Upravljanje online zaporkama
Kad je riječ o online sigurnosti, mnogi se korisnici osjećaju pobijeđeno. Googleovi zaposlenici Mark Risher i Stephan Micklitz govore o uzimanju tih emocija u obzir u razvoju sigurnosnih mjera
Gospodine Risher, vi ste direktor odjela za upravljanje proizvodima u Googleu, a radite u domeni internetske sigurnosti. Jeste li ikada bili žrtva online prijevare?
Mark Risher: Trenutno se ne mogu sjetiti konkretnog primjera, ali pretpostavljam da jesam. I ja griješim dok surfam webom, baš kao i svi drugi. Primjerice, nedavno sam svoju Google zaporku unio na pogrešnu web-lokaciju. Srećom, instalirao sam dodatak Zaštita zaporke u Chromeu, koji mi je ukazao na pogrešku. Tada sam, naravno, odmah promijenio zaporku.
Stephan Micklitz, direktor inženjerstva u Googleovom timu za privatnost i sigurnost: Sve je to za ljude. Nakon što zapamtimo zaporku, lako se može dogoditi da je tipkamo, a da pritom ne obraćamo pažnju na to gdje je unosimo.
Risher: Voljeli bismo se potpuno riješiti zaporki, ali to nažalost nije tako lako.
"Brojne sigurnosne mjere poduzimaju se iza kulisa."
Mark Risher
Zašto su zaporke tako velik problem?
Risher: Imaju mnogo nedostataka. Lako ih se može ukrasti, ali su teško pamtljive, a upravljanje zaporkama može biti vrlo zamorno. Brojni korisnici vjeruju da bi zaporke trebale biti što dulje i kompliciranije, iako se time zapravo povećava sigurnosni rizik. Komplicirane zaporke mame korisnike da ih koriste za više od jednog računa, zbog čega su još ranjiviji.
Micklitz: Što rjeđe unosite zaporku, to bolje. Zato se ne biste trebali stalno iznova prijavljivati u račune i odjavljivati s njih. Tijekom vremena to može rezultirati time da korisnici prestanu obraćati pozornost na kojoj se web-stranici nalaze, čime uvelike olakšavaju posao kradljivcima zaporki. Stoga svojim korisnicima savjetujemo da se ne odjavljuju.
Web-lokacija moje banke automatski me odjavljuje nakon nekoliko minuta neaktivnosti.
Micklitz: Nažalost, mnoge se tvrtke i dalje pridržavaju zastarjelih pravila. Savjet o stalnom odjavljivanju potječe iz vremena kad se većina ljudi spajala na mrežu u internetskim kafićima ili kada su dijelili računalo s drugima. Naše istraživanje pokazuje da što više puta ljudi unesu svoje zaporke to će vjerojatnije biti žrtve kibernetičkog napada. Stoga je sigurnije jednostavno aktivirati zaključavanje zaslona na mobilnom telefonu ili računalu i koristiti sigurnu zaporku.
Risher: Upravo tako. Nažalost, kruže brojni netočni ili nepraktični savjeti, što može biti zbunjujuće za mnoge korisnike. U najgorem slučaju, ljudi se osjećaju tako nesigurno da jednostavno odustaju: "Ako mi je toliko teško zaštititi sebe, možda bih jednostavno trebao/trebala odustati". U neku ruku, to je kao da nikad ne zatvarate ulazna vrata jer znate da u okolici ima provalnika.
Mark Risher Googleov je direktor odjela za upravljanje proizvodima za pitanja sigurnosti i privatnosti. U 2010. osnovao je start-up za kibernetičku sigurnost Impermium, koji je 2014. preuzeo Google. Risher otad radi u sjedištu tvrtke u Mountain Viewu, Kalifornija. S desne strane: sigurnosni ključ koji se upotrebljava u programu napredne zaštite. Dostupan je za malu naknadu i može se upotrebljavati na različitim web-lokacijama.
Kako bi Google osiguravao sigurnost korisnika kad bi se ukinule zaporke?
Risher: Već postoje brojne dodatne sigurnosne mjere koje se provode iza kulisa. Haker može saznati vašu zaporku i broj vašeg mobilnog telefona, a mi bismo i dalje mogli jamčiti sigurnost za vaš Google račun od 99,9%. Primjerice, provjeravamo s kojeg se uređaja ili iz koje zemlje netko prijavljuje. Ako se netko nekoliko puta uzastopce pokuša prijaviti na vaš račun s neispravnom zaporkom, to pokreće alarme u našim sigurnosnim sustavima.
Micklitz: Razvili smo i sigurnosnu provjeru, koja omogućuje korisnicima da korak po korak prođu osobne postavke sigurnosti na svojem Google računu. Uz program napredne zaštite idemo korak naprijed.
Na temelju koje ideje je nastao taj program?
Micklitz: Izvorno je program razvijen za osobe kao što su političari, glavni izvršni direktori ili novinari koji mogu biti osobito zanimljivi kriminalcima. No sada je dostupan svima koji žele dodatnu online zaštitu. Samo oni s posebnim USB ili Bluetooth ključem mogu dobiti pristup svojem zaštićenom Google računu.
Risher: Iz iskustva znamo koliko je ovaj sustav učinkovit, a svi Googleovi zaposlenici koriste sigurnosni ključ kako bi njihov poslovni račun bio siguran. Otkad smo uveli tu sigurnosnu mjeru, nismo imali nijedan slučaj krađe identiteta koji se može povezati s potvrdom zaporke. Token uvelike poboljšava sigurnost Google računa jer čak i ako napadači znaju zaporku, bez tokena ne mogu pristupiti računu. Općenito, online račun može se hakirati s bilo kojeg mjesta na svijetu. No to nije tako za račune koji su zaštićeni fizičkim sigurnosnim tokenom.
