Press
3. 5. 2021

Trend: Z Clubhousu sa stane najväčšia databáza hlasových záznamov na svete

Náš expert Vlado Palečka v rozhovore pre Trend.

V uplynulých dňoch sme sa stali svedkami viacerých únikov dát zo sociálnych sietí. Prečo sa tomu tak deje? 

Primárnym dôvodom u takmer 90% všetkých únikov dát či útokov na sociálne siete je finančný prospech útočníka. Tento sa snaží dáta predať tretím stranám, alebo aj priamo vydierať osoby pod hrozbou zverejnenia údajov, fotiek, informácií. Cena údajov kreditnej karty sa pohybuje na čiernom trhu od 20 USD v závislosti od karty, bonity klienta a pod. Zdravotné údaje, ako sú čísla sociálneho poistenia, vedia útočníci predať už od 10 USD.  Nejde však len o priame finančné obohatenie. Stačí si spomenúť na  veľkú kauzu z roku 2018, kde britská spoločnosť Cambridge Analytica, ktorá sa venuje zberu a analýze dát, viedla kampaň pomocou údajov z Facebooku, kde získala informácie o takmer 50 mil. užívateľov Facebooku a tie využila pri vývoji software na podporu Trumpovej volebnej kampane v roku 2016. Cambridgeská spoločnosť podľa agentúry Reuters v roku 2014 vyvíjala počítačový program, ktorý mal pomôcť predpovedať preferencie voličov a ovplyvniť ich rozhodovanie. Firma pritom čerpala z privátnych dát bez povolenia užívateľov. Systém mal utvárať profil voličov a podľa neho riadiť distribúciu personalizovanej politickej reklamy. Tu je vidieť, že využitie údajov zo sociálnych sietí je obrovské, a záleží len na tom ako a na aký účel ich vie útočník spracovať.

Zvyšných 10%  útokov je skôr o osobnom motíve, v snahe dokázať si, že som schopný prelomiť zabezpečenie.

Drvivá väčšina ľudí, ktorí pristupujú na sociálne siete si ani neuvedomuje, akú digitálu stopu -nezmazateľnú – za sebou zanechávajú a ako sa tieto údaje dajú zneužiť aj po niekoľkých rokoch. Napr. pred niekoľkými mesiacmi by vás nemuseli vpustiť na územie USA, pokiaľ by ste na sociálnych sieťach uverejňovali/ zdieľali informácie, ktoré sú namierené proti USA.

Príkladom je aj dnes stále populárnejšia sieť Clubhouse fungujúca na báze hlasových správ. Spoločnosť Alpha Exploration Co., ktorá ju spustila, sa hneď pri jej začiatku potýkala so slabým zabezpečením údajov, ich zdieľaním a nie vždy  korektným spracovaním. Ľudia si neuvedomujú, že to môže byt za pár rokov najväčšia databáza hovoreného slova na svete, s presnou identifikáciou a údajmi o daných užívateľoch. Máme tu dobu „fake videa“ a práve „fake voice“ môže byť zneužitý pri hlasovej identifikácií v rôznych inštitúciách (banky a pod.). Pri súčasnom  prudkom rozvoji umelej inteligencie môže táto situácia vzniknúť skôr než si myslíme.

Preto je potrebné sa k týmto veciam stavať racionálne, zvážiť kde čo uverejníme, kde klikneme a samozrejme, aké silné zabezpečenie a heslá používame.

Môžeme povedať, že ide o nedostatočné zabezpečenie alebo je problém niekde úplne inde?

Každá minca má dve strany. Jednou z nich môže byť slabšie zabezpečenie na strane sociálnych sietí. Treba brať do úvahy, že aj spôsoby zabezpečenia sa rýchlo vyvíjajú, no tak isto rýchlo, ak nie niekedy rýchlejšie sa ich hackeri snažia obísť.

Na druhej strane stoja údaje, ktoré posielajú tieto siete tretím stranám. Sú to tie spoločnosti, ktoré napríklad robia analýzu nad týmito dátami, , konvertujú ich a následne ďalej predávajú. Čiže únik môže nastať kedykoľvek na „ceste“ alebo už priamo na serveroch týchto tretích strán, ktoré nemusia byť práve najlepšie zabezpečené.

V roku 2019 unikli údaje takmer o 533 mil. užívateľoch Facebooku, kde komisia pre ochranu údajov konštatovala porušenie smernice EU a Facebook dostal zaplatiť rekordnú pokutu vo výške 5 miliárd USD. Vyšetrovanie však nie je stále úplne ukončené.

