Hakiranje, krađe identiteta, upadi u Facebook i Instagram profile tamna su strana povezanog svijeta u kojem danas živimo. No mnogi korisnici online servisa i dalje nisu svjesni razine opasnosti. O tome razgovaramo s Etayom Maorom, IBM-ovim globalnim stručnjakom i savjetnikom za sigurnost. Maor je kao učenik hakirao školski sustav i promijenio svoje ocjene, no danas savjetuje kompanije diljem svijeta kako se zaštititi od upada hakera i prijetnji cyber kriminalaca. Na IBM-ovoj regionalnoj konferenciji Think iznenadio je publiku demonstriravši koliko je lako navesti njihove mobitele da se spoje na lažnu wireless mrežu i tako ih ostaviti izložene manipuliranju i potencijalnoj krađi podataka.
Možda biste bili mađioničar da se ne bavite hakerima?
– Zapravo i jesam naučio poneku tajnu mađioničarstva. Htio sam pokazati razne trikove kako možete zavarati ljude. Ponekad radim trikove tijekom svojih prezentacija da pokažem koliko je lako kontrolirati kako će publika razmišljati.
A ljude je lako prevariti?
– Točno. Nekada se čini da ljudima dajete šansu, ali zapravo nemaju izgleda. Evo, zamislite broj, mora biti između 11 i 50, obje brojke moraju biti neparne i da nije isti broj. 13, 11 ili 19, tako nešto je dobro. Imate broj?
Da.
– 37?
Ne.
– 35?
Ne.
– Otišli ste na 39?!
Da.
– Ha-ha, to je rijetko, obično ljudi biraju 37. I onda mi kažu: “Pa kako si znao?” Ali zapravo nisam im ni ostavio puno izbora jer je samo nekoliko brojeva točno, a obično preskaču niže mogućnosti jer sam ih ja upravo spomenuo kao primjer.
Boje li vas se prijatelji i kolege, imate puno čarobnjačkih trikova, pogotovo hakerskih?
– Ne, ne, zapravo baš volimo razgovarati o ovim temama i dijeliti ideje što sve može utjecati na ljude.
Demonstrirali ste da su ljudi stvarno jako loši s lozinkama. Zašto je to tako? Zbog lijenosti ili nismo svjesni opasnosti?
- Mislim da je kombinacija, prvo ljudska narav jest lijena. Obično se zbog toga ne ozlijedimo pa nas nije puno briga zbog nemara, ali je i mana tehnologije. Forsira nas se da biramo vrlo sofisticirane lozinke, a to isto baš ne funkcionira dobro. Mislim da je rješenje, dijelom na strani čovjeka, a dijelom na strani tehnologije. Treba koristiti softver kao Keychain koji će generirati lozinke. Nije 100-postotno sigurno, neki su bili hakirani, ali općenito takvi će softveri kreirati sigurnije lozinke, nego čovjek. Ali, nadam se da ćemo uskoro sasvim napustiti sustav lozinki, vrijeme je da tehnologija donese nove ideje na tom polju. Već danas ima primjera - kao ponašanje korisnika - ovisno kako pomičete miš, računalo može znati jeste li to vi, ili netko drugi za tipkovnicom. Ili ako pričamo o pametnim uređajima i kako mogu biti iskorištene za špijuniranje, ali mogu biti iskorištene i za dobro špijuniranje. Recimo, sustav zna da sam na trčanju pa kako bih istovremeno mogao biti i u stanu za računalom.
Ali, dok još uvijek koristimo lozinke, koja su vaša zlatna pravila za kreiranje?
- Ono što se obično danas smatra jakim lozinkama, one to nužno i nisu. Možda su lozinke s kombinacijama brojki i velikim i malih slova komplicirane za čovjeka, ali su laka meta za softver. Dulje fraze poput uzivamuovomrazgovoru mnogo su sigurnije, nego !3aB. Trebat će puno više pokušaja da računalo dođe do takvog rezultata. Automatski softver za lozinke je također dobra opcija. Ili, možete sami osmisliti svoj algoritam, ali ni to ne mora značiti 100-postotnu zaštitu. Zato i ističem da se treba sasvim izbjeći sustav zaštite lozinkama jer su i dalje teške za ljude, a lagane za strojeve.
Ljude je lako zavarati i malware mailovima, kao da ima sve više takvih prijetnji?
- Malware je i dalje velika stvar iz jednostavnog razloga - zato što i dalje funkcionira. Da, ljudi ne klikaju po tim linkovima i attachmentima onda bi kriminalci smislili nešto drugo. Prije gotovo 10 godina sam dao intervju i tada sam rekao da budućnost pripada malwareu jer će phishing nestati, ljudi će prestati padati na te fore. Ispalo je da sam jako pogriješio, evo nas u 2018. i ljudi i dalje klikaju na phishing mailove. Ljudi misle da se radi o hitnosti maila ili je posrijedi novac. Na žalost, ljudi nisu svjesni koliku si štetu mogu nanijeti. Danas je phishing napad sofisticiran i precizno targetiran, kompromitiraju se poslovni mailovi...