Micklitz: Usput, ti se sigurnosni tokeni mogu koristiti za brojne web-lokacije, a ne samo za Googleov program napredne zaštite. Možete ih kupiti od nas ili od drugih pružatelja za malu naknadu. Sve pojedinosti mogu se pronaći na adresi g.co/advancedprotection.
"Ljudima je ponekad teško ocijeniti rizike na internetu."
Stephan Micklitz
Prema vašem mišljenju, koje su najveće opasnosti koje danas vrebaju na internetu?
Risher: Jedan od problema jest postojanje brojnih popisa korisničkih imena i zaporki online. Naš kolega Tadek Pietraszek proveo je šest tjedana pretražujući internet sa svojim timom. Pronašli su 3,5 milijardi kombinacija korisničkih imena i zaporki. To nisu podaci s hakiranih Google računa, to su podaci ukradeni drugim davateljima usluga. Međutim, budući da brojni korisnici koriste jednaku zaporku za više računa, ti popisi predstavljaju problem i za nas.
Micklitz: Mislim da je krađa identiteta visokog profila ogroman problem. To je situacija kada napadač sastavi toliko pametno personaliziranu poruku da je žrtvi teško prepoznati namjeru prijevare. Vidimo da hakeri sve češće i češće primjenjuju tu metodu, i to uspješno.
Risher: Slažem se sa Stephanom. Usto, krađa identiteta visokog profila ne oduzima ni približno toliko vremena koliko se čini. Često je za personalizaciju neželjene poruke e-pošte dovoljno samo nekoliko minuta. Hakeri mogu koristiti informacije koje korisnici objavljuju o sebi online. To je problem s kriptovalutama, primjerice: osobe koje javno objavljuju da posjeduju 10.000 bitcoina ne bi se trebale iznenaditi ako ta informacija privuče pozornost računalnih kriminalaca.
Micklitz: To je kao da ja stanem nasred tržnice s megafonom i objavim stanje svojeg bankovnog računa. Tko bi to učinio? Nitko. No ljudima je ponekad teško procijeniti rizike na internetu.
Jesu li svakodnevne neželjene e-poruke i dalje problem?
Risher: Povezivanje uređaja i usluga velik je izazov za nas. Ljudi ne koriste samo prijenosna računala i pametne telefone za online pristup – koriste i televizore, pametne satove i pametne zvučnike. Na svim tim uređajima aktivne su razne aplikacije, čime se hakerima otvaraju brojne različite potencijalne točke napada. Budući da su mnogi uređaji sada povezani, hakeri mogu koristiti jedan uređaj kako bi pokušali pristupiti informacijama pohranjenima na drugom uređaju. Stoga sada moramo odgovoriti na pitanje: Kako možemo jamčiti sigurnost svojih korisnika unatoč brojnim novim navikama korištenja?
Micklitz: Sve počinje od nas. Moramo si postaviti pitanje koji su nam podaci zaista potrebni za svaku uslugu, a koji se podaci razmjenjuju među uslugama.
Stephan Micklitz
direktor je inženjerstva u Googleovom timu za privatnost i sigurnost. Studirao je računalne znanosti na Tehničkom sveučilištu u Münchenu i od kraja 2007. godine radi u Googleovom minhenskom uredu. Micklitz je član uprave njemačke inicijative za sigurnost na internetu Deutschland sicher im Netz (DsiN).
Kako upotrebljavate umjetnu inteligenciju da biste pomogli zaštititi korisnike?
Micklitz: Google već neko vrijeme koristi umjetnu inteligenciju.
Risher: Ta tehnologija od samog je početka ugrađena u našu uslugu e-pošte, Gmail. Google je čak razvio vlastitu zbirku o strojnom učenju pod nazivom TensorFlow, koja olakšava posao programerima uključenima u strojno učenje. Gmailu posebno koristi TensorFlow jer pruža vrijednu uslugu kad je riječ o prepoznavanju uobičajenih uzoraka.
Možete li objasniti kako funkcionira to prepoznavanje uzoraka?
Risher: Promotrimo sumnjivu aktivnost među nekoliko korisnika koju ne možemo kategorizirati. Stroj koji može samostalno učiti može usporediti te događaje i u najboljem slučaju otkriti nove oblike prevare prije negoli se oni uopće počnu širiti online.
Micklitz: No postoje ograničenja. Stroj je inteligentan samo onoliko koliko je inteligentna osoba koja ga koristi. Ako stroju dajem netočne ili jednostrane podatke, uzorci koje stroj prepoznaje također će biti netočni ili jednostrani. Unatoč uzbuđenju povezanom s umjetnom inteligencijom, njezina učinkovitost uvijek ovisi o osobi koja je koristi. Na korisniku je da uređaj obučava podacima visoke kvalitete te da potom provjerava rezultate.
Risher: Jednom dok sam radio za drugog davatelja usluge e-pošte, dobili smo poruku zaposlenika banke u Lagosu. U to je vrijeme kružilo mnogo lažnih e-poruka koje su navodno dolazile iz Nigerije. Čovjek se žalio da njegove e-poruke uvijek završe u primateljevoj mapi neželjene pošte iako radi za uglednu banku. To je tipičan slučaj netočne generalizacije u prepoznavanju uzoraka zbog nedovoljno informacija. Promjenom algoritma uspjeli smo mu pomoći da riješi taj problem.
Fotografije: Conny Mirbach
Napredak u području kibernetičke sigurnosti
Saznajte kako online štitimo više korisnika nego bilo tko drugi na svijetu.
Saznajte više