Sjećam se točno trenutka kad sam shvatio da sam u problemu. Bilo je to prije nekih pet godina, sjedio sam u svom uredu – zapravo, to je bila preuređena garaža prepuna kabela i starih monitora – i gledao u ekran. Miš se micao sam od sebe. Prvo sam mislio da mi se ruka trese od previše kofeina (što je realna mogućnost s obzirom na moju dnevnu dozu), ali ne. Kursor je klizio prema mapi “Financije”.
U tom trenutku, srce mi je stalo.
Iščupao sam mrežni kabel iz zida tolikom silinom da sam skoro povukao i žbuku. Bio je to moj “buđenje” trenutak. Mislio sam da sam pametan, da se to događa “tamo nekim bakama” koje klikaju na reklame za čudotvorne kreme. Ali prevario sam se. Sigurnost na internetu nije stanje; to je stalna borba u blatu. I svi smo u ringu.
Danas, dok tipkam ovo na (nadam se) sigurnom laptopu, želim s vama podijeliti sve ono što sam naučio na teži način. Neću vam citirati udžbenike. Ovo je zbirka od 25 Super Aplikacije Savjeta Za Siguran Rad Danas, napisanih krvlju, znojem i izgubljenim živcima jednog IT-jevca koji samo želi da ne napravite iste gluposti kao ja.
Vežite se, bit će ovo duga vožnja.
Više iz kategorije:
15 Super Mobitel Savjeta i 20 Brzih Baterija Trika
Ključni Zaključci (Da znate u što se upuštate)
- Ljenost vas košta: Ako vam je teško pamtiti lozinke, hakerima je još lakše provaliti ih. Menadžeri lozinki su jedini spas.
- Vaš mobitel je cinkaroš: Aplikacije koje instalirate često znaju o vama više od vaše majke. Morate im začepiti usta dozvolama.
- Javni Wi-Fi je kao javni WC: Koristite ga samo ako baš morate i imajte zaštitu (VPN). Inače, ne dirajte.
- Paranoja je zdrava: Ako vam mail izgleda sumnjivo, vjerojatno jest. Vaš instinkt je bolji detektor od većine antivirusa.
- Backup glavu čuva: Jedina stvar koja vas dijeli od totalne katastrofe kad (ne ako) vas hakiraju je sigurnosna kopija.
Zašto pobogu još uvijek koristite “Lozinka123” i mislite da je to u redu?
Iskreno, moramo ozbiljno popričati o ovome. Svaki put kad vidim nekoga da ukucava svoje ime i godinu rođenja kao lozinku, dio mene umre. Razumijem vas, stvarno razumijem. Tko normalan može pamtiti “Xj9#mP2$L” za pedeset različitih servisa? Nitko.
Ali evo u čemu je stvar: hakeri ne pogađaju vaše lozinke. Oni koriste skripte, programe koji vrte milijune kombinacija u sekundi. Ako je vaša lozinka u prvih milijun najčešćih, gotovi ste prije nego popijete gutljaj kave.
1. Nabavite menadžer lozinki i prestanite glumiti heroja
Ovo je temelj. Bez ovoga, sve ostalo pada u vodu. Prije par godina, opirao sam se tome. “Neću ja svoje lozinke dati nekom programu,” mislio sam. Kakva greška. Danas koristim Bitwarden (ali dobri su i 1Password ili Dashlane). Ovi alati pamte sve one bolesno komplicirane šifre umjesto vas. Vi morate pamtiti samo jednu. Jednu jedinu. Ako to ne možete, onda imamo veći problem.
2. Dužina je kraljica sigurnosti (da, bitnija je od znakova)
Svi vam govore: “Stavi veliko slovo, broj, uskličnik…” I onda ljudi stave “Zagreb2024!”. To je smeće od lozinke. Zašto? Jer je predvidljivo. Bolja taktika? Uzmite četiri nasumične riječi. “LjubičastiTraktorPijeKavu”. Ovo je noćna mora za kompjutere zbog entropije (mjere nepredvidljivosti), a vama je lako za zapamtiti jer je slika u glavi smiješna. Probajte.
