Nejsem žádný počítačový hacker. I když jsem se dokázal dostat do systému klasickou cestou. A věděl jsem a stále pravděpodobně vím, jak vám zavolat z vašeho telefoního čísla. Ale k věci.

Bojíte se bezpečnosti Open Source kódů? Pak byste měli:

• Vyhodit svůj mobilní telefon – Android je Linux, iOS je Darwin čili BSD
• Vypnout prohlížeče – 60% z vás má Chrome čili Chromium – Open Source, dalších 5% Firefox a Safari běží na Webkitu, což je Open Source
• Přejít se svými weby na Microsoft Server řešení, protože většina webových serverů běží nad Apachem nebo Nginxem – obojí Open Source
• Mnoho a mnoho softwarů proprietárních software je založeno na Open Source frameworcích, čili obsahují otevřené kódy – Angular, React, Vue kupříkladu pro vývoj webu

Proč má mnoho lidí tendenci se vyjadřovat k bezpečnosti, přestože problematice naprosto nerozumí?

• Viděli ve filmu, jak je jednoduché napadnout systém – takzvaný hacker seděl u grafického klikacího rozhraní ve Flashi a uklikal bezpečnost Pentagonu – takto si většina lidí představuje hackera
• Lidé jsou neustále strašení IT bezpečností – kolik znáte ve svém okolí lidí, kterým odcizili byť jen jedinou korunu z kreditní karty, což bývá nejčastější terč IT útoku na osobu?
• Lidé se bojí o bezpečnost svých mikro eshopů
• 99.9% lidí v životě žádného hackera nevidělo – sám jsem v životě viděl možná dva a to se v komerčním IT pohybuji docela dlouho
• Televizní zprávy, články z druhé ruky o hackingu v bezpečnostním smyslu – toto vytváří strach

Co si lidé vůbec neuvědomují?

• Váš eshop vůbec nikoho nezajíma – automatické systémy neustále scanují web, aby napadly známé díry v systémech a ve finále mohly použít napadené systémy pro spam nebo pro další cílený útok na služby, které mají skutečně cenu.
• Najít díru v systému není úplně jednoduché, jelikož se využívá stále sofistikovanějších mechanismů, aby se do systémů díry nedostávaly
• Největší hrozbou pro systémy a bezpečnost jsou lidé sami – nejčastěji nám útočili na slabá hesla – heslo123 pro FTP není to pravé
• Výhody Open Source pochopil svět již v roce 2014, kdy já osobně nemám na desktopu uzavřený systém již od roku 2004. Češi možná pochopí výhody Open Source plně v roce 2020 – klasicky jsme trošičku za světem.
• Bílý dům používá WordPress pro svůj web a před tím měli Drupal – oboje Open Source pod GPL licencí
• Nejbezpečnější systém světa se jmenuje OpenBSD – Open proto, že do něj nesmí jediný řádek zavřeného kódu – a to z důvodu, že v zavřených kódech mohou být backdoory, chyby a nikdo není téměř schopen toto zkontrolovat a opravit
• Lidé mívají jeden email a jedno heslo pro mnoho služeb – pokud má například Yahoo uloženy hesla v plain text podobě a data se dostanou na světlo světa je velmi rychlé a jednoduché naprogramovat roboty, kteří se snaží pod stejným přihlašovacím údajem přihlašovat do služeb jako LinkedIN, Facebook, Twitter a další
• Lidé žijí v omylu, že uzavřený kód je bezpečnější, protože si systémy představují jako trezor – ale je to právě naopak – čím více očí kód vidí, tím je pravděpodobnější odhalení chyby (http://www.franklinfitch.com/blog/2017/06/13/open-source-vs-closed-source-secure/)
• Velkou hrozbou jsou opět lidé, kteří si bez rozmyslu instalují na své počítače a telefony software, otevírají emaily s přílohami a všeobecně nemají o bezpečnosti ani tušení

Co vám mohu ukázat, jak bych napadl systém a co dělat?

