Social media
Cezary Cerekwicki, Opera Software: Kluczem do cyberbezpieczeństwa jest człowiek
Internetowe przeglądarki ewoluują w stronę dobrze zabezpieczonych, zamkniętych systemów, ale takie rozwiązania jak protokół HTTPS nie załatwi wszystkiego – ocenia w wywiadzie dla CyberDefence24.pl Cezary Cerekwicki, Head of Product Security w Opera Software.
CyberDefence24.pl: Jakie są obecnie największe zagrożenia dla użytkowników korzystających z przeglądarek internetowych? Z których metod najczęściej korzystają cyberprzestępcy, aby zaatakować internautów surfujących w internecie z wykorzystaniem przeglądarek?
Cezary Cerekwicki: Bez wątpienia najpopularniejszą metodą ataku są wszelkiego rodzaju oszustwa internetowe, których celem jest wyłudzenie lub kradzież pieniędzy. Metody osiągnięcia tego celu są różne. Bodaj najpopularniejszy jest phishing, czyli stworzenie wyglądającej wiarygodnie nieuczciwej strony, starającej się albo wyłudzić bezpośrednio pieniądze czy ich odpowiedniki (np. tokeny BTC), albo inne poufne dane, które potem posłużą do kradzieży, czyli np. login i hasło do banku.
To zagrożenie jest bardzo trudne do wyeliminowania, bo celem ataku są ludzie, ich nawyki, pośpiech, nadmierne zaufanie do powierzchownych oznak wiarygodności. Walczyć z tym można przy pomocy edukacji użytkowników. Opera w tym celu opublikowała cykl artykułów na blogu security.
Przeglądarki mają też dedykowane rozwiązania anty-phishingowe, które wyświetlają ostrzeżenia dla stron, które trafiły na czarną listę. Zanim taka strona zostanie na niej zamieszczona mija jednak czas, bo potrzebna jest tu manualna moderacja.
Z odrobinę bardziej technicznych ataków, popularna jest kradzież ciastek (ang. cookies). Nie każdy zdaje sobie sprawę, że ciastka są danymi poufnymi i można przy ich pomocy sklonować sesję (np. uruchomić Facebooka na koncie osoby, której ciastka udało się nam poznać). Dlatego nie dajmy się nigdy namówić, aby uruchomić opcję „narzędzia dla deweloperów”, wejść do sekcji ciastek i np. wysłać komuś zrzut ekranu.
Ciastka można też ukraść przy pomocy złośliwego oprogramowania. Ofiara jest namówiona, aby np. ściągnąć sobie ciekawą grę. Tymczasem gra okazuje się być koniem trojańskim z dodatkową złośliwą funkcjonalnością kradzieży i eksfiltracji ciastek. Przed tym może chronić rozwiązanie antywirusowe, ale te cierpią na dokładnie tę samą przypadłość co anty-phishing, czyli reaktywność.
Prawie wszyscy producenci przeglądarek wprowadzają obecnie wyłączną obsługę stron internetowych za pomocą protokołu HTTPS. Co tak naprawdę oznacza to rozwiązanie i czy skutecznie zabezpiecza użytkowników przed zagrożeniami?
To rozwiązanie skutecznie broni przed zagrożeniami „w trasie” pomiędzy naszym komputerem a serwerami stron, które przeglądamy. Nie chroni nas natomiast przed zagrożeniami po obu stronach tejże trasy, czyli atakami na nasz komputer albo nieuczciwymi stronami. Zamknięta kłódka przy adresie webowym oznacza, że udało się nawiązać poprawnie szyfrowane połączenie. Nie jest to bynajmniej certyfikat uczciwości podmiotu odpowiedzialnego za dany portal. Analogicznie jest po drugiej stronie „kabla”. Jeśli nasz komputer jest zainfekowany złośliwym oprogramowaniem, to HTTPS nas z tego magicznie nie uleczy.
Celem HTTPS jest zapewnienie szyfrowanego tunelu danych, dzięki czemu nikt nieupoważniony ich nie przeczyta ani nie zmieni. Natomiast poufność dotyczy tylko treści danych, nie dotyczy zaś adresów IP, które się komunikują. Zatem jeśli wchodzimy na portal dla anonimowych alkoholików, to HTTPS wprawdzie uniemożliwi dostawcy naszych usług internetowych podejrzenie dokładnej treści czytanych przez nas artykułów, ale już nie faktu, że tyle i tyle czasu spędziliśmy klikając sobie w ten właśnie portal. Jak widać, w niektórych przypadkach już sam ten fakt może być dostatecznie wrażliwy. Jeśli chcemy się zabezpieczyć przed tym dokładnie problemem, to rozwiązaniem może być VPN. Tutaj też jest ważne, żeby był to VPN ze znanego źródła. Opera oferuje takie darmowe rozwiązanie w ramach przeglądarki.
