Napadalci izkoristijo račune komitentov za pranje denarja

Ljubljana – Uporabniki elektronskih komunikacij in e-storitev se neprestano srečujemo z nevarnostjo vdora in zlorab. Pomanjkljivosti na programski opremi se čedalje bolj odpravljajo, a težava je tudi naivnost uporabnikov, pravi neodvisni raziskovalec s področja informacijske varnosti Matej Kovačič. Kako varno je uporabljati telefon in družbena omrežja in kako (ne)varno je e-bančništvo?

Kje na uporabnike telefona, spleta, e-pošte, e-banke prežijo največje nevarnosti?

Prvi del težave je v programski opremi. Ta je ranljiva, a te ranljivosti se, tudi zaradi Snowdnovih in Wikileaksovih razkritij, čedalje bolj odpravljajo. Proizvajalci poskušajo narediti čim varnejše izdelke, odgovornost uporabnikov pa je, da redno nameščajo varnostne posodobitve. Drugi del težave je naivnost uporabnikov. Razkritje Wikileaksa kaže, da je bilo vdiranje v starejše različice programske opreme precej lažje, za vdore v novejše pa morajo napadalci čedalje bolj uporabljati metode socialnega inženiringa, torej morajo uporabnike prelisičiti, da nekaj naredijo, na primer kliknejo na neko povezavo.

Kakšni so pogosti primeri zlorab?

Pogost primer so priponke, ki jih ljudje dobijo z e-pošto, nanje kliknejo, s tem pa se zažene zlonamerna koda. Pred kakšnim letom se je v Sloveniji pogosto dogajalo, da so napadalci poslali, denimo, e-pošto računovodji, ki je bila videti, kot da je od direktorja, v kateri naj bi ta naročal, kam je treba nakazati denar. To je bilo kar uspešno. Se pa v Sloveniji pojavljajo tudi ranljivosti na spletnih straneh, denimo na Ajpesovi, UKC Ljubljana ... To je zato, ker razvijalci sistemov niso upoštevali osnovnih varnostnih mehanizmov oziroma so informacijske sisteme precej narobe zasnovali. Spomnim se primera, ko je pred približno štirimi leti nekdo prek e-študenta dostopal do osebnih podatkov študentov, tudi do ocen. Te podatke je bilo mogoče tudi spreminjati; kakšnemu študentu bi torej lahko popravil ocene. Teh primerov je kar nekaj. Žal javnost o njih največkrat ne izve kaj dosti, saj pri nas prevladuje kultura skrivanja. Bruce Schneier, strokovnjak za informacijsko varnost, zagovarja stališče, da je popolno razkritje zelo pomembno. Javni nadzor je namreč edini zanesljiv način za izboljšanje varnosti, medtem ko nas tajnost dela manj varne.

Omenjate, da je pomembno delovanje uporabnika. Kako naj varno uporabljamo telefone?

Prvi ukrep je redno nalaganje varnostnih posodobitev. Drugi je nastavitev kode PIN oziroma drug način za zaklepanje telefona. Zelo priporočljivo je šifriranje notranjega pomnilnika. Novi androidi in ios to že imajo, pri starejših pa je treba šifriranje vklopiti ročno. Zelo dobro je namestiti kakšen antivirus ter uporabljati kakšno aplikacijo za varno komuniciranje, ena takšnih je signal. Pomembno je, da uporabljamo šifriranje povsod, kjer je mogoče. Denimo pri e-pošti je treba nastaviti uporabo šifriranih dostopov do poštnega strežnika. Tudi na spletnih straneh je treba čim pogosteje uporabljati HTTPS. Kot zadnje pa je treba biti zelo previden pri tem, kaj klikaš. Če dobiš po SMS čudno sporočilo ali po e-pošti čudno povezavo, je ni priporočljivo kar klikniti. Z upoštevanjem teh navodil bi rešili zelo velik del težav. Posebna zgodba pa so uporabniki, ki so na bolj občutljivih položajih. Pri teh je smiselno uporabljati še kakšne dodatne varnostne ukrepe.

Kaj pa pri prenosu aplikacij, ki zahtevajo dostop do fotografij, mikrofona ...?

