového. Myslím si, že tato chyba bude mít dalekosáhlé důsledky na způsob vývoje těchto knihoven.

Konkrétní alternativu k OpenSSL vám nicméně nedoporučím. Záleží na tom, co konkrétně potřebujete dělat, nemusí platit, že jedna knihovna musí dělat všechno. Navíc konkrétně UNIX-like serverové systémy nejsou můj obor, takže to tam tak neznám.

11. 4. 2014
Ptá se: Jiří Grossmann

Mám XP Home, musím přejit na jiný OS a na jaký?
nebo stačí změnit hesla a když změním OS je větší jistota, že mi účet nevyberou, používám jen elektronické bankovnické bankovnictví na veškeré platby a jak často mám měnit hesla i když změním OS,

děkuji za odpověď a přeji hezký den,

Jiří Grossmann

Odpovídá: Michal Valášek

Ano, musíte. Přejděte na jakýkoliv systém, který jeho autor podporuje. Je vesměs jedno, jestli to budou Windows, Linux, Mac OS... Ale něco, co jeho výrobce aktivně podporuje. Ať už si vyberete jakoukoliv platformu, přejděte rovnou na nejnovější verzi (třeba Windows 8, ne Windows 7), ať zbytečně nevytváříte technologický dluh.

11. 4. 2014
Ptá se: lad

pokud si změním hesla ve všech bankovnich přístupech, tak si zvýším zabezpečení a nebo to zase zkušený Hacker prolomí, protože se na server umí dostat a vidí tu změnu?

Odpovídá: Michal Valášek

Změnou hesla v obecné rovině nikdy nic nezkazíte. Pokud by cílový systém byl pod kontrolou útočníka, tak si se tomu z pohledu uživatele neubráníte stejně nijak.

11. 4. 2014
Ptá se: Hlavna Petr

Můžou se mi dostat do int.bankovnictví i když pro každou akci musím potvrdit kodem co mi příjde jako tex. zpráva?Děkuji.

Odpovídá: Michal Valášek

Ano, třeba tak, že vás útočník sociálním inženýrstvím přiměje nainstalovat si do svého telefonu program, který mu bude ty autentizační SMS přeposílat.

Nejbezpečnější je potvrzování operací pomocí specializovaného hardwarového, zařízení, "autentizační kalkulačky", kam musíte údaje pro potvrzení operace explicitně zadat z vestavěné klávesnice.

11. 4. 2014
Ptá se: Petr

Dobrý den,

je pravda že starší OS (Windows 98/ME,..) jsou bezpečnější než novější OS (Windows 7/8,..)? Už kvůli tomu, dnešní viry napadají hlavně nejnovější OS....

Děkuji

Odpovídá: Michal Valášek

Pokud chcete k bezpečnosti přistupovat tímto způsobem, potřebujete ještě starší systém, třeba CP/M. Tam budete podle této logiky před viry a malwarem v bezpečí.

11. 4. 2014
Ptá se: staněk

Dobrý den,
poptal jsem se po firmách s PC na názor bezpečnosti internet.bankovnictví u XP po 1.4.2014.
Byly cca 50 na 50.
Není to zčásti marketinkový nátlak na obyčejný lid ?
Jaký máte názor ?
Děkuji.Staněk

Odpovídá: Michal Valášek

Dobře napsaný a provozovaný serverový systém by měl být schopen se do jisté míry vyrovnat i s kompromitovaným klientem. Ale proč zbytečně zjednodušovat útočníkovi práci?

11. 4. 2014
Ptá se: fero

Není to zase bouře ve sklenici vody ?? lidi je potřebné proškolovat průběžně..

Odpovídá: Michal Valášek

Do jisté míry máte pravdu. Současný stav informační bezpečnosti je v České republice tak zoufalý, že konec podpory Windows XP na tom nic moc nezmění.

Lidi je potřeba proškolovat průběžně, ale v reálu se tak neděje. Tak díky bohu za ty dary, že se o to občas zajímají alespoň nárazově.

11. 4. 2014
Ptá se: Milan55

Dobrý den, mám XP a jako antivirový program mám nainstalovaný Un Threat Free edition. Stačí to na ochranu mého PC?
Děkuji za odpověď.

Odpovídá: Michal Valášek

Nestačí. Bezpečnost je možné chápat jako pyramidu: základem je bezpečný operační systém, to je conditio sine qua non. Druhou polovinu tvoří jeho zodpovědné používání uživatelem, k čemuž vám může pomoci i antivirus. Ale pokud nemáte solidní základ, stojí to celé na vodě.

