r   e   k   l   a   m   a
r   e   k   l   a   m   a

Wstępniak na nowy tydzień. Strach ma długi nos, czyli co można przeczytać w „prasówkach” o bezpieczeństwie

Strona główna AktualnościDOBREPROGRAMY

Wśród informacji prasowych, które rozpychają mi skrzynkę pocztową, poczesne miejsce zajmują mi informacje od firm zajmujących się szeroko rozumianym bezpieczeństwem IT. Kategoria ta pod względem liczebności zajmuje drugie miejsce, zaraz po „sucharach” od producentów sprzętu. Kilka dni po otrzymaniu takiej informacji (nierzadko przebrzmiałej już w momencie napisania) dzwoni mi na biurku telefon. Rozmowa dotyczy tego, czy wiadomość prasową otrzymałem i czemu jej nie opublikowałem, mimo że jest tak donośna, o tak kluczowym znaczeniu. I co tu powiedzieć? Że opisane zagrożenia wydają się dość wydumane? Że pojęcie „bezpieczeństwa” jest przez autorów raportu ujęte bardzo osobliwie? A może po prostu to, że polityka firmy nie przewiduje powiększania sobie oczu…

Jak wyświechtane przysłowie mówi, strach ma wielkie oczy. By nawiązać do klasycznej bajki o pajacyku Buratino, należałoby powiedzieć, że miewa także wielki nos. Co ja bowiem muszę czytać? Niedawno w moje ręce wpadł opis zagrożenia, jakie czyha na posiadaczy samochodów Škoda, wyposażonych w system SmartGate (nie mam pojęcia czemu akurat czeskich aut się przyczepiono, SmartGate działa chyba we wszystkich nowych autach z Volkswagen Auto Group). System ten pozwala udostępnić przez pokładowe Wi-Fi informacje o parametrach pracy samochodu do aplikacji mobilnej. Funkcja całkiem przydatna dla wszystkich tych, którzy dbają o optymalizację pracy swego auta. Jednak już to wystarczy ekspertom od bezpieczeństwa, by przedstawić SmartGate jako poważne zagrożenie.

Jeśli bowiem napastnik znajdzie się w zasięgu pokładowej sieci i złamie jej hasło dostępowe (które jest, jak to określono, słabo zabezpieczone), to może zmienić ustawienia sieci, i o zgrozo, odciąć od niej kierowcę, który wówczas… no właśnie, co? Wpadnie na przydrożny słup? Nie, po prostu odetnie go od redundantnych przecież informacji z systemu SmartGate, dostępnych normalnie przez kontrolki kokpitu. Dalej jest jeszcze straszniej, bo po tym, jak już sieć Wi-Fi zostanie zhakowana, to napastnik będzie mógł się zaczaić na swoją ofiarę w salonie samochodowym, wiedząc, że właściciel auta pojedzie tam zresetować ustawienia sieci. Potem, czego eksperci już nie napisali, będzie mógł wyskoczyć z krzaków, rozłupać ofierze czaszkę swoim netbookiem do wardrivingu i wychłeptać parujący, ciepły mózg. OK, poniosła mnie tutaj splatterpunkowa fantazja, ale wybaczcie – nie ja wymyśliłem to straszne zagrożenie.

r   e   k   l   a   m   a

Inna z kolei firma przekonuje mnie, że muszę pamiętać o zabezpieczeniu, gdy idę na randkę. Nie, nie chodzi o coś dla fetyszystów gumy. Tu z jakiegoś powodu pretekstem było przejęcie przez cyberprzestępców bazy użytkowników serwisu randkowego AshleyMadison.com. To wystarczyło, by pouczyć użytkowników, że mają stosować silne hasła (a w czym to ma pomóc, gdy serwis przechowuje hasła, a nie ich kryptograficzne skróty?), uważać na linki przesyłane w wiadomościach i oczywiście wpaść w towarzyską paranoję i pod żadnym pozorem nie kupować dziewczynie biletu – prośba o coś takiego powinna zapalić w umyśle użytkownika lampkę ostrzegawczą „to oszustwo”. Cóż, może oszustwo, a może jak zapraszasz na weekend licealistkę z drugiego końca kraju, to powinieneś się spodziewać, że może jej nie być stać na bilet InterCity. Tej klasy straszenie pojawia się pod dowolnym pretekstem, zamiast serwisu randkowego może być równie dobrze historia o umieszczaniu przez Kim Kardashian fotek z wakacji na Karaibach w chmurze.

