Tento rozhovor nie je určený IT-čkárom. Treba nám vôbec antivírusové programy? Nejde len o falošný poplach? A prečo vôbec niekto vyrába škodlivý softvér? V rozhovore s laikom to polopatisticky vysvetľuje špecialista.
Poznáte dobrý vtip z oblasti IT?
No, vtipom to asi neodpálime, lebo si ich síce veľa pamätám, ale neviem ich rozprávať. Môžem dať aj taký, ktorý väčšina nepochopí?
Skúsme.
Koľko typov ľudí existuje na svete? 10 – tí, ktorí rozumejú tomuto vtipu, a tí, ktorí nie.
Hm...
Vidíte, práve toto je typický IT-čkársky vtip. V binárnej sústave desiatka znamená dvojku, ide teda o dva typy ľudí. A pár ľudí v našej firme fičí presne na takýchto vtipoch.
Asi sa to nedá generalizovať, ale o IT-čkároch kolujú rôzne reči, ktoré narážajú na ich typický výzor kockáčov, údajne žijúcich v inom svete ako ostatná populácia. Neuráža ich to?
Skôr by som povedal, že je to istá výsada. „Kockatí“ ľudia reálne mávajú iný pohľad na svet, a nedá sa s tým nič robiť. Ľuďom sa to niekedy aj ťažko vysvetľuje, lebo IT-čkári rozumejú, ako veci fungujú. Bežný človek používa mobilný telefón, ale málokedy sa bližšie zaujíma, ako presne funguje, kým IT-čkári si ich vedia povedzme preprogramovať. A áno, bývajú na to aj patrične hrdí.
Nebývajú osamelí?
do debaty sa zapojila jeho kolegyňa: V našej firme sú, žiaľ, všetci muži ženatí alebo zadaní.
Denne pribúda 200-tisíc nových kusov škodlivého softvéru
Koľko znakov má vaše heslo do Gmailu?
Štrnásť, a je to totálny bordel, zložený z mixu znakov, čísel a písmen. Ja tie heslá beriem hudobne, sú skôr prstokladové, nedávajú žiadny zmysel. Keby ste sa ma opýtali, ako to heslo presne znie, môžete ma mučiť a nepoviem vám ho, lebo to neviem. Musel by som ho napísať na klávesnicu, alebo si ju aspoň reálne predstaviť.
Všade sa píše, že kto sa pripája na internet, mal by si chrániť počítač, lebo vírusy striehnu všade. Na druhej strane sa človek dočíta aj to, že niektoré antivírusové programy ako hrozby zámerne detekujú aj vymyslené veci, len aby mal človek strach a videl, aký je jeho program skvelý. Nepreháňajú to výrobcovia s poplašnými správami, alebo je pravda, že kto nemá antivírusový program, je vlastne šialenec?
Žiaľ, trochu pravdy je aj v tom, čo hovoríte, teda to, že to niektoré firmy preháňajú. Antivírusové programy kedysi vznikli ako služba v snahe pomôcť ľuďom, ktorí mali problém. Samozrejme, príslušné firmy veľmi rýchlo zistili, že sa dá na tom aj solídne zbohatnúť, a tak to využili.
Faktom ale tiež je, že počítačové hrozby sú realitou, denne len v našej firme evidujeme viac ako 200-tisíc nových a jedinečných kusov malware, čo je najvšeobecnejší pojem, ktorý používame na označenie škodlivého softvéru (z anglického malicious software, škodlivý softvér, pozn. autora). Počítačový vírus je vlastne len jeden konkrétny typ malware; funguje ako ten biologický – aby prežil, potrebuje hostiteľa. Na svoju existenciu teda potrebuje vaše súbory, ktoré infikuje, v ktorých prežíva, a z ktorých sa potom šíri ďalej. Iný populárny typ je červ – ten si pokojne lozí po sieti, a ak nie ste chránený, je mu jedno, či prelezie ďalej cez váš USB kľúč alebo e-mail.
Hovoríte, že ide o 200-tisíc jedinečných kusov denne. To ich každý deň vzniká také množstvo?
