Kā Latvijas uzņēmumi rūpējas par savu lietotāju kontu drošību?

Vēl nav mēnesis apkārt, kopš biznesa kontaktu sociālais tīkls LinkedIn paziņoja par lietotāju profilu informācijas noplūdi, kas tika nozagti vēl 2012. gadā – atklātībā nonāca lietotāju e-pasta adreses, šifrētas paroles un lietotājiem piešķirtie ID.
Četri gadi informācijas tehnoloģiju laikmetā ir ievērojams laiks, lai LinkedIn paspētu veikt nepieciešamos drošības pasākumus un šāda situācija vairs neatkārtotos. Ir uzlabota paroļu šifrēšana un uzglabāšana (tagad tiek izmantoti salted hash) un lietotājiem tiek piedāvāta divu soļu autentifikācija.

Kā Latvijas uzņēmumi rūpējas par savu lietotāju drošību?

Šajā sakarā ir interesanti paraudzīties, kā Latvijas servisi risina savu lietotāju informācijas aizsardzību un vai lietotāja vārds, kas parasti ir e-pasts un parole ir pietiekami aizsardzības līdzekļi lietotāju profiliem? Pētīt izvēlos trīs Latvijas uzņēmumus, kuriem ir gana liela lietotāju bāze:
1. E-pasta serviss Inbox.lv;
2. Sociālais tīkls Draugiem.lv;
3. Mazo pārskaitījumu serviss Monea.

1. Inbox.lv

Inbox ir klasisks e-pasta serviss, kas principā ir vienā līmenī ar Hotmail, Gmail vai Yahoo. Atšķiras dizains un kaut kādas saskarnes iespējas, tomēr lielākajai daļai lietotāju būtība ir viena – saņemt un nosūtīt e-pastu. Latvijas mērogam Inbox ir liels projekts ar lielu lietotāju bāzi. Arī autentifikācija ir klasiska – ir lietotāja vārds, kas ir e-pasta adrese un ir parole.

Inbox.lv tehniskais direktors Jevgēnijs Kuzņecovs stāsta – Runājot par paroļu politiku, mums minimālais paroles garums joprojām ir 8 simboli. Tas ir kompromiss starp lietotāju ērtību un maksimāli iespējamo drošību. Mēs negribam lietotājiem sarežģīt dzīvi, bet no otras puses sekojam līdzi tam, lai lietotāji neizvēlas pārlieku viegli uzminamas paroles. Meklējam vidusceļu, piemēram, mums ir vārdnīca ar vārdiem vai regulāri izmantotām parolēm, ko mēs neļaujam izvēlēties. Savukārt, paroles regulāra maiņas nav obligāta, tomēr mēs laiku pa laikam atgādinām lietotājiem, ka ir ieteicams mainīt savu paroli.

Protams, redzam, ka lietotāji mēģina uzminēt svešas paroles. Tomēr šī tendence samazinās, joprojām ir mērķēti mēģinājumi uzminēt draugu vai “bijušo” dzīvesbiedru paroles. Lai nevarētu vienkārši minēt cik uziet, mums ir savi ierobežojumi, piemēram, mēs esam noslēguši jebkādas brute-force iespējas. Ja parole ieraksta 4 reizes nepareizi, mēs prasām atpazīt uzrakstītu tekstu papildus captcha laukā. Tas viltvāržiem sarežģī dzīvi. Tāpat seko pat IP adrešu ierobežojumi, kas iedarbojas uz laiku.

Šādā veidā tiek traucēts darbs ļaundariem, kas mēģina ielauzties, izmantojot dažādas programmas, nevis mēģina uzminēt paroli, izmantojot pārlūku kā visi lietotāji. Tāpat nepārtraukti notiek monitorings, lai atklātu iespējamos gadījumus, kad lietotāja e-pasta kastīte tiek izmantota veidā, kā nebūtu jābūt.

Interesants fakts:

Inbox pat pērk dažādas uzlauzto e-pastu datubāzes, lai uzraudzītu vai šādos sarakstos parādās arī kāda Inbox lietotāja pastkaste un informētu ietekmētos lietotājus, ka tiem ir jānomaina parole.

“Mednieku” stāsts:

Pārņemot mail.ee, Inbox konstatēja, ka gandrīz trešā daļa no mail.ee lietotāju e-pasta kastītēm tiek izmantotas, pašiem lietotājiem par to nezinot. Sākās liels darbs ar lietotājiem vesela gada garumā, lai tos informētu un tie nomainītu paroles un aizsargātu savas pasta kastītes no turpmākas ielaušanās.

