Na otázky ohledně bezpečného prohlížení webů a internetové komunikace jsme se zeptali Vladimíra Lazeckého, který pracuje jako odborník na ochranu dat ve firmě Viavis.
Foto: Viasis
Myslíte si, že už žijeme v orwellovském světě, ve kterém neexistuje soukromí? Nebo si za to můžeme v některých případech tak trochu sami?
Děkuji, je to hezky položená otázka, odpověď bude jednoduchá, nemyslím si to. Žijeme ve světě, kde se prostor pro naše soukromí zužuje a jde o trvalý trend. V informačních systémech veřejné správy, zdravotnictví, bank, telekomunikačních operátorů, ale i provozovatele systém mýtných bran a nespočtu kamerových systémů, je o nás mnoho informací, které svým způsobem při jejich vhodném spojení a s jistou nadsázkou mapují náš život od kolébky až do hrobu. Naštěstí, a slovo naštěstí používám zcela vědomě, nejsou tyto informační systém zatím tak propojeny a využívány, aby nás do orwellovského světa uváděly.
Horkým problémem dneška je ohrožení soukromí, které si způsobují lidé sami svým neopatrným nebo neuváženým chováním. Na sociálních sítích na sebe často „vyzradí“ věci, které jsou opravdu soukromé a jejichž zveřejnění může přímo ovlivnit negativním způsobem jejich budoucnost. Zkuste si třeba představit, jak bude reagovat personální manažer renomované společnosti, kde se budete ucházet o práci, když si po obdržení vašeho životopisu přečte, co o sobě sami píšete na sociálních sítích, resp. uvidí vaše soukromé fotografie.
Jak se máme chovat, abychom si udrželi určitou míru anonymity?
První zásadou je si uvědomit, že pracujeme s informacemi, které mají svá specifika. Jedním z nich je to, že jakmile nějakou informaci „vypustíme“ do světa, zcela nad ní ztrácíme kontrolu a nikdy ji nevezmeme zpět. Pokud si do svého profilu na sociální síti nebo osobního webu umístíme fotografii, nikdy se nedozvím, kdo si ji zkopíroval, kdo ji komu odeslal, či jak s ní naložil. Proto, než o svém soukromí cokoli zveřejníme, velice dobře zvažujme, nebude-li nás to po nějaké době mrzet. Pokud na svém profilu sociální sítě sdílím svou radost z nově zakoupené drahé elektroniky a zároveň píšu, že strávím tři nádherné týdny v Thajsku a pejska svěřuji kamarádovi, protože nikdo nebude doma, zvyšuji tím samozřejmě pravděpodobnost nezvané návštěvy.
Další zásadou je pracovat s vědomím, že zjednodušeně vše, co na internetu dělám, může být zaznamenáno a zpětně vysledováno. Stejně tak, jsem-li uživatel mobilního telefonu, musím mít na paměti, že vznikají záznamy o mém pohybu, tzv. lokalizační údaje (lokalizace SIM a IMEI telefonu), hovorech apod. a chovat se podle toho.
Shrnu svou radu – největší hrozbou je člověk sám pro sebe, tedy než cokoli udělám, pokusím se přemýšlet nad možnými důsledky.
V čem budou podle Vás v blízké budoucnosti největší problémy spojené s internetem?
Většina populace západní společnosti si již život bez internetu neumí představit. Internet představuje úžasný fenomén a zdroj informací, a to nejen těch, o kterých běžný uživatel ví. Očekávám snahy tyto řekněme sekundární informace začít využívat ještě mnohem efektivněji, než nyní. Je možné zaznamenávat aktivity konkrétního uživatele, sledovat jaké weby ho zajímají, kde nakupuje, s kým komunikuje emaily. Pokud tyto informace spojíme se záznamy v registrech veřejné správy, lokalizačními údaji, údaji o transakcích platebních karet – umíme to domyslet?
Je pravda, že na internetu někteří z nás tráví spoustu času. Na co si máme dávat pozor při surfování na webu?
Na svou důvěřivost! Budu se opakovat, s internetem zkrátka musím pracovat s vědomím, že mé aktivity jsou zaznamenávány. Setkáváme se při své práci někdy až s konsternovanými uživateli, co vše lze zpětně dohledat a zjistit.
Musím zkrátka apelovat na vytvoření si jistých základních bezpečnostních návyků, protože většina uživatelů má na svých počítačích uložená důležitá data, která mohou být cílem zájmu někoho jiného. Mohou to být důležité kontakty, přístupová hesla k bankovním účtům, informačním systémům zaměstnavatele nebo důvěrné fotografie či korespondence. K naprosto základním návykům patří nikdy neklikat na odkazy webových stránek, které jsou zaslány mailem, byť se tváří důvěryhodně. Nikdy neklikejte na všechny přílohy, které mailem přijdou, neodpovídejte na maily s lákavými nabídkami apod. A v případě rodičů věnujte čas základnímu bezpečnostnímu vzdělání svých dětí.
Jaké nebezpečí vlastně dětem na internetu hrozí?
