Ľuboš Moščovič o bezpečnosti

Tento týždeň som narazil na jeden veľmi pekný článok Gone Phishing: Don’t fall for the bait, ktorý napísal môj kolega Tim Heagarty a uverejnil ho na stránke servera securityintelligence.com.
Veľmi jednoducho a s príjemnou nadsádzkou opisuje čo je to phishing. Takéto ľahko stráviteľné články sú podľa mňa najväčším prínosom pre zvýšenie bezpečnostného povedomia, preto som sa rozhodol, s ich dovolením, tento článok pre vás preložiť. Preklad obsahuje pôvodné linky. Prajem príjemné čítanie.

Keďže máme stále ešte apríl - mesiac bláznov, vcelku ma "potešil" aj nedávny blog Troya Hunta ohľadom blbostí (aj blbosti) vo svete bezpečnosti. Osobne považujem za potrebné aj prospešné čas od času odľahčiť aj takú vážnu tému akou je bezpečnosť. Blog síce začína ozajstným vtipom, pokračuje však skutočnými prípadmi kde jednému až rozum stojí nad tým ako škaredo sa dajú, aj na pohľad triviálne, veci spackať.

Phishingových útokov sa deje neúrekom. Nie je snáď dňa kedy by som o nejakom nevidel nový článok, novú informáciu. Prečo je však táto útočná technika taká obľúbená? Jednoducho pretože funguje. A funguje veľmi dobre - do značnej miery totiž neútočí na zraniteľnosti systémov ale cieli priamo na nás ľudí - používateľov. Zneužíva známe a ľuďom prirodzené vlastnosti ako sú napr. naivita, zvedavosť, rešpekt voči autoritám, dobrosrdečnosť, ochota pomôcť, túžba vyhrať, zbohatnúť, či kombináciu viacerých.

Napriek koncovke kde si osobne myslím, že chlapci iba objavili Ameriku a prilepili za to TM sa mi počiatočná úvaha z tohto krátkeho blogu veľmi páči. Ono ani medicína predsa nehádže flintu do žita len pre to, že smrť nakoniec aj tak vyhrá a hľadá spôsoby ako život predĺžiť a skvalitniť. Takže aj ľudia, ktorí pričuchnú k informačnej (či inej) bezpečnosti, by sa mali zamyslieť nad tým čo chcú a čo môžu reálne dosiahnuť. Pretože hoc absolútna bezpečnosť to nie je a nebude, vzdať to by bola katastrofa.

Na prvý pohľad to znie ako skvelý nápad. Priložím prst na čítačku odtlačkov prstov zabudovanú v telefóne a len v prípade zhody, s ním môžem aj pracovať. Alternatívne sa pozriem na telefón, resp. telefón na mňa a len ak ma rozpozná ako oprávnenú osobu, pustí ma dnu. Ibaže prekliatie zabezpečenia, že pohodlnosť používania a úroveň bezpečnosti sú do značnej miery v protiklade, funguje aj tu pri biometrii. Ešte skôr než Apple vydal iPhone 5S - prvý naozaj masovo rozšírený telefón so snímačom odtlačkov prstov, rozprúdila sa debata ohľadom toho, či je to dobré, alebo zlé.

Svoj prvý poriadny blog na tému phishing som si predstavoval dosť inak, než riadky ktoré budete mať možnosť si prečítať. Ibaže to, čo mi dnes pristálo v inboxe ma usadilo do stoličky.

Na sklonku roka 2015, ako jeden z prvých článkov tohto blogu, som uverejnil môj výber troch predpovedí ohľadom bezpečnosti pre rok 2016. Robia to všetci. Nie však všetci sa k svojim predpovediam po roku aj vrátia. V tomto smere budem rád jednou z mála svetlých výnimiek.

Na tomto mieste som pôvodne uvažoval zverejniť obsiahlejší blog na tému cenzúry internetu na Slovensku. Ibaže nerád nosím drevo do lesa, či znovu vynachádzam koleso, a tak vás iba presmerujem na stránku, ktorá to už urobila za mňa: http://www.internetbezcenzury.sk

Za mňa však ešte dodávam aspoň toto: 

Dnes vám rozpoviem príbeh o tom ako som zaútočil cez sociálne inžinierstvo na môjho milého otca! Samozrejme, všetko čo som urobil by ho nemalo vystaviť akémukoľvek problému. Otvorte si pivko, či pripravte kávu a vychutnajte si zvyšok príbehu. Dúfam, že sa na ňom pobavíte, poučíte a že si to užijete presne tak ako ja. 

Keď sa povie "bezpečný smartphone", väčšinou nasleduje sarkastický úškrn. A, neklamme si, v drvivej väčšine prípadov je to naozaj tak. Byť prvý na trhu, mať čo najviac funkcií, čo najjednoduchšie ovládanie - to sú primárne veci, ktoré zaujímajú výrobcov a bezpečnosť, napriek všakovakým odvážnym vyhláseniam, je až na druhom, či ešte vzdialenejšom, mieste.