ODBORNÍK NA IT BEZPEČNOSŤ: Sociálne siete musia zbierať informácie, aby mohli fungovať zdarma

Najslabším článkom bezpečnosti na sociálnych sieťach je jej samotný užívateľ. Zvlášť zraniteľné sú deti, ktoré by práve rodina mala vychovať tak, aby sa vedeli brániť rizikám, ktoré im sociálne siete nastražili.  Myslí si, že kybernetický zločin sa stane zločinom budúcnosti. Je odborníkom a výskumníkom, ktorý sa venuje internetu aj z pohľadu trestného práva, pracuje pre združenie CESNET a tiež učí na Policajnej akadémii ČR a ČVUT. Jan Kolouch.

Po počiatočnej eufórii z užívania sociálnych sietí sa čoraz väčšmi do popredia dostávajú otázky súkromia a bezpečnosti informácií. Sú dnešné sociálne médiá bezpečné?
Nechci hodnotit, jak je která síť bezpečná, nebo nebezpečná. Pokud bychom hodnotili „fyzickou či technologickou bezpečnost“ pak bychom museli hodnotit všechny možné hrozby (ať reálné, či méně reálné). V případě takovéhoto přístupu k hodnocení si dovolím tvrdit, že žádná služba spojená s využíváním ICT pak není bezpečná. Nejde o to, že by tyto služby byly vytvářeny, jako nebezpečné, ale otázka zajištění bezpečnosti je jednou z nejnákladnějších položek při vývoji, udržování a distribuci jakékoli služby. Dobře zabezpečená služba, či systém nutně musí respektovat základní pravidla IT security a s nimi spojený princip CIA (Confidentiality, Integrity, Availability). A ani po splnění všech předpokladů pak taková služba nemusí být bezpečná, jak ukázaly různé zranitelnosti (např. Heartbleed či Drown, aj.)

Ako je to konkrétne v prípadoch sociálnych sietí?
Co se sociálních sítí a služeb týká, pak je třeba stejné principy aplikovat i na ně, avšak ne pouze na ně. Klíčovým prvkem (ne)bezpečnosti v těchto systémech je uživatel sám. Řada socio-komunitních služeb je uživateli poskytována „zdánlivě“ zdarma. Avšak pro to, aby byla služba udržitelná, musí zákonitě získávat určité informace, které jí poskytnou profit. Je zcela jedno, zda se jedná o demografické studie, informace o využívání připojení k internetu z „pevných“ a mobilních zařízení, či prosté statistické údaje. „By default“ nastavená služba, kterou uživatel začne využívat, však sbírá a shromažďuje mnohem více informací a tyto informace typicky sdílí s dalšími uživateli. Důvod je jednoduchý: jde o sociální či komunitní službu. Taková služba pak zcela logicky předpokládá (neboť je to její podstatou), že budete chtít vědět, zda se ve vašem okolí nepohybují přátelé, co právě dělají, nebo co mají v plánu dělat, s kým komunikují, s kým ne, aj.

Pokud shrnu výše uvedené, pak musím konstatovat, že každá služba je tak bezpečná, jako její nejslabší článek. A nejslabším článkem sociálních sítích, či služeb nejsou technologie, či služba jako taková, ale uživatel sám.

Najzraniteľnejšou skupinou sú deti, ktoré si často vytvárajú kontá uvedením falošného veku, ktorý majú nižší, ako je požadovaný. V čom spočívajú riziká sociálnych sietí práve pre deti?
Těch rizik je celá řada. Ohledně prvního rizika naváži na svoji předchozí odpověď. Děti prostě začnou využívat službu, která je cool, bez toho, že by se podívali do nastavení, změnili si předdefinovaná pravidla. Respektive požadovat takový stupeň uvědomělosti po dítěti je asi nesmyslné (bohužel ani jeho nejbližší mu zpravidla nedokáží pomoci). Druhým rizikem je podle mě chybějící výchova, či spíše vysvětlení toho, co vše je spojeno s pohybem jedince v prostředí informačních a komunikačních technologií (ICT). Právě svým pohybem v tomto prostředí po sobě zanecháváme řadu jasných stop, které může potencionální útočník využít. Toto vysvětlování by dle mého názoru mělo začít již v rodině a dále by mělo být rozvíjeno a více konkretizováno na všech úrovních vzdělávání. Třetí riziko např. spatřuji v „důvěřivosti“ dětí. Děti mnohem snáze uvěří dobře postavené pasti sociálního inženýrství, než dospělí, kteří o onu bezelstnou důvěřivost již přišli. Další rizika samozřejmě spatřuji i v tom, že se kyberprostoru pohybují i útočníci (predátoři), kteří z jakéhokoli důvodu útočí na kohokoli. Děti se pak snadno mohou stát obětí např. sextingu, kybergroomingu, kyberstalkingu.

Nejslabším článkem sociálních sítích, či služeb nejsou technologie, či služba jako taková, ale uživatel sám.