Presne tak. Každý deň pribúdajú nové, ktoré ešte včera neexistovali.
Ako sa o nich dozvedáte?
Zbierame ich prostredníctvom nášho produktu, inštalovaného v počítačoch užívateľov, zároveň si ich vymieňame s inými antivírusovými firmami. Ide o nepísané kooperatívne, niekedy až kamarátske vzťahy, v rámci ktorých si vzájomne pomáhame. Nespýtali ste sa inak štandardnú otázku mnohých novinárov – či si tie vírusy nepíšu samotné antivírové firmy.
Tá už zaznela v mnohých rozhovoroch, a aj tak by sa nik nepriznal.
(smiech) Nepíšu si ich, lebo na ne nemajú čas. Majú totiž dosť malware, ktorý vytvára niekto iný. Vrátim sa však k tomu, čo ste spomínali – či firmy zámerne neplašia klientov falošnými detekciami, aby mali pocit, že sú skvele chránení. V Číne sa pred pár rokmi stalo, že v rámci jedného tendra pre vládu spravila istá firma práve tento ťah. Svoju výhodu stavala na tom, že „aha, my túto hrozbu chytáme a iné programy nie.“ Výsledkom bol tvrdý trest pre vládneho zamestnanca.
Umelé zastrašovanie klientov však asi nebude len doménou Číny.
Nie. Dovoľuje si to aj istá známa firma, ktorú nemôžem menovať, aby ma nik nenapádal, že ohováram cudzí produkt. Jej program však hlásil aj hrozby, ktoré hrozbami neboli. Tragédiou dnešnej doby je, že vypukol boom falošných antivírov. Naprogramovať bublinu, ktorá vám bude na obrazovke hlásiť fiktívne hrozby, je hračka, a neskúsený užívateľ potom pokojne pristúpi na to, že ak si chce vyčistiť počítač, musí za program zaplatiť iks dolárov. O mesiac sa celý proces zopakuje. Takáto stratégia je síce neetická, ale deje sa. Rovno hovorím, že keby také niečo robila naša firma, dávam výpoveď. Nič to však nemení na tom, že kto si dnes na internete nechráni počítač, neuveriteľne riskuje.
Kriminálnici môžu použiť váš počítač na ukladanie detského porna
Lenže laik si môže povedať, že pre vírusy nie je zaujímavý, lebo nepozerá žiadne porno, nesťahuje hudbu ani filmy, nepoužíva internetbanking, nenakupuje cez web... Ak chodí len do mailu pozrieť správy a prečítať si webové médiá, pričom nekliká na každú blbosť, má sa cítiť ohrozený?
V jeho prípade je to riziko povedzme nižšie, ale určite nie nulové. Nástrahy často číhajú aj na stránkach, ktoré by ste považovali za bezpečné.
Čoho sa báť najviac?
Asi toho, aby v čase, keď realizujete cez internet nejakú platbu, nevstúpil do toho procesu niekto cudzí a nepresmeroval vaše peniaze. Čo môže byť horšie, ako to, že prídete o všetky úspory? Pre ľudí, ktorí stoja za vírusmi, však nie sú zaujímaví len tí, čo realizujú platby cez internet, ale napríklad aj hráči hier – virtuálne peniaze a predmety majú často až prekvapujúco vysokú cenu. Celkovo je ale každý ovládnutý počítač pre útočníkov zaujímavý: keď nainfikujú desaťtisíc počítačov, získajú dostatočnú palebnú silu na slušný biznis.
Konkrétne?
Napríklad desaťtisíc počítačov sa nainfikuje rovnakým typom malware, ktorý je schopný vykonávať príkazy. Kriminálnik tak získa kontrolu nad celou vašou mašinou, a môže jej zadať aj príkaz na útok na nejakú stránku, rozposielať spam či prípadne vykradnúť vaše citlivé údaje. Dá sa tiež používať na maskovanie operácie tým, že z infikovaného počítača spraví takzvané proxy, čo znamená, že útočník sa nebude na internet pripájať od seba, aby ho nevystopovali, ale cez vás. Takáto anonymizačná sieť sa v podstate neustále mení, lebo ľudia sa raz k počítačom pripoja, potom odpoja, menia sa im IP adresy a podobne.
