Cyberbezradni, czyli nie być jak Michał Dworczyk

Do cyberataku nie potrzeba superhakera, który w ciemnej piwnicy znajduje luki w szeregu zielonych zer i jedynek na ekranie swojego komputera. Najsłabszym elementem systemu nie jest bowiem komputer i oprogramowanie, lecz obsługujący go człowiek.

Aktualizacja: 26.06.2021 19:52 Publikacja: 25.06.2021 00:01

Nie stosując nawet bardzo podstawowego zabezpieczenia, jak dwuskładnikowe uwierzytelnianie, minister

Nie stosując nawet bardzo podstawowego zabezpieczenia, jak dwuskładnikowe uwierzytelnianie, minister Dworczyk chronił swoją korespondencję e-mailową tak jak ktoś, kto zamyka drzwi mieszkania na zamek, który można otworzyć agrafką, a klucz chowa pod wycieraczką.

Foto: PAP/ Mateusz Marek

Nie ma wątpliwości, że wraz z upływem czasu ludzie zaczną coraz mniej i mniej polegać na hasłach. Ludzie wykorzystują te same hasła w różnych systemach, zapisują je i nie są w stanie spełnić warunków niezbędnych do zabezpieczenia tego, co naprawdę chcą zabezpieczyć – mówił Bill Gates na konferencji poświęconej bezpieczeństwu w sieci w... 2004 r. Zdanie okazało się prawdziwe w połowie – faktycznie, system logowania do usług oparty na identyfikatorach i hasłach okazuje się być, mówiąc delikatnie, umiarkowanie bezpieczny. A mimo to 17 lat od momentu, gdy Gates przewidywał śmierć haseł wstukiwanych do komputera, te mają się nadspodziewanie dobrze.

W 2012 r., gdy w kraju trwały protesty przeciwko tzw. ACTA (umowa handlowa dotycząca zwalczania obrotu towarami podrabianymi), którą uznano za próbę wprowadzenia tylnymi drzwiami cenzury w internecie, pewnego dnia internautom zamiast serwisu Kancelarii Prezesa Rady Ministrów wyświetlał się manifest grupy hakerskiej określającej się jako Polish Underground. Pod adresem oficjalnej rządowej strony w domenie gov.pl przekonywała m.in., że Donald Tusk to zły człowiek.

Jak do tego doszło? Okazało się, że dostęp do panelu administracyjnego pozwalającego zarządzać stroną najważniejszego organu władzy wykonawczej w 40-mln kraju miał być chroniony kombinacją loginu i hasła, które brzmiały – odpowiednio – Admin i Admin1. Hakerzy nie mieli złowrogich intencji, a ich atak był w zasadzie niegroźny, ale obnażył w dużej mierze cyberbezradność państwa. Dostęp do panelu administracyjnego strony chroniło ono niczym sześciolatek, który założył swoje pierwsze w życiu konto e-mail.

I jeśli ktoś myślał, że przez ostatnie lata Polska wstała z kolan w zakresie cyberbezpieczeństwa – co byłoby wskazane, biorąc pod uwagę doniesienia o tym, że Rosjanie za pomocą internetu są w stanie wpływać np. na wyniki wyborów prezydenckich w USA – to w ostatnich dniach przekonał się, jak bardzo się mylił.

Nieznośna lekkość bytu w sieci

Nieważne jednak, jak wiele wydaje się na rozwiązania technologiczne. System bezpieczeństwa jest tak silny, jak jego najsłabsze ogniwo – człowiek – powiedział kiedyś Kevin Mitnick, były haker, a obecnie ekspert ds. cyberbezpieczeństwa. Prawda jest bowiem taka, że „atak cybernetyczny", o którym poinformował wicepremier Jarosław Kaczyński, wymierzony w „najważniejszych polskich urzędników, ministrów i posłów różnych opcji politycznych", który miał być przeprowadzony z terenu Federacji Rosyjskiej, obnaża przede wszystkim niefrasobliwość ofiar takiego ataku.

