20.4.19

Dvaput je dvaput (nastavak)

Dvaput je dvaput (nastavak).

U davno objavljenom tekstu govorio sam o sigurnosnom postupku koji se naziva "provjera u dva koraka" ili na engleskom "two-step verification" (Dvaput je dvaput). Ukratko riječ je o dodatnom kanalu komunikacije kojim se traži dodatna potvrda u slučaju promjene na osnovnom računu. I dalje vjerujem da je ovo korisno no nedavno sam uočio i ozbiljnu sigurnosnu prijetnju koju ovaj postupak donosi.


Kada je korisno?

Najveća prednost dodatnog kanala očituje se u slučaju gubitka lozinke. Velik broj računa koje danas korisnik ima, kao i uvjerenje "nema šanse da zaboravim", razlog su za svakodnevne glavobolje. Zbog zaboravljene lozinke mnogi ne mogu do svog računa pa onda slijedi resetiranje lozinke. Pri tome provjera preko dodatnog kanala jako olakšava stvar. Zbog toga je ova tehnika danas dostupna na većini računa, a u nekim slučajevima njeno korištenje je obavezno.
Dodatni kanal koristit će se i prilikom pristupa vašem računu sa drugog uređaja. Na primjer, ako isti račun unesete na mobitel ili drugo računalo dobit će te o tome obavijest. Kao dodatni kanal može se koristiti elektronička pošta ili mobitel (SMS). Ako je vaš mobitel podešen da vas obavijesti o primitku ovakve poruke trenutno ćete saznati za pristup do računa. Tako možete odmah početi borbu za povrat kontrole na računu ako vam ga je netko preuzeo. Odnosno, spriječiti pokušaj u slučaju da se dodatni kanal koristi za potvrdu.

U čemu je problem?

Naravno, postoji i druga strana medalje. Sve je zapravo počelo kad je jedan kolega ustvrdio da je tako račun dvostruko sigurniji. Usporedio je to s postavljanjem dodatne brave na ulazna vrata. Ovo me navelo na razmišljanje i shvatio sam da je u krivu. Bolja usporedba je ugradnje dodatnih vrata pri čemu svaka vrata imaju jednu bravu. Pri tome je jasno da je za provalu dovoljno savladati samo jednu bravu. U pravilu je dovoljno da vam netko provali jedan od kanala pa da se probije i do drugog računa.
Na primjer, Windows 10 za punu funkcionalnost traži da kao korisničko ime (login) koristite Microsoft račun. Pri tome će automatski podesiti program za poštu da koristi tu adresu pa će ona postati poznata svima kojima ste pisali. Koristeći tu adresu zlonamjerni korisnik može na drugom računalu kreirati korisnika s vašim podatcima. Naravno, za to mu treba i lozinka no ukoliko je provalio vaš sigurnosni kanal, može jednostavno zatražiti promjenu lozinke i putem sigurnosnog kanala potvrditi promjenu. Time je ostvario puni pristup svim vašim podatcima u "oblaku" (WiFi lozinke, spremljeni dokumenti, kopije fotografija i tko zna što još). Dok vi shvatite što se dogodilo i ispravite stvar vaši osobni sadržaji već su ukradeni, a možda i svima dostupni na Internetu.

Sigurnost ili slabost?

Dakle, ne možemo tvrditi da je sigurnost dvostruko veća. Zapravo dodatna provjera može biti i dodatna slabost. Sjetimo se da je svojevremeno na Yahoo mail-u provaljeno preko 3 milijarde računa.
No dvostruka provjera donosi i brojne prednosti i u nekim slučajevima vas dodatno štiti. Stoga je važno dobro podesiti sve postavke sigurnosti i paziti što čuvate u "oblaku" kako biste izbjegli ozbiljne neugodnosti u slučaju provale.


15.4.19

Zar ste odustali od privatnosti?


Zar ste odustali od privatnosti?

Nakon što su podatci postali izvor zarade korisnici su postali roba. Umjesto uloge kupca kojeg treba privući i udovoljiti njegovim željama postali smo ovce koje treba ošišati za podatke. Većina korisnika nije ni svjesna što se događa i da su zapravo na to pristali. Zbog toga ne poduzimaju ni ono što mogu učiniti na zaštiti vlastite privatnosti. Pogledajmo kako nas obmanjuju i što sve prate na primjeru operativnog sustava Windows. Naravno, isto rade i drugi o čemu možda nešto više drugi put.