Děti považuji za velmi ohroženou skupinu uživatelů, především díky své přirozené důvěřivosti. Děti většinou nejsou schopny domyslet, že mohou komunikovat s někým jiným, než tím, s kým si myslí, že nemohou publikovat na svých profilech soukromé informace o rodině, kamarádech. Podle mého názoru stále zaostává výchova k bezpečnému chování, jak v rodině, tak ve školách.
Jaké údaje jsou o nás v dnešní době zjistitelné?
Pokud jsme běžným uživatelem internetu, který nepoužívá specializované nástroje a služby, tak fakticky vše, od data a času navštívených webových portálů, stažených souborech, typu operačního systému a prohlížeče v našem počítači, odeslaných a přijatých mailech a mnoha dalších. V případě používání mobilů pak samozřejmě mimo informací o hovorech, SMS i lokalizační údaje – kde se zrovna nachází konkrétní mobil a SIM karta. Při jízdě autem po zpoplatněných silnicích záznamy z mýtných bran, při pohybu ve většině měst záznamy z kamerových systémů. Ale i při využívání bankovních služeb banka o nás ví, kde a kolik jsme platili a za jaké zboží.
Naštěstí si stát uvědomuje možná rizika a snaží se vznik a přístup k těmto záznamům regulovat.
Jak probíhá typický útok hackerů?
Na tuto otázku je obtížné odpovědět, protože si nejsem jist, zda typický útok existuje. V médiích se často publikují informace o typu útoků, kdy hackeři znefunkční nějaký konkrétní web. V takovém případě jde o poměrně jednoduchý útok, kdy počítač, který je cílem útoku, zahltí obrovským počtem požadavků, takže jej přetíží a systém zkolabuje. To se ale běžných uživatelů příliš netýká.
Existují ale například plošné útoky na běžné uživatele s cílem získat nadvládu nad jejich počítačem, získat hesla k bankovním účtům a podobně. Tyto útoky většinou probíhají tak, že skupině uživatelů je rozeslán důvěryhodně vypadající mail např. z banky, který vyzývá ke kliku na v mailu uvedenou webovou adresu. Po tomto kliku je uživatel nasměrován na podvrženou stránku s výzvou k přihlášení se. Po zadání jména a hesla je následně přesměrován na skutečnou stránku banky, ale útočníkovi jste již poskytli jméno i heslo.
V případě opravdu profesionálních hackerů, kteří se potřebují dostat k důvěrných informacím – např. drahému know how konkurence, rozjednaným obchodním případům – jde většinou o využití metod sociálního inženýrství, někdy v kombinaci s útokem na počítače. U těchto socioútoků se využívá metod vytváření si důvěry s osobou, na kterou se útočí. Pokud se například v nějaké organizaci představíte na účtárně jako servisní technik dodavatelské počítačové firmy, mnoho uživatelů vám na požádání umožní přístup nejen ke svému počítači, ale řekne vám bezelstně i své heslo. Málokoho napadne si u svého IT oddělení si ověřit, zda daný člověk má vůbec oprávnění na váš počítač sáhnout. A to zde neuvádím teoretickou situaci, ale běžnou praxi, se kterou se při testování funkčnosti bezpečnostních procesů a mechanismů u svých zákazníků setkáváme.
Co znamená výraz „phishing“ a v čem je nebezpečný?
Phishing je právě příkladem využívání kombinace sociálního inženýrství a technických metod k oklamání uživatelů s cílem získat přístupová jména a hesla. Útočník skrze komunikační kanály, nejčastěji email, předstírá, že posílá zprávu z legitimního systému. Uživatel většinou důvěřivě provede pokyny v takto podvržené zprávě – klik na uvedenou webovou adresu - a přistoupí na portál, který vypadá jako originál, ale je přitom jen podvrhem. Podvržená stránka může například napodobovat přihlašovací okno zmíněného internetového bankovnictví. Uživatel do něj zadá své přihlašovací jméno a heslo, které si útočníci zaznamenají a následně uživatele přesměrují na pravou přihlašovací stránku.
Obrana proto tomuto útoku je jednoduchá, nikdy nepřistupovat na stránky internetového bankovnictví odkazem z emailu a nikdy přímo neklikat na odkazy zaslané mailem.
Na co by si měly dávat pozor firmy při internetové komunikaci?
Relativně mladým oborem jsou sociální sítě, které mají samozřejmě i svá specifická bezpečnostní rizika. V mnoha firmách tak vznikají pozice zaměřené právě na komunikaci po sociálních sítích.
Pro firmy není v dnešní době situace jednoduchá, potřebují si na internetu vytvářet pozitivní marketingový obraz, potřebují publikovat informace o svých produktech. A stranu druhou jsou odpovědné za nelegální aktivity zaměstnanců, jako je nelegální stahování filmů, hudby, software. Zároveň každá firma disponuje svým obchodním tajemstvím, u kterého prolomení jeho důvěrnosti představuje škodu, ať již si to daná firma uvědomuje, nebo ne.
Přitom ale existují legislativní limity z hlediska monitorování aktivit uživatelů, ochrany obchodního tajemství apod.
Řešením je vždy promyšlený přístup založený na managementu rizik, a to nejen k internetové komunikaci, ale ochraně informací jako celku, kdy mnohdy velmi levnými ale efektivními opatřeními se dá dosáhnout násobné zvýšení úrovně ochrany a snížení rizik.
