Właściwie to nie chciałem o tym pisać, chociaż ta kwestia irytuje mnie już od bardzo dawna. Chodzi o bezpieczeństwo w internecie - bezpieczeństwo naszych danych czy pieniędzy. Jednak po ostatnich zmianach dotyczących m.in. sposobu logowania się na stronę banku (i podobnych zmianach wprowadzonych wcześniej w przykładowo serwisach google) i po paru historiach, które słyszałem postanowiłem jednak w tym temacie trochę ponarzekać.
W czym problem? Zacznijmy może od banków. Banki bardzo lubią pokazywać, że dbają o bezpieczeństwo klientów - wiadomo, jakby nie dbały, to nikt by nie chciał korzystać z ich usług. Więc co jakiś czas wysyłają wiadomości (czy to mailami czy na stronie internetowej, czy może jeszcze jakoś inaczej) ostrzegające przykładowo przed phishingiem.
Jeśli ktoś jeszcze nie wie, taki phishing polega często na podsyłaniu fałszywego adresu służącego do logowania się do danego serwisu - wpisujemy dane do logowania w podstawionych polach, które to dane przechwytuje złodziej a dla niepoznaki loguje nas już do prawidłowej strony (a później loguje się sam i sprawia nam brzydką niespodziankę).
W moim banku (i nie tylko) istnieje taki sobie serwis transakcyjny, który służy do łatwego i szybkiego robienia przelewów za np. zrobione zakupy. Problem z tym serwisem jest taki, że... adres tego serwisu różni się od typowego adresu służącego do logowania na stronę mojego banku. Dodatkowo logowanie wymagane jest zawsze - nawet jeśli w tym samym czasie jesteś już zalogowany do banku!
Przez długi czas nie korzystałem z tego udogodnienia, bo najzwyczajniej w świecie się bałem. W końcu przekonałem się - ale tylko dlatego, że robienie zwykłych przelewów było bardziej uciążliwe, a ja korzystałem i tak tylko z zaufanych stron. Ale znam osoby (mające konta w innych bankach), które ciągle z tej formy płacenia nie korzystają z obawy przed phishingiem.
Płatności kartą zbliżeniowo. Jeszcze niedawno czytałem, że są tak bezpieczne (i tak mało kradzieży dokonywanych jest w ten sposób), że banki zastanawiają nad podniesieniem limitu z 50zł na 100zł (co byłoby znaczącym udogodnieniem - 50zł już teraz mało co jest warte, a dzięki polityce Partii będzie jeszcze gorzej). Dodatkowo, słyszałem także, że im więcej konieczności logowania się/wbijania kodów, tym więcej okazji do kradzieży tych kodów czy haseł (to tyczy się także poprzedniego problemu). Teraz dzięki unijnej dyrektywie PSD2 nawet robiąc płatności do 50zł od czasu do czasu będziemy zmuszeni podawać PIN - oczywiście żeby zwiększyć bezpieczeństwo!
Banki zmuszone są też teraz prosić o potwierdzenie logowania się za pomocą jednorazowych kodów wysyłanych SMSem. Nie powiem - taka podwójna weryfikacja w oczywisty sposób zwiększa bezpieczeństwo, szczególnie że dany komputer można sobie ustawić jako zaufany i nie mieć więcej zawracanej głowy tego typu „udogodnieniami” - problem w tym, że takie zabezpieczenia i tak bardzo łatwo obejść a ludzie, którzy nie są obeznani z technologią zbyt dobrze (starsi ludzie, których dodatkowo łatwiej oszukać lub nabrać, co doskonale wiedzą nie tylko różnego rodzaju ludzkie hieny, ale też same banki!) mogą mieć przez to autentyczne problemy (i tak - słyszałem o tym od kogoś, nie jest to hipotetyczna sytuacja).
O bankach na razie dosyć, teraz może o jednym z największych dostawców usług internetowych różnego rodzaju - Google.
