autor: Marcin Serkies
Rok 2011 udowodnił, że żadne dane nie są bezpieczne w Sieci
Mijający rok 2011 pokazał nam dobitnie, że nie powinniśmy czuć się zbyt pewnie w sieci. Włamanie do Playstation Network, czy problemy sieci Steam to tylko dwa najdobitniejsze przykłady. Nasze dane i nasze pieniądze w każdej chwili mogą stać się celem ataku.
W tym otoczeniu krzywdy sobie nie zrobimy. Ale w czasie gdy zwiedzamy, ktoś może zwiedzać nasz portfel.
W dzisiejszych czasach bycie graczem to wielce niebezpieczna zabawa. Wprawdzie jak na razie same gry nie stanowią zagrożenia – przecież nie ma ryzyka oberwania maczugą od giganta grając w Skyrim, nie musimy też obawiać się, że uderzając wirtualnym samochodem w betonową ścianę, połamiemy sobie wszystkie kości. Jednak co najmniej jedno zagrożenie jest jak najbardziej realne, a ubiegły rok pokazał to bardzo jasno i wyraźnie. | BYLIŚMY BEZPIECZNI Jeszcze kilka lat temu grając, byliśmy całkowicie bezpieczni, a przynajmniej bezpieczne były nasze pieniądze. Jak pokazał rok 2011 – i to dość dobitnie – dziś już tak nie jest. |
Niech nam się nie wydaje, że grając jesteśmy bezpieczni
Pomijając wyjątkowe sytuacje, fizycznie jesteśmy całkowicie bezpieczni, ale jak się okazuje nasze dane wcale bezpieczne nie są. Wraz ze wzrostem znaczenia i zasięgu Internetu, z przenoszeniem się z analogu na cyfrę, z rozwojem serwisów społecznościowych i serwisów cyfrowej dystrybucji, pozostawiamy informacje o nas samych w coraz większej ilości miejsc. Steam, Origin, PSN, XBL, Google, Facebook, Raptr - to tylko początek listy serwisów, w których zakładamy konta, tym samym podając swoje dane osobowe. Część z nich jest wręcz niezbędna, jeśli chcemy w pełni korzystać z możliwości, jakie dają nam dzisiejsze produkcje.
Jak pokazał rok 2011, poczucie bezpieczeństwa podczas korzystania z takich serwisów w ramach naszej kariery gracza, jest tylko złudą, a pokładanie zaufania w firmach świadczących nam różne usługi błędem. Nawet jeśli my sami w miarę poważnie podchodzimy do kwestii bezpieczeństwa danych w sieci to, jak pokazuje doświadczenie, odpowiedniego nacisku nie kładą ci, którzy najbardziej powinni. Dla końcowego rezultatu to i tak jednak nie ma znaczenia, bo przecież nie ma zabezpieczeń doskonałych i zawsze znajdzie się ktoś, kto je złamie, oby tylko dla własnej satysfakcji, a nie dla chęci zysku.
PSN is falling down, falling down...
Moment, w którym dowiedziałem się o ataku uznawanym jak na razie za rekordowy pod względem wykradzionych danych, będę pamiętał dopóki mózgownica pozwoli. O ile polskie media masowe trochę się z tematem spóźniły, to w Wielkiej Brytanii od razu stał się jednym z wydarzeń dnia. Włamanie i wyciągnięcie z sieci Play Station Network danych prawie osiemdziesięciu milionów użytkowników pokazało, że nawet najwięksi są podatni na ataki.
Dziś wiadomo już trochę więcej o tym, co się stało, ale na przełomie kwietnia i maja wśród użytkowników PS3 i PSP - a po pewnym czasie również wśród fanów kilku MMO działających pod egidą Sony Entertainment Online - zapanowała prawdziwa panika. Jednym z największych błędów popełnionych przez Sony był prawie całkowity brak informacji o tym, co się stało i co tak naprawdę skradziono. O samej kradzieży oficjele firmy poinformowali dopiero po kilku dniach. W dzisiejszym cyfrowym świecie kilka godzin to dużo, parę dni zaś może doprowadzić do niewyobrażalnej katastrofy. Ale za takie, a nie inne decyzje Sony ponosi konsekwencje aż do dziś.
Według informacji znalezionych w sieci dane, które wykradziono z systemów PSN, nie trafiły w ręce zbirów. Do chwili obecnej nie odnotowano jakiejś szczególnie dużej liczby przypadków oszustw dokonywanych za pomocą numerów kart kredytowych, zdobytych podczas ataku. Okazuje się więc, że był to bardziej pokaz sił i umiejętności, chęć poniżenia przeciwnika, niż kradzież w celach zarobkowych. Niemniej, Sony poczyniło kroki, aby podobna sytuacja nie wystąpiła w przyszłości. Zaktualizowano oprogramowanie, w USA zadbano nawet o ubezpieczenie korzystających z PSN od kradzieży tożsamości. Rozdano prezenty, zaliczono jeszcze jedną wpadkę (możliwość zmiany hasła dowolnego użytkownika, o ile znało się jego PSN ID oraz datę urodzenia) i sprawa przeszła do historii.
Dziś to tylko ukłon w ramach przeprosin. Lata temu dla wierchuszki Sony, taka wpadka mogłaby zakończyć się znacznie gorzej.
Na tym jednak nie koniec podobnych zdarzeń w mijającym roku. Pozostałe nie miały może tak wielkiego rozdźwięku i nie uderzyły w tak dużą liczbę użytkowników, ale również dotyczyły bardzo dużych firm a ich konsekwencje mogły być poważne.
