Are you part of the (cyber)problem? Or part of the (cyber)solution?
To znane powiedzenie dotyczy pewnej postawy, którą można zastosować wszędzie. Pytanie jest właśnie takie: czy jesteśmy częścią problemu, czy raczej to, co robimy zmierza do jego rozwiązania?
A problem jest następujący: około 1,5 miliarda danych osobowych zostało przejętych przez cyberprzestępców, w tym hasła, loginy, dane biometryczne.[i]
Jeśli ktoś uważa, że ten problem akurat go nie dotyczy powinien porozmawiać z jednym z użytkowników poczty serwisu Yahoo.com, któremu wydawało się dokładnie tak samo. Do czasu gdy okazało się, że jego dane osobowe od dwóch lat są do kupienia na DarkWeb i być może zostały użyte do operacji przestępczych, terrorystycznych, prania brudnych pieniędzy, czy innych działań, z którymi pewnie nie chciałby mieć do czynienia.
Można zapytać, czy jednak rzeczywiście jest to problem. Przecież wszyscy używamy haseł – większość serwisów oferujących jakiekolwiek usługi w sieci stosują do logowania nazwy użytkownika i hasła. „Bo to powszechnie przyjęty standard” No i co z tego ? Standard jest słaby. Czy to nie ma znaczenia?
W niedawnej swojej wypowiedzi dla CNBC były Sekretarz Departamentu Bezpieczeństwa Narodowego USA Michael Chertoff wprost opisał kondycję haseł w całym systemie bezpieczeństwa: “Dogłębna analiza największych wycieków danych pozwala na określenie wspólnego ich elementu: w każdym <głośnym> przypadku ataku i wycieku danych, wektorem ataku było hasło. Powód jest prosty: hasło jest na dzień dzisiejszy najsłabszym ogniwem cyberbezpieczeństwa”.[ii]
Pracownicy amerykańskiego Office of Personnel Management, Partia Demokratyczna, użytkownicy i klienci: DropBox, LinkedIn, MySpace, JP Morgan Chase, eBay, AshleyMadison, Yahoo…. to tylko niewielka część ofiar.[iii]
Niestety, na niewiele się zdają apele o regularną zmianę haseł lub tworzenie ich bardziej zróżnicowanych. Systemy wymuszające skomplikowane i zmienne hasła są z kolei zmorą użytkowników, którzy muszą obecnie pamiętać kilka różnych ich kombinacji. Zapisywanie ich w arkuszu kalkulacyjnym na komputerze to również nie jest dobre rozwiązanie – to jawne przekazanie cyberprzestępcom dostępu do wszystkich naszych kont i serwisów. Tym bardziej, że te wszystkie działania i tak nie dają gwarancji bezpieczeństwa użytkownika. Każde takie hasło jest bowiem ze swojej natury słabe, podatne na przejęcie poprzez metody phisingowe czy ataki typu “man in the middle”. Co więcej, budowanie najbardziej złożonych systemów zabezpieczenia danych i serwisów wyposażonych w najnowsze antywirusy, firewalle, systemy monitorowania i ostrzegania przed atakami na niewiele się zdadzą, jeśli dostęp do nich będzie „zabezpieczony” przy pomocy nazwy użytkownika i hasła.
Oczywiście mamy ostatnio do czynienia z istną ofensywą rozwiązań, które mają wyeliminować hasła i są promowane jako lek na całe zło. Mowa oczywiście o technologiach biometrycznych. Dość osobliwym pomysłem w tym kontekście wydaje się być identyfikacja za pomocą „selfie”. Czas pewnie zweryfikuje i to rozwiązanie. Na temat technologii biometrycznych, związanych z nimi zagrożeniach i wyzwaniach pisałem już wcześniej. W nawiązaniu do problemu haseł należy jednak przypomnieć, że 5.6 miliona pracowników federalnych w USA, których dane biometryczne zostały skradzione[iv] również sądziło, że biometryka jest bezpieczniejsza niż tradycyjne hasła.. do pierwszego wycieku tych danych. W takim przypadku niestety hasła wydają się być lepszym rozwiązaniem. Hasło można zmienić. Odcisku palca lub siatkówki oka – już nie. Największymi wyzwaniami stojącymi przed rozwiązaniami biometrycznymi są: zabezpieczenie danych oraz fakt, że podczas procesu logowania są przekazywane informacje mogące zidentyfikować użytkownika.
Jak stwierdził bowiem przytoczony wcześniej Michael Chertoff: „Kiedy technologia taka jak biometryka jest wykorzystywana, powinna być zaprojektowana, tak by chronić prywatność, a nie wystawiać ją na niebezpieczeństwo.”[v]
Na szczęście istnieje rozwiązanie tego całego złożonego problemu jakim są słabe hasła i ich przejmowanie przez cyberprzestępców. Cyberus Labs opracował bezhasłowy system logowania zapewniający pełne bezpieczeństwo zarówno w procesie logowania jak i potwierdzania wszelkich operacji w sieci. CYBERUS KEY eliminuje konieczność pamiętania i używania nazwy użytkownika i hasła. CYBERUS KEY to system który eliminuje zagrożenia phishingowe, oraz atakami typu „man in the middle”, a także identyfikuje obie strony przeprowadzanej operacji. System jest dostępny zarówno w wersji „cloud” jak i „on premise”. Działa na systemach operacyjnych Android oraz iOS. Logowanie trwa tylko 2 sekundy i jest możliwe w każdych warunkach. CYBERUS KEY łączy wygodę i bezpieczeństwo użytkownika.
A czy systemy, których Państwo używacie są częścią cyber-problemu czy cyber-rozwiązania?
[i] http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
[ii] http://www.cnbc.com/2016/10/06/passwords-are-the-weakest-link-in-cybersecurity-today-michael-chertoff-commentary.html
[iii] http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
[iv] Sanger, David E. (2015-09-23). “Hackers Took Fingerprints of 5.6 Million U.S. Workers, Government Says”. The New York Times. ISSN 0362-4331. Retrieved 2015-09-23.
[v] http://www.cnbc.com/2016/10/06/passwords-are-the-weakest-link-in-cybersecurity-today-michael-chertoff-commentary.html
Autorem jest Marek Ostafil – COO Cyberus Labs.