Oblaku ni dobro preveč zaupati

Vdor v spletne profile novinarja Mata Honana je razkril, kako pomembne so varnostne kopije podatkov.

Objavljeno
10. avgust 2012 15.07
reu/AMAZON/
Matjaž Ropret, Infoteh
Matjaž Ropret, Infoteh
Zgodba o vdoru v spletne račune novinarja ameriške revije Wired Mata Honana in izbrisu vseh njegovih naprav (telefona, tablice in prenosnika) na daljavo, je ta teden vzbudila veliko pozornost. In hkrati pokazala veliko varnostnih lukenj pri oblačnih storitvah in osnovna pravila, ki bi se jih morali držati vsi.

Na kratko povzeto, se je zgodilo nekako tako. Hekerji so se dokopali do gesla za Honanov e-račun za Applove storitve (icloud) in mu spremenili geslo. Nato so s tega računa pobrisali vse in na daljavo še resetirali novinarjev iphone, ipad in macbook, pri čemer so zbrisali vse podatke. Nazadnje so, ker so imeli dostop do vseh povezanih računov (gmail, Amazon), vdrli še v Honanov uporabniški račun na twitterju in tam začeli objavljati rasistična sporočila, kar je bil vseskozi cilj napada, kot je v kasnejšem pogovoru z novinarjem priznal eden od hekerjev z vzdevkom Phobia.

Izkazalo se je, da so do ključnih informacij za vdor v uporabniške račune lahko prišli zaradi pomanjkljivih varnostnih postopkov tako Appla kot Amazona. Prvi je namreč do pred nekaj dnevi za dodajanje e-poštnega naslova v uporabnikov profil po telefonu (tako, da uporabnik pokliče v klicni center) zahteval le ime profila, s profilom povezan e-poštni naslov in (poštni) naslov za izdajo računa.

Apple pa je za ponastavitev e-poštnega gesla poleg naslova bivališča zahteval še zadnje štiri številke na povezani kreditni kartici. In hekerji so ta podatek dobili v profilu na Amazonu, kjer so vidne ravno zadnje štiri številke. Kot je zadevo komentiral vodja slovenskega centra za posredovanje pri omrežnih incidentih (Si-cert) Gorazd Božič, so napadalci do ključnih podatkov prišli preveč preprosto, z najbolj osnovnim socialnim inženiringom.

So torej ponudniki odpovedali pri varnosti svojih storitev? »Nedvomno sta Amazon in Apple storila napako v svojih postopkih, kar bosta morala spremeniti. Tovrstni ponudniki imajo za cilj najprej zajeti čim več uporabnikov, šele nato razmišljajo o možnih zapletih,« meni Božič. Po poročanju ameriških medijev sta oba omenjena ponudnika že zaostrila pogoje, pod katerimi dovolita spreminjanje gesel ali dodajanje računov, uporabniki bodo torej morali podati še kakšen podatek o sebi.

Varnostne kopije so nujne

Glavna napaka, ki jo je naredil Mat Honan, ni bila v šibkih geslih ali kakšni podobni nepazljivosti. Brez podatkov je ostal, ker ni poskrbel za varnostno kopijo ali celo več kopij. Zaupal je ponudniku oblaka in ostal brez vseh družinskih fotografij in novinarskih besedil. Zato obvezno poskrbite, da imate pomembne podatke - med te gotovo štejejo tudi zasebne fotografije in podobno - shranjene še nekje, ne zgolj na trdem disku v računalniku ali (bog ne daj) v oblaku. Vsaj na zunanjem trdem disku, še bolje v omrežni shrambi (NAS) z dvema zrcaljenima diskoma. In morda še pri tretjem ponudniku.

»Uporabnikom poleg izdelave lastnih varnostnih kopij svetujemo tudi, naj občutljive storitve vežejo na poštne predale pri kakšnem slovenskem ponudniku. V primeru zlorab je reagiranje lahko bistveno hitrejše,« pravi Božič. Pri tujih ponudnikih (Google, Yahoo, Microsoft) namreč tudi Si-cert ob svojem posredovanju, ko uporabniki ostanejo brez podatkov, ugotavlja, da je odvisen zgolj od dobre volje ponudnika.

Koristno je imeti kar e-poštni račun, namenjen zgolj prijavam oziroma ponastavitvam spletnih storitev, ne običajni korespondenci. Naslova tega računa pa ne smemo zaupati nikomur. Tako se možnost vdora vanj bistveno zmanjša. Nekatere storitve, denimo gmail, omogočajo tudi dvonivojsko avtentikacijo (preverjanje v dveh korakih), pri kateri se je treba za prijavo poleg gesla izkazati za pravo osebo še z nečim (prstnim odtisom, enkratnim geslom, ki ga generira telefon). Pri vsem skupaj pa se je treba zavedati, da nobena e-storitev ni popolnoma varna, in temu primerno ukrepati.