Przypomnijmy: 8 czerwca na profilu facebookowym Agnieszki Dworczyk, żony ministra Michała Dworczyka, pojawiło się oświadczenie rzekomo autorstwa Michała Dworczyka. „Z przykrością muszę poinformować, że moja skrzynka e-mail została zhakowana przez nieznane osoby. Zostały skradzione dokumenty służbowe, które zawierają informacje niejawne i mogą być wykorzystane do wyrządzenia szkody bezpieczeństwu narodowemu RP, a także mogą być wykorzystane jako dowód rzekomej polskiej ingerencji w sprawy wewnętrzne Białorusi". Pod wpisem znalazł się link do popularnego w Rosji serwisu społecznościowego Telegram, pod którym można było znaleźć dokumenty rzekomo pochodzące ze skrzynki ministra. Autorem wpisu nie był ani Dworczyk, ani jego żona – jej konto na Facebooku zostało przejęte przez osobę trzecią dzięki przejęciu chroniącego je hasła. Z wydanego wkrótce przez ministra oświadczenia wynikało, że osoby trzecie włamały się nie tylko na ów profil, ale też na skrzynkę e-mailową jego i jego żony. Dodajmy, że w przypadku szefa Kancelarii Prezesa Rady Ministrów chodziło o prywatną skrzynkę w domenie wp.pl, z której – jak wynika z publikowanych przez ostatnie dni maili – prowadził korespondencję służbową, a wśród adresatów był m.in. premier używający skrzynki... gmailowej. Oczywiście treści ujawnianych maili nie sposób zweryfikować – może być ona zmanipulowana, a prawdziwe informacje mogą przeplatać się z fałszywymi lub wyjętymi z kontekstu, ale samemu faktowi prowadzenia korespondencji w taki sposób nikt jednoznacznie nie zaprzeczył.

A przecież to jeszcze nie wszystko. Z informacji podanych przez Wirtualną Polskę wynika, że w momencie włamania się na prywatną pocztę Dworczyka minister nie korzystał z tzw. dwuskładnikowego uwierzytelnienia. System ten, dostępny również w innych serwisach (poczcie gmail, na Facebooku czy Twitterze), wymaga do zalogowania – oprócz podania loginu i hasła – potwierdzenia chęci logowania bądź unikalnym, specjalnie wygenerowanym kodem (w Wirtualnej Polsce to tzw. weryfikacja offline), bądź za pomocą innego urządzenia (np. smartfona). Nie stosując nawet tego bardzo podstawowego zabezpieczenia, Dworczyk chronił swoją korespondencję e-mailową tak jak ktoś, kto zamyka drzwi mieszkania na zamek, który można otworzyć agrafką, a klucz chowa pod wycieraczką. Dlaczego? Już od 1996 r. znana jest metoda stosowana przez hakerów do wykradania danych do kont określana jako phishing. Polega na cyfrowym „podszywaniu się" hakera pod administratora danych, instytucję finansową, urząd, pracodawcę etc. i przesłaniu ofierze informacji wyglądającej jak pochodząca od tego, pod kogo haker się podszywa, z prośbą np. o zalogowanie się do serwisu za pośrednictwem podanego w informacji linka. Powód takiej prośby może być różnorodny: względy bezpieczeństwa, konieczność weryfikacji adresu e-mail czy też podjęta przez kogoś próba włamania się na pocztę. Jeśli ofiara kliknie w link, jest zazwyczaj kierowana na stronę do złudzenia przypominającą stronę instytucji/banku/serwisu internetowego, która w rzeczywistości jest fałszywą stroną stworzoną przez hakera. Jeśli wpiszemy tam dane logowania – właśnie pokazaliśmy hakerowi nasz klucz pod wycieraczką, a dodatkowo uprzejmie przekazaliśmy mu jeszcze jego kopię. Nasza skrzynka stoi przed nim otworem.

