W dobie powszechnego dostępu do Internetu, z którego możemy korzystać nawet na górskich szlakach, łatwo wpaść w pułapkę i nadziać się na wirtualne oszustwo. Takich „min” mamy wiele. Istnieją niusy, filmiki czy aplikacje dostępne tylko po podaniu numeru telefonu oraz kodu, jaki nań przyjdzie, a później zasypywani jesteśmy płatnymi wiadomościami z horoskopami czy świadczona jest nam usługa, na którą nie do końca się godziliśmy. podrobione nieraz tak dobrze, że nie do odróżnienia i chwila nieuwagi może nas kosztować wyczyszczenie konta. Nie brakuje także witryn pod rozmaitymi pretekstami zbierających dane, żeby użyć ich w różnych, niecnych celach.
Wiedza to potęgi klucz
Możemy zabezpieczać się na różne sposoby, ale tym najlepszym i najważniejszym jest wiedza. Wiedza o tym, na co powinniśmy zwracać uwagę i jakie niebezpieczeństwa na nas czyhają. Wiele na ten temat możecie przeczytać na portalach tematycznych (polecamy na przykład portal Zaufana Trzecia Strona lub Niebezpiecznik), więc nie będziemy o tym pisać, bo to też nie do końca nasza tematyka. Pewnie zastanawiacie się, dlaczego portal o konwentach porusza w ogóle tematykę bezpieczeństwa w sieci. Oto i odpowiedź.
Czy zwracaliście kiedyś uwagę na to, jakie dane podajecie, rejestrując wejściówkę na wydarzenie? Nie? To bardzo źle. Oznacza to, że nie zdajecie sobie sprawy z tego, co można z takimi danymi zrobić. Ale nie chodzi nam tu o to, co mogą zrobić z nimi organizatorzy, bo ci (zwykle) raczej nie mają wobec nas niecnych zamiarów. Problem leży raczej po stronie zabezpieczeń stosowanych przy formularzach, a raczej braku tych zabezpieczeń.
Broń się!
Istnieje wiele sposobów na zabezpieczenie przesyłanych danych, ale jednym z łatwiejszych, skutecznym i przede wszystkim widocznym dla nas, jako użytkowników, jest szyfrowanie połączenia przy wykorzystaniu na przykład protokołu HTTPS zamiast zwykłego HTTP. Na czym ono polega? Normalnie dane, które wpisujemy w formularzu, są bezpośrednio wysyłane do organizatora i zapisywane w bazie danych. Bez szyfrowania dane te są przesyłane w formie nieprzetworzonej, co oznacza, że jeżeli je przechwycimy, to zobaczymy wszystko, co zostało wpisane, czarno na białym – od imienia i nazwiska, przez adres czy numer PESEL, a na haśle do konta na stronie (które często jest takie samo jak hasła do innych portali, na przykład Facebook) kończąc. Z tymi informacjami możemy zrobić naprawdę sporo. Od wysyłania wszelakiego spamu na maila, po wzięcie kredytu, czy całej gamy oszustw z wykorzystaniem danych.
Czy konwenty są bezpieczne?
Zwracamy na to uwagę, gdyż wiele stron konwentów nie ma zabezpieczeń. Nie będziemy wymieniać konkretnych imprez, ale są to wydarzenia duże – na 2-5 tysięcy uczestników! Tylko pomyślcie, ile naszych danych mogą posiadać w tej chwili osoby trzecie! Szczególnie że niemało tych stron jest podatnych na różnego rodzaju ataki mniej lub bardziej doświadczonych hackerów.
Jak więc się bronić? Przede wszystkim przy każdym wypełnianiu formularza rejestracyjnego czy też akredytacyjnego obowiązkowo sprawdzamy, czy strona zabezpieczona jest protokołem HTTPS. Można to rozpoznać po zielonej kłódce (która wkrótce przy aktualizacji Chrome zniknie, a w jej miejsce pojawi się czerwone ostrzeżenie w przypadku braku wykorzystania protokołu HTTPS) widocznej w lewym górnym rogu przeglądarki, zaraz przed adresem strony oraz po przedrostku „https” w samym adresie. Jeżeli zabezpieczenie nie występuje, istnieje duża szansa, że podane przez Was dane wylądują nie tylko na serwerze organizatora, ale także w bazie danych kolekcjonera poufnych informacji.
Widzisz? Reaguj!
Jeżeli zauważycie brak zabezpieczenia, warto o tym powiadomić organizatora, najlepiej z uświadomieniem mu, że brak reakcji spowoduje ujawnienie nieprawidłowości publicznie, inaczej grupa gotowa jest nas zignorować. Takie działanie pomaga nie tylko Wam, ale i setkom, jeżeli nie tysiącom innych osób, które mogą dać się złapać w tę niebezpieczną pułapkę.
Niestety, wiele organizacji mocno bagatelizuje ten problem, co niedawno udowodniła sytuacja, w której dopiero publiczna interwencja zmusiła organizatorów do działania i zabezpieczenia strony. Szkoda tylko, że trwało to ponad tydzień i odbyło się już po fakcie, gdyż do samego konwentu zostały dwa tygodnie, czyli większość ludzi zarejestrowała się na niezabezpieczonym formularzu. Musicie także wiedzieć, że zabezpieczenie to jest niezwykle proste do wprowadzenia (od około 15 minut do półtorej godziny pracy) i tanie, a w wielu przypadkach nawet darmowe, szczególnie teraz, kiedy na przykład Nazwa.pl wprowadziła certyfikaty jako gratis do każdej obsługiwanej przez nich domeny. Kolejną możliwością jest skorzystanie ze strony letsencrypt.org, na której również możemy uzyskać certyfikat do naszej domeny całkowicie za darmo. Możemy też skorzystać z CloudFlare, który oprócz zwiększenia optymalizacji naszej strony, poprawienia jej bezpieczeństwa i kilku innych „ulepszaczy”, oferuje także darmowy certyfikat. Opcji jest oczywiście znacznie więcej, a zaproponowane przez nas rozwiązania to zaledwie kropla w morzu możliwości.
Pamiętajcie więc: dbajcie o swoje dane, bo lepiej czasem dopłacić te 5-10 zł do akredytacji kupionej na miejscu, niż później żałować, że straciło się znacznie więcej. Już i tak sporo naszych danych krąży w sieci dzięki portalom społecznościowym, ale raczej nie chwalimy się publicznie naszym adresem czy numerem PESEL, a przynajmniej nie powinniśmy.
A do organizatorów mamy gorącą prośbę: zabezpieczajcie swoje strony. To niewiele kosztuje, zarówno finansowo, jak i „wysiłkowo”, a opieszałość w tym zakresie może doprowadzić do tragedii, że o konsekwencjach finansowo-prawnych nie wspomnimy.
Za wsparcie merytoryczne przy pisaniu tego artykułu dziękuję naszemu specjaliście ds. IT – Mateuszowi „Knopersowi” Knop.