Povedzme, že niekto takto cez tisíce počítačov zaútočí na nejakú stránku. Čo tým získa? Kde je tam biznis?
Vezmite si ľudí zo skupiny Anonymous. Tí už dali dole nejednu stránku, tie slovenské nevynímajúc. Teraz si predstavte, že nejaká kriminálna skupina zaútočí na PayPal, teda internetový platobný systém. Ten z toho bude bledý, lebo ak niekto žije z platieb na internete a vy ho na niekoľko dlhých hodín odstavíte, určite ho oberáte o zisky. Časť klientely PayPalu tak potom útočník dokáže ľahko presmerovať k inému, s ním spriaznenému platobnému systému. Ak totiž nefunguje jeden systém na platby, ľudia jednoducho využijú konkurenčný. V Rusku sa takéto útoky v záujme presmerovania klientely a poškodzovania konkurenta dejú relatívne bežne.
Podobné veci sa dejú v prípade online kasín, čo je téma na štyri samostatné rozhovory. Ak vlastníte také kasíno a ľudia vám platia, zarábate. Ak vám ho napadnú hackeri a zhodia ho dole, stojíte a nemáte žiadny príjem. Potom vás tá skupina začne vydierať hláškami typu „ak chcete, aby sme prestali, zaplaťte takú a takú sumu na tento a tento účet.“ Môžete to síce ignorovať, ale útoky budú pokračovať, pričom suma za vykúpenie bude na druhý deň dvojnásobná. Pointa je v tom, že na takýto útok voči kasínu sa používajú počítače nič netušiacich užívateľov.
Slušná kreativita.
Najväčšia sranda však spočíva v tom, že kasíno možno zaplatí a útočník sa o týždeň ozve znovu s tým, že chce ešte viac. Ide teda o klasické výpalné, akurát sa deje na internete. Inak, ak budete mať smolu, políciu by teoreticky mohlo zaujímať, prečo sa na nejakú stránku útočilo práve z vášho počítača. Vy o tom ani nebudete vedieť, ibaže budete musieť vysvetľovať. Americké úrady sú napríklad mimoriadne citlivé na to, ak máte na disku počítača detské porno.
Dúfam, že nielen americké.
Lenže aj priamo vám sa môže stať, že nejaký kriminálnik váš počítač využije ako úložisko informácií, ktoré sa od vás budú distribuovať ďalej. Vysvetlite to potom polícii, snažte sa hájiť svoju pravdu. Samozrejme, domáce počítače na to nie sú využívané príliš často, lepšie sú veľké servery. U nich je väčší predpoklad, že budú zapnuté a funkčné pomerne dlhú dobu, preto je ich využívanie na nelegálne aktivity efektívnejšie.
Spam? Vždy sa nájde dosť ľudí, čo naň reaguje pozitívne
Ďalšia hrozba pre bežných užívateľov?
Napríklad inštalovanie zbytočných aplikácií do ich počítačov. Spomeňme dnes veľmi populárne free download servery, z ktorých si môžete ťahať hudbu, filmy či softvér. Pri ich používaní si človek nevedomky bežne stiahne aj nejaký toolbar. Ak sa takto „infikujú“ tisícky počítačov, začína to byť z hľadiska biznisu zaujímavé.
Dôvod?
Cez takéto aplikácie možno pohodlne šíriť reklamu, prípadne robiť rôzne prieskumy, z ktorých sa dá zistiť správanie sa užívateľov. Toolbary primárne monitorujú to, čo robíte za počítačom, čo sťahujete z webu, čo najčastejšie zadávate do vyhľadávačov a podobne.
Sledujú teda každý môj krok?
