Anonymita na internete? Začnite kvalitnou VPN. Odborník na IT bezpečnosť radí, ako si ustrážiť súkromie

Ondrej Kubovič heslá rozhovor náhľad

Máte strach z toho, že internetoví giganti o vás toho vedia príliš veľa, alebo sa obávate, že sa k vašej komunikácii dostanú neoprávnené osoby? Možno je najvyšší čas zvážiť použitie virtuálnej súkromnej siete VPN. Pri správnom používaní však veľkú mieru zabezpečenia dokážu poskytnúť aj samotné prehliadače. O tom, ako sa môžeme lepšie chrániť pri používaní internetu, sme sa rozprávali so špecialistom na digitálnu bezpečnosť zo spoločnosti ESET Ondrejom Kubovičom.

  • ako vás dokáže ochrániť browser pred škodlivým obsahom,
  • či povoliť prehliadačom, aby si zapamätali vaše heslá,
  • ako veľmi ste anonymný v režime inkognito,
  • že VPN môže pomáhať disidentom,
  • a či sa dá veriť bezplatným VPN?

Dokáže ma pred škodlivým obsahom na internete ochrániť aj samotný prehliadač?

Všetky najrozšírenejšie prehliadače majú v sebe zabudovanú funkciu Safe Browsing. Je to v zásade rozšírenie antiphishingovej ochrany. Táto technológia dokáže aktívne blokovať čokoľvek, čo nespĺňa základné štandardy. Ak napríklad nie je v poriadku bezpečnostný certifikát, URL má zlú reputáciu, alebo je známe, že je na stránke zlý obsah. Väčšina prehliadačov má túto funkciu aktivovanú hneď po nainštalovaní. Používateľom by som ale aj tak odporučil, aby si pre istotu skontrolovali, či majú Safe Browsing zapnutý.

Môže sa stať, že prehliadaču unikne nejaký škodlivý obsah?

Problém je v tom, že prehliadače používajú obrovské kvantá ľudí po celom svete a tým pádom nemôžu byť úplne striktné v tom, čo blokujú. Na jednej strane sa teda dá dosiahnuť úplná bezpečnosť, ale len na úkor použiteľnosti. Je možné zablokovať všetky zlé veci na internete, ale tým pádom by sa zablokovala aj veľká časť legitímnych stránok. Prehliadače by tak boli pre bežného človeka nepoužiteľné. Preto sa hľadá vždy bod, pri ktorom browsery fungujú dobre pre používateľov a zároveň odfiltrujú povedzme 99% škodlivého obsahu. Stále je tam teda to malé percento hrozieb, ktoré prehliadače jednoducho pokryť nemôžu. Preto treba mať viac vrstiev ochrany, napríklad bezpečnostný softvér.


Aké sú najčastejšie formy útokov cez prehliadač? Čítať viac


Pred čím ma teda prehliadač neochráni? V akých prípadoch už treba nasadiť bezpečnostný softvér?

Nepovedal by som, že existuje nejaký konkrétny problém, pred ktorým browser používateľa neochráni. Bežný používateľ, ktorý nechodí na stránky s nelegálnym obsahom denne, má len relatívne malú šancu, že natrafí na hrozbu, ktorú prehliadač neidentifikuje. Ak však niekto robí na internete aj rizikovejšie aktivity, napríklad streamuje seriály na podivných stránkach alebo sťahuje obsah cez torrenty, tak je dobré mať nainštalovaný aj antivírus. Pri týchto aktivitách totiž často vyskakujú „pop up“ okná, ktoré používateľa dovedú na nebezpečné miesta prípadne sa do zariadenia pokúsia stiahnuť niečo neželané.

Získajte aktuálne informácie o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.

Ako môžu samotní používatelia dopomôcť prehliadačom aby ich chránili čo najlepšie?

Prvý krok je pozrieť sa do nastavení a pozrieť si, či je zapnutý Safe Browsing, aké cookies chcem povoliť, či sa majú vymazávať, keď vypnem prehliadač. Dokonca sa dá zapnúť funkcia vynucovania https. Čiže ak stránka existuje aj v zabezpečenej, teda šifrovanej verzii, browser ju uprednostní.

Je bezpečné prehliadačom povoliť, aby si zapamätali naše heslá?

