IT & Tech

JAKO JE LAKO "ZEZNUTI" SIGURNOST

Profesor Siniša Miličić: Rat dezinformacijama i informacijama ključan je aspekt današnjeg interneta

"Postoji enorman broj stranica i portala koji najednom nastanu i onda objavljuju nečiju agendu, otvaraju WhatsApp grupe i botove koji generiraju lažne vijesti" govori nam u velikom intervjuu docent Siniša Miličić, prodekan na Fakultetu informatike u Puli


 
8 min
Matea Čelebija ⒸFOTO: Manuel Angelini

"Postoji enorman broj stranica i portala koji najednom nastanu i onda objavljuju nečiju agendu, otvaraju WhatsApp grupe i botove koji generiraju lažne vijesti" govori nam u velikom intervjuu docent Siniša Miličić, prodekan na Fakultetu informatike u Puli

Siniša Miličić prodekan je na Fakultetu informatike u Puli, a predaje matematičke i informatičke predmete. Po znanstveno-nastavnom zvanju je docent.

Fakultet informatike pri Sveučilištu Jurja Dobrile u Puli osnovan je prije deset godina, a Miličić na njemu radi od 2016. godine kada je, nakon godina rada kao asistent na Fakultetu elektrotehnike i računarstva u Zagrebu, sa suprugom odlučio doći u Istru. Kako kaže, za Istru se odlučio jer je htio biti bliže moru, a drži kako nije pogriješio. Smjestio se u Vodnjanu, koji je, kako kaže, grad skrojen baš za njega.

Fakultet informatike bilježi brojne aktivnosti. Jesu li i studenti uključeni u njih?

Naravno. Imamo program studentske prakse gdje se studenti usavršavaju u nekoliko tvrtki, u izradi informatičkih projekata, a sada otvaramo područje bliskih suradnji na formiranju studijskih programa, odnosno interakcije, a sve kako bismo uvidjeli što je najpotrebnije našim tvrtkama, ali i kako bismo osnažili informatičku zajednicu u Istri.

I što se do sada pokazalo kao najpotrebnije? Što se najviše traži?

Informatičke su struke izrazito tražene jer ljudi u toj struci nema dovoljno. Traže se milijuni radne snage diljem Europske unije na tom području. Ovo je zanimanje i prije pandemije bilo izrazito traženo, a sad, kako smo sve internetizirali, još je traženije. Nedostaje jako puno profesora informatike, matematike i fizike jer su slabo plaćeni i više im se isplati zaposliti u nekoj tvrtki.

Kako se to može izbalansirati? Problem je vjerojatno u obrazovnom sustavu...

Problem je višeslojan – od plaća koje su definirane koeficijentima spram raznih SSS radnih mjesta u državi i javnom sektoru, gdje i nastavnici počinju s 5-6 tisuća kuna, a početnik u informatičkoj firmi danas može očekivati 10 i više. Nadalje, problem je stalnih radnih mjesta i gdje se i kako otvaraju, a na kraju je i pitanje interesa i talenta samih učenika/studenata. Imamo zanimljiva pozitivna iskustva sa starijim studentima koji imaju 25, 35 pa čak i 40 godina, koji upišu informatiku i ispostavi se da su izuzetno dobri studenti s kojima se može napredovati.

Jesu li mladi zainteresirani za informatiku?

Svakako! Mi nemamo problema s kvotom; upisujemo stotinjak studenata godišnje što je 90% naše kvote. U našim informatičkim i računarnim područjima kvote se uglavnom pune. S obzirom na to da je u Hrvatskoj 26 tisuća maturanata, a skoro 40 tisuća mjesta na studijima, popunjena kvota znači veliki interes

Uspijevaju li studenti nakon završetka fakulteta informatike u Puli pronaći radna mjesta?

Da. Inače je problem s nekim drugim zanimanjima, primjerice profesorima hrvatskog jezika ili povijesti, dok posla za informatičare ima. Informatika je možda najtraženije zanimanje uopće.

Koliko studenata godišnje upiše informatiku na pulskom sveučilištu?

Upisujemo stotinjak studenata godišnje i njih, recimo, 60 do 80 završi preddiplomski studij, dok ih četrdesetak nastavi dalje na diplomski. Dosta se studenata zaposli već na trećoj godini.

Što kažete na situaciju u zadnjih tjedan dana? Dosta se hakerskih ekipa i ‘anonimusa’ pokrenulo u hakiranju službenih stranica ruske vlade. Kako vi to komentirate, koliko to zapravo predstavlja opasnost za internet?

