FAQ – Velká příručka bezpečnosti logo

Počítačová bezpečnost je v dnešní době kritickou – byť bohužel často podceňovanou – záležitostí. Uživatelé nezřídka nechápou, proč by se tímto tématem měli zaobírat. Toto je obzvlášť důležité u chytrých zařízení, která se od běžných počítačů liší v drobném detailu: denně je nosíme v kapse. Obhospodařují velkou část komunikace, obsahují různé senzory a mikrofony,… Infikované zařízení může mimo jiné odposlouchávat rozhovory s okolím, sledovat geografickou polohu uživatele, fotit a natáčet jej, jeho rodinu i domácnost. Možnosti zneužití jsou téměř neomezené.

„We used to say a man’s home is his castle. Today, a man’s phone is his castle.“
– Edward Snowden


OS Android


► Obsah

OS Android

Android se jakožto nejrozšířenější mobilní OS těší velké pozornosti hackerů, jeho dostatečné zabezpečení je proto nezbytné. Android má robustní bezpečnostní model, který předpokládá, že aplikace třetích stran běžící v OS nejsou důvěryhodné. Hlavním bezpečnostním problémem je rozmanitost zařízení, z nichž většina modelů nedostává pravidelné bezpečnostní záplaty a/nebo běží na zastaralých verzích OS.

Podporovanou verzí Android je Q (10) jakožto aktuální verze OS. Starší verze OS by neměly být používány. Přesto je většina obsažených informací platná i pro starší verze OS, pouze se může lišit přesný postup aplikace různých kroků.

Sekce kapitoly:


Bezpečná zařízení:

Jak již bylo zmíněno, diverzita zařízení s OS Android je z pohledu bezpečnosti velký problém. Ne všichni výrobci nabízejí pravidelné bezpečnostní záplaty a aktualizace OS pro své modely, důvody mohou být různé. Na trhu tedy můžeme nalézt zbrusu nová zařízení se starou verzí OS Android, která již od výroby obsahují známé bezpečnostní díry a výrazně zvyšují pravděpodobnost exploitace. Tato praxe se bohužel nevztahuje pouze na levné modely, nýbrž i na dražší telefony. Uživatel by se měl při výběru svého zařízení zajímat o jeho bezpečnostní parametry. Níže naleznete několik parametrů, které by mělo zařízení splňovat, aby se o něm dalo uvažovat.

Bezpečnostní kritéria pro zařízení s OS Android:

  • verze dodávaného OS minimálně Q (10)
  • časté (měsíční, minimálně čtvrtletní) bezpečnostní aktualizace pro firmware a proprietární komponenty
  • garance bezpečnostních aktualizací po dobu morální životnosti modelu
  • full verified boot
  • 64-bit architektura (x86/ARM)
  • jádro >= 4.4

Info
Existují dvě úrovně měsíčních bezpečnostních aktualizací – prvního dne v měsíci a pátého dne v měsíci. Obě úrovně jsou aplikovatelné pro většinu modelů na trhu. Pokud výrobce celkem pravidelně zařízení aktualizuje, ale implementuje pouze první úroveň (např. 1. listopadu 2019), může to značit problém.


Přijatelné modely dle bezpečnostních kritérií:

  • libovolný model řady Pixel
  • libovolný model projektu Android One
  • libovolný model výrobce Nokia
  • vlajkové lodě většiny známých výrobců jako SONY, Samsung, LG, Huawei apod.
  • vyšší modely výrobců Samsung a SONY

Tip
Pro inspiraci se také můžete podívat na seznam doporučených modelů pro firemní sféru od Google.

Info
Výše rozebíraná kritéria jsou především z hlediska SW, které je v praxi nejkritičtější. Z hlediska HW splňují bezpečnostní standardy porovnatelné s iPhone pouze modely řady Pixel 3. generace a výše.





Základní bezpečnostní nastavení:

Android je většinou bezpečně nastaven již v základu, není ovšem od věci konfiguraci zkontrolovat.

