Tíu einföld ráð til að verja sig betur á netinu
Article Index
Friðhelgi einkalífsins á Internetinu hefur ekki verið ofarlega á forgangslista þeirra sem nota það. Flestir sem nota netið hafa yfirleitt ekki mikla þekkingu á virkni né högun þeirra kerfa sem keyra Internetið, enda ekki gerð krafa um slíka vitneskju til að nota það. Það getur reynst flókið að vafra um Internetið „nafnlaust", með öðrum orðum vafra um netið án þess að ónefndir aðilar geti fylgst með þér og jafnvel rýnt í netumferð sem flæðir fram og til baka úr tölvu þinni.Þegar ég segi að hægt sé að fylgjast með netumferð hjá notanda kýs ég að líkja því við það að fara með bréf á pósthús. Ef maður lokar ekki umslaginu og sendir það með ábyrgðarpósti þá getur hver sem er lesið það, svona svipað og þegar maður sendi póstkort í gamla daga. Póstkortin gátu allir lesið, starfsmenn pósthússins, bréfberar og mögulega fleiri aðilar. Aftur á móti ef maður setti það í umslag, innsiglaði og sendi með ábyrgðarpósti þá hafði maður takmarkað möguleikann á því að aðrir geti lesið kortið, fyrir utan þann sem bréfið var stílað á. Ég lít á netnotkun meðalnotenda með svipuðum hætti og póstkortasendingar í gamla daga, semsagt galopið.
Nú hugsa mögulega einhverjir að þetta skipti nákvæmlega engu máli, af hverju ætti mér ekki að vera sama þó einhver viti hvað ég sé að gera? Því spyr ég á móti, af hverju ætti okkur að vera sama hvort einhver geymi netpóstinn okkar, lesi sms-in okkar, fylgist með heimasíðum sem við heimsækjum, hlusta á spjall sem við eigum við annað fólk, skrái niður okkar stjórnmálaskoðanir, skoði myndir af okkur sem við settum ekki á netið sjálf, viti hvað við vorum að gera í gær, skoði greiðslukortaupplýsingar okkar, hver sé uppáhalds maturinn okkar og svo framvegis?
Það má vel vera að manni sé alveg sama þótt NSA, eða einhver annar opinber aðili, lesi þetta allt saman - verði þeim að góðu. Það gæti þó mögulega skipt þig máli hvort einhver hakkari komist í þessi gögn, svipað og árásin á Vodafone á sínum tíma leiddi í ljós. Ég er alls ekki að halda því fram að sum þessara gagna megi ekki vera almenn.
Að sjálfsögðu mega gögn vera almenn sem ég set sjálfur á netið. Hitt er annað mál að gögn um mig séu vistuð einhvers staðar án þess að ég hafi gefið leyfi við slíku. Þar tel ég vera stóran mun þar á.
Því hef ég tekið saman nokkra punkta sem geta hjálpað lesendum til að vernda sig á netinu.
Tveggja þrepa prófunEf þú notar helstu samfélagsmiðla þá bjóða þeir nú þegar upp á svokallaða tveggja þrepa prófun á lykilorði. Tveggja þrepa prófun er sú aðferð að sannreyna að þú sért raunverulega þú.
Ef þú skráir þig inn á vef færðu sms í símann þinn með leyniorði sem þú ritar til að klára skráninguna, að því gefnu að að þú hafir áður skráð símanúmer þitt á vefnum. Ef þú notar tveggja þrepa prófun þá eykur þú öryggi þitt til muna, þ.e.a.s. minnkar líkurnar á að einhver steli aðgangi þínum að þessum miðlum.
Hægt er að nálgast upplýsingar um tveggja þrepa prófun á Google, Facebook, Microsoft, Twitter, til að taka einhver dæmi.
Kanna vefslóð (URL)Allar vefslóðir ættu í raun að innihalda „https" á undan vefslóðinni í staðinn fyrir hefðbundið „http" til að tryggja dulkóðuð samskipti frá tölvunni þinni við vefþjóninn sem hýsir heimasíðuna sem þú ert að skoða. Þetta á sérstaklega við ef þú notar netið á opnum stöðum eins og flugvöllum og kaffihúsum.
Hvað gerirðu ef það vantar s-ið í slóðin? Hægt er að setja upp lítið aukaforrit fyrir netvafra sem kallast „HTTPS Everywhere." Forritið endurskrifar samskiptin yfir í https. Það þarf ekkert að kunna, nema setja það einu sinni upp.
Breytum ömurlegum lykilorðumÞetta er gömul lumma en flestir hafa heyrt þessa predikun frá örófi Internetsins. Ég segi að góð vísa sé aldrei oft kveðin. Hér eru algengustu lykilorðin sem vöru „hökkuð" í nóvember 2013. Ef einstaklingur notar lykilorð eins og „123456" er varla hægt að vorkenna honum ef hann lendir í persónunjósnum.
