Povezava na služben računalnik je slaba ideja! Razen, če …

Lovro Vrtač

Internet je bil v samih začetkih večinoma namenjen akademski rabi. Varnost povezav ni igrala velike vloge, kajti na internet se ni povezoval nihče drug razen raziskovalne ustanove, profesorji in študentje, pa nekaj ameriških vladnih ali vojaških ustanov.

Uporabniki interneta smo v zadnjih 25 letih torej postopoma plačevali kar velik davek na to začetno pomanjkanje varnostnih mehanizmov. Prišli so virusi, ki so se širili prek interneta, pojavili so se hekerji, ki vdirajo za denar in kradejo podatke.

 

Drag primer iz prakse

Eden izmed vodilnih delavcev v podjetju, kjer smo pomagali reševati zaplet, si je že pred leti sam na usmerjevalniku (routerju) odprl vse potrebne nastavitve, da se je lahko od kjerkoli povezoval na svoj računalnik. V tehničnim smislu je to pomenilo, da je na routerju naredil preusmeritev zunanjih vrat 3389 v notranje omrežje. In prav ta odprta vrata so v nekaj preteklih letih kriminalci velikokrat izkoriščali za to, da so pridobili neavtoriziran dostop do računalnikov. Tudi pri tej naši stranki.

Kako tečejo taki napadi?

Microsoftu moramo priznati, da je za povezovanje na oddaljeno namizje naredil odličen program, ki deluje hitro in pri delu z njim praktično ne prihaja do zakasnitev. Tako ima uporabnik občutek, kot  da sedi za računalnikom, pa čeprav je ta na drugem koncu sveta.

A žal je ta Microsoftov program bil v preteklosti, in je še danes, naluknjan z ranljivostmi kot bohinjski sir.

Posebni avtomatizirani sistemi ves čas skenirajo internet in iščejo denimo odprta vrata 3389 ali skenirajo po drugih značilnostih, po katerih se da razpoznati program za oddaljeno namizje.

Kmalu so nepridipravi zaznali tudi IP naše stranke. Nato so prešli v drugo fazo napada.

 

Tudi varna gesla so izjemno pomembna

V tej drugi fazi so zlikovci prek ranljivosti prišli do spiska aktivnih uporabniških imen. S takim spiskom so se nato lotili gesel. To so lahko delali na dva načina, z ugibanjem (preskušanje vsega, kar je med 0 in ŽŽŽ …) ali pa z uporabo slovarjev. Tudi za slovenščino se namreč dobijo dobri slovarji, v katerih so pogosta uporabniška imena in gesla.

Z eno od teh dveh metod ali kombinacijo obeh, so kar precej hitro ugotovili pravo geslo.

 

Zadnja faza: škodljivo kriptiranje vsebine diska

Ko so bili enkrat v računalniku, so prenesli škodljiv program in ga pognali. In v nekaj urah je bila zakriptirana vsebina celotnega računalnika ter tudi nekaj vsebine na drugih računalnikih v podjetju.

K sreči so imeli dobro urejeno prakso rezervnega kopiranja in smo lahko vse podatke dobili iz backupa. A vedno se ne izteče tako, žal.

 

Kaj pa dobre prakse? Seveda, tudi te obstajajo.

Naj zaključim misel iz naslova: povezovanje na služben računalnik je res slaba ideja, če taka povezava ni varna. Investicija v to, da bi si zagotovili varno povezavo, ni velika.

Glede na malo prej opisan primer lahko rečem, da je ena izmed bolj pomembnih dobrih praks ta, da imate v internet odprto le tisto, kar resnično potrebujete za delo. Tudi v smeri iz podjetja v internet, če vam trenutni požarni zid to omogoča.

Povedano drugače: najboljša protivlomna vrata doma kaj malo zaležejo, če imate na zadnji strani hiše vedno odprto okno v kopalnico, skozi katerega je mogoče zlesti v hišo.

 

Morda najpomembnejša dobra praksa pa je zanesljivo rezervno kopiranje, o čemer sem tudi v preteklosti že pisal.

Ker pa je tole blog zapis o varnem povezovanju v podjetje, naj seveda napišem, kaj v mi svetujemo glede tega.

Izbira prave rešitve za povezovanje v podjetje

VPN je zelo uveljavljena tehnologija, ki omogoča, da se s svojim računalnikom, telefonom ali tablico varno povežete v pisarno oziroma v omrežje podjetja in pri tem ne trpi varnost podatkov.

Vaš prenosnik postane del službenega omrežja, čeprav je daleč stran. Podatki, ki potujejo med vašim računalnikom in poslovnim omrežjem pa so kriptirani in zato varni pred prisluškovanjem.

Z VPN povezavo boste torej prišli do podatkov, ki jih imate na strežniku ali omrežnem disku. Ampak vi bi se vseeno radi povezali na namizje službenega računalnika, kajne?

Seveda brez težav. Ko ste enkrat v varnem objemu vašega poslovnega omrežja, se lahko enostavno in varno povežete na računalnik prek RDP povezave.

 

Še en nasvet: če radi delate iz brezplačnih in javnih wifi točk, denimo v kavarnah, priporočam, da se tudi v tem primeru najprej varno (VPN) povežete v podjetje in šele nato pričnete z brskanjem po internetu. V tem primeru vam nihče ne bo mogel prisluškovati.

 

Kaj pa povezovanje na domač računalnik?

Doma imamo z izbiro zmogljivejšega usmerjevalnika (routerja) tudi možnost, da si ustvarimo VPN povezave, ampak to največkrat ni praktično. Uporabniki zato posegajo po posebnih programih za povezovanje na računalnike. Med najbolj znanimi je Teamviewer, ki ga uporabljamo tudi mi.

V brezplačni različici je namenjen privatni rabi. Za uporabo v poslovne namene, če bi se na primer želeli povezovati na več svojih računalnikov v podjetju, pa je potrebno plačati naročnino.

Se pa tudi včasih zgodi, da Teamviewer napačno sklepa o tem, da ga uporabljate v poslovne namene in zato so povezave najprej omejene na 5 minut, nato pa še na manj.

Obstaja kakšna rešitev? Seveda. Uporabite enega izmed alternativnih programov, ki so prav tako brezplačni. Do določene mere je Teamviewerju najbolj podoben Cloudberry Remote Assistant. Je pa brezplačen tudi za poslovno uporabo.

Druga možnost je uporaba posebne razširitve za brskalnik Chrome. Imenuje se Chrome Remote Desktop in jo lahko namestite iz Chrome tržnice.

 

Imate VPN rešitev?

Kaj pa vi uporabljate za povezovanje v službeno omrežje in na računalnike? Če niste povsem prepričani, da ste na varni strani, me pokličite na 041 393 890 ali mi pišite na lovro.vrtac@moj-servis.si

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text.