Viena mažytė „goto“ komanda gali sistemas padaryti visiškai pažeidžiamas.
Su trupučiu ironijos pamėginsiu palyginti saugumo situaciją kibernetinėje ir viešojoje (fizinėje) erdvėse.
Jei tinklalapį, serverį prilygintume butui ar namui, tai galėtume fiziškai stebėti, kaip visiškai nepažįstami žmonės įvairiu metu tikrina, ar visi langai uždaryti, ar durys užrakintos. Ką darytumėte naktį išgirdęs, jog kažkas klebena durų rankeną, už durų stovintys nepažįstamieji savo atsineštais raktų ryšuliais mėgina atrakinti spynas, o aplink zujantys vaikai iš pašto dėžutės mėgintų nugvelbti laiškus? Ar išliktumėte ramūs ir jaustumėtės saugūs, jei šiuos veiksmus bet kada ir bet kokiu intensyvumu atlikinėtų ir paprasti praeiviai ir konkrečių kenkėjiškų tikslų turintys nusikaltėliai?
Būdami fizinio pasaulio dalyviais, bandymus patekti į mūsų patalpas vertintume kaip neteisėtą veiklą ir apie tai sužinoję informuotume teisėsaugos institucijas, imtumėmės papildomų saugumo priemonių. Apie padažnėjusius neteisėtų veiksmų atvejus praneštų žiniasklaida.
Deja, bet aukščiau nupieštas nemalonus alegorinis vaizdelis yra virtualaus pasaulio kasdienybė.
Piktavaliai ar šiaip tinkamus įrankius internete radę mėgėjai kiekvieną dieną klebena tinklalapius ir serverius ieškodami neapsaugotų vietų. Ir randa.
Fiziniame pasaulyje dominuoja kolektyvinė gynyba, o virtualiame pasaulyje – asmeninė gynyba. Kitaip tariant, fiziniame pasaulyje prevencines ir kardomąsias priemones taiko teisėsaugos institucijos, o virtualiame pasaulyje tinklalapių ir serverių administratoriai kiekvienas atskirai kariauja savo lokalius karus.
Vis dar nėra praktikos apie incidentus, piktybišką ar įtartiną veiklą kibernetinėje erdvėje pranešti centralizuotoms institucijoms (CERT-LT ar Cyber-Police). Kita vertus, remdamasis asmenine patirtimi, aš pats labai abejoju šių institucijų pagalbos mechanizmais ginantis nuo piktybiškos veiklos. Šiuo metu centralizuotos institucijos informaciją apie įvykusius incidentus tik surenka, bet neskleidžia visuomenei. Jos pasako tik tai, kad jau kompiuteriui ar tinklalapiui „šakės“, bet neatskleidžia grėsmių šaltinių, kad būtų galima pasiruošti.
Dėl kolektyvinės ginybos nebuvimo kibernetinio pasaulio nusikaltėliai retai kada sutramdomi, todėl gana laisvai bėgioja nuo vienų tinklalapių ir serverių prie kitų ir bando surasti spragų pavienėje individualioje gynyboje.
Ar keistum laiptinės durų kodą, telefono numerį ir el. pašto adresą į nemokamą reklamos atsisakymo lipduką? Juk tūkstantis vilniečių tai jau padarė… 😉 😀
Tai gi ką vardan ko atiduodam?
Tikrai vertas dėmesio Karolio Zikaro, Lietuvos kariuomenės Strateginės komunikacijos departamento Analizės ir planavimo skyriaus vyriausiojo specialisto, pranešimas „Kibernetinė aplinka Lietuvoje“. Pranešimas skaitytas seminare „Informacinės erdvės analizė, grėsmės ir iššūkiai“. Pranešimo dėmesys sutelktas į kibernetinių brigadų vykdomą dezinformavimą.
To paties seminaro pranešimas apie informacinius karus ir masinį smegenų plovimą:
Taikliai ir smagiai pavaizduota socialinės inžinerijos ataka Red Bull reklamoje, kurioje kunigas per išpažintį bespėliodamas suteikia informacijos:
Šiandien buvo pristatytas Registrų centro sukurtas tinklalapis www.regia.lt. Pirmajame šio tinklalapio puslapyje rašoma „… vartotojai prie REGIA jungiasi per iPasas.lt paslaugą.“ Smalsumas vedė į iPasas.lt tinklalapį, tačiau Firefox iškart meta pranešimą, jog sertifikatas yra nepatikimas, nes nepasirašytas patikimo sertifikatų centro (angl. CA – Certifikate Authority). Sertifikatas sugeneruotas vienam adresui – www.ipasas.lt, nors reklamuojamas adresas ipasas.lt bei leidžiama prieiga www.pasas.lt. Iš viso net 3 adresai, iš kurių tik vienam sukurtas nepatikimas sertifikatas.