Warto też wiedzieć, że HTTPS ma pewnego rodzaju „tylną furtkę”. Każdy podmiot, który będzie w stanie zainstalować nam na komputerze swój certyfikat kryptograficzny, uzyska możliwość przeglądania naszego ruchu sieciowego. Cechę tę wykorzystują niektóre korporacje, zwłaszcza banki, do monitorowania ruchu sieciowego swoich pracowników w celu zapobiegania wyciekom danych oraz ochronie antywirusowej. Podobnie postępują niektóre państwa. Należy mieć świadomość, że jeśli ktoś nam zaproponuje dodanie jakiegoś certyfikatu kryptograficznego do zaufanych w naszym komputerze, oznacza to zapytanie o zgodę na odszyfrowywanie naszego ruchu sieciowego.
Podsumowując, HTTPS jest ważnym i skutecznym elementem systemu bezpieczeństwa, ale ma też swoje ograniczenia. Więcej na ten temat piszemy na blogu Opera security.
Czy przeglądarki desktopowe różnią się od ich mobilnych wersji pod względem bezpieczeństwa? Na czym polegają te różnice?
Różnią się bardzo i nie dotyczy to tylko przeglądarek, ale także innych aplikacji. Mobilne systemy operacyjne, czyli iOS i Android, oferują dużo wyższe bezpieczeństwo niż którykolwiek system desktopowy. Zastosowano tam wiele innowacji, których nie da się tak łatwo wprowadzić na desktopie z powodu konieczności zapewniania kompatybilności wstecznej. Jedna z nich to separacja aplikacji, druga to wymóg korzystania z oficjalnych sklepów. Do oficjalnego sklepu, zwłaszcza Apple'a, bardzo trudno jest dostarczyć złośliwą aplikację podszywającą się pod coś nieszkodliwego. Niestety w Google Play jest to łatwiejsze. Natomiast zarówno w iOS jak i w Androidzie apki mobilne nie mogą czytać wzajemnie swoich danych. Dzięki temu trudniej jest ukraść komuś ciasteczka z przeglądarki przy użyciu złośliwego oprogramowania. Na desktopie taki atak jest dużo łatwiejszy do przeprowadzenia.
Które z zabezpieczeń stosowanych przez Operę w jej produkcie uznajecie Państwo za najbardziej skuteczne w kontekście cyberbezpieczeństwa i prywatności użytkowników?
Całkiem niedawno członek mojej rodziny padł ofiarą oszustwa w postaci sklepu internetowego, który wprawdzie przyjmował płatności, ale nie wysłał towaru i nie reagował na próby kontaktu. Zgłosiłem tę stronę do polskiego CERT oraz innych organizacji zajmujących się walką z tego typu zagrożeniami. CERT Polska zareagował bardzo szybko, dodając tę stronę do listy stron zablokowanych. Opera korzysta m.in. z list CERT w swoim rozwiązaniu anty-phishingowym, więc próba wejścia na tę stronę w Operze skutkowała wyświetleniem komunikatu ostrzegającego przed oszustwem, natomiast inne przeglądarki potrzebowały na to dużo więcej czasu, choć poinformowałem je o problemie w tym samym czasie. Ta historia pokazuje, że integracja Opery z listą CERT Polska okazała się strzałem w dziesiątkę, pozwalającym nam lepiej chronić użytkowników polskiego internetu niż rozwiązania globalne.
Obecnie Opera wprowadza wiele dodatkowych rozwiązań dotyczących nie tylko bezpieczeństwa, ale także w innych obszarach związanych potencjalnie z wygodą użytkownika, np. e-commerce. Czy oznacza to, że zmierzacie w kierunku stworzenia z przeglądarki środowiska, poza które użytkownik nie będzie musiał „się ruszać” i sięgać po zewnętrzne narzędzia, bo większość funkcjonalności zapewni mu przeglądarka?
Już od wielu lat jako firma mamy strategię, żeby ułatwiać użytkownikom wszystkie najważniejsze czynności w przeglądarce: przeglądanie internetu w bezpieczny sposób, korzystanie z mediów społecznościowych czy komunikatorów poprzez wbudowanie ich w pasek boczny czy robienie zrzutów ekranu. Łatwiejsze i bardziej opłacalne, bezpieczne zakupy to nasz kolejny krok, który robimy za pomocą Dify, naszej wbudowanej w przeglądarkę usługi cashback, która właśnie wystartowała w Polsce.
Jakie są najbliższe plany dotyczące rozwoju Opery pod względem rozwiązań dotyczących bezpieczeństwa?
Staramy się nie mówić o planach zanim nie ujrzą światła dziennego. Mogę jednak uchylić rąbka tajemnicy i powiedzieć, że jeszcze w tym roku wydamy ciekawą innowację z obszaru bezpieczeństwa w Operze. Poinformujemy o szczegółach we właściwym czasie.
Na koniec chciałem dodać jeszcze, że kluczową radą w kwestii bezpieczeństwa jest regularne korzystanie z aktualizacji przeglądarki i systemu operacyjnego - twórcy aplikacji i systemów operacyjnych stale pracują nad eliminacją zagrożeń i m.in. po to te aktualizacje robią.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany