Gyakran óriási szakadék tátong az adataink biztonsága és a biztonságérzetünk között. De mi az önhöz hasonló felhasználók, és mi az önt védeni hivatott cégek felelőssége? David Jacoby szokatlanul világosan mesélt arról, mi a baj azzal, ahogy mindehhez hozzáállunk. A Kaspersky Labs svéd kutatójával Máltán, a cég kiberbiztonsági konferenciáján beszélgettünk. Segített abban is, hogyan lehet könnyen megjegyezhető, mégis erős jelszót kitalálni. Önnek mi az első dolog, ami eszébe jut, ha azt hallja: Facebook?
A kutatás, a technikai oldal mellett az IT-biztonság pszichológiai vonatkozásaival is foglalkozol. Ez honnan jött, és pontosan mi érdekel ezzel kapcsolatban?
Sok éven át foglalkoztam hobbiból a pszichológiával. Mivel alapvetően informatikai rendszerek penetrációs tesztelését végeztem, feltűnt, hogy minden alkalommal ugyanazokkal a technikai problémákkal találkozom. Ennek pedig az az oka, hogy alapvetően hibás, ahogy a biztonsági termékekhez hozzáállunk.
Az a mentalitás, ahogy a számítógépes biztonságról gondolkodunk, totálisan rossz.
Mondok egy példát: a rendszerek automatikus tesztelésére használt programok. Ezek a hálózatodat szkennelik, ismert sebezhetőségek után kutatva. Amikor ezekről a termékekről beszélünk, mindig arról van szó, milyen jók, milyen funkcióik vannak. De nemcsak azzal kellene foglalkozni, hogy egy termék mit tud tenni érted, hanem épp fordítva, azzal is, hogy mit nem tesz meg. Mert azokat a dolgokat, amiket nem talál meg, azokat IT-szakemberként neked magadnak kell helyette megtalálni. Ezekkel a termékekkel az az őrült nagy helyzet, hogy egyszerűen nem működnek, hibásak.
Miért?
Honnan is jöttél?
Magyarországról.
Hogy mondod magyarul, hogy "password"?
"Jelszó".
Oké. Leírnád nekem? És hogy kell kimondani? "Jel-szó". Mondjuk, hogy van egy e-kereskedő vagy egy banki oldalam. Ha létrehozok egy jelszó.txt nevű fájlt az összes jelszavammal minden egyes rendszerhez, az egy olyan probléma, amit ezeknek a termékeknek meg kellene találnia. Nem fogják megtalálni. Nincsenek lokalizált adatbázisaik, csak angol nyelvűek. Angol jelszavak, könyvtárak, fájlok, minden. Ha valamilyen varázslattal megszereznéd minden magyar ember jelszavait, szerinted hány százalékuk lenne magyarul? Elég nagy arányban, igaz? Ezek a termékek nem találnák meg őket. A svédben van három karakterünk, amik más nyelvben nem is léteznek, ezeket se ismernék fel. Tehát van egy szkennered, ami átvizsgálja a rendszeredet, azt mondja neked, hogy minden rendben, tökéletes vagy, nincsen semmilyen sebezhetőséged. De van egy jelszó.txt nevű fájlod a webszervereden.
A külföldi hekkerek ügyesebben lokalizálnak, ők könnyebben megtalálják az ilyesmit?
Ha képzett hekker vagy, és megtámadnál egy magyar céget, tudnád, hogy az egy magyar cég, ezért olyan eszközökre váltanál, amikkel megtalálod ezeket. Ez a bizonyos fájl valószínűleg nagyon könnyen megtalálható lenne egy nagyon kis szótáron alapuló támadással is. Hogy van magyarul, hogy "titok"? Vagy az, hogy "magán", "biztonsági mentés", "régi"? Mi a tapasztalatod, láttál már ilyen nevű könyvtárakat emberek számítógépein?
Hogyne.