Vistik suprasdamas rizikas patvirtinu, jog laikinai naudosiuosi nepatikimu www.ipasas.lt sertifikatu ir užsuku į tinklalapį. Bandau išsiaiškinti, kam ši paslauga skirta, kaip veikia, kas jos savininkas ir valdytojas. O! Jokių kontaktinių duomenų, nei užuominų apie savininką, tik apačioje trumpai parašyta:
2012 iPasas.lt
Eletroninio autentifikavimo paslaugos
Nėra nei žodelio, jog tai Lietuvos valstybei priklausantis tinklalapis. Sistemoje http://www.domreg.lt/whois užsiminta, jog tai gali priklausyti VĮ Registrų Centras, bet ar paprastas lankytojas tai tikrins? Be to, darau prielaidą, jog WHOIS sistemoje gali būti rodoma ir melaginga savininko informacija, nes užsakant domeną į elektroninę formą vedama vieša informacija, t.y. užsakant domeną neprašoma tapatybės patvirtinimo.
Kaip galima tokiu tinklalapiu pasitikėti?
Kaip galima leisti šį tinklalapį naudoti autentfikavimui?
Ar nereiktų valstybinei įstaigai rodyti pavyzdžio ir pratinti visuomenę atpažinti nesaugius tinklalapius?
Bandau spaust pirmą nuorodą. Oi! Ir vėl nepatikimas sertifikatas tinklalapyje https://id.rcsc.lt/RCSCAuth/USB.rc .
Dar tik mokomės elgtis saugiai.
PAPILDYMAS (2012-05-08)
Registrų centrui išsiunčiau laišką su nuoroda į šiuos pastebėjimus. Registrų centras 2012-03-22 pasiūlė naudotis IE ir Chrome naršyklėmis ir teigia, jog intensyviai dirba, kad „Sertifikato centro“ išduoti sertifikatai būtų įtraukti į Firefox naršyklės patikimų sertifikatų centrų sąrašą.
Deja, tinklalapis taip ir nepapildytas nei kontaktiniais duomenimis, nei tinklalapio savininko informacija, tad lankytojai ir toliau pratinami pateikti asmens duomenis (vardą, pavardę, asmens kodą) neaiškiems subjektams!
Geriau su visais gyventi draugiškai, nes priešingu atveju Paskutiniojo teismo dieną internetas Jus išduos.
Paskaitęs straipsnelį kaip vienas akademikas kitą akademiką policijai skundė, bėgau pasižiūrėti, kas jie per paukščiai… Tai dabar žinau truputį jų biografijas, žinau kaip abu atrodo, kur dirba ir net žinau vieno iš Jų asmens kodą (!). Ir nuo čia prasideda linksmybės. Ilsisi tarnautojas per pietų pertrauką, naujienas skaito, banko ar Registrų centro duomenų bazėje informaciją pagal asmens kodą pasitikslina. 😀 O kadangi ne visi tokį priėjimą prie DB turi, tai siūlyčiau pasiskelbti gyvenamosios vietos adresą, kad atėję draugai gynėjai asmeniškai savo nuomonę pareikšti galėtų…
Ir tokie asmens duomenų askleidimo atvejai tikrai ne pavieniai. Pavyzdžiui, prieš kokią savaitę aptikau puslapiuką, kuriame viešai skelbiama labai daug užsiregistravusio žmogaus asmens duomenų – nuotrauka, tarnybinių ir asmeninių telefonų numeriai, darbovietės ir namų adresai ir t.t.
Gal kas mano, kad tai nėra jau tokie svarbūs duomenys? O kas, jei ten gražios merginos nuotrauka? Tai gali atsitikti taip, kad, dėl per didelio gerbėjų antplūdžio, teks išmesti telefoną (nes nenustojantis nuo SMS žinučių pypsėti telefonas įkyrėjo) bei pakeisti gyvenamają vietą (nes rožės taip pat pakyrėjo) 😉
Ir „neduok die“ pateksi į valdžią, tai prieidama tokią informaciją subėgs pikta liaudis ir langus išdaužys…
Vaikai, gyvenkite draugiškai …ir …ir slapstykitės!
Papildymas: posakį „dievas yra visur“, kurio viena iš minčių yra „dievas jus visada stebi „, jau galima keisti į „internetas yra visur“