Nie sú to ale len sociálne siete, odkiaľ unikajú údaje. Deje sa to  denne, na rôznych miestach, kde dochádza k zhromažďovaniu osobných údajov. Napr. sieť hotelov Marriott dostala pokutu vo výške 124 mil USD, alebo aj spoločnosť taxislužieb Uber, ktorá v roku 2016 dostala pre neoprávnené použitie údajov pokutu vo výške 150 mil USD.

Útoky nemusia smerovať  len priamo na siete, napríklad za zle vyradený hardvér  spoločnosti Morgan Stanley, kde unikli údaje klientov z 2 dátových centier, bola stanovená  pokuta vo výške 60 mil. USD.

Sociálne siete sa chvália, že do zabezpečenia investujú obrovské prostriedky. Prečo sa aj napriek tomu stávame svedkami mnohých únikov? 

Toto je pre nich nevyhnutnosť. Pokiaľ by to nerobili, nemali by klientov, nemali by príjmy a prestali by existovať. Situácia je ale zložitejšia. Hoci spoločnosti investujú milióny USD do zabezpečenia, stále sa môže stať, že zlyhá ľudský faktor, že časť technológie nie je dostatočne chránená, že hackeri sú o krok vpredu a našli slabinu ako napr. pri nedávnom masívnom napadnutí Microsot Exchange serverov po celom svete (viac ako 200 tisíc) prostredníctvom chyby softvéru servera spred viac ako 8 rokov. Aj LinkedIn používal SHA1 na hašovanie hesiel, na čo bezpečnostní experti už dávno upozorňovali, že nie je vhodný na zabezpečenie hesiel, ale aj napriek tomu ho určitú dobu ešte využívali a zvyšovali riziko prelomenia hesiel.

Aké sú spôsoby zneužitia osobných údajov hackermi? 

Ak útočník využíva sociálne siete ako prieskumný nástroj, pošle cielenú správu, ktorá láka na návštevu falošnej webstránky. Jeho cieľom je ukradnúť prihlasovacie údaje používateľov a peniaze. Podobným spôsobom vás môžu kyberzločinci zmanipulovať prostredníctvom četovacích služieb. Ako? Jednoducho. Zaujímavým obsahom v správe od neznámeho, no dobre vyzerajúceho pána alebo dámy, ktorá vás donúti otvoriť prílohu, no tá obsahuje škodlivý malvér. Ten môže slúžiť ako príprava na príchod ďalších škodlivých softvérov, napríklad advér alebo spyvér.

Čím viac používame sociálne siete, tým viac zjednodušujeme práce kyberzločincom a hekerom. Oni totiž tieto platformy s obľubou používajú na šírenia malvéru, na krádež osobných údajov, identity a peňazí.

Ďalším rizikom je krádež identity alebo klonovanie profilov. Zločinci ukradnú fotografie, mená a ďalšie jedinečné osobné informácie z legálnych profilov, ktoré sú verejne zdieľané. Tieto informácie môžu potom použiť na vykonávanie podvodov s falošnou totožnosťou, pričom na získanie týchto informácií využívajú techniku známu ako sociálne inžinierstvo. Takto sa to stalo napríklad v nedávnom narušení profilov známych osobností na Twitteri.

Čo by mal robiť používateľ sociálnej siete, keď sa dozvie o podobnom úniku dát? 

Pokiaľ možno čo najskôr primárne zmeniť heslo  do účtu resp. účtov, nastaviť si 2-faktorovú autentifikáciu, overiť  si či jeho údaje – napr. mailová adresa – neboli ukradnuté. Často krát sa to však ani nedozvie a len sprostredkovane vie, že poslal nejaký mail kamarátovi bez svojho vedomia.

Najbezpečnejšie je nezverejňovať nič, čo by ste nezverejnili aj mimo sociálnych sietí. Veľmi jednoduchá pomôcka je predstava vašej facebookovej nástenky v reálnom – off-line svete. Sociálne siete narábajú s  obrovským množstvom údajov, poznajú vaše meno, aj vek, bydlisko, zamestnanie, koníčky, priateľov a rodinných príslušníkov. Vedia ako vyzeráte, dokonca veľmi dobre vedia, kde sa práve pohybujete. Zverejnili by ste tieto údaje dobrovoľne a kdekoľvek?

 

Niektoré sociálne siete dostali v minulosti za únik dát pokuty. Myslíte si, že ich výška je adekvátna, môžu pokuty niečo vyriešiť? 