Lista trafionych nie kończy się na Sony
Weźmy chociaż całkiem niedawne problemy Valve. Zaczęło się stosunkowo niewinnie, od informacji o naruszeniu bezpieczeństwa paru kont na forum Steama. Od wszystkich użytkowników zażądano zmiany hasła do forum i sprawa mogłaby się na tym zakończyć. Valve oddziela konta forumowe od kont na serwisie Steam, jednak jak się okazało, sprawa była znacznie poważniejsza. Gabe Newell – największa szycha w Valve – poinformował, że według informacji posiadanych przez firmę, włamywacze dotarli również do kont Steam i bardzo prawdopodobne, że je ukradli. W tym przypadku osoby posiadające konta w tym serwisie mogą czuć się trochę bezpieczniej, niż miało to miejsce przy ataku na PSN. Wszelkie istotne informacje – jak na przykład numery kart kredytowych – były zaszyfrowane i nic nie wskazuje na to, że ktokolwiek te zabezpieczenia naruszył. Niemniej, pewien niesmak i niepewność pozostaje.
Nie zawsze włamania związane z grami dotyczą tak wrażliwych informacji, jak dane naszych kart kredytowych, wciąż jednak sam fakt ataków może trochę niepokoić. Przyjrzyjmy się choćby włamaniu na stronę Bethesdy. Tego samego dnia grupa hakerów zaatakowała stronę senatu USA oraz witrynę twórców Skyrima. Wykradzione dane nie zawierały szczególnie istotnych informacji nie licząc osobowych, niemniej jak się okazało, szyfrowanie haseł użytkowników nie było przeprowadzane szczególnie silnym algorytmem. Co to oznacza dla zwykłego usera? Przecież wejdę na forum jeszcze raz, system każe mi ustalić hasło od nowa, a ktoś będzie miał moje stare hasło w formie zaszyfrowanej? No niby żaden problem, oprócz jednego. Parafrazując ‘nie ma takiej rury na świecie, której nie można odetkać’ – czyli w skrócie mówiąc - jeśli nasze hasła są zaszyfrowane dość słabo, to dość łatwo można je odszyfrować. A jak dodać, że większość ludzi używa dokładnie tego samego hasła do wszystkich kont, pozwala już trochę złodziejom poszaleć.
Prawdopodobnie właśnie takie działania spowodowały ostatnie niepokoje na Xbox Live. Do włamania, czy naruszenia systemów bezpieczeństwa jako takiego, nie doszło. Nie musiało. Według niektórych, dość prawdopodobnych moim zdaniem, teorii, ktoś wszedł w posiadanie większej bazy loginów i niezaszyfrowanych (lub już odszyfrowanych) haseł i metodą ‘na rympał’ próbował logować się na konta XBL. W ostatnim przypadku prawowity właściciel konta tracił punkty msp, za które kupowano dodatek do FIFA 12. Piłkarzy zdobytych w ten sposób można w samej grze sprzedać za kasę używaną w ramach rozliczeń ‘wewnątrzfifowych’. Inna teoria niż wspomniana przed momentem mówi, że zawinił czynnik ludzki po stronie wsparcia technicznego gry. Prowadząc w odpowiedni sposób rozmowę z konsultantami, możliwe było zdobycie danych konta EA i Xbox Live.
Włamania na mniejszą skalę zaliczył też np. Square Enix na stronie montrealskiego studia Eidos. Tu jednak udało się ukraść ‘jedynie’ 25 tysięcy adresów mailowych oraz 300 podań o pracę składanych za pośrednictwem strony. Żadne bardziej wrażliwe informacje nie były przechowywane w bazach danych, do których udało się dotrzeć włamywaczom. Wpadkę podobną do Bethesdy zaliczył w czerwcu Epic Games. Hakerzy ukradli loginy i zaszyfrowane hasła użytkowników forum tej firmy.
Taka dłoń może wyczyścić naszą kartę w ułamku sekundy. Naszą i tysięcy innych graczy.
Najważniejsze – nie dać się wystraszyć
Jakkolwiek przerażająco by to brzmiało, nie należy rezygnować z grania w sieci, kupowania w sieci, czy podawania prawdziwych informacji. Trzeba być jednak świadomym zagrożeń, bo im większa ta świadomość, tym łatwiej uniknąć skutków podobnych włamań. Ewentualnie, łatwiej nam będzie zminimalizować straty. Temat włamań, kradzieży tożsamości itp. staje się coraz poważniejszy, ale można mieć cichą nadzieję, że odpowiedzialni za bezpieczeństwo naszych informacji podejdą do tematu poważniej niż do tej pory. Jakby nie patrzeć, zostali wystrzelani po uszach w ostatnim roku i mają nad czym myśleć.
• Używajmy różnych loginów w różnych systemach (to samo dotyczy haseł).
• Jeśli korzystamy z kart płatniczych, najbezpieczniej używać karty pre-paid – ma limit taki, jaki sami ustalimy, więc w razie czego więcej nikt nie ukradnie - i przede wszystkim, nie dajmy się zwariować.
• Zabezpieczajmy nasze sieci. Zakładanie, że przecież i tak nikt nic nam nie ukradnie jest błędem.
• Bądźmy czujni, bo hiszpańskiej inkwizycji nikt się nie spodziewa, ale czujnemu człowiekowi stanie się mniejsza krzywda.