Bezpieczny home office

Jeszcze kilka lat temu stworzenie cyberbezpiecznego domu było dużo prostsze – większość domów składała się wyłącznie z sieci bezprzewodowej i kilku komputerów. Dzisiaj technologia stała się znacznie bardziej złożona i jest zintegrowana z każdą częścią naszego życia: od urządzeń mobilnych i konsol do gier po termostat domowy i lodówkę. Na wszystko nałożył się fakt możliwości (czyt. konieczności) pracy zdalnej. Oto kilka prostych kroków do stworzenia cyberbezpiecznego domowego biura.

Jak działa sieć bezprzewodowa (Wifi) w domowych warunkach? 

Obecnie prawie każda sieć domowa jest jednocześnie siecią Wi-Fi. To za jej pośrednictwem wszystkie twoje urządzenia łączą się z Internetem. Większość domowych sieci bezprzewodowych jest kontrolowanych przez router internetowy lub oddzielny, dedykowany bezprzewodowy punkt dostępu (Access Point). Urządzenia działają w ten sam sposób: emitują sygnały bezprzewodowe, które są odbierane przez urządzenia w domu, a te łączą się za pomocą tych sygnałów. Oznacza to, że zabezpieczenie sieci bezprzewodowej jest kluczowe w szerszym kontekście, czyli ochrony domu.  

Routery i Access Pointy dziś i w przeszłości. Co się zmieniło? 

Przez wiele lat, producenci urządzeń sieciowych podchodzili dość swobodnie do ich zabezpieczeń. Jednak nowe routery, które pojawiły się na rynku w ostatnim czasie, mają wbudowane zabezpieczenia na bardzo wysokim poziomie. Producenci bardziej niż kiedykolwiek wcześniej zwracają uwagę na bezpieczeństwo i niezawodność sprzętu oraz na tworzenie produktów wraz z oprogramowaniem o wiele bardziej przyjaznym dla użytkownika niż kiedyś. Obecnie obsługują wiele kluczowych ustawień zabezpieczeń.  

Na jakie zagrożenia narażone są routery i punkty dostępu? 

Jednym z najwyższych źródeł zagrożeń dla routera są, paradoksalnie, znane urządzenia. Brzmi to dość osobliwie, dlatego postaram się wytłumaczyć, na czym polega niebezpieczeństwo. Router ma listę urządzeń, które uważa za godne zaufania. Innymi słowy, sprzęt ma dostęp do sieci, a za jego pośrednictwem programy i aplikacje. „Coś” w telefonie lub laptopie uzyskuje dostęp do routera i np. może otworzyć usługi/porty, by uzyskać zdalny dostęp i spowodować potencjalne zagrożenia.

Przestrzeganie podstawowych zasad bezpieczeństwa, pozwala na minimalizowanie ryzyka zainfekowania sieci domowej 

Mamy dla Ciebie kilka propozycji, które Ci w tym pomogą: 

• Dbaj o to, aby wszystkie oprogramowanie urządzeń było regularnie aktualizowane,  
• Wybieraj świadomie aplikacje, programy i rozszerzenia przeglądarki, które instalujesz, 
• Chroń swoje urządzenia długimi i trudnymi do odgadnięcia hasłami, najlepiej różniącymi się od siebie. Możesz zacząć korzystać np. z menedżera haseł (np. Keepass, Bitwarden, 1Password).  
• Upewnij się, że twoje urządzenia są chronione przez odpowiednie oprogramowanie zabezpieczające (antywirus, firewall, szyfrowanie urządzenia etc.).  

Urządzenia końcowe to nie tylko komputery 

Prawdopodobnie masz wiele urządzeń podłączonych do routera, od telefonów po inteligentne głośniki (asystenci głosowi). Pamiętaj, że musisz je wszystkie zabezpieczyć, jak tylko połączysz je z siecią Wi-Fi – wtedy są one również podłączone do twojego routera. Jeśli jakieś urządzenie nie potrzebuje dostępu do Wi-Fi, wyłącz ten dostęp. Nie zauważysz różnicy w funkcjonowaniu sprzętu, a dzięki temu unikniesz przykrych sytuacji. Niemal codziennie obserwujemy nowe ataki na smart urządzenia czy słyszymy o nowych robakach sieciowych, więc lepiej, żebyś dowiadywał się o tym np. z Niebezpiecznika niż poczuł to na własnej skórze. 

