#2 Jaroslav Štuller: Cyber security – Pohyb v digitálním prostoru

Kybernetická bezpečnost je velice aktuální téma, protože mnoho firem po celém světě v roce 2020 přesunulo kvůli pandemii COVID-19 svoje pracovníky do režimu home office, a tím online. Kromě toho se čas od času objeví iniciativa, která velice užitečně burcuje veřejnou diskusi o tom, že nebezpečí na internetu není málo – jako to dělá dokument V Síti. V prvním článku na téma cyber security se zaměřím na typická rizika používání webového prohlížeče.

Jak neškodný je „strýček Google“?

Vyhledávač společnosti Google je natolik dominantní oproti ostatním službám jako Bing, Yahoo nebo Seznam, že se slovo „googlit“ už dávno vsáklo do běžné slovní zásoby. Obracíme se na něj několikrát denně s cílem najít informaci o čemkoli, co nás zrovna napadne (jak vtipně ukazuje série klipů od CollegeHumor, If Google Was a Guy).

Málokdy se asi pozastavujeme nad tím, že každé slovo, které odešleme v rámci dotazu, je zaznamenáno a přidáno ke stamiliardové statistice dotazů od dalších uživatelů. Ty krmí algoritmy Googlu tak, aby odpovědi na dotazy podobné těm našim byly stále přesnější a co nejrelevantnější – celkem přínosný způsob využití našich dat. Ale hrozí taky nějaká nebezpečí?

Je obecně známo, že Google Chrome je systém, který sbírá data a ta prodává různým třetím stranám – hlavně na marketingové účely. Každý webovy prohlížeč Chrome má unikátní identifikační číslo, takže díky sbírané historii vyhledávání (pokud není mazána) dokáže reklama konkrétního člověka dobře zacílit s nabídkou zboží nebo služeb podle toho, co na internetu vyhledává.

Pokud vám na soukromí záleží spíš více než méně, dají se místo Googlu používat jiné nástroje, např. Duck Duck Go , který neukládá žádná data o tom, co člověk vyhledává. Případně můžete vyměnit celý prohlížeč Chrome za jiný, jako je Mozilla Firefox, Tor nebo Brave. Brave je sice postavený na jádru Chrome, ale má různá bezpečnostní omezení, zablokované skripty a reklamy by default.

Reálně ale při používání Google vyhledávače nehrozí žádné riziko. Stejně tak se člověk nemusí příliš zdráhat na webových stránkách přijímat cookies. Jsou to malé soubory, které si webová stránka uloží do prohlížeče, aby si např. zapamatovala pro příští návštěvu, jaký jazyk jsme si na stránce nastavili. Cookies sbírají i data o konkrétní aktivitě na stránce, což může vypovídat o preferencích daného uživatele. Z velké spousty těchto dat už se potom dají tvořit zajímavé statistické modely o chování návštěvníků. Tyto informace lze ovšem získávat i bez cookies, proto povolování jejich sběru nemusíme považovat za zvlášť nebezpečné.

Lepší ochrana pro uživatelské účty

Spíš než o to, že někdo zjistí, že člověk hledal recept na vaření párků, má pochopitelně každý z nás starost o údaje, které jsou schované za branou přihlašovacího jména a hesla. Průměrný uživatel má desítky různých účtů, založených nejen na sociálních sítích, ale také v e-shopech, na zpravodajských portálech, v digitálních nástrojích typu Adobe, nebo dokonce u zprostředkovatelů elektronických plateb.

Pro ochranu přístupu k účtům je ideální stáhnout si dobrý password manager a nastavit v něm dvoufázovou (dvoufaktorovou) autentizaci. Dvojité ověření SMSkou se už dnes sice taky dá zvenčí prolomit, ale to by musel být útočník opravdu speciálně zaměřený na daného jednotlivce, aby ho chtěl takto připravit o data.

