Każdy z nas w jakimś stopniu jest świadkiem ewolucji społeczeństwa, które obecnie jest nazywane społeczeństwem informacyjnym i wykorzystuje zaawansowane technologie informatyczne. Najcenniejszym towarem jest w nim informacja – specyficzne dobro niematerialne. Specyficzne, bo coraz częściej cenione wyżej od dóbr materialnych i, co za tym idzie, podlegające szczególnej ochronie.

Często spotykamy się ze stwierdzeniem, że człowiek jest najsłabszym ogniwem w łańcuchu elementów wpływających na bezpieczeństwo informacji. Praktycznie każde rozwiązanie techniczne, opracowane przez najlepszych inżynierów, a zapobiegające wyciekowi informacji, może zostać przypadkowo lub celowo ominięte przez człowieka. Hakerzy, by podnieść skuteczność wykorzystywanych przez siebie technologii, stosują różnego rodzaju socjotechniki. Próby włamania do złożonych systemów informatycznych, zaopatrzonych w mechanizmy zabezpieczające, zajmują po prostu zbyt wiele czasu. Człowiek jest zdecydowanie łatwiejszym celem. Wystarczy wykorzystać kilka psychologicznych prawd o jego naturze.

Zazwyczaj wyżej cenimy wygodę niż bezpieczeństwo. Nic więc dziwnego, że jesteśmy dla hakerów i innych internetowych oszustów łakomym kąskiem. Korzystanie z komputera podłączonego do Internetu jest już powszechne zarówno w pracy, jak i w domu. Jednak nie każdy wie, że stałe połączenie z siecią znacząco zwiększa ryzyko infekcji złośliwym oprogramowaniem. Świadomość, że wiąże się to z narażeniem użytkowników oraz ich danych na zagrożenie, jest ciągle bardzo niska, a ewentualne konsekwencje ataku nas nie interesują. Co więcej, często nie dopuszczamy do siebie myśli o tym, że może on być realny. Tymczasem próby włamania się do komputera, szpiegowania czy kradzieży danych lub tożsamości zdarzają się coraz częściej. Mogą się przytrafić każdemu, o ile nie będzie wystarczająco ostrożny.

Przyzwyczajenie drugą naturą człowieka                                                                                                                                 Korzystając z komputerów domowych, zazwyczaj opieramy się na przyzwyczajeniach. Weźmy choćby kwestię działania programów antywirusowych. Wiele zadań przez nie realizowanych jest aktywnych w tle, co oznacza, że są niewidoczne przy standardowym użytkowaniu komputera. Dodatkowo oprogramowanie antywirusowe jest często preinstalowane przez dostawcę sprzętu: kupujemy nowy komputer, który już ma wgrany program antywirusowy. Takie rozwiązanie jest oczywiście wygodne, ale sprzyja pogłębianiu naszej niewiedzy: jeśli niczego samodzielnie nie instalowaliśmy, wydaje nam się, że jesteśmy zwolnieni z obowiązku dbania o to. Wszystkie te aspekty składają się na niezbyt korzystny obraz nas samych jako użytkowników komputerów domowych, nieświadomych własnych działań.

Załóżmy, że mimo wszystkich przeszkód posiedliśmy wiedzę wystarczającą, by jednoznacznie stwierdzić: tak, mam antywirusa. Tymczasem mało kto przy zakupie sprzętu komputerowego zwraca uwagę na to, że oprogramowanie antywirusowe cechuje się ograniczonym okresem użytkowania, np. ma licencję tylko na rok. Zbyt rzadko interesujemy się również tym, czy zabezpieczenia funkcjonują prawidłowo, czy baza wirusów jest aktualna (na szczęście większość programów aktualizuje ją automatycznie), czy licencja na posiadane oprogramowanie jest ważna.