Notaðu frekar löng lykilorð, átta stafi eða fleiri. Reyndu að komast hjá því að nota nöfn sem lykilorð eða hluta úr lykilorði. Notaðu frekar eitthvað stafarugl sem þú bara þekkir, eins og t.d. samsetningu á fyrstu stöfum hvers orð í einhverri setningu sem þú þekkir.
Skiptu á milli tölustafa, há- og lágstafa, notaðu tákn eða eitthvað annað. Sterkt lykilorð er eitthvað eins og t.d. zFtg45kj%gh8. Sennilega er mjög erfitt að muna lykilorðið en það er samt sem áður öruggara.
Ekki nota sama lykilorðið alls staðarVið erum gjörn á að nota sama lykilorðið fyrir marga hluti en slíkt auðveldar innbrotin. Við ættum auðvitað að eiga eitt lykilorð fyrir hverja vefsíðu en slíkt er frekar erfitt, minni okkar getur verið götótt.
Til eru forrit sem hjálpa okkur að geyma lykilorðin á einum stað og muna þau. Margir mæla með 1Password eða LastPass, sjálfur nota ég KeePass sem er frír opin hugbúnaður sem gengur fyrir Windows og Linux.
Vafraðu án þess að fylgst sé með þérÞegar þú leitar að einhverju á Internetinu geymir leitarsíðan hvaða leitarorð þú notaðir ásamt IP-tölu þinni, sem er þitt auðkenni á netinu. Til að leita nafnlaust á netinu er hægt að prófa DuckDuckGo sem er leitarvél sem ver auðkenni þitt. Þegar þú opnar hvað sem er á netinu sendir tölvan þín upplýsingar um sig yfir netið þannig sem gerir öðrum kleyft að bendla ýmislegt við þig, sem eru í raun eðli netsamskipta. DuckDuckGo vistar aldrei þessi gögn.
Flestar þjónustur vista þessar upplýsingar sem geta svo seinna meir verið notaðar af þeim einkaaðilum, eða jafnvel opinberum aðilum, til að rýna. Með því að rýna í þessari upplýsingar er hægt að sníða leitarniðurstöður að notandanum, nánar tiltekið fyrir auglýsinga- og söluaðila til að skila þér leitarniðurstöðum (dulbúnum auglýsingum).
Við getum tekið dæmi um tvær tölvur í eigu sitt hvors aðila. Þeir rita inn sömu leitarorðin á sama tíma en fá ólíkar niðurstöður eftir því hvað auglýsendur borguðu til að koma sér framar.
Í Google Chrome er hægt að vafra í „Incognito mode" með því einfaldlega að ýta á CTRL+SHIFT+N. Það felur að vísu hvorki leitarorð né IP tölur en bætir samt sem áður öryggi að einhverju leiti gagnvart friðhelgi einkalífsins. Gögn eru til dæmis ekki vistuð og vafrakökum eytt eftir að vafranum er lokað. Skref í rétta átt en að mínu mati ekki nóg.
Verndaðu spjall (chat) og gögn á netinu (cloud storage)Margir þjónustuaðilar á netinu vista persónugögn með eða án okkar vitneskju. Ýmis spjallforrit vista öll samtöl, til dæmis Til eru fínar lausnir til að auka öryggið í spjallforritum sem kallast OTR plug-in (off the record plug-in). Nefna má spjallforrrit eins og Cryptocat og Pidgin (sem ég nota sjálfur) og tengja þig við þá þjónustur sem þú notar nú þegar.
Dropbox er rafræn gagnageymsla sem margir Íslendingar þekkja. Dropbox er tiltölulega öruggt forrit en ekki gallalaust. Fyrir rúmu ári komust hakkarar í lykilorð frá fyrirtækinu sem síðan hefur eflt varnir sínar.
Þó er hægt að bæta við örlitlu öryggi á oddinn þegar kemur að Dropbox, Skydrive, Google Drive og öðrum gagnageymslum sem eru geymd á svokölluðum skýjum (e. clouds). Með að setja upp Cloudfogger eða Boxcryptor má auka öryggi gagna sem eru geymd á slíkum skýjum. Forritin dulkóða skrárnar áður en þú hleður þeim á gagnageymslurnar og þær geymdar þar á því formi sem kalla má tvöfalt öryggi.
Þetta er sérstaklega gagnlegt ef þú notar Google Drive en fyrirtækið er með brenglaða notkunarskilmála sem gefur því leyfi að eiga, skoða, nota, dreifa og gera nánast hvað sem er við gögnin sem þú geymir á Google Drive eða Google Docs. Það er sorgleg staðreynd.
Slökkva á vafrakökum sem tengjast þriðja aðilaVið könnumst mörg við það að fara inn á heimasíður og netvafrinn man alls kyns upplýsingar fyrir okkur úr síðustu heimsókn, til dæmis notendanafn og lykilorð. sem getur verið afar hentugt. Til að geyma þessar upplýsingar eru notaðar vafrakökur sem eru upplýsingapakkar sem netvafrar vista á tölvu notandans að beiðni vefþjóns. Þegar þú heimsækir síðu öðru sinni er vafrakakan úr fyrstu heimsókninni send til vefþjónsins.
