Kaip pasitelkiant internetą žmogaus gyvenimą paversti pragaru?

Ponas ir ponia Straterei, tai ryskei kazkam kele ne vietoi perbego. Bet metodas tikrai efektyvus

Amm.. Šita.. Žodis „TROLINIMAS“ jau yra lietuviškuose žodynuose? T.y. ar jis jau oficialiai vartotinas lietuvių kalboje?

Kitaip tariant, eilinė "Kaspersky Lab" nevykėlių reklama. Jeigu jie tokie ekspertai būtų, tai tokių idiotiškų patarimų nedalintų, nes suprastų, kad visos panašios nesąmonės glaudžiai susijusios ir, nors ir turime didelę netvarką internete, bet ją galima nesunkiai spręsti. Dabar jau nebe kokie 2000-ieji, kad galėjai laužyti viską kas papuola, neturėdamas net rimtų pagrindų apie sistemų laužymą. Dabar saugumas yra gerokai aukštesniame lygyje ir jis tik didės, tad jokie troliai negalės kažko tokio žalingo padaryti. O dabar patarimai. Pirmas: "išsiaiškinti, kas yra šlamštalaiškiai, kaip jie veikia ir kaip nuo jų apsisaugoti". To aiškintis nereikia. Viskas, ką gauni be savo aiškiai išreikšto išankstinio sutikimo, yra spam'as ir tik spam'as. Tai yra, jeigu kažkur registruojiesi savo tikru el. pašto adresu, ir staiga pradeda plaukti pasiūlymai, vadinasi, pažeidžiamos tavo teisės gauti pasirinktus elektroninius laiškus. Ir jos pažeidžiamos keliais būdais: 1. Neturi nieko patvirtinti, kad gautum tuos laiškus. Bet juos gauni. Ir tai yra SPAM'as. 2. Patvirtinimą turi pateikti, bet tik tokiu formatu - tu gauni jau iš anksto už tave automatiškai pažymėtą varnelę, kuri trumparegiui ar toliaregiui kartais yra vos įžiūrima ar išvis taip užslėpta, kad jos įžiūrėti beveik neįmanoma. Tokiu atveju tai irgi yra SPAM'as. 3. Vienintelis teisingas būdas pasiūlyti siųsti reklaminius laiškus yra tada ir tik tada, kai vartotojas kitame registracijos žingsnyje gauna išreikštinį klausimą, ar jis to nori, ir turi ne tik pažymėti varnelę, bet ir įvesti kažkokį žodį, pavyzdžiui, "Sutinku", "I agree" ir pan. Tas niekur netaikoma dabar? Tikrai taip, bet tai nereiškia, jog tai, kas taikoma dabar, yra teisinga. Dabar tiesiog naudojamasi žmonių naivumu, nepastabumu ir ganėtinai trumpalaike atmintimi juo pasinaudoti komerciniams reikalams, nors tam nėra absoliučiai jokio teisinio pagrindo. Kitaip sakant, "Kaspersky Lab" šis patarimas yra idiotiškas ir tiek. Jeigu jau gauni SPAM'ą, tai yra nelegalu ir vienintelis teisingas elgesio būdas - kreiptis į teisėsaugos institucijas. Ir netgi elektroninio pašto paslaugų sistemos turėtų suteikti kažkokią panašią galimybę tą padaryti vienu mygtuko paspaudimu. O jau po to pati teisėsauga atsirinktų, ar čia legalu ir rimta, ar nelabai. Tiesiog jeigu vienas iš pykčio taip paspaus, tai turbūt nieko čia tokio, jeigu nėra didelės socialinės žalos. O jeigu jau koks šimtas, tada jau yra problema ir ją reikia tirti. Antras patarimas irgi nesąmoningas: "sukurti patikimus ir unikalius slaptažodžius visoms paskyroms". Kas iš to, kad sukursi "patikimą ir unikalų" slaptažodį visoms paskyroms, jeigu kažkurios iš jų sistemoje nebus taikomas paprasčiausiais hash'avimas, kas nulaužimo atveju lengvai padės tą slaptažodį gauti? Naudos nulis ir paskyra būtų automatiškai nulaužta. Dėl unikalumo galima sutikti, tačiau "patikimumas" neapibrėžta sąvoka. Ją reikia tikslinti. Gali sukurti dvi grupes unikalių slaptažodžių: "123456" ir "12345" arba "JASnmsdmka563" ir "JASnmsdmka562". Pirma grupė yra unikali ir akivaizdžiai nepatikima, o antra - gal ir skonio reikalas, bet, tarkime, irgi unikali, tačiau tikrai nepatikima, nes turi tendencingumą slaptažodyje. O jeigu įsilaužėlis itin motyvuotas, tai jis nepagailės pritaikyti savo įgytas statistikos žinias, ir kaip nors dedukuoti kitus galimus variantus iš slaptažodžio. Kitaip tariant, "unikalus" slaptažodis nebūtinai "patikimas". O patarimas kurti "patikimus" slaptažodžius gali ateiti tik iš