Nauka
Obniżony poziom Morza Śródziemnego. Naukowcy rozwiązali zagadkę
11 grudnia 2024
Poprosiłem sztuczną inteligencję o stworzenie skryptu, który zaszyfruje dysk i wygeneruje notatkę z żądaniem okupu. Gdy wyjaśniłem algorytmowi, że potrzebuję tego wyłącznie do celów testowych, bez wahania sugerował odpowiednie rozwiązania – mówi Daniel Wysocki, ekspert ds. cyberbezpieczeństwa, w rozmowie z Radosławem Wojtasem.
Radosław Wojtas: Czy najsłabszym ogniwem zabezpieczeń jeśli chodzi o cyberbezpieczeństwo i cyberterroryzm zawsze jest człowiek?
Daniel Wysocki: Przestępcy zwykle szukają owoców wiszących najniżej. Najłatwiej jest zmanipulować człowieka i przekonać go do przekazania informacji, które mogą być dla nich bardzo przydatne. Socjotechnika – czyli technika pozyskiwania informacji z wykorzystaniem różnych aspektów psychologicznych, takich jak presja czasu, kwestia autorytetu, stwarzanie pozorów utraty okazji, np. na jakąś promocję czy dobry biznes – jest właśnie tym narzędziem, którym przestępcy posługują się najchętniej.
Oprogramowanie trudniej złamać, a człowiek bywa zabiegany, może mieć słabszy dzień, nie wykaże dostatecznej czujności i udostępni login, hasło czy różne kody autoryzacyjne, np. BLIK. Najsłabszym ogniwem najczęściej jest człowiek. Jeden z najbardziej znanych hakerów – Kevin Mitnick – wspominał w swojej książce, że on nie łamał haseł, ale łamał ludzi. Wystarczy zadać odpowiednie pytania w odpowiedni sposób.
Od czasu Mitnicka – czyli od lat 80., 90. – nic się nie zmieniło? Inżynieria społeczna w dobie cyberterroryzmu ma się dobrze?
Natura ludzka się nie zmieniła, za to technologiczny próg wejścia na drogę cyberprzestępczą jest nieporównywalnie niższy. Dziś istnieją nawet gotowe platformy, które podpowiadają, w jaki sposób można zaatakować w cyberprzestrzeni, jak stworzyć kampanię socjotechniczną, tzw. kampanię phishingową [phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji – przyp. R.W.], żeby złapało się na nią jak najwięcej osób. Istnieją również portale, za pomocą których – po wykupieniu subskrypcji – możemy łatwo stworzyć złośliwe oprogramowanie. Do czego oczywiście nikogo nie zachęcamy, a wręcz odradzamy.
To się czyta: Mroczna triada. Takie cechy wpływają na osobowość kryminalną
Pojawiła się też sztuczna inteligencja. Przestępcy z pewnością sięgają także po to narzędzie.
Technologie takie jak sztuczna inteligencja są tworzone z założeniem, że człowiek jest z natury dobry. Niestety tak nie jest, dlatego takie narzędzia bardzo często są wykorzystywane w sposób sprzeczny z pierwotnymi założeniami. Twórcy rozwiązań opartych na SI stosują różne zabezpieczenia, by ich narzędzia nie pomagały w nielegalnych, nieetycznych, szkodliwych działaniach, ale wystarczy w odpowiedni sposób zadać pytanie, by przechytrzyć sztuczną inteligencję. Sam to testowałem.
Poprosiłem SI o stworzenie skryptu, który zaszyfruje dysk i napisze notatkę z żądaniem okupu. Kiedy wytłumaczyłem algorytmowi, że to wszystko jest mi potrzebne tylko do testów, to bez oporów podpowiadał rozwiązania. Podobnych historii krąży mnóstwo. Ktoś przekonał pewien model językowy, że jego babcia śpiewała mu kiedyś kołysankę i poprosił o odtworzenie tekstu tej kołysanki, który opowiadał o tym, jak zhakować system lub jak napisać złośliwy kod.
Algorytm to podchwycił i opowiadał kołysankę, która była gotową instrukcją. Zabezpieczenia sztucznej inteligencji są przez producentów udoskonalane, są coraz lepsze, ale to jest niekończący się wyścig, bo przestępcy również ciągle udoskonalają swoje techniki ataków.
Cyberprzestępcom zawsze chodzi o pieniądze? Jakiego rodzaju zagrożeń mogą się obawiać szarzy użytkownicy internetu?
