Geslo 123456 je za tatove kot ključ pod predpražnikom

Pozdravljeni. S klicnega centra vam sporočamo, da je bila vaša kreditna kartica preklicana zaradi suma zlorabe. Po naših podatkih niste bili oškodovani, a vam predlagamo, da natančno pregledate izpiske o prometu s kartico in se oglasite na svoji banki.

Takšno telefonsko obvestilo je v zadnjih dveh mesecih presenetilo oba avtorja tega prispevka. V prvem primeru se je kreditna kartica brez vednosti lastnika potepala nekje v Italiji, v drugem primeru so kartico preklicali zaradi odmevnega vdora v informacijski sistem velikega ameriškega softverskega podjetja Adobe, ki razvija najbolj znane programe za obdelavo fotografij in videa – od photoshopa in acrobata do premiera in predvajalnikov flash.

Prva misel je bila, da sva imela še srečo, saj nama elektronski prestopniki niso ukradli denarja ali v najinem imenu nakupili za več sto evrov izdelkov v kaki spletni trgovini. Menjava kartice je sicer nadležna, ker si je treba zapomniti nove številke in jih še enkrat sporočiti spletnim trgovcem in storitvam, a drugih posledic nisva občutila. Pri nobeni banki nama ni bilo treba dokazovati, da nisva zagrešila nenavadnih transakcij. Nihče ni omenil policijskega zapisnika ali kakega drugega postopka, čez dva tedna so nama izdali novi kartici in vse je bilo enako kot prej.

Tako nezapleten postopek je bil do uporabnika sicer prijazen, a je načel kar nekaj vprašanj. Zakaj nama ni nihče v banki znal ali hotel povedati, kaj se je dogajalo z najino kartico, da jo je izdajatelj preklical? Je bila kartica dejansko zlorabljena ali so jo zablokirali preventivno? Sva se zaradi poskusa zlorabe znašla na kakem seznamu neprevidnih uporabnikov, zaradi katerega bova imela slabšo boniteto ali nižje limite? Kdo pokrije stroške zlorabe in menjave kartic? So to banke, zavarovalnice in izdajatelji ali jih industrija elektronskih plačil prevali na uporabnike?

Uradni sogovorniki (banke, policija, izdajatelji) so na vprašanja (ne)odgovorili zelo splošno – z zagotovili, da dobro skrbijo za varnost uporabnikov in je plačilnim sistemom mogoče zaupati. Poznavalci mehanizmov elektronskih plačil in svetovalci za računalniško varnost pa so se bili večinoma pripravljeni pogovarjati samo kot »neimenovani viri«, ker da se težave v njihovi panogi po nepisanem pravilu »rešujejo v zaprtem krogu«. Vsi se namreč bojijo, da bi zmanjšano zaupanje v plačilne kartice in elektronsko poslovanje lahko ogrozilo dejavnost, ki je po ocenah globalno vredna na tisoče milijard dolarjev.

Vdor v Adobe

Prvi poskus zlorabe je bil razmeroma preprost. Uporabnik Lenart je pred prvomajskimi prazniki plezal po vulkanih in je na Siciliji opravil kar nekaj spletnih rezervacij: prenočišča, vozovnice in najem avta. Kreditno kartico je moral dvakrat izročiti hotelskemu receptorju in enkrat administratorju, ki je pripravljal avtomobilsko dokumentacijo. Za krajo podatkov o kartici – številke, datum veljavnosti in varnostne kode – je bila lahko kriva slaba varnost v sistemu elektronskih plačil ali nepošten uslužbenec, ki jih je spretno prepisal s kartice. Ko je poskusil nekdo v Italiji uporabiti podatke s kartice, je varnostni sistem pri banki ali izdajatelju pravilno ugotovil, da je pravi uporabnik že več mesecev doma, in preventivno preprečil transakcijo.

Primer uporabnika Matjaža je bil drugačen, saj je bil stranska žrtev obsežnega računalniškega napada na podjetje Adobe. V vdoru, ki je trajal skoraj cel teden (od 11. do 17. septembra), so računalniški vlomilci (»krekerji«) Adobeju ukradli celotno zbirko podatkov o uporabnikih. Podatkovna zbirka je bila sicer šifrirana, a so v podjetju očitno ocenili, da bi jo utegnili tatovi dešifrirati in iz nje pridobiti vse uporabniške podatke, med katerimi je bilo tudi več kot 40 milijonov številk kreditnih kartic. Skrb je bila verjetno utemeljena, saj so pri Adobeju ugotovili, da so njihove stranke uporabljale izrazito šibka varnostna gesla (ime, priimek ali številčna kombinacija 123456), ki bi lahko spretnemu analitiku pomagala najti šifrirni ključ in odkleniti celotno zbirko. Zato je moralo približno 120 milijonov uporabnikov zamenjati gesla, neznanemu številu uporabnikov po vsem svetu pa so preventivno preklicali kreditne kartice.