Nie som úplný odporca ukladania hesiel do prehliadača. Robí to veľa ľudí, je to pohodlné a v zásade to je super funkcia. Zároveň však majú útočníci špecifické nástroje, ktoré sú vyslovene zamerané na zber hesiel z browserov. Presne preto je vhodné mať zapamätané iba také heslá, ktoré nie sú od kľúčových služieb, respektíve sú len od účtov, ktoré máte zabezpečené ďalšou vrstvou ochrany. Dvojfaktorová autentifikácia je určená práve pre podobné prípady. Aj keby ma niekto hackol, do konta sa nedostane, lebo mne príde do SMS alebo aplikácie overovací kód.

Mnohí používatelia majú mylné predstavy o režime inkognito. Často si myslia, že pri jeho používaní fungujú v anonymnom móde, a že sa o nich zbiera menej informácií. Je to naozaj tak?

Do veľkej miery za toto nedorozumenie môžu aj samotné prehliadače, ktoré pocit anonymity navodzujú samotným názvom. Čo je to inkognito mód sa najlepšie vysvetľuje na príklade. Ak si sadnem za verejne prístupný počítač v internetovej kaviarni a surfujem v inkognito móde, tak po zatvorení prehliadača nikto, kto si za toto zariadenie sadne po mne, nebude vedieť čo som robil. Neuvidí históriu, cookies ani moje heslá. Nie je tam jednoducho uložené lokálne nič o mojom správaní.

produktový banner ESET Family Security Pack

Kto má teda prístup k údajom o tom, čo sa deje v inkognito móde?

Aj v inkognito móde zbiera údaje samotný prehliadač. Takisto vidí, kde som sa prihlasoval aj poskytovateľ internetového pripojenia. Informácie vedia zbierať aj online služby, na ktoré som sa v inkognito móde prihlásil. Ak používate napríklad Facebook, musíte sa prihlásiť. Služba vás teda identifikuje a vie na čo klikáte, môže logovať vaše správanie tak ako obvykle. Inkognito mód z vás nespraví hmotu bez mena a tváre, ktorá sa prihlásila na Facebook. Stále ste to vy a oni vedia, že ste to vy. Len na tom konkrétnom zariadení je ťažšie zistiť, že ste to boli vy.

Väčšiu mieru anonymity poskytuje používanie virtuálnej súkromnej siete, ktorú poznáme pod skratkou VPN. Čo to je a na akom princípe funguje? Kybernetickí experti ju opisujú ako bezpečnostný tunel.

Ten opis je dosť dobrý a opisuje princíp, na akom VPN funguje. V súčasnosti sa táto technológia využíva vo veľkom pri prihlasovaní do firemných systémov pri práci z domu. Zamestnávatelia totiž chcú, aby zamestnanci použili na prístup do systému zabezpečenú cestu. VPN poskytuje šifrovanú komunikáciu medzi počítačom a stránkou, respektíve interným systémom. Keby sa ktokoľvek nabúral do komunikácie a začal odchytávať čo robím, tak nezistí prakticky nič. Narazí totiž na „ochranný tunel“ a namiesto konkrétneho obsahu uvidí akurát tak rozsypané nedešifrovateľné znaky.

Pre bežných používateľov je výhodná VPN aj na zmenu IP adresy.

Áno, keď sa prihlásite napríklad cez nejaké pražské datacentrum, tak ktokoľvek sa pozrie na vašu aktivitu na webe uvidí iba to, že došlo k prístupu z daného pražského datacentra. Inak ste iba nejaká masa bez tváre a bez mena. Pri VPN sa dá samozrejme vyberať. Môžete sa virtuálne nachádzať v Singapure či v New Yorku, kde sa vám to práve hodí.

V akých prípadoch môže virtuálna zmena lokality používateľom reálne pomôcť?

Jedným z takých najbežnejších príkladov je prístup k obsahu, ktorý je dostupný len v konkrétnych krajinách. Keď chcete napríklad americkú ponuku na Netflixe, tak sa cez VPN prihlásite na americký server. Kedysi to bolo veľmi jednoduché, stačilo kliknúť a pozerali ste americký Netflix. Dnes už si na to v Netflixe dávajú pozor, vedia že ľudia takto používali VPN. Nie všetky servery preto budú fungovať, niekedy sú potrebné špecifické nastavenia.

Sú známe aj prípady, keď VPN pomohla obyvateľom v autoritárskych štátoch. Ako napríklad?

