Specjalista od zabezpieczeń informatycznych anonimowo w rozmowie z Redakcją In Gremio
IN GREMIO: Wielu prawników prowadzi swoje skrzynki mailowe na Gmailu / Home. Czy to bezpieczne?
X: Skrzynka pocztowa Gmail jest z natury bezpieczną pocztą elektroniczną jeśli chodzi o dostęp osób trzecich (np. włamywaczy), ponieważ pozwala zabezpieczyć ją używając 2FA. Gmail sam w sobie ma wiele mechanizmów, które gdy wykryją próbę logowania się z innego adresu IP, będą blokować tego typu autoryzację i żądać dodatkowej weryfikacji (np. potwierdzenia logowania przez aplikację YouTube na telefonie). Użytkownik może sam zadecydować o formie dodatkowego uwierzytelnienia np. w formie SMS’a z kodem bądź kodu generowanego przez Google Authenticator (są też inne aplikacje do weryfikacji 2FA). Zachęcam do używania 2FA, jest to podstawa bezpiecznego używania skrzynki pocztowej. W dodatku domyślne ustawienia Gmaila (w tym wyłączona obsługa IMAP/POP3) pozwalają zwykłemu użytkownikowi zachować bezpieczeństwo.
Gdzie przechowywane są pliki tych e-maili, czy usługodawca udostępnia je na zadanie służb lub instytucji państwowych?
E-maile oraz ich załączniki są przechowywane na serwerach dostawcy usługi, czyli w tym przypadku Google. E-maile i załączniki domyślnie są przechowywane w formie niezaszyfrowanej (dostawca w każdej chwili może zajrzeć do naszych e-maili i załączników).
Jeśli chodzi o udostępnianie informacji dla instytucji państwowych, Gmail nie jest bezpieczną skrzynką. Google wprost informuje o tym, że rozpatruje wnioski przesyłane przez inne kraje i udostępnia dane. Zaznacza, że stara się zawężać zakres udostępnianych danych, czyli:
a. zazwyczaj, gdy policja wysyła wniosek, musi podać np. zakres dat e-maili, nadawców itp.
b. nie wygląda to tak, że policja pisze „Udostępnijcie nam e-mail xx” i Google wysyła wszystkie e-maile, które znajdują się na koncie.
Jak widać na wykresie – Google z roku na rok coraz chętniej udostępnia informacje (1 lipca 2023 r. 81% wniosków zostało rozpatrzonych pozytywnie).
Należy uwzględnić również to, że jeśli skasujemy e-mail z naszej skrzynki i kosza, Google nie przechowuje go w nieskończoność, po pewnym czasie e-maile są już nie do odzyskania nawet dla Google i nie ma do nich dostępu nawet na prośbę służb.
A co z plikami umieszczonymi w tzw. chmurze (iCloud, Google drive)?
Chmura to inaczej kilka serwerów połączonych w jeden duży, to przezroczysta, niewidoczna infrastruktura połączonych serwerów. Wysyłane pliki do chmury w rzeczywistości są przechowywane na serwerach usługodawcy. Tak samo jak w przypadku e-maili, usługodawca ma możliwość zajrzenia i skopiowania plików, które znajdują się na jego serwerach.
Jako przykład weźmy chmurę iCloud (Apple). Apple zapewnia, że wszystkie pliki, które są przetrzymywane na ich serwerach, są zaszyfrowane kluczem, który jest przetrzymywany w innych centrach danych. Jaki z tego wniosek? Gdy ktoś włamie się na serwery Apple, na których znajdują się nasze pliki – będą one dla niego bezużyteczne, ponieważ są zaszyfowane. Ma to drugą stronę medalu – Apple ma klucz, którym w razie potrzeby może odszyfrować nasze prywatne pliki i udostępnić je osobom trzecim (np. prokuraturze).
To samo tyczy się pozostałych dostawców chmury. Zawsze mają możliwość udostępnić nasze pliki organom ścigania.
Powszechne jest kodowanie telefonu poprzez system czytania twarzy czy odcisk palca – czy te sposoby są rzeczywiście bezpieczne?
Nie ma złotego środka, jeśli chodzi o zabezpieczenie telefonu. Osobiście używam zawsze kodu i nigdy nie odblokowuję telefonu ani „twarzą”, ani odciskiem palca. Istnieje realna możliwość, że ktoś może nas fizycznie zmusić do odblokowania telefonu np. przyłoży siłą nasz palec. Jeśli mamy kod do wpisania, to nie zmusi nas do tego. Z drugiej strony musimy ten kod zawsze wpisywać i stojąc np. pod kamerą ktoś może nagrać, jak wpisujemy kod, a następnie odblokować nasz telefon.