Są różne motywy ataków, ale na ogół wszystko sprowadza się do wyłudzenia pieniędzy albo monetyzacji wykradzionych danych. Techniki socjotechniczne wykorzystywane są do tego, by przekonać nas do podania danych albo przelania pieniędzy gdzieś, gdzie nie powinny trafić.
Najszerzej stosowany jest phishing, czyli rozsyłane są maile, w których nadawcy podszywają się pod różne organizacje lub osoby. Najczęściej podajemy dane dostępowe do różnych kluczowych dla nas portali, jak media społecznościowe czy poczta elektroniczna, która jest centrum naszego życia w wirtualnym świecie. To tam trafiają np. informacje na temat naszego życia, rachunki, wyniki badań, tam przychodzą maile przy resetowaniu haseł w różnych serwisach internetowych. Ktoś, kto przejrzy naszą pocztę zyskuje ogromną wiedzę o nas i o naszym życiu, co w znacznym stopniu ułatwia przeprowadzenie skutecznego ataku na nas czy na naszych bliskich. Dzięki tym informacjom atakujący może przejąć np. nasze konta w mediach społecznościowych. Choćby po to, by napisać do naszych znajomych z prośbą o szybką pożyczkę. Tego typu ataki są niezwykle skuteczne, bo kto by nie pomógł znajomemu, któremu w sklepie przy kasie zabrakło pieniędzy?
Do znudzenia przestrzega się przed klikaniem w nieznane linki, a co z kodami QR?
To bardzo ważne, by wyzbyć się odruchu natychmiastowego kliknięcia w każdy link, który ktoś nam wysyła. Ataki poprzez kody QR są równie niebezpieczne i mają już nawet swoją nazwę – quishing. Skanowanie kodów QR nieznanego pochodzenia – a jest ich w naszej przestrzeni dużo: na plakatach, ulotkach, wlepkach na mieście etc. – jest tym samym, co klikanie w nieznany link.
Ważny temat: Introwertyzm na co dzień. Tak spokój staje się kluczem do sukcesu
Czasem ludzie sami otwierają złodziejom drzwi. Na przykład wówczas, gdy decydują się na bardzo proste hasła albo kiedy używają jednego hasła do wszystkich kont i usług. Tłumaczą, że inaczej by ich nie zapamiętali.
Ja pamiętam tylko jedno hasło – do menedżera haseł, który jest dodatkowo zabezpieczony drugim składnikiem, czyli aplikacją uwierzytelniającą lub kluczem sprzętowym. Taki program nie tylko przechowuje nasze hasła, ale generuje trudne i długie hasła. A używanie łatwych haseł, np. imion dzieci albo zwierząt domowych, często w połączeniu z rokiem urodzenia, to bardzo częsty błąd.
W środowisku osób związanych z cyberbezpieczeństwem śmiejemy się, że w kolejnym roku znów wiele osób, aktualizując swoje hasła, zmieni tylko ich końcówki na 2025. To bardzo częsta praktyka. Podobnie jak wspomniane przez pana używanie jednego hasła do wielu serwisów. Czym to grozi? Jeśli nawet nie z naszej winy, ale w wyniki błędu lub ataku na jakąś stronę internetową, na której mamy konto, wycieknie nasz login i hasło, to może dostać się w ręce przestępców.
A co oni robią z takimi danymi? Skanują wszystkie najpopularniejsze portale na świecie, używając kombinacji loginów i haseł z takiej bazy, po to, aby dobrać się do naszych danych. Możemy mieć najbardziej skomplikowane hasło, ale jeśli używamy go w wielu miejscach, to sporo ryzykujemy.
Francja się boi: „Strefy no-go” w sercu Europy. Ostrzeżenie także dla Polski
A co z hasłami do domowych lub firmowych sieci WiFi? I tu spotykamy banalnie proste klucze. To wygodne, gdy co chwila ktoś do nas wpada i trzeba mu podawać hasło.
Wygodne, ale jeśli ktoś wykorzysta naszą sieć do popełnienia przestępstwa, to możemy mieć poważne nieprzyjemności. Dużo domowych routerów zostawianych jest na standardowych ustawieniach, z którymi trafiają do nas od dostawcy internetu. Login: admin, hasło: admin to proszenie się o kłopoty. Oprócz tego, że ktoś może wejść do naszej sieci, by przeprowadzić atak na zewnątrz, istnieje ryzyko, że może wejść do naszej sieci, by buszować po wszystkim, co jest do niej podpięte – po komputerach, dyskach sieciowych, kamerach monitoringu itd. Podstawą będzie ustawienie silnego hasła do sieci WiFi, którego nie musimy przecież znać na pamięć, bo nasze urządzenia je zapamiętują.