V zásade áno, ale to, či si dovolia veľa alebo málo, záleží na tom, aký je to softvér. Toolbar môže byť aj legitímny, napríklad od Google, a vy si ho inštalujete s vedomím, že niektoré údaje budú odosielané firme na to, aby mohla zlepšovať svoj produkt. V prípade ESETu je to napríklad dobrovoľná možnosť zapojenia sa do siete ESET Live Grid, cez ktorú zbierame anonymné štatistiky, podozrivé súbory a dopĺňame detekčné schopnosti produktu. Ak však ide o toolbar firmy, ktorá vás chce ošklbať, pokojne bude sledovať aj číslo vašej kreditky či čokoľvek iné.
Ok, tak skúsme hypotetický príklad – nejaká firma z môjho počítača cez nenápadne nainštalovaný toolbar získa informáciu, že si pravidelne sťahujem pornofilmy. Čo z toho bude mať?
Začne vám zobrazovať adekvátnu kontextovú reklamu, alebo vám rovno zmení výsledky vyhľadávania. Jednoducho bude vedieť zacieliť reklamu presne na tovar alebo službu, pri ktorej má väčšiu šancu presvedčiť vás na kúpu. A keď si ju kúpite, niekto má z toho priamy zisk a niekto províziu. Niektorí ľudia majú v počítačoch toľko toolbarov, až im z toho kolabuje počítač. Poznáte to – človek si niečo inštaluje, a aby to mal čo najrýchlejšie, miesto poctivého a podrobného čítania podmienok kliká stále na next, next, ok a finish.
Aký má dnes niekto dôvod e-mailom rozosielať spamy na ponuky nezmyselných služieb? Keď to človek vidí, nechce sa mu veriť, že na to niekto reaguje, napríklad na ponuky predlžovania penisu či zabezpečenia nekonečnej erekcie.
Napriek tomu, čo hovoríte, je spam stále veľmi efektívny spôsob, ako osloviť masy a pripraviť ich o peniaze. Jedna firma svojho času dokonca robila výskum tým, že nakupovala tabletky na erekciu, ponúkaných spamom. Preverovali ich v laboratóriách a prekvapene zistili, že nie všetky boli placebo. Našli sa aj účinné prípravky, dokonca také, ktoré mali viac účinnej látky ako originál.
Nepochybujte pritom o tom, že sa vždy nájde plno ľudí, čo si taký tovar kúpia. Mnohí reagujú na spam pozitívne, ani im nenapadne, že sú obeťou reklamy. Úspech spamu spočíva v tom, že sa rozosiela na kvantá, nie pár tisícom, ale státisícom až desiatkam miliónom ľudí. Ak sa na to chytí čo len promile z tých, čo ho dostanú, na slušný biznis to stačí.
Navyše treba rozlišovať medzi obyčajným človekom na Slovensku, ktorý je počítačovo relatívne gramotný a obyčajným človekom v Číne, kde sa každý deň posadí k mašine 50-tisíc úplne nových ľudí. Tí ani nechyrujú o hrozbách internetu, všetko na nich bliká, láka ich, tak veselo klikajú aj nakupujú. Keby ten spam nebol taký dobrý biznis, už dávno by sa nepraktizoval.
Viete, koľkí reflektujú aj na hlúposti typu, že sa im ozve falošný strýko z Afriky s informáciou, že zdedili milióny, ale na to, aby ich mohli previesť na slovenský účet, potrebujú, aby im dotyčný zaplatil pár tisíc eur? Prípadne sa takto získavajú aj biele kone – ak im niekto na takú správu odpovie, ozve sa mu reálny človek a dá ponuku, aby mu dovolil použiť jeho účet. Kôň má potom za úlohu peniaze fyzicky vybrať, vložiť na iný, vopred určený účet, a za to dostane províziu. Tam niekde potom končia všetky stopy, respektíve významne sa sťažuje šanca vypátrať pôvodného vinníka.
Útočníci dokážu vstúpiť priamo do vašej finančnej transakcie
Čo je spyware?