Dobrą metodą może okazać się ustawienie odblokowywania „twarzą”, ale wyłącznie telefonu w krytycznej sytuacji. Domyślnie telefon po wyłączeniu i włączeniu powinien żądać od nas wpisania kodu. Dopiero przy następnych odblokowaniach można to zrobić „twarzą”.
Jeśli chodzi o rozwiązania techniczne – obecnie nie istnieją publicznie znane metody na odblokowanie najnowszego Iphone z najnowszym oprogramowaniem, jest to po prostu fizycznie niemożliwe.
To zabezpieczenia telefonu, a jak poradzić sobie z komputerem?
Podstawowym krokiem w celu zabezpieczenia komputera przed dostępem osób trzecich jest jego zaszyfrowanie. Warto w tym celu skonsultować się z informatykiem, ponieważ łatwo popełnić błąd i zaszyfrować tylko część komputera zamiast całości, co pozwoli na odzyskanie plików z dysku przez specjalistów. Najłatwiejszą formą, żeby zabezpieczyć swój komputer jest kupno sprzętu i włączenie szyfrowania (znane marki dostarczają domyślnie w systemie formę szyfrowania komputera, całego, wystarczy tylko jedno kliknięcie). Przykładowo, nie istnieją żadne oficjalne dokumenty, w których byłyby informacje o złamaniu przez kogoś zaszyfrowanego komputera Apple. Oczywiście wszystko zależy też od długości hasła i jego typu, jeśli wybierzemy np. na hasło swoje imię, to ktoś może je z łatwością po prostu zgadnąć. Sprzęt Apple korzysta domyślnie z silnego algorytmu szyfrowania który jest publicznie udostępniony, sprawdzony przez wielu niekomercyjnych programistów i zwykłych użytkowników.
W przypadku Windowsa warto pokusić się o sprawdzenie oprogramowania VeraCrypt, które jest na licencji Open Source (kod źródłowy programu jest publicznie dostępny i każdy może go przeanalizować, aby sprawdzić, czy nie ma w nim „magicznego hasła”, które odblokowuje wszystkie komputery).
Zmieńmy temat. Bitcoin – czy rzeczywiście jest anonimy?
Bitcoin nie jest i nigdy w zamyśle nie miał być anonimowy. Księgi przepływów monet (blockchain) są publicznie dostępne, każdy może do nich zajrzeć i prześledzić transakcje. Od początku bitcoin (jak sam deklarował) miał być transparentny, przejrzysty, co przeczy już samo w sobie anonimowości. Oczywiście w skrajnych przypadkach, przy zachowaniu pewnych środków bezpieczeństwa, można podnieść jego poziom anonimowości, ale równie dobrze w zamyśle można to uczynić z każdą inną formą płatności.
Możemy prześledzić dwie drogi:
a. Zakładamy konto na giełdzie np. Binance, weryfikujemy się dowodem osobistym, wpłacamy na giełdę środki przelewem z naszego konta bankowego, które jest utworzone na nasze dane osobowe, dokonujemy przelewu środków do innej osoby (która również ma konto na giełdzie Binance, zweryfikowane na swoje dane). W poniższym przykładzie wystarczy, że służby zwrócą się tylko do Binance o udostępnienie informacji o transakcji XYZ zapisanej w blockchain i giełda od razu udostępni informacje, kto do kogo przelał pieniądze.
Należy zwrócić uwagę, że giełdy często przelewają środki z pewnej puli swoich adresów, przez to dość łatwo dopasować adres bitcoin do danej giełdy i wtedy już prosta droga, żeby zwrócić się o informacje o danym użytkowników i podać ID transakcji.
b. Tworzymy lokalny portfel na naszym komputerze np. przy użyciu programu Electrum (to portfel, który nie łączy się z żadną giełdą, jest u nas lokalnie na komputerze). Znajdujemy kogoś na localbitcoins, umawiamy się na spotkanie, na którym przekazujemy komuś gotówkę do ręki, a ktoś wpłaca bitcoiny na nasz adres BTC, podczas transakcji nie legitymujemy się żadnym dowodem itp. Następnie dodatkowo „mixujemy” nasze Bitcoiny, czyli przesyłamy je do mixera. Mixer to narzędzie, które posiada setki tysięcy różnych adresów BTC, my wpłacamy gotówkę na jeden adres, podajemy też adres, na który mamy otrzymać zmixowane bitcoiny, następnie to narzędzie z kilku tysięcy różnych adresów przesyła na nasz jeden adres bitcoiny, w dodatku są one od innych osób, które również wpłacały je do mixera. Sprawia to, że nasze bitcoiny płyną do kogoś innego, a my otrzymujemy „czyste”, niepowiązane z nami bitcoiny.