Zakaj so pri Adobeju sploh hranili številke kreditnih kartic? Prvi razlog je udobje. Največji spletni ponudniki (Amazon, Google, Apple …) lahko le na ta način izpolnijo obljubo o nakupovanju z enim klikom, ki je ključno za spontane spletne nakupe na računalniku, tablici, mobilniku ali igralni konzoli. Trgovci vedo, kako nadležno je na teh napravah nenehno vpisovanje številke kartice in varnostnih gesel. Če na facebooku, twitterju ali v spletni trgovski ponudbi vidimo priporočilo za izdelek ali aplikacijo, ki stane samo nekaj evrov, jo bomo z enim klikom verjetno kupili, ne bomo pa si vzeli petih ali celo desetih minut za vpisovanje vseh plačilnih podatkov, ampak bomo nakup opustili. Zato nam poskušajo nakupovanje čim bolj olajšati, čeprav s tem povečajo možnost zlorab, če jim kdo uspešno vdre v informacijski sistem.

Adobe ni bil prva žrtev velikega vdora, saj so napadalci v zadnjih letih vdrli že v veliko poslovno družabno omrežje linkedin (tam so pridobili podatke o 6,5 milijona uporabnikih) in v Sonyjevo spletno igričarsko omrežje za konzole playstation (ogroženih je bilo 77 milijonov uporabnikov). V teh zbirkah pa napadalci ne iščejo samo podatkov o kreditnih karticah, ampak jih zanimajo tudi osebni podatki, ki so koristni za poznejšo krajo identitete ali virtualno sodelovanje pri pranju denarja, kjer lahko pri navideznih transakcijah sodelujejo imena, priimki in naslovi nedolžnih uporabnikov, ki so jih tatovi našli v ukradeni zbirki.

Napad na podatke

Za vdore v velike zbirke podatkov poznamo dva najpogostejša načina. Prvi je tehničen in temelji na programerskem znanju, drugi stavi na psihologijo in poznavanje človeških slabosti, saj napadalec išče načine, kako izbrati, zapeljati in prevarati človeško tarčo.

Za prvo metodo je potrebno natančno poznavanje delovanja podatkovnih zbirk. Vsaka zbirka ima poseben računalniški program, ki jo upravlja: vanjo zapisuje podatke, jih preiskuje in briše. V teh programih se skoraj zagotovo skriva kaka napaka ali varnostna pomanjkljivost, ki spretnemu programerju omogoča vdore – nepooblaščeno iskanje po podatkih ali dodajanje skritih programskih vrstic, ki vplivajo na spremenjeno delovanje programa. Takšni poskusi so zelo pogosti, ocenjujejo naši sogovorniki, saj večina podatkovnih zbirk večkrat na mesec doživi podobne napade. Uspešnost teh napadov ni odvisna samo od spretnosti napadalcev, ampak tudi od varnostne politike upravljavca podatkovne zbirke in vsote denarja, ki jo je pripravljen nameniti informacijski varnosti. V zadnjem desetletju se je kompleksnost informacijskih sistemov zelo povečala, hkrati so zaradi nižanja stroškov marsikje odpustili veliko programerjev in njihovo delo prepustili upravljavcem oblačnih storitev ali cenejšim programerjem v revnejših državah, kar je precej povečalo varnostna tveganja.

»Vendar napadalcem ni treba napadati trdnjave tam, kjer je obzidje najbolj utrjeno. Večina srednjeveških mest ni padla zaradi prešibkih zidov, ampak zato, ker je napadalcem nekdo odprl vrata,« je dejal ekonomski psiholog in psihoterapevt David Modic, ki zadnji dve desetletji raziskuje psihološke mehanizme spletnih prevar. Zato napadalci ne poskušajo vdreti v podatkovno trdnjavo, ampak raje poiščejo nekoga, ki ima ključe (gesla), ter mu jih poskušajo ukrasti – s prevaro, grožnjami ali celo izsiljevanjem.

