Toto je ďalší diel zo série článkov venujúci sa informačnej bezpečnosti. Predchádzajúci článok sa venoval špeciálnym typom útokov. Tento článok je napísaný iným štýlom, venuje sa však opisu najväčšieho nebezpečenstva, ktoré sa týka informačnej bezpečnosti. Verím, že použitý štýl sa na tento typ opisu nebezpečenstva hodí. Už v prvom diele seriálu článkov o informačnej bezpečnosti sme si predstavili veľké nebezpečenstvo, ktoré je o to väčšie, o čo viac sa snaží ktokoľvek zabezpečiť systém. Dokáže využiť každú medzeru na prelomenie ochrany. Do vienka získalo hlbokú studnicu nápadov, myslenie mimo misu informačnej bezpečnosti, neobmedzený počet pokusov na testovanie a perfektnú komunikačnú linku. Komunikácia prebieha na všetkých úrovniach: emailom, chatom, v kuchynke na káve, nezabezpečeným nástrojom na posielanie správ s logom modrého poníka alebo priamo zavolaním známemu. Ak si pod týmto nebezpečenstvom predstavujete štandardného používateľa systému, tak sa nachádzate blízko správnej odpovede. Nebezpečenstvo je o to väčšie, o čo menšiu znalosť informačných systémov používateľ má. Možno by sa na tomto mieste hodilo pofilozofovať na tému Dunningov-Krugerov efekt, ale to prenecháme osobnostiam s vysokou mierou odvahy a postavenia a častými protichodnými vyjadreniami v médiach. My sa vrátime k nášmu používateľovi, ktorý potrebuje dokončiť pridelené úlohy v pridelenom čase a nič viac ho nezaujíma. Naše absolútne nebezpečenstvo, o ktorom budeme teraz hovoriť, číha v podobe človeka, ktorý si plánuje na pridelenom nástroji odrobiť svojich osem hodín a je mu jedno, či drží v ruke kladivo, varechu, mobil, lopatu alebo počítač.
Prečo však článok začína mierne sarkasticky pri téme, ktorá sa zaoberá Informačnou bezpečnosťou? Možno preto, že používatelia sú pre svoje zabehané rituály stále veľkým nebezpečenstvom. Často používajú jedno heslo pre viacero služieb. Ani útočník pri zdieľanom hesle nezaháľa a využíva všetok čas na paralelné skúšanie mena a hesla na všetkých dostupných internetových službách. Overovanie zdieľania hesla v rámci dostupných internetových služieb zo strany útočníka patrí do základných praktík hackerskej príručky, preto sa nesmieme diviť, že majú dobrú úspešnosť. Druhou zo základných praktík je úloha pre útočníka pridať do získaného hesla náhodné znaky, ktoré však svojou povahou nie sú až také náhodné. Takýchto znakov sú plné slovníky a väčšinou začínajú: 1234, ZXCV, QWE, ZAQW… . To znamená, že ak zmeníte vaše heslo Otecko na Otecko123 alebo OteckoZXCV (to sú čísla idúce na klávesnici za sebou), tak sa heslo veľmi nezlepší a rozbitie bude trvať len o zlomok sekundy dlhšie ako pôvodné heslo. Lepšie je použiť špeciálne prvky a veľké a malé písmená. Príkladom môže byť Zl@t70teck0, kde boli použité veľké aj malé písmená a namiesto a bol použitý znak @. O\o sme nahradili nulou. Ak chcete ešte viac si ochrániť svoje heslo pred jednotlivými typmi útokov používajte dodatočné overenie pomocou OTP (One time password). Toto overenie je založené na tom, že získate jednorázové heslo z iného zariadenia alebo kanálu, príkladom je zaslanie SMS kódu na váš mobil alebo pomocou nainštalovanej špeciálnej aplikácie. Takýto typ aplikácie je už viac ako bežný pre všetky známe sociálne siete a emailových klientov, dokonca aj tie, ktoré pôsobia na Slovensku. Často umožňujú, že ich dodatočné prihlasovanie sa dá použiť aj pre iné služby. Otázkou zostáva, pre koľko percent používateľov je takýto typ prihlasovania prirodzený?