Utrata dostępu do skrzynki e-mail to w takiej sytuacji dopiero początek, bo zazwyczaj e-maila używamy do logowania się do różnych serwisów (np. Facebook czy Twitter), w których – mając dostęp do skrzynki – możemy łatwo zmienić hasło dostępu i zyskać kontrolę również nad tymi kontami. Taki los spotkał prawdopodobnie m.in. Marka Suskiego, członka Komisji do spraw Służb Specjalnych. Na jego koncie na Twitterze pojawiły się w styczniu informacje, że miał być molestowany przez kobietę, która zaczęła przesyłać mu zdjęcia intymne. Zamieszczono zarówno personalia tej kobiety (lokalnej radnej), jak i owe intymne fotografie (wykradzione jej wcześniej prawdopodobnie z Messengera). Wpis Suskiego kończył się atakiem na Koalicję Obywatelską i Strajk Kobiet. Jak się bardzo szybko okazało, Suski przyznał, że stracił kontrolę nad swoją skrzynką e-mailową i zapewne w następstwie tego kontrolę nad swoim kontem na Twitterze.

Phishing – internetowa wunderwaffe

Ktoś powie: na phishing złapią się tylko naiwni. Otóż okazuje się, że nie. Z opublikowanego na początku 2020 r. raportu amerykańskiego operatora sieci bezprzewodowej Verizon wynika np., że spośród 1600 przeanalizowanych incydentów dotyczących cyberbezpieczeństwa i 800 przypadków naruszenia zabezpieczeń jakaś forma phishingu stała za 90 proc. udanych cyberataków. „Atakuj ludzi" – czytamy w raporcie, ponieważ „ludzie są najsłabszym ogniwem" systemu.

W oddzielnych badaniach przeprowadzonych przez Verizon, obejmujących 3 mln użytkowników z 2280 firm i instytucji, okazało się, że kontrolowany atak phishingowy powiódł się w 7,3 proc. przypadków, a 15 proc. z tych, którzy dali się na ten atak nabrać raz, przy kolejnym takim próbnym ataku ponownie nieświadomie przekazało swoje dane „atakującym" z firmy Verizon. Firma zwraca jednak uwagę, że gdy atak phishingowy był bardziej spersonalizowany, czyli gdy był to tzw. spear phishing, a więc atak wymierzony w konkretną osobę i instytucję, wykorzystujący wiedzę na jej temat (np. wiedzę o zależnościach służbowych, stylu korespondencji), jego skuteczność rosła do 60 proc.

Z kolei eksperci z serwisu niebezpiecznik.pl, którzy zajmują się m.in. szkoleniami z zakresu cyberbezpieczeństwa, a także przeprowadzaniem próbnych cyberataków, które mają sprawdzić system cyberzabezpieczeń w firmach, twierdzą, że „mają na swoim koncie osoby, które na co dzień zajmują się bezpieczeństwem IT, a dały się złapać na realizowane (...) dla ich firm ataki phishingowe". „Kwestia czasu ataku, przywołania odpowiedniego dla danej osoby pretekstu i konto przejęte" – przekonują przedstawiciele serwisu.

O tym, że phishing można stosować skutecznie przeciw każdemu, przekonaliśmy się w połowie 2020 r., gdy na kontach znanych osób na Twitterze – m.in. Joe Bidena, Billa Gatesa, Jeffa Bezosa, Warrena Buffetta, Elona Muska i Mike'a Bloomberga – pojawiły się wpisy zachęcające do inwestowania bitcoinów za pośrednictwem wirtualnego portfela, do którego podawano bezpośredni link, co miało umożliwić podwojenie zainwestowanej kwoty w krótkim czasie. Jak się potem okazało, za włamaniem stała grupa młodych ludzi w wieku 16–22 lata. Najpierw za pomocą serwisu LinkedIn namierzyli potencjalne ofiary, pracowników Twittera mogących mieć dostęp do panelu administracyjnego serwisu, następnie zaatakowali, posługując się phishingiem, pracowników niższego szczebla, zyskując ich dane logowania, a następnie, posługując się nimi, użyli kont tych pracowników do ataku phishingowego na pracowników wyższego szczebla. Efekt? Przyszły prezydent USA zachęcał na Twitterze do przekazania bitcoinów oszustom. Twitter przyznał po czasie, że przy ataku zastosowano metody z zakresu tzw. inżynierii społecznej, czyli właśnie phishing.

Z kolei ówczesny szef kampanii prezydenckiej Hillary Clinton John Podesta (a ściślej osoby z jego otoczenia) padł ofiarą phishingu skierowanego do dużej grupy użytkowników kont gmailowych (a więc niewymierzonego wyłącznie w niego) – przy czym wiadomość od hakerów domagających się zmiany hasła do konta w Google'u przeszła przez ręce informatyka sztabu wyborczego Clinton Charlesa Delavana, który po prostu uznał ją za wiarygodną.

