Kako Google zagotavlja varnost vaših podatkov
Od vdiranja in lažnega predstavljanja do zlonamerne programske opreme – spletni kriminalci poskušajo na različne načine prevzeti nadzor nad spletnimi uporabniškimi računi. Googlova strokovnjaka Stephan Micklitz in Tadek Pietraszek si prizadevata, da jim ne bi uspelo.
Gospod Pietraszek, skupaj s svojo ekipo skrbite za varnost uporabniških računov. Kako hekerjem preprečujete pridobitev dostopa?
Tadek Pietraszek, glavni programski inženir za varnost uporabniških računov: V prvi vrsti je pomembno, da lahko zaznamo začetni napad. Za prepoznavanje sumljive dejavnosti uporabljamo več kot sto spremenljivk. Predpostavimo, da živite v Nemčiji in zelo redko potujete v tujino, nekdo pa poskuša dostopati do vašega računa v drugi državi – to je znak za alarm.
Stephan Micklitz, direktor oddelka za načrtovanje Googlove skupine za zasebnost in varnost: Zato vas včasih prosimo, da potrdite navedeno telefonsko številko ali druge informacije, ki jih lahko poznate samo vi kot imetnik računa.
Kako pogosto pride do tovrstnih napadov?
Pietraszek: Vsak dan je izvedenih več sto tisoč kibernetskih napadov. Naša največja težava je, da je v spletu na voljo nešteto seznamov uporabniških imen in gesel, ukradenih s spletnih mest, na katerih je prišlo do vdora. Ker številni uporabniki uporabljajo isto geslo za različne račune, ti seznami vključujejo tudi podatke za prijavo v račun Google.
Ali ti seznami predstavljajo največjo varnostno grožnjo?
Pietraszek: Da, vsekakor. To in klasični napadi z lažnim predstavljanjem. Domala vsi smo že prejeli e-poštna sporočila od kriminalcev, ki so poskušali pridobiti gesla za račune. Mi se seveda trudimo zagotoviti, da jim ne uspe. Če menimo, da je e-pošta, namenjena v vaš nabiralnik v Gmailu, videti sumljivo, jo lahko označimo z opozorilom, da si jo lahko podrobneje ogledate, lahko pa jo tudi samodejno izključimo. Tudi naš brskalnik Chrome pošilja opozorila, če poskušate obiskati spletno mesto, za katero vemo, da se lažno predstavlja.
Micklitz: Obstajata dve osnovni vrsti lažnega predstavljanja. Prva so množična e-poštna sporočila, s katerimi želijo storilci zbrati kar največ podatkov za prijavo, drugo pa imenujemo »usmerjeno lažno predstavljanje«, pri katerem storilci ciljajo račun določene osebe. Ti kompleksni postopki lahko trajajo več mesecev, v tem času pa storilec podrobno preuči življenjske navade žrtve in izvede zelo ciljno usmerjen napad.
»Če menimo, da je e-pošta, namenjena v vaš nabiralnik v Gmailu, videti sumljivo, jo lahko označimo z opozorilom.«
Tadek Pietraszek
Kako Google svojim uporabnikom pomaga preprečiti, da bi bili tovrstni napadi uspešni?
Pietraszek: Eden od primerov je naš sistem preverjanja v dveh korakih. Številni uporabniki so tak sistem spoznali že pri spletnih bančnih računih. Če želite na primer prenesti denar, morate morda vnesti geslo in še kodo, prejeto v sporočilu SMS. Google je preverjanje pristnosti v dveh korakih uvedel leta 2009, prej kot večina drugih glavnih ponudnikov e-poštnih storitev. Poleg tega Googlovi uporabniki, ki registrirajo svojo telefonsko številko, samodejno pridobijo podobno raven zaščite proti sumljivim poskusom prijave.