11. 4. 2014
Ptá se: Stanislav Bouška

Dobrý den,
uvedené používám a již nyní se mi jeví to, že s mojí
poštou si pravděpodobně někdo hraje dle své potřeby. Zabránilo by k této záležitosti změnění
hesla a nebo jiná možnost?
Děkuji za odpověď.

Odpovídá: Michal Valášek

Zkontrolujte si nastavení (jestli se třeba vaše pošta nepřeposílá jinam) a změňte si heslo. Pokud to nepomůže, změňte poskytovatele e-mailovéch služeb.

11. 4. 2014
Ptá se: Raimund Zach

Jak moc jsem ohrožen pokud po každém použití vypínám počítač na nepravidelně dlouhou dobu.Jedná se o dny,někdy i týden.Ochrání mě běžný antivir.program?

Odpovídá: Michal Valášek

Vypínání či nevypínání počítače nemá na jeho bezpečnost žádný signifikantní dopad. Upřímně řečeno, používání antiviru jako takového také ne. Z hlediska bezpečnosti je nejdůležitější vaše chování.

11. 4. 2014
Ptá se: Bohouš

Dobrý den, mám na Vás následující dotazy:
-1-můžete prosím vysvětlit,
co to ten "Heartbleed Bug" vlastně je ?

-2-Co konkrétně je potenciální útočník schopen zjistit,
případně jak přesně může systému uškodit ?-3-Existuje na něj nějaká obrana ? (tj. nějaký konkrétní postup, kterým se může člověk nějak (alespoň částečně) bránit)Předem díky za odpovědi.Bohouš

Odpovídá: Michal Valášek

"Heartbleed" je chyba v populární kryptografické knihovně OpenSSL, která útočníkovi umožňuje vypsat operační paměť na serveru, který používá protokol TLS - typicky web serveru, ale třeba i poštovního serveru. Více informací najdete (anglicky) na www.heartbleed.com, česky třeba v mém článku na http://altair.is/heartbleed .

Útočník je schopen získat všechny údaje, které jsou v daném okamžiku v paměti serveru. Co to konkrétně je, záleží na typu a povaze toho serveru, ale nejtypičtěji jsou to minimálně soukromé klíče k tomu TLS certifikátu. Útočník tedy dokáže dešifrovat provoz a může se i za cílový server vydávat.

Z pohledu koncového uživatele bohužel prakticky ochrana neexistuje. Jedině nepoužívat totéž heslo na více různých systémech, aby kompromitací jednoho nedošlo k ohrožení dalších.

11. 4. 2014
Ptá se: martin pit

Může se někdo, kdo odhalí moje heslo se za mě někde vydávat?

Odpovídá: Michal Valášek

Ano, na té službě, jejíž heslo odhalil a na všech, které na ni spoléhají. Například pokud se někdo dokáže pod vaším účtem přihlásit na Facebook, může se nejenom vydávat za vás, ale také se přihlásit k dalším službám, které Facebook využívají.

Obzvláště nebezpečné jsou v tomto ohledu e-mailové služby. Většina ostatních služeb totiž umožní zresetovat heslo na základě odkazu zaslaného e-mailem. Pokud tedy útočník získá přístup do vaší mailové schránky, může získat přístup k velké části vaší online identity.

11. 4. 2014
Ptá se: David

Existuji v CR nejaci lide, kteri jsou schopni podobne bezpecnostni chyby odhalit a nebo tady je jen armada IT expertu, co jen komentuji vseobecne zname bezpecnostni problemy pote co nekde neco vyplave na povrch?

Odpovídá: Michal Valášek

Ano, existují a běžně se tak děje. Naši odborníci patří mezi světovou elitu jak v oblasti kryptografie (např. Vlastimil Klíma, Tomáš Rosa) tak bezpečnostního software (firmy AVG, Avast...). Na nás ostatních pak zbývá pokusit se ty bezpečnostní problémy vysvětlit způsobem srozumitelným běžným smrtelníkům.

11. 4. 2014
Ptá se: Jersi

Dobry den,
Ceska sporitelna tvrdi, ze OpenSSL nepouziva, takze se ji Heartbleed Bug netyka. Konkretni verzi SSL knihovny vsak sdelit odmitla. Da se ji verit?
Dekuji za odpoved

Odpovídá: Michal Valášek

Já bych snad i věřil tomu, že firma velikosti ČS nebude na svých front-endech používat OpenSSL, ale něco lepšího. Že neřeknou, co používají, je v tomto oporu tradiční reflexivní reakce.

