DOSSIER: Trikovi za zaštitu od internetskog kriminala

Autor:

28.06.2017., Zagreb - Ransomware Petya napada racunala sirom svijeta, o koristi istu ranjivost Windowsa kao i ransomware WannaCry koji je internetom harao prije mjesec dana. rijec je o zlonamjernom programu koji sifrira datoteke na racunalu te one korisniku postaju nedostupne sve dok kriminalcima ne plate trazenu svotu za kljuc kojim ce svoje podatke desifrirati. r"nPhoto: Davor Puklavec/PIXSELL

Davor Puklavec/PIXSELL

Objavljeno u Nacionalu br. 908, 25, rujan 2015.

KRAĐE OSOBNIH PODATAKA I IDENTITETA te kršenje prava na privatnost najčešći su oblici rizika kojima su svake minute izloženi milijuni internetskih korisnika, a Nacional je istražio koji su najjednostavniji načini obrane od informatičkih kriminalaca

Rijetki korisnici interneta znaju u kojoj mjeri im ta aktivnost ugrožava sigurnost. Krađe osobnih podataka i identiteta te kršenje prava na privatnost, događaju se gotovo svakodnevno. Veliki broj korisnika nema potrebna znanja o zaštiti niti su na bilo koji način pripremljeni za sigurno korištenje interneta. S druge strane, informatički kriminalci su u pravilu stručni i inovativni. Njima je nekada dovoljan i samo jedan napad da bi došli do svojega cilja, dok se korisnik gotovo svakodnevno mora braniti.

Nacional je istražio koji su najlakši načini internetske zaštite.

Lucijan Carić iz hrvatske tvrtke DefenseCode objasnio je zašto je internet nesigurno mjesto: “Mreža iz koje se razvio internet nije bila prvenstveno osmišljena da bude sigurna, već da omogući jednostavnu komunikaciju među korisnicima koji su se međusobno poznavali i koji su u to vrijeme činili relativno malu i zatvorenu zajednicu. Ekspanzijom, internet je postao medij za povezivanje bilo koga s bilo kime, a pritom su njegovi sigurnosni temelji ostali nepromijenjeni”, objasnio je Carić. Internet je, kaže, dizajniran tako da odlično obavlja komunikacijske zadaće, pa s njim zapravo imamo vrlo malo problema po tom pitanju. S druge strane, sigurnosni problemi su ozbiljni i susrećemo ih svakodnevno. “Još iz 1973., dakle iz vremena ‘zore interneta’, datiraju prva službena upozorenja vezana uz pojavu sigurnosnih problema, a iste sigurnosne probleme susrećemo i danas”, tvrdi Carić i navodi da se dnevno događaju problemi koji rezultiraju gubitkom resursa, vremena, novca i povjerenja u pružatelje usluga.

“INTERNET JE DANAS GLAVNI komunikacijski medij, a procesi koji se tu odvijaju su – kako se to najčešće kaže – virtualni. To znači da korisnik interneta u stvarnosti teško može znati s kim zapravo komunicira, odnosno, koji resurs on točno koristi, kao i gdje se taj resurs uistinu nalazi. Također ne može znati može li toj ‘drugoj strani’ zaista pokloniti povjerenje ili ne može. Ne zna ni kako druga strana postupa s podacima koje joj preda, čuva li ih ispravno, prodaje li ih trećima, čak i ima li uopće ikakve volje poštovati njegovu privatnost i povjerenje koje mu ukaže”, nastavlja Carić, naglašavajući da privatnost na internetu ne postoji.

“Čim ste zakoračili u prekrasni i zavodljivi svijet globalne mreže, vi ste svoju privatnost bacili kroz prozor. Sve što o vama završi na internetu, zapamćeno je za vječnost. Prije će se izlizati zapis na Kleopatrinu obelisku, nego što će internet ‘zaboraviti’ podatke koji su u njega upisani”, kaže Carić. Opreznim korištenjem u nekoj mjeri možemo odrediti koji ćemo dio svoje privatnosti podijeliti sa svima. Pristupamo li tome nekritično, ono što pišemo ostat će vidljivo generacijama iza nas. Tako sami, kaže, ugrožavamo privatnost na društvenim mrežama jer interakcijom sa sustavima poput Facebooka, Twittera, LinkedIn-a i drugih pristajemo na dijeljenje svojih podataka. “Međutim, i kada se radi o tuđim pogreškama, lako se može desiti da najveće posljedice snosite vi osobno, a ne servis koji ste koristili i koji je, očigledno, imao ozbiljnih sigurnosnih problema”, kaže Carić.