Öryggi á vafrakökum er hins vegar stórt vandamál því margar öryggisholur hafa fundist á netvöfrum. Til eru dæmi um svo alvarlegar holur að þær gáfu hökkurum fullan aðgang að netpósti fólks, greiðslukortaupplýsingum, lykilorðum og fleira.
Hins vegar ætla ég að ræða um vafrakökur gagnvart þriðja aðila, eða „third-party cookie.". Áðan nefndum við dæmi um vafraköku gagnvart fyrsta aðila (e. first party cookie). Ef þú heimsækir til dæmis widgets.com þá er vafrakakan widgets.com stofnuð sem er kaka gagnvart fyrsta aðila. En ef þú heimsækir hins vegar widgets.com og ein kakan sem geymd er á tölvunni þinni er fyrir til dæmis fyrir stats-for-free.com þá er það kaka gagnvart þriðja aðila.
Það þýðir að verið er að senda ótengdum aðila upplýsingar um þig og þú veist ekki af því. Sem betur fer er hægt að slökkva á þessum eiginleika í flestum vöfrum.
Ég mæli með forritinu Ghostery en það er notendavænt forrit sem gerir notendum kleift að stjórna ýmsum hindrunum í vafranum. Notandinn sér hverjir reyna að fylgjast með tölvunni hans. Einnig er til DoNotTrackMe sem virkar vel.
Fjarlægðu auglýsingar af síðumPersónulega er ég þreyttur að vera stöðugt angraður af auglýsingum þegar ég vafra um netið. Margar auglýsingar á netinu eru með hreyfimyndum, skærum litum eða einhverjum öðrum hvimleiðum eiginleikum sem eru hugsaðir til að fanga athygli þína. Það eru einmitt þessi áhrif sem ég vil forðast og því kýs ég að fjarlægja auglýsingar af heimasíðum.
Þetta er hægt með AdBlock. Slíkt forrit gerir netvafra þínum kleyft að hindra að auglýsingum sé hlaðið upp með heimasíðum sem þú heimsækir. Það sniðuga við AdBlock er að með einföldum stillingum er hægt að virkja það til að hindra að ýmsum óværum (e. malware) sé hlaðið upp í vafrann þinn og þar af leiðandi sýkt tölvuna.
Dulkóðaðu netpóstinn þinnÞrátt fyrir að fríar póstþjónustur eins og Gmail, Microsoft Outlook og Yahoo Mail hafi uppfært dulkóðunarstaðla sína á undanförnum árum finnst ekki öllum það duga. Netpóstur sem þú sendir fer enn um póstþjóna og þar með eru póstarnir vistaðir á slíkum þjónum. Vissulega eru til leiðir til að auka öryggi á netpósti en án þess að gera lítið úr meðalnotendum þá tel ég margar þeirra of flóknar fyrir þá.
Hægt er að dulkóða póstsamskipti, til dæmis með forritinu PGP (Pretty Good Privacy). Þá geta einungis þeir sem þú treystir opnað netpóstinn frá þér, með hjálp dulkóðunarlykla. Hægt að lesa leiðbeiningar um uppsetningu PGP á Lifehacker vefsíðunni.
Ég vil þó vekja athygli á einu sem ég er mjög spenntur fyrir. Íslenskir forritarar sem hafa náð að fjármagna verkefni er kallast Mailpile, en markmið þeirra er að búa til vefpóst sem er jafn einfaldur í notkun og Gmail en með öryggisstöðlum OpenPGGP dulkóðunar. Vefpósturinn keyrir ekki á neinum vefþjóni heldur er tölvan þín gerð að litlum póstþjóni í staðinn.
Þegar þú sendir netpóst kemur pósturinn aldrei við á neinum póstþjóni, semsagt aldrei hjá þriðja aðila, heldur fer beina leið til þess sem á að taka við póstinum og dulkóðaður í þokkabót. Ég veit þetta kann að hljóma flókið en ég mæli með að menn skoði Mailpile heimasíðuna.
Kannski viltu nota Tor?Til að vafra um Internetið eftir ströngustu reglum nafnleysis er hægt að nota Tor. Tor er í raun þitt eigið net sem skoppar á milli þúsunda beina um allan heim í þeim tilgangi að fela síður sem þú hefur heimsótt eða fela hvaðan þú kemur (IP töluna þína).
Til að komast inn á Tor þá fer maður inn á Tor heimasíðuna, sækir lítinn hugbúnað sem maður keyrir upp í tölvunni. Sá hugbúnaður skráir tölvuna inn á net sem er hluti af Tor-netinu. Því næst opnarðu uppáhalds netvafrann þinn og vafrar um Internetið eins og þú ert vanur/vön að gera.
Þess ber þó að geta að Tor er greinilega ekki 100% nafnlaust eins og sagt er frá í nýlegri frétt. Nemandi í háskóla að komast hjá því að taka próf og tilkynnti um sprengjuhótun til háskólans á prófdegi og notaði Tor netið til þess. Sérfræðingar lögreglunnar sáu samt við honum og náðu honum, þrátt fyrir að hann færi í gegnum Tor netið.
