петак, 14. април 2017.

Kako zaštiti svoj webmail nalog


Email je sada već dosta star servis i  Skoro da ne postoji neko ko nema bar neku mail adresu čak i ako koristi twitter za komunikaciju (mislim na DM) jer mu treba za recover naloga u slučaju bilo kakvih problema sa korisničkim imenom i lozinkom kako na twitter-u tako i na drugim društvenim mrežama (FB, LinkedIn...). Ono što je svakako moguće jeste da takva osoba ne koristi svakodnevno svoj emal nalog ali ga ipak svakako poseduje.
Ako pogledamo poslovno okruženje email predstavlja primarni način komunikacije za većinu biznisa i danas je postalo sasvim normalno da se mail komunikacija smatra potpuno istom kao i da smo sa nekim razmenili zvanične podatke koji su odstampani (ovde u nekim slujačevima su potrebni dodatni mehanizmi kao sto su digitalni potpis kako bi elektronski dokument imao istu važnost kao pečatiran i svojeručno potpisan dokument na papiru. Osnovni razlog zašto je email servis tako popularan jeste to se na email poruku ne mora odmah odgovarati kao što je slučaj kod sms-a već se to može obaviti i kasnije što je u poslovnog okruženju naravno veliki plus (ovde se naravno ne smatra da je potrebno odgovoriti tek za nekoliko dana jer je bar neki normalan minimum 24h u poslovnom okruženju).

Kakva je razlika između običnog emaila i webmaila?
U početku smo na svojim računarima imali instaliran program (desktop mail klijent) kao što je MS Outlook ili neki drugi i na njemu smo konfigurisali sve svoje naloge gde se preko njega vršila i sinhronizacija poruka. Ono što je polako postalo trend jeste mobilnost tako da je ovo postalo ograničavajući faktor i polako je počelo da se prelazi na web orijentisane klijente gde nije potreban nikakav poseban program niti operativni sistem već je potrebno da imate bilo kakav web pretraživač (IE, Chrome, Firefox, Opera, Safari...) čak i ne mora imati pune funkcionalnosti već može biti i na mobilnom telefonu. Naravno to je vrlo brzo postalo trend i veliki igrači su se priključili tom trendu tako da danas imamo veliki broj ovakvih servisa od koji su najpoznatiji Gmail, Yahoo, Hotmail, Outlook, MailRU i još mnogo drugih.