Za razliku od društvenih mreža, elektronička pošta puno više se štiti iako nema komunikacijski značaj kao prije pet ili deset godina. “Ne znam ni jednu iole ozbiljnu instituciju koja nema neki oblik zaštite elektroničke pošte. Je li ta zaštita dobra i primjerena, može li se bolje, o tome bi se dalo raspravljati – ali činjenica je da je elektronička pošta štićen resurs. Također, i pojedinačni korisnici mogu uživati relativno dobru zaštitu svoje elektroničke pošte. Ako koriste neki od poznatih servisa, kao što je npr. Gmail, u pravilu imaju dobru razinu zaštite”, kaže Carić. Nadodaje da korisnike, ipak, nitko ne može zaštititi od pogrešaka koje će sami napraviti kada prihvaćaju sumnjive ponude koje stižu elektroničkom poštom.

Želi li se kupovati putem interneta, za to postoje poznati i sigurni servisi. Do problema može doći kada pristupamo sumnjivim internetskim stranicama. “U pravilu, ako su na web stranici jedini sadržaj reklame za razne sumnjive i ‘čudotvorne’ proizvode, ako je web stranica dizajnirana tako da ne možete razlikovati navigaciju od oglasa koji se na njoj nalaze – vrijeme je da odete. Ako od vas traže da ‘dokažete’ svoju starost brojem kreditne kartice ili da platite kakav ‘povratni’ polog – vrijeme je da razmislite jesu li vam moguće posljedice zaista potrebne”, upozorava Carić.

U svakoj komunikaciji na internetu sadržana je i IP adresa, odnosno internetska adresa. Ako nekome nije bitno vidi li je druga strana, onda je ona nevažna. “Većina individualnih korisnika nema stalnu IP adresu, već im njihov pružatelj internetske usluge (ISP) svaki dan daje novu. Također, neka velika institucija može imati tisuće individualnih korisnika ‘skrivenih’ iza jedne tzv. vanjske IP adrese. Nadalje, IP adrese svih web stranica su fiksne i javne”, kaže Carić. No želimo li je sakriti, postoje rješenja koja nam to omogućuju, isto kao što je moguće sakriti i surfanje po internetu ili slanje elektroničke pošte.

PAMETNI MOBILNI TELEFONI DANAS često više služe za odlazak na internet i za korištenje raznih aplikacija, negoli za slanje SMS-a. Oni su zapravo kompjutori, pa dijele veliku većinu sigurnosnih problema “veće” braće, priča Carić. “Principi njihove zaštite vrlo su slični zaštiti stolnih ili prijenosnih kompjutora. Manje ili više uspješno koriste se rješenja i alati, poput firewalla, antivirusnih programa, raznih posebnih programa za otkrivanje i uklanjanje malicioznog koda, rješenja za arhiviranje i čuvanje podataka itd. Već dugo govorim da je u tom dijelu zaštite potrebna promjena paradigme i da postojeći sustavi ne nude dovoljnu zaštitu protiv individualiziranih rizika, napravljenih tako da se munjevito šire internetom, iza sebe gotovo ne ostave trag i svaki put napadaju u drugom obliku”, navodi Carić.

Španjolka Mar Cabra je kao “data novinarka” ICIJ-a, internacionalnog konzorcija istraživačkih novinara, dobro upoznata s alatima za zaštitu komunikacije putem interneta. Preporučuje neke svima dostupne internetske alate: Hushmailom i Perriom, kaže, mogu se jednostavno kriptirati mailovi, a PGP je kompliciranija verzija, ali bolja. Mar Cabra objašnjava da kriptiranje podataka funkcionira preko privatnog i javnog ključa. Javni ključ je kartica koja se dijeli, a privatni se zadržava za sebe i kopira se na razne kompjutore. Ključ se može stvoriti alatima poput GnuPG ili GPG. Za šifrirane poruke može se koristiti Infoencrypt. Za šifrirani chat npr. aplikacija Telegram. Za glasovne poruke putem interneta Mar Cabra preporučuje jitsi.org umjesto Skypea, koji je puno nesigurniji. Želi li se surfati internetom bez da se ostavi trag, ona preporučuje da se koristi npr. Chrome Incognito Mode.

Borislav Đurđinovski, IT stručnjak Nove TV, od alata koji bi mogli pomoći u sigurnijem surfanju izdvaja AdBlocker, alat koji sakriva sve reklame i neželjene linkove sa svih web stranica. No naglašava da je oprez korisnika najbolji sigurnosni alat.

“Sasvim je svejedno koristimo li tablet, jeftini ili skupi pametni telefon; ako smo neoprezni prilikom surfanja ili korištenja društvenih mreža, neželjene stvari mogu nam se dogoditi bez obzira na to koju platformu koristimo za surfanje. Sve ‘mainstream’ društvene mreže (Facebook, Twitter, Instagram i sl.) i pružatelji mail usluga (Google, Yahoo, Microsoft) u principu su sigurni”, kaže Đurđinovski i objašnjava da su detalji iz života koji se povjeravaju spremljeni, ali su šanse da netko “na silu” dođe do njih, gotovo nikakve. “To su korporacije koje u sigurnost podataka ulažu stotine milijuna dolara. Drugo je pitanje prosljeđuju li one te podatke dobrovoljno ili na zahtjev američkim tajnim službama i slično, ali to pitanje je više za razne teoretičare zavjere i nije nešto oko čega bismo se trebali previše zabrinjavati”, kaže Borislav Đurđinovski.