– Phishing jest plagą współczesnego internetu, z naszych szacunków wynika, że w 2020 r. w samej Europie przeprowadzono 87 mln takich ataków, a na świecie 670 mln – mówi w rozmowie z „Plusem Minusem" Piotr Kupczyk, dyrektor biura komunikacji z mediami w firmie Kaspersky Lab Polska sp. z o.o. – Skala takich ataków jest ogromna, bo to po prostu działa – przyznaje. Ekspert dodaje, że ataki te się „profesjonalizują". Wcześniej zdarzało się, iż maile podszywające się pod firmy czy instytucje zawierały błędy językowe, błędne logo etc. Obecnie coraz trudniej odróżnić takie wiadomości od prawdziwych komunikatów danej firmy czy instytucji. Jak mówi przedstawiciel Kaspersky Lab Polska, w ostatnim czasie cyberprzestępcy często podszywają się np. pod firmy kurierskie, których popularność rośnie w czasie pandemii. Ofiara ataku nie jest zaskoczona mailem od rzekomego kuriera, zwłaszcza jeśli często zamawia coś online; ba, jest duże prawdopodobieństwo, że w rzeczywistości na taki mail czeka, co ułatwia zadanie cyberprzestępcy.

– Codziennie na swoje skrzynki dostajemy maile phishingowe. Właściwie większość z nich jest dość łatwa do identyfikacji, a jednak zdarza się, że ludzie bezmyślnie klikają w znajdujące się w nich linki czy załączniki lub robią to, czego oczekują oszuści. To właśnie brak zdrowego rozsądku i pośpiech są najczęściej przyczyną tego, że klikamy w taki link, który uruchamia łańcuch powiązanych ze sobą zdarzeń, prowadzący do incydentu bezpieczeństwa i często dotkliwych strat dla nas samych. Skoro tak łatwo padamy ofiarą niezbyt wymyślnych technik przestępczych, to pomyślmy, jak łatwo paść ofiarą ataku ukierunkowanego dokładnie na nas – mówi Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń.

100 sposobów na utratę dostępu

Czasem nie trzeba jednak ataku phishingowego, aby utracić dane dostępu do konta. Łatwo zrobić to, logując się np. ze swojego urządzenia do poczty, konta bankowego lub konta na Facebooku przy wykorzystaniu – bez zabezpieczenia w postaci np. VPN – darmowego, internetowego hotspotu, bądź łącząc nasze urządzenie z siecią, której nazwa imituje sieć, z którą chcemy się połączyć (np. sieć udostępniana przez nasz hotel). W takiej sytuacji podajemy cyberprzestępcy nasze dane na tacy, ponieważ jest on w stanie przechwycić ich transmisję.

Inny sposób na utratę danych to ich wyciek z jakiegoś serwisu, z którego korzystamy, zwłaszcza jeśli mamy zwyczaj używać w wielu miejscach tego samego hasła. Takich zdarzeń było już bardzo dużo: w 2013 r. wyciekły dane ponad 150 mln klientów firmy Adobe (w tym ponad 50 mln unikatowych haseł), w latach 2013–2014 w największym tego typu wycieku w historii Yahoo utraciło dane 3 mld danych użytkowników (choć firma zapewniała, że hasła, które wyciekły, były zaszyfrowane). W 2012 r. LinkedIn utracił dane 165 mln użytkowników, a w 2021 r. wypłynęły dane 500 mln użytkowników Facebooka. Pomniejsze wycieki zdarzają się regularnie. Na stronie haveibeenpwned.com każdy może sprawdzić, czy należący do niego numer telefonu czy e-mail pojawił się w którymś z wycieków – obecnie strona wymienia niemal 11,5 mld kont, których dane wyciekły.

