Ogrožen.si

Gorazd Božič je eden od ustanoviteljev in vodja Slovenskega centra za posredovanje pri omrežnih incidentih (SI-CERT), ki usklajuje obveščanje in reševanje varnostnih problemov v računalniških omrežjih v Sloveniji, od vdorov do okužb in poskusov kraj identitete. SI-CERT že leta 1995 deluje v okviru Arnesa, Akademske in raziskovalne mreže Slovenije. Je tudi slovenski predstavnik v upravnem odboru Evropske agencije za omrežno in informacijsko varnost (ENISA).

Kaj je danes največja grožnja povprečnemu slovenskemu uporabniku interneta?

> Največjo grožnjo na splošno pomeni kraja identitete. V najbolj banalnem primeru je to lahko že kraja gesla za dostop do računa za elektronsko pošto. Ker pa je veliko storitev, ki jih danes uporabljamo na spletu, vezanih na naš elektronski naslov, je mogoče prek tega priti do večine ostalih podatkov, od na primer podatkov s Facebooka pa do precej bolj problematičnih, kot so na primer podatki o računu PayPal (sistem za plačevanje prek spleta, op. a.). Kraja identitete je precej splošen pojem. Izvede se s pomočjo podtaknjene spletne strani (t. i. phishing) ali programske opreme, na primer s trojanskimi konji, ki kradejo gesla za dostop do različnih storitev, lahko tudi certifikatov za dostop do bančnih storitev. Povezave na phishing strani in trojance nam neznanci največkrat ponujajo prek elektronske pošte, pod krinko dobrih kupčij ali stvari, ki jih »nujno moramo videti«. Druga večja grožnja, predvsem v zadnjih dveh letih, pa so spletne goljufije. Že dolgo časa poznamo tako imenovane nigerijske prevare, ko se neka domnevna vdova nekega umrlega afriškega mogotca obrne prav na nas, da bi jih pomagali milijonsko zapuščino spraviti v Evropo, seveda ob predhodni kompenzaciji nekih »malih stroškov«. Te prevare so se pojavile že v 70. letih prek telefaksov, v zadnjih letih pa so se začele pospešeno razvijati in danes jih izvajajo utečeni kolektivi ljudi. Še en način goljufij je kupovanje stvari brez predhodnega nakazila. Če recimo na spletni strani bolha.com objavite prodajni oglas za malo boljši mobilni telefon, boste zelo verjetno dobili sporočilo kakega domnevnega Britanca, ki se bo zanimal za nakup, kot darilo za svojega nečaka v Nigeriji. Prosi vas, naj izdelek, ki ga prodajate, pošljete v Nigerijo, hkrati pa vam pošlje fiktivno dokazilo o nakazilu denarja na neki bančni račun, s katerega naj bi se sredstva sprostila ob prejemu blaga. Poleg lažnih nakupov se pojavljajo tudi lažne prodajalne. Lani smo obravnavali primer, ko je neko podjetje na fiktivnem naslovu v Estoniji prek spletne prodajalne z domeno .eu prodajalo pametne telefone po polovični ceni. Veliko ljudi je preslepilo dejstvo, da naj bi stran izhajala iz Evropske unije in bila zato verodostojna. Denar so nakazali, telefonov pa seveda nikoli niso dobili. Pričakovati je, da se bodo te spletne goljufije v najrazličnejših oblikah še razvijale in postajale vedno bolj prefinjene. Klasičnih vdorov v sisteme dandanes ni več toliko kot nekoč. Te goljufije je treba prijaviti policiji, naša vloga pa je omejena na analizo shranjene komunikacije, ki pomaga izslediti storilca, ter komunikacijo z internetnimi ponudniki in drugimi CERT centri po svetu.

Bi rekli, da je pri uporabi interneta najbolje biti skrajno nezaupljiv?

> Prej bi rekel zdravo skeptičen. Virtualni svet nas rad zavede, ker smo varnost okolja navajeni ocenjevati po naših opažanjih v fizičnem svetu. Ko v domačem okolju brskamo po internetu, se počutimo varno, tudi ko dobivamo neke ponudbe neznancev. Če nas povabijo, naj kliknemo na neko okno in si s tem prislužimo nekaj denarja ali pa izboljšamo zmogljivost računalnika, bomo morda celo poskusili. Kliknemo, in že smo okuženi. Če pa bi na primer stali na bencinski črpalki in bi nam neznanec ponudil stekleničko neke tekočine, češ da nam bo izboljšala zmogljivost motorja, je nikoli ne bi vzeli. Na internetu pa to »stekleničko« včasih vzamemo. Vsekakor priporočamo, naj uporabniki vsako ponudbo, še posebej, če se je prodajalec javil sam, preverijo, jo vsaj »pogooglajo«, konec koncev pa lahko tudi nam pošljejo vprašanje.

