"Gesla so najslabša mogoča zaščita"

Pogovor s strokovnjakinjo za informacijsko varnost

Na medmrežju na nas prežijo tako različne državne obveščevalne agencije kot zasebni akterji, želeč dostop do osebnih podatkov. Vse učinkovitejši so, zato moramo z zaščito slediti tudi uporabniki, pravi Borka Jerman Blažič.

22. oktober 2015 ob 11:32
Ljubljana - MMC RTV SLO
Zlonamerna programska oprema se zažira tudi v strojno opremo. Boj proti takšnim posegom v integriteto in zasebnost posameznika je precej težji. Foto: Digisec.si

Predsednik Evropske komisije Jean-Claude Juncker je za eno svojih ključnih nalog določil gradnjo enotnega digitalnega trga, poimenovanega tudi digitalni schengen. Za razvoj tega je zelo pomembno zaupanje v tehnologije in storitve. Prav zato je EK oktober določila za mesec informacijske varnosti, in pri tem letos sodeluje tudi Slovenija.

Med drugim bodo na priložnosti in pasti opozarjali strokovnjaki Instituta Jožef Stefan, Arnesa ter Slovenskega združenja za računalniške komunikacije (ISOC-SI) na javni konferenci ta petek. O aktualnem razvoju je za MMC več povedala Borka Džonova Jerman Blažič, članica svetovalne skupine za varnost pri Evropski komisiji; vodja Laboratorija za odprte sisteme pri IJS-ju, pa tudi oseba, ki je v Slovenijo pomagala pripeljati internet.


Smo danes na medmrežju vsak dan bolj varni ali vsak dan bolj izpostavljeni nevarnostim?

Dejstvo je, da smo danes vsi navadni uporabniki nevarnostim bolj izpostavljeni zaradi obstoja storitev, kot so Facebook, Google, Instagram, ki naše uporabniške podatke tržijo. Pobiranju podatkov smo prav tako izpostavljeni zaradi t. i. napada"man in the middle" , ko se nekdo vrine med uporabniško napravo in strežnik za določeno storitev.

Varnost si lahko zagotovimo s pomočjo orodij za zaščito zasebnosti, ki so na voljo. Številni proizvajalci mobilnih naprav od telefonov naprej imajo že vgrajene pripomočke, ki shranjene podatke šifrirajo ali pa omogočajo varnejšo komunikacijo. Lahko zatrdimo, da gre za dolgoročni trend v zagotavljanje informacijske varnosti - na različnih ravneh in odvisno od potreb. Pripomočki postajajo vse preprostejši in prijaznejši do uporabnika. Problem je, da so uporabniki premalo ozaveščeni in imajo premalo znanja. Sicer pa se odnos do zasebnosti po razkritjih Edwarda Snowdna in po dokumentarcu Citizenfour spreminja, in to celo v ZDA.

Kakšna je v tem sotvarju prihodnost uporabe gesel? Kaj bi jih srednjeročno lahko zamenjalo?
Gesla so način overjanja identitete, ki izhaja iz računalnikov. Od tod so jih prevzeli medmrežje in druge elektronske storitve. Med strokovnjaki, ki varnost uporabe ocenjujemo s štirimi stopnjami varnosti, so gesla uvrščena najnižje. So najslabša možna zaščita.

Za napredek pri uporabniškem overjanju je v zadnjih desetih letih največ storila Evropska komisija z definicijo elektronske identitete (eID) uporabnika in pilotskimi projekti, ki ravnokar potekajo na področju e-storitev in so pri koncu. Slonijo na t. i. sistemu močnega overjanja z uporabo javne kriptografije, ki pa je nekoliko zahtevna. Da obstoječe overjanje z gesli nima varne prihodnosti, je že pred dvema letoma ugotovila tudi administracija ZDA. Začela je projekte na področju elektronskih identitet. Nove tehnologije v razvoju in kmalu tudi na trgu so zelo obetavne. Primer so čipi, ki se jih zaradi fizičnih značilnosti in t. i. funkcije PUF (ang. Physical Unclonable Function) ne da "klonirati".

