logo
konto fb rss email
INZERCIA
GOOGLE REKLAMA: Ak sa Vám zdá reklama nevhodná pre náš portál, pošlite nám, prosím, jej link.
INZERCIA

ODBORNÍK NA IT BEZPEČNOSŤ: Sociálne siete musia zbierať informácie, aby mohli fungovať zdarma

Publikované: 16.03.2016 o 21:02Autor: Matúš Demkohodiny Prečítate približne za 7.5 minúty
Najslabším článkom bezpečnosti na sociálnych sieťach je jej samotný užívateľ. Zvlášť zraniteľné sú deti, ktoré by mala práve rodina vychovať tak, aby sa vedeli brániť rizikám, ktoré im nastražili sociálne siete. Myslí si, že kybernetický zločin sa stane zločinom budúcnosti. Je odborníkom a výskumníkom, ktorý sa venuje internetu aj z pohľadu trestného práva, pracuje pre združenie CESNET a tiež učí na Policajnej akadémii ČR a ČVUT. Jan Kolouch.

Po počiatočnej eufórii z užívania sociálnych sietí sa do popredia čoraz väčšmi dostávajú otázky súkromia a bezpečnosti informácií. Sú dnešné sociálne médiá bezpečné?

Nechcem hodnotiť, aká je ktorá sieť bezpečná, alebo nebezpečná. Ale ak by sme hodnotili „fyzickú či technologickú bezpečnosť“, potom by sme museli hodnotiť všetky možné hrozby, či už reálne, alebo menej reálne. V prípade takéhoto prístupu k hodnoteniu si dovolím tvrdiť, že žiadna služba spojená s využívaním ICT nie je bezpečná. Nejde o to, že by boli tieto služby vytvárané ako nebezpečné, ale otázka zaistenia bezpečnosti je jednou z najnákladnejších položiek pri vývoji, udržovaní a distribúcii akejkoľvek služby.

Dobre zabezpečená služba či systém musí nutne rešpektovať základné pravidlá IT security a s nimi spojený princíp CIA (Confidentiality – dôvernosť, Integrity – integrita, Availability – dostupnosť). Ale ani po splnení všetkých predpokladov nemusí byť taká služba bezpečná, ako ukázali rôzne zraniteľnosti napríklad Heartbleed či Drown.

Ako je to konkrétne v prípadoch sociálnych sietí?

Čo sa týka sociálnych sietí a služieb, je potrebné aplikovať rovnaké princípy aj na ne, avšak nielen na ne. Kľúčovým prvkom (ne)bezpečnosti v týchto systémoch je užívateľ sám. Veľa socio-komunitných služieb sa poskytuje užívateľovi „zdanlivo“ zdarma. Avšak pre to, aby bola služba udržateľná, musí zákonite získavať určité informácie, ktoré jej poskytnú profit. Je úplne jedno, či ide o demografické štúdie, informácie o využívaní pripojenia na internet z „pevných“ a mobilných zariadení, alebo o prosté štatistické údaje.

„By default“ nastavená služba, ktorú užívateľ začne využívať, však zbiera a zhromažďuje omnoho viac informácií a tieto informácie typicky zdieľa s ďalšími užívateľmi. Dôvod je jednoduchý: ide o sociálnu či komunitnú službu. Takáto služba potom úplne logicky predpokladá – alebo je to jej podstatou –, že budete chcieť vedieť, či sa vo vašom okolí nepohybujú priatelia, čo práve robia alebo čo majú v pláne robiť, s kým komunikujú, s kým nie a podobne.

Pokiaľ zhrniem vyššie uvedené, potom musím konštatovať, že každá služba je taká bezpečná, aký bezpečný je jej najslabší článok. A najslabším článkom na sociálnych sieťach či služieb nie sú technológie či služba ako taká, ale užívateľ sám.

Najzraniteľnejšou skupinou sú deti, ktoré si často vytvárajú kontá uvedením falošného veku, ktorý majú nižší, ako je požadovaný. V čom spočívajú riziká sociálnych sietí práve pre deti?