Pokuty, ktoré spoločnosti dostávajú sa pohybujú v závislosti od typu úniku v % z obratu, resp. v globálnych spoločnostiach ako % celosvetového obratu. Je to síce represívna forma, ale jedna z účinných ako spoločnosti  donútiť, aby s dátami ukladali podľa pravidiel, mali ich v bezpečí a nezneužívali ich.

Facebook dostal spomínanú pokutu viac ako 5 miliárd USD, čo je zatiaľ rekordná čiastka. Ale nie sú to zďaleka len sociálne siete, ktoré majú naše údaje, kde k únikom resp. k ich zneužitiu došlo.

Napríklad v roku 2013 ukradli hackeri informácie o identite užívateľov – užívateľské meno, email a šifrované heslá 153 mil užívateľov Adobe účtov, pri Dropboxe to bol podobný scenár – 69 mil. záznamov.

Napr. Yahoo dostala pokutu 85 mil. USD, keď v  roku 2013 spoločnosť utrpela rozsiahle narušenie bezpečnosti, ktoré zasiahlo celú jej databázu. Išlo približne o 3 miliardy účtov – čo v tom čase bola značná časť celej populáciu webu. Spoločnosť však tieto informácie nezverejnila tri roky.

Tesco Bank:  retailová pobočka reťazca supermarketov vo Veľkej Británii bola v roku 2018 zasiahnutá pokutou 16,4 milióna libier (21,2 milióna dolárov) britským Úradom pre finančné riadenie (FCA)  po tom, čo boli v roku 2016 z 9 000 zákazníckych účtov ukradnuté necelé 3 milióny dolárov .

Niektoré konšpiračné teórie hovoria o tom, že sociálne siete môžu spolupracovať s hackermi, ktorí sa k údajom dostanú. Môže byť na týchto tvrdeniach niečo pravdivé?

Ak máme na mysli to, či si údaje nechávajú zámerne kradnúť, pravdu sa asi nikdy nedozvieme. Keď sa ale pozrieme na pokuty, ktoré spoločnosti prevádzkujúce soc. siete za takéto zistené úniky dostanú, tak sa tá spolupráca nezdá ako nereálna, resp. bola by príliš riziková.

Ak sa ale pozrieme na prípady, kde bola hackerom vyplatená požadovaná suma, tak o spolupráci hovoriť môžeme, tá ale určite nebola zámerná. Je skôr zameraná na zníženie dôsledkov hackerskej činnosti.

Mestečku Lake City hackeri zašifrovali veľké množstvo dôležitých dát, zablokovali prístup k e-mailom a platobnej bráne, cez ktorú mohli občania mestu platiť dane. Napriek tomu, že technici počítače od siete odpojili len niekoľko minút po odhalení hackerského útoku, na zásah bolo už neskoro. Mestskému zastupiteľstvu sa napokon podarilo dohodnúť s hackermi na nižšom výkupnom. Za prístup k súborom mali zaplatiť vo virtuálnej mene bitcoin sumu, ktorá sa blíži k 500-tisíc dolárom. Mesto bolo proti strate dát poistené, no z vlastného vrecka aj tak musia zaplatiť 100-tisíc dolárov.

V roku 2016 došlo už k spomínanému narušeniu  aplikácie Uber s databázou  600 000 vodičov a 57 miliónov používateľských účtov. Namiesto nahlásenia incidentu spoločnosť zaplatila páchateľovi 100 000 dolárov, aby útok udržala v tajnosti. Tieto kroky však spoločnosť vyšli nakoniec veľmi draho. V roku 2018 bola pokutovaná sumou 148 miliónov dolárov – najväčšou pokutou za porušenie ochrany údajov v histórii v tom čase.

Zdá sa, že väčšine ľudí je jedno, ako sa narába s ich osobnými údajmi, ktoré zanechávajú na sociálnych sieťach a od ich používania ich neodradia ani početné úniky. Prečo je tomu tak? 

Zdieľanie informácií sa stalo pre mnohých ľudí jednoduchým spôsobom, ako dať vedieť ostatným čo robia a podeliť sa o svoje zážitky a pocity. No čím viac informácií do on-line sveta vysielajú, tým viac sa vystavujú riziku šírenia informácií, ktoré by nás mohli dostať do pozornosti kybernetických útočníkov.