Typ malware, ktorý sa špecializuje na to, že z vášho počítača kradne a odosiela údaje – od mailov, údajov k platbám, súkromnej korenšpodencie až po fotografie. Dostane sa k vám napríklad tým, že v prílohe e-mailu kliknete na súbor, na ktorý ste nemali, alebo vám príde spam, vy si otvoríte v ňom pridaný link a šup – nainštaluje sa vám. Alebo sa to udeje úplne skryte počas bežného prehliadania webu, ak náhodou narazíte na stránku, ktorá bola infikovaná.
Už sa to nedeje tak hlúpo ako kedysi, že vám niekto poslal súbor s názvom Angelina Jolie nude, hoci ľudia stále klikajú aj na to, dnes to prebieha oveľa sofistikovanejšie. Napríklad vám príde na pohľad dôveryhodná správa z adresy podobnej či identickej Microsoftu, ktorá vás upozorní na kritickú chybu Windowsu, pričom rovno ponúkne záplatu. Neznalý na to klikne a ako bonus získa spyware.
A phishing?
Otvoríte si stránku banky, ktorá vyzerá úplne ako originál, akurát je falošná. Nepripájate sa tak na server banky, ale server útočníka, ktorému zdarma poskytnete všetky údaje na to, aby vám ukradol peniaze z účtu. Stačí byť neopatrný, nepozrieť si certifikáty, adresu v prehliadači, ktorá býva podobná originálu, a nešťastie je na svete. Koniec koncov, takéto prípady sa stali aj na Slovensku, určite nejde o vzdialenú hrozbu, ktorá sa nás netýka.
Podotýkam, že malware je v takýchto prípadoch automatizovaný, a to do takej miery, že dokáže vstúpiť priamo do vašej transakcie – vy budete platiť, uvediete číslo účtu, kam majú odísť peniaze, ale softvér to zmení a odošle peniaze inde. Všetko v reálnom čase.
Čiže platím povedzme účet Orange a peniaze odídu na Kajmanské ostrovy?
Napríklad. Oni to majú také prepracované, že vedia aj to, ktorá banka má aké limity, aby tie transakcie neboli podozrivé. Určite sa to nedeje tak, že pri počítači sedí programátor a čaká, kedy sa pripojíte a pôjdete platiť, všetko sa deje automaticky. Samozrejme, na to, aby poznali detaily, majú aj svojich insiderov v bankách.
Nie je potom problém preprať tie peniaze?
Na to majú zase sieť ľudí s falošnými kreditkami, ktorých čísla tiež získali z rôznych počítačov, a ktorí chodia tie peniaze fyzicky vyberať z bankomatov. Často sa to prepiera aj cez kasína, lebo sú tam vyššie cash-limity. No a samozrejme už vyššie spomínaný príklad strýka z Afriky je veľmi častý spôsob zháňania bielych koní a prepierania peňazí.
Nabúrať softvér cez jeho slabiny je efektívnejšie, než sa trápiť s heslami
Môže si niekto na diaľku zapnúť môj notebook, ktorý som predtým vypol?
Nie.
A ak nie je vypnutý, len v režime spánku?
Existuje technológia Wake-on-LAN (týka sa aj vypnutého počítača), ktorá umožňuje vyslať počítaču taký signál, ale čo sa týka počítačovej kriminality, v praxi sme sa s tým ešte nestretli.
Ako dlho by vám trvalo, kým by ste sa niekomu nabúrali do Gmailu alebo Facebooku?
(smiech) Netuším.
Pravdu.
Dokázal by som to, prečo nie, ale koľko by to trvalo, neviem, lebo som nikdy nič také nerobil. Také veci ma nezaujímajú.
Nejde mi o vás, ale o opísanie rizika, lebo niekto iný môže mať vaše zručnosti a nemusí disponovať aj vašimi zábranami.
Pri slabom hesle je to pomerne ľahké. Ak však chce niekto nabúrať niečo také, nebude sa trápiť skúšaním hesiel, ale zistí si, aký máte v počítači či na serveri softvér a skúsi zaútočiť na jeho známe slabiny. Nabúrať softvér je efektívnejšie, než sa trápiť s heslami, lebo potom možno počítač ovládať z pozície samotného užívateľa. Navyše ak by som chcel, k riadeniu vášho počítača by som sa dostal jediným na pohľad nevinným mailom.
