Problemy Internetu - bezpieczeństwo, prywatność i komunikacja zagrożone?

Internet nigdy nie był bezpiecznym miejscem. Zawsze ostrzegano nas przed wirusami, hakerami, oszustwami, złodziejami itp, itd. Budowanie świadomości i narzędzi, które miały nas przed tymi zagrożeniami uchronić, nic jednak nie dało. Dorzućmy do tego zakusy cenzorskie coraz większej liczby państw. Czy jest gorzej niż kiedykolwiek?

Internet nigdy nie był bezpiecznym miejscem. Zawsze ostrzegano nas przed wirusami, hakerami, oszustwami, złodziejami itp, itd. Budowanie świadomości i narzędzi, które miały nas przed tymi zagrożeniami uchronić, nic jednak nie dało. Dorzućmy do tego zakusy cenzorskie coraz większej liczby państw. Czy jest gorzej niż kiedykolwiek?

Era hasła

Jeszcze kilka lat temu miałem wrażenie, że moja internetowa prywatność jest fortecą nie do ruszenia. Kilka rozbudowanych haseł, po kilkanaście znaków alfanumerycznych, zabezpieczonych przed atakiem metodą słownikową, miało zapewnić mi wirtualny spokój. Z biegiem czasu okazało się, że tych haseł jest zdecydowanie za dużo. Zapisywanie ich na kartce papieru było bezsensowne i męczące. Nie mieszkam sam, więc kuszenie gotowcem na świstku papieru nie wchodziło w grę. Coś trzeba było z tym zrobić.

Zrobiłem to, co robi przytłaczająca większość z nas, a co jest jedną z najgłupszych rzeczy do zrobienia w świecie globalnej komunikacji: zapisałem praktycznie wszystkie hasła w pamięci przeglądarki internetowej Chrome oraz w ustawieniach konta do niej przypisanego. Po chwili dotarło do mnie, jakie mogą być konsekwencje takiego czynu.

Wystarczy złamać jedno hasło, by uzyskać bezgraniczny dostęp do całego mojego internetowego życia. Jedno hasło do konta Google wystarczy, by uzyskać dostęp do mojego konta Facebook, Twitter, poczty w innym serwisie, konta bankowego, konta PayPal, historii przeglądarki, prywatnych zbiorów fotografii, dosłownie do WSZYSTKIEGO! Zdarza się, że kradzież konkretnego hasła nie jest konieczna, bo nasze dane trafiają hurtowo do sieci za sprawą źle zabezpieczonych serwisów, z których korzystamy!

Coraz częściej jesteśmy bombardowani doniesieniami o wycieku loginów, haseł lub danych adresowych z serwisów oferujących przeróżne usługi internetowe: Chomikuj, Hotmail, LinkedIn, Allegro, Grono, wymieniać można by długo. Nie tak dawno dane tysięcy użytkowników TPSA i Netii można było kupić za 60 zł. Badania przeprowadzone przez Sophos w 2009 r. wykazały, że 33% internautów używa jednego i tego samego hasła do wszystkich wykorzystywanych usług w internecie i liczba ta zwiększa się wraz ze wzrostem liczby wykorzystywanych serwisów.

Jak bardzo się zwiększa? Badanie przeprowadzone niecałe dwa lata później przez firmę Trusteer wykazało, że aż 73% z nas zabezpiecza dostęp do kilku innych serwisów hasłem do banku! Wystarczy więc jeden taki wyciek, by ukraść komuś całe wirtualne życie! Mark Burnett, specjalista od bezpieczeństwa sieciowego, skompletował listę 10 000 najczęściej wykorzystywanych haseł. Lista powstała na bazie opublikowanych w sieci wycieków z kilku popularnych serwisów. Okazało się, że absolutnym numerem jeden wśród haseł były dwa ciągi: "password" i "12345".

Hasło staje się powoli reliktem przeszłości. Próba zabezpieczania naszych internetowych włości za pomocą hasła zaczyna przypominać zamykanie drzwi na klucz uniwersalny i zostawianie go pod wycieraczką. Hasło nigdy nie było postrzegane jako skuteczna metoda zabezpieczania dostępu. Pierwsze komputery wykorzystujące ten sposób znajdowały się w MIT. Były połączone ze sobą w sieci Compatible Time-Sharing System, a hasło było metodą na racjonowanie czasu i mocy przerobowej swoim użytkownikom. Jeden ze studentów, Allan Scherr, postanowił przydzielić sobie nieco więcej czasu i włamał się na jedno z kont klienckich. Tam odnalazł plik tekstowy UACCNT.SECRET z danymi kont i go sobie wydrukował.

Od tamtej pory "password protection" nigdy nie było mocną stroną Internetu. Choć na początku hasła zdawały egzamin (niewielka liczba serwisów), to później stały się kłopotliwym problemem nie do ominięcia. Warto przypomnieć, że komplikowanie haseł daje jedynie iluzję bezpieczeństwa. Praktycznie nikt nie stosuje metody na chybił trafił czy ataku metodą słownikową, by je zdobyć. Są inne, skuteczniejsze metody (większość z nich bazuje na naszej naiwności i nieuwadze, np. phishing, zastosowanie keyloggera, reset hasła przy banalnie prostym pytaniu pomocniczym etc.).

Certyfikatów ci u nas dostatek

Od kilku lat obserwuję coraz częstsze ostrzeżenia mojej przeglądarki co do wiarygodności certyfikatów bezpieczeństwa odwiedzanych przeze mnie stron. Czerwone komunikaty wyskakują na witrynach znanych i popularnych serwisów (jakiś czas temu były to poczta.wp.pl, Play24 oraz Netia Online). Cześć z tych certyfikatów jest przeterminowana, część nie znajduje się w bazie przeglądarki. Zdarza się, że przeglądarka krzyczy podczas próby logowania się do banku (Multibank kilka miesięcy temu), co jest wyjątkowym zaniedbaniem. Czy aby nie przeceniamy skuteczności "bezpiecznych połączeń"? Doniesienia o złamaniu zabezpieczeń tych certyfikatów (także tych rzekomo najlepszych) pojawiają się coraz częściej.

Innym problemem jest proliferacja, czyli coraz większa liczba certyfikatów. W momencie gdy urzędy certyfikacji (podmioty komercyjne oferujące certyfikaty, np. autorem certyfikatu dla Gmail jest firma Thawte) mnożą się na potęgę, wyświetlenie się kłódki przy adresie internetowym przestaje cokolwiek znaczyć. Mozilla przechowuje w pamięci dane ponad 40 tego typu urzędów, przy czym nie wszystkie muszą mieć status "root" (najbezpieczniejsze). Warto zadać sobie pytanie, jaką wartość mają certyfikaty wydawane przez te podmioty i jak ściśle są kontrolowane przez urzędy ze statusem "root". Holenderski DigiNotar był zaufanym CA, a mimo to padł ofiarą hakera.

Cenzura wkracza do Europy

Do tej pory większość meldunków o internetowym kneblu dotyczyła Chin i Iranu. Powszechnie znane są próby blokowania treści politycznych, ideologicznych i religijnych. Ale te dwa państwa nie są osamotnione w próbach kontroli przepływu nieprawomyślnych treści w Internecie. Wedle raportów Freedom House, Reporters Without Borders oraz OpenNet Initiative aż 13 państw stosuje bardzo agresywne metody ograniczania wolności wypowiedzi w Internecie. Liczba ta rośnie do ponad 30, gdy wliczymy mniej zauważalne, selektywne próby cenzury. Większość z tych państw należy do bloku postkomunistycznego (i komunistycznego) i kręgu państw muzułmańskich, ale demokracje europejskie także nie ustrzegły się przed zakusami cenzora.

Kraje skandynawskie (Norwegia, Finlandia, Szwecja) już teraz ograniczają dostęp do nieokreślonej liczby stron internetowych. Dzieje się to za sprawą dostawców usług internetowych, którzy na własną rękę (bez przymusu prawnego) nakładają ograniczenia na swoich abonentów. Co ciekawe, sprawa ma dotyczyć jedynie stron ewidentnie łamiących prawo (dziecięca pornografia), ale próby uzyskania listy blokowanych stron kończą się wpisaniem na taką listę (casus Finlandii)! Raport sporządzony przez Christiana Engströma, Ricka Falkvingego i Oscara Swartza wykazał, że wiele organizacji rządowych i pozarządowych wykorzystuje temat dziecięcej pornografii do intensywnego lobbowania na rzecz wprowadzenia cenzury, nie tylko do celów ograniczenia internetowej pedofilii.

A co z pozostałymi krajami UE? Jedna z grup (Clean IT) powołanych przez Komisję Europejską do zbadania zagrożeń Internetu wydała wewnętrzny raport wymieniający potencjalne rozwiązania palących problemów Internetu (między innymi dziecięcej pornografii). Wśród wymienionych środków zaradczych znalazły się: całkowity zakaz anonimowego zamieszczania treści, kontrola treści na portalach społecznościowych, zezwolenie na kontrolę komputera w miejscu pracy, wymuszanie na dostawcach implementacji filtrów blokujących określone treści etc.

Okiem eksperta

Wymienione wyżej kwestie to tylko niewielka część większego obrazu. Internet w sposób naturalny budzi zainteresowanie grup interesu, które chcą go wykorzystać do celów biznesowych i politycznych. O opinię w tej sprawie poprosiliśmy Alexa Urbanowicza, specjalistę od bezpieczeństwa sieci.

Zagrożenie techniczne to wyczerpywanie się adresów. Każdy komputer, smartfon czy inne urządzenie podłączone do sieci ma swój numer (adres), liczba tych adresów jest ograniczona. Wynika to z tego, że współczesny Internet jest w zasadzie prototypem, nie planowano jego gwałtownego rozwoju przed rozwiązaniem rozmaitych bolączek i rozszerzeniem przestrzeni adresowej.

Zagrożenie polityczne to w tej chwili przede wszystkim próba przejęcia kontroli politycznej przez ITU - Międzynarodową Unię Telekomunikacyjną. - agendę ONZ koordynującą globalne sieci telekomunikacyjne. ITU chce przejąć kontrolę nad systemem internetowych adresów domenowych (nazw), nad pilnowaniem bezpieczeństwa sieci i zająć się regulacją jej rozwoju. Już od jakiegoś czasu ITU próbuje wejść w rolę instytucji zarządzających Internetem, aby poddać go scentralizowanemu zarządzaniu, zorientowanemu na realizację celów politycznych konkretnych rządów.

Następnym zagrożeniem dla otwartego Internetu jest sprowadzenie go do roli medium rozrywkowego, o którym decydują dostawcy treści, głównie filmów i muzyki, lobbujący rządy za wprowadzeniem ograniczających wolność użytkowników praw.

Zagrożeniem na styku technologii i polityki jest niewidzialna wojna tocząca się w tej chwili w Internecie - komputerowi włamywacze rożnych krajów penetrują sieci w celu wykradania tajemnic i sabotażu, co z łatwością może przerodzić się w otwarty konflikt, także zbrojny.