Raskite .lt domeną
Ekspertas iš JAV: saugumo internete stoka padeda programišiams vogti asmeninius duomenis
Kibernetinių incidentų ir vagysčių internete mastai kasmet išlieka augantys dėl saugumo internete įpročių stokos bei saugumo technologijų pernelyg mažo naudojimo, pastebi ekspertas Patrick Jones iš Skirtųjų vardų ir numerių interneto korporacijos (ICANN).
Pasak Kauno technologijos universitete (KTU) viešėjusio eksperto iš JAV, vartotojai dažnai patys savo noru atskleidžia prisijungimo duomenis ir slaptažodžius nesuvokdami, kad lankosi nusikaltėlių suklastotose interneto svetainėse su vos viena raide besiskiriančiu ir į prekių ženklą labai panašiu domeno vardu. Atskirti, kas yra tikra šiame „netikrų naujienų“ (angl. fake news) ir suklastotų tapatybių socialiniuose tinkluose amžiuje tampa tikru iššūkiu, su kuriuo susiduria IT saugumo specialistai, narpliodami į programišių tinklus patekusių aukų istorijas. Apie svarbiausius saugumo internete iššūkius kalbiname svečią.
Patrick Jones, ICANN ekspertas
– Kokios šiuo metu yra aktualiausios kibernetinio saugumo problemos, apie kurias diskutuojama visame pasaulyje?
– Mokymų KTU metu kalbėjau apie DDoS (angl. Distributed Denial-of-Service) paslaugų atakas, kurios itin dažnos, taip vadinamų kenkėjiškų kompiuterių tinklų (angl. Bootnet) naudojimą, taip pat prastai apsaugotų ir sukonfigūruotų vartotojų įrenginių (stebėjimo kamerų bei kitų daiktų interneto įrenginių) internete naudojimą, kurie apsunkina tinklų veiklą ir sumažina jų saugumą.
ICANN ir kitos interneto organizacijos teikia rekomendacijas dėl apsisaugojimo nuo dažniausių DNS (angl. Domain Name System) užklausų falsifikavimo būdų nukreipiant domenų vardus į netikras interneto svetaines. Su DNS falsifikavimu ir panašių domenų vardų naudojimu netikroms interneto svetainėmis ar el. parduotuvėmis kurti susijusių nusikaltimų skaičius auga visame pasaulyje. Manau, šiuo metu tai aktualiausios saugumo problemos, kuriomis diskutuojama visame pasaulyje.
– Galbūt kibernetinis saugumas yra pernelyg išpūsta tema, o grėsmės kur kas mažesnės nei gąsdinama?
– Jeigu žiūrėtume iš ICANN organizacijos pusės, scenoje matome skirtingus aktorius, kurie siekia pasitelkti DNS savo tikslams ir naudai pasiekti. Yra dalis aktorių, kurie siekia gauti duomenis jų verslams, vogdami informaciją pardavimo tikslams, intelektinės nuosavybės vagystėms ir finansiniams duomenims pasisavinti. Yra daugybė istorijų žinių laidose apie programišių nutekintus vartotojų duomenis ir net finansinių institucijų užpuolimą.
– Kokius su domenų naudojimu ir DNS susijusius kibernetinius nusikaltimus pastebite dažniausiai?
– Kriminalinės gaujos stengiasi sukurti panašius domenų vardus, klaidinti ir nukreipti lankytojus į netikras interneto svetaines ar parduotuves siekdami gauti finansinę ar asmeninę informaciją. Tokie netikri puslapiai atrodo kaip oficialios svetainės, dažnai naudojami labai panašūs domenų vardai kai skiriasi vos viena raidė arba naudojamos diakritinės nacionalinių kalbų raidės, tuomet atskirti tikrą parduotuvę nuo suklastotos itin sunku. Paprastai iš netikrų puslapių lankytojai nukreipiami į nusikaltėlių svetaines su specialia programine įranga ir taip pavagiami mokėjimo kortelių, bankų sąskaitų su elektroninės bankininkystės bei kiti svarbūs duomenys.
– Ar dėl padidėjusių asmens duomenų apsaugos reikalavimų (BDAR) apribotas domenų turėtojų asmens duomenų publikavimas netrukdo tirti kibernetinių nusikaltimų? O galbūt kaip tik tai neleidžia programišiams lengvai sužinoti asmens elektroninio pašto, kuris reikalingas prisijungimui prie daugelio sistemų?
– Mes girdime saugumo specialistų įspėjimus, kuomet naudojami tie patys slaptažodžiai registruojantis prie paskyrų internete, todėl kuriami nauji informacijos atskleidimo mechanizmai autentifikuojant vartotojus, kai prisijungimui neužtenka vien tik elektroninio pašto ir slaptažodžio, o asmeniniai elektroninio pašto adresai ir kiti duomenys viešai nebepublikuojami dėl asmens duomenų apsaugos reikalavimų ir kibernetinio saugumo priežasčių. Gerai, kad šia kryptimi judama ir asmens duomenys saugomi.
Taip pat diskutuojama dėl vartotojų asmens duomenų perdavimo trečiosioms šalims, kai reikia užtikrinti teises – kas gali gauti duomenis apie domenų vardų turėtojus – prekių ženklų turėtojai, prekių ženklų apsaugos konsultantai, kiti teisininkai, policija ir t.t. Deja, bet kol kas nesutariama dėl to, kas gali ir kaip gauti informaciją apie domenų vardų turėtojus.
– KTU yra magistrantūros studijų programa „Informacijos ir informacinių technologijų sauga“. Kaip vertinate šios studijų programos perspektyvas ir programuotojų su kibernetinio saugumo technologijų žiniomis poreikį rinkoje?