Prirovnal by som to k poisteniu. Pokiaľ sa vám nič nestane, väčšinou času nad tým nerozmýšľate. Aj keď v práci IT technik vyzýva na zálohovanie dát v PC, väčšina to neurobí, resp. až keď o ne z akéhokoľvek dôvodu príde, ale vtedy už je neskoro. A podobne je to aj s údajmi na sociálnych sieťach, ktoré tam vedome zverejňujeme. Vôbec nám nenapadne, kde tá ktorá fotka môže skončiť, kde všade sa údaje o nás zbierajú a ako sa použijú. Trúfam si povedať, že ani po úniku dát z FB si väčšina ani len heslo nezmenila. A to nehovoriac o tom, že  heslá má veľká časť ľudí rovnaké aj do rôznych iných aplikácií, aby  si ich ľahšie zapamätala. To už je pre útočníka ideálna cesta ako prísť k potrebným údajom.

Na dark webe si človek za smiešne sumy vie „kúpiť“ rôzne služby – od získania údajov, po útok na systém. Podotýkam, že v tomto prípade sa jedná najčastejšie o nelegálne zákazky.

Myslíte si, že sa môžeme niekedy dočkať toho, že ľudia začnú vo veľkom bojkotovať sociálne siete z dôvodu nízkej bezpečnosti ich osobných údajov? 

Podľa môjho názoru sa to nestane a už vôbec nie v dnešnej dobe, kedy sa všetci  spájame väčšinou online. Ak bude zaznamenaný väčší únik dát, útok na niektorú soc. sieť, užívatelia prejdú na inú. Prípadne na ňu prejdú aj z dôvodu lepšej  funkcionality, kde aj dnes veľmi veľa ľudí prechádza z Facebooku na iné typy soc. sietí. Takže bojkotovať ich nebudú, ale zmenší sa počet ich užívateľov, podobne ako WhatsAppu, kde  veľa ľudí začalo prechádzať na konkurenčné messengery.

Hovorí sa, že hrozba kybernetických útokov bude každým rokom pribúdať. Sú na mieste obavy aj v prípade častejších únikov dát zo sociálnych sietí? 

Kyber útoky budú s veľkou pravdepodobnosťou pribúdať, je to ako hra na mačku a myš. Raz je vpredu hacker, inokedy spoločnosti. Stále bude na pozadí figurovať finančný efekt a o to väčší, že údajov na internete bude čoraz viac a aj zariadení pripojených na sieť bude neustále pribúdať. Len v IoT je už teraz 25 mld. zariadení a do 2025 to má byť 45 mld. zariadení na svete, nehovoriac o 5G sieti a jej možnostiach. To zahŕňa aj priemyselné špionáže, úniky dát z firiem a spoločností, znefunkčnenie webov a pod. Deje sa to dennodenne, každú minútu.

Ochrana pred podobnými typmi útokov je zložitá, pretože podobné skupiny využívajú sofistikované metódy na šírenie malvéru. Tieto metódy prispôsobujú aktuálnej situácii a objaveným zraniteľnostiam v operačnom systéme alebo jeho súčastiach. Vzhľadom na to, že stav kybernetickej bezpečnosti u nás do istej miery kopíruje vývoj v západnej Európe a USA, je veľký predpoklad, že sa zvýši počet krádeží identity a jej zneužitie, najčastejšie pre finančný prospech alebo manipuláciu obete.

Najčastejšie chyby, ktorých sa dopúšťame

  • Slabé heslá alebo používanie rovnakého hesla na viacerých systémoch
  • Chýbajúce bezpečnostné aktualizácie v aplikáciách alebo systémoch, ktoré majú prístup na internet
  • Prílišná dôvera vo veci zadarmo (zadarmo WiFi, warez, pornografia….)
  • Prílišné zdieľanie informácií so širokým množstvom ľudí, v rámci ktorého je aj veľa neznámych (nikto by asi do mestského rozhlasu nerozhlásil, že ide na dovolenku a že týždeň nebude doma, ale rovnakú informáciu je ochotný poskytnúť na sociálnej sieti pre všetkých)
  • Nesprávna konfigurácia aplikácií a zariadení (najčastejšie z dôvodu snahy zjednodušiť si prácu)
  • Neznalosť základných bezpečnostných konceptov (napríklad vloženie čísla svojej platobnej karty na neznámu stránku)
  • Neochota vzdelávať sa (tak ako nám znalosť jazdy na koni nezabezpečí znalosť šoférovania auta, rovnako znalosti z tohto fyzického sveta nie je možné jedna k jednej preniesť do kybernetického sveta. Zaujímavosťou je, že ľudia prenášajú do digitálneho sveta častejšie tie škodlivé návyky a znalosti, ako tie užitočné.)

ROZHOVOR o digitálnej stope, ktorú za sebou zanechávame, nájdete TU.

ROZHOVOR o hackerských útokoch  a ich formách nájdete TU.

ZDROJ: Trend