Wstępniak na nowy tydzień. Strach ma długi nos, czyli co można przeczytać w „prasówkach” o bezpieczeństwie

Wśród informacji prasowych, które rozpychają miskrzynkę pocztową, poczesne miejsce zajmują mi informacje od firmzajmujących się szeroko rozumianym bezpieczeństwem IT. Kategoriata pod względem liczebności zajmuje drugie miejsce, zaraz po„sucharach” od producentów sprzętu. Kilka dni po otrzymaniutakiej informacji (nierzadko przebrzmiałej już w momencienapisania) dzwoni mi na biurku telefon. Rozmowa dotyczy tego, czywiadomość prasową otrzymałem i czemu jej nie opublikowałem, mimoże jest tak donośna, o tak kluczowym znaczeniu. I co tu powiedzieć?Że opisane zagrożenia wydają się dość wydumane? Że pojęcie„bezpieczeństwa” jest przez autorów raportu ujęte bardzoosobliwie? A może po prostu to, że polityka firmy nie przewidujepowiększania sobie oczu…

Jak wyświechtane przysłowie mówi, strach mawielkie oczy. By nawiązać do klasycznej bajki o pajacyku Buratino,należałoby powiedzieć, że miewa także wielki nos. Co ja bowiemmuszę czytać? Niedawno w moje ręce wpadł opis zagrożenia, jakieczyha na posiadaczy samochodów Škoda, wyposażonych w systemSmartGate (nie mam pojęcia czemu akurat czeskich aut sięprzyczepiono, SmartGate działa chyba we wszystkich nowych autach zVolkswagen Auto Group). System ten pozwala udostępnić przezpokładowe Wi-Fi informacje o parametrach pracy samochodu doaplikacji mobilnej. Funkcja całkiem przydatna dla wszystkich tych,którzy dbają o optymalizację pracy swego auta. Jednak już towystarczy ekspertom od bezpieczeństwa, by przedstawić SmartGatejako poważne zagrożenie.

Jeśli bowiem napastnik znajdzie się w zasięgupokładowej sieci i złamie jej hasło dostępowe (które jest, jakto określono, słabo zabezpieczone), to może zmienić ustawieniasieci, i o zgrozo, odciąć od niej kierowcę, który wówczas… nowłaśnie, co? Wpadnie na przydrożny słup? Nie, po prostu odetniego od redundantnych przecież informacji z systemu SmartGate,dostępnych normalnie przez kontrolki kokpitu. Dalej jest jeszczestraszniej, bo po tym, jak już sieć Wi-Fi zostanie zhakowana, tonapastnik będzie mógł się zaczaić na swoją ofiarę w saloniesamochodowym, wiedząc, że właściciel auta pojedzie tam zresetowaćustawienia sieci. Potem, czego eksperci już nie napisali, będziemógł wyskoczyć z krzaków, rozłupać ofierze czaszkę swoimnetbookiem do wardrivingu i wychłeptać parujący, ciepły mózg.OK, poniosła mnie tutaj splatterpunkowa fantazja, ale wybaczcie –nie ja wymyśliłem to straszne zagrożenie.

Inna z kolei firma przekonuje mnie, że muszępamiętać o zabezpieczeniu, gdy idę na randkę. Nie, nie chodzi ocoś dla fetyszystów gumy. Tu z jakiegoś powodu pretekstem byłoprzejęcie przez cyberprzestępców bazy użytkowników serwisurandkowego AshleyMadison.com. To wystarczyło, by pouczyćużytkowników, że mają stosować silne hasła (a w czym to mapomóc, gdy serwis przechowuje hasła, a nie ich kryptograficzneskróty?), uważać na linki przesyłane w wiadomościach ioczywiście wpaść w towarzyską paranoję i pod żadnym pozorem niekupować dziewczynie biletu – prośba o coś takiego powinnazapalić w umyśle użytkownika lampkę ostrzegawczą „tooszustwo”. Cóż, może oszustwo, a może jak zapraszasz na weekendlicealistkę z drugiego końca kraju, to powinieneś się spodziewać,że może jej nie być stać na bilet InterCity. Tej klasy straszeniepojawia się pod dowolnym pretekstem, zamiast serwisu randkowego możebyć równie dobrze historia o umieszczaniu przez Kim Kardashianfotek z wakacji na Karaibach w chmurze.