3. Ne budite reciklažno dvorište za lozinke
Znam scenarij. Imate onu jednu “dobru” lozinku koju koristite za Gmail. Pa zašto je ne bi stavili i na onaj web shop s jeftinim majicama? Evo zašto: taj web shop vjerojatno drži neki student u podrumu i sigurnost mu je nula. Kad njega hakiraju (a hoće), hakeri pokupe vašu lozinku i mail. Prva stvar koju rade? Odu na Gmail i probaju istu kombinaciju. I bum. Ode vaš digitalni život. Svaki račun mora imati svoju unikatnu lozinku. Nema iznimki.
4. Lažite na sigurnosnim pitanjima
“Koje je djevojačko prezime vaše majke?” Ozbiljno? To se nađe na Facebooku u dva klika. Kad vas servis traži odgovore na ta pitanja, lažite. Izmislite. Napišite da vam je majčino prezime “Batman”. Bitno je da vi znate odgovor, a ne da je istinit. Sigurnosna pitanja su često najslabija karika kojom napadači resetiraju vaše lozinke.
Mislite li da je dvostruka provjera gnjavaža? Probajte vratiti ukradeni Instagram profil.
Imam prijatelja, zvat ćemo ga Ivan (jer se stvarno zove Ivan). Ivan je influencer u usponu, fitness trener. Jedno jutro se probudio i njegov Instagram je nestao. Netko je ušao, promijenio mail, lozinku i broj telefona. Ivan nije imao uključenu dvofaktorsku autentifikaciju (2FA). Tjedan dana plakanja, mailova podršci koja ne odgovara i gubitka posla. Sve zbog jedne kvačice u postavkama koju mu se “nije dalo” stisnuti.
5. Uključite 2FA gdje god postoji ta opcija
Ne zanima me je li to banka ili forum za ljubitelje kaktusa. Ako nude 2FA, uključite ga. To je onaj dodatni kod koji vam traži kad se logirate s novog uređaja. Čak i ako vam netko ukrade lozinku (vidi točke iznad), bez tog koda ne može unutra. To je kao da lopov ima ključ od vaše kuće, ali ste vi iznutra stavili zasun.
6. SMS autentifikacija je bolja nego ništa, ali jedva
Ovdje ulazimo u tehničke vode, ali ostanite sa mnom. Hakeri su postali bezobrazni. Postoji nešto što se zove “SIM swapping”. Nazovu vašeg operatera, predstave se kao vi (uz par ukradenih podataka), i kažu “Izgubio sam mobitel, prebacite mi broj na novu karticu”. I odjednom, oni primaju vaše SMS kodove. Zato, izbjegavajte SMS ako možete.
7. Aplikacije za generiranje kodova su zakon
Umjesto SMS-a, koristite aplikacije poput Google Authenticator, Microsoft Authenticator ili Authy. One generiraju kodove lokalno na vašem mobitelu. Nema signala? Nema problema, kodovi i dalje rade. I nitko ih ne može presresti preko mreže. To je zlatni standard za nas obične smrtnike.
8. Hardverski ključevi su za paranoične (i pametne)
Želite biti James Bond? Nabavite YubiKey ili sličan hardverski ključ. To izgleda kao mali USB stick. Da biste ušli u svoj Google račun, morate fizički gurnuti taj ključić u kompjuter i dotaknuti ga. Nema tog hakera u Rusiji ili Kini koji to može zaobići, osim ako vam fizički ne ukrade ključeve s ormarića. Košta pedesetak eura, a miran san nema cijenu.
Ažuriranja sustava: Zašto stišćete “Odgodi” već peti put zaredom?
Gledajte, shvaćam. Uvijek se to ažuriranje pojavi u najgorem trenutku. Upravo završavate prezentaciju, ili ste usred epizode serije. I onaj prozorčić iskoči: “Restart now?”. I vi, naravno, stisnete “Remind me tomorrow”. I tako prođe mjesec dana.
