“Kai aš ateinu į Europos Parlamentą, aš išjungiu visas komunikacijas visuose savo įrenginiuose, nes jeigu to nepadarau, tai namie randu krūvas visokio SpyWare[1]” – pasakė vienas žmogus, kuris darė pranešimą Europos Parlamente. Tiksliau – kažkaip panašiai pasakė, nes čia mano laisvas vertimas.
Tai pasakęs žmogus yra Axel Arnbak iš Amsterdamo universiteto, o pranešimą jis darė ketvirtadienį seminare Europos Parlamente. Seminarą suorganizavo vienas iš ALDE narių, tai yra Antanas Guoga. Seminaro vaizdo ir garso įrašą galite pasižiūrėti ir jūs:
Cybersecurity: what’s the plan?
Ponia Hilde Vautmans (taip pat Europos Parlamento narė ir taip pat ALDE narė) kiek nustebusi paklausė pono Axel’io ką jai daryti, su jos iPad’u ir telefonu Europos Parlamente, nes jai šių įrenginių reikia darbui. Ir išties – ką daryti? Kodėl Europos Parlamente nesaugu ir ką daryti, kad būtų saugiau? Juk svarbu naudoti informacines technologijas savo kasdieninėje veikloje, nes kitaip būsime labai neefektyvūs.
Štai turime dilemą: mes norime informaciją apdoroti, saugoti ir perduoti naudojantis informacinėmis technologijomis (IT) ir užtikrinti jos saugumą vienu metu. Panašių dilemų turime ir kitur: keliuose mes norime greitai važiuoti ir būti saugiais vienu metu; ekonominiuose santykiuose norime turėti universalią vertės išraišką, tai yra pinigus ir norime, kad pinigai nebūtų padirbinėjami ar kitaip jais būtų sukčiaujama. Kelių ir pinigų suteiktos naudos panašios į IT suteiktas: greičiau ir efektyviau kuriame. Tačiau taip pat greičiau ir efektyviau sukčiaujama.
Šiuolaikinės informacinės technologijos suteikia mums daug naudos, bet ir sukuria naujų problemų. Tos problemos yra kitokios, nei būdavo anksčiau. Toms problemoms valdyti turime turėti ir kitokias priemones, nei būdavo anksčiau. Fire fire with fire.
Taigi, ponas Axel poniai Hilde į jos klausimą ką jai daryti su jos iPad’u atsakė, jog užtektų naudoti bent jau duomenų šifravimą (encryption) perdavimo kanaluose (WiFi, LAN’e ir pan.). Taigi pagrindinės vietos, kuriose vykdomi nusikaltimai, yra būtent trpas tarp duomenų perdavimo šaltinio ir vartotojo – taip vadinamas middle-man (žmogus viduryje – tarpininkas). Seminaro dalyviai iš salės dar pridūrė, kad reikalinga laikytis bent jau minimalios saugumo higienos:
- nenaudoti visur to paties slaptažodžio;
- slaptažodžiai neturėtų būti metų laiko pavadinimas ar jūsų paties vardas;
- nepalikinėti slaptažodžių užrašytų ant popieriuko po klaviatūra (Estijos atstovė papasakojo labai smagią istoriją apie tai, kaip teisėjai Estijoje taip laiko savuosius);
- nepasitikėti kažkokio žmogaus usb atmintine, kurią jis taikosi įkišti į jūsų įrenginį ar duoda kaip savo vizitinę kortelę.
Čia dar prisiminiau patarimą, kuriuo galite pasinaudoti kurdami savo slaptažodžius. Čia dar vienas patarimas komikso forma:
Taigi duomenis reikia šifruoti. Duomenų šaltinis (pvz. koks nors serveris kokiame nors saugiame hostinge – na pavyzdžiui Delfi serveris) yra sąlyginai saugus, nes apsaugotas saugiame pastate su apsaugom ir signalizacijom nuo fizinių piktavalių. Taip pat yra gan geros apsaugos nuo virtualių atakų. Vartotojas su savo įrenginiu gali būti sąlyginai saugiu, nes jį sunkiau surasti, o ir slaptažodžiai jo galbūt sudėtingi. O štai perdavimo kanalas yra mažiausiai saugus, nes jis ilgas ir visaip išsišakojęs. Duomenų perdavimas tarp įvairių įrenginių yra vykdomas naudojantis įvairiomis rekomendacijomis ir protokolais, kurie yra viešai žinomi – antraip skirtingų gamintojų skirtingi įrenginiai nesusikalbėtų.