11. 4. 2014
Ptá se: Ashkael

Zdravím!

Jen mě tak napadlo - banky vydaly prohlášení, že nezaznamenaly žádný bezpečnostní problém v souvislosti s heartbleed bugem. Připadá mi to jako zlý sen - myslíte, že jsou si vědomi, toho, že exploit není detekovatelný?

Odpovídá: Michal Valášek

Zcela určitě si toho jsou vědomi. Je si toho vědom každý, kdo se trochu vyzná v počítačové bezpečnosti. Na druhé straně, něco říct musejí a tohle prohlášení je nepochybně technicky vzato pravdivé.

11. 4. 2014
Ptá se: FACERK

Jak se Vy vyrovnavate s poznatkem, že smrtelné nebezpečí se objevilo 2 dny po
ukončení podpory XP. Mám na PC jak linux
tak XP stačí,když řeším spojení s bankou přes linux?

Odpovídá: Michal Valášek

Smrtelné nebezpečí se objevilo den před ukončením podpory XP (security advisory bylo vydáno 7. 4.).

Myslím si, že to nijak nesouvisí, ta chyba už je v OpenSSL dva roky, jenom chvíli trvalo, než se na ní přislo.

Ta chyba je navíc nezávislá na operačním systému. Je to chyba v OpenSSL, ne ve Windows, ne v Linuxu. Zasáhne vás, ať už OpenSSL máte na Linuxu, Windows, OpenBSD, MacOS...

11. 4. 2014
Ptá se: Frantik

Kdo tu SSL knihovnu spravuje a jak vlastne byla chyba objevena? Nekomu se to uz stalo (fraud) a nebo to nekdo na chyby testuje? Chapu to tak ze jde o chybu starsi verze, byt hojne pouzivane..A s OS a prohlizecem nebo hesly ulozenymi v pocitaci to nema nic spolecneho, jde o kryptovani komunikace pres internet, cilli HTTPS..diky Frantik

Odpovídá: Michal Valášek

OpenSSL spravuje OpenSSL projekt, tedy "komunita", takže všichni a nikdo.

Existují lidé zabývající se bezpečnostní analýzou různých programů, o kterých předpokládají, že by v nich mohla být nějaká chyba. Konkrétně tento bug objevili Neel Mehta, Adam Langley a Bodo Moeller.

Jde naopak o chybu nejnovější verze (na jejímž základě byla vydána ještě novější, v níž je to opravené). OpenSSL je podporováno v několika větvích (udržovány jsou i starší, je to něco jako Windows 7 a Windows 8 - obojí je podporované) a chyba byla v té nejnovější.

S OS, prohlížečem a podobně to skutečně nemá nic společného.

11. 4. 2014
Ptá se: Míra L

Dobrý den,
týká se problém OpenSSL jen serverů nebo také pracovních stanic a osobních počítačů?

Odpovídá: Michal Valášek

Týká se především serverů. OpenSSL se využívá i na klientech, ale tam je zneužití této konkrétní chyby dost nepravděpodobné.

11. 4. 2014
Ptá se: Já.

Proč by se chtěl někdo vydávat za Jana Nováka z Prahy?

Odpovídá: Michal Valášek

Protože Novák právě prochází rozvodovým řízením a Nováková ho chce očernit, aby zabránila svěření dětí do jeho péče.

Protože Novák má sice na účtu pár korun, ale zároveň je předsedou společenství vlastníků jednotek ve svém baráku a má přístup k jeho účtu, a fond oprav se už vyplatí vyluxovat.

Protože Novák má internetové připojení a já chci jeho prostřednictvím provést něco nekalého. Pořád lepší, když policejní zásahovka naběhne k Novákovi, než ke mně.

(všechny výše uvedené případy se skutečně staly)

11. 4. 2014
Ptá se: Jonatan

Dobrý den,

předpokládám, že mobilní připojení na bankovní účet (přes ověřovací sms) je stále bezpečné.
Nebo se mýlím?

Odpovídá: Michal Valášek

Ověřování pomocí jednorázového hesla je bezpečnější, než kdybyste žádné neměl. Ale i to se dá prolomit, třeba když si omylem nainstalujete do telefonu nějaký malware, který bude autentizační SMS přeposílat. Nejbezpečnější je autentizační kalkulačka.

 

Právě se děje

Další zprávy