'Patch' za ljudske ranjivosti

Tekstovi o zaštiti, 11.03.2010, 11:06 AM

Autor: David Emm (Kaspersky Lab)

Senior Regional Researcher, UK

Global Research & Analysis Team

Kompleksnost današnjih opasnosti na internetu

Današnji pejsaž online pretnji je veoma složen. Sajber-kriminalci imaju na raspolaganju širok asortiman štetnih programa uz pomoć kojih mogu preoteti kompjutere korisnika i na nelegalan način ostvariti zaradu. Ovi programi uključuju razne vrste Trojanaca, crva, virusa i 'exploit' kodova napravljenih sa ciljem da se omogući štetnom softveru iskorišćavanje ranjivosti u okviru operativnog sistema ili aplikacija. Pored toga, sajber-kriminalci koriste čitav niz sofisticiranih tehnika kako bi prikrili aktivnost štetnih programa ili otežali stručnjacima za antivirusnu zaštitu njihovo nalaženje, analizu i otkrivanje štetnog koda.

Lako je uočiti da je problem sajber-kriminala, kao i njegovo rešenje, tehničko pitanje. Međutim, verujem da je od ključne važnosti baviti se i ljudskim aspektom sajber-kriminala.

Ljudski faktor: najslabija karika u lancu bezbednosti

Bez obzira na tehničku sofisticiranost današnjeg štetnog softvera, sajber-kriminalci često pokušavaju da iskoriste ljudske slabosti u cilju širenja svojih programa. Ovo ne bi trebalo da iznenađuje. Ljudi su obično najslabija karika u lancu bezbednosti. Uzmimo za primer obezbeđenje kuće: možete imati najbolji protivprovalni alarm na svetu, ali ako ga ne postavite, nećete biti zaštićeni uopšte. Isto važi i za bezbednost na internetu. Sajber-kriminalci nastavljaju sa sve većim korišćenjem društvenog inžinjeringa, npr. pokušavaju da prevare i navedu korisnike da čine ono što ugrožava njihovu online bezbednost.

Ovo potvrđuje činjenica da 'phishing' prevare i dalje beleže uspehe, navodeći ljude da posete lažne web sajtove i ostave svoje lične podatke, kao što su korisnička imena, šifre, PIN kodovi i sve druge informacije koje mogu poslužiti sajber-kriminalcima. Klasična 'phishing' prevara podrazumeva sumnjivi e-mail kojim se spamuju milioni adresa sa nadom da će dovoljan broj korisnika biti prevaren i kliknuti na link u e-mailu. Ovakvi napadi se još uvek oslanjaju na učestalost.

Slično džeparošima, i prevaranti na internetu su tamo gde ima gužve. S obzirom na činjenicu da broj korisnika Facebook, MySpace, LinkedIn, Twitter i drugih sajtova društvenih mreža neprekidno raste, ne iznenađuje podatak da su upravo ovi i ovakvi servisi sve češće na meti sajber-kriminalaca. Oni mogu koristiti hakovane Facebook naloge za slanje poruka koje sadrže linkove ka štetnim programima. Ili postovati 'tweet'-ove koji sadrže linkove, ali istovremeno, uz pomoć servisa za skraćivanje URL-ova, sakrivaju pravo odredište. Ili se jednostavno mogu pretvarati da su prijatelji koji su u nevolji, daleko od kuće, u nekoj dalekoj zemlji, kojima je očajnički potreban novac za povratak kući. Nijedan od ovih pristupa nije specifičan za društveno umrežavanje: sajber-kriminalci jednostavno iznova primenjuju oprobane metode koje su postojale i pre pojave društvenih mreža.

Popularnost socijalnog inžinjeringa ogleda se i u porastu 'scareware' programa. Ovakve prevare započinju 'pop-up' porukom na sajtu kojom se korisnik obaveštava da je njegov računar zaražen i da treba da download-uje besplatni antivirusni program kako bi uklonio štetan softver koji je navodno pronađen na njegovom kompjuteru. Međutim, kada korisnik preuzme i pokrene program, on mu tada govori kako mu je neophodna kompletna ('full') verzija programa kako bi očistio kompjuter - i naravno, ovog puta se od korisnika traži da plati program. Na ovaj način, sajber-kriminalci su izvojevali dvostruku pobedu ovakvom prevarom: ne samo da su pod lažnim izgovorom uzeli vaš novac, već sada imaju i podatke o vašoj kreditnoj kartici.

