Nieroztropność podczas korzystania z sieci to duży problem [video]
Gdy znikną nam pieniądze z konta, często winę zrzucamy na bank. Niestety, zwykle to efekt ignorowania niebezpieczeństw sieciowych technologii.
Korzystać z Internetu trzeba z rozwagą. Tak jak siadając za kółkiem, bierzemy odpowiedzialność za spowodowane przez nas wypadki drogowe, tak i siadając przed ekranem komputera, powinniśmy być świadomi zagrożeń, jakie niesie ze sobą dostęp do internetu. Niestety, truizmy mają to do siebie, że często trzeba je powtarzać i to najlepiej odpowiednio obrazując. Nawet osoby doświadczone potrafią o tym zapomnieć. Są bardzo pewne, że nic złego ich nie doświadczy. Tak jak pływak, który uważa, że przepłynie każdą odległość, a zapomina, że utonąć można nawet na 10-metrowym dystansie, gdy złapie go skurcz. Ignorancję i chęć obarczania winą innych potwierdzają dane Kaspersky Lab, a Fortinet FortiGUARD Lab przygotował ciekawe wideo obrazujące działanie wyspecjalizowanego robaka AndroRAT.
Jak mały procent internautów zna się na technologiach internetowych, przynajmniej w podstawowym zakresie (tak jak każdy kierowca powinien znać podstawy obsługi samochodu), pokazują wyniki akcji organizowanej przez CERT Polska. Powołany przez tę instytucję program edukowania internautów i platforma wymiany treści NISHA ma na celu przekazanie wiedzy na temat zagrożeń i tego jak z nimi sobie radzić. Co miesiąc w biuletynie Ouch! wydawanym w postaci elektronicznej przez CERT Polska znajdziemy poradnikowe informacje o podstawach zabezpieczania sieci, tworzeniu bezpiecznych haseł czy wiedzowe teksty o technologiach zabezpieczeń komunikacji sieciowej. Wielu czytelnikom tego tekstu te informacje wydadzą się trywialną wiedzą, ale CERT zachęca, by przekazywać ją dalej, bo osób niezorientowanych jest znacznie więcej, niż myślimy.
Nie mierzmy innych swoją miarą. Nawet jeśli 100 naszych znajomych to osoby świetnie zorientowane w kwestiach cyberbezpieczeństwa, to pozostają miliony osób, które tej wiedzy nie mają.
Przeprowadzone pod koniec ubiegłego roku w ramach miesiąca bezpieczeństwa wśród 12 tysięcy internautów, którzy korzystali z dostępu do Ouch!, quizy pokazały, że świadomość zagrożeń, jakie niesie internet, jest zatrważająco niska. O ile 84% respondentów wie, że przejmując pod swoją opiekę używany komputer należy wykasować z niego dane, a 72,5% kojarzy, czym jest ciasteczko w przeglądarce, to w ogólnym rozrachunku ponad 75% osób nie zaliczyło całości quizu Cyberbezpiecznik (próg zdawalności na dość niskim poziomie 65% poprawnych odpowiedzi).
Pytania w quizie sprawdzały umiejętność postępowania w przypadku zawirusowania komputera, znajomości technologii szyfrowania sieci Wi-Fi, technik ataku, bezpieczeństwa w podróży, zasad uwierzytelniania (w tym dwustopniowego), tworzenia kopii bezpieczeństwa, metadanych, zabezpieczania smartfona i uprawnień aplikacji mobilnych.
Zakres wiedzy wydaje się duży, ale wystarczyła lektura Ouch! (każdy numer to tylko kilka stron), by znaleźć odpowiedź na te pytania. Czas rozwiązywania quizu nie był normowany, a odpowiedzi można było udzielać kilka razy. A mimo to na pytania dotyczące tworzenia kopii zapasowych, walki z komputerowym szkodnikiem i wyborem odpowiedniego zabezpieczenia sieci poprawnie odpowiedziało tylko około 3% do 4,5% badanych.
Wielu internautów ignoruje oczywiste sygnały o grożącym niebezpieczeństwie i traktuje wiedzę na temat cyberprzestępczości jak coś zbędnego
Wniosek. Przeciętny internauta często ignoruje wiedzę mu przekazywaną, uważa, że nie musi się doszkalać. To wśród takich osób najczęściej znajdziemy ofiary ataków cyberwłamywaczy. Bardzo popularną dziedziną jest bankowość elektroniczna, gdyż daje łatwy dostęp do pieniędzy ofiar. A poszkodowani to w banku widzą źródło nieszczęścia. Co gorsza, są przekonani, że bank zwróci im pieniądze, które utracili w wyniku ich własnych błędów i zaniedbań.
Powaga tego problemu niknie w świetle licznych problemów z wewnętrznym bezpieczeństwem, jakie mają banki internetowe. Jednak nawet najlepiej zabezpieczony bank nie ma wpływu na typ aplikacji instalowanych przez klientów na komputerach i smartfonach. Bank może informować, przestrzegać i nic więcej. Technologie mobilne są coraz powszechniejsze i to właśnie ten kanał komunikacji jest obecnie wyjątkowo niebezpieczny. I szczególnie trudny do kontrolowania.