Następujące kroki, pozwolą zabezpieczyć rdzeń naszego cyberbezpiecznego domu:  

• Zmień domyślne hasło administratora na routerze internetowym. Konto administratora umożliwia konfigurowanie ustawień sieci bezprzewodowej, a przejęcie go przez atakującego wróży problemy.  

• Upewnij się, że tylko osoby, którym ufasz mogą łączyć się z twoją siecią bezprzewodową. Obecnie najlepszą opcją jest użycie mechanizmu bezpieczeństwa o nazwie WPA2 (lub WPA3 jeśli jest już dostępne). Po włączeniu tej opcji wymagane jest hasło, aby ludzie mogli połączyć się z siecią domową, a po nawiązaniu połączenia ich działania online są szyfrowane.  

• Upewnij się, że hasło użyte do połączenia z siecią bezprzewodową jest silne i że różni się od hasła administratora. Pamiętaj, że musisz wprowadzić hasło tylko raz dla każdego ze swoich urządzeń, ponieważ przechowują i zapamiętują hasło, więc wysil się trochę przy jego tworzeniu ;). 

• Wiele sieci bezprzewodowych obsługuje tak zwaną sieć gości. Umożliwia ona łączenie się z Internetem przez odwiedzających, ale chroni twoją sieć domową, ponieważ nie mogą oni połączyć się z żadnym innym urządzeniem w sieci domowej (konsoli, folderów współdzielonych na laptopie, drukarki itp.). Jeśli dodasz sieć gościa, pamiętaj, aby włączyć WPA2 (lub WPA3) i stworzyć unikalne hasło dostępu sieci. I nie chodzi o to, że twoi przyjaciele i rodzina są hakerami w przebraniu. Wpuszczenie ich do twojej domowej sieci (a prawdopodobnie aktualnie wirtualnego/zdalnego/hybrydowego FP) oznacza, że mogą uzyskać dostęp do pliku, który jest chroniony np. NDA lub przypadkowo zmienić ustawienia, które spowodują problemy z siecią. To również kolejne utrudnienie na drodze osoby, która potajemnie próbuje uzyskać dostęp do Twojej sieci bez Twojej zgody – nawet jeśli jest w stanie uzyskać dostęp do sieci gości, nie będzie w stanie przejąć kontroli nad urządzeniami lub routerem.  

• Router powinien mieć opcję ukrywania identyfikatora SSID głównej sieci, czyli nazwy sieci, która pojawia się, gdy urządzenia końcowe skanują w poszukiwaniu Wi-Fi. Jeśli odwiedzający nie widzą tej sieci, nie mogą się z nią połączyć. Wystarczy, że Ty znasz jej nazwę, by uzyskać do niej dostęp. Jeśli nie masz pewności co do nazwy, a wyłączyłeś broadcast SSID (ukrywanie identyfikatora SSID), pojawi się ona na liście w ustawieniach routera. 

Warto wiedzieć, jakie urządzenia łączą się z Twoją siecią WiFi 

Musisz mieć pewność, że wszystkie te urządzenia są bezpieczne. Dzisiaj prawie wszystko może połączyć się z siecią domową, w tym:  

• smartfony,  
• telewizory,  
• konsole do gier,  
• nianie elektroniczne,  
• głośniki,  
• a nawet samochód.  

Najlepszym sposobem na zapewnienie bezpieczeństwa sieci domowej jest regularna aktualizacja oprogramowania w urządzeniach końcowych Atakujący nieustannie odkrywają nowe słabości (nazywane w żargonie security podatnościami) w różnych sprzętach i systemach operacyjnych. Po włączeniu automatycznych aktualizacji na komputerze i urządzeniach podłączonych do internetu, zawsze działa najnowsze oprogramowanie z kolejnymi łatkami (patch), co znacznie utrudnia włamanie do nich.  

Dlaczego lepiej wyłączyć dostęp zdalny, UPnP i WPS? 

Wiele routerów jest wyposażonych w funkcje ułatwiające zdalny dostęp do niego spoza domu. Zastanów się jednak, ile razy faktycznie potrzebowałeś dostępu administratora z innego miejsca? Raczej rzadko lub wcale, dlatego bezpieczniej wyłączyć tę funkcję w panelu ustawień routera. Aplikacje do zdalnego dostępu działają bez tych ustawień równie dobrze.  