Zároveň systémy sa stávajú stále komunikatívnejšie, čo znamená v reči bežného človeka otravnejšie. Časť používateľov dokáže všetky hlášky rýchlo odkliknúť, aj keď navrhovateľ aplikácií je vynaliezavejší a vynaliezavejší v navrhovaní akceptácie, tak aby ich používateľ čítal. Pre časť populácie sa čítanie akceptácii zvrhlo na naháňanie správneho tlačidla po obrazovke. Sledujú, kde a ako bolo aktuálne premiestnené alebo kde a po koľkých sekundách sa „Súhlasím“ objaví. Vôbec sa nezaujímajú o to, čo vlastne odsúhlasia stlačením tlačidla „Súhlasím“. Niekedy môže byť za tým slovom schované spracovanie osobných údajov, ale často je tam aj dodatočné stiahnutie kódu, ktorý súhlasiacu obeť následne sleduje. Veď si len predstavte, koľko veľa informácii vám povie antivírus po odsúhlasení nečítaného obsahu. Samozrejme antivírus sa vie rozhovoriť hlavne pri sťahovaní dát z voľne prístupných serverov. A to nie je všetko. Viete si predstaviť to spomalenie počítača na zopár sekúnd pri aktualizácii antivírusu? Našťastie aj v tomto prípade existuje možnosť všetko zastaviť, odmietnuť. Dá sa posunúť obnova antivírusu, naviac aj spolu s obnovou operačného systémom na neskôr. Posúvanie nakoniec skončí hlbokou nočnou hodinou. Ale to už je na inštaláciu pozde, počítač je už uspatý, tak možno zajtra. Zdá sa, že predstava počítača ako inteligentnej veci, ktorá sa vie sama o seba postarať je hlboko zakorenená. V tejto chvíli si veľká väčšina bežnej populácie spomenie na dedkove slová: Vojak sa stará, vojak má! Takýmto spôsobom sme sa dostali k ďalšiemu zlozvyku a tým je nekonečná séria uspatí počítača bez reštartu. Uspanie je super vlastnosť, pre počítač však nebezpečná, lebo časť záplat, ktoré opravujú zraniteľnosti a automaticky sa stiahli, napriek odkladaniu sa nepodarí aplikovať a preto zostane počítač stále zraniteľný a ľahšie prístupný hackerom. Ochrana pred takýmto správaním je nastavenie vnútorného pravidla používateľa, že aspoň raz za týždeň, napríklad v stredu zadá reštart počítača alebo počítač vypne. Pomoc hackerom prichádza aj z iného prostredia a to priamo z prehliadačov. Ľudia si zvykli inštalovať všetky rozšírenia do prehliadača, na ktoré narazia. Starostlivosť o inštalovanie nových verzií týchto rozšírení nie je práve najlepšie vyvinutou vlastnosťou bežného používateľa. Nuž aj Darwin nemyslel v evolúcii na všetko. Vlastne myslel, len musí prejsť prepotrebný počet tisícov rokov našej práce na počítači a akurát tie teraz nemáme. Inštaláciami rozšírení do prehliadačov sa používateľ nielen otvára pre hackerov, pretože hackerom a webovým stránkam poskytuje neuveriteľné množstvo údajov o sebe. Doslova otvára dokorán dvere do počítača.
Rýchla zmena trápi celý svet aj v iných oblastiach. Európska únia začala pred časom hon na ochranu osobných údajov. Výsledkom je viac a viac ďalšieho odklikávania podmienok bez rozmýšľania. Vytvorilo sa prostredie nezáujmu. Väčšina ľudí netuší, prečo má čítať podmienky služby a podmienky narábania s osobnými údajmi. Objavilo sa najrozšírenejšie klamstvo na internete: zakliknutie Čítal som a rozumiem obchodným podmienkam a spracovaniu osobných údajov. Pôvodný posvätný cieľ ochrany osobných údajov má v konečnom dôsledku presne opačný efekt. Chvíľku sme mali obrovskú búrku v pohári vody. Týkala sa zdieľania údajov a metadát o používateľoch medzi jednou z najznámejších aplikácii na posielanie správ a jej vlastníkom, známou sociálnou sieťou. Dokonca existuje nemalé penzum známych, mienkotvorných osobností, ktorí úplne opustili túto aplikáciu, ale okrem týchto 30 ľudí, všetci zostali a posielajú správy ako obyčajne. Vlastne zmena nastala. Časť z nich už má nainštalované aj tri – štyri aplikácie na posielanie správ. Samozrejme takýto používateľ stále preferuje pôvodnú aplikáciu, ale teraz už môže beztrestne mudrovať na tému spájania osobných údajov, lebo problému rozumie a vyriešil ochranu svojich údajov. Toto najlepšie ukazuje na potrebu zmeny výšky povedomia o potrebe ochrany osobných údajov medzi ľuďmi. Netrúfam si ani naznačiť, ktorým smerom. Možno niekomu z používateľov prebehla mysľou úvaha na tému, kde je Európska únia a ich ochrana osobných údajov, keď toto dovolila? Ale vlastne, keď to je povolené, tak je to teda v poriadku, nemáme sa čoho báť. Či?