Prije smo imali nigerijskog princa u lančanim mailovima i svi smo znali da je prevara, danas se napadi bolje maskiraju?
- Danas je jako lako personalizirati ciljani napad jer ljudi olako dijele svoje podatke po društvenim mrežama i internetu. Možda ne kao nigerijski princ, ali recimo dobijete poruku "imate paket, kliknite ovdje za ponovnu dostavu jer vas nije bilo u stanu" i ljudi kliknu na takve stvari bez puno razmišljanja.
U Hrvatskoj baš i nismo sretni s ekspresnim dostavama paketa pa možda takva prevara ne bi prošla...
- Nema to veze. Ljudi kliknu čak i na zvučnu poruku, a to bi im tek trebalo izgledati sumnjivo. Možete vi reći u Hrvatskoj mi to nemamo, ali nije li velika šansa da će vaša majka, ili tetka ili netko tko nije stručnjak kibernetičke sigurnosti kliknuti na mail koji tvrdi da stiže iz ministarstva financija i da vas čeka porezna prijava.
Spomenuli ste više puta da je bitno učiti kako hakeri i kriminalci razmišljaju. Što su po vama njihove motivacije za napade?
- Prvo da kažem da su mnogi hakeri na dobroj strani, a ne kriminalci. Imate i aktiviste, Anonymous, državne aktivnosti... Ono što se na kraju ispostavi, da je novac u pozadini čak 85 posto kriminalnih napada. Prije 10 godina banke su bile najviše targetirane. No, danas su svi povezani i sve se može monetizirati. Napadaju se i zdravstvene ustanove, osiguranja, sve... A onda su skužili da ne moraju napadati samo korporacije i institucije, nego i građane u njihovim domovima i tako smo dobili ransomware. Nije te kriminalce briga za vaše podatke, nego samo žele izvući novac. Velike kompanije će pretrpjeti takve napade, ali manje tvrtke i građani mogu jako stradati.
Ostaje li nam tehnologija ipak dužna jer nas ostavlja preranjivima?
- Slažem se, pogotovo kad pričamo o povezanim uređajima. To je sada in, svi žele biti prvi. Gadgeti za sustave internet stvari su jako ranjivi i kao da izazivaju napadače. Kao da ništa nismo naučili iz prošlosti. Kamere ostaju uključene cijeli dan, a one su zombie računala nad kojima je lako preuzeti kontrolu.
Istaknuli ste da je danas lako postati haker, koliko ih ima u svijetu?
- Ne znam koliko hakera ima, dobrih ili loših, ali nadam se da ih je puno. Nadam se da puno klinaca razmišlja o tome kako stvari funkcioniraju. Mislim da ćemo vidjeti puno takvih aktivnosti jer oni će bolje poznavati prijetnje. Procjenjuje se da će do 2020. godine nedostajati 2 milijuna radnika u cyber sigurnosti. Ali, da se brinete o cyber sigurnosti nije nužno da budete kibernetički stručnjak ili da ste diplomirali informatiku, treba učiti o sigurnosti i na pravu, marketingu, komunikacijama, razvoju... Nema odjela koji se ne dotiče sigurnosti.
Vaša demonstracija gdje ste na predavanju lako upali na desetke mobitela posjetitelja bila je vrlo efektna, zar smo tako lako izloženi upadima nepoznatih osoba?
Da, to je problem, uvijek ima mogućnost problema. Kada god imate sustave koji su otvoreni napadač ima priliku.
Napadači ne moraju slijediti zakone ni pravila kao dobri dečki. A ako ja želim neku zakrpu uploadati moram prolaziti kroz seriju protokola. To je i jedan od razloga zašto su cyber kriminalci brzi jer ne operiraju unutar pravila. U tome bi nam moglo pomoći kognitivno računalstvo i umjetna inteligencija. Na tome radi IBM, imamo sustav koji je spojen s našom platformom Watson i Watson savjetuje osobe zadužene za sigurnost što da čine. Ja čitam doista puno o sigurnosti, ali ne čitam baš svih 60.000 blogova koji pišu o tim temama, ali AI bi mogla. Govorimo o predviđanju napada, a AI bi mogla uočiti uzorke sumnjivih ponašanja i predvidjeti napad i prije nego uđe u završnu fazu.
Uđete li nekad u nevolje zbog svojih demonstracija mogućnosti hakiranja?
