Kako Google štiti vaše podatke
Od hakiranja i krađe identiteta do zlonamjernog softvera, računalni kriminalci upotrebljavaju različite metode otimanja korisničkih računa. Googleovi Stephan Micklitz i Tadek Pietraszek brinu se da u tome ne uspiju.
Tadek Pietraszek
radi na ciriškoj lokaciji tvrtke od 2006., gdje predvodi velik tim stručnjaka. Pietraszek je 2006. stekao doktorat iz računalnih znanosti na sveučilištu Albert Ludwig u Freiburgu.
Gosp. Pietraszek, vi i vaš tim odgovorni ste za održavanje sigurnosti korisničkih računa. Kako sprječavate da hakeri dobiju pristup?
Tadek Pietraszek, glavni softverski inženjer za sigurnost korisničkih računa: "Kao prvo, važno je da možemo detektirati inicijalni napad. Upotrebljavamo više od stotinu varijabli za identificiranje sumnjive aktivnosti. Recimo da živite u Njemačkoj, vrlo rijetko putujete u inozemstvo i netko pokuša pristupiti vašem računu iz druge zemlje. To poziva na uzbunu."
Stephan Micklitz, direktor inženjerstva u Googleovom timu za privatnost i sigurnost: "Zbog toga ponekad od vas tražimo da potvrdite telefonski broj koji ste nam dali ili druge informacije koje biste znali samo vi kao vlasnik računa."
Za Tadeka Pietraszeka (lijevo) krađa identiteta jedna je od najvećih online sigurnosnih prijetnji.
Koliko se često ti napadi događaju?
Pietraszek: "Stotine tisuća kibernetičkih napada događa se svakog dana. Naš je najveći problem taj što internet sadrži bezbroj popisa korisničkih imena i zaporki ukradenih s hakiranih web-lokacija. Budući da niz naših korisnika ima istu zaporku za različite račune, ti popisi uključuju i podatke za prijavu na Google račun."
Predstavljaju li ti popisi najveću sigurnosnu prijetnju?
Pietraszek: "Da, apsolutno. To i klasični napadi krađe identiteta. Gotovo svatko primio je e-poruke od kriminalaca s pokušajem dobivanja zaporke za račun. Naravno, mi dajemo sve od sebe da u tome ne uspiju. Ako smatramo da e-poruka upućena u vašu pristiglu poštu na Gmailu izgleda sumnjivo, možemo je označiti upozorenjem kako biste mogli bolje pogledati ili je možemo automatski filtrirati. Naš preglednik Chrome također šalje upozorenja kad pokušate posjetiti web-lokaciju za koju znamo da je namijenjena krađi identiteta."
Micklitz: "Postoje dvije osnovne vrste krađe identiteta. Masovna e-pošta, koju počinitelji upotrebljavaju kako bi prikupili što više podataka za prijavu te takozvana "krađa identiteta visokog profila" u kojoj ciljaju račun određene osobe. Može biti riječ o vrlo sofisticiranim operacijama koje traju nekoliko mjeseci, tijekom kojih počinitelj detaljno ispituje žrtvin život i pokreće vrlo ciljani napad."
"Ako smatramo da e-poruka upućena u vašu pristiglu poštu na Gmailu izgleda sumjivo, možemo je označiti upozorenjem."
Tadek Pietraszek
Kako Google korisnicima pomaže spriječiti da ti napadi budu uspješni?
Pietraszek: "Jedan je primjer naš sustav potvrde u dva koraka". Mnogi korisnici upoznati su s tom vrstom sustava na svojim online bankovnim računima. Ako želite, na primjer, prenijeti novac, možda trebate unijeti zaporku i kôd koji su poslani putem SMS-a. Google je 2009. uveo dvostruku autentifikaciju, što je bilo prije većine drugih velikih davatelja usluge e-pošte. Osim toga, korisnici Googlea koji su registrirali broj mobilnog telefona automatski imaju koristi od slične razine zaštite od sumnjivih pokušaja prijave.