Jak widać w pewnym stopniu da się anonimizować kryptowalutę Bitcoin, jednak nie jest ona u podstaw i w zamyśle walutą anonimową, da się ją śledzić, przeglądać, analizować transakcje, adresy, powiązywać je z giełdami itp.
Z domysłu i u podstaw anonimowymi kryptowalutami są Monero i Z-Cash. Obecnie Monero jest topową, ciągle wprowadza kolejne rozwiązania technologiczne, które praktycznie całkowicie blokują możliwość prześledzenia transakcji, adresów.
Ataki na systemy instytucji państwa – zdarzają się?
To nie są pojedyncze jednostki. Każdego dnia systemy państwowe są atakowane w różne sposoby. Zarówno przez boty skanujące i szukające podatności w serwerach (tzw. exploity), przez grupy hackerów, coraz częściej mamy również do czynienia z socjotechniką, gdzie pracownicy instytucji są zwyczajnie oszukiwani i ich komputery są przejmowane przez atakujących. Można z tego wysnuć prosty wniosek, jeśli atakujący nie jest w stanie włamać się na serwer, to może po prostu spróbować zainfekować komputer pracownika i uzyskać dostęp np. do bazy, w której może wyszukiwać po numerach rejestracyjnych właścicieli aut. Oczywiście instytucje są też zabezpieczone na tego typu sytuacje i zazwyczaj pracownicy mają limity żądań danych (przykładowo pracownik dziennie może sprawdzić maksymalnie 100 numerów tablic).
Wedle serwisu cyberdefence24.pl:
„O tym, że Polska jest regularnie atakowana w sieci pisaliśmy wielokrotnie. Potwierdzają to oficjalne statystyki. Wystarczy spojrzeć na ostatnie 2 lata: w 2022 r. odnotowano 40 tys. incydentów, w ubiegłym roku było ich już 80 tys. W 2024 r. skala może być jeszcze większa, na co wskazuje nasilenie działań w cyber w pierwszej połowie roku.”.
Wedle statystyk skala incydentów oraz prób ataków jest ogromna, licząc średnią w 2022 roku dochodziło do ponad 100 incydentów dziennie.
Należy pamiętać również, że nie każdy wyciek czy atak jest odnotowany, często zderzamy się z sytuacją, gdy instytucja nie jest świadoma, że jej dane wyciekły, dowiaduje się o tym dopiero po kilku miesiącach, gdy dane są już dostępne publicznie i zwraca się o audyt, to prowadzi nas do wniosku, że o wielu wyciekach na pewno nie wiemy.
Czy systemy ochrony danych instytucji państwowych są bezpieczne?
Ciężko jednoznacznie powiedzieć, czy wszystkie systemy państwowe są bezpieczne, na pewno warto zwrócić uwagę na pozytywny trend w przykładaniu większej wagi do wykonywania tego typu prac. Jako przykład możemy przedstawić sytuację z wyciekiem danych związanych
z sędziami i prokuratorami.
Służby zaczęły pociągać do odpowiedzialności osoby odpowiedzialne za niedopatrzenia związane z bezpieczeństwem danych i systemów (czytaj tutaj). Myślę, że z pewnością wpłynęło to elektryzująco na branżę i sprawiło, że w przypadku przetargów państwowych firmy przykładają dużo większą wagę do zabezpieczeń i audytów.
W ostatnim czasie trudno usłyszeć, żeby centralne systemy państwowe (np. PUE czy ePUAP) dotknęły jakieś ciężkie wycieki. Jednak jak do wszystkich systemów również i do nich należy podchodzić z dozą nieufności, nie używać takiego samego hasła jak w innych serwisach internetowych i jeśli to tylko możliwe, korzystać wszędzie, gdzie się da z 2FA.
Niech pozostanie z nami wizja szczelnego systemu państwowego w zakresie centralnych baz danych. Dziękujemy za rozmowę.