Kā ir ar viltīgajām pikšķerēšanas vēstulēm, kas izmanto cilvēku lētticību?
Tās, protams, nāk. Apjomi ir milzīgi un ir nepārtraukti jāuzrauga. Piemēram, atnāk pikšķerēšanas e-pasts kādam lietotājam. E-pasta apjoms, kas iet cauri Inbox, ir ļoti liels un pašā sākumā to var arī nepamanīt. Ja mēs sameklējam vienu, mēs sameklējam un dzēšam ārā šādus e-pastus no visām lietotāju pastkastēm. Sekojoši, atkrīt risks inficēties. Ar šādiem gadījumiem kļūst arvien grūtāk cīnīties, jo šī spiegošana tagad ir izteikti lokalizēta un bieži mērķēta kādiem konkrētiem cilvēkiem vai organizācijām tepat Latvijā. Šīs organizācijas ir konkrēts mērķis kādam un e-pastu skaits ir mazs. Mūsu trumpis ir, ka salīdzinot ar lielajiem pasaules e-pasta servisa piegādātājiem, mēs ātrāk varam reaģēt ar šādiem gadījumiem, jo esam mazi – mēs precīzāk varam sameklēt, ja kaut kas notiek nepareizi un ātri uz to reaģēt.

Kā notiek cīņa ar nevēlamo e-pasta pielikumu klasiku – vīrusiem?
Jevgēnijs stāsta – Mums paralēli strādā 2 dažādi antivīrusu risinājumi un trīs antispam risinājumi. Sekojoši elementāri vīrusi vai šaubīgi pielikumi vienkārši netiek cauri. Mums ir ļoti laba sadarbība ar Kaspersky Lab. Mēs skenējam aizdomīgus e-pastus ar viņu tehniskajiem risinājumiem un ja ir aizdomas, ka tas ir potenciāls vīruss, lai būtu pavisam pārliecināti, mēs to sūtām Kasperskim, kas analizē. Un ja tas tiešām ir, mēs ejam cauri visai sistēmai un dzēšam visus pielikumus, kas mūsu lietotājam ir atnākuši un satur šo vīrusu.

2. Draugiem.lv

Runājot par Draugiem.lv, uzreiz ir jāsāk ar mednieku stāstu:
“Mednieku” stāsts:

Šī gada sākumā Valsts policijas Kibernoziegumu apkarošanas nodaļa saņēma Draugiem iesniegumu par vairākām viltotām mājas lapām, kas vizuāli ir identiskas draugiem.lv autorizācijas lapai, iesniegumā norādot, ka portāla draugiem.lv lietotāju vidū tiek izplatīta informācija ar aicinājumu piepelnīties, norādot viltus lapas autorizācijai. Izmeklēšanas rezultātā noskaidrotas un aizturētas nepilngadīgas personas un atklātas vairāk nekā 1000 nozagtas lietotāju identitātes.

Klasiski, arī šeit lētticīgie lietotāji spieda saites saņemtās vēstulēs un Draugiem līdzīgā lapā rakstīja paroles. Klasika! Tagad mēģinām atminēties, cik reizes dienā televīzijā un internetā mēs Eiro ieviešanas pirmajos mēnešos redzējām reklāmas, kā atšķirt īstas Eiro banknotes no viltotām? Man gan jāsaka, ka visas Latvijas IT uzņēmumu reklāmas budžeti salikti kopā, nebūtu pietiekami, lai ārstētu šo lietotāju muļķību! Tomēr būsim pacietīgi un turpināsim skaidrot – vēlāk raksta izskaņā saņemsiet Top 3 padomus lietotājiem, viņu pašu drošībai.

Draugiem izmanto lietotāja vārdu kā e-pasta adresi un paroli. Draugiem.lv runasvīrs Jānis Palkavnieks stāsta: Paroles mēs glabājam kriptētas un brīvā tekstā tās nevienam nav redzamas, arī mums pašiem. Regulāri informējam lietotājus par pikšķerēšanas riskiem ar izglītojošiem rakstiem un vēstulēm. Bloķējam lietotājus, kuri veic aizdomīgas darbības un ir risinājumi, kas atpazīst un izskauž ķēdes vēstules. Mums ir HTTPS drošības sertifikāts, kas nozīmē, ka cilvēks var pārliecināties apskatot adreses ievades lauku, ka viņš ir īstā lapā, kā arī tas šifrē datu apmaiņu starp datoru un portālu, tāpat ikviens lietotājs savā profilā var redzēt vēsturi – kad ir ielogojies, no kāda pārlūka un kādām IP adresēm.

3. Monea

Monea nav izvēlēta nejauši. Ir nepatīkami, ja kāds uzlauž kādu sociālā tīkla profilu vai izlasa tavus e-pastus, bet ir vēl nepatīkamāk, ja tev tiek nozagta reāla nauda. Pat ja neliela, tā ir nauda. Šāds negadījums momentā iedragātu uzticību servisam, tādēļ drošībai šeit ir jābūt līmenī.