NSA ilgainiui (o gal trumpaniui) suprato, jog šitaip atvirai perduoti slaptą informaciją nesaugu. Statyti lygiagrečius tinklus, apsaugotus nuo įsilaužimų – brangu. Tai jie sugalvojo kaip naudotis viešu internetu saugiai – jie ėmė duomenis šifruoti. Prigalvojo visokių būdų. Bet tada dar sugalvojo, kad, jei žmonės ims naudoti sudėtingą kriptografiją (pvz. 128-bitų), tai jie negalės dešifruoti jos ir negalės suprasti kuo žmonės tarpusavyje keičiasi. Jie sugalvojo, kad tai yra nesaugu. Nesaugu leisti visiems saugiai keistis informacija. Tada prasidėjo šifrų karai (CryptoWars).
Šifravimo būdai vis tobulėja. Bet vis kas nors sugeba dešifruoti tuos šifrus. Ir kol kas nors nedešifruoja turimo geriausiojo – duomenis perduoti naudojantis naujausiais šifrais daug-maž saugu. Tačiau šifravimo panaudojimą lengva identifikuoti. Kai kurių šalių valstybės draudžia tai daryti ir koduotų pranešimų nepraleidžia:
Čia todėl, kad valdžia nori žinoti ką žmonės daro ir ką galvoja. Kad nedarytų visokių nesąmonių ir neprigalvotų visokių bjaurasčių apie valdžią.
Bet yra šiek tiek ir protingų žmonių, kurie sugalvoja išlaikyti tą pačią IP paketo struktūrą, o koduoti jau paties paketo viduje (šitą daiktą galite atsisiųsti ir susiinstaliuoti savo kompiuteriuose, jei norite):
Galimybės šifruoti ir iššifruoti yra didelės. Tobulėjant technologijoms – tobulėja ir šifravimai bei dešifravimai. Sąlygotinai[2] saugiai galite jaustis, jeigu naudosite vėliausiai sukurtas šifravimo technologijas ir jeigu laikysitės bent jau minimalios kiber-hgienos:
- visur naudosite sunkiai laužomus slaptažodžius (t.y. pakankamai ilgus ir sunkiai atspėjamus, bet jums nesunkiai įsimenamus);
- slaptažodžių neužrašinėsite kur papuola ir nelaikysite kur vėlgi papuola;
- neleisite sau kišti visokių nepatikrintų ir svetimų usb atmintinių;
- kontroliuosite kokios programos turi veikti jūsų kompiuteryje, o kokios ne (a.k.a. naudosite Linux 😀 arba neinstaliuosite ko papuola į bet kurią OS);
- turėsite pakankamai proto naudotis įvairiomis apsaugomis naršydami kokiuose nors seksualinės tematikos serveriuose ar siųsdamiesi informaciją P2P ar ir visais kitais protokolais
- nesijungsite prie savo banko ar kitokių asmeninių resursų per viešą WiFi ryšį (banko atveju saugumo lygio analogija galėtų būti prašymas atsitiktinio praeivio nunešti keletą eurų į jūsų sąskaitą tarsi prašytumėte pažymėti talonėlį viešajame transporte)
- ir panašiai.
.Matau, kad žodis po žodžio, sakinys po sakinio ir gaunasi jau visai toks tl;dr. Bet dar neparašiau apie autorines teises, žmonių teises bei apie teisininkus (kurie kuria ir vysto mūsų elgesio taisykles), incidentų kiekį bei svarbą ir skaidrumą, kyber-karus ir kyber-karius ir dar apie visokius įdomius dalykus, kuriuos išgirdau tame seminare arba kuriuos prisiminiau jį klausydamas/žiūrėdamas…
Bet apie tai bus kitą kartą.