Tých rizík je celá plejáda. Ohľadom prvého rizika nadviažem na svoju predchádzajúcu odpoveď. Deti jednoducho začnú využívať službu, ktorá je cool, bez toho, aby sa pozreli na nastavenia, zmenili si preddefinované pravidlá. Respektíve požadovať taký stupeň uvedomelosti od dieťaťa je asi nezmyselné. Bohužiaľ, ani jeho najbližší mu spravidla nedokážu pomôcť. Druhým rizikom je podľa mňa chýbajúca výchova či skôr vysvetlenie toho, čo všetko je spojené s pohybom jedinca v prostredí informačných a komunikačných technológií (ICT). Práve svojím pohybom v tomto prostredí po sebe zanechávame jasné stopy, ktoré môže využiť potenciálny útočník.

Toto vysvetľovanie by sa podľa môjho názoru malo začať už v rodine a ďalej by sa malo viacej rozvíjať a viac konkretizovať na všetkých úrovniach vzdelávania. Tretie riziko pozorujem napríklad v „dôverčivosti“ detí. Deti omnoho ľahšie uveria dobre postavenej pasci sociálneho inžinierstva než dospelí, ktorí už prišli o onú nevinnú dôverčivosť. Ďalšie riziká, samozrejme, vidím i v tom, že v kyberpriestore sa pohybujú i útočníci – predátori –, ktorí z akéhokoľvek dôvodu útočia na kohokoľvek. Deti sa potom ľahko môžu stať obeťou sextingu, kybergroomingu, kyberstalkingu, ...

Na konferencii Security 2016 ste prezentovali výskum zameraný na získanie čo najviac informácií od detí „s čo najmenšou interakciou medzi útočníkom a cieľom útoku“. Sú deti ochotné odovzdávať informácie o sebe aj cudzím osobám?

Áno. Z tohto výskumu sme získali mnoho informácií a jednou z nich je: deti s nami komunikovali omnoho ochotnejšie a omnoho viac než napríklad dospelí. V rámci komunikácie boli ochotné podeliť sa o citlivé a intímne informácie.

Vo výskume ste sa zamerali aj na osoby, ktoré z povahy svojej práce dbajú na informácie. Čo sa vám podarilo zistiť?

Na tento útok sme použili inú než rýdzo socio-inžiniersku techniku (hoci i tá bola súčasťou útoku). Vďaka sociálnemu inžinierstvu sme sa dostali do záujmových skupín a k ľuďom, ktorí boli pre nás zaujímavým zdrojom informácií. Jednoduché vyťaženie informácií zo skupiny a od ľudí – wall, príspevky, komunikácia – umožňuje zostaviť dobrý základ útoku. Vďaka aplikácii, ktorú sme použili ako primárny zdroj vyťažovania informácií, by sme sa mohli dostať k všetkým informáciám, ku ktorým nám užívateľ povolil prístup.

Ako sa brániť pred rizikami sociálnych sietí? Je vôbec možné uniknúť tomu, aby o nás tieto webstránky získavali informácie?

Ako sa brániť proti hlúposti ľudí? Myslím si, že to nejde. Je možné obmedzovať komunikáciu, pridávanie príspevkov a podobne. Predsa nemusia všetci moji priatelia vedieť, kedy a kde budem, čo jem a podobne. Dôležitý je, samozrejme, aj aspekt výberu „priateľov“ a umožňovanie ich prístupu k informáciám o mne. Pokiaľ ide o technické pozadie, jediný spôsob, ako sa aspoň čiastočne brániť zbieraniu informácií o mne, je nevyužívať danú službu.

Prečo je vôbec nutné chrániť si súkromie a osobné informácie? Na čo je to ešte dobré?

Je to určité sťaženie útoku na mňa. V reálnom svete predsa taktiež nedávate každému číslo či fotokópiu svojho občianskeho, pasu, na stretnutí nerozdávate rodné číslo, stav vášho účtu a jeho číslo. Nerobíte to z toho dôvodu, pretože sa bojíte možnosti zneužitia. Prečo by sme sa mali správať inak vo svete virtuálnom? Nie je to odtrhnutý, iný, samostatný svet. Naopak, je to svet, ktorý je veľmi pevne spojený a prepojený so svetom reálnym. Len si to veľa ľudí neustále neuvedomuje.