Pri tem uporabnik nima veliko izbire. Priporočljivo je nameščati aplikacije iz uradnih trgovin, razen če res veš, kaj delaš. Vsekakor jih ni dobro nameščati kar počez. Če ne veš, kaj nameščaš, raje ne nameščaj. Problem pa je, da aplikacije od uporabnika pogosto zahtevajo dostop do različnih delov sistema, in če uporabnik tega ne dovoli, aplikacija ne deluje. Naprednejši uporabniki si lahko namestijo požarni zid in aplikacijam omejijo dostop do interneta ter posebne aplikacije, ki drugim aplikacijam posredujejo lažne podatke (na primer lokacijo), a na žalost ta možnost pride v poštev samo za bolj napredne uporabnike, ki imajo odklenjen telefon. Drugi pa se morajo odločiti, ali bodo neko aplikacijo uporabljali ali ne. Dobro se je zavedati, kaj vse te aplikacije počnejo. Nekatere na primer stalno spremljajo zvoke v okolju in tako ugotavljajo, kje je uporabnik in katere druge naprave (telefoni, računalniki) so v istem okolju. Tako povezujejo različne profile in naprave uporabnikov med seboj.

Tudi antivirusni program zahteva, na primer, dostop do fotografij in datotek.

Antivirusni program mora imeti tak dostop, da poskenira to vsebino. Vprašanje pa je, zakaj bi aplikacija za fotografiranje nujno potrebovala dostop do mikrofona. Razumem, da dostop do GPS morda potrebuje za geolociranje fotografij. A tukaj bi lahko obstajala možnost, da se uporabnik odloči, da geolociranja ne želi in aplikaciji ne bi dovolil dostopa do GPS. Je pa res, da gre razvoj Androida počasi v to smer, da bodo uporabniki lahko selektivno določali, kakšne dostope bodo dovolil aplikacijam.

Kaj pa družbena omrežja in varnost?

Pri družbenih omrežjih je načeloma največja težava, da uporabniki sami objavljamo podatke. Uporabniki se zelo hitro spozabijo in začnejo objavljati zelo osebne informacije. Pa tudi če niso tako zelo osebne, ko jih je dovolj, je mogoče uporabnike natančno profilirati. Odločiš se lahko, da družbenih omrežij ne boš uporabljal – jaz, recimo, facebooka nimam, twitter pa uporabljam le zelo selektivno – ali pa da boš poskušal čim manj objavljati. Vendar se večina ljudi tega zave šele, ko je že prepozno. Iz ZDA poznamo primer, ko je delodajalec na razgovoru za službo pokazal kandidatu fotografijo, na kateri je bil kot srednješolec opit. In ga vprašal, ali ima težave z alkoholom. Čeprav je bila fotografija objavljena v zaprti skupini, lahko javne ustanove v ZDA po njihovi protiteroristični zakonodaji pridobijo te podatke. Nekaj, kar se v trenutku objave sicer ne zdi problematično, lahko takšno postane v prihodnosti, sploh če je vzeto iz konteksta.

Kako varno ali nevarno je za uporabnike e-bančništvo?

Po zakonu o plačilnih storitvah in sistemih mora zlorabe nad določenim zneskom kriti banka. Pri nas je znan primer, ko je sodišče pred nekaj leti razsodilo, da mora banka komitentu povrniti škodo zaradi vdora v e-banko, pa čeprav je zloraba nastala zato, ker je komitent svoje podatke sam izdal v napadu z ribarjenjem (phishing). Komitent je namreč nevede obiskal stran, ki se je izdajala za legitimno vstopno stran v spletno banko. Zato posledice takšnih zlorab za komitente navadno niso tako hude, kot bi bile brez tovrstne zakonodaje. In zaradi te zakonodaje imajo banke tudi komercialen interes, da skrbijo za varnost. Poleg tega se bančni sistemi uporabljajo vsak dan, zato se napake precej hitro odkrijejo in tudi odpravijo.

Je pa res, da nastajajo tudi zlorabe, pri katerih napadalci ne okradejo tujega računa, ampak tega uporabljajo »zgolj« za pranje denarja. Vdrejo v bančni račun, nanj nakažejo denar in ga nato prenakažejo drugam. Uporabnik ima zato lahko zelo velike težave, ko kasneje dobi vprašanja z, denimo, urada za pranje denarja o teh transakcijah. Argument, saj nimam ničesar, kar bi mi lahko ukradli, zato že dolgo ne velja več.