Na konferencii Security 2016 ste prezentovali výskum zameraný na získanie čo najviac informácií od detí „s čo najmenšou interakciou medzi útočníkom a cieľom útoku“. Sú deti ochotné odovzdávať o sebe informácie aj cudzím osobám?
Ano. Z tohoto výzkumu jsme získali celou řadu informací a jedna z nich je: děti s námi mnohem ochotněji a mnohem více komunikovali, než například dospělí. V rámci komunikace např. byly ochotné sdělit i celou řadu citlivých a intimních informací.

Vo výskume ste sa zamerali aj na osoby, ktoré z povahy svojej práce dbajú na informácie. Čo sa vám podarilo zistiť?
Na tento útok jsme použili jinou, než ryze socio-inženýrskou techniku (byť i ta byla součástí útoků). Díky sociálnímu inženýrství jsme se dostali do zájmových skupin a k lidem, kteří pro nás byli zajímavým zdrojem informací. Ono prosté vytěžení informací ze skupiny a od lidí (wall, příspěvky, komunikace, aj.) lze sestavit dobrý základ útoku. Díky aplikaci, kterou jsme použili jako primární nástroj vytěžování informací, bychom se mohli dostat ke všem informacím, k nimž nám uživatel povolil přístup.

Ako sa brániť pred rizikami sociálnych sietí? Je vôbec možné uniknúť tomu, aby tieto webstránky o nás získavali informácie?
Jak se bránit proti hlouposti lidí? Myslím si, že to nejde. Je možné omezovat komunikaci, přidávání příspěvků, aj. Přece nemusí všichni moji přátelé vědět, kdy a kde budu, co jím, aj. Důležitý je samozřejmě i aspekt výběru „přátel“ a umožňování jejich přístupu k informacím o mně. Pokud se jedná o technické pozadí, pak jediný způsob, jak se alespoň částečně bránit sběru informací o mně, je danou službu nevyužívat.

devices

Prečo je vôbec nutné chrániť si súkromie a osobné informácie? Načo je to ešte dobré?
Je to určité znesnadnění možnosti útoku na mě. V reálném světě přece taky každému nedáváte číslo či fotokopii své občanky, pasu, na potkání nerozdáváte rodné číslo, stav vašeho úču a jeho číslo. Neděláte to z toho důvodu, protože se bojíte možnosti zneužití. Proč bychom se měli jinak chovat ve světě virtuálním? To není odtržený, jiný samostatný svět. Naopak je to svět, který je velmi pevně spojen a propojen se světem reálným…. Jen si to pořád spousta lidí neuvědomuje.

Sociálne siete zrejme uľahčujú rozvoj finančných podvodov – scams. Jedným z nich je napríklad romance scam, teda schéma, keď vznikne citové puto medzi útočníkom a obeťou s cieľom získať čo najviac finančných prostriedkov od obete. Sám sa venujete tematike kyberzločinu. Tento typ podvodníkov – scammers – je často bezpečne ukrytý v krajinách so slabou vymožiteľnosťou práva. Je možné zabrániť vzniku takýchto podvodov?
Podvodům nezabráníte. Prostě to nejde. Průměrně 2-3x za rok potkám u krajnice auto s gestikulujícím řidičem, jenž se tváří, že potřebuje pomoc. Po zastavení vám začne nabízet zaručeně pravé zlaté prstýnky, protože potřebuje hotovost na benzín, na nemocnou dceru, na cokoli…. Většina lidí ví, že jde o podvod a z místa okamžitě odjede a případně zavolá policii. To stejné se děje v prostředí virtuálním, jen s tím rozdílem, že místo ojedinělého útoku využívají útočníci techniku kobercového náletu. Je jedno, na kolik obětí zaútočí. Vlastní útok je nestojí téměř žádné prostředky, a pokud mají pravděpodobnost, že se na útok nachytá např. 1% z 100.000.000 potencionálních obětí, pořád je to 1 milion reálných obětí, což je opravdu dost.

Jediný způsob, jak se alespoň částečně bránit sběru informací o mně, je danou službu nevyužívat.

Přesto nechci, aby si čtenář myslel, že nemá šanci nic dělat. Obrana spočívá v již zmíněné výchově a edukaci. Pokud si uživatel není jist, může se obrátit s prosbou o pomoc na různé bezpečnostní týmy ať na lokální, národní, či mezinárodní úrovni. Typickým příkladem týmů, které mohou uživateli pomoci (a je to i jejich náplní práce) jsou týmy typu CSIRTCERT. Pokud tedy dochází např. k romance scamu, je vhodné se podívat na jejich stránky a zjistit si více informací o tomto útoku, či případně tento útok nahlásit (ať již bezpečnostním týmům, či policii).

Je paradoxné, že zločiny na internete sú akoby výnosnejšie, rýchlejšie, dokonca „bezpečnejšie“ pre útočníka. Je kyberzločin zločinom budúcnosti?
Ano, kyberzločin je dle mého názoru zločinem budoucnosti. Teoreticky je možné si představit dva důvody, proč by kyberzločin nebyl zločinem budoucnosti. Tím prvním je to, že ICT přestanou fungovat, nebo se jich zcela vzdáme. Tím pádem přestane fungovat ono „kyber“. Druhou možností je, že objevíme něco ještě efektivnějšího a snáze páchatelného, než kyberzločin.

1 Comment