– Tokių specialistų paklausa, ypač JAV, yra labai didelė. Europoje, Azijoje IT saugumo inžinierių poreikis taip pat augantis, kadangi reikia specialistų, kurie turėtų komptencijos IT saugumo srityje. Ypatingai trūksta patyrusių specialistų, kurie galėtų atlaikyti programišių atakas ir prevenciškai apsaugoti nuo jų diegdami saugumo sprendimus. Tokių specialistų rinka šiuo metu auganti ir tai, kad KTU turi tokią studijų programą yra gera žinia Lietuvai.
– Ar kiekviena įmonė šiandien privalo turėti IT saugumo specialistą?
– Jeigu tai didelis verslas, kur IT sistemos sudėtingos ir kritiškai svarbios verslo, gamybos procesams užtikrinti, paprastai tokios įmonės turi IT padalinius ir juose dirbančias IT saugumo komandas. Net ir mažesnis bei smulkus verslas turi rūpintis sistemų saugumu, todėl žinios ir kompetencija šioje srityje, kai kasdien tiek daug iššūkių, yra labai svarbios.
– Kokius patarimus galite duoti interneto naršytojams ir interneto svetainių bei el. parduotuvių kūrėjams, kad internete visi jaustųsi saugesni?
– Vartotojams svarbiausia, manyčiau, reikėtų pasirūpinti prisijungimo, vartotojų autentifikavimo duomenų ir slaptažodžių apsauga. Prisijungimo duomenys prie interneto svetainės serverio turinio valdymo sistemos, domeno valdymo skydelio, el. pašto ar elektroninės bankininkystės turi būti kruopščiai saugomi ir jokiu būdu nepasikartoti. Dažniausia klaida – tų pačių slaptažodžių naudojimas, tad jokiu būdu autentifikavimui skirtingose sistemose nenaudokite to paties slaptažodžio. Jeigu vienoje sistemoje slaptažodis nutekėjo, tampa pažeidžiamos visos kitos sistemos, kuriose tas pats slaptažodis buvo naudojamas – banko, el. pašto, debesų kompiuterijos paslaugos ir t.t. Jokiu būdu nespaudinėkite nuorodų elektroniniuose laiškuose siekdami prisijungti prie banko, pašto ar kitų labai svarbių sistemų. Labai dažnai tai būna spąstai nepatyrusiems vartotojams, kai naudojami labai panašūs domenų vardai ir padirbinėjamos svetainės siekiant išvilioti vartotojų prisijungimo duomenis.
Jeigu turite savo verslą internete, interneto svetainę ar elektroninę parduotuvę, turėtumėte naudoti SSL protokolą duomenų tarp vartotojo įrenginio ir serverio persiuntimui. Turėtumėte paprašyti interneto svetainių prieglobos ar serverio nuomos įmonių SSL palaikymo serveryje, kad galėtumėte naudoti HHTPS, taip pat pasidomėti DNSSEC naudojimu domeno DNS apsaugai bei kelių lygių autentifikavimo sprendimais.
Labai padidina pasitikėjimą el. parduotuve geros reputacijos trečiųjų šalių, pavyzdžiui, „PayPal“, mokėjimo įskiepių turinio valdymo sistemose naudojimas, kuomet vartotojai mokėjimui atlikti reikalingus duomenis suveda didelio saugumo mokėjimo platformų svetainėse. Tai gerosios saugumo praktikos sprendimas, didinantis vartotojų pasitikėjimą el. parduotuve.
Turime pasirūpinti saugumu internete
Tomas Mackus, DOMREG
Ką daro KTU Interneto paslaugų centras DOMREG, kad lietuviškas internetas būtų saugesnis, pasakoja centro Klientų aptarnavimo skyriaus vadovas Tomas Mackus:
„Pagrindinės .lt domeno administratoriaus informacijos saugumo politikos taikymo sritys – .lt domenų vardų registro paslaugų teikimas ir .lt domeno vardų sistemos (DNS) nepertraukiamas veikimas. Džiugu, kad ICANN dalijasi naujausia informacija apie DNS aktualijas ir padeda Lietuvos IT specialistams kelti kompetenciją.
Informacijos saugumo užtikrinamas yra labai svarbi sritis kiekvienai įmonei ar organizacijai, tad nuosekliai planuojame, įgyvendiname, tikriname ir tobuliname informacijos saugumo valdymo sistemą, kuri yra įdiegta vadovaujantis standarto ISO/IEC 27001:2013 reikalavimais.
Mes prisidedame, kad internetas būtų saugesnis ir kovojame su domenų registravimu nusikaltimų tikslais bendradarbiaudami su kibernetinius nusikaltimus tiriančiais teisėsaugos atstovais. Domenų užsakovams patariame patiems registruoti visus su veikla susijusius panašius domenus, o ne laukti, kol tuo pasinaudos nusikaltėliai. Jeigu prekės ženkle yra savitųjų lietuviškų raidžių ą, č, ę, ė, į, š, ų, ū, ž, – patariame patikrinti abu domeno variantus – „šveplą“ su lotyniškomis, o kitą variantą – su savitomis lietuviškomis raidėmis. Jeigu laisvi – registruokite abu.
Domenų su savitomis lietuviškomis raidėmis registravimas leis Lietuvos vartotojams patogiau pasiekti svetainę, o nusikaltėliams ir konkurentams – apsunkins kelią pasisavinti ar kopijuoti Jūsų svetainės adresą bei prekių ženklą.“
Publikuota 2019-06-27