Ez az egyik olyan dolog, ami problémás pszichológiai szempontból. Azt mondjuk, hogy ez a termék olyan nagyszerű, mert képes x, y, z-re, mire te megveszed, és tényleg tudja x, y, z-t, de nem tudja 1, 2, 3-at. A másik gyakori kifogás, hogy az IT-biztonság sok pénzbe kerül. Nem kerül sok pénzbe. A termékek kerülnek sokba, a szoftverek, nem az IT-biztonság, mert az egy gondolkodásmód. Meg kell értetni az emberekkel, mit tehetnek, mit ne tegyenek. Az emberek például mindig azt mondják, lehetetlen megjegyezni húsz egyedi jelszót. Valójában ez bullshit, tök egyszerű megjegyezni, vagy nem?
Azt mondanám, nem szükséges.
Ezt hogy érted?
Én személy szerint jelszókezelőt használok, ami megjegyzi őket.
Oké, de jelszókezelőt használni – nem tudom máshogy mondani – elhülyít. Nem téged akarlak sértegetni, csak arra gondolok, hogy nem segít abban, hogy gondolkozz a jelszavakon, és ha a technológiát elvennék tőled, nem tudnád, hogyan alkoss erős jelszavakat. Egyetértenél azzal az állítással, hogy nehéz megjegyezni húsz jó, egyedi jelszót?
Nem, mert ez függ attól, hogyan alkotod meg a jelszavakat. Használhatsz például mondatokat.
Pontosan. De ha megkérdeznél egy átlagembert, mondjuk az anyukádat, a szomszédot, a barátnődet, valakit, akinek nincs köze az informatikához, mit gondolsz, mi lenne a válasz arra, hogy milyen egy erős jelszó?
Valami olyasmi, hogy legyenek benne különleges karakterek, számok, minél hosszabb, annál jobb.
Igen, ami viszont nem annyira igaz. Szerintem a legbiztonságosabb jelszó az egyedi jelszó. Ha valahogy megszerzem a Facebook-jelszavadat, azzal nem szabadna hozzáférnem a LinkedIn-fiókodhoz is. Na de hogyan hoznál létre húsz ilyen erős, egyedi jelszót? Tetszett, amit az előbb mondtál, hogy egy kifejezést használnál egy szó helyett. Mondj egy kifejezést!
Van néhány ilyen jelszavam...
Nem azokra gondoltam, amiket tényleg használsz!
Magyarul vannak, úgyhogy úgyse értenéd.
Ó, akkor inkább írd le! (nevet)
Szóval általánosságban egy online bankos fiókhoz használható lenne például valami olyasmi, hogy "ezegynagyonfontosfiokmertpenzvanbenneugyhogyerosjelszokell", vagy hasonló.
Ez igazából nagyon jó módszer. Nekem másféle rendszerem van. Először meghatározok egy statikus karaktersort, amit aztán mindenhol használok, de minden egyes oldalon hozzáadok egy különleges azonosító részt. Vegyünk például egy filmidézetet, mondjuk azt, hogy "Luke, én vagyok az apád" (leírja az első betűket), tehát LEVAA. Tegyünk hozzá egy felkiáltójelet, mert néhány oldal kér speciális karaktert. Minden jelszavad ezen fog alapulni, de az asszociáció erejével kiegészítve. Van Facebookod? Mi az első dolog, ami eszedbe jut, ha azt mondom, "Facebook"?
Kék.
Kék, én is arra gondolok először. És ha azt mondom, Twitter?
Madár.
LinkedIn?
Szakmai.
És itt is vannak az erős jelszavaid ezekhez az oldalakhoz: "levaa!kek", "levaa!madar", "levaa!szakmai". Egyszerű, nem? És szerintem elég könnyű megjegyezni is. Az a jó, ha előállunk olyan megoldásokkal, amik nem technikai jellegűek. Ezért gondolom, hogy jó ötlet a jelszókezelő, de még jobb, ha az emberek először tudják, hogyan alkothatnak jó jelszót, és csak ezután használják. Ugyanígy kell gondolkodnunk mindenről, a titkosítástól a biztonsági mentéseken át a sebezhetőségek befoltozásáig. Újszerűen, mert a technológia folyamatosan fejlődik, és nekünk is fejlődnünk kell abban, ahogyan a biztonsághoz hozzáállunk. Olyan sok rossz kifogás van, amik ma már nem érvényesek. Például, hogy lehetetlen megjegyezni húsz egyedi jelszót. Tényleg az, ha számítógép által generált kódokat használsz, de nem kell azt használnod.