► Kontrola nastavení zabezpečení
  • Otevřete si Nastavení.
  • Přesuňte se do podkategorie Zabezpečení.
  • Zkontrolujte bezpečnou konfiguraci Zámku obrazovkyHeslo, nebo alespoň PIN
  • andinf
  • V rozšířených nastavení zkontrolujte Aplikace pro správu zařízení. Jedinou důvěryhodnou povolenou aplikací by měla být Najdi moje zařízení, je-li uživatelem vyžadována.
  • Výjimku tvoří MDM aplikace nezbytné pro umožnění přístupu k firemním datům ve vašem zaměstnání (např. Device Policy pro gSuite).
  • andinf1
  • Zkontrolujte Šifrování vašeho zařízení a absenci jakýchkoli Agentů důvěry.
  • Aplikaci zavřete.
► Kontrola aktuálního OS
  • Otevřete si Nastavení.
  • Přesuňte se do podkategorie Zabezpečení.
  • Klikněte na Aktualizace zabezpečení.
  • Zkontrolujte, zdali máte aktuální verzi systému Android10 či výše.
  • Zkontrolujte, zdali máte nejnovější aktualizaci zabezpečení Androidu.
  • andinf2
  • Máte-li starší verzi systému Android než 9.0 a výrobce nepotvrdil aktualizaci, zařízení je implicitně nebezpečné – můžete se dívat po náhradě. Máte-li starší aktualizaci zabezpečení Androidu než 3 měsíce, zařízení není bezpečné – můžete se dívat po náhradě.
  • Aplikaci zavřete.

Správce oprávnění:

Správce oprávnění umožňuje nastavit, k jakým informacím a komponentům má konkrétní aplikace přístup.

► Nastavení oprávnění aplikací
  • Otevřete si Nastavení.
  • Přesuňte se do podkategorie Aplikace a oznámení.
  • V rozšířených nastavení otevřete Správce oprávnění.
  • Rozklikněte postupně všechny kategorie a zakažte všem aplikacím nepotřebný přístup.
  • andapp
  • andapp1
  • Následně se ze Správce oprávnění přesuňte o úroveň výše a rozklikněte Přístup ke spec. aplikacím.
  • Zde můžete nastavit např. které aplikace mají přístup k prémiovým SMS, mohou měnit nastavení systému nebo instalovat neznámé aplikace. Zakažte všechen nepotřebný přístup.
  • andapp2
  • Aplikaci zavřete.




Doporučené aplikace:

V následující sekci naleznete doporučené bezpečnostní aplikace a aplikace s bezpečností úzce související. Aplikace jsou děleny na FOSS (free and open source) a proprietární.

Obchod s aplikacemi:

Obchod s aplikacemi velmi úzce souvisí s bezpečností, jelikož z něj stahujete a instalujete veškeré aplikace do OS. Je důrazně doporučeno používat pouze předinstalovaný obchod s aplikacemi.

FOSS:

Proprietární:

Obchody typu Amazon či Samsung nemusí vždy mít nejnovější verze aplikací, zvláště těch, které jsou často aktualizovány. Zejména Amazon má extrémně zdlouhavý proces kontroly aplikací (prováděno ručně).


Firewall:

Firewall je velmi důležitá bezpečnostní vrstva OS, která poskytuje ochranu před síťovými útoky. Na veřejných WiFi připojeních je nutností. Android integruje základní firewall.

Aplikační firewall OS neintegruje, funkcionalitu je možné dodat externí aplikací, která pro implementaci zneužije VPN API, což není nejčistší a nejspolehlivější implementace FW, nicméně se jedná o nejschůdnější variantu, která nevyžaduje destrukci bezpečnostního modelu OS.

FOSS:


Blokování reklamy:

Blokování reklamy je bohužel z hlediska bezpečnosti nezbytné kvůli výskytu škodlivých reklam na internetu. Rozumnější je oblíbené stránky podporovat jinou a bezpečnější – např. finanční – formou.

VPN je dobrý způsob blokace reklam, standardním typem připojení je ovšem přes OpenVPN a Android bohužel tento druh připojení neintegruje, uživatel je tedy zpravidla odkázán na aplikaci svého poskytovatele. Použití prohlížeče blokující reklamy (viz sekce níže) je na OS Android nejlepším řešením. Google Chrome nativně blokuje agresivní reklamy. Prohlížeč Brave v základu integruje blokování reklam a trackerů.

FOSS lokální VPN:

Proprietární lokální VPN:

VPN:

Internetový prohlížeč:


Internetový prohlížeč:

Chrome/Chromium je prohlížeč s nejkvalitnějšími mitigacemi proti exploitům. Prohlížeče založené na Mozilla Firefox stále v této oblasti za Chromium zaostávají, na OS Android dvojnásob.