• Existují YouTube videa, kde mladí kluci ukazují Metaspoit v akci – nechají běžet 2 antiviry na Windows a skrz přílohu mailu a VB makro spustí kód v Excelu, kterým si otevřou port na Windows a začnou stroj kontrolovat
• Existují videa na YouTube, kde Jacom Appelbaum tvrdí, že CIA a NSA mají cracknuté routery od čínských výrobců a řízeným packet stormem jsou schopni vypnout internet v případě potřeby
• V současnosti se systémy napadají nejvíce takzvaným Distributed Denial of Service útokem, kdy statisíce IP kamer začnou posílat požadavky na zobrazení některé webové stránky – IoT zařízení bývají nezabezpečené již z výroby
• Rozhodně bych neútočil na hrad tlučením hlavou do hradeb – buď bych se nechal najmout jako IT pracovník ve firmě, kterou bych chtěl hacknout, nebo bych přes sociální inženýrství dostal kódy za firemní firewally – sekretářky rády otevírají emaily s platy vedení
• Mějte vždy několik typů hesel
• Pro důležité služby jako je Gmail, Facebook pokud je pro vás důležitý, Amazon, LinkedIN a různé další používejte dvoufaktorovou autentikaci – čili uživatel, heslo a kód na telefonu jako do banky – tam je to jasné
• Mějte vše zálohované – na dvě místa online plus pokud máte důležitá data, mějte jeden disk offline s archivy svých důležitých dat
• Jako heslo si nastavte kousek básničky, nějakou větu či osobní motto
• Existují antivirové firmy, které sice tvrdí, že vás chrání a dávají své antiviry zadarmo, ale jako součást antiviru si instalujete spyware, kdy každý svůj klik a to včetně zabezpečených webů odesíláte oné antivirové firmě, která následně s těmito daty obchoduje – mohu dokázat
• Jediné, co firmy zajímá, jsou vaše data, aby na vás lépe mohly cílit reklamu – toto dělá Facebook, LinkedIN, Google a Angry Birds nebo Pokemon GO ve vašem mobilu na vás řeknou snad dokonce to, že jste na WC
• Facebook měl dokonce ve své mobilní aplikaci odposlech z důvodu, aby lépe updatoval status uživatele – čili aplikace vás v klidu skrz mikrofon poslouchají, přestože je display telefonu vypnutý
• I když vyhodíte telefon z okna, stále bude na stole ležet pár telefonů vašich spolupracovníků či známých, které provádějí to samé
• Svá data odevzdádváte Microsoftu, Googlu, Facebooku, LinkedINu, Instagramu, Snapchatu, O2, T-Mobilu, Vodafonu a mnoha dalším
• Velká bezpečnostní díra vašeho domova je váš router, který vás spojuje se světem – Ubiquiti a další měli v minulosti bezpečnostní problémy
• Ve vašich Windows 10 je nová Zero day zranitelnost https://thehackernews.com/2018/08/windows-zero-day-exploit.html
• Za 14 let jsem na svém BSD a Linuxu na desktopu neměl jediný virus
• Viděl jsem mnoho napadený webů – nejúčinější je mít mnoho a mnoho záloh
• Nemáte zálohy? Neexistujete
• Viděl jsem mnoho a mnoho prosících lidí, kterým kolegové architekti čistili jejich Windows od ransomwaru – zašifrované soubory s vydíráním – pokud by lidé měli zálohy, což nikdy neměli, nemuseli se trápit

Jsem jenom obyčejný uživatel počítače, takže si mě prosím nepleťte s hackerem. Na ty se chodí dívat do kina, protože ty skutečné nikdy nepoznáte, neuvidíte a váš eshopík je skutečně nezajímá!

Jak bezpečnost řeší WPDistro?

• Zálohujeme na tři místa
• Servery nejsou mezi sebou nijak propojeny
• Zálohujeme offline
• Na WordPressech máme automatické aktualizace
• Máme monitoringy, které hlídají naše služby
• Používáme kvalitní pluginy pro WordPress od ověřených firem
• WPDistro zatím nikdy nemuselo řešit bezpečnostní problém na svých systémech
• Díky zkušenostem bychom jakýkoli bezpečnostní incident vyřešili naprosto v klidu a bez problémů s minimem škod

Více o bezpečnosti zde.