Kot je zapisal na strani revije, se je njegovo digitalno življenje sesulo v slabi uri. Hekerji so prevzeli nadzor nad Googlovim računom in ga izbrisali. Vdrli so v Twitter in v njegovem imenu objavljali rasistična in homofobična sporočila. Da je bila mera polna, so mu prek prevzetega Applovega profila (Apple ID) od daleč izbrisali vse podatke na iPhonu, iPadu in prenosniku MacBooku. Honan je priznal, da je za to načelno kriv sam, saj je imel profile različnih storitev med seboj povezane. Hekerji so vdrli najprej v njegov profil na Amazonu, prek njega v Applovega, ta jim je omogočil vdor v Gmailov predal in prek njega so na koncu prišli do računa na Twitterju. Nanj so tudi ciljali, ostalo škodo so naredili spotoma, ne ker so hoteli, ampak ker so lahko. Največja škoda je nastala zaradi izgube podatkov, ki so bili na prenosniku, saj jih, tako kot večina, ni redno arhiviral še na kakšen pomnilnik, ki ga ni mogoče izbrisati prek spleta.

Izkazalo se je, da je bil vdor mogoč zaradi Applovih in Amazonovih varnostnih pomanjkljivosti, bolje neumnosti in površnosti. Vdor ni bil tehnično izpopolnjen, šlo je za uporabo dokaj preprostega socialnega inženiringa (o tem smo pisali v prejšnji številki, članek pa najdete tudi na naši spletni strani). Tehnično osebje je za identifikacijo uporabnika, ki po telefonu želi ponastavitev gesla za dostop do svojega Applovega poštnega predala (s tem pa so napadalci lahko prevzeli nadzor nad profilom iClouda), poleg običajnih podatkov, kot so ime profila, naslov bivališča (kar ni težko najti), zahtevali še kos informacije, ki se tehničnemu osebju Amazona ni zdela problematična in so jo rade volje »razkrili«. Konkretno za zadnje štiri številke s profiloma povezane kreditne kartice. Štiri številke, ki so za Amazon nepomembne, je Apple razumel kot dovolj varne (zasebne), da jih je uporabil za preverjanje identitete.

Primer razkriva velik problem industrije in tehnologije. Neusklajene mehanizme preverjanja identitet spletnih uporabnikov in napake v politikah upravljanja s podatki. Gre za pravo nočno moro, ko vstopamo v obdobje računalništva v oblaku in ves čas povezanih naprav. Apple se na vse načine trudi, da bi vse uporabnike svojih naprav prepričal, naj uporabljajo tudi storitev iCloud. Googlov operacijski sistem Chrome OS temelji na oblaku, Windows 8 pa bo najbolj na oblak osredotočen sistem Windows do zdaj. Opisani primer spodbuja mišljenje, da računalništvo v oblaku potrebuje drugačne varnostne mehanizme, in ne mehanizme, temelječe na geslih, ki jih je mogoče »razbiti«, »ponastaviti« oziroma jih je mogoče izvedeti prek socialnega inženirstva.

Honanova napaka niso bila šibka gesla, temu, da bi bili profili med seboj povezani, se tudi težko izognemo, temveč to, da ni poskrbel za varnostno kopijo podatkov. Največja škoda, ki jo je utrpel, poleg seveda časa, porabljenega za klicanje tehnične podpore vseh štirih storitev, in ponovne pridobitve nadzora nad svojimi profili, je bila ravno njihova izguba. Če bi imel varnostno kopijo, na primer na zunanjem trdem disku, bi podatke lahko zelo hitro obnovil. Namesto tega je zaupal ponudniku oblaka in ostal brez družinskih fotografij in novinarskih besedil.

Pred leti, ko smo se še trudili razlagati, zakaj so varnostne kopije pomembne, smo bolj za šalo kot zares dejali, da so najbolj varni podatki, shranjeni na disku v trezorju v kletnem prostoru brez oken in vrat, do katerega ne vodijo nobene stopnice. Dozdeva se nam, da zadnje časa preveč slepo verjamemo ponudnikom storitev v oblaku, da so pri njih shranjeni podatki varni, ter da jih zato ni treba hraniti nikjer drugje. »Podatke dajte nam, mi pa bomo zanje poskrbeli.« Pomembne podatke morate imeli še nekje kot le na disku računalnika ali v oblaku. Vsaj na zunanjem trdem disku, še bolj na omrežnem strežniku NAS. In morda še kje, pri kakšnem slovenskem ponudniku, saj se bodo ti v primeru zlorab hitreje odzvali kot globalni ponudniki, kjer smo uporabniki odvisni bolj ali manj le od njihove dobre volje.

Moj mikro, september – oktober 2012 | Marjan Kodelja |