Sajber-rizik #1: (Ne)sigurnost elektronske pošte
Iako je svakodnevno koristimo kao jedan od najvažnijih servisa Interneta, elektronska pošta donosi i ozbiljnu opasnost koja može ugroziti čitav naš informacioni sistem. Kako prepoznati opasnost i zaštiti se od nje?
Uzimate šolju tople jutarnje kafe, sedate u udobnu stolicu i uključujete svoj računar. Dok prelistavate jutarnje vesti, pokrećete i svoj program za pregled elektronskih poruka, a sistem vam signalizira da imate tri nove nepročitane poruke. Jedna od njih naslovljena je od Banke XY i sadrži informaciju o deviznom prilivu, uz napomenu da se u prilogu poruke nalazi izvod i dodatne informacije o uplatiocu.
Od vašeg sledećeg poteza zavisiće ukus sledećeg gutljaja kafe, kao i vaše raspoloženje u ostatku dana. U prvom scenariju uočili ste da u Banci XY uopšte nemate račun, tako da je uplata iz tog ugla nemoguća i e‑mail ste odmah obrisali. U drugom scenariju možda baš u toj banci posedujete tekući račun, ali se odlučujete da još jednom malo detaljnije analizirate pristiglu poruku. Da li očekujete uplatu u iznosu koji je naveden u samom mejlu, da li inače dobijate mejlove od svoje banke u ovom obliku i da li prilog izgleda onako kako inače izgleda? Proveravate vizuelno mejl i skenirate prilog antivirusnim softverom, zatim uočavate sumnjive znake i mejl brišete, a po potrebi i sa svojom bankom dodatno proveravate da li je mejl koji ste dobili stvarno stigao od njih. Nažalost, postoji i treći scenario koji nema srećan kraj i u kome ste otvaranjem priloga pokrenuli još jedan proces koji vam je tvorac ovog mejla namenio. U najvećem broju slučajeva prilog je inficiran malicioznim kodom koji za cilj ima enkripciju svih vaših podataka ili kompromitaciju samo onih koji su napadaču interesantni, poput vaših lozinki za pristup različitim digitalnim servisima. Eto načina da sigurno upropastite dobru jutarnju kafu, a verovatno i ostatak dana.
Tamna strana mail‑a
U vremenu u kome živimo korisnici finansijskih usluga suočavaju se s plimom novih digitalnih servisa izazvanih što zahuktalom Četvrtom industrijskom revolucijom, što nevidljivim neprijateljem s kodnim nazivom SARS‑CoV‑2. Period izolacije koji smo imali prilike da iskusimo suzio nam je manevarski prostor za život i njegovo uobičajeno funkcionisanje, ali naravno nije uspeo da suzbije sve naše potrebe i obaveze s kojima se svakodnevno susrećemo. Tako je preko noći većina naših uobičajenih poslova završila na digitalnoj strani ulice i dostupna je preko naših računara ili mobilnih uređaja. Od obavljanja različitih poslova u banci putem video‑poziva, preko već uhodanog Internet i mobilnog bankarstva, do pojave eSandučića i eRačuna za najrazličitije namene.
Šta spaja većinu ako ne i sve ove digitalne servise? Svi zahtevaju identifikaciju korisnika i kanal komunikacije koji se najčešće bazira na elektronskim porukama razmenjenim posredstvom Interneta, odnosno putem mejla. I tu se priča ne završava, već tek počinje. Mejl se kao sredstvo komunikacije pojavljuje davne 1971. godine u obliku kakvom ga danas poznajemo i okićen je znakom @ kome je te godine kumovao izvesni gospodin Ray Tomlinson. Lakoća upotrebe, efikasnost, brzina i cena učinili su ovaj vid komunikacije dominantnim i neizostavnim kako u privatnim, tako i u poslovnim sistemima. Danas je gotovo nemoguće zamisliti poslovanje većine kompanija bez upotrebe ovog kanala komunikacije. Cifre koje govore o njegovoj zastupljenosti su impozantne, procene su da danas u svetu ima više od četiri milijarde korisnika mejla koji generišu dnevnu količinu koja premašuje 290 milijardi mejlova.
Sve bi bilo u redu da se u mejl nisu umešali i drugi faktori, poput reklamnih agencija, prodavaca sumnjive robe i na kraju kriminalaca željnih lake i brze zarade. Statistika nam pokazuje da se procenat neželjenih mejlova, takozvanih spam poruka koje cirkulišu svakoga dana, kretao od neverovatnih 90 posto pa do sada procenjenih 53 posto ukupnog saobraćaja na Internetu u periodu od poslednjih dvadesetak godina.
Još jedan bitan faktor nas dovodi do razloga zašto je ovaj članak danas pred vama, a to je činjenica da razvoj funkcionisanja e-mail saobraćaja i protokola koji ga opisuju nije uspeo da se u dovoljnoj meri adaptira današnjem vremenu i izazovima koje ono nosi. Pisan i nadograđivan krajem dvadesetog veka, protokol nije u osnovi pravljen i definisan kao sistem koji predviđa i ima odgovore na različite pokušaje zloupotrebe.