Ali zastonjski zaščitni programi, seveda v kombinaciji z zdravo mero skepse, ponujajo ustrezno zaščito uporabnika?

> Njihova zaščita je skoraj povsem primerljiva s komercialnimi programi. Bistvene razlike ni. Protivirusni program mora biti del osnovne programske opreme, nikakor pa ne daje popolne zaščite. Popolne zaščite ni, že zato, ker lahko preteče precej časa, tudi nekaj mesecev, preden programerji zaznajo novo grožnjo in program ustrezno posodobijo. V vmesnem času pa zaščite, razen skepse, ni. Pomembna pa je tudi (recimo ji kar) omrežna higiena. Poleg omenjene pazljivosti pri ponudbah neznancev tudi to, da če imamo doma dva računalnika, enega uporabljamo za tisto bolj nekritično brskanje po internetu, drugega pa prihranimo za finančne transakcije in podobne občutljive operacije.

Kako pa lahko v tistem vmesnem času, ko morda zaščitni programi še ne zaznajo nekega novega računalniškega virusa, sami zaznamo okužbo?

> To je zelo težko. Povsem prepričani ne moremo biti nikoli. Dejansko lahko začnemo sumiti zgolj na podlagi simptomov, recimo počasnejšega delovanja računalnika, neodzivanja na določene ukaze. Če to zaznamo, potrebujemo pomoč nekoga, ki se na zadeve bolje spozna. Lahko se obrnejo na znance, lahko pa to vlogo odigramo tudi mi. Lahko nas pokliče katerikoli slovenski uporabnik, mi pa ga bomo vodili skozi nekatere osnovne preizkuse za ugotovitev dejanskega stanja in omilitev posledic.

Kako nevarna so nezaščitena domača brezžična omrežja?

> Enostavna so za zlorabe, vendar pa vseeno moramo biti v fizični bližini. Sosed lahko naše omrežje izkoristi za dostopanje do »čudnih« stvari, za prenašanje zakonsko zaščitenih vsebin. Lahko bi tudi, kot je bilo aktualno pred leti, ameriškemu predsedniku poslali grozilno pismo, policija pa bi sredi noči potrkala (ali pa sploh ne) na vaša vrata. Se pa stanje na tem področju precej izboljšuje. Nezaščitena omrežja so že zelo redka.

Kaj pa kraja gesel prek nezaščitenega omrežja?

> Tudi to je mogoče. Večina strežnikov pri uporabi gesel sicer ponavadi uporablja šifriranje, kar to onemogoča, še vedno pa obstajajo kakšni forumi, ki tega zaradi lenobe administratorja nimajo. Večji problem glede tega so cyber cafeji, sploh na potovanjih v kakšnih eksotičnih krajih. Kdo ve, kakšno navlako je vede ali nevede namestil uporabnik, ki je za računalnikom sedel pred vami.

Brezžična omrežja ponuja tudi vedno več lokalov.

> Nekdo lahko sedi v lokalu in za zabavo »prisluškuje« vsemu prometu. To je tudi tipična zabava na različnih hekerskih konferencah. Smo pa vseeno manj izpostavljeni kot v prejšnjem primeru, saj uporabljamo svoj prenosnik, ki je lahko primerno zaščiten.

Kdaj bomo začeli množično opažati negativne posledice precej nekritičnega razkazovanja osebnih podatkov na internetu, še posebej socialnih omrežjih?