Co ciekawe, okazuje się, że jedną cechę antywirusów zna większość z nas: wiemy, że działanie takiego programu wiąże się z odczuwalnym spowolnieniem komputera. Co więc najczęściej robimy? Wybieramy opcję „odinstaluj” i po kilku minutach możemy odetchnąć z ulgą. Możemy pracować wydajniej…

Większość z nas to szczęśliwi posiadacze komputera z dostępem do Internetu. Jak z niego korzystamy? Sieć daje nam duże poczucie wolności i pozornego bezpieczeństwa. Nie reagujemy na powiadomienia o możliwym zainfekowaniu komputera, akceptując tym samym obecność wirusów i stając się zagrożeniem dla innych użytkowników. Najbardziej jednak szkodzimy sami sobie. Programy antywirusowe (czy ogólnie zabezpieczenia komputera) bowiem nie są naszą jedyną piętą achillesową. W badaniu przeprowadzonym przez Kaspersky Lab, jednego z głównych producentów rozwiązań bezpieczeństwa na świecie, luki w zabezpieczeniach oprogramowania stanowią ogromne zagrożenie dla bezpieczeństwa komputerów. Dzieje się tak dlatego, że stają się głównym narzędziem włamań wykorzystywanym do kradzieży danych użytkowników czy przeprowadzania ataków. „Analiza danych pochodzących od ponad 11 mln użytkowników ujawniła występowanie ponad 132 mln luk w zabezpieczeniach wykrytych w różnych programach – średnio 12 luk na użytkownika”, podaje raport firmy Kaspersky Lab. Wynika z niego jednoznacznie, że powinniśmy bezwzględnie pamiętać o regularnym aktualizowaniu systemu operacyjnego oraz posiadanego oprogramowania (szczególnie jeśli chodzi o oprogramowanie typu Java, Adobe Flash oraz Adobe Reader).

Sześć grzechów głównych                                                                                                                                                       Załóżmy, że nasz komputer ma aktualny program antywirusowy oraz bieżące wersje pozostałego oprogramowania. Czy możemy myśleć, że jesteśmy bezwzględnie bezpieczni? Kilka grzechów popełniamy najczęściej. Nie uważamy na hasła. Często przechowujemy je w plikach dostępnych dla innych użytkowników. Co więcej, pliki te nazywamy „hasła”, żebyśmy my, a także inni wiedzieli, jaka zawartość znajduje się w środku. Mało tego, przenosimy te pliki na inne komputery lub pamięci przenośne. Korzystamy z niezabezpieczonych sesji (http://). Wypełniając formularze danymi lub logując się do usług typu bankowość elektroniczna czy zakupy internetowe, powinniśmy wybierać szyfrowaną wersję protokołu – https://. Korzystamy z niezabezpieczonych sieci Wi-Fi.

Zbyt rzadko interesujemy się tym, czy zabezpieczenia funkcjonują prawidłowo, czy baza wirusów jest aktualna (na szczęście większość programów aktualizuje ją automatycznie), czy licencja na posiadane oprogramowanie jest ważna.

Używając obcego sprzętu komputerowego, pozostawiamy niewylogowane sesje, nie czyścimy historii przeglądania, a nawet wyrażamy zgodę na zapamiętywanie haseł!

Wykorzystujemy sprzęt firmowy – komputery, smartfony – do celów prywatnych (np. zakupów przez Internet). Jesteśmy zbyt ufni. Beztrosko otwieramy załączniki wiadomości, nie zwracając uwagi na jej treść. Akceptujemy zdecydowanie zbyt dużo komunikatów oraz reklam dystrybuowanych w formie wyskakujących okienek. Jak ognia unikajmy klikania „OK/Akceptuję” w ostrzeżeniach na stronach, które oferują usuwanie złośliwego oprogramowania lub których pochodzenie jest wątpliwe.