Hasło możemy też stracić, jeśli pozwolimy sobie zainstalować na komputerze złośliwe oprogramowanie, np. program typu keylogger, który pozwala cyberprzestępcy „przechwytywać" to, co wpisujemy na klawiaturze. Obecnie – jak mówi Piotr Kupczyk – programy takie są w stanie wykryć, kiedy wpisujemy login i hasło, i tylko te dane przekazywać hakerowi, co uwalnia go od konieczności śledzenia wszystkiego, co piszemy.

Proszeniem się o utratę hasła jest też stosowanie zbyt słabych haseł – np. pokrywających się z nazwą użytkownika (jak owo słynne Admin i Admin1) czy też będących ciągiem kolejnych cyfr (12345) czy znaków (abcd). Takie hasła można łatwo złamać za pomocą ataku brute force, polegającego na próbie wprowadzenia wielu różnych haseł w nadziei na znalezienie tego właściwego. Im nasze hasło jest mniej złożone, tym większa szansa, że taki atak się powiedzie. Wreszcie hasło można przechwycić od nas metodami „socjotechnicznymi", np. zdobywając informacje na nasz temat, od nas samych czy bliskich nam osób. W ten sposób można dowiedzieć się, jakiej marki był nasz pierwszy samochód, czy jak brzmiało nazwisko panieńskie naszej matki – a tak się składa, że często informacje te są wykorzystywane jako podpowiedzi, jeśli zdarzyło nam się zapomnieć hasła do jakiejś usługi.

– Sami bardzo często zostawiamy nasze dane w różnych miejscach, np. logując się za pomocą używanego na co dzień hasła do różnego rodzaju serwisów, forów dyskusyjnych etc. Warto mieć na takie potrzeby jednorazowy e-mail, zakładany tylko po to, by uzyskać potrzebny nam dostęp, którego przestajemy używać chwilę potem – radzi Piotr Kupczyk.

Zagrożenia czają się więc wszędzie.

Mnie to nie dotyczy? Błąd

Marcin Maj z serwisu niebezpiecznik.pl zwraca uwagę, że wiele osób – nawet mając świadomość tych zagrożeń – wychodzi z błędnego założenia, że problem ich nie dotyczy. – Nawet wyciek z pozoru błahej informacji może mieć okropne skutki. Wszyscy musimy być uświadomieni jednakowo, jeśli chodzi o zasady bezpiecznego korzystania z internetu, bo każdy z nas może w pewnym momencie zostać ministrem albo kimkolwiek innym, kogo wyciek zaboli – zauważa ekspert, dodając, że np. skrzynka Michała Dworczyka na Wirtualnej Polsce mogła być założona w czasach, gdy nie zajmował on tak eksponowanych stanowisk w państwie jak obecnie.

– Na szkoleniach często proponuję uczestnikom, by zrobili eksperyment: weszli na swoją skrzynkę i sprawdzili, czy nie przechowują na niej np. skanu swojego dowodu osobistego, numeru PESEL czy innych danych wrażliwych – dodaje. Warto zwrócić uwagę, że w przypadku ministra Dworczyka sposobem na potwierdzenie informacji o włamaniu na jego konto była właśnie publikacja skanu dowodu osobistego czy CV szefa Rządowego Centrum Bezpieczeństwa, a więc dokumentów, jakie zapewne wysłał bądź otrzymał w związku z jakimiś sprawami urzędowymi i nie usunął ich z serwera po wykorzystaniu. To zresztą nagminny błąd – nie czyścimy poczty, więc dla cyberprzestępcy może się ona stać kopalnią wiedzy na nasz temat.

Ponadto, jeżeli nawet wydaje nam się, że nie jesteśmy interesującym celem ataku dla cyberprzestępcy, to celem takim może być np. nasz pracodawca, a my możemy być „kluczem" wykorzystanym do działań na jego szkodę (tak jak było to w opisanym wyżej przykładzie ataku na Twitterze). Z raportu firmy KPMG wynika, że w 2020 r. 64 proc. polskich firm (o 10 pkt proc. więcej niż rok wcześniej) doświadczyło skutków cyberprzestępczości – wzrost ten był zapewne pokłosiem tego, że aż 83 proc. wdrożyło w czasie pandemii pracę zdalną. 19 proc. firm przyznało, że doświadczyło wzrostu lub znaczącego wzrostu liczby cyberataków. I nie dotyczy to tylko wielkich korporacji. Dane z całego świata pokazują, że np. ataki phishingowe są plagą dla drobnych i średnich przedsiębiorców, których nie stać na inwestowanie w cyberbezpieczeństwo.