Z velké spousty manažerů hesel můžu doporučit KeePass, LastPass nebo Dashlane. Jinak se dá využít i malé USB zařízení, které se jmenuje YubiKey – člověk ho nosí na klíčích a připojí ho k počítači jenom tehdy, když potřebuje ověřit přístup na Facebook, do e-mailové schránky a kamkoli jinam. Bez připojení YubiKey se nikam nedostane. Nevýhodou samozřejmě je, že člověk musí umět neztrácet věci.

No alt text provided for this image

Zdroj: https://twitter.com/USCyberMag

Kam až mohou doputovat osobní informace

Často má uniklá nebo odcizená data na svědomí ledabylé používání sociálních sítí, kterým stále ještě kraluje Facebook (i když už je na ústupu). Databáze ukradených e-mailových adres a hesel se dobře prodávají na dark netu. Kde člověk byl a s kým, které stránky sleduje a označuje „to se mi líbí“, jak se mu změnil rodinný stav – z toho všeho se dá vytvořit psychologický profil uživatele. A nebývá to jen pro účely nabízení nedávno hledaného nebo zakoupeného zboží. Třetí strany pomocí nakoupených dat můžou zacílit skupiny lidí, na které bude pravděpodobně zabírat určitý druh nebo určité téma příspěvků. V konečném důsledku se tak dají ovlivňovat i preference obyvatel pro nadcházející volby. Pokud se jim dlouhodobě objevují na sítích zprávy zaujaté určitým směrem, nebo dokonce senzační hoaxy a fake news, které nejsou pravdivé a mají za cíl jenom mást a šířit dezinformaci, pak se může snadno stát, že jsou podprahově nasměrováni ke kýženým rozhodnutím.

Možná si pamatujete na kauzu Facebooku, kdy společnost Cambridge Analytica vytvořila aplikaci s osobnostním testem, která posbírala data o přibližně 300 tisících respondentů – kromě emailové adresy, data narození, geografické polohy a oblíbených stránek respondenti taky poskytli přístup k fotografiím, ke svojí timeline a ke zprávám. Aplikace sice tvrdila, že údaje budou použity pouze pro akademické účely, ale později se ukázalo, že byly prodávány a že aplikace navíc bez vědomí a bez souhlasu respondentů sbírala data i o jejich přátelích na Facebooku. Tímto způsobem došlo k „leaku“ více než 87 milionů facebookových profilů, a statistiky z nich byly prokazatelně použity v roce 2016 v prezidentských kampaních Teda Cruze a Donalda Trumpa.2

5 % profilů na sociálních sítích jsou roboti

Na internetu jsou miliony robotů (botů), které mají za úkol věrohodně napodobovat aktivitu lidí na sociálních sítích. Velké množství jich je samozřejmě neškodných a slouží k automatizaci určitých úkonů, např. k odeslání okamžité odpovědi na právě přijaté spojení LinkedInu či na Twitteru. Takový bot je pár řádků kódu, který má za úkol opakovat určitou akci, a svůj algoritmus postupně zpřesňuje podle toho, jak na ně cíloví uživatelé reagují.

Každý z nás už asi někdy „mluvil“ s chatbotem. V některých situacích může opravdu efektivně pomoci, například když představuje zákaznickou podporu. Chatbot okamžitě reaguje na text od uživatele, dokáže v něm rozpoznat klíčová slova a obratem nabídne na pravděpodobný problém několik řešení, mezi kterými si člověk vybírá. Šetří to čas i úsilí obou stran, zvláště když se (právě díky sběru dat) odpovědi botů neustále zpřesňují.

Vedle toho existují ale i záškodníci. Boti umí taky šířit a sdílet příspěvky, tedy právě i fake news. A podvodný chatbot dokáže uživatele díky analýze jeho předchozích konverzací tak akorát přesvědčit, že na druhé straně sedí člověk z masa a kostí. Získají si důvěru – většinou v kombinaci s časovým tlakem – a potom ho přimějí k tomu, aby kliknul na určitý odkaz a infikoval si zařízení škodlivým malware nebo odeslal citlivé informace. Pozor na sdělování čísel v chatovacích aplikacích!

Odcizení identity – může se to stát každému!