Psihološki način prevladuje pri spletnih prevarah, kjer so žrtve običajni uporabniki svetovnega spleta, ki jim poskušajo spletni prevaranti z lažnimi spletnimi stranmi, poštnimi sporočili ali zlonamerno programsko opremo ukrasti gesla in številke kreditnih kartic. Včasih pa so takšni prijemi čisto nepotrebni, saj ljudje še vedno zelo slabo skrbijo za informacijsko varnost in puščajo elektronska vrata široko odprta. Ali jih zaklenejo s šibkim geslom, kar je enako, kot bi ključ od stanovanja skrili pod predpražnik.

Možnost, da računalniške tatove odkrijejo in ujamejo, je precej majhna, se je strinjala večina naših sogovornikov. Krekerji, ki se skrivajo z uporabo zaščitenih omrežij in tujih okuženih računalnikov, sicer puščajo za seboj nekaj elektronskih sledi, vendar so vidne približno tako dolgo kot odtisi v snegu med sneženjem, je pojasnil vodja slovenskega centra za omrežne incidente (Si-cert) Gorazd Božič. A je tudi nezasnežene sledi težko odkriti, saj operaterji in skrbniki podatkovnih zbirk neradi izročajo podatke o internetnem prometu, jih kmalu pobrišejo ali zanikajo, da jih sploh imajo, ker nočejo imeti dela s policijo ali informacijskim pooblaščencem. Če napad odkrijemo šele po enem ali več mesecih, nam ostane zelo malo uporabnih sledi, kar so nam potrdili tudi na policiji, kjer so lani obravnavali 131 napadov na informacijski sistem (leto prej pa 236).

Sogovorniki so nam povedali, da policija v Evropi še ni zelo motivirana za preganjanje spletnih kriminalcev, saj spletne prevare v EU niso kaznivo dejanje, ampak kvečjemu prekrški. Večina napadalcev prihaja iz tujine, kjer nacionalne policije nimajo pooblastil, vrednosti zlorab pa so razmeroma majhne – od nekaj sto do nekaj tisoč evrov.

Oboroževalna tekma

V finančnih in informacijskih krogih so odločevalci že precej obupali nad izobraževanjem uporabnikov, ker so bile kampanje doslej večinoma neuspešne, je povedal David Modic. Uporabniške raziskave kažejo, da na naše obnašanje ne vplivajo preventivne grožnje in opozorila: kaj vse se nam lahko zgodi, če ne bomo previdni. Prav tako nas ne spametuje, če se je elektronska zloraba zgodila našemu znancu, kar velja tako za posameznike kot tudi za podjetja in ustanove. Zato trgovci, banke in ponudniki elektronskih plačil raje iščejo drugačne rešitve.

Sogovorniki iz dveh največjih slovenskih spletnih trgovin Mimovrste in Enaa, so nam povedali, da se držijo starega priporočila varnostnih strokovnjakov: če podatka ne potrebuješ, ga ne shranjuj. Zato v obeh trgovinah ne shranjujejo podatkov o plačilnih karticah, ampak skrb za podatke raje prepuščajo procesnim centrom kartičnih izdajateljev. V Enaa so se udobju enega klika odrekli že na začetku, ker so se slovenski kupci še preveč bali dejanskih in namišljenih nevarnosti internetnega nakupovanja, je povedal direktor trgovine Aljoša Domijan. A so enako načelo nakupovanja ohranili tudi pozneje, ko strahov ni bilo več, saj drugačni načini plačevanja trgovcu hitro prinesejo dodatno delo in nevšečnosti. Podobno razmišljajo tudi pri Mimovrste, kjer obdelavo plačil prav tako prepuščajo izdajateljem kartic in jim ni treba skrbeti za hrambo občutljivih podatkov.

Naši sogovorniki menijo, da so procesni centri finančnih ustanov načeloma varnejši od trgovskih rešitev, saj morajo spoštovati višje varnostne zahteve, so bolj regulirani in so si dolžni izmenjevati podatke o zlorabah in varnostnih luknjah. »Tolaži me tudi dejstvo, da so tovrstne kraje zelo dragi podvigi, zato so tarče vrhunskih napadalcev predvsem tisti naslovi, kjer je mogoče priti do zelo velikega števila kreditnih kartic naenkrat in jih potem v zelo kratkem času obremeniti,« je prepričan Aljoša Domijan. Napadalcem se taki podvigi splačajo samo, če se dokopljejo do milijonov številk kreditnih kartic in gesel naenkrat. Gesel, ki so zelo verjetno uporabna še v kakšni drugi storitvi, ne samo v napadeni. In milijonov kartic, s katerih je mogoče pobrati majhne zneske, če krekerjem uspe dešifrirati številke.