Jedan od problema sa napadima zasnovanim na socijalnom inžinjeringu je promenljivost njihove mete: uspešne prevare nikad ne liče jedna na drugu. Ovo otežava pojedincu da razazna šta je bezbedno a šta ne.

Ljudi nisu podložni prevarama samo zbog manjka svesti o opasnosti. Nekada je dovoljan mamac besplatna muzika ili video, ili pak, golišave slike slavnih ličnosti, pa da ljudi budu neoprezni i kliknu na link kojeg jednostavno treba ignorisati. Zdrav razum nam često govori da ako je nešto suviše dobro da bi bilo istinito, to je verovatno baš tako. Pa ipak, isti zdrav razum ne mora nas dovesti do zaključka da preduzimanje radnje, u ovom slučaju je to klik na link, može biti štetno.

Ponekad ljudi idu „linijom manjeg otpora“ kako bi učinili život lakšim, ne shvatajući da njihovo postupanje može imati ozbiljne bezbednosne implikacije. Ovo se odnosi i na šifre, na primer. Sve više poslova se obavlja putem interneta: kupovina, plaćanje računa, vođenje bankovnih naloga, profesionalno povezivanje itd. Nije neuobičajeno imati 10, 20 ili više online naloga, što otežava pamćenje, pa i odabir, jedinstvene šifre za svaki nalog pojedinačno. Ovakva situacija čini primamljivim odabir i korišćenje iste šifre za svaki nalog, ili korišćenje imena deteta, supružnika ili mesta stanovanja kao šifre, ili naziv bilo čega što za vas ima lično značenje i stoga ga je lako upamtiti. Drugi uobičajeni pristup je recikliranje šifre, recimo korišćenjem „mojeime1“, „mojeime2“, „mojeime3“ i tako dalje za svaki sledeći nalog. Korišćenje bilo kojeg od ovih pristupa povećava verovatnoću da će sajber-kriminalci bilo pogoditi šifru bilo, ako je jedan nalog kompromitovan, lakše pristupiti drugim nalozima. Ovaj rizik nije nešto što je očigledno svima. Čak i kada su svesni potencijalne opasnosti, korisnici ne vide realnu alternativu, s obzirom da nije moguće upamtiti 10, 20 ili više šifara.

Postoji rešenje za ovaj problem. Umesto pokušaja da se upamte pojedinačne šifre, treba početi sa nepromenljivim delom a onda primeniti jednostavnu formulu za šifriranje. Evo jednog primera: počnite sa nazivom online resursa, recimo 'mybank'. A zatim primenite formulu:

  1. Velikim slovom otkucajte četvrti karakter.

  2. Neka pretposlednji karakter bude prvi.

  3. Dodajte izabrani broj posle drugog karaktera.

  4. Dodajte izabrani non-alfanumerički karakter na kraju.

Ovako ćete dobiti šifru 'n1mybAk;' Korišćenjem ovog postupka, u četiri koraka, dobijate jedinstvenu šifru za svaki svoj online nalog.

Šta bi trebalo uraditi?

Tehnologija je, naravno, ključni deo svakog rešenja kada govorimo o štetnim programima. Ipak, verujem da ne bi bilo pametno zanemariti ljudski faktor u pitanjima bezbednosti. U stvarnom svetu, protivprovalni alarmi, prozorske brave i sigurnosni lanci na vratima mogu biti veoma delotvoran način obezbeđenja imovine. Ali oni ne mogu sprečiti potencijalnu žrtvu, nesvesnu opasnosti, da se izloži riziku otvaranjem vrata neznancu.

Shodno tome, korporacijska strategija bezbednosti će biti manje efikasna ako ne uključi i ljudski faktor. Moramo pronaći maštovite načine da učinimo sigurnijim ljudske resurse isto kao što to činimo obezbeđujući digitalne resurse.

To nije samo pitanje poslovne upotrebe kompjutera. Većina ljudi koji koriste internet kod svojih kuća se suočavaju sa istim problemima. Prema tome, kao društvo u celini, moramo naći načine da podignemo svest o rizicima vezanim za aktivnost na internetu, i razvijemo efikasne metode za smanjenje tih rizika.

Put ka „online zdravom razumu“

Ljudi su uglavnom dobro obučeni za snalaženje u opasnostima offline sveta. Primera radi, imamo niz dobro uhodanih zdravorazumskih strategija za edukaciju dece u vezi potencijalnih opasnosti prelaska puta, ulice: učimo ih da koriste obeležene pešačke prelaze ili, ako ovo nije moguće, da pažljivo pogledaju u oba pravca pre nego započnu prelazak preko ulice ili puta. Imali smo višegodišnje TV, novinske i radio kampanje koje su rađene sa ciljem edukacije javnosti o opasnostima vožnje u stanju alkoholisanosti ili vožnje bez vezivanja sigurnosnog pojasa.

