Spletna higiena se nam je zdel zanimiv izraz, ki pove vse, v intervjuju za tednik Mladina pa ga je omenil Gorazd Božič, strokovnjak za varno uporabo interneta in vodja centra SI-CERT. Redno umivanje rok nas ščiti pred virusi in bakterijami, prav tako pa ne tečemo v nakupovalna središča, kjer se zbira veliko ljudi, ko slišimo, da je na pohodu gripa in nam to toplo odsvetujejo. V pravem svetu se znamo (nagonsko) zaščititi, v digitalnem svetu pa se bomo morali tega še navaditi.
Koliko pa smo ogroženi? Škodljive kode se širijo na dva načina, prek podatkovnih nosilcev (večinoma USB-ključev) in prek spleta. Najbolj ogrožene države glede prvega so v nerazvitem svetu, torej tam, kjer je prodiranje interneta nizko in ljudje veliko uporabljajo podatkovne nosilce za izmenjavo podatkov. Na lestvici ogroženosti je Slovenija na 116. mestu s 16-odstotno verjetnostjo okužbe. Na zeleni veji smo tudi pri spletnih okužbah. Smo na 125. mestu z verjetnostjo 19 odstotkov. Zahvaliti se moramo predvsem majhnosti in nezanimivosti za spletne kriminalce, ki najprej udarijo v državah, kjer najhitreje in z najmanj stroški dosežejo največ.
Socialni inženiring je eden od dveh prevladujočih načinov spletnega napada (več na naslednjih straneh), drugi je izkoriščanje ranljivosti operacijskih sistemov. Napadalec izkoristi ranljivost, da v računalnik namesti škodljivo kodo. Največkrat trojanskega konja (trojanca) ali program za beleženje pritiskov tipk (keylogger). Namen je prestrezanje gesel oziroma pridobivanje osebnih podatkov žrtev kot tudi neposredni napad na njene e-bančne račune. Škodljiva koda postaja tudi vse bolj dovršena. Trojanec se namesti v brskalnik, prestreza komunikacijo in zna celo pretvarjati komunikacijo z banko. Ko plačamo prek spleta, zna spremeniti številko računa in ponarediti izpisek banke, tako da ni na prvi pogled nič narobe. To je tudi razlog, zakaj smo Slovenci trenutno še sorazmerno varni. Ni univerzalne škodljive kode, ki bi lahko 'napadala' vse banke po vrsti, temveč mora biti 'koda' prilagojena napadu na točno določen sistem, na točno določeno banko. Zato so bile napadene najprej velike ameriške banke, sledile so banke v velikih evropskih državah in tako naprej. Kdaj bodo na vrsti naše? Ko bodo izčrpane vse možnosti spletnih kriminalcev na zanje zanimivejših trgih. To je skoraj gotovo, saj sistemov e-bančništva ni mogoče nepredušno zaščititi. Popolne varnosti v spletu ni, da bi pri spletnem plačevanju dosegli višjo stopnjo varnosti, pa bi morali uvesti toliko dodatnih korakov, da bi bila ta oblika plačevanja prezamudna in neudobna. Raje bi spet hodili na bančna okenca in kupovali v trgovinah.
Spletni kriminal ni nacionalno obarvan, gre za mednarodne združbe, v katerih pa so tudi Slovenci. Kar dokazuje aretacija štajerskega pisca virusov. Je pa znano, od kod pride največ škodljivih kod. Predvsem iz Brazilije, Rusije in Ukrajine. Dolgo časa so omenjali tudi Kitajsko, vendar se je izkazalo, da se kitajski hekerji, menda s tiho podporo države, ukvarjajo z industrijskim vohunjenjem. Zanje je ta oblika spletnega kriminala donosnejša od kraje denarja običajnim spletnim uporabnikom. Rusija in Ukrajina sta trenutno najbolj 'varni' državi za spletne kriminalce, tam so ljudje, ki pišejo škodljive kode, in tudi tisti, ki neposredno kradejo denar.
Stanje izvedenih prevar na področju Slovenije je trenutno takšno, da je bilo neprimerno več napadov izvedenih s pomočjo metode socialnega inženiringa kot s škodljivo kodo. Razlog za to pa je, da je za učinkovit socialni inženiring potrebno manj znanja kot za 'tehnološki' napad. Kriminalci vedno napadajo šibke točke sistema, bolj zapleten ko je sistem, več je takšnih točk, in človek je najzapletenejši sistem. Ranljivosti človeka pa so znane: pohlep na prvem mestu, nato pa izkoriščanje želje po pomaganju drugim. Obljubijo nam denar, in že nismo več tako previdni. Zaigrajo na čustva s pesmijo o revežu, ki mu moramo hitro pomagati, da ne bo prepozno, pa smo manj pozorni. Nigerijska pisma izkoriščajo ti človeški ranljivosti, znana so že vrsto let, pa se še vedo najdejo ljudje, ki jim nasedejo.
Moj mikro, November December 2012 | Marjan Kodelja |