Vendar to ne pomeni, da so veliki procesni centri popolnoma varni, saj med branilci in napadalci divja nenehna varnostna oboroževalna tekma, kjer je včasih v prednosti ena, včasih druga stran. Med napadalci danes več ne prevladujejo posamezni računalniški negativci, ampak elektronske zlorabe vse bolj prevzema organizirani kriminal, ki ima dovolj denarja in »prepričevalnih metod«, da lahko pridobi vrhunske programerje. Veliko mehanizmov spletnih prevar je že skoraj popolnoma avtomatiziranih – podobno kot borzno trgovanje –, saj lahko računalniški programski robotki pošljejo na milijone prilagojenih poštnih sporočil ali z analizami finančnih transakcij iščejo ranljivosti v sistemu elektronskih plačil. Zato postajajo tudi branilci vse bolj odvisni od računalniških orodij: podatkovnih centrov, obdelave uporabniških podatkov in algoritmov za zaznavanje prevar.

Ti mehanizmi so pravilno napovedali, da uporabnik Lenart ni mogel biti hkrati v Sloveniji in Italiji, zato je računalnik zavrnil sporno plačilo ali opozoril človeškega operaterja, da se s kartico dogaja nekaj nenavadnega. Nadzorni sistem je lahko preprečil zlorabo samo tako, da je zelo natančno poznal uporabniške nakupovalne in druge navade: kje se posameznik giblje, kje in kdaj nakupuje, na katere storitve je naročen in kje dviga denar. Izguba zasebnosti je zato prva nevidna cena za večjo varnost elektronskih plačil.

Prihodnost elektronskih plačil

Kljub medijski odmevnosti velikih elektronskih vdorov in opozorilom pred zlorabami pa elektronski kriminal ni največja težava finančnih ustanov, ki ponujajo elektronsko poslovanje in plačilne kartice, smo izvedeli od dveh poznavalcev kartične panoge, ki sta hotela ostati anonimna.

Vse zlorabe, kraje denarja, oškodovanje trgovcev in stroški menjave kartic ne dosežejo niti odstotka neto vrednosti globalnega plačilnega prometa, kar je še vedno velika priložnost za kriminalne skupine, ampak ne more ogroziti kartičnega poslovnega modela (te zlorabe in stroški so vključeni v provizije in zavarovalne premije). Bistveno večji problemi so plačilna nesposobnost uporabnikov zaradi gospodarske krize in prezadolženosti, plačilna nedisciplina in novi plačilni modeli, ki bodo še znižali marže ponudnikov elektronskih plačil ali jih celo obšli. Amazon, Facebook, Ebay in drugi spletni velikani namreč že dolgo tehtajo možnosti, kako bi uvedli lastno plačilno sredstvo ali celo valuto, s katero bi se znebili kartičnih posrednikov in njihovih provizij. Še večja neznanka so nove »kriptovalute«, kakršna je bitcoin, ki so jo že posvojili kriminalne družbe, pornografska industrija in drugi uporabniki anonimnih plačil, saj jih (trenutno) ne nadzira nobena država ali finančna ustanova.

Za prihodnost vseh sedanjih in alternativnih elektronskih plačil pa bo najbolj ključno vzdrževanje zaupanja uporabnikov, saj ima celotna plačilna industrija kljub navidezni zrelosti še veliko rezerve. Mobilno plačevanje kljub velikim pričakovanjem še ni zaživelo, zato se bo prava revolucija šele zgodila. Prav tako še ne poznamo učinkovitega sistema mikroplačil, ki bo ključno za prihodnje plačevanje dobrin in storitev »ustvarjalne družbe«, ali sistema, ki bi podjetjem in državnim ustanovam omogočal učinkovitejši pretok denarja brez bančnih posrednikov. V novih modelih plačevanja se zato skrivajo milijardni potenciali in industrija elektronskih plačil – sedanjih in prihodnjih – za nobeno ceno ne bo odvračala ali celo strašila uporabnikov.

Zato ni nenavadno, da je Adobe sam sporočil kartičnim podjetjem, naj zamenjajo na milijone kreditnih kartic, saj kljub stroškom ni smel tvegati jeze uporabnikov ali morebitne blokade velikih kartičnih izdajateljev. Prav tako ni nenavadno, da banke brez vprašanj izdajo nove kartice in uporabnikom nihče ne razlaga, kaj se je v resnici dogajalo z njegovimi plačili. Vendar bo njihova »prijaznost« trajala samo tako dolgo, dokler bodo lahko vzdrževali sedanji poslovni model. Ko se bo to obdobje končalo, bodo ceno elektronskih zlorab znova občutili uporabniki.