Co jest nie tak z całym tym bezpieczeństwem w internecie?

Ostatnimi czasy ataki, grupy hakerskie i wielkie wpadki bezpieczeństwa przybrały na sile. A to Sony i jego walka i wycieki milionów danych czy padnięte strony, a to po prostu głupi błąd bankowości Citi Group, który pozwalał każdemu nawet bez umiejętności informatycznych dostać się na konta innych. Ba, na pierwszy plan wypłynął niedawno LulzSec, który pozwala sobie na bardzo dużo. I chociaż to łamanie prawa, to trzeba przyznać, że dzięki takim atakom może komuś przyjdą do głowy takie pytania – naprawdę tak łatwo wykraść kilkadziesiąt tysięcy haseł? Dlaczego tak łatwo położyć serwery najpopularniejszych gier? I co nie tak jest z samym CIA, skoro ich stronę również położono? A wniosek płynie z tego jeden. W sieci nikt nie jest bezpieczny. I choć słyszymy to od dawna, to dopiero takie spektakularne akcje nam to uświadamiają. Co jest z tym wszystkim nie tak?

O Sony już pisaliśmy. Od ostatniego tekstu firma zaliczyła kolejne ataki i wycieki, zaliczyła też nieudane próby przywrócenia usług, by w końcu jakość powoli podnieść się z kolan. Zaoferowała swoim klientom dosyć dobrze odebrany pakiet powitalny – na przykład darmowe gry o dosyć dużej wartości. Jednak wydaje się, że trwające od kwietnia potyczki Sony rozochociły różne grupy do mocniejszego działania.

Wystarczy wspomnieć o LulzSec, grupie, która ostatnimi czasy poczyna sobie coraz śmielej. LulzSec wszedł nawet w otwartą wojnę z Anonami z 4chana i zaatakował ten serwis utrudniając użytkownikom dostęp. LulzSec potrafi też położyć strony tak popularnych gier jak Minecraft czy stron FBI, Nintendo i senatu Stanów Zjednoczonych. Oprócz tego od czasu do czasu wrzuca do sieci listy haseł i adresów mailowych, dając nawet niezaawansowanym użytownikom powód łatwą drogę do przejmowania kont. LulzSec nie ma jednej strategii czy określonej gupy ataków i wydaje się, że strzela na oślep, ale za to głośno. LulzSec traktuje wszystko jak żart, z dozą ironii i naśmiewania się z systemów zabezpieczeń gigantów.

Z drugiej strony wczoraj wypłynęła informacja, że system bankowy Citi Gropu w Stanach Zjednoczonych miał tak głupi błąd w zabezpieczeniach, że zapewne zostało zwolnionych za to co najmniej kilka osób. By dostać się do konta innego klienta, wystarczyło zalogować się na swoje i zmienić w adresie URL unikalny numer klienta. System nie pytał o ponowną autoryzację, tylko przenosił na inne konto. W ten sposób wykradziono ponad 360 tysięcy numerów kont bankowych wraz z danymi kontaktowymi zawierającymi również adresy mailowe.

To oczywiście tylko wierzchołek góry lodowej – co chwilę świat obiega kolejna informacja o wycieku czy włamaniu. Powoli takie doniesienia stają się coraz nudniejsze i przechodzą do porządku dziennego… No właśnie. Do porządku dziennego? Co jest nie tak, że zwracamy na takie informacje coraz mniejszą uwagę? Prawdopodobnie to efekt skali i zmęczenia tematem, zresztą to przecież nie dotyczy nas. Jeśli zacznie, wtedy będziemy się martwić.

Nie jestem ekspertem do spraw bezpieczeństwa. Nie znam się na tym specjalnie, nie zajmuję zawodowo, ale wiem jedno – nie chciałabym, żeby ktoś wykradł moje dane. Nie chciałabym też, żeby ktoś dostał się do moich kont bankowych czy w sklepach online. Chciałabym, żeby firmy, serwisy i inni przynajmniej sprawiali wrażenie, że im zależy na bezpieczeństwie. Bo te informacje, które docierają do mnie teraz pokazują, że niedopracowany system zabezpieczeń i nieprzygotowanie na ataki zewnętrzne wywołują całkowicie inne wrażenie.

Dobrze byłoby też, gdyby ludzie nie używali haseł typu “1234” czy “qwerty” i to w każdym miejscu w sieci, tak że po jednorazowym wycieku włamywacz może przejąć praktycznie całą wirtualną tożsamość. Jeszcze lepiej, gdyby te ostatnie ataki i wycieki skłoniły internautów do zastanowienia się na ile oni sami są winni niebezpiecznym sytuacjom.

Tylko, że internauci przez długi czas karmili się zapewnieniami firm, że ich systemy są bezpieczne a dane niemożliwe do zdobycia. Jak widać po wielu latach wciąż tak nie jest. Warto zastanowić się nad tym w momencie, gdy stoimy na progu przeniesienia każdej aktywności do sieci i, co ważne, do chmury.

Najgorsze jest jednak to, że przeciętny użytkownik dalej będzie żył w błogiej nieświadomości dopóki nie zdarzy się coś niemiłego.

A na pytanie “co do cholery jest nie tak z całym tym bezpieczeństwem w internecie?” nie ma jednoznacznej odpowiedzi. Postęp był tak szybki, że w międzyczasie nie udało się jeszcze wykształcić wystarczających mechanizmów obronnych. Nie tylko u gigantów, ale też u przeciętnych użytowników.