Kibersaugumas – cybersecurity #1

“Kai aš ateinu į Europos Parlamentą, aš išjungiu visas komunikacijas visuose savo įrenginiuose, nes jeigu to nepadarau, tai namie randu krūvas visokio SpyWare[1]” – pasakė vienas žmogus, kuris darė pranešimą Europos Parlamente. Tiksliau – kažkaip panašiai pasakė, nes čia mano laisvas vertimas.

Tai pasakęs žmogus yra Axel Arnbak iš Amsterdamo universiteto, o pranešimą jis darė ketvirtadienį seminare Europos Parlamente. Seminarą suorganizavo vienas iš ALDE narių, tai yra Antanas Guoga. Seminaro vaizdo ir garso įrašą galite pasižiūrėti ir jūs:

Cybersecurity: what’s the plan?

Ponia Hilde Vautmans (taip pat Europos Parlamento narė ir taip pat ALDE narė) kiek nustebusi paklausė pono Axel’io ką jai daryti, su jos iPad’u ir telefonu Europos Parlamente, nes jai šių įrenginių reikia darbui. Ir išties – ką daryti? Kodėl Europos Parlamente nesaugu ir ką daryti, kad būtų saugiau? Juk svarbu naudoti informacines technologijas savo kasdieninėje veikloje, nes kitaip būsime labai neefektyvūs.

Štai turime dilemą: mes norime informaciją apdoroti, saugoti ir perduoti naudojantis informacinėmis technologijomis (IT) ir užtikrinti jos saugumą vienu metu. Panašių dilemų turime ir kitur: keliuose mes norime greitai važiuoti ir būti saugiais vienu metu; ekonominiuose santykiuose norime turėti universalią vertės išraišką, tai yra pinigus ir norime, kad pinigai nebūtų padirbinėjami ar kitaip jais būtų sukčiaujama. Kelių ir pinigų suteiktos naudos panašios į IT suteiktas: greičiau ir efektyviau kuriame. Tačiau taip pat greičiau ir efektyviau sukčiaujama.

Čia yra ponios <a href=
Čia yra ponios Jelena Fedurko dilemų debesis. Panaudoju šį paveiksliuką kaip dilemų vizualizaciją.

Šiuolaikinės informacinės technologijos suteikia mums daug naudos, bet ir sukuria naujų problemų. Tos problemos yra kitokios, nei būdavo anksčiau. Toms problemoms valdyti turime turėti ir kitokias priemones, nei būdavo anksčiau. Fire fire with fire.

Taigi, ponas Axel poniai Hilde į jos klausimą ką jai daryti su jos iPad’u atsakė, jog užtektų naudoti bent jau duomenų šifravimą (encryption) perdavimo kanaluose (WiFi, LAN’e ir pan.). Taigi pagrindinės vietos, kuriose vykdomi nusikaltimai, yra būtent trpas tarp duomenų perdavimo šaltinio ir vartotojo – taip vadinamas middle-man (žmogus viduryje – tarpininkas). Seminaro dalyviai iš salės dar pridūrė, kad reikalinga laikytis bent jau minimalios saugumo higienos:

  • nenaudoti visur to paties slaptažodžio;
  • slaptažodžiai neturėtų būti metų laiko pavadinimas ar jūsų paties vardas;
  • nepalikinėti slaptažodžių užrašytų ant popieriuko po klaviatūra (Estijos atstovė papasakojo labai smagią istoriją apie tai, kaip teisėjai Estijoje taip laiko savuosius);
  • nepasitikėti kažkokio žmogaus usb atmintine, kurią jis taikosi įkišti į jūsų įrenginį ar duoda kaip savo vizitinę kortelę.

Čia dar prisiminiau patarimą, kuriuo galite pasinaudoti kurdami savo slaptažodžius. Čia dar vienas patarimas komikso forma:

Ten daug raidžių angliškuose žodžiuose, tai būtų gerai, kad mokėtumėte angliškai, o jei ne tai nu ką padarysi...
Ten daug raidžių angliškuose žodžiuose, tai būtų gerai, kad mokėtumėte angliškai, o jei ne, tai eikit į Delfi – ten irgi kažkas apie tai parašyta.

Taigi duomenis reikia šifruoti. Duomenų šaltinis (pvz. koks nors serveris kokiame nors saugiame hostinge – na pavyzdžiui Delfi serveris) yra sąlyginai saugus, nes apsaugotas saugiame pastate su apsaugom ir signalizacijom nuo fizinių piktavalių. Taip pat yra gan geros apsaugos nuo virtualių atakų. Vartotojas su savo įrenginiu gali būti sąlyginai saugiu, nes jį sunkiau surasti, o ir slaptažodžiai jo galbūt sudėtingi. O štai perdavimo kanalas yra mažiausiai saugus, nes jis ilgas ir visaip išsišakojęs. Duomenų perdavimas tarp įvairių įrenginių yra vykdomas naudojantis įvairiomis rekomendacijomis ir protokolais, kurie yra viešai žinomi – antraip skirtingų gamintojų skirtingi įrenginiai nesusikalbėtų.