Monea līdzdibinātājs Mārtiņš Bērziņš norāda uz būtisku aspektu – Monea nav pieejama interneta vidē, tās mājaslapā nav nekādu iespēju kaut kur autorizēties vai skaitīt naudu. Viss tiek realizēts tikai ar mobilo tālruņu aplikācijas palīdzību. Kamēr mājaslapu uzlaušana ir pastāvīgs risks, mobilajā vidē tā nenotiek. Katrs lietotājs ir piesaistīts telefona numuram un pašam viedtālrunim, sekojoši trešā persona no ārpuses sistēmai nevar tikt klāt.

Interesants fakts:

Monea paroles, jeb PIN koda atjaunošana vien ir interesanta un visai droša – no lietotāja norādītās maksājumu kartes tiek noņemts 0,10 EUR un uzskaitīts atpakaļ uz lietotāja norādīto IBAN konta numuru. Lai iegūtu jauno paroli, ir nepieciešams autorizēties savā internetbankā un saņemtās transakcijas detaļās (maksājuma mērķī) lietotājs ieraudzīs jaunizveidoto paroli.

Protams, lietotājiem ir joprojām jāuzmanās saķert kādu spiegošanas vīrusu savos viedtālruņos, taču pašā ļaunākajā scenārijā zaudēt datus var tikai viens lietotājs – tas, kura tālrunis ir uzlauzts.

Padomi lietotājiem:

1. Neizmantot vienādas paroles dažādos servisos. Ja kāds uzlauzīs viena pakalpojuma sniedzēja mājaslapu un iegūs jūsu paroli, tā nekavējoties tiks izmēģināta citur. Jūs riskējat gan ar nevēlamiem paziņojumiem sociālajos tīklos, kas veikti jūsu vārdā, gan ar zaudētu pieeju saviem kontiem.

2. Neticēt e-pastiem vai zvaniem, kuri liekas aizdomīgi un nav saistīti ar jums tiešā veidā. Dzīvē nav iespējama situācija, ka banka vai Paypal jums atsūtīs e-pastu, ka viņi ir nejauši pazaudējuši jūsu datus. Neviens internetā neprasīs atkārtoti ievadīt kodus vai paroles. Un jūs noteikti neesat nejauši izvēlēts loterijas uzvarētājs vai īpaši svarīga persona, kurai ir jāpalīdz atgūt aizjūras prinču miljonus. Arī nezināmi rēķini vai sūtījumi uz jums neattiecas! Apskatieties, vai tas, kas jums ir atsūtīts ir no īstās e-pasta adreses, pat ja cilvēks jums liekas pazīstams. Vai e-pasta saturs reāli jūs skar? Un ja tas neskar, vienkārši ignorējiet un dzēsiet ārā. Nespiediet saites, neveriet vaļā e-pasta pielikumus, vienkārši izdzēsiet un aizmirstiet!

3. Jo grūtāk jums pašam ir ievadīt paroli, jo grūtāk būs arī citiem to atminēt. Izmantojiet garu paroli un izmantojiet servisu piedāvāto divu līmeņu aizsardzību (piemēram, ar tālruņa aplikāciju jāievada kāds kods vai saņemta īsziņa ar kodu). Norādiet iestatījumos, ka vēlaties saņemt e-pastu, ja jūsu konts ir lietots no iepriekš nezināma datora.

Ārpus kadra

Ārpus kadra palika viens svarīgs interneta serviss, ko lietojam – mūsu interneta bankas. Mēs pieņemam, ka mūsu nauda ir drošībā un bankas mūs autorizē ar divu līmeņu drošību – paroli un fizisku kodu karti vai kalkulatoru. Precedenti lietotāju datu zādzībai arī nav bijuši, vai arī vismaz mēs par tiem neko nezinām. Tas ir reputācijas un naudas jautājums. Bankas par to, kā ir uzbūvēta viņu internetbanku drošība, nerunā.

Secinājumi

Iespējams, nav bijusi atbilstoša interese, iespējams Latvija un lietotāju skaits ir mazi un ļaundariem neinteresanti, taču tādus nopietnus uzlaušanas uzbrukumus neviens no manis aptaujātajiem servisiem nav pieredzējis. Iespējams, nopietnākais pārbaudījums vēl ir priekšā.
Draugiem veiksmīgi sadarbojas ar policiju un reāli atklāj un soda pārkāpējus, bet Monea lietotājus sargā pati tehnoloģija – risinājums, kas strādā tikai no konkrētu lietotāju mobilo tālruņu aplikācijām.

Žetons šoreiz tiek Inbox.lv, kas iegulda lielu darbu un resursus, lai saviem lietotājiem nodrošinātu no mēstulēm tīras pastkastes, neļautu lietotājiem darīt muļķības un uzrauga vai ar lietotāju pastkastēm nenotiek kaut kas neierasts, pat ja lietotājs pats to nemaz nepamanītu.


Source: Zparks