V razvoju so tudi mobilni telefoni s takšno funkcijo integriranega vezja za preverjanje identitete uporabnika. To dela, denimo, Philipsovo hčerinsko podjetje. Nadalje so dovolj zreli tudi algoritmi za 3D-prepoznavo obraza. Podjetja razvijajo mobilnike, ki bodo na ta način identificirali posameznika. Tudi te podatke je skoraj nemogoče klonirati, saj morate imeti telefon fizično pri sebi in tudi pravo sliko uporabnika oziroma lastnika, da lahko napravo odprete.

Vohljači za podatki, naj bodo to državne agencije ali zasebni nepridipravi, so se zažrli še v strojno opremo. Viruse in trojanske konje danes najdemo tam, kjer jih antivirusni programi ne zaznajo več. Kako naj se branimo pred takšnimi grožnjami?
Žal je to dejstvo, ki je bilo objavljeno: agenti NSA-ja in CIE so sodelovali v skupinah IETF-ja in dosegli posege v specifikacije programske opreme ter protokole, pravzaprav stranska vrata, ki omogočajo neopažen vnos zlonamerne kode, ki spremlja komunikacije in poslane podatke. Kdor želi komunicirati ali poslovati zaupno, si mora zagotoviti ustrezno zaščito. Navadni uporabniki naj občasno preverjajo delovanje svoje naprave ali pa naj to zaupajo izkušenim strokovnjakom.

Kakšno je vaše mnenje o policijski uporabi trojancev? Vemo, da si slovenska policija to želi, čeprav ji v zadnjem poskusu ureditev ni uspela priti skozi DZ.
V razvitih demokracijah mora biti to urejeno v skladu z zakonodajo. Le tako se izognemo zlorabi.

T. i. nedolžna doba medmrežja, ko je bilo delovanje na njem precej svobodno, od držav dokaj malo nadzorovano in regulirano, je očitno minila. Kaj o takšnem razvoju dogodkov menite vi, ki ste sodelovali pri postavljanju internetnih temeljev pred desetletji?
V obdobju, ki me je kot znanstvenico najbolj zaznamovalo, smo skupaj s kolegi znanstveniki in akademiki iz ZDA in Evrope razvijali protokole in sisteme, s katerimi smo gradili internet in nove elektronske komunikacije z veliko vere v moč in dobro tehnologije. Žal so ti časi minili. Elektronske komunikacije so se zelo spremenile. Žal se obetajo dodatne spremembe, ki uporabnikom niso v korist. Veliki igralci na medmrežju so zlorabili brezplačno znanje, ustvarjalnost in informacije strokovnjakov, uporabnikov in drugih ljudi, ki ga najdemo na internetu. Ti igralci ga ponujajo naprej, tržijo uporabniške podatke in služijo. Danes je med teleoperaterji velik pritisk, da se te velike korporacije nekako obdavčijo. To se najlažje doseže z novo regulativo, strošek pa bo padel na uporabnika. Prihodnost v tem sotvarju ni tako obetavna.

Pomembne države sveta, svetovni akterji, vsi razvijajo svoje aparate, tehnologije za nadzor medmrežja. ZDA, Rusija, Kitajska, Velika Britanija in drugi vse več vlagajo tudi v t. i. spletno vojskovanje. Ob zavedanju, kakšna grožnja svobodnemu internetu in integriteti posameznika na njem je takšen razvoj dogodkov, sprašujem: ali si države lahko sploh privoščijo, da tega ne bi počele?
Danes je to dejstvo in vojna se je dejansko preselila na omrežjih. Ob tem ne si moremo zapirati oči. In seveda, vsi so udeleženi. Prevlada ene same države ni še določena.

Lani so zaokrožile novice, da so našli luknje tudi v enem pomembnejših enkripcijskih orodij, TrueCrypt. Kaj bi vi priporočali kot bolj zanesljivo alternativo za kriptiranje komunikacije?
Dober kriptogram je odvisen od dolžine ključa in procesorske sposobnosti uporabljenih računalnikov. In ker ta sčasoma raste z razvojem tehnologije, lahko pričakujemo, da bodo tudi drugi znani kriptosistemi enkrat dobili luknje. Najzanesljivejša je kvantna kriptografija, ki se prenaša po optiki in jo veliki že uporabljajo za svoje potrebe. Lastnost tega kvantnega ključa je, da ga lahko preberete le enkrat. Gre za polarizacijo svetlobe - ko ključ enkrat preberete, se ta spremeni. Se pa ta sistem uporablja za varni prenos skritih ključev, ki se zatem uporabljajo za klasično šifriranje, le da ste prepričani, da je bil ključ varno prenesen.

