Nikola STOJIĆ

1. oktobar 2022.

Izreka da je čovek rob svojih navika uvek se pokaže kao tačna, a posebno kada se desi neka nepredviđena okolnost, deus ex machina, koja nam stvara glavobolju. Čuvanje poverljivih digitalnih podataka, koji se najčešće obezbeđuju uz pomoć korisničkog imena i lozinke, i dalje je nedovoljno ozbiljno shvaćeno. Nedavni propusti u Samsungu, TikToku i u još nekoliko slučajeva, omogućili su hakerima da dođu do osetljivih podataka; od lozinke za e-mail, pa do brojeva računa i kartica. Kako mnogi ljudi koriste istu kombinaciju e-maila i lozinke na više sajtova, gde je ta kombinacija, takođe, i pristupni podatak za taj e-mail, svako kome oni postanu dostupni može da pristupi svim nalozima i osetljivim podacima koji su vezani za njih. Cena ovakvog propusta je ogromna, kako za samu kompaniju koja mora da se bori sa novonastalom situacijom i noćnom morom za PR, tako i za korisnika koji mora da reaguje kako ne bi izgubio naloge, novac itd. Svaka od strana je odgovorna za svoj deo zaštite u međusobnom odnosu; korisnik da ima „dobru” lozinku, unikatnu za sajt ili aplikaciju, a kompanija da obezbedi infrastrukturu od potencijalnih propusta. Godinama se odgovornost za krivicu prebacuje poput ping-pong loptice; kompanije skreću pažnju korisnicima da koriste unikatne, različite lozinke, a sa druge strane korisnici skreću pažnju kompanijama da je potrebno da unaprede infrastrukturu i povedu računa o bezbednosti. I jedna i druga strana, svakako, imaju dobru poentu koja se ne može odbaciti, jer je tu odgovornost zajednička.

Svako ko boravi na internetu i registrovan je bar na jednom sajtu, koristi svoj e-mail kako bi otvorio nalog. Uglavnom je to glavni, lični nalog ili čak i poslovni nalog. Korišćenje poslovnog naloga za registraciju na raznim eksternim sajtovima je definitvno jedna od gorih ideja koja može nekom da padne na pamet, osim u situacijama kada se to eksplicitno zahteva za potrebe konferencija, korišćenje infrastrukturnih sistema itd. Ogroman broj korisnika nema više od jednog e-maila, (jedan lični i jedan poslovni) niti ima praksu da otvori rezervni e-mail nalog. Suštinski, najbolje bi bilo da svako ima bar po jedan poseban e-mail nalog koji bi koristio samo za registraciju na sajtovima i sa različitom lozinkom za svaki sajt, a zatim sve to pamtio pomoću password managera, kao što su KeePass ili Bitwarden, koji se kroz ekstenziju integrišu u browser i automatizuju ceo proces. Uglavnom, kao dodatni e-mail nalog, pored postojećeg e-maila registruje se Gmail za korišćenje Android uređaja ili iCloud, u slučaju korisnika iPhonea. Nalozi koji su povezani sa mobilnim uređajima sadrže centralizovani pristup podacima; od podataka za pristup drugim sajtovima lokaciji korisnika, listi instaliranih aplikacija, mogućnost za bežično upravljanje uređajem, istoriju pretraživanja i mnoge druge osetljive podatke. Da stvar bude još gora, najčešće se lozinka koja se koristi za taj e-mail upotrebljava i na drugim sajtovima prilikom kreiranja naloga. Vremenom, korisnik će imati ogroman broj naloga širom raznih sajtova i ukoliko dođe do propusta makar na jednom sajtu, dolazi do haosa. Ukoliko je lozinka koja je pronađena iz dumpa neke hakovane baze radila na bar dva sajta, to je potvrda da je korisnik koristio istu kombinaciju i na ostalim sajtovima i da je „švedski sto” za pristup informacijama otvoren. Unošenjem e-mail naloga na sajtu Have I Been Pwned, možete videti koji su sve sajtovi koje ste koristili hakovani i gde i šta se desilo sa vašim podacima, nalogom i lozinkom, te dali su se oni našli u nekom data dumpu.

Sa druge strane, kompanije imaju problem u pogledu infrastrukture koji je, zapravo, problem dizajna i planiranja sistema, odnosno softvera. Prilikom izgradnje određenih sistema, kompanije se odlučuju za određeni set razvojnog alata i softvera. U procesu izrade, primera radi, koristi se određena verzija NodeJS, PHP pojedine biblioteke za backend; React, Vue, custom framework za frontend i zatim neka od opcija za skladištenje podataka, kao što je SQL, MongoDB, MariaDB itd. Tokom razvojnog procesa, najvažnija stvar jeste posedovanje dobre dokumentacije i beleženje svakog koraka. Dobra dokumentacija predstavlja pola obavljenog posla, a istovremeno omogućava bilo kome novom ko dođe u susret za kôdom da se prilagodi relativno brzo i da shvati originalnu zamisao koja se provlačila tokom izrade softvera. U mnogim situacijama, rešenja koja su stvorena modifikacijom određenog dela softvera i alatki, napravljena su tako da „završavaju posao”. Problem se javlja ukoliko takvo rešenje funkcioniše samo sa verzijom softvera koja je korišćena za izradu i ako prilikom bilo kakve nadogradnje i promene dolazi do pucanja. Za samu kompaniju problem je i to što će, kada ih situacija natera, refaktoring kôda, modifikacije i ispravka koštati mnogo više zbog odluka iz prošlosti prilikom razvoja. No, kada je u pitanju reputacija među kupcima u svetu, ko ne plati na mostu, definitivno plaća u ovom slučaju na ćupriji. Kada se kod takvog softvera namiriše ranjivost od bilo kog eksternog igrača, tada kreće napad na infrastrukturu. Najlakši vektor za izvršenje napada je uvek phishing, koji se oslanja na čoveka, ali ako ne uspe, prelazi se na sledeći nivo. Dovoljno je da softver sadrži ranjivosti koje nisu zakrpljene, pogotovo ako ih ima više, i da se uz sve to se koristi i jednostavna lozinka, pa da nastane haos. Bezbednost infrastrukture zahteva posebnu brigu i potrebno je ogromno ulaganje u ljudski kapital koje se tek isplati kasnije. U suprotnom, čitave baze, podaci i direktorijumi sa servera postaju dostupni svakome, gde nije reč o nekoj random ABC kompaniji, već o velikim kompanijama sa ogromnim sistemima i poslovnim procesima.