Powyższe „grzechy” pokazują, jak ważne dla naszego bezpieczeństwa są podstawowe, proste czynności wykonywane praktycznie codziennie. Nasze działania związane z korzystaniem z Internetu opierają się zazwyczaj na przyzwyczajeniach, rzadko kiedy bierzemy pod uwagę to, że kwestia bezpieczeństwa (komputera czy sieci) zmienia się bardzo dynamicznie. Pozostajemy więc w miejscu, nie pogłębiając wiedzy na temat bezpieczeństwa. Tym samym nie uświadamiamy sobie nowych zagrożeń. Na szczęście zadbanie o bezpieczeństwo nie jest tak trudne, jak mogłoby się wydawać.

Nie taki diabeł straszny                                                                                                                                                          Większość naszych działań związanych z bezpieczeństwem informacji sprowadza się do ochrony sprzętu przed zainfekowaniem szkodliwym oprogramowaniem. Okazuje się, że podjęte przez nas starania mogą być nieefektywne, gdyż – jak podają specjaliści – najczęściej instalacji szkodliwego oprogramowania dokonuje sam użytkownik. Własnoręcznie! Wystarczy do tego jedno kliknięcie.

Pracując na komputerze, czy to firmowym, czy prywatnym, chcemy uczynić jego użytkowanie przyjemniejszym, więc personalizujemy niektóre jego ustawienia – tapetę, wygaszacz ekranu, wszystko, co się da. Okazuje się jednak, że „wśród oprogramowania skrywającego w sobie malware [szkodliwe oprogramowanie] na czoło wysuwają się wygaszacze ekranów. (…) Podobnie prawdopodobnym jego źródłem mogą być darmowe gry i inne samowykonywalne (z rozszerzeniem .exe) aplikacje”. Musimy więc nauczyć się przykładać większą wagę do tego, co pobieramy z Internetu, a przede wszystkim postarajmy się nie korzystać z odnośników, których popularność jest zastanawiająco niska.

Korzystając z dobrodziejstw Internetu, powinniśmy stosować zasadę ograniczonego zaufania i przełożyć ją bezpośrednio na zasadę nieklikania. Najczęściej będzie ona miała zastosowanie w przypadku wyskakujących okienek, które tylko czyhają na okazję, by zatruć nam życie. Ileż to razy mieliśmy ochotę przez nie udusić własny komputer, klikając kilkadziesiąt razy przycisk „Anuluj”, który nie powodował żadnej reakcji? Ile razy zrezygnowani, dla świętego spokoju, wybraliśmy jednak przycisk „OK”, by tylko zakończyć tę gehennę? Ile razy po takim kliknięciu otrzymaliśmy komunikat o zagrożeniu infekcją wirusem, który od razu proponował nam antidotum? Dla ilu z nas owo antidotum okazało się prawdziwą trucizną? Otóż jednym ze sposobów na wyskakujące okienka i komunikaty jest nieużywanie przycisków w nich zawartych. Znacznie lepiej jest kliknąć prawym przyciskiem myszy wyskakującą reklamę/komunikat na pasku zadań i z menu wybrać opcję „Zamknij”. Prawda, że proste?

Granice zaufania
Pisałam wcześniej o korzystaniu z niezabezpieczonych sesji oraz o tym, że powinniśmy wybierać szyfrowane wersje połączeń – to brzmi bardzo prosto. Jednak jak je zidentyfikować? Tutaj z pomocą przychodzi nam protokół SSL, który jest jednym z narzędzi wykorzystywanych do skutecznej ochrony naszych danych przed ich przechwyceniem. Zazwyczaj wymiana danych z i do serwera odbywa się poprzez przesyłanie przez sieć otwartego tekstu, który względnie łatwo przechwycić (szczególnie w sieci lokalnej). Gdy serwer używa protokołu SSL do komunikacji z przeglądarką, informacja w obie strony (między serwerem WWW i przeglądarką) jest transportowana w sposób zaszyfrowany. Adresy internetowe zabezpieczone przy użyciu protokołu SSL zaczynają się od https://, a nie http://, często też możemy spotkać się z określeniem protokołu SSL jako HTTPS. Certyfikat SSL natomiast jest odpowiednikiem dokumentu tożsamości. Certyfikaty są wydawane przez niezależne i zaufane urzędy – Certification Authorities (CA). Łącząc się z serwerem WWW, sprawdzajmy nie tylko ważność certyfikatu, ale również informacje zawarte w certyfikacie (np. prawidłową nazwę właściciela). Może się zdarzyć, że strona nie będzie miała szyfrowanego połączenia, co wtedy? Warto zwrócić na to uwagę właściciela strony. Kwestia bezpieczeństwa danych klientów jest coraz poważniej traktowana przez firmy (również ze względów wizerunkowych), więc możemy liczyć na to, że uwagi zostaną przyjęte i poprawki szybko będą widoczne na stronie.