Na pewno sztuce pisania wiadomości prasowych nie zaszkodziła moda na głośne nazwy odkrytych luk w oprogramowaniu. Te wszystkie Poodle, Freaki, ShellShocki, Heartbleedy czy Ghosty zdobyły bezprecedensowy rozgłos. Zamiast nudnych, technicznych analiz luk, których nikt poza garstką ekspertów nie rozumiał, i które na pewno nie znalazłyby miejsca w mainstreamowych mediach, dostaliśmy idealnie przygotowane pod kątem internetowego marketingu smakołyki, o których mógł napisać każdy tabloid. Te już dawno załatane luki dziś wciąż żyją drugim życiem w informacjach prasowych firm, które przypominają, że rok temu odkryto straszną lukę Heartbleed, i wciąż nie wiadomo jak żyć. Cóż to, nagle luki bezpieczeństwa mają urodziny? No cóż, gdyby Heartbleed nazywał się po prostu CVE-2014-0160, to pewnie urodzin by nie miał. Waga zagrożenia nie ma nic bowiem wspólnego z biciem piany, jakie jest wokół niego generowane. Kilka miesięcy temu ładnie pokazał to RedHat, przedstawiając na swoim blogu o bezpieczeństwie diagram Venna, ilustrujący relacje między poziomem zagrożenia i posiadaniem przez lukę ładnej nazwy. Zdaniem ludzi w czerwonych kapeluszach, z ostatnich czasów jedynie trzy „obrandowane” błędy rzeczywiście stanowiły poważniejsze zagrożenie (Heartbleed, ShellShock i Ghost), zaś pięć pozostałych było trywialnych. Tymczasem marketerom umknęły jakoś cztery poważne błędy, które nazwy swojej nie dostały. W Sieci chodzą słuchy, że „brandowanie” luk bezpieczeństwa nie wzięło się znikąd, miałoby być częścią szerszej akcji propagandowej, prowadzonej przez Microsoft przeciwko rozwiązaniom Open Source – i coś w tym chyba jest, z jakiegoś powodu luki we własnościowych rozwiązaniach Microsoftu nie otrzymały takich fajnych, chwytliwych nazw.

To wszystko jednak przynajmniej coś ma wspólnego z bezpieczeństwem IT. Zdarzają się jednak takie informacje prasowe, które pod płaszczykiem troski o bezpieczeństwo przemycają treści, od przeczytania których człowiek od razu odczuwa potrzebę odwiedzenia onkologa. Chodzi w nich zwykle o dzieci i młodzież. Ot np. ostatnio krążyła wieść o tym, jakie to przerażające zagrożenia internetowe czają się na najmłodszych – czy to hejterzy, czy zjawisko sekstingu, polegające na przesyłaniu zdjęć o charakterze seksualnym przez smartfony. Na szczęście dzieci ocalić mają eksperci od cyberbezpieczeństwa, którzy wyszkolą policjantów – a po szkoleniach tych funkcjonariusze udadzą się do szkół i będą prowadzili tam (przed uczniami wiedzącymi o Sieci daleko więcej niż oni) warsztaty na temat zagrożeń związanych z Internetem. I jeszcze pół biedy, że ktoś takie informacje prasowe pisze, taka praca… bardziej boli, że media łykają takie treści jak pelikany, nawet nie śmiąc podjąć krytycznej dyskusji nad tematem (nie napiszę „problemem”, bo by to sugerowało, że jakiś problem istnieje).

Był taki czas na przełomie stuleci, że firmy zajmujące się bezpieczeństwem oskarżano o pisanie wirusów i innego malware, by później oferować, zwalczające to malware komercyjne rozwiązania ochronne. Nigdy dobrych dowodów na takie praktyki nie znaleziono, moim zdaniem coś takiego byłoby zbyt ryzykowne działanie dla jakiejkolwiek firmy z tej branży – jeden niezadowolony współpracownik, który anonimowo w Sieci opublikuje dowody i cała reputacja zostaje zniszczona – ale na pewno firmy te można oskarżyć o coś innego. O ślepe czasem podążanie za modą, bezrefleksyjne powtarzanie tego, co powie władza, ale przede wszystkim wynajdywanie nawet bardzo naciąganych scenariuszy, by pokazać, jak to strasznie w tym świecie IT jest. A co możemy zrobić my, dziennikarze IT? Jeśli cokolwiek może nas ocalić, to rzetelność i pewna wstrzemięźliwość w publikacjach. Nie każda informacja prasowa powinna ujrzeć światło dzienne.

Lato mamy w najlepsze, sezon urlopowy też (i u nas w redakcji da się to odczuć), jednak mam nadzieję, że zostaniecie z nami także w tygodniu, w którym nie ma premiery Windows 10. O dziwo jakoś w branży naszej na brak tematów bowiem nie musimy się uskarżać, a swoistą monotematyczność minionych dni postaramy się Wam wynagrodzić tematyką bardziej różnorodną, która zainteresuje nie tylko fanów najnowszego systemu Microsoftu. Oczywiście jednak o Windows 10 nie zapomnimy, z każdym kolejnym dniem odkrywane są nowe, interesujące rzeczy związane z „dziesiątką”. Jeśli jesteście nimi zainteresowani, polecam śledzić serię Windows 10: wszystko co wypada wiedzieć o systemie Microsoftu. Ten nowy widok dla serii tematycznych to swoisty serwis-w-serwisie. Od Windows 10 zaczęliśmy, ale niebawem takich działów tematycznych będzie u nas więcej.

Serdecznie zapraszam więc do lektury, oby w klimatyzowanych warunkach :).

© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.