Akým? Neklikám na všetko.
Tu by ste klikli. Pred rozhovorom ste spomínali, aby som vám k nemu poslal nejaké svoje fotografie. Viete, že na ne môžem nabaliť čosi, čo mi úspešne umožní ovládať váš počítač? A tým, že sme sa takto dohodli, je vlastne isté, že si ich stiahnete s radosťou. Akurát sa vám tam popri nich nainštaluje aj špeciálny softvér.
No nič, tak si vás odfotím sám a vy na seba preberáte riziko, ako budete vyzerať.
(smiech) Vidíte... keby som vám to nepovedal, mohol som ovládať nielen váš Gmail, ale aj všetky systémy, do ktorých sa prihlasujete heslom. Ale neurobím to, sľubujem.
Veľký brat, ruky preč od môjho disku. Hovoríte, že konečným cieľom infikovania počítačov je zisk. Bežne sa však stáva, že dôsledkom je pád celého systému, zmiznutie súborov, nefunkčnosť niektorých programov a nakoniec nutnosť preinštalovať operačný systém. Prečo?
To je len nechcený dôsledok, ktorý útočník v skutočnosti nechce. Stáva sa však aj to, bežné je to napríklad na Ukrajine a Rusku, že vám niekto trojanom zašifruje citlivé dokumenty alebo adresáre v počítači, a potom vás začne vydierať. Buď zaplatíte a dostanete sa k ich obsahu, alebo máte smolu. Prípadne vám zamkne celý počítač a na obrazovke vám len vybehne okno, kam máte poslať peniaze, typicky prostredníctvom platenej SMSky. Jednoduché a účinné.
Linux je napádaný menej, lebo zisk je len tam, kde sú aj ľudia
Je pravdou, že Linux je z hľadiska odolnosti voči vírusom lepší?
Hovorili sme o tom, že malware sa distribuuje kvôli zisku. A zisk je len tam, kde sú aj ľudia.
Čiže užívateľov Linuxu najviac chráni to, že je málo rozšírený a teda pre tento typ biznisu menej atraktívny?
Presne tak. Každý kriminálnik sa bude orientovať tam, kde sú zákazníci. Vezmite si mobilné telefóny s Androidom. Denne máme desiatky kusov malware práve naň.
To sa už zavírujú aj mobily?
Samozrejme. Veď Android je na to ideálna platforma, používa ho pomerne veľa ľudí. Stiahnete si aplikáciu, ktorá vám ponúkne nejaké služby, a ak sa vám zdajú atraktívne, zaplatíte si ich, lebo sa vám zdajú lacné, povedzme za jeden dolár. Jeden dolár krat masy ľudí rovná sa veľa dolárov. Pomerne častou vlastnosťou mobilného malware je využitie funkcie, ktorú majú mobily oproti počítačom navyše – posielanie SMS na prémiové čísla. Samozrejme, bez toho, aby ste o tom vedeli.
Existujú však aj špehovacie programy, vďaka ktorým môžete sledovať, komu volá či píše esemesky vaša manželka. Jednoducho taký softvér nainštalujete do smartfónu a môžete sa zabávať, presmerovať reporty na e-mail či inde.
Teraz to bude chcieť nadhľad – poraďte bezplatnú alternatívu antivírového programu, ktorá sa oplatí. Nechcem počuť reklamu na váš produkt.
To by bola diskusia, ktorá by prerástla do zbytočného flamewaru. Každý človek je totiž fanúšikom niečoho iného a nikdy by sme sa nedohodli. Všetci si musia vybrať sami.
Konkrétne?
Bezplatné alternatívy síce existujú, ale nebudem ich menovať. Je totiž viac výrobcov, ktorí ponúkajú free produkty pre domácnosti, dokonca to teraz hrozí všetkým, keďže Microsoft sa chystá priložiť takýto program k novej verzii Windowsu. Problém je, že ak niečo budí dojem toho, že je to zadarmo, v skutočnosti to tak nie je. Vždy sú za tým skryté nejaké iné peniaze, ktoré firma vyťahuje z vrecká iným spôsobom.
