Jak se už stalo téměř tradicí, rozhodl jsem se využít další veřejné události k upozornění na bezpečnostní rizika související s naší oblastí působnosti. Tentokrát se obětí stal satirický film The Interview, resp. jeho produkční společnost Sony Pictures Entertainment. Samotná kauza netrpí nedostatkem zájmu médií, nicméně článek na ArsTechnica Sloppy security hygiene made Sony Pictures ripe for hacking připomíná jednu důležitou informaci ohledně způsobu, kterým mohla být společnost napadena – důvěrné informace v e-mailech.
Je třeba si totiž uvědomit, že v principu jsou e-maily zabezpečené na úplně stejné úrovni jako klasické dopisy (a navíc díky své relativní novosti nepožívají zatím stejné právní ochrany). Totiž, že kdokoliv po cestě, kdo Vaše e-maily dopravuje, si je může i přečíst bez zanechání stopy. S tímto je spojena řada dřívejších událostí – od služby GMail, která podle obsahu e-mailu zobrazuje reklamy, až po bezpečnostní služby, které skladují libovolné informace, které jim projdou po prsty, jak se říká, “pro strýčka příhodu”.
A obdobně, jako je možné vypáčit zámek na běžné poštovní schránce, není dnes zásadní problém napadnout běžný počítač, kde máte svoji poštu uloženou. V některých případěch není ani nutné se moc snažit, viz. nedávný článek o heslech.
Pokud tedy ve své schránce máte uložené citlivé informace (hesla, bankovní výpisy, strategické firemní plány a kalendář s dobou, kdy budete na dovolené a Váš byt prázdný), tak se vystavujete riziku, že tyto informace někdo přečte. O to většímu, že z fyzické schránky dopis každý vyndává, ale je běžnou praxí e-maily neodstraňovat.
Nejlepší formou ochrany je samozřejmě tyto citlivé informace šifrovat, přičemž jedinou široce dostupnou a zároveň bezpečnou formou jsou programy jako GPG. Je třeba ovšem vědět, jak se zachovat v případě, že už Vám někdo informace nezabezpečeně pošle. Primárně je třeba se na tuto informaci dívat jako na zkompromitovanou. Nikdy totiž nevíte, kdo si ji mohl po cestě přečíst nebo uložit. Pokud je to tedy možné, proveďte změnu a tu přeneste zabezpečeně. Například pokud Vám někdo předá heslo e-mailem bez šifrování (profesionálního, nemyslí se tím pochopitelně různé vlastnoruční kreativní pokusy), tak heslo změňte a odesílatele informujte.
Ne vždy to ovšem jde. Ve většině případů totiž nemáte oprávnění nebo možnost tuto informaci změnit – kreditní kartu nezrušíte, datum dovolené nemá smysl posunovat. V takovém případě alespoň “zameťte stopy” – po použití smažte všechny svoje uložené kopie e-mailu a nejlépe informujte i odesílatele, že by měl uklidit také. To výrazně sníží (i když neodstraní) pravděpodobnost, že informace unikne od Vás.
Vůbec nejkomplikovanějším případem je, když není možné informaci změnit, aniž by byla zkompromitována. To je problém, který nás jako autora internetových aplikací trápí nejvíce. Bohužel i přes stále se kupící aféry totiž závažnost této problematiky neproniká dostatečně až ke koncovým uživatelům a jsou to tak pouze silné firmy jako Facebook a Google, které si mohou dovolit silou přinutit uživatele ke zvýšené bezpečnosti. Z řad našich klientů totiž opakovaně slyšíme, že jejich zákazníci stojí o komfort zaslání hesla e-mailem mnohem více, než o bezpečnost. Výsledkem pak je, že při změně hesla v aplikaci je toto obratem posláno v čitelné podobě na e-mail. V takovém případě lze doporučit pouze používání generovaných jednoúčelových hesel pro každou takovou internetovou aplikaci zvlášť a jejich ukládání do specializovaného programu – správce hesel.
Analytik, vývojář
Analytik, důsledný, neuteče mu sebemenší detail. Jakub ctí řád, všechno má svá pravidla. Pokud něco nevíte, zeptejte se Jakuba.