Povedzme, že ste napríklad disident v štáte kde vládne prísny režim, alebo nezávislý novinár, ktorý tam chce pracovať. Nemôžete sa prihlásiť na nejaké stránky, lebo sú v danej krajine cenzurované. Vtedy môžete použiť VPN a prihlásiť sa z iného bodu, obísť cenzúru a dostať sa k informáciám od nezávislých médií vo svete. Ďalej VPN môže pomôcť v takýchto prípadoch aj na zabezpečenie komunikácie. Ak posielate niekomu informácie, sú takto lepšie chránené pred sledovaním. 

Ako je to napríklad s mobilmi? Dajú sa VPN-kou zabezpečiť aj iné zariadenia ako počítač?

Dajú. Mobily, tablety a dokonca aj múdre chladničky či televízory, sú už malé počítače. Čokoľvek, čo má dostatočný výpočtový výkon, sa teoreticky dá zabezpečiť prostredníctvom VPN. Otázka je, či je to nutné. Lebo inštalovať VPN napríklad na smart vysávač bude určite komplikované a koniec koncov asi aj zbytočné. Ale dalo by sa to, aj keď nie úplne prirodzene dvoma klikmi. Pri mobiloch si ale viem predstaviť, že by mohla byť VPN užitočná podobne ako na laptope alebo desktope.

Sú bezpečné VPN, ktoré sú zadarmo? Lebo v kybernetickom svete sa hovorí, že nič nie je zadarmo, a ak je, tak sa platí dátami. Dôverovali by ste teda bezplatným VPN?

Dôveroval, keby ich používam iba na také prípady ako už spomínané sledovanie Netflixu. Tam by mi to nevadilo, lebo môj cieľ je v tomto prípade zmeniť si IP adresu, nie zostať v anonymite. Ak by som však bol disident, a snažím sa chrániť seba a svoju rodinu, tak určite nie. Bál by som sa toho, že kto má prístup k tým dátam a čo s nimi môže robiť. Samozrejme, aj tieto spoločnosti nejak anonymizujú tie dáta. Je však dokázané na big data setoch, že sa z toho dajú identifikovať konkrétni používatelia. Dá sa to odtrackovať k danej osobe na základe nejakého správania alebo ďalších informácií.

ESET Internet Security banner

Takže je lepšie využiť služby platených poskytovateľov.

Tí sa snažia garantovať aspoň nejakú úroveň služieb a anonymity. Keďže toto je často ich najsilnejšia konkurenčná výhoda, snažia sa to podrobne prezentovať na svojich stránkach. Ak však nechcete veriť len priamo výrobcom, existujú aj nezávislé porovnania, ktoré napríklad hodnotia úroveň šifrovania. Niektorí poskytovatelia VPN ponúkajú dokonca viac vrstiev šifrovania, aby bola služba ešte bezpečnejšia.

Ďalším rozhodovacím faktorom pri výbere VPN je cena, ale toto kritérium by som nebral do úvahy ako najdôležitejšie. VPN totiž môže stáť ročne 50 eur, ale zároveň je trikrát za rok akcia, pri ktorej sa dá kúpiť za 80 eur na tri roky. Za iné spoplatnené služby dávajú používatelia aj o dosť viac peňazí. V pomere k tej bezpečnosti, ktorú VPN poskytuje, je to nízka cena.  

Dá sa povedať, že kvalitná VPN poskytuje prakticky úplnú anonymitu?

Je to pomerne veľké zjednodušenie, ale dá sa povedať, že kvalitná VPN poskytuje vysokú mieru anonymity. Ani v tomto prípade však netreba zabúdať na to, že aj VPN je len softvér vytvorený ľuďmi a tak nie je nikdy stopercentný. To platí obzvlášť ak nie je pravidelne aktualizovaný. Vo veľmi ojedinelých prípadoch by mohli útočníci nájsť zraniteľnosť aj vo VPN a zneužiť ich na sledovanie vybraných používateľov.

Nezbiera údaje o používateľoch napríklad poskytovateľ internetu?

VPN prepája dané zariadenie s cieľovou stanicou. Poskytovateľ internetu iba vidí, že ste sa prepojili so serverom v datacentre, ktorý je v tej komunikácii len medzičlánkom. Takže nevidí, akú stránku ste navštívili alebo o čom ste si písali. Preto sa VPN používa na skrývanie identity napríklad pri sťahovaní nelegálneho obsahu napríklad z torrentov.