Za sam internet, teško je reći da je to opasnost. Postoji teoretski način da se cijeli internet slomi, ali to neće postići hakerske organizacije, to će postići neka ekipa u pozadini (inženjerske ekipe, grupacije povezane s IANA-om, IETF-om, ISOC-om i ostalim organizacijama koje definiraju osnovna tehnička pravila interneta) koja čuva one bazične poveznice, interkontinentalne domain servise. Ali u biti žice postoje, i njih će netko teško prerezati, isto kao i podmorske kablove. Bez te infrastrukture nećemo ostati. Međutim, u zadnjih tjedan dana vidimo poprilično kaotičan sukob Rusije i Ukrajine te zapadnih zemalja. Recimo, bila je situacija Colonial Pipeline naftovoda prije godinu dana gdje su hakeri u Americi napali i onemogućili kardinalni naftovod.

Kako je taj napad izveden?

Negdje na Darknetu, u nekoj mračnoj sjeni interneta procurila je kombinacija korisničkog imena i lozinke nekog bivšeg zaposlenika kojemu tvrtka nije ažurno počistila pristup serveru i hakeri su  pronašli ulaz. Uvijek postoji neka ekipa koja traži okolo takve podatke, a netko drugi ih kupi za milijune dolara.

A za što se koriste ti podaci?

Pa recimo, ova priča o Colonialu je bila direktni napad, što znači - onemogućiti servis da tvrtka koja ovisi o svojim komunikacijskim kapacitetima bude jednostavno spriječena u komuniciranju. Drugi razlog može biti direktno špijuniranje što omogućuje nevidljivo dopiranje do nečijih podataka, mailova, pristupa mobitelu, mikrofonu ili kameri, a da osoba koju se špijunira primijeti samo blago povećanu potrošnju baterije na uređaju.

Kako komentirate trenutnu situaciju u kojoj brojni hakeri tvrde da su upali na službene stranice medija i vlada? Smatrate li takve vijesti istinitima ili pak dezinformacijama? Koliko je to, u drugu ruku, opasno?

Rat dezinformacijama i informacijama ključan je aspekt današnjeg interneta. Postoji enorman broj stranica i portala koji najednom nastanu i onda objavljuju nečiju agendu, otvaraju WhatsApp grupe i botove koji generiraju lažne vijesti. Da vodim vojnu strategiju, svakako bih htio da mi tajna služba ruši tuđu informacijsku infrastrukturu. Ovakav slijed događaja nas stoga ne treba iznenaditi, posebice zato što znamo da je Rusija za to kapacitirana. Isto vrijedi i za obrnutu situaciju – zbog Zapada koji podržava Ukrajinu pojavljuje se nekoordinirana grupa napada u kojima netko može izgenerirati 150 tisuća imena i reći da su to vojnici u Rusiji, a da mi nemamo načina za verificiranje takvih informacija i to je onaj davni princip ''on the internet nobody knows you’re dog'' (na internetu nitko ne zna da si pas), odnosno formulacija iz 90-ih koja nas bolno kači za nešto gdje nemamo direktnu interakciju, direktnu sposobnost verificiranja i za što ne možemo sa sigurnošću znati je li istina. Generalno, neke stvari možemo utvrđivati samo ako postoji nekoliko nezavisnih izvora, a da bismo znali jesu li ti izvori stvarno nezavisni, potrebna nam je duboka analitika i neposredno poznavanje. Naime, jako je lako zeznuti sigurnost.

Kako to da su hakerski napadi sve učestaliji?

Izrazito puno ljudi programira, a kod svih njih je popularna fraza "postoji programiranje, a postoji i debagiranje". Debagiranje je vađenje grešaka i bugova iz koda, a programiranje je stavljanje grešaka i bugova u kod. Kako je na svijetu sve više softvera, to znači i sve više ulaznih točaka za napadače, sve veća ekonomska vrijednost napada i sve više kompetentnih ili barem blago-kompetentnih hakera.
Sigurnosne rupe su tu, a načini na koji se konzumiraju su razni, a sad se primarno fokusiramo na vojno stratešku primjenu.

A Anonymusi?

Anonymusi nisu nekakva strukturirana organizacija, to su jednostavno ljudi širom svijeta koji se deklarirani pod tim imenom, bave hakerskim napadima. To ih ne čini manje opasnima ili efikasnima (ovisno o perspektivi), ali ne možemo govoriti o njima kao izrazito strukturiranoj organizaciji

Kako se sad to reflektira na nas? Jesu li naši sustavi sigurni?