Zanim wyślesz e-mail

Czy w takim razie za pomocą internetu da się w ogóle komunikować bezpiecznie? I tak, i nie.

– Najlepiej podejść do sprawy w bardzo prosty sposób: powinniśmy uświadomić sobie, że wszystko to, co umieszczamy w internecie, już na zawsze w nim pozostanie, a dostęp do tego ktoś może zdobyć właściwie w każdym momencie. Oczywiście, możemy poprzez właściwe zachowanie higieny korzystania z sieci minimalizować ryzyko incydentów bezpieczeństwa, jednak nigdy nie możemy powiedzieć, że jesteśmy w 100 proc. bezpieczni. Nie możemy jednak popaść w paranoję. Dobrze ustanowione zasady dostępu, np. dwuskładnikowe uwierzytelnienie, chociażby z potwierdzeniem esemesowym i systematyczna aktualizacja systemów i aplikacji, eliminuje nas z grupy największego ryzyka – przekonuje Mirosław Maj.

Piotr Kupczyk również podkreśla, że żadna ochrona nie jest 100-proc.: istnieją np. systemy antyphishingowe, które są w stanie wykrywać podejrzane adresy, na które chcą nas skierować cyberprzestępcy, ale żaden taki system nie jest szczelny. Kupczyk dodaje też, że już dziś mówi się o możliwości pojawienia się algorytmów kwantowych, które będą w stanie, w krótkim czasie, złamać każde, nawet najbardziej złożone hasło.

– Nie wierzę w system uwierzytelniania całkowicie odporny na ludzkie błędy, bo każdy musi nam umożliwiać zalogowanie się do serwisu – podkreśla Marcin Maj. – Zawsze ktoś będzie próbował złamać zabezpieczenia albo przechytrzyć ludzi – dodaje, wskazując, że wbrew pozorom hasło, które teoretycznie powinniśmy przechowywać tylko w naszej głowie, mogłoby się wydawać zabezpieczeniem idealnym, gdyby nie to, iż – jak się okazuje – można je od nas wyłudzić.

Można jednak znacząco zmniejszyć ryzyko związane z komunikacją w internecie, jeśli będziemy stosować odpowiednie zasady „higieny" korzystania z niego.

Po pierwsze, zasadą powinno więc być – jak mówi Marcin Maj – nieużywanie skrzynki prywatnej (zwłaszcza darmowej) do celów służbowych, co leży u źródeł „afery e-mailowej" z Michałem Dworczykiem w roli głównej. Taka darmowa skrzynka – jak zauważa ekspert – z samej swojej definicji nie jest przeznaczona do bezpiecznego przechowywania danych, bo w regulaminach różnego rodzaju serwisów znajduje się zapis, że sposób, w jaki korzystamy z ich usług, może być wykorzystany np. do profilowania wyświetlanych nam reklam. Maj zwraca uwagę, że używanie takich skrzynek w celach służbowych może być problematyczne nie tylko w przypadku polityków, ale też np. prawników czy dziennikarzy – których obowiązuje tajemnica zawodowa.

Po drugie, ważne też jest, jeśli musimy wysyłać informacje wrażliwe, poufne czy po prostu takie, które nie powinny wpaść w niepowołane ręce, aby korzystać z metod szyfrowania – pocztę można np. szyfrować za pomocą programu PGP (choć jest to dość skomplikowany proces, aczkolwiek można go uprościć np. rozszerzeniami do przeglądarek), a jeśli przekazujemy sobie informacje poufne za pomocą komunikatora – korzystać z komunikatora, który szyfruje treści (np. Signal), tak aby dostęp do nich miały tylko komunikujące się osoby (komunikatów nie szyfruje np. popularny Messenger). Marcin Maj mówi, że zna przypadki, gdy np. prawnicy komunikują się ze swoimi klientami za pośrednictwem Messengera. – Dla mnie to nie do pomyślenia – mówi.

