Dbajmy o bezpieczeństwo naszych danych

Kilka lat temu przeczytałem ciekawą książkę Kevina Mitnicka (polecam sprawdzić, kto to jest, bo warto) Sztuka podstępu. Kevin w praktyczny sposób pokazywał, że hackerstwo nie jest domeną ludzi, dla których komputer to drugie życie (czasami nawet i pierwsze). W książce było zawarte wiele historii pokazujących, że mając trochę wiedzy praktycznej, sprytu i pomysłowości można włamać się do dowolnego systemu nawet nie dotykając klawiatury. Jak? Gdzieś kiedyś przeczytałem, że w całym systemie komputerowym człowiek jest najsłabszym ogniwem. To właśnie wykorzystywał Mitnick i jemu podobni w latach ’80 i ’90, kiedy globalny rozkwit przeżywały sieci GSM, terminale do łączenia się z Internetem i budki telefoniczne. Nawet Steve Jobs i Steve Wozniak wykorzystali potencjał prostego gwizdka (dodatek do płatków śniadaniowych). Jeden z nich zauważył, że częstotliwość owego gwizdka jest taka sama jak konsoli do wybierania numerów, zaczęli więc handlować blue boxami – urządzeniami do darmowego dzwonienia międzymiastowego. Hackerstwo bez użycia komputera? Jak najbardziej możliwe.

Co się zmieniło przez te 20 lat? Prawie nic. Systemy dalej są nieodporne na niektórych użytkowników. Człowiek dalej jest najsłabszym ogniwem, vide utrata danych przez byłego dziennikarza Gizmodo (hacker wykorzystał m.in. socjotechnikę). Dzisiaj tym bardziej jesteśmy podatni na ataki z użyciem socjotechniki i społecznościówek, w których umieszczamy masę danych o sobie. To bardzo ułatwia atak na nasze konto, jeżeli w podpowiedzi do hasła ustawimy sobie pytanie „jaki jest nasz ulubiony kolor?” Wystarczy kilka prób i bezpieczeństwo możemy włożyć sobie między bajki.

Również serwisy nie ułatwiają nam życia. Jeżeli sami nie zadbamy o nasze bezpieczeństwo, to nikt o nie nie zadba. Przykład: zapomnieliśmy hasła, wybieramy opcję „Przypomnij hasło” i na naszą skrzynkę przychodzi ono w plaintext. To jest właśnie ten moment, kiedy powinniśmy się zastanowić i być może przestać korzystać z tego serwisu i poszukać alternatywy. Następny przykład: dostajemy maila od naszego serwisu i widzimy ogromną listę mailingową. Ktoś najwidoczniej się pomylił i zamiast do nagłówka BCC:, dodał dodał adresy do CC:. W ten sposób nasze dane rozpoczynają wędrówkę po całej sieci. Nie należy się dziwić jak za kilka godzin otrzymamy propozycję powiększenia sobie pewnych części ciała.

Ostatni przykład z mojego życia pojawił się przypadkiem i mam nadzieję, że szybko o tym zapomnę, bo woła to o pomstę do nieba. Społeczna Akademia Nauk w Garwolinie (do której nie mam nieprzyjemności chodzić) ułatwia każdemu, kto chce się włamać na konto studenta dając mu gotowe wskazówki, krok po kroku – co należy zrobić. Grafika obrazująca tą sytuację znajduje się nad artykułem. Co wy na to? Wystarczy zdobyć nr indeksu, PESEL i imię matki. Nic prostszego. Jeżeli poziom nauki jest tak wysoki jak stopień ochrony własnych studentów, to odradzam SAN każdemu, kto planuje rozpocząć tam naukę.

To tyle – dbajmy o bezpieczeństwo naszych danych (nie tylko w sieci). Raczej nikt z nas nie chce stracić cennych informacji, ani sobie niczego powiększyć.