Čia matome IP paketo struktūrą. T.y. duomenys perduodami labai aiškia ir griežta struktūra: kiekvienas bitas turi savo vietą, kiekvienas laukelis turi savo ilgį. Kiekvienas tinklo įrenginys žino šią struktūrą ir iššifruoja informaciją.
Čia matome IP paketo struktūrą. T.y. duomenys perduodami labai aiškia ir griežta struktūra: kiekvienas bitas turi savo vietą, kiekvienas laukelis turi savo ilgį. Kiekvienas tinklo įrenginys žino šią struktūrą ir iššifruoja informaciją. Šį labai iškalbingą paveiksliuką pasiskolinau iš kokio tai Essay Web

NSA ilgainiui (o gal trumpaniui) suprato, jog šitaip atvirai perduoti slaptą informaciją nesaugu. Statyti lygiagrečius tinklus, apsaugotus nuo įsilaužimų – brangu. Tai jie sugalvojo kaip naudotis viešu internetu saugiai – jie ėmė duomenis šifruoti. Prigalvojo visokių būdų. Bet tada dar sugalvojo, kad, jei žmonės ims naudoti sudėtingą kriptografiją (pvz. 128-bitų), tai jie negalės dešifruoti jos ir negalės suprasti kuo žmonės tarpusavyje keičiasi. Jie sugalvojo, kad tai yra nesaugu. Nesaugu leisti visiems saugiai keistis informacija. Tada prasidėjo šifrų karai (CryptoWars).

Šifravimo būdai vis tobulėja. Bet vis kas nors sugeba dešifruoti tuos šifrus. Ir kol kas nors nedešifruoja turimo geriausiojo – duomenis perduoti naudojantis naujausiais šifrais daug-maž saugu. Tačiau šifravimo panaudojimą lengva identifikuoti. Kai kurių šalių valstybės draudžia tai daryti ir koduotų pranešimų nepraleidžia:

Kaip veikia šifravimo cenzūra
Kaip veikia šifravimo cenzūra

Čia todėl, kad valdžia nori žinoti ką žmonės daro ir ką galvoja. Kad nedarytų visokių nesąmonių ir neprigalvotų visokių bjaurasčių apie valdžią.

Bet yra šiek tiek ir protingų žmonių, kurie sugalvoja išlaikyti tą pačią IP paketo struktūrą, o koduoti jau paties paketo viduje (šitą daiktą galite atsisiųsti ir susiinstaliuoti savo kompiuteriuose, jei norite):

HTTP duomenų paketas atrodo kaip paprastas, bet duomenys viduje gali būti visai net ne HTTP arba HTTP, tik šifruoti.  Šitą, manau, valdžia irgi gali išsaiškinti ir prigalvoti būdų kaip užblokuoti tokius paketus, bet tam reiktų analizuoti visus duomenis dar giliau, o tai užtruktų...
HTTP duomenų paketas atrodo kaip paprastas, bet duomenys viduje gali būti visai net ne HTTP arba HTTP, tik šifruoti. Šitą, manau, valdžia irgi gali išsaiškinti ir prigalvoti būdų kaip užblokuoti tokius paketus, bet tam reiktų analizuoti visus duomenis dar giliau, o tai užtruktų ir jau buvęs lėtas dėl cenzūros Internetas taps išvis vos panaudojamu. Na, kol neatsiras dar gudresnių žmonių su dar gudresniais sprendimais.

Galimybės šifruoti ir iššifruoti yra didelės. Tobulėjant technologijoms – tobulėja ir šifravimai bei dešifravimai. Sąlygotinai[2] saugiai galite jaustis, jeigu naudosite vėliausiai sukurtas šifravimo technologijas ir jeigu laikysitės bent jau minimalios kiber-hgienos:

  • visur naudosite sunkiai laužomus slaptažodžius (t.y. pakankamai ilgus ir sunkiai atspėjamus, bet jums nesunkiai įsimenamus);
  • slaptažodžių neužrašinėsite kur papuola ir nelaikysite kur vėlgi papuola;
  • neleisite sau kišti visokių nepatikrintų ir svetimų usb atmintinių;
  • kontroliuosite kokios programos turi veikti jūsų kompiuteryje, o kokios ne (a.k.a. naudosite Linux 😀 arba neinstaliuosite ko papuola į bet kurią OS);
  • turėsite pakankamai proto naudotis įvairiomis apsaugomis naršydami kokiuose nors seksualinės tematikos serveriuose ar siųsdamiesi informaciją P2P ar ir visais kitais protokolais
  • nesijungsite prie savo banko ar kitokių asmeninių resursų per viešą WiFi ryšį (banko atveju saugumo lygio analogija galėtų būti prašymas atsitiktinio praeivio nunešti keletą eurų į jūsų sąskaitą tarsi prašytumėte pažymėti talonėlį viešajame transporte)
  • ir panašiai.

.Matau, kad žodis po žodžio, sakinys po sakinio ir gaunasi jau visai toks tl;dr. Bet dar neparašiau apie autorines teises, žmonių teises bei apie teisininkus (kurie kuria ir vysto mūsų elgesio taisykles), incidentų kiekį bei svarbą ir skaidrumą, kyber-karus ir kyber-karius ir dar apie visokius įdomius dalykus, kuriuos išgirdau tame seminare arba kuriuos prisiminiau jį klausydamas/žiūrėdamas…

Bet apie tai bus kitą kartą.

____________________

[1] – SpyWare tai pažodžiui išvertus gautųsi “šnipų įranga”, o tai reiškia šnipinėjanti programinė įranga. Šnipinėjanti programinė įranga paprastai būna programos veikiančios įrenginiuose, kurių šeimininkai apie tai dažnai nežino. Tos programos būna įvairios ir jos daro įvairius dalykus (pavyzdžiui: vagia duomenis, registruoja, saugo irba perduoda įvesties/išvesties komponentų informaciją į ten, į kur nenorėtumėte, kad būtų perduodama ir panašiai).

[2]– Žodį “sąlyginai” man check-speller’is raudonai pabraukė ir pasiūlė šį žodį. Gal ir visai nieko ten tas žodis.