top-secret-1

Internet stał się nieodłączną częścią naszego życia. Chcąc nie chcąc, musimy mu trochę zaufać. Granica bezpieczeństwa jest jednak cienka, a zbytnia ufność może szybko uczynić z nas ofiary kradzieży tożsamości. Kradzież ta oznacza wykorzystanie wizerunku albo innych danych osobowych w celu wyrządzenia szkody majątkowej lub osobistej. To rodzaj oszustwa, którego skutkiem jest przechwycenie danych osobistych, tj. hasła, nazwy użytkowników, danych bankowych czy numerów kart kredytowych. W odniesieniu do środowiska internetowego takie działania są nazywane phishingiem. W tym procederze najczęściej wykorzystywane są wiadomości e-mail lub fałszywe strony internetowe stworzone właśnie po to, aby wykradać dane osobiste. Oszuści posługują się milionami fałszywych wiadomości e-mail zawierających linki do spreparowanych stron internetowych. Strony te do złudzenia przypominają oficjalne wiadomości od różnych organizacji i instytucji zaufania publicznego, takich jak banki lub towarzystwa ubezpieczeniowe. Stworzone są jednak po to, by wymusić na nas (przy wykorzystaniu socjotechnik) podanie danych osobistych.

Cyberprzestępcy wykorzystują te informacje przy popełnianiu kolejnych przestępstw, takich jak kradzież pieniędzy z konta, otwarcie nowego konta w naszym imieniu czy zdobycie poufnych dokumentów przy wykorzystaniu naszej tożsamości.

Naszą nieświadomość ochoczo przenosimy z realiów prywatnych w struktury firmowe. Wychodzimy często z założenia, że zabezpieczenia firmowej sieci i komputerów są na tyle zaawansowane, że możemy sobie pozwolić na brak czujności.

Czujność przede wszystkim
RSA, dział zabezpieczeń firmy EMC (największy na świecie dostawca rozwiązań w zakresie bezpieczeństwa oraz zarządzania ryzykiem), w najnowszym raporcie „Online Fraud Report” prezentuje trendy w atakach typu phishing. Wskazują one jednoznacznie, że ataki te są niezmiennie ogromnym zagrożeniem dla firm i użytkowników. W poprzednim roku RSA zidentyfikował średnio 37 tys. ataków phishingowych miesięcznie. Jak zatem rozpoznać fałszywe wiadomości e-mail? Poniżej kilka znaków ostrzegawczych, które pojawiają się w otrzymywanych wiadomościach i powinny obudzić naszą czujność:

• alarmujące wiadomości i groźby zamknięcia konta;
• obietnice korzyści majątkowych (konkretnych kwot) w zamian za mały wysiłek lub bez wysiłku;
• oferty, które wydają się zbyt korzystne, by mogły być prawdziwe;
• prośby o darowizny dla organizacji charytatywnej, np. po klęsce żywiołowej, o której mówiono w środkach masowego przekazu;
• błędy gramatyczne i ortograficzne.