9. Vaš softver je švicarski sir pun rupa
Nijedan kod nije savršen. Programeri su ljudi, piju previše kave i rade greške. Te greške su rupe kroz koje hakeri ulaze. Ažuriranja (updateovi) nisu tu (samo) da promijene boju ikonica. Ona su zakrpe za te rupe. Kad Apple ili Microsoft izbace hitno ažuriranje, to obično znači da su loši dečki već našli način kako provaliti, a dobri dečki pokušavaju zatvoriti vrata. Nemojte ih držati otvorenima.
10. Automatizacija je majka mudrosti
Nemojte se oslanjati na to da ćete se “sjetiti”. Nećete. Uđite u postavke Windowsa, Androida, iOS-a i stavite sve na “Automatic”. Neka se mobitel ažurira u 3 ujutro dok spavate. Probudit ćete se s sigurnijim uređajem i nećete ni znati da se nešto dogodilo.
11. Ne zaboravite na “glupe” uređaje
Svi ažuriramo mobitele, a što je s ruterom? Onom kutijom koja stoji u prašini u hodniku i daje vam internet? Ako niste ažurirali firmware rutera zadnjih 5 godina, on je vjerojatno pun sigurnosnih propusta. Hakeri obožavaju stare rutere jer preko njih mogu “njuškati” sav promet u vašoj kući. Zovite operatera ili, ako ste hrabriji, ulogirajte se u ruter i provjerite update.
Javni Wi-Fi i zašto se igrate s vatrom?
Scena: aerodrom, kafić, hotel. Dosadno vam je, ne želite trošiti roaming. Vidite otvorenu mrežu “Free_Airport_WiFi”. Spajate se. Provjeravate mail, možda platite neki račun. Čestitam, upravo ste možda dali svoje podatke nekom klincu koji sjedi tri stola dalje s laptopom i softverom koji je skinuo s interneta za 5 minuta.
12. Tretirajte svaku javnu mrežu kao zaraženu
To je moj stav. Bilo da je to McDonald’s ili luksuzni hotel, njihove mreže su često katastrofalno osigurane. Napadači mogu izvesti “Man-in-the-Middle” napad. Oni stanu između vas i interneta. Vi mislite da pričate s bankom, a zapravo pričate s njima, a oni prosljeđuju podatke banci. Sve što prođe kroz njihove ruke je kompromitirano.
13. VPN nije samo za gledanje američkog Netflixa
Virtualna Privatna Mreža (VPN) je vaš oklop. Kad upalite VPN (ja volim NordVPN ili ProtonVPN, ali ima ih puno dobrih), on stvara kriptirani tunel. Čak i ako sam ja onaj klinac za susjednim stolom i “hvatam” vaš promet, sve što vidim je gomila besmislenih znakova. Ne vidim što gledate, ne vidim lozinke, ne vidim ništa. Nikad, ali baš nikad se ne spajajte na javni Wi-Fi bez VPN-a.
14. Isključite automatsko spajanje
Vaš mobitel je kao usamljeni psić, očajno traži poznate mreže. Ako ste se jednom spojili na “City_Free_WiFi”, vaš mobitel će se svaki put kad prođete gradom pokušati spojiti na bilo što što se tako zove. Hakeri to znaju. Postave lažnu mrežu s istim imenom, vaš mobitel se spoji automatski, i gotovi ste a da niste ni izvadili mobitel iz džepa. Očistite listu zapamćenih mreža redovito.
Phishing: Kako prepoznati prevaranta koji vam želi “pokloniti” novac?
Nekad su to bili “Nigerijski prinčevi”. Bilo ih je lako prepoznati jer su bili nepismeni i tražili su čuda. Danas? Danas mi stižu mailovi od “Porezne uprave” koji izgledaju identično kao pravi. Imaju logo, imaju pravni rječnik, imaju sve. Osim što link vodi na lažnu stranicu.
15. Stanite, udahnite, brojite do deset
Glavno oružje phishinga je hitnost. “Vaš račun će biti blokiran za 24 sata!”, “Hitno platite carinu!”. To rade namjerno. Žele da vas uhvati panika i da isključite kritičko razmišljanje. Kad god vidite nešto “hitno”, to je crvena zastava. Banke i institucije rijetko šalju ultimatume mailom. Popijte vode. Pogledajte opet.