Na pewno sztuce pisania wiadomości prasowych niezaszkodziła moda na głośne nazwy odkrytych luk w oprogramowaniu.Te wszystkie Poodle, Freaki, ShellShocki, Heartbleedy czy Ghostyzdobyły bezprecedensowy rozgłos. Zamiast nudnych, technicznych analizluk, których nikt poza garstką ekspertów nie rozumiał, i którena pewno nie znalazłyby miejsca w mainstreamowych mediach,dostaliśmy idealnie przygotowane pod kątem internetowego marketingusmakołyki, o których mógł napisać każdy tabloid. Te już dawnozałatane luki dziś wciąż żyją drugim życiem w informacjachprasowych firm, które przypominają, że rok temu odkryto strasznąlukę Heartbleed, i wciąż nie wiadomo jak żyć. Cóż to, nagleluki bezpieczeństwa mają urodziny? No cóż, gdyby Heartbleednazywał się po prostu CVE-2014-0160, to pewnie urodzin by nie miał.Waga zagrożenia nie ma nic bowiem wspólnego z biciem piany, jakiejest wokół niego generowane. Kilka miesięcy temu ładnie pokazałto RedHat, przedstawiającna swoim blogu o bezpieczeństwie diagram Venna, ilustrujący relacjemiędzy poziomem zagrożenia i posiadaniem przez lukę ładnej nazwy.Zdaniem ludzi w czerwonych kapeluszach, z ostatnich czasów jedynietrzy „obrandowane” błędy rzeczywiście stanowiły poważniejszezagrożenie (Heartbleed, ShellShock i Ghost), zaś pięć pozostałychbyło trywialnych. Tymczasem marketerom umknęły jakoś czterypoważne błędy, które nazwy swojej nie dostały. W Sieci chodząsłuchy, że „brandowanie” luk bezpieczeństwa nie wzięło sięznikąd, miałoby być częścią szerszej akcji propagandowej,prowadzonej przez Microsoft przeciwko rozwiązaniom Open Source – icoś w tym chyba jest, z jakiegoś powodu luki we własnościowychrozwiązaniach Microsoftu nie otrzymały takich fajnych, chwytliwychnazw.

To wszystko jednak przynajmniej coś ma wspólnego zbezpieczeństwem IT. Zdarzają się jednak takie informacje prasowe,które pod płaszczykiem troski o bezpieczeństwo przemycają treści,od przeczytania których człowiek od razu odczuwa potrzebęodwiedzenia onkologa. Chodzi w nich zwykle o dzieci i młodzież.Ot np. ostatnio krążyła wieść o tym, jakie to przerażającezagrożenia internetowe czają się na najmłodszych – czy to*hejterzy, czy zjawisko sekstingu, *polegającena przesyłaniu zdjęć o charakterze seksualnym przez smartfony. Naszczęście dzieci ocalić mają eksperci od cyberbezpieczeństwa,którzy wyszkolą policjantów – a po szkoleniach tychfunkcjonariusze udadzą się do szkół i będą prowadzili tam(przed uczniami wiedzącymi o Sieci daleko więcej niż oni)warsztaty na temat zagrożeń związanych z Internetem. I jeszcze półbiedy, że ktoś takie informacje prasowe pisze, taka praca…bardziej boli, że media łykają takie treści jak pelikany, nawetnie śmiąc podjąć krytycznej dyskusji nad tematem (nie napiszę„problemem”, bo by to sugerowało, że jakiś problem istnieje).

Był taki czas naprzełomie stuleci, że firmy zajmujące się bezpieczeństwemoskarżano o pisanie wirusów i innego malware, by późniejoferować, zwalczające to malware komercyjne rozwiązania ochronne.Nigdy dobrych dowodów na takie praktyki nie znaleziono, moim zdaniemcoś takiego byłoby zbyt ryzykowne działanie dla jakiejkolwiekfirmy z tej branży – jeden niezadowolony współpracownik, któryanonimowo w Sieci opublikuje dowody i cała reputacja zostajezniszczona – ale na pewno firmy te można oskarżyć o coś innego.O ślepe czasem podążanie za modą, bezrefleksyjne powtarzanietego, co powie władza, ale przede wszystkim wynajdywanie nawetbardzo naciąganych scenariuszy, by pokazać, jak to strasznie w tymświecie IT jest. A co możemy zrobić my, dziennikarze IT? Jeślicokolwiek może nas ocalić, to rzetelność i pewna wstrzemięźliwośćw publikacjach. Nie każda informacja prasowa powinna ujrzeć światłodzienne.

Lato mamy wnajlepsze, sezon urlopowy też (i u nas w redakcji da się toodczuć), jednak mam nadzieję, że zostaniecie z nami także wtygodniu, w którym nie ma premiery Windows 10. O dziwo jakoś wbranży naszej na brak tematów bowiem nie musimy się uskarżać, aswoistą monotematyczność minionych dni postaramy się Wamwynagrodzić tematyką bardziej różnorodną, która zainteresujenie tylko fanów najnowszego systemu Microsoftu. Oczywiście jednak oWindows 10 nie zapomnimy, z każdym kolejnym dniem odkrywane sąnowe, interesujące rzeczy związane z „dziesiątką”. Jeślijesteście nimi zainteresowani, polecam śledzić serię Windows10: wszystko co wypada wiedzieć o systemie Microsoftu. Ten nowywidok dla serii tematycznych to swoisty serwis-w-serwisie. Od Windows10 zaczęliśmy, ale niebawem takich działów tematycznych będzie unas więcej.

Serdecznie zapraszamwięc do lektury, oby w klimatyzowanych warunkach :).