Ako Google zabezpečuje vaše údaje
Kybernetickí zločinci používajú na útoky na používateľské účty rozmanité metódy, od hackerských útokov a phishingu až po malvér. Stephan Micklitz a Tadek Pietraszek z Googlu sa starajú o to, aby sa im to nepodarilo.
Pán Pietraszek, vy a váš tím zodpovedáte za zaistenie bezpečnosti používateľských účtov. Ako bránite hackerom, aby k nim získali prístup?
Tadek Pietraszek, hlavný softvérový vývojár pre zabezpečenie používateľských účtov: Predovšetkým je dôležité, aby sme dokázali odhaliť prvotný útok. Podozrivú aktivitu zisťujeme pomocou viac než stovky premenných. Povedzme napríklad, že žijete v Nemecku, do zahraničia cestujete iba zriedka a niekto sa pokúsi prihlásiť do vášho účtu z inej krajiny. Náš bezpečnostný systém si to všimne a pošle vám upozornenie.
Stephan Micklitz, riaditeľ vývoja v tíme Googlu pre ochranu súkromia a zabezpečenie: Z tohto dôvodu tiež používateľov občas žiadame, aby overili zadané telefónne číslo alebo iné údaje, ktoré pozná iba majiteľ účtu.
Ako často k takýmto útokom dochádza?
Pietraszek: Denne prebiehajú stovky tisíc kybernetických útokov. Naším najväčším problémom je to, že internet obsahuje nespočetné množstvo zoznamov používateľských mien a hesiel ukradnutých z napadnutých webov. A vzhľadom na to, že mnoho našich používateľov používa rovnaké heslo v rôznych účtoch, obsahujú tieto zoznamy tiež prihlasovacie údaje do účtov Google.
Sú tieto zoznamy najväčšou bezpečnostnou hrozbou?
Pietraszek: Určite áno. Tieto zoznamy a klasické phishingové útoky. Takmer každý už niekedy dostal správu od zločinca, ktorý sa pokúšal získať heslo do jeho účtu. My sa, samozrejme, staráme o to, aby sa to nepodarilo. Ak sa domnievame, že správa odoslaná do vášho Gmailu vyzerá podozrivo, môžeme ju označiť upozornením, aby ste si ju mohli dôkladnejšie prehliadnuť, alebo ju môžeme automaticky odfiltrovať. Aj prehliadač Chrome odosiela upozornenia, keď sa pokúsite navštíviť web, o ktorom vieme, že je phishingový.
Micklitz: Existujú dva základné typy phishingu. Hromadné správy, pomocou ktorých sa páchatelia snažia získať čo najviac prihlasovacích údajov, a takzvaný „spear phishing“, čo je útok cielený na účet konkrétnej osoby. Môže ísť o dosť rafinované operácie, ktoré trvajú niekoľko mesiacov, počas ktorých páchateľ podrobne skúma, ako daná osoba žije, a potom začne veľmi cielený útok.
„Ak sa domnievame, že správa odoslaná do vášho Gmailu vyzerá podozrivo, môžeme ju označiť upozornením.“
Tadek Pietraszek
Ako Google pomáha svojim používateľom zabrániť tomu, aby tieto útoky boli úspešné?
Pietraszek: Napríklad prostredníctvom systému dvojstupňového overenia. Mnoho používateľov tento systém pozná z internetového bankovníctva. Ak chcete napríklad previesť peniaze, musíte zadať heslo aj kód, ktorý vám príde v textovej správe. Google dvojstupňové overenie zaviedol v roku 2009, skôr ako väčšina popredných poskytovateľov e‑mailu. Používatelia Googlu, ktorí majú zaregistrované číslo mobilného telefónu, majú navyše automaticky k dispozícii podobnú úroveň ochrany proti podozrivým pokusom o prihlásenie.
Micklitz: Dvojstupňové overenie je síce dobrá metóda, ale aj kódy z textových správ sa dajú zachytiť. Zločinci napríklad môžu kontaktovať vášho mobilného operátora a skúsiť ho požiadať o zaslanie druhej SIM karty. Bezpečnejšie je preto overenie pomocou fyzického bezpečnostného tokenu, ako je vysielač Bluetooth alebo kľúč USB.
Pietraszek: Tento prostriedok využívame v rámci nášho programu rozšírenej ochrany.
Čo to je?
Pietraszek: Program rozšírenej ochrany uviedla spoločnosť Google v roku 2017 a je určený pre používateľov s vyšším rizikom útokov hackerov, ako sú novinári, generálni riaditelia, politickí disidenti alebo politici.
Micklitz: Okrem fyzického bezpečnostného kľúča tiež obmedzujeme prístup aplikácií tretích strán k údajom tak, že vyžadujeme ďalšie kroky, kedy používatelia musia pri strate kľúča overiť svoju totožnosť.
Môžete nám opísať nejaký veľký kybernetický útok a ako ste naň reagovali?
Pietraszek: K jednému takému útoku došlo na začiatku roka 2017. Hackeri vytvorili škodlivý program, aby získali prístup do účtov Google používateľov a mohli ich kontaktom posielať falošné správy. Tieto správy príjemcov žiadali, aby im udelili prístup k falošnému dokumentu od Googlu. Používatelia, ktorí to urobili, tak neúmyselne udelili prístup malvéru a automaticky odosielali rovnaké falošné správy svojim kontaktom. Tento vírus sa šíril veľmi rýchlo. Pre podobné situácie máme vytvorené núdzové plány.
Micklitz: V tomto konkrétnom prípade sme napríklad v Gmaile zablokovali rozposielanie týchto správ, zrušili prístup udelený príslušnému programu a účty sme zabezpečili. Samozrejme, prijali sme tiež systematické bezpečnostné opatrenia, aby v budúcnosti bolo ťažšie podobné útoky vykonať. Účty Google čelia útokom neustále a naše automatické systémy poskytujú tú najúčinnejšiu ochranu. Tá, samozrejme, závisí od toho, či používateľov dokážeme kontaktovať aj inak než cez účet Google. Potrebujeme teda ich druhú e‑mailovú adresu alebo číslo mobilného telefónu.
„Obvykle sa stačí riadiť niekoľkými základnými pravidlami.“
Stephan Micklitz
Ako dôležité je zabezpečenie pre priemerného používateľa?
Pietraszek: Pre mnoho ľudí je veľmi dôležité, ale dodržiavať potrebné bezpečnostné opatrenia môže byť pre nich únavné. To napríklad vysvetľuje, prečo ľudia často používajú rovnaké heslo v niekoľkých účtoch, čo je tá najhoršia chyba, akú môžete urobiť. Našou úlohou je vysvetliť používateľom, ako môžu svoj účet ochrániť s minimálnym úsilím. Z toho dôvodu v účte Google ponúkame kontrolu zabezpečenia, ktorá používateľom umožňuje jednoducho skontrolovať nastavenia.
Micklitz: Obvykle sa stačí riadiť niekoľkými základnými pravidlami.
A aké sú to pravidlá?
Micklitz: Nepoužívať rovnaké heslo vo viacerých službách, inštalovať bezpečnostné aktualizácie a vyhýbať sa podozrivému softvéru. Zadať telefónne číslo alebo alternatívnu e‑mailovú adresu, aby vás bolo možné kontaktovať aj inde. A aktivovať v telefóne zámku obrazovky, aby k nemu neoprávnené osoby nemohli jednoducho získať prístup. To na začiatok stačí.
Fotky: Conny Mirbach
Pokroky v oblasti kybernetického zabezpečenia
Zistite, ako chránime viac ľudí na internete ako ktokoľvek iný na svete.
Ďalšie informácie