A poza tym mamy menedżery haseł. Dla gości możemy stworzyć osobną sieć, która da dostęp do internetu, ale już nie do naszego dysku sieciowego czy serwera. Polecam też wybór takich rozwiązań, które pozwalają ograniczyć liczbę podłączanych urządzeń do naszej sieci, które nie dopuszczą lub powiadamiają nas za każdym razem, gdy do naszej sieci będzie chciało się podłączyć nowe urządzenie.
To cię czyta: Problem efektu jojo wyjaśniony. Komórki mają pamięć tłuszczową
O czym jeszcze powinniśmy pamiętać jeśli chodzi o zagrożenia cybernetyczne?
O tym, że potencjalnymi źródłami ataku mogą być urządzenia typu smart, które podłączamy do sieci, a których w naszych domach jest coraz więcej. Atak może nastąpić nie tylko poprzez komputer czy telefon, ale też poprzez telewizor, system monitoringu, a nawet drukarkę czy inteligentną lodówkę. Nie mówię tego po to, by straszyć, bo nie odłączymy nagle tych wszystkich urządzeń, ale powinniśmy być świadomi zagrożeń. Dla tych urządzeń możemy stworzyć oddzielną sieć, która nie będzie miała dostępu do naszych prywatnych zasobów jak zdjęcia czy dokumenty.
Pamiętajmy też, że w cyberbezpieczeństwie nie ma czego takiego jak stuprocentowa gwarancja bezpieczeństwa. Możemy budować zabezpieczenie na wielu poziomach i starać się ograniczać ryzyko. Nigdy nie jesteśmy w stanie zabezpieczyć się na sto procent, natomiast musimy starać się utrudniać zadanie przestępcom w jak największym stopniu.
Często słyszymy, że Polska jest w stanie wojny hybrydowej, której jednym z elementów jest cyberterroryzm. Czy w przestrzeni wirtualnej trwa wojna, której nie widzimy, a która może być potencjalnie niebezpieczna?
Jesteśmy atakowani już od wielu lat. Dotyczy to zarówno państwa, jak i organizacji i firm w nim funkcjonujących. Organizacje mierzą się z atakami związanymi z szyfrowaniem i wyciekiem danych. Częste są tzw. ataki wolumetryczne, czyli ataki DDoS (Distrtibuted Denial of Service), które mają spowodować, że jakaś usługa czy strona internetowa przestanie działać. To wszystko ma na celu wywołanie niepewności, paniki albo spowodowanie, że dana firma po prostu przestanie istnieć. Czyli nie zawsze są to ataki dla pieniędzy, ale również i takie, które mają na celu zniszczenie jakiejś organizacji lub wpłynięcie na jej działanie.
Jeśli chodzi o ataki sponsorowane na poziomie państwowym, to ich celem są punkty czy organizacje strategiczne, ważne dla stabilności kraju. To kwestie związane m.in. z dostarczaniem prądu czy wody, systemem ochrony zdrowia itp. Wyobraźmy sobie sytuację, w której zaatakowane są elektrownie i duży obszar kraju zostaje odcięty od prądu. Spowoduje to ogromne straty finansowe i wywoła niepokój. Takie ataki się zdarzają, są to bardzo skomplikowane działania, ale trzeba pamiętać o tym, że budżety państw, które stoją za takimi atakami, są praktycznie nieograniczone. I tu rolę do odegrania ma nie tylko nasze państwo i jego służby, ale my wszyscy.
My wszyscy? W jaki sposób?
Mamy możliwość zgłaszania do CERT Polska różnego rodzaju ataków, prób wyłudzenia. CERT analizuje takie incydenty, co pomaga budować odpowiednią bazę wiedzy. Jesteśmy współodpowiedzialni za cyberbezpieczeństwo. Wciąż brakuje edukacji na temat tego, jak powinniśmy się zachowywać w świecie wirtualnym. Od najmłodszych lat uczy się nas, że przed przejściem przez jezdnię należy się rozejrzeć, ale nie do końca wiemy, jak zachować się w internecie. Co robić, a czego unikać, by nie stała nam się żadna krzywda. Bo choć świat wirtualny, to krzywda jak najbardziej realna i dotkliwa.
Przeczytaj inny tekst tego Autora: Nauka ojcostwa to samodoskonalenie. Dzięki dzieciom staję się coraz lepszym człowiekiem