Micklitz: Preverjanje pristnosti v dveh korakih je dober način zaščite, toda tudi kode v sporočilih SMS je mogoče prestreči. Kriminalci se lahko na primer obrnejo na vašega mobilnega operaterja in ga poskušajo prepričati, da jim pošlje še eno kartico SIM. Še varnejše je preverjanje pristnosti s fizičnim varnostnim žetonom, kot je oddajnik Bluetooth ali ključek USB.
Pietraszek: To uporabljamo v okviru našega programa dodatne zaščite.
Kaj je to?
Pietraszek: Program dodatne zaščite je Google uvedel leta 2017, namenjen pa je vsem, ki so izpostavljeni večjemu tveganju, da jim kdo vdre v račun, na primer novinarjem, generalnim direktorjem, političnim disidentom in politikom.
Micklitz: Zagotavljamo fizični varnostni ključ, poleg tega pa aplikacijam drugih ponudnikov tudi omejimo dostop do podatkov, in sicer z vključitvijo dodatnih korakov, v katerih morajo uporabniki potrditi svojo identiteto, če izgubijo ključ.
Nam lahko poveste malo več o katerem velikem kibernetskem napadu in vašem odzivu nanj?
Pietraszek: Eden takih napadov se je zgodil v začetku leta 2017. Hekerji so razvili zlonamerni program za dostop do želenih računov Google in pošiljali lažna e-poštna sporočila stikom uporabnikov. V teh e-poštnih sporočilih so pozivali prejemnike, da odobrijo dostop lažnemu Googlovemu dokumentu. Vsi, ki so jih uspeli prepričati, so neprostovoljno odobrili dostop zlonamerni programski opremi, enaka lažna e-poštna sporočila pa so bila samodejno poslana tudi vsem njihovim stikom. Virus se je naglo širil. Za tovrstne primere imamo pripravljene načrte kriznega ukrepanja.
Micklitz: V tem konkretnem primeru smo denimo blokirali distribucijo teh e-poštnih sporočil v Gmail, preklicali dostop, ki je bil odobren programu, in zaščitili račune. Seveda smo dodali tudi sistematične zaščitne ukrepe, da bi bili podobni napadi v prihodnje težje izvedljivi. Računi Google so stalno izpostavljeni napadom, zato naši samodejni sistemi zagotavljajo kar najučinkovitejšo zaščito. To pa je seveda odvisno od naših možnosti vzpostavljanja stika z uporabniki na druge načine, ne prek računa Google – torej prek nadomestnega e-poštnega naslova ali številke mobilnega telefona.
»Običajno je pravzaprav dovolj že upoštevanje nekaterih osnovnih pravil.«
Stephan Micklitz
Kako pomembna je varnost za povprečnega uporabnika?
Pietraszek: Številnim se zdi zelo pomembna, vendar je lahko izvajanje nujnih varnostnih ukrepov zoprno opravilo. To na primer pojasni, zakaj ljudje pogosto uporabljajo isto geslo za več računov – kar je največja napaka, ki jo lahko naredite. Naša naloga je uporabnikom razložiti, kako lahko svoje račune zaščitijo s čim manj truda. Zato v računu Google ponujamo funkcijo Varnostni pregled, ki uporabnikom omogoča preprosto preverjanje nastavitev.
Micklitz: Običajno je pravzaprav dovolj že upoštevanje nekaterih osnovnih pravil.
In katera so ta pravila?
Micklitz: Ne uporabljajte istega gesla za več storitev, nameščajte varnostne posodobitve in izogibajte se sumljivi programski opremi. Navedite telefonsko številko ali nadomestni e-poštni naslov, da vas bo mogoče doseči tudi na druge načine. Omogočite tudi zaklepanje zaslona telefona, da nepooblaščenim posameznikom otežite dostop. Že samo teh nekaj korakov predstavlja dober začetek.
Fotografije: Conny Mirbach
Izboljšave varnosti v spletu
Preberite več o tem, kako ščitimo več ljudi v spletu kot kdor koli drug na svetu.
Več o tem