Není firewall, jako firewall, myslí to banky s bezpečností opravdu vážně?


Pokud si přečtete podmínky pro vydávání a používání vlastních platebních karet k účtům vedených bankou Fio banka a Equabank, dozvíte se kromě jiného, že klient má povinnost, “legálně zabezpečit zařízení, prostřednictvím kterého se rozhodne používat platební kartu, firewallem, antivirovou a anti-spyware ochranou, a tyto ochranné prvky pravidelně aktualizovat”.Pokud ale klient tuto podmínku dodrží, nebude to ještě znamenat, že jeho zažízení bude dostatečně zabezpečeno a je tedy otázka, jestli těmto bankám jde opravdu o skutečnou bezpečnost, o čemž se dá s úspěchem pochybovat.

firewall

Firewall (dále FW) je základním obraným perimetrem každého systému.Pokud je správně nakonfigurován a má přidělena příslušná práva, kontroluje veškerou přichozí, tak odchozí komunikaci, jak v LAN, tak WAN.V dnešní situaci, kdy se oproti minulosti, drtivá většina škodlivého SW specializuje na získávání citlivých dat z napadeného systému, má mnohem větší význam, než antivirová řešení, která jsou na základě jejich principu fungování nespolehlivá.

Windows

Systémy od Microsoftu, mají už od verze Windows XP FW zabudovaný.Windows XP už ovšem není podporovaný a výrobce pro něj nevydává žádné bezpečnostní záplaty, takže používat ho připojený k internetu se rozhodně nedoporučuje a současně by jste tím porušili o podmínky  těchto bank.V úvahu tak připadají pouze systémy Vista, 7, 8.1 a Windows 10, případně nějaká distribuce Linuxu, či iOS.

Klíčovým problémem FW v OS od Microsoftu ovšem je, že i když  ho při instalaci povolíte, tento FW není nakonfigurován tak, aby vás byl schopen vůbec ochránit.Politika MS je tak dosti podivná, když  MS nechá uživateli volbu FW aktivovat, ten ovšem není vůbec nakonfigurován, aby mohl plnit svůj účel.A FW bez správné konfigurace, je doslova k ničemu.Podmínky těchto bank jsou tedy v lepším případě matoucí, protože v uživateli, který její podmínky splní a FW povolí, nebo nainstaluje, vyvolávají falešný pocit bezpečí.

Firewall

Aby vás tedy mohl FW chránit a zabránit nechtěným aplikacím komunikovat s internetem, je nutné nastavit základní pravidla jeho fungování.

Aplikace

Aplikace jako prohlížeč , mail klienti a další, ke svému fungování potřebují internetové připojení, takže bude nutné v FW vytvořit pravidlo, které jim to umožní.Na druhou stranu jsou aplikace, které ho nepotřebují k ničemu.Například přehrávač videa nemá moc důvod se připojovat na net, snad s výjimkou kontroly nových verzí – update.Proto umožníme přístup na net jen programům, které ho potřebují k správnému fungování a ostatním ho zakážeme, čímž významně omezíme možná rizika – čím méně aplikaci přistupuje na net, tím menší riziko.

INBOUND/OUTBOUND komunikace

OUTBOUND – odchozí komunikace znamená, že konkrétní lokální proces, např. prohlížeč, může zahájit odchozi komunikaci.K tomu v případě prohlížeče dojde, když se pokusíte navštívit nějaký WEB, prohlížeč tedy iniciuje odchozí komunikaci.FW by v tom případě měl oznámit, že se ten a ten program snaží navázat odchozí komunikaci.Vy mu ji povolíte a uložíte do pravidel.V případě aplikace, kterou neznáte, nebo která připojení k netu nepotřebuje, komunikaci zakážete.FW se tak už příště ptát nebude a tuto komunikaci tomuto programu umožní, případně jí zamezí.Většina pokročilejších FW, také umožňuje povolit komunikaci jen dočasně a podobně.

INBOUND – příchozí komunikace znamená, že konkrétní lokální proses je připraven naslouchat, iniciace tedy nepřichází od něj, ale zvenku.Tuto komunikaci je třeba v drtivé většině případů blokovat, protože je riziková a většina programu ji nepotřebuje k svému fungování.Prohlížeč, což bude nejčastější program přistupující na net, INBOUND komunikaci k ničemu nepotřebuje, takže mu ji zakážete.Některé programy ji ovšem vyžadují, jako programy používající P2P (peer-to-peer) protokol, nebo mail klienti, těch je ovšem menšina.