FOSS:

► Bezpečné nastavení a omezení JavaScript Brave
  • Otevřete prohlížeč Brave.
  • Přes menu v pravém rohu otevřete Nastavení.
  • Rozklikněte nabídku Ochrana soukromí. Zatrhněte položky Blokování reklam, Blokování regionálních reklam a Ochrana proti otisku prohlížeče.
  • brvand
  • Vraťte se o úroveň výše a rozklikněte nabídku Nastavení webu.
  • V sekci JavaScript zablokujte spouštění JS.
  • brvand1
  • V sekci Schránka zablokujte webům přístup k datům ve schránce.
  • brvand2

Info
Nyní máte ve výchozím nastavení vypnutý JS pro všechny weby. Jakmile budete chtít spuštění JS pro určitý web povolit, stačí poklepat na ikonu prohlížeče v horním panelu a skripty povolit.

Proprietární:

► Omezení JavaScript v Google Chrome / Chromium
  • Otevřete si Google Chrome / Chromium.
  • Kliknutím na tři tečky v horním pravém rohu otevřete boční panel a klikněte na tlačítko Nastavení.
  • Klikněte na Nastavení webu a otevřete podkategorii JavaScript.
  • Zablokujte spouštění JS.
  • chmandrjs
  • Klikněte na tlačítko Přidat výjimku pro konkrétní web.
  • Zadejte adresu důvěryhodného webu, na kterém se může spouštět JS. Syntax je oproti desktopové verzi značně omezený.
  • chmandrjs1
  • Klikněte na Přidat.




Bezpečné ROM:

Aby ROM mohla být považována za bezpečnou, musí udržovat striktní bezpečnostní standardy. Musí implementovat pravidelné bezpečnostní aktualizace a podporovat verified boot, nesmí jakýmkoli způsobem degradovat integrované bezpečnostní funkce, nesmí zpřístupňovat pravomoci root uživatele atd.

Nejbezpečnější ROM je originální ROM spravovaná společností Google – Pixel, nebo součást projektu Android One.

Originální ROM implementované ostatními výrobci s integrovanými službami Google zpravidla základní bezpečnostní kritéria splňují. Zařízením bez integrovaných služeb Google je důrazně doporučeno se vyhnout.

Custom ROM bezpečnostní kritéria nesplňují. Například bohužel velmi oblíbený LineageOS nesplňuje ani jedno z několika výše vyjmenovaných kritérií. Výjimku potvrzující pravidlo tvoří projekt GrapheneOS, který ovšem cílí na specifickou skupinu uživatelů, neobsahuje služby Google a podporuje pouze bezpečný HW (modely řady Pixel).

Varování
Instalace libovolné neoriginální ROM je důrazně nedoporučena.

To je vše. Stay safe! smile

Changelog



Handbook 0.5.1 (09.06.2020):

► Seznam změn
  • přepsány úvody pro konzistenci
  • Základy – zkrácení, zjednodušení
  • Internetové prohlížeče – aktualizace Mozilla Firefox
  • OS Windows
    • opravy v sekci Windows Defender
    • odebrán návod pro HitmanPro.Alert
  • OS Linux
    • přidána sekce Práce pod Běžným uživatelem
    • úpravy pro konzistenci
  • OS Android – úpravy pro konzistenci

Starší změny:

► Seznam změn

Handbook 0.5 (01.06.2020):

  • Internetové prohlížeče
    • odebrán WNT Internet Explorer, Chromium
    • nová verze MS Edge
  • OS Windows
    • restrukturalizace
    • aktualizováno pro May 2020 Update
    • odstraněny postupy pro nepodporované verze OS
    • nový konfigurační skript
    • odebrán EOL Kaspersky Software Updater, EMET
    • přepracována sekce Ochrana proti malware
    • návod pro VMware Workstation Player
  • OS Linux
    • aktualizováno pro F32 a GNOME 3.36
    • přepracována sekce Flathub
  • OS Android
    • restrukturalizace
    • aktualizováno pro Q
    • odebrána teorie
    • odebrán účet hosta
    • přidána sekce Bezpečné ROM
  • OS Windows pro pokročilé
    • přepracována sekce ACL
    • odebrána sekce AppContainer
    • odebrán Smart Object Blocker a OSArmor
  • OS Linux pro pokročilé
    • přidána sekce Základní bezpečnostní nastavení
    • rozšířena sekce Hardened alokátor

FAQ 0.3 (17.11.2018):