Po trzecie, należy korzystać z dodatkowych zabezpieczeń. Rozwiązaniem, które chroni naszą pocztę całkowicie, jest – jak mówi Marcin Maj – tzw. klucz U2F. To urządzenie, przypominające wyglądem pamięć zewnętrzną, łączymy z naszym komputerem za pośrednictwem portu USB lub ze smartfonem za pomocą połączenia bezprzewodowego i wiążemy z określoną usługą (np. kontem e-mailowym czy bankowym). Przy próbie logowania do konta powiązanego z kluczem U2F wysyła ono zapytanie o tzw. klucz prywatny przechowywany przez nasze urządzenie. Klucz rozpoznaje adres, z którego zadawane jest pytanie, więc przy próbie phishingu nie udzieli prawidłowej odpowiedzi. Gdyby Michał Dworczyk zabezpieczył konto w taki sposób, aby poznać treść jego e-maili, trzeba byłoby fizycznie ukraść mu jego klucz.

Atak można utrudnić dzięki wspomnianemu wcześniej uwierzytelnianiu dwuetapowemu, ale – jak zaznacza ekspert z serwisu niebezpiecznik.pl – nie jest to zabezpieczenie doskonałe. Jeśli chwycimy „przynętę" rzuconą nam przez cyberprzestępcę stosującego phishing, istnieje prawdopodobieństwo, że na jego prośbę potwierdzimy logowanie z naszego urządzenia lub przekażemy mu kod wymagany do autoryzacji. Wyobraźmy sobie taką sytuację: otrzymujemy mail od naszego dostawcy poczty, że ze względów bezpieczeństwa musimy się na nią zalogować, korzystając z przesłanego linku. Podejmujemy taką próbę, przestępca uzyskuje nasze hasło i próbuje zalogować się na nasze konto. Otrzymuje komunikat, że musi potwierdzić logowanie np. za pomocą drugiego urządzenia. W tym momencie wysyła do ofiary kolejną wiadomość, w której prosi o to, by potwierdziła logowanie. Jeśli przy pierwszym mailu ofiara wypełniła prośbę przestępcy, przy drugim też pewnie to zrobi. Marcin Maj zaznacza jednak, że takie rozwiązanie i tak warto zastosować, jeśli nie mamy dostępu do tych absolutnie najlepszych.

Pewną nadzieję niosą ze sobą technologie biometryczne, wykorzystywane już np. przez smartfony czy laptopy, do których dostęp uzyskujemy za pomocą np. odcisku palca czy konturu twarzy. Ba, naukowcy z Uniwersytetu Berkeley stworzyli nawet system autoryzacji za pomocą fal mózgowych.

Marcin Maj zauważa jednak, że biometria ma swoje słabe strony. – Odciski palców zostawiamy w różnych miejscach, twarz nosimy właściwie na widoku, a niektóre dane biometryczne, np. geometria dłoni, mogą się zmieniać niezależnie od naszej woli, np. w toku starzenia się – mówi.

Ekspert wskazuje też, że np. skaner dłoni udało się oszukać kawałkiem wosku ze specjalnym nadrukiem. – Biometria ma wiele zalet, ale nie jest remedium. Nie możemy polegać na niej zawsze w 100 proc., a zatem to trochę pieśń przyszłości – mówi.

Z kolei Piotr Kupczyk wskazuje, że nawet przy zastosowaniu systemów biometrycznych gdzieś w tle musi być klasyczne hasło – potrzebne na wypadek, gdybyśmy np. w wypadku stracili palce, których odcisków używaliśmy do logowania. Zdaniem eksperta biometria będzie na co dzień zastępować hasła, ale nie wyprze ich całkowicie.

Cel: zmienić nawyki

Człowiek jest z natury rzeczy istotą wygodną, lubi mieć dostęp do wszystkiego, co uzyskuje, najprościej i najszybciej, dodatkowo jeszcze, żeby było najtaniej, bez ponoszenia kosztów własnych, stąd bardzo często płaci za wszystko swoimi danymi osobowymi, bardzo wrażliwymi. Dodatkowo, dzisiaj każdy z nas korzysta już nie z kilku, ale raczej z kilkudziesięciu serwisów sieciowych. Tracimy kontrolę nad tym, co robimy w sieci. Pozwalamy prawie na wszystko, aby tylko ułatwić sobie życie. W tej lawinie wiadomości, zachęt do klikania i udzielania zgód coraz łatwiej stać się ofiarą internetowego oszustwa – podkreśla Mirosław Maj.