Pored infrastrukturne problematike, tu je i problem bezbednosne kulture i navika. Problem usvajanja dobrih navika počinje da se manifestuje od momenta kada je svako običan korisnik. Manjak maltretiranja, korišćenje istih pristupnih lozinki za sve sajtove, nekorišćenje password menadžera, stvara kasnije pasivnost ka obraćanju pažnje na bezbednost dok ne dođe do curenja podataka. U Srbiji, nije retkost videti lozinke koje su zakačene za monitor računara i to na mestima koja raspolažu posebno osetljivim podacima. Međutim, pogrešno bi bilo pretpostaviti da je ovakva praksa kod nas izuzetak od pravila. Činjenica je da u mnogim drugim sistemima postoje isti problemi, ali gde je nivo uređenosti na mnogo višem nivou, pa se ne mogu lako primetiti. Brzina života i dešavanja oko nas dovode do zanemarivanja značaja „dobre” lozinke i bezbednosnih procedura, ali je i dalje više problem odnosa ljudi prema digitalnoj bezbednosti u odnosu na sve druge oblike bezbednosti u realnom svetu. Ukoliko biste nekoga pitali da li bi uzeo kineski ili švajcarski model vrata sa programiranim ključem, odgovor bi, više nego očigledno, bio u korist švajcarskog modela.

U istraživanju koje je sproveo NordPass, među lozinkama koje se najviše koriste od strane menadžmenta u vodećim kompanijama i ljudima na „C” pozicijama, najčešća lozinka je „123456”, a, zatim, „password” i „qwerty”. Ovakve navike stiču se tokom života i karijere i teško ih je otkloniti, iako je mnogima nezamislivo da ljudi na tom nivou koriste slične, jednostavne lozinke, kao i prosečan korisnik. „If it works don’t fix it”. Problem kod ovakvog stava je što se on shvata bukvalno. Tako, danas imamo sisteme u korporacijama i državama koji i dalje funkcionišu preko flopi-diska ili koji su još na arhaičnim Windows verzijama, koje do sada imaju pregršt propusta i čija je podrška odavna prestala. Još gore je ukoliko se radi o rešenjima koja su postavljena „preko štapa i kanapa” raznim dovijanjem, jer ta rešenja funkcionišu tako kako su postavljena, gde bilo kakav bezbednosni propust ili upgrade može biti poguban za redovno funkcionisanje kompanije i obavljanje posla.

Što se tiče lozinki, potrebno je raditi sa ljudima od najranijeg doba, kako bi se izgradila bezbednosna kultura koja će omogućiti da svako vodi računa o bezbednosti svog naloga. Danas, propust može ugroziti pojedinca, a već sutradan mnogo više osoba oko tog pojedinca, s obzirom na njegovo mesto u društvu. Jedna praksa koju bi svi mogli češće da koristimo jeste otvaranje posebnog e-mail naloga za sajtove koje koristimo za razonodu, vesti, oglase. Glavni nalog u slučaju napada na infrastrukturu ostaje bezbedan i njegovo korišćenje se ograničava na vrlo mali set usluga, među kojima su bankarske usluge, registracija na državnim sistemima, sistemima za obračune itd. Neki offline ili online password manager, poput KeyPassa i backup baze na USB-u ili eksternom hard-disku uvek je dobro rešenje. U pogledu lozinki, dobra bezbednost može se obezbediti kombinacijom slova, brojeva i specijalnih karaktera, a da budu dovoljno „pamtljive”: Sv3t K0mpjvt3Ra!. Sve je veći broj kompanija koje uključuju 2FA i passcodove kao deo svojih sistema, među kojima su Google i, od skoro, Apple. Kombinacija, biometrijskog zapisa, skenera lica, 2FA nude se kao rešenja kako bi se ovaj problem konačno rešio u budućnosti. Što se tiče infrastrukture i bezbednosti softvera, Microsoft je uveo sistem automatske nadogradnje, koji nije bio najsrećnije izveden, ali koji je u jednom momentu bio potreban kako bi se sistemi sve više updateovali, a samim tim odgovornost prebacila na korisnika. Code refactoring i dobra dokumentacija će u razvoju infrastrukture jednog sistema ili bilo kog drugog softvera, tokom vremena, predstavljati potrebu, kako bi se obezbedila maksimalna bezbednost i praćenje dobrih standarda pisanja kôda. Ostaje da se vidi koliko je menadžment spreman da uloži određenu sumu novca ili da sve svoje nade položi u nade da će „valjda sve biti OK”. Za običnog korisnika, priča oko osmišljavanja „dobrih” lozinki uvek će biti nešto što mu je maltretiranje, ali dobar marketing je čudo, te verujemo da će magovi marketinga to moći da pretvore u deo opšte kulture. Iako se kaže da promene kreću od vrha piramide, svaka promena, zapravo, polazi od pojedinca koji je u istoj meri, kako na dnu tako i na vrhu piramide.