Nikt nie jest bezpieczny

Categories Publikacje

Kiedy po zamachach na London Bridge ówczesna premier Theresa May zapewniała, że zostanie zwiększona kontrola nad przestrzenią internetową w Wielkiej Brytanii, niejeden mieszkaniec Wysp przyjął to ze zrozumieniem. Przecież ważne jest bezpieczeństwo. Szkoda tylko, że to puste slogany, bo „przestrzeń internetowa” jest praktycznie nie do opanowania…

Na początku należy podkreślić, że nikt inny jak tylko my sami musimy zadbać o swoje bezpieczeństwo w Internecie. Żaden program nie jest w stu procentach bezpieczny i żaden tego bezpieczeństwa w stu procentach nam nie zapewni.

Tyle tytułem wstępu.

Theresa May w swoim wystąpieniu mówiła co prawda o realnym zagrożeniu w świecie rzeczywistym, jednak to świat wirtualny pomaga w tym, żeby to zagrożenie urzeczywistnić. Przy czym prawdopodobieństwo tego, że będziemy ofiarą w zamachu terrorystycznego jest niższe od tego, że dostaniemy zawału czy spadnie nam na głowę cegła. Natomiast jest już dużo bardziej prawdopodobne, że nasz komputer zostanie zhakowany i to jest dalej najmniejszy problem, bo jeszcze większym jest kradzież naszych danych.

„Wyglądasz… nudno”

Jak groźna i realna jest kradzież naszych danych, niech świadczą efekty eksperymentu przeprowadzonego przez Kevina Roose’a, szefa działu wiadomości Fusion.net. Jego przypadek opisywał w kwietniu tego roku na łamach branżowego magazynu „Press” Stanisław M. Stanuch.

Roose chciał się dowiedzieć jak trudne będzie zhakowanie jego komputera i przy okazji przekonać się na własnej skórze jakie niebezpieczeństwa są z tym związane. Tutaj należy dodać, że Kevin Roose nie ma problemów z nowinkami technologicznymi i uważa siebie za osobę dobrze zabezpieczoną przed zagrożeniami z sieci.

Jak podaje „Press”, Kevin wynajął dwóch światowej sławy hakerów i polecił im zebrać jak najwięcej informacji o sobie. Jednym z hakerów był specjalista od tzw. social engineering, który do zdobywania danych wykorzystuje wszelkie dostępne w sieci informacje o swoim celu. Drugi był typowym hakerem, który miał za zadanie włamać się do komputera Roose’a i przejąć nad nim kontrolę.

Efekty przeszły oczekiwania. W ciągu dość krótkiego czasu obaj hakerzy wywiązali się z zadania z nawiązką. Można powiedzieć, że po wykonaniu zlecenia, życie Kevina Roose’a nie należało już do niego.

Pierwszy z hakerów korzystając z informacji ogólnie dostępnych w mediach społecznościowych, danych z wyszukiwarek i używając telefonu, uzyskał dostęp do konta dziennikarza. Poznał również numery jego dokumentów. Zdobycie takich informacji okazało się wręcz banalnie proste, a spowodowało na przykład odcięcie domu dziennikarza od prądu. Wystarczyło zadzwonić do firmy, która dostarczała taką usługę do domu Kevina i użyć zdobytych danych.

Drugi z hakerów podszywając się pod firmę hostingową z której korzystał Roose, wysłał do niego maila z programem podszywającym się pod certyfikat bezpieczeństwa. Niestety Roose nie zauważył podstępu i zainstalował na swoim komputerze program, który pozwolił na przejęcie kontroli nad komputerem, którego używał. Haker poznał jego wszelkie hasła, loginy i dane, które pozwoliły między innymi na przejęcie kontroli nad systemem bezpieczeństwa domu w którym mieszkał Roose czy nad systemem domowych kamer CCTV. W tym przypadku haker spowodował, że na ekranie komputera na którym pracował obecny szef wiadomości Fusion.net, pojawił się napis „wyglądasz… nudno”. Specjalny program robił co kilka sekund zdjęcie wykorzystując kamerę zamontowaną w laptopie Roose’a przez co haker cały czas wiedział co robi dziennikarz.

W tym przypadku nie dziwi fakt, że gdy niedawno jeden z dziennikarzy odwiedzał siedzibę FBI w USA zauważył, że wszystkie kamery na komputerach używanych przez agentów były zaklejone. – Ostrożności nigdy za wiele – usłyszał w odpowiedzi, kiedy zapytał czy nawet FBI boi się ataków hakerów.