Ako?
Trebárs tým, že vám k tomu produktu prilepia toolbary, o ktorých sme sa bavili pred chvíľou a kešujú tak za informácie, ktoré zhromaždia na základe vášho užívateľského správania sa. Priznám sa, že neplateným produktom všeobecne príliš nedôverujem. Viem svoje, chalani, ktorí robia u nás na detekcii tiež, a tak vidím, ktorý program odchytí 50 percent malware, ktorý 60, ktorý menej, či ktorý nechytí prakticky nič. Presviedčať ľudí, ktorý je lepší a ktorý horší je zbytočné.
Tak inak – ak si zaplatím plnohodnotný produkt od renomovanej firmy, a bude sa mi pravidelne aktualizovať, mám istotu, že mi to odchytí každú snahu o infikovanie?
Stopercentná bezpečnosť neexistuje, takže nie. Okrem kvalitného antivírového programu sa treba aj bezpečne správať. Ak skočíte na každú vec, čo vám príde do mailu, ak chodíte na čudné stránky, ťažko vás niečo plne ochráni. Ostražitosť je základ, klikanie na každú blbosť, čo vám príde, je zahrávanie sa s ohňom.
Najväčší vplyv má ľudská hlúposť
Vy už ste mali zavírený svoj počítač?
Odpoviem ďalším vtipom. Sú len dva typy firiem – tie, čo už boli hacknuté, a tie, čo o tom nevedia. Myslím si teda, že nie, ale ktovie.
Ako sa tvária ľudia v IT branži, keď vidia, že si dá nejaká štátna inštitúcia heslo nbusr123?
Najskôr sa ideme urehotať k smrti, a potom si trháme vlasy, že je také niečo možné aj dnes, a to u ľudí, ktorí zodpovedajú za bezpečnosť.
Je to bežný štandard?
Neviem k tomu povedať úplne rozumné dáta, lebo nehackujeme, ale nemám dôvod si myslieť, že to bola výnimka. Videl som rôzne štatistiky a heslá typu meno plus nejaké číslo sú bežné.
Prakticky každý sa dnes prihlasuje do viacerých systémov – do blogu, e-mailu, na Facebook, Twitter a podobne. Sú ľudia, ktorí na všetky služby používajú jedno heslo.
Určite to neodporúčam. Je to reálny problém, lebo útočníkovi stačí odchytiť jediné heslo a dostane sa ku všetkým službám. Ide teda o zbytočný risk, na ktorý sa dá nepekne doplatiť. Samozrejme, všetky heslá treba aj priebežne meniť.
Povedzme, že nechcem použiť heslo ako nejaký komplikovaný a ťažko zapamätateľný zhluk písmen a čísel. Stačí, ak použijem trebárs vetu, ktorá nemá logiku? Napríklad tublatankapijebielevinoukarolasudora.
Také heslo je v poriadku, lebo útočníkovi významne znižuje šancu na to, že sa trafí. Nemôže ho totiž predpokladať. Čím viac znakov, tým lepšie, sťažuje to takzvané lámanie hesiel, kedy útočník skúša všetky možnosti.
Keď tak počúvam o všetkých tých hrozbách, mám pocit, že je to ako so strachom niektorých ľudí zájsť k lekárovi – niekto k nemu nejde, lebo sa bojí, čo mu zase nájdu. Pripojiť sa na internet vlastne znamená koledovať si o problém.
Najväčší vplyv na všetky tieto veci má ľudská hlúposť. Kto sa správa ostražito a chráni si počítač, riziká významne eliminuje. Nechodiť na internet len zo strachu, aby vám niekto neinfikoval počítač, určite nie je riešením.
Vtip na záver?
To, že som paranoik, ešte neznamená, že ma nesledujú.
Rozhovor bol autorizovaný, Juraj Malcho v prepise nič nezmenil.
Medzititulky: redakcia