Naravno da zdravorazumski savet dat detetu ili upozorenje nadležnih organa o sigurnoj vožnji ne garantuje i sigurnost. Ipak, takvi saveti pružaju informacije koje pomažu da se smanji rizik. Danas se vožnja pod uticajem alkohola smatra društveno neprihvatljivom, pa je i broj incidenata na putu povezanih sa alkoholom daleko manji nego pre četrdeset godina.

Na žalost, nema direktne analogije sa „online zdravim razumom“. Ovo nije iznenađujuće. U poređenju sa generacijama vozača automobila, i još više generacija pešaka koji prelaze ulice i puteve, internet je veoma mlad. Ljudi tek počinju da shvataju kako internet može unaprediti njihove živote: na žalost, mnogi među njima su blaženo nesvesni potencijalnih opasnosti.

Društvo se ovde susreće sa jednim paradoksom. Mnoge zdravorazumske strategije za bezbedan opstanak u offline svetu deca uče od svojih roditelja. Međutim, današnji roditelji su uglavnom neobučeni u pogledu bezbednosti na internetu jer im je „nova“ tehnologija nepoznanica, te stoga ne mogu edukovati svoju decu. Nasuprot tome, deca znaju da koriste tehnologiju, ali po pravilu veoma malo znaju o potencijalnim pretnjama na internetu.

Kakogod, neophodno je da kolektivno razvijamo „online zdrav razum“. Ako to učinimo, današnja deca biće mnogo bolje obučena da zaštite sopstvenu decu.

Značaj obrazovanja kadrova

Najpre, važno je razlikovati edukaciju od obuke. Bilo bi nerealno i pokušati da obučite ljude do nivoa stručnjaka za kompjutersku bezbednost. Umesto toga, trebalo bi da podignemo svest o mogućim opasnostima na internetu i koracima koje ljudi mogu preduzeti kako bi se zaštitili.

Za kompanije i druge organizacije, obrazovanje zaposlenih bi trebalo da bude od primarne važnosti kada je reč od efikasnoj strategiji bezbednosti. Zaposlenima treba objasniti na jednostavan način, razumljivim jezikom, prirodu pretnji. Zaposleni moraju razumeti mere bezbednosti organizacije čiji su deo, kao i zašto i kako one mogu uticati na obavljanje njihovih dužnosti. Strategija bezbednosti će biti mnogo delotvornija ako je zaposleni razumeju i podržavaju. Isto tako, važno je stvoriti kulturu otvorenosti: zaposleni treba da budu podsticani da izveštavaju o akcijama koje im se učine sumnjivim, umesto da prikrivaju eventualna saznanja iz straha da će biti suočeni sa disciplinskim merama. Ako se zaposleni osećaju ugroženo, ili ako se osete posramljeno i glupo, gotovo je sigurno da će biti manje kooperativni.

Kao i kod svakog drugog aspekta bezbednosti, i ovde nije dovoljno samo napisati pravila, obezbediti potpis zaposlenih i potom ne činiti dalje ništa. Efikasna politika bezbednosti treba da se razvija uporedo sa promenama pejsaža pretnji na internetu i treba da bude stalno nadgledana. Takođe je važno imati na umu da ljudi uče na različite načine: neki najbolje uče verbalnim putem, neki pisanim a neki drugi pak, onda kada imaju pred sobom ilustrovani materijal. Shodno tome, najbolje je koristiti niz strategija kako bi poruke koje želite da uputite zaposlenima bile snažnije. Ovo podrazumeva prezentacije kao deo početnog programa za zaposlene, kampanje sa plakatima, kvizove na temu svesti o bezbednosti, animirane filmove, „savete dana“ koji se pokazuju prilikom logovanja zaposlenih na korporacijsku mrežu, i još mnogo toga.

Isto tako je važno da se informisanje o bezbednosti i obučavanje ne posmatraju kao IT pitanje. Umesto toga, bolje je ovo sagledavati u kontekstu ljudskih resursa što podrazumeva zdravlje i bezbednost na poslu, odgovarajuće ponašanje zaposlenih itd. Kako bi bio delotvoran, program edukacije u oblasti bezbednosti moraju platiti HR (ljudski resursi), sektor obuke i sve druge zainteresovane strane.