____________________
[1] – SpyWare tai pažodžiui išvertus gautųsi “šnipų įranga”, o tai reiškia šnipinėjanti programinė įranga. Šnipinėjanti programinė įranga paprastai būna programos veikiančios įrenginiuose, kurių šeimininkai apie tai dažnai nežino. Tos programos būna įvairios ir jos daro įvairius dalykus (pavyzdžiui: vagia duomenis, registruoja, saugo irba perduoda įvesties/išvesties komponentų informaciją į ten, į kur nenorėtumėte, kad būtų perduodama ir panašiai).
[2]– Žodį “sąlyginai” man check-speller’is raudonai pabraukė ir pasiūlė šį žodį. Gal ir visai nieko ten tas žodis.
Blem, tos pačios tiesos egzistavo jau prieš 20 metų. O per informatiką mokykloj tokių dalykų nemoko.
Arklio batareikų algoritmą naudoju nuo tada, kai mokiausi mokykloje. A tai buvo praeitam tūkstantmety.
Žiūriu, žmonės vis dar tiki, kad Linux yra kažkas saugesnio. Nė velnio. Pasiimk tą patį Ubuntu, tai jei jo per pusę neperskersi ir viso malwaro neišvalysi, tai toks ten ir saugumas. O viso malwaro neišsivalysi vis tiek. Todėl reikia tiesiog daugiau sveiko proto ir ugniasienių naudot.
Linux’as su ironišku smailu ten buvo. Aš neradęs ten kažkokio man reikalingo softo ubuntiniame šiukšlyne pagūglinau ir ten į komandinę eilutę prirašiau kažko, tai paskui teko visą Ubuntu per naujo diegti, nes buvau per daug žioplas (ne ką gudresnis dabar), kad išvalyčiau viską.
Viskas čia prieš 20 metų. Bet va ir dabar EP žmonės stebisi kaip galima neleisti žmogui kišti į savo įrenginį USB sticks’o. Reikia kažkaip parodyti žmonėms, kad kompiuteris nėra mįslingas įrenginys su nykštukais viduje iš kurio sklinda tik vaivorykštės… Ne tai, kad parodyti -- reikia nuolat rodyti.
Reiktų atkreipti dėmesį, jog Lietuvos įmonių IT ūkio priežiūra ir saugumas yra gana žemame lygyje. Žmonės, kaip jūs ir minėjote, apie elementarų kibernetinį saugumą neturi jokio supratimo. Dirbant su įmonėmis jau keletą metų tikrai tą pastebėjau. Nors situacija gėrėja kiekvienais metais, stebina jaunosios kartos nesupratimas. Atrodo, juk jie jau nuo mažens naudojasi tomis technologijomis, bet vos ne abc nežino. Manau problema yra tame, kad dabar įrenginiai tapo tik pramoga (telefonai, planšetės), kai tuo tarpu anksčiau kompiuteris buvo darbo, mokymosi priemonė. Net ir žaidžiant žaidimus vaikai išmokdavo juos įsirašyti, prižiūrėti kompiuterį. O dabar dažnas atvejis, kai namuose net nėra kompiuterio. Visi naudojasi tik telefonais! Tai ko norėt
Aš savo blogą buvau gerokai apleidęs. Tik šiandien pastebėjau šį komentarą 🙂
Bet galbūt kaip tik dabar pamėginsiu jį atgaivinti ir įdėsiu galbūt kam nors įdomaus turinio daugiau.
O atsakant į komentarą -- taip. Tikrai taip. Mano vaikai (10 ir 9 metai) taip pat moka naudotis kompiuteriu ir telefonais tiek, kiek reikia žaidimams. Kaip juos tvarkyti, ko vengti, kaip valdyti -- net nelabai nori mokytis. Aš tikiuosi, kad dar kiek paaugs ir tai taps jiems įdomiau. Nežinau kol kas kaip tiksliai juos sudominti.
Esu nupirkęs abiem po micro-bit’ą -- tikėjausi, kad tai priartins arčiau prie to tikslo. Bet šiek tiek pažaidę numetė, nes pritrūko ir mano dėmesio ir jų pačių.
Reiks kažkaip pakeisti taktiką ir imtis to rimčiau.