Porty

Každý protokol, komunikuje na určitém portu.U prohlížečů je nutný http (HyperText Transfer Protocol) , který komunikuje na portu 80.Https, je jeho nástavba pro šifrované spojení a vyžaduje komunikaci na portu 443, toto používá internet banking a služby, které pracují s citlivými daty.U prohlížeče pak využijete ještě FTP (File Transfer Protocol) na portu 21.Tím jsme s browserem skončili, víc portu nepotřebuje, samozřejmě jen v režimu OUTBOUND.Podobně nastavíme mail klienta – POP3 (Post Office Protocol) 110 a SMTP (Send Mail Transfer Protocol) port 25.

IP adresy

U programů, které se připojují jen na určité IP, jako třeba mail klienti, můžeme definovatt i IP adresu, nebo rozsah více adres.U browseru by to bylo kontraproduktivní, přistupujeme s ním na velké množství adres a hlavně předem nevíme na které.

FW, hlavně ty lepší, nabízí ještě další možnosti nastavení, uvedaná pravidla jsou ovšem pro běžnou bezpečnou komunikaci dostačující.Jen samotný FW bez náležité konfigurace, jak se doporučuje, je ovšem k ničemu.

Antivir a antispyware

Význam těchto řešení se přeceňuje a to především díky reklamní masáži.Uživatelé se běžně domnívají, že pokud mají nainstalovaný AV s aktuální databází, jsou chráněni.To je nebezpečná iluze, podporována jak vidno i “odborníky” z bank.Pouze s AV se nelze cítit bezpečně ani při běžné práci na PC, natož pak při bankovnívch operacích.Výrobci AV přichází s aktuálními definicemi hrozeb, které jsou alfou a omegou spolehlivosti AV, často i s několikadením spožděním a nejsou vyjímkou ani chyby, které způsobují taky díky heuristické analýze neznámých hrozeb, falešné poplachy.Z historie pak víme, že “nejúspěšnější” virové nákazy jako “I Love You”, nebo “Anna Kournikova”, žádný antivir nezastavil a ani nemohl.Zastavit je mohlo jen kritické myšlení, které ovšem uživatelé zjevně příliš nepoužívají.Podařilo se jim tak napadnout miliony počítačů, včetně státních institucí a Pentagonu.

Android

Android je dnes zdaleka nejrozšířenější mobilní platformou a na některých webech, už v přístupech překonává i desktopový Windows s ostaními desktopovými OS dohromady.Problém ovšem je, že narozdíl od desktopových platforem, jsou jeho možnosti zabezpečení mnohem omezenější.Jistou útěchou může být, že viry v pravém slova smyslu – tedy SW který se sám šíří a současně provadí další činnosti, na Androidu neexistují, což ale ovšem může vést k nezodpovědnému jednání a opět falešnému pocitu bezpečí.Na Androidu jste tak v relativním bezpečí, pokud nezměníte defaultní nastavení systému, která brání instalaci z jiných zdrojů, než z GooglePlay, což ovšem uživatelé často nedodržují.

Firewall

Možnosti FW jsou na Androidu omezené a pokud nemáte na zařízení root práva, ty lepší ani nelze použít.Root práva ovšem pro neznalé uživatele mohou přinést více negativního, než pozitivního a zvýšit tak bezpečnostní rizika.Instalace samotného FW bez konfigurace, pak ani na Androidu  nic neřeší.

Antivir a antispyware

Vzhledem k faktu, že pro Android viry jak jsou známy z platformy Windows neexistují, jeví se i AV řešeni pro Android jako víceméně zbytečné.AV zde může bez root práv fungovat jen jako doplněk pro zvýšení bezpečnosti.Mnohem důležitější se tak jeví, omezit komunikaci aplikacím, které se připojují na internet pomoci FW, který ovšem bez root práv má opět  možnosti nastavení velmi omezené.Na Androidu tak nejlepší obranou je používat defaultní nastavení systému, zdravý rozum, neinstalovat desítky zbytečností ani  z GooglePlay a neklikat na neznámé odkazy.Samotná přítomnost AV, tak ani na Androidu, není žádným samospásným řešením.

Závěr je tedy zřejmý, “odborníci” z těchto bank, svými podmínkami uživatele matou a vytváří v něm falešný pocit, že pokud se bude těchto podmínek držet, bude v bezpečí.Máme tedy vážné pochybnosti, že  sepsání těchto podmínek, bylo primárně motivováno zvýšením bezpečnosti  klientů a nelze než doporučit, aby se potenciální  klienti, bankám které vyžadují souhlas s takovými podmínkami, vyhnuli velkým obloukem, protože jejich cílem rozhodně není, klienta před hrozbami ochránit.

Advertisements

3 thoughts on “Není firewall, jako firewall, myslí to banky s bezpečností opravdu vážně?

    • To jistě, nicméně aby se dalo hovořit o tom, že je systém zabezpečený, musela by tam být podmínka, že je FW nakonfigurovaný tak, aby dokázal potenciální hrozby blokovat a ta tam není.A každý řetěz je jen tak silný, jako jeho nejslabší článek, kterým je v tomto případě FW.

      Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s