- Ne. Ne napravim ništa nelegalno pa nemam ni problema. Također, jasno upozorim sudionike predavanja da ne pokušavaju tako nešto jer se lako može dogoditi neka greška, kliknete nešto krivo i ispadne da skenirate mreže koje ne biste smjeli.
Gdje korisnici griješe kod korištenja društvenih mreža da se izlože napadima?
Nisam jedan od onih koji kaže da je najbolje da uopće ne koristiti društvene mreže, to ne bi bilo rješenje, ne možete to očekivati. Ali, trebate biti svjesni da se te informacije koje javno dijelite mogu iskoristiti i za potencijalni napad. Ako netko zna ime vašeg psa, ili zna da ste bili na nekom partyju ili kaže da je išao u istu srednju školu kao i vi, nemojte mu odmah dati povjerenje samo zato što zna neke informacije koje ste podijelili na društvenim mrežama još prije 5 godina. Ako više informacija dijelite, trebate biti sumnjičaviji prema ljudima koji vam se javljaju online, puno je informacija koje se o vama mogu lako pokupiti s interneta.
Znači ne biste nikad objavili sliku s koncerta?
- Ne, ne, objavio bih jasno, ali ne bih automatski nekome vjerovao samo zato što kaže da je bio na istom koncertu i pravi se kao da me poznaje. Budite oprezni s ponudama koje su vam stigle preko društvenih mreža. I nije to samo do Facebooka, ne znači da nema kriminalaca koji operiraju preko LinkedIna ili bilo koje druge društvene mreže. Nikad ne bih na Twitteru napisao da idem na dulji odmor i ostavljam kuću samu. Klinci nisu ni svjesni koliko osobnih stvari otkriju u chatovima. Morate razumjeti tehnologiju da biste bolje shvatili razinu privatnosti. Moramo naučiti biti oprezniji.
Predviđate li da će u budućnosti doći i do hakiranja ljudi?
Definitivno. Pa to se već događa, već danas imate ljude s pacemakerima koji se povezuju na WiFI. Tehnologiju ugrađujemo u ljudsko tijelo.
Niste baš optimistični
- Ne pokušavam biti pesimističan niti zvučati depresivno. Ali, na žalost neke se stvari ponavljaju. Svaki put kad se uvodi nova tehnologija netko to pokušava eksploatirati i upasti u sustav. I svaki put se misli da imamo odličnu zaštitu i da nitko ne može probiti recimo provjeru u dva koraka. Sada ljudi misle da je umjetna inteligencija rješenje za sve, ali AI sustavi se ne mogu smatrati kao "srebrni metak" za obranu od cyber napada. Čak i kriptirani sustavi mogu se probiti. Treba biti oprezan i svjestan opasnosti. Rješenja koja se baziraju na AI tehnologijama nude dodatan način zaštite da se organizacije obrane od napada koji sve više evoluiraju i postaju sve sofisticiraniji.
Koje vi sigurnosne mjere koristite osobno, gasite li mobitel nekada, tajite li lokaciju?
Pokušavam slijediti dio savjeta kojih zagovaram. Imam VPN na svom mobitelu. Koristim enkripciju za neke podatke, ne spajam se na nesigurnu wireless mrežu bez VPN pristupa. Također, pazim da su mi svi programi i zakrpe sustava osvježene. I pazim gdje dijelim svoje osobne podatke. To je osnovna stvar. Često sam po aerodromima, ali ne koristim njihove wireless mreže. Ali, hobi mi je skupljati odbačene boarding karte. Možete skinuti aplikaciju i skenirati barkod na karti, i vidjeti odakle lete i kamo, ali nekada i adresu, broj mobitela, frequent flyer broj.... A ljudi o tome uopće ne razmišljaju i olako odbace takve predmete. Osobno koristim samo sigurne servise, one koji recimo imaju ugled od 5 zvjezdica. To želim vidjeti više da ljudi traže od kompanija uvjerenje da se brinu i o sigurnosti, ako kupujete automobil kupit ćete samo onaj koji ima visoke ocjene na crash testovima. Želim da ljudi počnu postavljati i pitanja da li ovaj novi auto ima i zaštitu od hakerskih upada. Sigurnost treba postati važna varijabla u izboru s kim ćete raditi. Da li ova banka ima certifikat sigurnosti, a ne hoće li mi dati kreditnu karticu na kojoj je slika mačke...
Pogledajte i video: FlexPai - mobitel sa savitljivim zaslonom
ai tehnologiju koriste i hakeri. ne trebaš više stotine udruženih hakera za neki napad, već jači komp koji će druga računala upregnuti da rade za njegov, tj. tvoj cilj. ne biste vjerovali kako ima puno ljudi kojima je logika programiranja znanstvena fantastika. u srednjoj je to zaprepašćujuće!