Z wujaszkiem Google miałem jak do tej pory 3 bardzo nieciekawe incydenty dotyczące bezpieczeństwa.
Raz - nie mogłem wpisać starego hasła, nie wiedziałem że jest wciśnięty CapsLock. Więc ustawiłem nowe hasło i dopiero potem to zauważyłem. CapsLock wyłączyłem i chciałem znowu zmienić hasło (ciężko by mi było zapamiętać nowo wymyślone hasło z odwróconymi literkami) a dla wygody chciałem po prostu przywrócić stare hasło. I ktoś może powiedzieć, że tak nie powinno się robić - racja, ale nie jest to w tej chwili ważne. Co jest ważne, to dowiedziałem się, że Google przechowuje moje stare hasła! Wszystko to oczywiście dla mojego bezpieczeństwa, żebym sobie czasem nie ustawił jak ostani głupek starego hasła, bo to „be” i w ogóle. Oczywiście, gdyby z ich serwisów wyciekły hasła, to również spotkałoby to te stare - i w ten sposób Google sprezentowałoby ewentualnym złodziejom bardzo ładny prezencik. Po prostu świetnie
Drugi incydent dotyczył wylogowywania się. Nie wiem, czy ta sprawa jest aktualna - może już to zmieniono, ale mnie spotkało to wtedy autentycznie. Dużo się mówi właśnie odnośnie bezpieczeństwa w sieci, aby opuszczając jakiś obcy komputer upewnić się, że wylogowano się ze wszystkich serwisów.
No to teraz wyobraźcie sobie taką sytuację: siedzicie sobie w kawiarence internetowej, kończycie co tam robiliście bo zaraz autobus czy coś i chcecie się wylogować i... nie możecie bo serwer który służy do wylogowywania się przestał odpowiadać. Sic! Najwyraźniej przez jakiś czas przynajmniej aby wylogować się z serwisów Google trzeba było się połączyć ze specjalnym serwerem w internecie (zamiast zrobić to lokalnie). Zarombiście!
Zdarzyło mi się to raz tylko na szczęście i to w pracy gdzie akurat mam w miarę bezpieczny komputer, ale mogło być gorzej.
Trzeci incydent - dzwoniłem gdzieś akurat w kwestii technicznej i po prostu musiałem być na słuchawce. Ale aby coś sprawdzić chciałem się zalogować do Google - a ten akurat najwyraźniej niedawno również wprowadził wspomnianą wyżej podwójną weryfikację. Zalogować się nie mogłem (nie było to niezbędne, po prostu chciałem coś sprawdzić), ale przez jakiś czas dumny z siebie Google wysyłał mi powiadomienia, jak to nie odparł próby zalogowania się z nieznanego komputera!
To w sumie wszystko, teraz czas na małą konkluzję. Ktoś mógłby mi tutaj przedstawić argumenty, że te wszystkie rzeczy naprawdę zwiększają bezpieczeństwo itp. I nie zamierzam mu absolutnie zaprzeczać - z pewnością zwiększa się bezpieczeństwo od strony systemów komputerowych. Problem jednak w tym, o czym każdy spec od bezpieczeństwa powinien wiedzieć (ja czytam takich w każdym bądź razie, którzy o tym wiedzą), że jednym z najsłabszych ogniw każdego systemu bezpieczeństwa jest człowiek właśnie - a tę lukę bezpieczeństwa naprawdę trudno załatać
Wprowadzanie dodatkowych komplikacji może i wzmacnia część komputerową systemu bezpieczeństwa, ale dla ludzkiej jego strony jest to dodatkowe obciążenie które cały zysk bezpieczeństwa może nawet całkiem zanegować.