Według danych Kaspersky Lab 45% osób korzystających z bankowości on-line uważa, że bank zwróci skradzione pieniądze, a 57% sądzi, że wszelkie środki zaradcze podejmuje bank
Banki z kolei dostrzegają korzyści z bankowości mobilnej i reklamują swoje usługi i aplikacje na smartfony i tablety. Reklamy mają typowy charakter, są tak zwanymi niedopowiedzeniami, które pomijają aspekty negatywne. Dlatego przeciętny klient banku jest zachwycony korzyściami z mobilnej bankowości, a zarazem nie zdaje sobie sprawy jak łatwo paść ofiarą cyberprzestępców.
Jak? Wystarczy zainstalować na smartfonie aplikację, która daje wyjątkowo duże uprawnienia, znacznie wyższe niż te, które są potrzebne do jej działania. Kod robaka dołączany jest do aplikacji, którą pobieramy z pozornie nieszkodliwej lokalizacji (dzięki lukom w systemie).
Najczęściej przywoływaną w tym przypadku platformą, z racji jej ogromnej popularności, jest Android. Według danych Fortinetu obecnie znanych jest ponad 400 000 robaków z ponad 300 rodzin szkodników, które atakują smartfony z Androidem. Te najbardziej wysublimowane dają praktycznie pełną kontrolę nad smartfonem ofiary. Skutkiem może być nie tylko ujemne saldo konta w banku (wynik działania trojanów takich jak Zitmo – Zeus in the mobile), ale także ogromne rachunki za dokonane rzekomo przez nas zakupy i połączenia telefoniczne.
Na jak wiele może sobie pozwolić szkodnik mobilny, pokazuje powyższe wideo. Przykładowy AndroRAT, którego protoplastą jest znany wirus DroidKungFu, przydziela sobie uprawnienia administratora urządzenia, a co za tym idzie pełną kontrolę nad smartfonem. Włamywacz, dzięki sporej wiedzy, jest w stanie wykorzystać urządzenie mobilne w sposób, który wielu jego posiadaczom wydałby się niemożliwy do zrealizowania.
Pomagając dobrze korzystać z komputera czy smartfonu pomagamy nie tylko innym, ale również sobie.
Wniosek jest prosty. Urządzenia mobilne są coraz potężniejsze i dają nam coraz większą władzę nad różnymi dziedzinami naszego życia, ale jednocześnie utrata tej władzy będzie opłakana w skutkach. Nie negujmy przydatności nowych technologii, a korzystajmy z nich roztropnie, a naszą wiedzę przekazujmy innym.
Nie warto chełpić się większą niż u innych wiedzą, bo to oni mogą być dla nas zagrożeniem. Podobnie jak na drodze szkodzą nie tylko piraci mknący 200 km/h, ale także kiepscy kierowcy jadący zbyt wolno, którzy nie potrafią odpowiednio szybko zareagować na zmieniającą się sytuację na jezdni.
Źródło: CERT, Kaspersky Lab, Fortinet, fot. Karol Żebruń, grafika: flickr/marsmet548 (trojan), SwedBank AB(smartfon)
Komentarze
9Drugi problem jest taki, że większość dostępnych antywirusów to atrapy albo nie robiące nic albo powielające mechanizmy weryfikacji stosowane przez twórcę systemu/sklepu z aplikacjami. Normalnie antywirus nie ma nawet dostępu do plików systemowych więc co on może tak naprawdę zrobić?
Po trzecie, twierdzenie, że banki nie mają wpływu na to jakich aplikacji używa klient do obsługi banku w przypadku kiedy niemal każdy bank ma własną aplikację jest trochę dziwne. Jeśli np. ja korzystając z dedykowanej mojemu bankowi aplikacji zostanę okradziony to kto za to powinien odpowiadać , ja czy bank?
No i ostatnia sprawa czyli uprawnienia aplikacji. W przypadku uprawnień do np. wykonywania/wysyłania płatnych połączeń/smsów w aplikacji "latarka" sprawa jest oczywista ale przestaje być oczywista w przypadku większych programów, mających wiele funkcji. Podejrzewam że sami programiści ( a w każdym razie duża część) nie do końca łapią kwestie uprawnień a co dopiero zwykły użytkownik nawet jeśli posiada dużą ogólną wiedzę na temat bezpieczeństwa w IT. Weryfikacją uprawnień w aplikacjach powinien zająć się producent systemu przed dopuszczeniem ich do swojego sklepu bo użytkownik końcowy ma na nie nikły wpływ a w większości przypadków nie ma żadnego.
Z systemem jest jak z państwem. Jeśli państwo nie utrzymuje armii żeby bronić się przed ingerencją z zewnątrz to co ja jako obywatel mogę zrobić? Kupić kałacha? Zabarykadować drzwi? Tylko co to da jeśli jeden celny, odpowiednio duży pocisk zmiecie nie tylko moje drzwi ale całą chate razem ze mną?
Nie od dziś wiadomo, że prewencja (ogranicznie źródeł możliwych ataków) w postaci Zdrowego Rozumu v.1.0 wystarczy żeby ustrzec się przed 99% wszystkich zagrożeń. Stare powiedzenie: głupich nie sieją...
Jak sie pobiera nie wiadomo co, i jak sie instaluje apk z masą uprawnień, to tak będzie.