Šta možemo da uradimo da dodatno zaštitimo webmail nalog?
Ovde ću navesti neke stvari koje svako može da radi kako bi dodatno obezbedio svoj webmail nalog:
- Jaka i jedinstvena lozinka - Kada se kaže jaka lozinka misli se na lozinku koju je teško probiti različitim vrstama brute-force napada i tu se primarno misli na kompleksnost (minimum 8 karaktera od kojih su: 2 mala slova, 2 velika slova, 2 broja i 2 specijalna simbola i to tako sastavljeni da to ne bude neka smislena reč). Druga stvar jeste da lozinka bude jedinstvena a tu se pre svega misli da se ne ponavlja na više mesta odnosno različitih sajtova (upravo ovo je jedan od najvećih problema jer kada dođe do nekog većeg incidenta gde dođe do curenje padata (data breach) prvo što hakeri pokušavaju da urade jeste da pokušaju da tu šifru koju su pronašli za određeni korisnički nalog isprobaju na ostalim mestima gde pronađu da isti korisnik ima kreiran nalog (ovo dovodi do toga da neko uspe da provali gmail nalog samo zbog toga što je na primer korisnik na nekom tamo sajtu sa lošom zaštitom stavio isto korisničko ime i šifru kao i na gmailu koji je inače jedan od najbolje zaštićenih sistema).
- Korišćenje pasword managera za generisanje i čuvanje lozinki je dosta dobra praksa iz više razloga a osnovni jeste taj što ne moramo da pamtimo i stalno kucamo kompleksne lozinke koje smo generisali. Drugi razlog jeste to što ove aplikacije uglavnom imaju sisteme za generisanje jakih lozinki ugrađene u sebe i treće što je još mnogo važnije jeste i to što nam mogu pomoći prilikom različitih vrsta ciljanih fišing napada gde dobijamo mail sa linkom koji nas vodi na sajtove koji liče na prave vizuelno i traže da unesete svoje korisničko ime i lozinku. Ako do ovoga dođe pasword menager će primetiti da to nije prava strana pošto on inače na toj strani treba automatski za vas da popuni korisničko ime i lozinku on to neće uraditi nego će prijaviti potencijalni fišing napad i pitati vas šta dalje da radi. Za dodatne informacija o pasword menageru kao i razmatranje o tome da li ga treba koristiti ili ne pogledajte jedan od ranijih postova.
- Višefaktorska provera - U poslednje vreme je trend i skoro svi ozbiljni webmail servisi su uveli višefaktorsku proveru (multifactor authentication MFA). Osnovna ideja jeste da ako neko na neki način i uspe da dođe do vaših podataka kao što su korisničko ime i lozinka on i dalje neće moći da pristupi webmailu jer će mu biti potrebna još jedna stvar a to je pristup vašem mobilnom telefonu gde će stizati PIN broj koji je potreban u drugom koraku. Ideja je da se generiše uvek drugi PIN i šalje uglavnom na sms i to na broj mobilnog telefona koji je ranije prijavljen. Ovo u početku može da bude odbojno jer morate svaki put kada se logujete na novi računar da unesete PIN i zbog toga što morate uvek kod sebe imati mobilni telefon koji ste prijavili što znači da ako ga zaboravite negde nećete moći da pristupite svoj webmail nalogu. Da se ne bi svaki put tražio PIN jer bi to bilo zamaruće prate se lokacija, IP adresa i sam uređaj sa koga se pristupa i samo ako se podaci na poglapaju onda se traži unos u suprotnom se smatra da je to već uređaj kome se veruje.
- Podesiti recovery mail i broj telefona - Ovo je nešto što moramo uraditi ako želimo da se osiguramo da ćemo u svakom momentu moći da pristupimo svom webmail nalogu jer će preko ovog broja telefona ili emaila biti moguć proces oporavka naloga. Ono o čemu posebno treba voditi računa jeste da se ovi podaci ažuriraju tokom vremena jer se često dešava da promenimo broj telefona i email adresu prilikom promene posla ili zbog nečeg drugog tako da povedite računa o ovome.
- Pregled poslednjih aktivnosti na mail nalogu - Na većini webmail servisa imate mogućnost da se ulogujete i odete na posebnu stranu gde možete videti poslednje aktivnosti na svom nalogu. Ovo je veoma značajno jer se ovo ne može obrisati kao podatak kako bi se prikrio trag i svaka aktivnost ostaje trajno zabeležena i potrebno je redovno pregledati ovaj spisak da bi uspeli da na vreme otkrijemo ako je bilo neobičnih aktivnosti na nalogu i blagovremeno reagujemo (nece nam biti od prevelike koristi ako tek posle mesec dana ili više vidimo da je bilo pristupa nalogu)
- Pregled uređaja sa kojih je pristupano i kojima se veruje - Kao i za prethodnu stavku i ovde većina webmail servisa ima mogućnost da vidite spisak svih uređaja sa IP adresama i drugim opisima sa kojih se pristupalo webmail nalogu. Ovo je potrebno takođe povremeno pregledati jer tu možemo videti uređaje koji nisu naši a koji su eventualno imali pristup nalogu. Takođe ovde se može videti i posebna lista uređaja koji su u grupi uređaja kojima se veruje i gde nisu potrebno dodatne mere provere kao što je PIN.
- Pregled dodeljenih prava pristupa nalogu drugim korisnicima ili aplikacijama - Ovo je nešto gde neko ko ima kraći pristu webmail nalogu može da izmeni a poznato je u većini webmail servisa kao delegacija (DELEGATION) odnosno ustupanje određenom drugom korisniku ili aplikaciji pristup webmailu gde oni imaju različite mogućnosti, od toga da čitaju pa do toga i da pišu i šalju mailove sa tog webmail naloga. Ovo svakako treba proveravati periodično.
- Provera prosleđivanja sa mail naloga - Ovo je nešto što je veoma korisni i dosta nas ima podešeno tako da većinu naših naloga preuseravamo u neki webmail klijent koji svakodnevno koristimo kao što je gmail na primer. Ono što je problem jeste što to haker može da iskoristi  i da kroz pravila prosleđivanja (forwarding rules) podesi sebe kao primaoca mailova i tako dobije trajan pristup svemu što stiže na vas mail nalog. I ovo bi bilo korisno povremeno proveravati i ukoliko postoji sumnjivih unosa odmah to ispitati.
- Voditi računa odakle se pristupa - Ovo je nešto o čemu većina ljudi (osim security profesionalaca) na rezmišlja uopšte. Radi se o tome da kada pristupamo webmailu sa javnih mesta kao što je internet kafe, apple kiosk i slično mi uopšte nismo zaštićeni jer pojma nemamo šta je ko i kada instalirao na takav računar. Ovo je veoma rizično jer na takvim računarima se može nalaziti keyloger softver ili ko zna kakav drugi maligni softver koji može ukrasti korisničko ime i lozinku. Trend je da se u poslednje vreme banke bore sa hakerima koji instaliraju takve softvere na ATM uređaje pa ona možete misliti kakva je situacija sa računarom u igraonici.

Na kraju želim da naglasim da je email nalog danas vrlo sličan vašoj kreditnoj kartici jer je čitav vaš online život vezan na njega i zbog toga je veoma važno na vreme preduzeti sve moguće mere zaštite kako ne bi kasnije bilo kasno.

0 коментара:

Постави коментар