Kolejną funkcją, na którą należy zwrócić uwagę, jest Universal Plug and Play. Zaprojektowany, aby ułatwić dostęp do Internetu urządzeniom takim jak konsole do gier i telewizory inteligentne, bez konieczności przechodzenia przez wiele ekranów konfiguracji. Jest jednak druga strona medalu: UPnP może być również wykorzystywany przez złośliwe oprogramowanie w celu uzyskania wysokiego poziomu dostępu do ustawień bezpieczeństwa routera.  

Utrzymanie zdalnego dostępu i włączonego UPnP nie narazi Cię na niebezpieczeństwo bezpośrednio, ale czyni Twoją sieć domową zdecydowanie łatwiejszym celem. Jeśli okaże się, że niektóre aplikacje i urządzenia w sieci potrzebują włączonego UPnP, możesz zmienić ustawienia. Nieaktywny Universal Plug and Play to działanie prewencyjne w sytuacji, kiedy zostaniesz zaatakowany inną drogą lub zminimializowanie powierzchni ataku na twoją sieć domową.  

Powinieneś także pomyśleć o wyłączeniu Wi-Fi Protected Setup. WPS ma dobre intencje, bo pozwala łączyć nowe urządzenia za pomocą przycisku lub kodu PIN, ale ułatwia to także dostęp nieautoryzowanym urządzeniom; numeryczny kod PIN jest łatwiejszy w przypadku ataku typu brute-force czy po prostu zgadnięcia niż hasło alfanumeryczne. Jeśli nie potrzebujesz WPS-a w swoich zastosowaniach, to najlepiej go wyłączyć. 

Warto zadbać o aktualizację oprogramowania routera (firmware) 

O co dokładnie chodzi? W routerze działa oprogramowanie niskiego poziomu o nazwie oprogramowanie układowe (firmware), które zasadniczo kontroluje wszystko, co robi urządzenie. Określa standardy bezpieczeństwa dla twojej sieci, określa zasady dotyczące podłączania urządzeń i tak dalej.  

Niektóre bardziej nowoczesne routery aktualizują się w tle, ale bez względu na posiadany model zawsze warto upewnić się, że oprogramowanie układowe jest aktualne. W efekcie masz najnowsze poprawki błędów i poprawki bezpieczeństwa oraz jesteś chroniony przed wszelkimi odkrytymi exploitami.  

Proces update’u firmware’u różni się w zależności od modelu routera, ale znalezienie go w ustawieniach nie powinno nastręczyć Ci zbyt wielu trudności. Jeśli utkniesz na dobre, to zawsze możesz zerknąć do instrukcji, znajdującej się w pudełku po urządzeniu lub wyszukać informacje dotyczące pomocy technicznej na oficjalnej stronie producenta. 

W idealnym scenariuszu proces ten będzie zautomatyzowany; możesz nawet otrzymywać powiadomienia w telefonie za każdym razem, gdy zostanie wgrana aktualizacja oprogramowania układowego. Gdy masz nieco mniej szczęścia, może być konieczne pobranie nowego oprogramowania układowego bezpośrednio ze strony producenta i ręczna aktualizacja na urządzeniu. Mimo wszystko, warto podjąć dodatkowy wysiłek. 

Jakie hasła ustawić, by było bezpiecznie 

Następnym krokiem jest użycie silnego, unikalnego hasła dla każdego urządzenia i konta online. Masz dość generowania skomplikowanych haseł, które są trudne do zapamiętania i trudne do wpisania? Mamy dokładnie tak samo. Na szczęście jest alternatywa: po prostu użyj passphrase, czyli rodzaju hasła, które używa szeregu łatwych do zapamiętania słów, takich jak „GdzieJestMojaKawa?” lub „NieWysyłamMailiOPlackach”. Im dłuższe jest twoje hasło, tym silniejsze. Unikalne hasło oznacza użycie innego ciągu znaków dla każdego urządzenia i konta online. W ten sposób, jeśli jedno hasło zostanie naruszone, wszystkie pozostałe konta i urządzenia będą nadal bezpieczne. Obawiasz się, że zapomnisz danych do logowania do poszczególnych systemów i sprzętów? Nie martw się, my też ich nie pamiętamy. Dlatego zalecamy korzystanie z menedżera haseł, specjalnego programu zabezpieczającego, który bezpiecznie przechowuje je w zaszyfrowanym, wirtualnym sejfie.  