> To verjetno pri nas nikoli ne bo tako žgoč problem kot v ZDA. V tem primeru nas precej varuje naša majhnost, morda tudi provincialnost. Imamo svoj jezik, ki ga govori omejeno število ljudi. Za nekatere prevare to niti ni ovira, saj obstajajo avtomatski prevajalniki, hujše zlorabe pa se bodo kljub temu verjetno dogajale bolj na lokalni ravni. Imamo tudi določene varovalke, ki so sicer lahko v kakšni drugačni situaciji nadležne, v tem primeru pa so precej učinkovite. To, da se moramo pri bolj kritičnih transakcijah izkazati z osebnim dokumentom in podpisati pogodbo, nas za zdaj ščiti. Zlorabe s področja razkrivanja podatkov pa se že dogajajo, vendar gre največkrat za posledice zamer med vrstniki na šoli ali v družinskem krogu. Imamo recimo nekaj primerov na leto, ko se par razide in užaljeni fant zlorabi geslo za dostop do e-pošte ali Facebook računa bivše punce ter nato v njenem imenu objavlja kakšne čudne stvari. Organizirani kriminal pa nas bo verjetno prav zaradi majhnosti res v določeni meri obšel. To pa še ne pomeni, da zlorab ne bo.

Še posebej nekritična je verjetno mlajša generacija, ki se še ne zaveda dragocenosti zasebnosti. Naslednja generacija politikov bo gotovo bolj izpostavljena brskanju po internetni preteklosti.

> Cela zgodovina na Facebooku, vse žurke, na katerih so bili, vse čudne situacije, v katerih so se znašli. V primeru politikov se nas bo večina mogoče celo zabavala. V drugih primerih pa nekoliko manj. Smo partner v projektu safe.si, ki poskuša predvsem mladim razložiti pomembnost zasebnosti v digitalni dobi. Mladi imajo namreč povsem drugačno percepcijo zasebnosti, češ, kaj pa je to takega. Dober mehanizem za ponazoritev posledic te nekritičnosti pri objavljanju podatkov je nedavno na neki okrogli mizi predstavila učiteljica na eni od šol. Učencem je »zagrozila«, da bo natisnila celotno vsebino njihovih Facebook profilov in jih objavila na šolski oglasni deski. In so bili naenkrat vsi proti, češ to bo lahko kdorkoli prebral. Pa je na Facebooku popolnoma enako.

Saj obstaja možnost »zaklepanja« profila, tako da lahko posledično do njega dostopajo samo izbrani uporabniki.

> To je res, vendar je možnost teh nastavitev bolj skrita, kot bi si želeli. Facebook je pač produkt ameriškega podjetja, katerega cilj je, jasno, čim večji zaslužek. Zaslužek pa jim prinašajo ravno podatki, ki jih objavijo uporabniki. Oni niso tisti, ki bi branili našo zasebnost, oni so tisti, ki jo prodajajo.

Kako gledate na boj proti internetnemu piratstvu? Je to po vašem mnenju vnaprej izgubljena bitka?

> Odvisno, kaj je cilj te bitke. Če je cilj vzpostavitev prejšnjega stanja, ko so imele založbe popoln nadzor, ko ni bilo interneta, potem močno dvomim, da bo to uspelo, sploh z zakonsko regulacijo. Tako zakonsko ureditev sicer trenutno imamo, a je večina ljudi ne spoštuje. Treba se je vprašati, ali spremeniti ljudi ali spremeniti zakon. Ne verjamem, da se je mogoče vrniti v prejšnje stanje. To je nerealno. Bolj smiselna se mi zdi sprememba koncepta avtorskih pravic, uporabe avtorskih del. O tem poteka veliko razprav, tudi industrija se vse bolj zaveda, da bo nekaj treba spremeniti. Po mojem mnenju je Apple s svojo spletno trgovino iTunes prvi, ki je zaslutil potrebo po spremembi. Enostavno je začel glasbo prodajati po zmerni ceni in posel je eksplodiral. Iz tega primera je jasno, da glavni motiv ljudi ni v tem, da vse brezpogojno dobijo zastonj, temveč hočejo dobiti stvari po neki razumni ceni, prav tako pa ne nujno v tisti obliki, ki si jo je zamislil založnik. Zakaj bi kupovali celoten album, če je na njem ena dobra skladba? Založbe stalno razkazujejo statistike o izgubljenih prihodkih zaradi piratstva, a vseeno vsako leto poročajo o porastu prodaje, tako CD-jev kot DVD-jev, BlueRayev. Ljudje smo pripravljeni plačati, samo ne več na enak način.

Kaj bi bile po vašem mnenju tiste ključne spremembe sistema?