Porastao je broj sumnjivih linkova i stranica na Facebooku, najpopularnijoj društvenoj mreži u Hrvatskoj. “Kliknemo li na njih, počinju nam objavljivati statuse u naše ime, čak i onemogućuju pristup korisničkom računu samom vlasniku”, napominje Borislav Đurđinovski. Otkriva da je jednom jedna njegova kolegica „lajkala” neku stranicu na Facebooku i nakon toga više nije mogla normalno pristupiti svom računu. Prisjeća se kako su se odjednom u njezino ime počeli objavljivati razni neprimjereni sadržaji, a da ona na to nikako nije mogla utjecati.

Zato je, kaže Đurđinovski, bitno lajkati i pratiti samo stranice za koje smo sigurni da su prave i sigurne. Daje primjer Facebook stranica većih firmi ili korporacija koje su relativno sigurne jer paze na svoj ugled, a svaki propust u vidu nekog virusa ili neželjene aktivnosti, bio bi udar na imidž. Kako je Nova TV prisutna na gotovo svim digitalnim platformama, sama sigurnost korisnika je, kaže, jedan od prioriteta kojem se posvećuje jako puno vremena.

S oprezom započinje i završava priča o sigurnosti na internetu. Osim što je važno paziti na kakve linkove ili reklame se „klikne”, treba pomno odabirati aplikacije te voditi računa o pravima koje dajemo pojedinoj aplikaciji prilikom instalacije. “Konkretno, prilikom instalacije nove aplikacije na naš pametni telefon, većina njih tražit će pristup kontaktima spremljenima u telefon, povezivanje s Facebook, Twitter ili Instagram računom, našom trenutnom lokacijom i slično. Vrlo bitno je procijeniti ima li potrebe i želimo li stvarno da te aplikacije imaju pristup našim podacima. Njihovi proizvođači kasnije sve prikupljene podatke spremaju u svoje baze podataka i mogu s njima raditi što god hoće jer smo se mi s time složili prilikom instalacije. U principu se ti podaci kasnije prodaju raznim agencijama koje na temelju toga razvijaju strategije targetiranog marketinga. Najbolji primjer za to je Google. Iz vlastitog iskustva mogu potvrditi da su mi nakon pretraživanja određenog artikla koji sam htio kupiti, danima iskakali “super popusti” upravo za taj artikl”, otkriva IT stručnjak.

  • AKO APLIKACIJI NA PAMETNOM telefonu dozvolite pristup svojim kontaktima ili lokaciji, njihovi proizvođači spremit će ih u svoje baze podataka i mogu s njima raditi što hoće

Đurđinovski kretanje po internetu uspoređuje s kretanjem po velikim svjetskim metropolama: “Ako se držimo mjesta koja su vrlo posjećena i gdje je velika fluktuacija ljudi, manje su šanse da će nam se dogoditi nešto loše. Čim se odmaknemo od tih, nazovimo ih, sigurnih područja i krenemo odlaziti na sumnjiva i rijetko posjećena mjesta, rastu šanse da se dogodi nešto što ne bismo htjeli.”

Zbog velikog broja sigurnosnih rizika danas je sve veći pritisak na pružatelje usluga na internetu, kao i one koji im izrađuju, programiraju rješenja, da ponude stabilne i sigurne sustave. Nesiguran sustav može rezultirati kompromitacijom, s time povezanim gubitkom povjerenja korisnika, odlaskom korisnika, financijskim gubicima povezanim s gubitkom posla ili potrebom za sanacijom šteta nastalih zlouporabom.

ZA KAZNENA DJELA PROTIV RAČUNALNIH SUSTAVA, programa i podataka, zadužen je Odjel za visokotehnološki kriminalitet koji se inače nalazi u sastavu Službe gospodarskog kriminaliteta i korupcije PNUSKOK-a. U spomenuta kaznena djela spadaju: neovlašteni pristup, ometanje rada računalnog sustava, oštećenje i neovlašteno presretanje računalnih podataka, računalno krivotvorenje i prijevara, zlouporaba naprava i teška kaznena djela protiv računalnih sustava, programa i podataka.