16. Analizirajte adresu pošiljatelja kao detektiv
Piše da šalje “Netflix Support”. Super. Kliknite na to ime da vidite pravu email adresu. Ako je adresa netflix-support@kineska-domena-xy.com ili admin@gmail.com, brišite to. Velike firme šalju mailove isključivo sa svojih službenih domena. Nema iznimki.
17. Linkovi lažu
Piše “Kliknite ovdje za povrat poreza”. Vi prijeđete mišem preko linka (bez klika!), a dolje u kutu ekrana piše www.bit.ly/skraceni-link-345. Ne. Pravi link bi vodio na porezna-uprava.hr. Na mobitelu? Držite prst duže na linku da se pojavi prozorčić s pravom adresom. Ako vam se adresa ne sviđa, ne idite tamo.
18. Prilozi (Attachmenti) su tempirane bombe
“Račun u prilogu”. A vi niste ništa naručili. Znatiželja je ubila mačku, a ubit će i vaš kompjuter. Taj PDF ili Word dokument često sadrži makronaredbe koje, čim ih otvorite, instaliraju malware. Ako niste 100% sigurni tko šalje i zašto, ne otvarajte priloge. Nazovite pošiljatelja ako treba. “Hej, jesi mi ti poslao ovaj čudni račun?”
Mobilna sigurnost: Vaš život u džepu
Mobiteli su danas postali produžetak našeg tijela. Ali sigurnosno, oni su noćna mora jer ih nosimo svuda i instaliramo svašta.
19. Dozvole aplikacija su jezive
Instalirate aplikaciju “Svjetiljka”. Ona vas traži pristup kontaktima, lokaciji i mikrofonu. Zašto? Da bi svjetlila u mraku? Ne. Nego da bi prikupila vaše podatke i prodala ih oglašivačima. Budite nemilosrdni. Idite u Postavke -> Privatnost -> Dozvole. Oduzmite sve što nema smisla. Zašto kalkulator treba znati vašu lokaciju? Ne treba. Odbijeno.
20. Antivirus na mobitelu? Da, treba vam
Dugo se mislilo da mobiteli ne mogu dobiti viruse. To je mit. Androidi su posebno ranjivi. Instalirajte neki renomirani sigurnosni softver (Sophos, Bitdefender, ESET). Mnogi imaju besplatne verzije koje su sasvim dovoljne da skeniraju aplikacije koje skidate.
21. Zaključavanje ekrana nije opcija, to je zakon
Znam ljude koji nemaju PIN na mobitelu jer im se “ne da tipkati svaki put”. To je kao da ostavite stan otvorenih vrata usred grada. Stavite otisak prsta, stavite FaceID, stavite PIN od 6 znamenki. Ako izgubite mobitel, barem nitko neće moći kopati po vašim porukama i slikama.
Društvene mreže: Prestanite davati materijal uhodama
Volimo dijeliti. Ručak, godišnji, novi auto. Ali društvene mreže su rudnik zlata za socijalni inženjering.
22. Privatno znači privatno
Pročešljajte postavke Facebooka i Instagrama. Tko vidi vaše objave? “Public”? Zašto bi netko iz Japana morao vidjeti slike vaše djece? Stavite sve na “Friends only”. I budite izbirljivi koga prihvaćate za prijatelja. Ako vas dodaje zgodna plavuša/mišićavi tip kojeg ne znate i koji ima tri slike na profilu, to je bot. Ili prevarant.
23. Ne objavljujte da vam je kuća prazna
“Krećemo na Maldive na dva tjedna! Jupi!” Prijevod za lopove: “Kuća na adresi toj i toj je prazna idućih 14 dana. Ključ je ispod otirača jer smo glupi.” Objavite slike s mora KAD SE VRATITE s mora. Ozbiljno. Osiguravajuća društva mogu vam raditi probleme ako vas opljačkaju, a vi ste javno oglasili da niste doma.