Ojačati slaba mesta
Situacija koju smo u uvodu opisali jedan je od najčešćih vidova pokušaja kompromitacije i sastavni deo prakse sajberkriminalaca. Radi se o takozvanom phishing‑u iliti slanju malicioznog mejla sa ciljem obmane korisnika i navođenja na određenu akciju (otvaranje atačmenta, kliktanje na link u telu poruke i slično) ili odavanje informacija (lozinki, brojevi platnih kartica, mejl nalozi i slično). Napadači koriste slabost protokola da umetnu u adresu pošiljaoca bilo koju adresu za koju smatraju da će privući pažnju, zatim koriste tehnike socijalnog inženjeringa da obmanu korisnika i navedu ga na željenu aktivnost.
U sva tri scenarija problematično je to što ste dobili mejl u čijem Mail From polju stoji ime Banke XY ili nekog drugog vama interesantnog pošiljaoca od koga možda i očekujete poruku. Nažalost, spomenuti sistem za slanje i prijem poruka pravljen je davno, kada se o ovakvim problemima nije vodilo računa i kada je briga da li će vam neko presresti mejl, neovlašćeno ga nadgledati ili modifikovati bila daleko od očiju javnosti i daleko od tvoraca standarda u kojima je funkcionisanje ovih protokola definisano. Ali danas je 2020. godina i mejl komunikacija je postala sastavni deo kako privatne sfere tako i poslovnih procesa i skoro je nemoguće zamisliti normalno funkcionisanje u današnjem svetu bez upotrebe mejlova. Šta se desilo sa funkcionisanjem mejla i da li to možemo nekako da ispravimo?
Uprkos za današnje sigurnosne pojmove slabašnom dizajnu protokola za prijem i slanje elektronskih poruka, isti protokol ima dovoljno gradivnih elemenata koje možemo da iskoristimo kako bismo pomenute rizike sveli na minimum. Na raspolaganju su nam mehanizmi razvijani u proteklom periodu i pravljeni kako bi ciljano suzbili negativne trendove i samu mejl komunikaciju učinili pouzdanijom i bezbednijom. Radi se o nekoliko protokola za autentifikaciju mejlova, poput SPF, DKIM i DMARC, čija pravilna primena može umnogome da doprinese suzbijanju zloupotrebe mejlova. Oni predstavljaju mere kojima bi trebalo da se bave svi vlasnici domena, pružaoci mejl hosting usluga kao i regulatori na nivou država i različitih industrijskih sektora. Pravilna primena ovih protokola u dosta slučajeva nije pravolinijska i iziskuje određene napore, ali u kontekstu spomenutih rizika, u zavisnosti od mejl servisa i pravca u kome nas gura talas digitalizacije, svaki napor i sredstva koja ćemo uložiti u ovaj posao moraju biti obezbeđena i opravdana.
Sama struktura mejl poruka sadrži dva mesta u kojima je moguće identifikovati pošiljaoca Mail From: i From: polja i, nažalost, oba mogu biti lažirana. Zapitaćete se kako je uopšte moguće verovati primljenom mejlu i kako biti siguran ko je pravi pošiljalac poruke. Moguće je, uz doslednu primenu gore navedenih protokola i omasovljavanje njihove pravilne upotrebe na Internetu. Ovde se očigledno i krije glavna prepreka i razlog dosadašnjeg odsustva primene kao i posledične zloupotrebe mejl komunikacije. Neke države su svojim ministarstvima nametnule upotrebu ovakvih protokola dok se privredi i građanima ovi protokoli ostavljaju na korišćenje po slobodi izbora. Oni koji žele da ovaj vid komunikacije dodatno obezbede dovijaju se na različite načine, kao što su elektronsko potpisivanje ili šifrovanje mejlova. Velike korporacije, s jedne strane, zasigurno su u stanju da u većoj meri zaštite svoje sisteme i sisteme svojih zaposlenih dok su pak građani prepušteni svojim mejl provajderima i ličnoj zaštiti koju poseduju na svojim elektronskim uređajima.
Uvod u digitalni svet
Činjenica je da su obični korisnici, koji o tehničkim stvarima ne znaju i ne moraju da znaju previše, upućeni na savete kojima ih s raznih strana bombarduju, ali nikad u dovoljnoj meri. Čitava jedna generacija naših građana odrasla je bez digitalnih osnova utkanih u ranoj fazi i digitalne kulture koja iz toga proizilazi, tako da je naknadna edukacija jedini pravi potez u želji da se korisnici bankarskih i drugih digitalnih usluga informišu i učine otpornijim na sajberpretnje kojima su svakodnevno okruženi. Uvođenje predmeta Digitalni svet u prvom razredu osnovnih škola ove godine obećava nove generacije koje će biti bolje osvešćene i spremnije za nove izazove. Do tada nam ostaje borba, u koju smo mi kao Udruženje banaka Srbije kontinuirano uključeni, za postizanje što bolje kolektivne digitalne bezbednosti i stvaranje uslova za neminovni razvoj digitalnih servisa u svim sferama našeg društva.
Pravilna primena Zakona o informacionoj bezbednosti, Zakona o zaštiti podataka o ličnosti i preporuka Nacionalnog CERT‑a u što većem broju institucija u državi obezbediće sisteme koji funkcionišu u skladu s najboljom praksom i iskustvima iz domena digitalne bezbednosti, a krajnjim korisnicima servise koji su na adekvatnom nivou bezbednosti i pouzdanosti. Uz podrazumevano poštovanje saveta i uputstava koje nam saopštavaju pružaoci digitalnih usluga.
Autor: Darko Šehović, Udruzenje banaka Srbije
Korisna adresa: ubs‑asb.com