Kako nas obmanjuju?

Većina ima osobno računalo i na njemu Window 10. Ako imate stariju inačicu za nju je podrška već prestala ili će prestati krajem godine pa ćete i vi morati na "desetku". Prilikom instalacije računalo vam je ponudilo da pročitate uvjete (dokument kojeg bi trebalo proučavati tjednima i koji je ponuđen po načelu uzmi ili ostavi). Nakon toga ponudilo vam je da odgovorite na nekoliko pitanja o tome dozvoljavate li prikupljanje određenih podataka "radi sigurnosti i bolje usluge". Sve to zvuči logično i DA je uvijek ponuđeno rješenje. Nekad je NE čak dobro skriveno (npr. odluka da se podatci ne šalju u "oblak" napisana je znatno manjim slovima u teže primjetnoj boji).
Gotovo svi korisnici su vjerojatno izabrali ponuđeno, dakle pristali na zahvat u podatke. Ako ste kojim slučajem rekli NE, sistem će vas na to upozoravati kao da je riječ o pogrešci. Npr. ako kažete da ne želite slati detaljne dijagnostičke podatke sistem će to prikazati kao sigurnosni problem. Ponuditi će vam da to ispravite uključivanjem slanja detaljnih podataka.
Kako bi dodatno umanjili otpor korisnika u sistem je uključen cijeli niz podešavanja kojima korisnik može točno odrediti koji podatci "cure" s njegovog računala. Zapravo, podešavanja ima toliko puno da prosječan korisnik to ne može ispratiti te ubrzo odustane (trebali su mi dani da sve prođem).
Ali ni to nije dovoljno jer sistem se unapređuje svakih 6 mjeseci i pri tome se pitanja postavljaju ponovno. Pri tome se korisnika opet navodi da dozvoli maksimalan zahvat u podatke. Tako se korisnika kojem je netko podesio ograničenja navodi da od toga odustanu. Da bi stvar bila još "zabavnija" pri unaprjeđenju se neke postavke premještaju u druge prozore, mijenja im se ime i opis i dodaju novi razlozi zašto je nešto potrebno uključiti.

Što sve ide na server?

Potpuni odgovor zahtijevao bi puno duži tekst pa ću nabrojati samo nekoliko primjera. Krenimo od tipkanja. Sve što pišete (baš sve, uključujući i lozinke ili bilo koji "privatni" podatak) može se poslati na server radi boljeg prepoznavanja govora. Ako imate uključenu Cortanu, sistem "sluša" sve što se pred njim govori, dakle, prisluškuje vas. Informacije o vašem kretanju (lokacija). Podatci o korištenju programa. Podatci o korištenju preglednika (Edge), dakle sve čemu pristupate na Internetu.
Ako vam se još nije smračilo spomenimo i, citiram, "... stanje memorije uređaja kada dođe do pada sustava ili aplikacija". Dakle bilo koji podatak koji je bio u memoriji, vaša IP adresa, a ako koristite javnu mrežu onda i IMEI, odnosno jedinstveni broj uređaja. Toliko o anonimnosti.
Na to sve treba dodati i sve zapise (dokumente, fotografije i slično) koje ste radi "sigurnosti" kopirali u "oblak". Naravno, tu je i vaš adresar s vašim podatcima, ali i podatcima vaših kontakata.
I da stvar bude bolja, dio tih podataka bit će poslan i Microsoft partnerima radi "poboljšanja njihovih proizvoda i usluga". Pri tome vas treba umiriti činjenica da je njima citiram: "... te informacije dopušteno koristiti samo za popravak ili poboljšanje tih proizvoda i usluga".

Što učiniti?

Većina tih zadiranja u vaše podatke može spriječiti kvalitetnim podešavanjem sistema. No, kao što sam napomenuo, postavke nije lako razumjeti (niti pronaći), a obmane i prijave problema od toga će vas odgovarati. Gašenje baš svega nije dobar odgovor jer će to stvarno omesti rad nekih programa. Stoga je vjerojatno najbolje potražiti pomoć iskusnog administratora.
Dobro podešen sistem zaštiti će vas od potpunog zadiranja u vašu privatnost i spriječiti da zbog neke provale vaše informacije postanu javna stvar ili roba koja se prodaje na crnom tržištu.