Powinieneś używać zabezpieczeń WPA2 do ochrony dostępu do routera, co zasadniczo wymaga, aby każde nowo podłączane urządzenie uwierzytelniło się poprzez podanie hasła. Jest to domyślne ustawienie praktycznie na każdym routerze. Jeśli u Ciebie wygląda to inaczej – sugerujemy włączyć to zabezpieczenie. Kolejna dobra praktyka to regularna zmiana hasła Wi-Fi. Tak, oznacza to, że będziesz musiał ponownie połączyć wszystkie urządzenia, ale także odpędzi niechcianych gości. Panel ustawień routera powinien zawierać listę podłączonych urządzeń, choć jej interpretacja może być trudna.  

Zalecamy również zmianę hasła wymaganego do uzyskania dostępu do samych ustawień routera, ponieważ wiele osób po prostu pozostawia ustawienia domyślne na swoim miejscu – a to oznacza, że ktoś, kto zna ustawienia domyślne lub kto może je odgadnąć, może zmienić konfigurację routera. W przypadku każdego hasła, polecamy hasła trudne do zgadywania, ale łatwe do zapamiętania (np. silnym hasłem będzie “UwielbiamBezpieczne5ki”).  

Opcje zmiany haseł powinny być łatwe do znalezienia w panelu ustawień routera, a jeśli masz nowszy model urządzenia, możesz otrzymać ostrzeżenia, że wprowadzone hasła są zbyt łatwe do odgadnięcia lub brutalne. Wkrótce protokół WPA2 ustąpi miejsca WPA3, oferującemu więcej ustawień typu „ustaw i zapomnij”, również w kontekście bezpieczeństwa, ale do tego czasu zwróć szczególną uwagę na hasła do Wi-Fi. 

Na koniec, włącz weryfikację dwuetapową, jeśli masz taką możliwość. (szczególnie na kontach online). Weryfikacja dwuetapowa jest znacznie silniejsza. Używa hasła, ale dodaje także drugi krok, na przykład kod przesłany na smartfona lub aplikację na smartfonie. To prawdopodobnie najważniejszy krok, który możesz zrobić, aby zabezpieczyć się online. Co prawda, brzmi skomplikowanie, ale w rzeczywistości jest o wiele łatwiejsza niż myślisz.  

Robienie kopii zapasowych jest dla każdego, nie tylko dla dużych firm 

Czasami możesz zostać zhakowany, bez względu na to, jak ostrożny jesteś. W takim przypadku często jedynym sposobem na odzyskanie danych jest przywrócenie ich z kopii zapasowej. Upewnij się, że regularnie wykonujesz kopie zapasowe ważnych informacji i sprawdź, czy możesz je przywrócić. Pamiętaj, że dobra kopia zapasowa to kopia umieszczona w bezpiecznym, odseparowanym miejscu – po co mi kopia bezpieczeństwa, która jest przechowywana na tym samym dysku, który właśnie „backupuje”?  

By ryzyko popełnienia błędu było jak najniższe, warto skorzystać z narzędzi, które automatyzują tworzenie kopii zapasowych. Większość urządzeń mobilnych ma wbudowane oprogramowanie do backupu w chmurze, podobnie zresztą wygląda sprawa komputerów z Windowsem. Możesz również kopiować najważniejsze pliki ręcznie np. na dysk zewnętrzny, choć wymaga to bardzo dobrej pamięci i samodyscypliny. Innym ciekawym rozwiązaniem w kontekście backupu danych w ramach sieci jest serwer NAS (Network Attached Storage), często posiadający oprogramowanie do wykonywania kopii zapasowych. Podsumowując, weryfikacja tworzenia i przywracania kopii zapasowej powinna być integralną częścią higieny cyberbezpiecznego domu. 

Nie bój się pytać, co w trawie piszczy

Bezpieczeństwo to bardzo szeroki zakres tematyczny, w którym można się szybko zgubić lub zostać w tyle. Nie bój się pytać, konsultować swoich wątpliwości lub po prostu dowiadywać się, jak wyglądają aktualnie najlepsze praktyki w obszarze bezpieczeństwa.