Predsednik Evropske komisije Jean Claude Juncker si je med eno svojih glavnih nalog nalog zadal razvoj enotnega digitalnega trga. V kakšno smer gre? Je že znano, kakšni bodo poglaviti ukrepi in temelji te ureditve?
Digitalni trg je digitalni schengen. Da lahko uspeva, mora zagotoviti varne storitve, ki jih zagotavljajo t. i. "storitve zaupanja" z vnaprej znano ravnjo varnosti. Storitve se že nekaj let testirajo v velikih pilotskih projektih Evropske unije, v katerih je sodelovala tudi Slovenija.

O informacijski varnosti in digitalni forenziki boste spregovorili tudi na konferenci, ki bo v petek na Institutu Jožefa Stefana. Kaj se bo tam dogajalo? Kakšen je sploh slovenski strokovni prispevek k tej tematiki tudi z vidika mednarodne ravni? Se dejavnost pri nas dobro razvija?
Na konferenci bomo poročali tako o prej omenjenih projektih EU-ja za storitve zaupanja, pa tudi o drugih področjih, ki ste jih omenili. Denimo projekt D-FET DG Home, ki sofinancira konferenco, in je namenjen razvejanemu oblačnemu sistemu za izobraževanje digitalnih forenzikov. Na IJS-ju smo med prvimi razvili orodje, ki omogoča interaktivno izobraževanje in vaje z orodjem EduFors, ki ga ponujamo v sistemu Kibernetske akademije s partnerji z Univerze v Edinburgu in Univerze v Stockholmu. Za orodje se zanimajo ustanove, kot je na primer UNICRI, pa tudi drugi.


Kako naj se branimo pred takšnimi grožnjami? Žal je to dejstvo, ki je bilo objavljeno: agenti NSA-ja in CIE so sodelovali v skupinah IETF-ja in dosegli posege v specifikacije programske opreme ter protokole, pravzaprav stranska vrata, ki omogočajo neopažen vnos zlonamerne kode, ki spremlja komunikacije in poslane podatke.

Jerman Blažičeva


Najzanesljivejša je kvantna kriptografija, ki se prenaša po optiki in jo veliki že uporabljajo za svoje potrebe. Lastnost tega kvantnega ključa je, da ga lahko preberete le enkrat. Gre za polarizacijo svetlobe - ko ključ enkrat preberete, se ta spremeni.


Med strokovnjaki, ki varnost uporabe ocenjujemo s štirimi stopnjami varnosti, so gesla uvrščena najnižje. So najslabša možna zaščita.


V obdobju, ki me je kot znanstvenico najbolj zaznamovalo, smo skupaj s kolegi znanstveniki in akademiki iz ZDA in Evrope razvijali protokole in sisteme, s katerimi smo gradili internet in nove elektronske komunikacije z veliko vere v moč in dobro tehnologije. Žal so ti časi minili. Elektronske komunikacije so se zelo spremenile. Žal se obetajo dodatne spremembe, ki uporabnikom niso v korist.


Identifikacija s pomočjo gesel in varnostnih vprašanj je nezanesljiva, kar dokazuje tudi zadnji primer vdora v zasebno pošto vodji ameriške CIE. Foto: EPA
Svoj prispevek h svetovnemu razvoju informacijske varnosti dajejo tudi v Sloveniji, med drugim na Institutu Jožefa Stefana, pravi Borka Jerman Blažič (govorka na sliki). Foto: AP
Odnos do zasebnosti se spreminja tudi v ZDA, predvsem zaradi razkritij Edwarda Snowdna, pravi sogovornica. Foto: MMC RTV SLO/Reuters
Internet se je iz napredne nenavadnosti 90' let (modem na fotografiji je iz tistega časa) prelevil v vsakdanjo nujnost. Tudi zato je zaščita še toliko pomembnejša. Foto: MMC RTV SLO/Aljoša Masten

Zanimivosti


Posamezne delfine lahko razločimo po njihovih obrazih

Ljubljanski študenti s Pipistrelom razvili prvo polnilnico za električna letala

Umetna inteligenca se je že sposobna učiti brez človekove pomoči

Na Kemijskem inštitutu razvili proteinske kletke, ki jih je mogoče sintetizirati v celicah