24. Oprezno s “Login with Facebook”
Zgodno je, zar ne? Ne morate pamtiti novu lozinku, samo kliknete “Prijavi se s Googleom”. Ali time stvarate lanac. Ako netko provali u vaš Google račun, ima pristup i svim tim servisima. Također, ti servisi često povlače hrpu podataka s vašeg profila. Bolje je utrošiti 10 sekundi i napraviti zaseban račun.
Backup: Vaša jedina prava polica osiguranja
Ransomware je gadna stvar. To je virus koji zaključa sve vaše datoteke i traži otkupninu (obično u Bitcoinu) da vam vrati pristup. I čak ako platite, često ne dobijete ništa.
25. Pravilo 3-2-1
Ovo je sveto pismo backupa.
- Imajte 3 kopije svojih podataka (original + dvije kopije).
- Čuvajte ih na 2 različita medija (npr. vanjski hard disk i laptop).
- Držite 1 kopiju na drugoj lokaciji (Cloud). Ako vam izgori stan (ne daj Bože) i u njemu su i laptop i vanjski disk, imate Cloud. Ako Cloud servis propadne ili vas hakiraju, imate disk u ladici. Ovo je jedini način da budete 100% sigurni da nećete izgubiti slike prvih koraka vašeg djeteta ili onaj roman koji pišete godinama.
Zaključak: Nije pitanje “ako”, nego “kada”
Možda vam se sve ovo čini kao paranoja. “Tko bi mene hakirao, ja sam mali čovjek, nemam milijune.” Upravo zato ste meta. Velike ribe imaju jake sustave obrane. Mali ljudi su lak plijen. Hakeri danas rade na veliko, automatizirano. Vi ste samo broj u njihovoj bazi.
Ne morate primijeniti svih ovih 25 savjeta danas popodne. Poludjet ćete. Ali krenite s jednim. Danas instalirajte menadžer lozinki. Sutra uključite 2FA na mailu. Za vikend kupite vanjski disk za backup.
Sigurnost nije proizvod koji kupite u kutiji. To je način razmišljanja. To je ona mala doza sumnje kad vam stigne predobar mail. To je navika zaključavanja ekrana kad idete po vodu.
Budite pametni, budite skeptični i čuvajte se. Digitalna džungla je opasna, ali uz malo zdravog razuma, možete proći neozlijeđeni.
Sretno!
Saznajte više o digitalnoj higijeni na stranicama Nacionalnog CERT-a, gdje ljudi znaju znanje.
FAQs
Zašto je važno koristiti menadžer lozinki i kako on može pomoći sigurnosti mojih računa?
Menadžer lozinki pomaže u spremanju složenih i jedinstvenih lozinki za sve vaše račune, čime sprječava da koristite jednostavne ili iste lozinke na više servisa, a to znatno povećava sigurnost vaših računa.
Zašto je dužina lozinke važnija od složenosti znakova?
Dužina lozinke povećava njezinu entropiju, odnosno nepredvidivost, što je ključno za sigurnost, dok zamjena slovima s velikim slovima i simbolima može učiniti lozinku predvidljivijom ako nije dovoljno dugačka.
Kako mogu zaštititi svoje račune od hakiranja ako koristim javne Wi-Fi mreže?
Zaštitite svoje podatke korištenjem VPN-a koji kriptira vaš internetski promet, te izbjegavajte obavljanje osjetljivih transakcija ili poslova putem javnih Wi-Fi mreža.
Koji su najbolji načini za prepoznavanje phishing mailova?
Phishing mailovi često koriste osjećaj hitnosti, sumnjivu adresu pošiljatelja, lažne linkove sumnjivih URL-ova, nepoznate ili neprofesionalne adrese i ne očekivane priloge, stoga ih je važno pažljivo analizirati.
Zašto je važno uključiti dvofaktorsku autentifikaciju (2FA) na svim dostupnim računima?
2FA dodatno štiti vaše račune tako što traži drugi oblik verifikacije, najčešće kod koji se generira na mobilnom uređaju ili putem sigurnosnog hardverskog ključa, čime se znatno smanjuje rizik od neovlaštenog pristupa.