Od siječnja do lipnja ove godine zabilježeno je najviše kaznenih djela računalne prevare – 676. Evidentirano je i 60 kaznenih djela računalnog krivotvorenja, 13 kaznenih djela neovlaštenog pristupa te 10 kaznenih djela zloporaba naprava. U tom razdoblju počinjena su dva kaznena djela neovlaštenog presretanja računalnih podataka te po jedno djelo oštećenja računalnih podataka i ometanja rada računalnog sustava. Uhvaćena su ukupno 54 počinitelja kaznenih djela protiv računalnih sustava, programa i podataka. Velika većina je počinila računalnu prevaru – njih 46.

“Zloporabe na internetu” mogu se počiniti na mnogo načina koji ovise o domišljatosti, tehničkoj opremljenosti i razini znanja počinitelja kaznenih djela.

Zato se svakoj od tih “zloporaba” pristupa individualno, što znači da se poduzimaju oni izvidi kaznenih djela koji su potrebni da bi se utvrdili način i vrijeme počinjenja kaznenog djela, počinitelj, oštećeni, kao i sve ostale relevantne činjenice u vezi s navedenim”, kaže Ivan Mijatović, glavni policijski inspektor u Odjelu za visokotehnološki kriminalitet.

Kriminalci, otkriva, iskorištavaju svaku, odnosno, bilo koju okolnost kako bi počinili kazneno djelo. S jedne strane, kaže, to mogu biti slabosti u informacijskoj tehnologiji, računalno-sigurnosne slabosti, neznanje korisnika, njihova naivnost i lakovjernost, a s druge strane to može biti mogućnost ostvarivanja vrlo visokog stupnja anonimnosti, masovna i intenzivna uporaba računala i druge elektroničke opreme i interneta i slično.

Hrvatska planira ojačati administrativne kapacitete na nacionalnoj i međunarodnoj razini kroz 700.000 eura vrijedan projekt: “Riječ je o IPA 2011 programu Europske unije za Hrvatsku: ‘Jačanje kapaciteta Ministarstva unutarnjih poslova u suzbijanju kibernetičkog kriminaliteta’.

Projekt zajednički provode ministarstva unutarnjih poslova Kraljevine Španjolske, Republike Austrije i Republike Hrvatske. Očekivani rezultati Projekta odnose se na jačanje aktivnosti Centra za forenzičke znanosti MUP-a kroz provedbu dugoročnog programa obuke te izradu preporuka s ciljem poboljšanja sustava za borbu protiv kibernetičkog kriminala”, kaže Mijatović i nadodaje da projekt završava 24. rujna ove godine, kada će se u Ravnateljstvu policije na adresi Ilica 335 održati svečanost prilikom njegova zatvaranja. U Hrvatskoj postoje kvalitetna informatička poduzeća, kao i informatički stručnjaci koji se bave sigurnošću na internetu. Primjerice, tvrtka Lucijana Carića DefenseCode izrađuje rješenja za automatiziranu sigurnosnu procjenu internetskih aplikacija i njihova izvornog koda.

Bavi se i penetracijskim testiranjem, odnosno, temeljitim sigurnosnim ispitivanjem sustava na internetu kako bismo se uvjerili da na njemu ne postoje skriveni sigurnosni problemi, odnosno ranjivosti. Po tome ulaze u sam svjetski vrh, a surađuju i s brojnim inozemnim partnerima. Mogu se pohvaliti suradnjom s poznatim imenima tehnološkog sektora kao što su NASA, McAfee, Sophos, ICQ, Winamp, Ethereal itd.

CARIĆ SMATRA DA NEMA DOVOLJNO TAKVIH TVRTKI U HRVATSKOJ, a uzroke takvog stanja vidi u birokraciji koja otežava poslovanje, obrazovnom sustavu koji ne stvara dovoljan broj potrebnih stručnjaka te odlascima kvalitetnih poduzetnika u inozemstvo zbog boljih uvjeta. Kada se govori o obujmu posla stručnjaka za sigurnost na internetu, Hrvatska se ne razlikuje mnogo od ostatka svijeta. “Smatram da smo i dalje u najvećoj mjeri kolateralna žrtva. Iako imamo slučajeve direktnog ciljanog napada na korisnike u Hrvatskoj, većina napada zapravo je poput bacanja velikih mreža – pa tko se uhvati”, kaže Carić.

Većina institucija u Hrvatskoj ima neku zaštitu. “Dosta često ti sigurnosni sustavi postavljeni su zato što ih ‘morate’ imati ili zato što su propisani nekim sigurnosnim standardom. Dakle, oni su tu, plaćeni su, postavljeni, ali je pitanje u kojoj mjeri su stvarno funkcionalni i kolike je stvarna razina zaštite koju pružaju”, kaže Carić. Nadodaje da nas u stvarnosti ne štite standardi, već ispravno postavljena zaštita koja odgovara stvarnim rizicima, kako u instituciji, tako i u našim domovima.

Komentari

Morate biti ulogirani da biste dodali komentar.