Dobrą wiadomością jest niewątpliwie to, że nie jesteśmy osamotnieni w walce z oszustami, a pomoc napływa do nas z wielu stron. Wykwalifikowani pracownicy organów ścigania podążają za trendami przestępczymi i są wyposażani w wyspecjalizowane narzędzia, by iść nam z pomocą w razie problemów. Kodeks karny również został przystosowany do nowych realiów i w myśl art. 190a § 2: „osoba dopuszczająca się phishingu podlega karze pozbawienia wolności do lat 3 (jeżeli następstwem tego czynu, jest targnięcie się osoby pokrzywdzonej na własne życie, sprawca podlega karze pozbawienia wolności od roku do lat 10)”.

Podejmuje się również wiele inicjatyw mających na celu poszerzenie wiedzy użytkowników, firm działających w branży bezpieczeństwa IT. Pod koniec 2012 r. specjaliści z CERT Polska (specjalny zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet) zaangażowali się w redakcję przeznaczonych dla polskich użytkowników materiałów na tematy związane m.in. z kradzieżą tożsamości.

Na stronie internetowej CERT-u dostępny jest test złożony z kilkunastu pytań dotyczących sytuacji z życia wziętych, w których narażeni jesteśmy na kradzież tożsamości. Opracowany materiał edukuje osobę poddającą się badaniu szczególnie przez sekcję „Czytaj i ucz się”, w której znalazło się wiele informacji dotyczących badanej problematyki. Odpowiadając sumiennie na zadane pytania, uzyskamy procentowy wynik wskazujący, w jakim stopniu nasze codzienne działania chronią nas przed kradzieżą tożsamości.

Opis sześciu grzechów głównych we wspomnianym tekście nie tylko wytyka nam niedoskonałości i beztroskę postępowania, ale też wskazuje proste rozwiązania podnoszące poziom bezpieczeństwa naszych rutynowych działań. Zerwanie z dotychczasowymi przyzwyczajeniami jednak nie jest łatwe, wymaga nakładu pracy i dyscypliny. Dodatkowo utrzymanie poziomu bezpieczeństwa będzie wymagało od nas choćby minimalnego zainteresowania tematem ochrony danych w przyszłości. Cel jest jednak wart zaangażowania – chodzi w końcu o bezpieczeństwo naszych danych.

Musimy mieć świadomość, że błędy popełniane przez nas podczas pracy w domu przekładają się często na firmowe środowisko IT. Naszą nieświadomość ochoczo przenosimy z realiów prywatnych w struktury firmowe. Wychodzimy często z założenia, że zabezpieczenia firmowej sieci i komputerów są na tyle zaawansowane, że możemy sobie pozwolić na brak czujności. Nic bardziej mylnego. W końcu w firmowych bazach przechowywane są również nasze dane. Czy teraz, kiedy właśnie sobie to uświadomiliśmy, nadal chcemy postępować pochopnie?

Sektor bezpieczeństwa zmienia się bardzo intensywnie. Bezustannie doskonalone są normy i protokoły bezpieczeństwa. Dostępność nowoczesnych zabezpieczeń oprogramowania i sprzętu sprawia, że przestępcom jest coraz trudniej pisać skuteczne szkodliwe oprogramowanie, przejmować kontrolę nad systemami komputerowymi i wykradać dane. Rozwój trwa nieprzerwanie, jedyną stałą pojawiającą się w łańcuchu bezpieczeństwa jest człowiek. Warto więc zadbać o to, byśmy nie pozostawali dłużej najsłabszym ogniwem.

Raport dostępny na stronie www.kaspersky.pl.
J. Viega, Mity bezpieczeństwa IT. Czy na pewno masz się czego bać? Helion, Gliwice 2010, s. 26.
Raport jest dostępny na stronie: www.emc.com/collateral/fraud-report/rsa-online-fraud-report-012013.pdf.
Przykłady tzw. znaków ostrzegawczych zaczerpnięte ze strony www.microsoft.com
http://www.cert.pl/news/6193.

About the author

POLECANE DLA CIEBIE