Niekedy správanie používateľov pri kontrole a riadení a odovzdávaní osobných údajov viac pripomína ďalšiu vlastnosť. Ignoranciu. To je celkovo artikel, ktorého používanie sa pri práci s inteligentnými zariadeniami u bežných používateľov využíva plnými priehrštiami. Ignorancia však nie je jediná, využíva sa aj absolútna dôverčivosť. To ona si sedí ako kráľovná na tróne, v jednej ruke jablko, v druhej žezlo a panuje. Jej veličenstvo: Dôverčivosť. Pripomeňme si svojich známych, každý takých má. Dôverujú každému emailu, ktorý podpísal doktor známeho mena z neexistujúcej fakultnej nemocnice v Nju Jorku. Ako by mal človek odolať a neotvoriť akúkoľvek prílohu od pána doktora, keď nám posiela obrázky priamo z kancelárie? Koho zaujíma, že vedľa seba sú obrázky Niagarských vodopádov, Kilimandžára a krásneho slnkom prežiareného Fidži? Ten doktor sa ale má, keď toto všetko vidí z okien. Je to však chlapík, vie sa podeliť. Či je to naozaj originálna prezentácia s obrázkami, alebo podhodený škodlivý kód…. Toto však poslal doktor a ktorý doktor by bol takýto zákerný? Však zachraňuje životy. Naviac panuje tu Dôverčivosť, takže pokojne dopozeráme do konca. Práve otázky, ktoré sa týkajú reálnosti toho, čo čítame a vidíme na našich obrazovkách nás môžu upozorniť na klam. Dajme si ruku na srdce a zamyslime sa, či by sme si vyskúšali nájsť meno tohto lekára a nemocnicu v ktorej pracuje na internete?
Tým sme sa prehupli do ďalšej vlastnosti, ktorá panuje medzi používateľmi. Ako pandémia sa rozšírila obrovská miera dôvery v mobilné zariadenia a tablety. Možno je podporená uzavretosťou mobilných riešení, možno pretrváva z prvotných časov mobilného obdobia, keď ani víry na mobily neexistovali a čo bolo, odstránili priamo u operátora. Možno dôverčivosť podporuje reklama výrobcov. Určite sa však objavuje slepá dôvera v bezpečnosť zariadení a pocit nemožnosti zneužitia týchto zariadení. Dôvera bola na chvíľu narušená odhalením četov známych osobností dokonca až na úrovni horných desať tisíc. Avšak jej postavením to v hlavách používateľov neotriaslo. Preto sa s pevnou a rozhodnou rukou dokážu bez problémov napojiť na akúkoľvek Wifi, hlavne nech je rýchla a zadarmo. Predsa majú najlepšie a najdrahšie mobilné riešenie na svete, priamo z neznámeho obchodu z Číny a to naozaj nemôže byť zlé. Vždy si dajme otázku, či sa naozaj potrebujeme prihlásiť na neznámu, nezabezpečenú WiFi sieť a či svoje dáta a tajomstvá ukryté v súkromnom zariadení chceme prezradiť neznámemu útočníkovi.
Ak ste sa dočítali až sem a nič nebolo o Vás, tak si zaslúžite viac ako len úctu. Možno je na mieste pripomenúť si, že predchádzajúce riadky mali predstaviť bežné slabosti a zlozvyky používateľov s určitým nadhľadom. V každom prípade bežný používateľ je človek, ktorý si zaslúži neustálu pozornosť. Spôsobov zvyšovania povedomia informačnej bezpečnosti je veľa. Pracovať na zvyšovaní by sa malo na všetkých úrovniach a všetkými spôsobmi od zamestnávateľov, cez školy, štát so zapojením tretieho sektora a médií. Na zvyšovanie povedomia sa dá, ba musí použiť všetko, všetky prostriedky, od gamifikovaných virtuálnych školení, cez praktické ukážky, pravidelné zábavné testy, články známych osobností v novinách, krátke seriály v televízii alebo posun znalostí cez vnukov na starých rodičov. Našťastie o týchto potrebách a možnostiach naozaj všetci zainteresovaní vieme a preto čakáme už len na výstrel z Auróry.
Vyjadrite váš názor v komentároch