Sad ću možda neopravdano hvaliti naš bankovni sustav, ali Hrvatska narodna banka zahtijeva donekle visoku razinu sigurnosti kod svih naših bankovnih aplikacija i zato nas gnjave stalno za onaj ''PIN'' pa one time password ''otp 1'' ''otp 2'', MAC (message autentification code) i tako dalje. Naime, HNB postulira pristojnu praksu kako ne bi došlo do tužbi i to je u redu, no sad dolazi do toga kad, što i kako netko implementira za protokole jer je kod pojedinih banaka dovoljno na mobitel upisati samo pet brojki, bez pretjerane gnjavaže o dodatnim sigurnosnim provjerama. I zapravo tako nastaje otpor toj sigurnosti. Stoga je važno dobro dizajnirati korake sigurnosti da bi korisnici aplikaciju “glatko” koristili - to je ključna stvar.

Primjerice, Apple i Google se bave organiziranjem pristojne razine sigurnosti na svojim mobilnim uređajima, s raznim razinama uspješnosti.

Kakva je kombinacija znamenki najsigurnija?

Dugo godina je bila politika da šifra mora sadržavati malo i veliko slovo, tri brojke, 16 slova, kineska slova i svašta nešto, a sada se pokazuje da to uopće nije dobra praksa. To pravilo napisao je netko na NIST-u 83, i od tada je to postala glavna doktrina. Sljedeća doktrina za šifre je bila ta da se šifra mijenja svakih tri do šest mjeseci, ako je nešto visoko sigurno. I što se onda događa? Ljudi postave šifru password 1 pa ju za tri mjeseca promjene u password 2, a na internetu postoji popis nekoliko stotina šifri i ako ih isprobate, postoji 50 posto šanse da uđete u nečiji sustav jer ljudi, naprosto, nisu maštoviti. Sada je popularna politika da se šifra sastoji od niza nekoliko riječi i trenutno je takav pristup jedan od sigurnijih. Još bolja zaštita je dvofaktorska autentifikacija, koja podrazumijeva potvrdu šifre i na mobitelu. No i tu postoji rizik jer ako nam netko ukrade mobitel i uspije ući u njega, može prodrijeti i u potvrdu šifri

Što god da je od tehnike spojeno na internet, ima, dakle, neku sigurnosnu rupu?

Sad se vraćamo na njihovu taktičku upotrebu. Tri su osnovna modela: onemogućavanje (denial of service), špijuniranje i ucjena. Ucjene, pogotovo ransomware napadi su vrlo opasni pogotovo u moderno vrijeme kriptovaluta. Colonial je zapravo bio ransomware, ali je ispao onemogućavanje.
Špijuniranje može biti potpuno nevidljivo, dok je ukidanje sigurnosti vidljivo.

Ako se osvrnemo na distribucijsku mrežu, sustav špijuniranja nije pretežito zanimljiv, ali zato ukidanje sigurnosti može biti poprilično interesantno jer se pomoću njega može elektrodistribucijsku mrežu iskoristiti kao strukturalni napad, primjerice Colonial pipeline, zatim po Ukrajini ove godine ili pred pet godina. Jedan od zanimljivijih primjera špijunaže je izašao iz Snowdenove analize NSA-a kada se ispostavilo da je SAD prisluškivao mobitel Angele Merkel, što znači da su imali kanal u njezinom mobitelu.

Panama papers pred nekoliko godina su isto primjer polagane i metodične špijunaže kroz nezakrpanu (poznatu!) sigurnosnu rupu, gdje su podaci o offshore tvrtkama i poreznim utajama raznih bogataša iscurili odvjetničkoj tvrtki s njihovih poslužitelja.
Najvažniji problem sigurnosti je da danas nije običaj napada na same komunikacijske kriptosustave nego na rubne točke – organizacijske ili softverske sigurnosne rupe, zatim postoji nedostatak sigurnosne kulture u organizacijama ili osobni neoprez u poslovnom ili privatnom korištenju računala.


Nastavite čitati

Da bi ova web-stranica mogla pravilno funkcionirati i da bismo unaprijedili vaše korisničko iskustvo, koristimo kolačiće. Više informacija potražite u našim uvjetima korištenja.

  • Nužni kolačići omogućuju osnovne funkcionalnosti. Bez ovih kolačića, web-stranica ne može pravilno funkcionirati, a isključiti ih možete mijenjanjem postavki u svome web-pregledniku.