> Vsekakor bi morali nosilcu avtorskega dela, avtorju, dati več nadzora nad tem, kako želi, komu želi in pod kakšnimi pogoji želi svoje delo distribuirati različnim kategorijam uporabnikov. Na državni ravni in na ravni Evropske unije je potreben temeljit razmislek o sistemu avtorskega prava. Nikakor ne smemo regulacije spreminjati samo na podlagi pritiskov založniške industrije, ki je danes zelo navdušena nad tako imenovano politiko treh prekrškov, ko uporabniku po dveh opominih zaradi kršenja avtorskih pravic preprosto izklopijo internetno povezavo. To se mi skrajno neprimerno, primerljivo s tem, da trikrat ukradeš nekaj iz kioska, zato ti prepovedo stopiti iz hiše. Zagovarjam finsko rešitev, pa kateri mora dostop do interneta spadati med z ustavo zagotovljene pravice.

Kako gledate na ustanavljanje piratskih strank in uspeh izvirnika na Švedskem?

> Moram reči, da sem nekoliko skeptičen. To, da lahko vsi z interneta zastonj prenašamo vse, se mi prav tako ne zdi primerna rešitev. Argument PirateBaya, ki je bil povod za nastanek švedske Piratske stranke, češ da oni ne vedo in niso odgovorni za to, kakšne datoteke si njihovi uporabniki izmenjujejo, se mi zdi zatiskanje oči. Točno vedo, kaj se dogaja in za kaj se večinoma uporablja PirateBay, že samo ime, ki so si ga izbrali, kaže na to. Je pa res, da je to eden od načinov za spodbuditev razprave o potrebi po spremembi sistema avtorskih pravic, ki mu lahko sledi vstop v politično areno, po tem pa lahko služi za vzdrževanje javne pozornosti.

Kaj pa slovenska Piratska stranka?

> Ogledal sem si posnetek predstavitve njenega delovanja in moram reči, da ne bi mogel podpreti njihovih stališč. Ne zato, ker bi bila tako nasprotna mojim, ampak zato, ker jih niti niso imeli! Zadeve pa so se po mojem mnenju lotili tudi premalo resno. Stopili so v politično areno, hkrati pa se razglasili za politične analfabete in dejali, da se s politiko ne želijo ukvarjati. Za moje pojme je to precej neuspel poskus.

Tudi v Sloveniji smo se v zadnjih mesecih soočili s poskusom omejevanja svobodnega dostopa do interneta, in sicer zaradi novele zakona o igrah na srečo, ki je od internetnih ponudnikov zahteval blokado dostopa do spletnih strani tistih spletnih ponudnikov iger na srečo, ki nimajo slovenske koncesije. A so očitno protesti strokovne javnosti in medijski pritisk zalegli, saj je ministrstvo za finance nedavno na svoji spletni strani že objavilo predloge sprememb zakona.

> Spremembe je ministrstvu za finance predlagal direktorat za informacijsko družbo pri ministrstvu za visoko šolstvo, znanost in tehnologijo. Področje naj bi se zdaj uskladilo z ostalo zakonodajo, ki ureja področje elektronskih komunikacij.

Je to mogoče šteti za rezultat javnega pritiska?

> Dovolil si bom biti naiven in rekel, da mogoče pa res. Zadovoljen sem, da je to uspelo brez nekih skrajnih sredstev, kot je na primer zahteva za razpis referenduma ali pa za ustavno presojo. Kljub napakam in površnosti v postopku sprejemanja zakonodaje so se pristojni, potem ko smo strokovnjaki začeli opozarjati na neprimernost rešitev, zaradi njene neučinkovitosti in odstopanja od načel svobodnega pretoka informacij, hitro odzvali in začeli razmišljati o popravi napak.

Bodo naslednjič dvakrat premislili, preden bodo spet predlagali take zakonske rešitve?

> Močno upam. Primerno se mi zdi, da bi se ob sprejemanju takih zakonov vedno posvetovali s strokovnjaki, ki se bolje spoznajo na področje, na pa da predlog zakona preprosto objavijo na spletu, nato pa je od pozornost javnosti odvisno, ali ga bo kdo še pravočasno opazil.

Če je verjeti razlagi predlaganih sprememb na spletni strani ministrstva za finance, naj bi se zahteve po blokadi že v zdaj veljavnem spornem zakonu nanašale le na tiste internetne ponudnike, ki bi bili s ponudniki iger na srečo brez koncesije v pogodbenem odnosu. S spremembo zakona naj bi tako zgolj razjasnili nejasnost v določbi. Zakaj tega ni razumel Urad za prirejanje iger na srečo, ko se je internetnim ponudnikom odločil izdajati globe?