Sociálne siete zrejme uľahčujú rozvoj finančných podvodov – scams. Jedným z nich je napríklad romance scam, teda schéma, keď vznikne citové puto medzi útočníkom a obeťou s cieľom získať čo najviac finančných prostriedkov od obete. Sám sa venujete tematike kyberzločinu. Tento typ podvodníkov – scammers – je často bezpečne ukrytý v krajinách so slabou vymožiteľnosťou práva. Je možné zabrániť vzniku takýchto podvodov?

Podvodom nezabránite. Jednoducho to nejde. Priemerne dva-trikrát za rok stretnem na krajnici auto s gestikulujúcim šoférom, ktorý sa tvári, že potrebuje pomoc. Po zastavení vám začne ponúkať zaručene pravé zlaté prstienky, pretože potrebuje hotovosť na benzín, na chorú dcéru, na čokoľvek. Väčšina ľudí vie, že ide o podvod, a z miesta okamžite odíde a prípadne zavolá políciu. To isté sa deje v prostredí virtuálnom, len s tým rozdielom, že namiesto ojedinelého útoku útočníci využívajú techniku kobercového náletu. Je jedno, na koľko obetí zaútočia. Vlastný útok ich nestojí takmer žiadne prostriedky a pokiaľ majú pravdepodobnosť, že sa na útok nachytá napríklad jedno percento zo sto miliónov potenciálnych obetí, stále je to jeden milión reálnych obetí, čo je naozaj dosť.

Napriek tomu nechcem, aby si čitateľ myslel, že nemá šancu nič robiť. Obrana spočíva v už zmienenej výchove a edukácii. Pokiaľ si užívateľ nie je istý, môže sa obrátiť s prosbou o pomoc na rôzne bezpečnostné tímy, či už na lokálnej, národnej či medzinárodnej úrovni. Typickým príkladom tímov, ktoré môžu užívateľovi pomôcť (a je to náplň ich práce), sú tímy typu CSIRTCERT. Pokiaľ teda dochádza napríklad k romance scamu, je vhodné pozrieť sa na ich stránky a zistiť si viac informácií o tomto útoku, prípadne nahlásiť tento útok bezpečnostným tímom či polícii.

Je paradoxné, že zločiny na internete sú akoby výnosnejšie, rýchlejšie, dokonca „bezpečnejšie“ pre útočníka. Je kyberzločin zločinom budúcnosti?

Áno, kyberzločin je podľa môjho názoru zločinom budúcnosti. Teoreticky je možné predstaviť si dva dôvody, prečo by kyberzločin nebol zločinom budúcnosti. Tým prvým je to, že ICT prestanú fungovať alebo sa ich úplne vzdáme. Tým prestane fungovať ono „kyber“. Druhou možnosťou je, že objavíme niečo ešte efektívnejšie a ľahšie páchateľné ako kyberzločin.

...

AKO SPOZNAŤ ONLINE PODVODNÍKA?

Podľa FBI zo San Diega sú to tieto základné charakteristiky:

  • Núti vás opustiť zoznamku, kde ste sa stretli a komunikovať cez e-mail alebo instant messaging.
  • Stále vám preukazuje neprestajné pocity lásky.
  • Pošle vám fotku, ktorá vyzerá ako z módneho časopisu.
  • Tvrdí, že je z vašej krajiny alebo pracuje v zámorí.
  • Chce vás navštíviť, ale potom sa mu nedá prísť, lebo sa stala tragická nehoda.
  • Pýta si peniaze z rozličných dôvodov: cestovanie, zdravotné výdavky, účty za hotel, účty za hospitalizáciu pre deti alebo príbuzného, víza, oficiálne dokumenty, atď.

...

Snímka: Flickr.com (CC licencia)

INZERCIA
GOOGLE REKLAMA: Ak sa Vám zdá reklama nevhodná pre náš portál, pošlite nám, prosím, jej link.
DISKUSIA
PRIDAŤ NÁZOR
Pravidlá diskusie
Diskusia je zatiaľ prázdna. Buďte prvý, kto vyjadrí svoj názor.
INZERCIA
GOOGLE REKLAMA: Ak sa Vám zdá reklama nevhodná pre náš portál, pošlite nám, prosím, jej link.