Van radnog mesta

Posao i kuća se u izvesnom smislu prepliću. Ljudi koji koriste kompjutere za potrebe posla na svojim radnim mestima, isto tako ih koriste i kod svojih kuća za kupovinu, vođenje svog bankovnog računa ili druženje. Korišćenje kompjutera u neposlovne svrhe može se integrisati u program za podizanje svesti o bezbednosti zaposlenih: pokazivanje zaposlenima kako da zaštite sopstvene računare, obezbede vlastite rutere itd., pomoglo bi porastu interesa i podrške za program obuke u oblasti bezbednosti uopšteno. Ovo takođe obezbeđuje da zaposleni, koji sve više obavljaju posao od kuće, ne izlažu poslovne resurse nepotrebnim rizicima.

Naravno, postoje i ljudi koji ne koriste kompjuter na poslu (ili koji su u penziji), ali ga koriste kod kuće. Zbog toga je neophodno da ova edukacija o bezbednosti bude sprovođena i van radnog mesta i u svakodnevnom životu.

Postoji već čitav niz javnih resursa koji omogućuju informisanje o bezbednosti na internetu. Neki od njih su i Get Safe Online, identitytheft.org.uk i Bank Safe Online. Pored toga, prodavci antivirusnih programa obično daju i vodič za bezbedan boravak na internetu, kao što je naš „Vodič za zaustavljanje sajber-kriminala“. Oni nude i zvučne smernice kojima se smanjuje rizik da postanete žrtva sajber-kriminala. Međutim, svi oni polaze od pretpostavke da je čitalac već na internetu.

Mislim da je isto tako važno da se pronađu načini kako bi se prenele iste poruke i izvan interneta, uključujući TV reklame slične onim nekadašnjim koje su podsticale korišćenje sigurnosnog pojasa u kolima i odvraćale od vožnje pod dejstvom alkohola. S obzirom na uspeh takvih reklama u prošlosti, mislim da slične kampanje koje se bave sajber-kriminalom i sajber-bezbednošću mogu biti takođe delotvorne. Na primer, 2005. godine u Velikoj Britaniji, Fond „One Group“ je pokrenuo niz TV reklama čiji je autor poznati impresionista Alistair McGowan. Reklame su bile napravljene da bi promovisale kompanijski servis za pomoć kod krađe ID podataka, ali istovremeno su za cilj imale isticanje važnosti uništavanja ličnih podataka pre nego budu odbačeni.

Budućnost: perspektive

Sajber-kriminal je ovde da bi ostao: on je proizvod ere interneta i deo kriminalnog pejsaža uopšte. Zato sam uveren da ne bi bila realna čak ni pomisao o „dobijenom ratu“. Umesto toga, treba misliti o pronalaženju načina za smanjenje rizika.

Zakonodavstvo i inicijative za sprovođenje zakona imaju za cilj da se poveća rizik kojem su izloženi sajber-kriminalci. Svrha tehnologije i edukacije je da se rizik za društvo svede na minimum. S obzirom da je meta mnogih od današnjih sajber-napada upravo ljudska pogrešivost, od ključnog je značaja pronaći načine kojima bi se „zakrpile“ ovakve ljudske ranjivosti isto onako kako nastojimo da osiguramo kompjuterske uređaje. Edukacija o bezbednosti je slična poslovima u domaćinstvu - ne može se posmatrati kao jednokratni zadatak, već se mora sprovoditi kontinuirano kako bi se obezbedili dobri rezultati i čisto, bezbedno okruženje.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako da prepoznate da vam je računar zaražen malverom

Kako da prepoznate da vam je računar zaražen malverom

Uključujete računar i čekate. Čekate. I dalje čekate. Najzad se pojavljuje desktop ali stvari ne izgledaju mnogo bolje. Internet je spor, program... Dalje

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

I to se dešava... Vaš nalog je napadnut. Vidite zahtev za promenom lozinke, email ili SMS obaveštenje o pokušaju neovlašćenog prijavljivanja na ... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Grupe koje se bave sajber kriminalom organizovane su na sličan način kao i bilo koja IT kompanija. Ključne uloge u tim grupama igraju programeri ko... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Rusko sajber podzemlje, kome pripadaju sajber kriminalci iz Ruske Federacije i nekih država bivšeg SSSR-a, pre svih, iz Ukrajine i baltičkih zemalj... Dalje

Kako da se zaštitite od fišinga

Kako da se zaštitite od fišinga

Ako malo razmislite, mala je razlika između pecanja na internetu poznatog pod nazivom fišing, i stvarnog pecanja. Jedna od glavnih razlika je to št... Dalje