Cała ta kwestia jest częścią pewnego trendu w informatyce, który obserwuję już od dawna - mianowicie coraz mniej tak naprawdę dba się o użytkownika a coraz bardziej o programy (nie wiem jak to opisać inaczej). Interfejsy robią się coraz cięższe i szczerze mówiąc bardzo często coraz mniej przejrzyste, zachowanie programów coraz mniej przewidywalne (Sic! Ostatnio zacząłem zauważać nawet, że w niektórych programach wybranie tej samej opcji/akcji powoduje czasem zupełnie różne reakcje!!!), obecne systemy chodzą często wolniej niż to, co mieliśmy do dyspozycji 10, 20 lat temu. Irytuje mnie to niepomierni. Sam kiedyś byłem techno-entuzjastą (było to dosyć dawno, ale było) a widzę teraz, że technologia wcale nie staje się lepsza. Bardziej zaawansowana może tak, ale nie lepsza (może to i dobrze, bo w sumie coraz mniej korzystam z komputera czy smartfonu). Mimo to jednak czasem korzystać z tej technologii muszę a wtedy naprawdę zaczynam się wkurzać, tak wiele problemu ona sprawia
Uzupełnienie
Zapomniałem napisać o jeszcze jednej ważnej wg. mnie rzeczy - uaktualnieniach programów.
Ostatnimi czasy twórcy niemalże każdego programu co parę dni wypuszczają nowe uaktualnienia. Zachęca się do ich instalacji właśnie względami bezpieczeństwa głównie. Dla mnie osobiście cała ta aktywność pachnie z daleka bullshitem. Oto dlaczego:
Rozumowanie przebiega mniej więcej tak:
1. Użytkownik posiada jakąś wersję programu. Załóżmy że jest to stan początkowy v0, w którym nie wiemy nic o stanach poprzednich.
2. Twórca programu w trosce o bezpieczeństwo użytkownika wypuszcza uaktualnienie v1.
3. Użytkownik dbając o własne bezpieczeństwo instaluje uaktualnienie v1.
4. Użytkownik posiada bezpieczną wersję v1.
5. Za parę dni twórca w trosce o użytkownika wypuszcza kolejną wersję v2.
Wniosek: poprzednia wersja v1 nie była bezpieczna, co stanowi sprzeczność z punktem 4.
Chciałbym tutaj bardzo mocno położyć nacisk na to, że nie jest to żadne formalne myślenie ani ścisłe dowodzenie - jedynie ilustracja wątpliwości jakie nasuwają się w związku z tak częstymi uaktualnieniami, motywowanymi w dodatku bezpieczeństwem właśnie. Doskonale zdaję sobie sprawę z istnienia różnych kontrargumentów.
Przykładowo - może nie naprawiono wszystkich luk za pierwszym razem? Ale to jest tylko potwierdzeniem moich wątpliwości. Z resztą, miałem okazję pracować w firmie produkującej oprogramowanie. Nowa wersja wychodziła raz na pół roku może, a po wydaniu kolejnych wersji wypuszczane były co najwyżej jedna-dwie łatki właśnie z powodu tego, że nie wszystko zostało od razu zauważone. Ale nie kilkudziesięciomegowe aktualizacje co parę dni!
Wiem też, że oprogramowanie się rozwija i co jakiś czas wychodzą nowe technologie, często niedopracowanie (tak jak programy użytkowe), posiadające nowe luki, które nie od razu wykryto i twórcy programów muszą sobie z tym radzić. Ale nowe technologie też nie powstają co parę dni - tylko bardziej w cyklach rocznych, miesięcznych ewentualnie.
Dodatkowo tak częste wypuszczanie aktualizacji sprawia, że nowe wersje są w jakiś inny sposób niedopracowane i czasem nawet uniemożliwiają ich używanie - sam aktualnie zmagam się z taką wersją przeglądarki internetowej i czekam po prostu na nową wersję w nadziei, że ten problem zostanie w niej rozwiązany.
Podsumowując - dzięki takim praktykom każda nowa wersja którą otrzymujemy jest de facto z założenia niedopracowana i co za tym idzie niebezpieczna. Więc reklamowanie nowych aktualizacji względami bezpieczeństwa uważam za drwinę ze zdrowego rozsądku i z inteligencji użytkowników.