Micklitz: "Dvostruka autentifikacija dobra je metoda, no čak i kodovi u SMS-u mogu se presresti. Na primjer, kriminalci se mogu obratiti mobilnom operateru i zatražiti da im se pošalje druga SIM kartica. Autentifikacija upotrebom fizičkog sigurnosnog tokena, kao što je Bluetooth odašiljač ili USB uređaj, još je sigurnija."
Pietraszek: "Taj resurs upotrebljavamo u okviru Programa napredne zaštite".
Što je to?
Pietraszek: "Program napredne zaštite Google je uveo 2017., a namijenjen je korisnicima kod kojih postoji veći rizik od hakiranja, kao što su novinari, glavni izvršni direktori, politički disidenti i političari."
Micklitz: "Osim što imamo fizički sigurnosni ključ, pristup podacima iz aplikacija trećih strana ograničavamo uključivanjem dodatnih koraka kada korisnici moraju potvrditi svoj identitet ako izgube ključ."
Direktor inženjerstva Stephan Micklitz odgovoran je za globalnu privatnost i sigurnost u Googleu. Studirao je računalne znanosti na Tehničkom sveučilištu u Münchenu i od kraja 2007. godine radi u Googleovom minhenskom uredu.
Možete li nam reći više o velikom kibernetičkom napadu i načinu na koji ste reagirali na njega?
Pietraszek: "Jedan od tih napada dogodio se početkom 2017. Hakeri su izradili zlonamjerni program kako bi dobili pristup žrtvinom Google računu i slali lažne e-poruke drugim kontaktima tog korisnika. U tim e-porukama od primatelja zatraženo je da odobre pristup lažnom Googleovom dokumentu. Osobe koje su to učinile nesvjesno su dale pristup zlonamjernom softveru i automatski su poslale iste lažne e-poruke svojim kontaktima. Virus se brzo širio. Za takve situacije imamo planove za izvanredne situacije."
Micklitz: "U tom konkretnom slučaju, na primjer, blokirali smo distribuciju tih e-poruka na Gmailu, opozvali pristup odobren programu i zaštitili račune. Naravno, dodali smo i sustavne zaštitne mjere kako bismo otežali slične napade u budućnosti. Google računi stalno se napadaju, a naši automatizirani sustavi pružaju najučinkovitiju zaštitu. To, naravno, ovisi o mogućnosti da se možemo obratiti korisnicima i izvan Google računa, tj. na drugu e-adresu ili broj mobilnog telefona."
"Zapravo, pridržavanje nekoliko osnovnih pravila obično je dovoljno."
Stephan Micklitz
Koliko je sigurnost važna prosječnom korisniku?
Pietraszek: "Mnogi je smatraju vrlo važnom, no poduzimanje potrebnih sigurnosnih mjera predostrožnosti može biti zamorno. To objašnjava, na primjer, zašto korisnici često upotrebljavaju istu zaporku za više računa, što je najveća pogreška koju možete napraviti. Naš je posao objasniti korisnicima kako mogu zaštititi svoje račune uz minimalan trud. Stoga nudimo sigurnosnu provjeru na Google računu, što korisnicima omogućuje da jednostavno provjere svoje postavke."
Micklitz: "Zapravo, pridržavanje nekoliko osnovnih pravila obično je dovoljno."
A ta pravila glase?
Micklitz: "Nemojte upotrebljavati istu zaporku za više usluga, instalirajte sigurnosna ažuriranja i izbjegavajte sumnjivi softver. Unesite telefonski broj ili zamjensku e-adresu kako bismo vas mogli kontaktirati na neki drugi način. I omogućite zaključavanje zaslona na mobilnom telefonu kako biste neovlaštenim osobama otežali pristupanje. Ti koraci predstavljaju dobar početak."
Fotografije: Conny Mirbach
Napredak u području kibernetičke sigurnosti
Saznajte kako online štitimo više korisnika nego bilo tko drugi na svijetu.
Saznajte više