Mi a helyzet a másik oldallal? Gyakran széles rés tátong a valóság, vagyis a tényleges biztonság, illetve ennek a biztonságnak a percepciója, a biztonságérzet között. Egy olyan cégnek, mint a Kaspersky vagy más IT-biztonsági vállalatoknak, milyen felelőssége van ennek a résnek a szűkítésében?
A felelősség szerintem erős szó.
Milyen szót használnál?
Van bármilyen felelősségünk bármiben?
Ha azt mondod, hogy a missziód, hogy...
Hogy "megmentsem a világot"? (Utalás a Kaspersky szlogenjére – BD)
...hogy növeld a felhasználók biztonságát.
Azt mondanám, hogy ez egy cél, nem egy felelősség. Igen, ez a célunk, és van egy csomó kutatónk meg IT-szakemberünk, akik meg tudnak oldani egy sor technikai problémát, de sokan vannak nálunk olyanok is, akik iskolásokhoz, tinédzserekhez, nem-technikai emberekhez szólnak, és beszélgetünk veletek, újságírókkal is. Csökkenteni ezt a rést, növelni az emberek tudatosságát, hogy személyesen is érintve érezzék magukat – ezzel folyamatosan foglalkozunk. Technológiával csak a problémák egy részét lehet megoldani, a többinek az oktatásból, tréningből kell jönnie.
Olyan ez, mint a gyereknevelés: ugyanazt el kell mondani újra és újra és újra, amíg meg nem ragad a fejükben.
Mindezzel együtt, mit gondolsz a cégek technikai feladatairól ezzel kapcsolatban? Ha például egy átlagos felhasználó leül a gép elé, hogy a munkáját végezze, vagyis hogy eszközként használja a technológiát a céljaihoz, de felugrik egy ablak, hogy frissítsen valamit most azonnal, különben bajban lesz, viszont ott van a kis x az ablak sarkában...
...csak rákattintasz, mert dolgozni akarsz, nem frissítgetni. Persze, én is azt gondolom, hogy miért nem mondjuk azt a fejlesztőknek, hogy használjanak automatikus frissítéseket? Nem lenne atomfizika megoldani, hogy minden program automatikusan, a háttérben frissítse magát, az iPhone-om is meg tudja oldani.
Amikor magának a felhasználónak a felelősségéről van szó, általában is gyakori, hogy őt hibáztatják, neki kell tájékozottabbnak lennie, neki kell jobb jelszavakat kitalálnia, egy csomó mindent kell neki csinálnia. Egy másik megközelítés szerint viszont nem a felhasználónak kellene a sebezhető szolgáltatások problémáit megoldania vagy a veszélyek ellen védekeznie, ez elsősorban a fejlesztők feladata kellene, hogy legyen.
Abszolút, ez nem tisztán felhasználói probléma. Viszont őszintén szólva szerintem manapság túl nagy nyomás nehezedik a cégekre és a fejlesztőkre, és nagyon kevés felelősség magára a felhasználóra. Hadd játsszam az ördög ügyvédjét: ha van egy gyenge jelszavad a Yahoonál vagy a LinkedInnél, meghekkelik őket, és kiszivárog az adatbázisuk, benne a te gyenge jelszavaddal, nem gondolod, hogy nem is igazán számít, hogy meghekkelték őket, hiszen amúgy is gyenge a jelszavad? Lehet, hogy rossz vagy abban, hogy a saját dolgaidat biztonságosan kezeld, mindenhol ugyanaz a jelszavad stb., de amint meghekkelnek egy szolgáltatást, és kiszivárog a jelszavad, elkezdesz rájuk mutogatni, hogy ezt meg ezt kellett volna jobban csinálniuk. Igen, sok mindent kellett volna csinálniuk, de neked is. Ez két irányban működik.