  • Základní informace
    • přidána sekce Bezpečné používání mobilních zařízení
    • Bitwarden v sekci Doporučené klíčenky
  • Internetové prohlížeče
    • přidán prohlížeč Brave
    • aktualizace pro Firefox
  • OS Windows
    • restrukturalizace
    • aktualizováno pro September 2018 Update
    • rozšířena sekce Virtualizace
    • Heimdal Free vyměněn za Kaspersky Software Updater
    • návod na VirtualBox a Unchecky
  • OS Windows pro pokročilé
    • přepracována sekce Bezpečnostní aplikace
  • OS Linux
    • aktualizováno pro GNOME 3.30
    • návod na vytváření snapshotů v GNOME Boxes
  • OS Linux pro pokročilé
    • odebrána sekce Ostatní doporučení
    • odebrán linux-hardened
  • OS Android
    • restrukturalizace
    • rozšířena sekce Bezpečná zařízení
    • odebrán CopperheadOS

FAQ 0.2.2 (18.02.2018):

  • OS Windows
    • srovnání úrovně podpory aktuální a starší verze OS
    • nová verze SafeSVC
    • rozšířena sekce Bezpečné nastavení sítě
    • rozšířena sekce Antivirus / Antimalware
  • OS Android – rozšíření sekce Bezpečné nastavení OS

FAQ 0.2.1 (04.12.2017):

  • Základní informace – revize bezpečnostních doporučení
  • OS Windows
    • poznámka o podporovaných verzích OS
    • přidáno upozornění k NVT Anti-AutoExec
    • rozšířena sekce Anti-exploit
  • OS Linux
    • přepracováno pro GNOME 3.26 a Fedora 27
    • rozšířena sekce Virtualizace, návod na GNOME Boxes
    • revize sekce Flatpak
  • Internetové prohlížeče
    • přidán prohlížeč Epiphany (GNOME Web)
    • aktualizace pro Firefox 57
  • OS Android
    • přepracováno pro 8.1
    • Blokada v sekci Blokování reklamy

FAQ 0.2 (12.08.2017):

  • WWW – změna URL
  • Základní informace – nová sekce doporučené klíčenky
  • OS Windows
    • přepracováno pro Fall Creators Update
    • nová verze skriptu SafeSVC
    • návod na Heimdal Free a HashTab
    • návod na zakázání AutoPlay
  • OS Windows pro pokročilé
    • přepracováno pro Fall Creators Update
    • restrukturalizace, odebrány zbytečné sekce
  • OS Linux – aktualizace/rozšíření sekce Flatpak, odebrána sekce firejail
  • OS Linux pro pokročilé – odebráno/nahrazeno grsecurity, aktualizace příkazů
  • Internetové prohlížeče
    • návod na používání Chromium na Windows
    • návod na omezení JS ve Chromium / Google Chrome
    • stabilní blokování reklamy pro MS Edge
    • částečná aktualizace nastavení Mozilla Firefox
  • OS Android – přepracováno pro O

Nižší verze:

  • 16.04.2017 – FAQ v0.1.2 dokončeno
    • WWW – upraven design
    • OS Windows – revize, nyní primárně soustředěno na nejnovější verzi OS (W10 CU)
    • OS Linux – revize, přidáno openSUSE a Flatpak
    • OS Windows pro pokročilé – revize pro W10 CU, rozšířena sekce FW, přidány sekce AppContainer, FIDES, MemProtect
    • OS Linux pro pokročilé – overhaul
  • 15.04.2017 – FAQ pro pokročilé – OS Windows – dokončeno
  • 14.04.2017 – započat přechod na FAQ v0.1.2 (chybí FAQ pro pokročilé)
  • 12.11.2016 – aktualizace FAQ dokončena
  • 15.10.2016
    • OS Windows – započata revize sekce, chybí konfigurace pro pokročilé
    • OS Linux – přidán návod na bezpečné nastavení Chromium
  • 27.07.2016
    • OS Linux – dokončeno
    • OS Windows – zrevidována sekce Anti-exploit
    • OS Windows – odebrán audit ovladačů kvůli nízké účinnosti
    • návod na uBlock Origin přepsán do češtiny
  • 14.04.2016 – OS Windows – dokončeno
  • 16.11.2015 – započat převod na stable release včetně Linuxu
  • 02.07.2015 – uvedena beta verze – chybí Linux
  • 21.03.2015 – uvedena alfa verze
Top