To znie tak, ako keby si cez VPN mohol v zásade robiť hocikto čo len chce. Čo ak by sa napríklad dohadovali na niečom cez VPN teroristi? Čo by v takom prípade robili úrady?

Väčšinou, keď sa dohadujú teroristi, tak to asi nerobia cez VPN, ale skôr cez end-to-end šifrované komunikačné kanály, mobilné aplikácie. Sú to legitímne spoločnosti, ktoré poskytujú súkromie. Druhá vec je, že niektorí ľudia to zneužívajú na nekalé účely. Ale aj internet sa využíva na nekalé účely, aj keď väčšina aktivity je pozitívna a ekonomicky prínosná. V každom prípade, nie je tam pre úradné autority príliš veľa priestoru, aby s tým mohli niečo robiť. Reálne môžu žiadať údaje cez súdne príkazy, no často môžu naraziť na to, že samotná firma nemá žiadne informácie o tej aktivite alebo – ako v prípade Applu – s nimi dokonca bojuje na súdoch, aby im dáta nemusela poskytnúť.

Ako potom dokážu odchytiť komunikáciu napríklad tajné služby?   

Tajné služby majú väčšinou celé tímy, ktoré sa venujú podobným aktivitám. Vedia napríklad v aplikáciách či softvéri nájsť zero-day (teda doposiaľ neznáme) zraniteľnosti, ktoré nikomu nenahlásia. Tie potom používajú, aby sa do aplikácie nabúrali a dostali sa tak k obsahu komunikácie. Nepotrebujú tak ani prelomiť šifrovanie, lebo to by bolo výpočtovo a časovo príliš náročné. Diera v aplikácii, ktorá im umožní prístup, je pre nich ľahšou cestou. Môže to byť napríklad chyba v prihlasovacom formulári či v používateľskom interface alebo niečo podobné.

Aj na Slovensku sme mali prípad, keď si určitá osoba myslela, že si cez takúto aplikáciu môže písať čo chce, bez toho aby sa na to prišlo. Tá komunikácia nakoniec bola prelomená.

Prístup k informáciám, ktoré odzneli v tej komunikácii majú len dve strany – prijímateľ a odosielateľ. Nejde o to, že by nejako zlyhala Threema. Tá aplikácia to mala spravené dobre. Na jej stránkach je to dokonca podrobne popísané s tým, že si viete pozrieť použité protokoly a celkové zabezpečenie. V tomto zmysle však k prelomeniu nedošlo. Čo sa stalo je, že sa policajti dostali reálne do mobilu Mariána K., kde už nebol problém otvoriť si aplikáciu a pozrieť si jej obsah. Dostali sa teda k zariadeniu koncového používateľa a teda k jednému z dvoch bodov end-to-end šifrovanej komunikácie.     

To znamená, že museli mať policajti heslo od jeho mobilu?

Je možné, že im ho mohol poskytnúť ten, kto im toto zariadenie vydal. To je však už skôr otázka na vyšetrovací tím a nie na mňa. Je to extrémny príklad toho, čo sa môže stať, ak si nedáte pozor na fyzickú bezpečnosť vášho zariadenia. Ak máte napríklad niekde položený mobil, a niekto vie alebo zistí váš prihlasovací kód, tak vás žiadna technológia neochráni. Zlyhali ste totiž pri ochrane zariadenia samotného.

Sú prípady, keď úradom nepomohol pri objasňovaní zločinov ani prístup k mobilu, lebo nevedeli prístupový kód?

To je druhý extrém. Ide napríklad o strelcov v USA, ktorí zomrú pri útoku. Vyšetrovatelia sa im následne pokúšajú dostať do mobilu, no často to nevedia urobiť. Už zabezpečenie kódom vie byť natoľko komplexné, že sa k tomu obsahu jednoducho nedokážu dostať. Vládne agentúry dlhodobo bojujú na súdoch aj so spoločnosťou Apple, ktorá s nimi odmieta spolupracovať pri sprístupnení takýchto zariadení. Nechce totiž sama porušiť svoj bezpečnostný štandard tým, že by ich odomykala. Apple totiž predáva svoje zariadenia aj s prísľubom ochrany súkromia. Ak by ich pomáhala odomykať – a to aj v extrémnych prípadoch – vznikol by precedens a úrady by si mohli pýtať podobné údaje v stále väčšom objeme.