S podvodnými chatboty vám možná naskočí asociace s ukradenými profily. Nedávno se povedlo skupině hackerů přes zaměstnance Twitteru nabourat twitterové profily tak prominentních lidí jako Bill Gates, Elon Musk nebo Jeff Bezos. Něco, co bychom nečekali, že se vůbec může stát. Bylo ale docela překvapivé, jak s těmito přístupy hackeři naložili. „Pouze“ vytvořili  Bitcoinovou peněženku, kam měli zájemci posílat určitou částku s tím, že se jim zpátky vrátí dvojnásobek.

No alt text provided for this image

Zdroj: https://www.geekwire.com/2020/bill-gates-elon-musk-just-twitter-accounts-hacked-apparent-bitcoin-scam/

Vybrali během celé akce asi 100 tisíc dolarů. Přitom mohli vymyslet daleko chytřejší a zlomyslnější věci. Vyvěsit poplašný post, který pohne s cenou firmy na burze. Zveřejnit falešné oznámení. Promeškali velkou „šanci“ těmto technologickým gigantům uškodit.

Někteří hackeři však svoje útoky provádějí ze záliby, nebo aby veřejnosti ukázali, že prostě můžou. Ne náhodou se potom k hackerským útokům daná skupina přihlásí – chtějí, aby o nich společnost věděla, měla k nim respekt a reagovala na jejich požadavky. Závažné kybernetické zločiny potom samozřejmě mají mnoho společných znaků s terorismem. Mnoho z nich je realizováno doslova na úrovni státu – Amerika vs. Rusko

Hacking s morálním kreditem

Na závěr bych se ale chtěl vrátit na pozitivní notu. Někdy se hacker rozhodne svoje dovednosti dát do služeb dobré věci. Existují konzultanti, kteří pomáhají nacházet a opravovat nedostatky v zabezpečení velkých institucí. Tyto instituce zpravidla disponují velkým množstvím citlivých dat – typickým příkladem jsou banky. „Etický hacking“ potom probíhá tak, že se útočníci zkoušejí se nabourat do bankovní aplikace, narušit síťovou nebo procesní bezpečnost – těchto služeb bývá celý balík.

Tzv. penetrační testing pokrývá technickou stránku věci– identifikují se slabá místa v softwaru, provádí se analýza sítí a podobně. Potom může proběhnout i audit firemních procesů, který zjišťuje, jestli jsou zaměstnanci dobře proškolení a s klientskými daty zacházejí obezřetně.

Nakonec totiž vždy záleží na tom, jak silný nebo slabý je v celé věci lidský článek. Kdejaké zabezpečení může být velmi sofistikované a odolné vůči různým typům škodlivých programů, ale zásadní úlohu při narušení bezpečnosti sehraje v 90 % případů stejně člověk, který ze spěchu, ze zájmu či z neopatrnosti klikne někam, kam klikat neměl. A o tom více v příštím článku.

Odkazy

1Přispěvatelé Wikipedie (červen 2020). HTTP cookie, Wikipedie: Otevřená encyklopedie. Citováno 29. 07. 2020 z <https://cs.wikipedia.org/w/index.php?title=HTTP_cookie&oldid=18679390>

2 Wikipedia contributors. (2020, July 22). Facebook–Cambridge Analytica data scandal. In Wikipedia, The Free Encyclopedia. Retrieved 21:38, July 28, 2020, from <https://en.wikipedia.org/w/index.php?title=Facebook%E2%80%93Cambridge_Analytica_data_scandal&oldid=968976183>

https://www.torproject.org/

https://duckduckgo.com/

https://www.yubico.com/

https://restoreprivacy.com/ – zdroj článků o ochraně soukromí a dat na internetu

https://restoreprivacy.com/cyber-security-statistics-2020/ – článek o kybernetických hrozbách pro rok 2020

https://haveibeenpwned.com/ – pokud chci zjistit, zda moje byly ukradené moje e-mailová adresa a heslo byla ukradená a zda někde koluje na internetu jako součást seznamů

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Scroll to top