Nie tylko giganci

Oczywiście, często słyszymy, że serwery jakieś firmy zostały zaatakowane i wyciekły jakieś warte miliony dolarów dane. Niestety to nie giganci są najbardziej zagrożeni – chociaż często tracą bardzo duże pieniądze – ale szarzy użytkownicy Internetu. Dla kogoś kto zarabia 1200 funtów miesięcznie, strata nawet 200 funtów może okazać się bolesna. I niech nas nie zwiedzie podejście, że komu by tam się chciało ukraść nam „kilka funtów” skoro u gigantów i pieniądze są gigantyczne. Nic bardziej mylnego. Trzeba pamiętać, że hakerzy często atakują masowo. Nie sto, dwieście komputerów a tysiące. Jeśli uda się im uzyskać dostęp tylko do części z nich, to i tak skradzione dane będą warte miliony. Edward Lucas, dziennikarz The Economist, w swojej książce pt. „Cyberphobia” (polski tytuł: „Oswoić cyberświat”, Warszawa 2017) opisuje między innymi świat wirtualny, w którym można kupić właściwie wszelkie rodzaje danych. Najbardziej cenione są podobno dane klientów którzy mają karty kredytowe w dobrych bankach. Dane kart Amercian Express można kupić już za mniej niż dziesięć funtów.

Lucas powołuje się na raport firmy McAfee produkującej systemy antywirusowe i antywłamaniowe dla komputerów i sieci informatycznych. Raport informuje, że roczny koszt cyberprzestępczości na świecie wynosi obecnie ponad 400 miliardów dolarów. Ta liczba obejmuje straty finansowe, kradzież własności intelektualnej, działania zapobiegawcze etc. Dalej w raporcie pojawia się informacja, że w samych Stanach Zjednoczonych ataki hakerskie pozbawiły pracy 200 tys. ludzi. Natomiast tylko w Wielkiej Brytanii koszty przestępczości w Internecie szacuje się na 27 miliardów funtów rocznie.

Autor „Cyberphobii” porównuje podejmowanie środków ostrożności, czyli na przykład używanie programów antywirusowych czy anti-malware, do szczepienia dzieci czy podawania antybiotyków, które chronią nie tylko jednostki ale i całe społeczności.

Edward Lucas podaje przykłady. W 2013 roku na Bliskim Wschodzie włamano się do systemu dwóch banków. Straty oszacowano na 45 mln dolarów. Lucas podkreśla, że oznacza to, że był to największy napad na bank w historii. Z kolei np. w 2009 roku firma Nortel Networks – bardzo znana i jedna z najlepszych firm kanadyjskich – musiała ogłosić upadłość. Okazało się, że przez blisko dziesięć lat chińscy hakerzy wykradali z niej różne projekty i plany biznesowe. To pokazuje jaka jest skala zjawiska i jakie konkretne straty może ponieść każdy z nas.

Plan obrony

Teoretycznie jeśli nie ma nas w sieci to nie istniejemy. Jeśli nie istniejemy w sieci, to nie istniejemy też dla przestępców. Tyle teorii. Praktyka jest taka, że nie musimy posiadać smartfona, komputera, konta na Facebooku, żeby „system” wiedział o nas więcej niż się spodziewamy.

Nawet jeśli nie wpisujemy w sieci jakichkolwiek danych, to wystarczy wpisać je tylko w telefonie, żeby odpowiednie aplikacje korzystające z pamięci naszego smartfona odpowiednio je sobie dopasowały. Weźmy na przykład funkcję lokalizacji w systemie Android. Nawet jeśli mamy wyłączoną tę funkcję, to naszą lokalizację śledzą stacje nadawcze naszego operatora i to one ustalają nasze położenie. Nasz telefon w ciągu sekundy wysyła setki danych. Jeśli telefon w ciągu nocy jest np. cały czas w tym samym miejscu, łatwo można się domyśleć, że tam właśnie znajduje się nasze mieszkanie. W ciągu dnia z kolei łatwo ustalić w którym miejscu pracujemy. To tylko jeden z przykładów na to jak wykorzystywane i interpretowane są dane które tak naprawdę produkujemy codziennie.

Jeśli potocznie mówimy o tym, że ktoś i tak czyta nasze maile, to jak wskazuje w swoim artykule Stanisław M. Stanuch, sposoby są bardziej wyrafinowane i zautomatyzowane.

Jeśli chcemy w jakkolwiek zabezpieczyć się przed utratą i dowolnym dostępem do naszych danych nie możemy skupić się na jednym rozwiązaniu, a najlepiej zastosować kilka.

Używać bezpiecznych czatów, zaufanych stron z certyfikatami bezpieczeństwa, unikać podawania danych wrażliwych, nie klikać na wszystko, co nam się wyświetli na ekranie, ignorować podejrzane maile a najlepiej – jak konkluduje w swoim artykule Stanuch – być jak najmniej aktywnym w Internecie.

W dzisiejszym świecie niemożliwe i nierealne. Pozostaje mieć nadzieję, że jeśli dotknie nas jakiś atak hakerski, to nasze straty będą niewielkie. To, że kiedyś zostaniemy albo już zostaliśmy zaatakowani, to pewne.


Więcej można przeczytać w książce Edwarda Lucasa. Język angielski: „Cyberphobia”. Język polski: „Oswoić cyberświat”.