Prezes Fundacji Bezpieczna Cyberprzestrzeń zwraca uwagę, że największym problemem jest zmiana nawyków. Jak przekonuje, często nie ma konfliktu między bezpieczeństwem a wygodą. – Bezpieczeństwo jest wygodne – mówi. Jako przykład podaje szkolenie, które prowadził. W jego trakcie spytał uczestników, kto z nich używa menedżerów haseł (programów do generowania i zarządzania hasłami do różnych kont, z których korzystamy – stosowanie takiego programu umożliwia nadawanie każdemu naszemu kontu osobnego, trudnego do złamania hasła, bez konieczności zapamiętywania go, bo hasło pamięta program). Okazało się, że choć w sali było wielu młodych ludzi, z programu korzystała tylko jedna uczestniczka szkolenia – księgowa w średnim wieku. Na pytanie, czy wyobraża sobie funkcjonowanie bez tego narzędzia, stwierdziła, że byłoby to bardzo trudne. Sam Maj przyznaje, że on – korzystając na co dzień z menedżera hasła – nie byłby w stanie podać cyberprzestępcy hasła do swojego konta w banku, bo go po prostu nie zna. – Jeśli zaczynamy się przyzwyczajać do tych narzędzi, dostrzegamy ich zalety – mówi.

Podkreśla, że nie namawia nikogo do gwałtownej zmiany nawyków. Wystarczy zmienić jeden swój nawyk raz na jakiś czas, np. przejść co do zasady na dwuetapowe uwierzytelnianie dostępu do kont. – Wystarczy zmiana jednego nawyku, by stać się trudniejszym celem dla cyberprzestępcy – przekonuje. A wtedy rośnie szansa, że przestępca odpuści sobie atak na nas.

Jeśli chodzi o rządzących, dobrym nawykiem byłoby sięgnięcie przez nich po stworzony pod egidą ABW kosztem 18 mln zł system CATEL składający się z kilku tysięcy telefonów i kilkuset laptopów gwarantujących bezpieczną komunikację. Bezpieczną nie tylko dzięki szyfrowaniu, ale również przez to, że system ten jest odcięty od internetu, dzięki czemu można bezpiecznie przesyłać za jego pośrednictwem dokumenty niejawne. Dlaczego politycy z tego systemu nie korzystają? – Niektórym za ciężko jest nosić to drugie urządzenie, które trzeba autoryzować, do którego trzeba się logować, trzeba pamiętać hasło – mówił niedawno były szef ABW Krzysztof Bondaryk.

Człowiek jeszcze długo będzie najsłabszym ogniwem tego systemu.

Nie ma wątpliwości, że wraz z upływem czasu ludzie zaczną coraz mniej i mniej polegać na hasłach. Ludzie wykorzystują te same hasła w różnych systemach, zapisują je i nie są w stanie spełnić warunków niezbędnych do zabezpieczenia tego, co naprawdę chcą zabezpieczyć – mówił Bill Gates na konferencji poświęconej bezpieczeństwu w sieci w... 2004 r. Zdanie okazało się prawdziwe w połowie – faktycznie, system logowania do usług oparty na identyfikatorach i hasłach okazuje się być, mówiąc delikatnie, umiarkowanie bezpieczny. A mimo to 17 lat od momentu, gdy Gates przewidywał śmierć haseł wstukiwanych do komputera, te mają się nadspodziewanie dobrze.

Pozostało 97% artykułu
Plus Minus
Tomasz P. Terlikowski: Adwentowe zwolnienie tempa
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Plus Minus
„Ilustrownik. Przewodnik po sztuce malarskiej": Złoto na palecie, czerń na płótnie
Plus Minus
„Indiana Jones and the Great Circle”: Indiana Jones wiecznie młody
Plus Minus
„Lekcja gry na pianinie”: Duchy zmarłych przodków
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Plus Minus
„Odwilż”: Handel ludźmi nad Odrą