> Ni nujno, da prvotni namen ni bil takšen, kot so ga razumel v Uradu. Dejansko pa vsa druga zakonodaja, ki ureja področje komunikacij, izhaja iz načela, da lahko ponudnik neke storitve na uporabnika vpliva zgolj v primeru, če ima z njim sklenjeno pogodbo. Drugo pa je, če blokirate nekaj, kar je v tujini. Kot bi sodišče odredilo, da Pošta Slovenije ne sme pošiljati naprej pošiljk, ki so naslovljene na neki naslov v Amsterdamu. Če pogledamo to analogijo, začne hitro smrdeti po prejšnjem režimu. Kazniva dejanja se v teh primerih ne dogajajo na komunikacijski poti, ampak na cilju oz. pri izvoru. Blokiranje prometa je tudi izredno neučinkovito, povzroča pas tudi stranske učinke, o katerih se ni dosti razmišljalo.

Ali pri preprečevanju dostopa do spletnih strani, ki brez koncesije ponujajo igre na srečo, obstaja kakšna druga možnost kot njihova blokada?

> To bi morala država reševati neposredno s ponudnikom in pred sodišči. Ne nazadnje smo v Evropski uniji, imamo neke utečene kanale za reševanje sporov znotraj članic. Če so ti neučinkoviti, jih spremenimo. Ne morete pa kar ustreliti sla.

Zahtevi po blokadi so se s skupno izjavo uprli tudi slovenski ponudniki dostopa do interneta. So to po vašem storili predvsem zato, ker so želeli zaščititi svoboden pretok informacij, ali zato, da bi se izognili zapletom, ki jih zahteve po blokadi prinašajo?

> Rekel bi, da oboje. Eno ne izključuje nujno drugega. To, da se je internetnim ponudnikom v zelo kratkem času uspelo zbrati in oblikovati skupno izjavo, se mi zdi zelo pozitivno. To so podjetja, ki drug drugemu pomenijo konkurenco in jih je velikokrat zelo težko spraviti za isto mizo. Zagotovo jih je upravičeno skrbelo, če bodo po novem prisiljeni nadzorovati ves internetni promet, hkrati pa so se tudi strinjali, da morajo zastopati pravico do svobodne komunikacije. Mogoče se res ne zgodi pogosto, da industrija zastopa pravice svojih uporabnikov, vendar pa menim, da je bil tu iskreno prisoten tudi ta namen.

Smo dandanes v nekem prelomnem času, ko se odloča o prihodnosti svobode interneta?

> Menim, da je bila ta prelomna točka že 11. september 2001. Od takrat se erozija zasebnosti prekriva z željo po preprečevanju terorizma, čeprav je bilo do danes večkrat pokazano, da to ni učinkovit način. Ne morem z gotovostjo trditi, da je v ozadju tudi nekaj več, tudi želja nekaterih vlad po večjem nadzoru nad državljani. Logično pa je, da ob dostopni tehnologiji in gorah podatkov, ki se pretakajo po medmrežju, tu in tam koga zasrbijo prsti. Ali je to del nekega širšega procesa in do kdaj bo ta proces trajal, je težko reči. Zagotovo pa smo na neki točki, ko mogoče drsimo v neki svet, v katerem bomo nadzirani na vsakem koraku. Pogosto se ob nekem problemu refleksno odločimo, da sta rešitev kar nadzor in večje beleženje vsega živega. Kar nas lahko morda reši, pa je količina podatkov, ki je že danes tako velika, da ni človeka in ni mehanizma, ki bi iz teh podatkov vedno lahko izbrskal tisto, kar iščemo. Avtomatizirano obdelovanje pa ima lahko po drugi strani nepredvidene posledice. Lahko pa se začnejo dogajati absurdne stvari, na primer, da boste padli v neko birokratsko godljo, ko bo zaradi neke nedoločene anomalije v podatkih proti vam sprožen nekakšen na pol kafkovski proces zaradi popolne bedarije. To se že danes dogaja, na primer s protiterorističnim seznamom oseb, ki jim je v ZDA prepovedano leteti, na katerem se zaradi podobnosti v imenu ali pa samo birokratske napake znajdejo celo osemletni otroci.

Kako gledate na spor Googla in Kitajske o cenzuri iskanih strani in na posledično ukinitev kitajske verzije iskalnika?

> Pravilno se mi zdi, da se izpostavlja problematika cenzure, hkrati pa sem prepričan, da ima Google v ozadju tudi nekakšen poslovni interes, pa tudi ameriška vlada igra neko svojo igro.