visiškų neišmanėlių. Nes na kas, jeigu vartotojas turi šimtą kritiškai svarbių paskyrų? Tai susikurti šimtą unikalių ir patikimų slaptažodžių gal ir paprasta, bet visus juos atsiminti jau sudėtingiau. Dėl to žmonės ir renkasi naudoti vieną ir tą patį slaptažodį visur. O tai reiškia, kad slaptažodžių naudojimas internete yra tiesiog atgyvena ir turėtų būti kardinaliai pakeista. Trečias irgi grybina: "susipažinti su saugaus interneto naudojimo taisyklėmis". Nuo kada internetas yra saugus? "saugos interneto"... Nu jo. Ir nuo kada naudojimasis internetu turi daugiau taisyklių negu galima jų dedukuoti iš esamų įstatymų? Ketvirtas patarimas kvepia paranoja: "nesinaudoti viešuoju „Wi-Fi“ atliekant internetinius mokėjimus ir išsiaiškinti, kaip galima ir kaip negalima elgtis su finansais internete". Neįsivaizduoju, koks čia bankas turėtų nešifruoti srauto. Kitaip sakant, jeigu srautas šifruojamas ir atliksi mokėjimą tik vieną kartą, įsilaužėlis paprasčiausiai nespės jo dekoduoti iki tol, kol tau bankas lieps pasikeisti slaptažodį. O jeigu dar naudosi slaptažodžių generatorių, SMS žinute siunčiamus patvirtinimus, tai netgi ir nulaužimas geriausiu atveju parodys tavo balansą banko sąskaitoje, o daugiau veiksmų nusikaltėlis ir negalės padaryti. Bet, aišku, čia turbūt kalbama apie nesaugius ir niekam tikusius bankus arba nesaugias elektronines parduotuves. Bet tada reikėtų patikslinti - išvis nenaudoti "Wi-Fi" tokiais atvejais. Geriau tada naudoti LAN'ą ir, jeigu kažkas per jį įsilauš, tai bent jau bus galima interneto tiekėją laikyti atskaitingu. O koks skirtumas, kas laužiasi, kol yra ką apkaltinti ir iš ko išsikovoti nuostolius? O šiaip bet kuriuo atveju, kol srautas šifruotas, tai problemos mokėti nėra ir per viešą Wi-Fi, nes kiti tiesiog nesupras, kokie duomenys siunčiami. Ir dar, netgi juos ir dešifravus, gali būti, kad nepavyks panaudoti tos sesijos iš kitur, nes ji bus skirta tik vienai vienintelei transakcijai atlikti (t.y. po jos įvykdymo duomenys taps beverčiai). Na nebent padarytų kas "Man in the Middle" ataką, bet čia jau reikėtų ryšio blokavimo kažkokio ir to, kad siunčiami duomenys nebūtų atomiški loginės transakcijos prasme (o jeigu jie bus atomiški, tai MitM tiesiog sufail'ins ir nieko nebus). "įdiegti patikimą apsaugos sprendimą visuose jūsų įrenginiuose: kompiuteryje, išmaniajame telefone ir planšetiniame kompiuteryje", - ir taip, kaip gi "Kaspersky Lab" nepasiūlys vieno didžiausių fail'ų per visą žmonijos istoriją, prasidedančių pavadinimu "Kaspersky"? Ir dar toks pastebėjimas. Prieš kokius penkiolika metų antivirusinė gal ir buvo būtina, o dabar jau pačios operacinės sistemos pakankamai gerai apdoroja įeinančius srautus ir pritaiko pagrindines saugumo procedūras, kas realybėje padaro taip, kad pasigauti virusą jau tampą nelabai įmanoma. Kita vertus, jie tampa labiau tiksliniai, skirti tam tikroms vartotojų grupėms, o ne masiškai. Netgi tas pats spam'as gerai patobulėjo - anksčiau visi siuntinėjo milijardus laiškų visiems iš eilės, o dabar jau spam'eriai atsirenka tikslinę auditoriją, tą apjuosia naujienlaiškiais ir kitu šūdu. Kitaip sakant, kur kas geriau išsiųsti 1000 laiškų potencialioms aukoms negu milijardą bet kam. Su 1000 ir pigiau, ir efektyviau gali pavykti negu su milijardu, iš kurių pusė email'ų (geriausiu atveju) gali jau būti nebenaudojami. Taigi, tas pats ir su virusais, trojanais, backdoor'ais. Kai jie tampa labiau specifiški, tai jokia pasaulyje esama saugumo įranga, besiremianti kenkėjiškų programinių įrangų kodų ar jų dalių duomenų baze, neveiks, nes kodą galima tokį parašyti, kad jo niekas nepažintų. Ir jau dabar egzistuoja prototipai, kurie, tarkime, Assembly kodą paverčia ekvivalenčiu pagal atliekamą funkcionalumą, t.y. kodas kitas, netgi nepanašus į pradinį, bet daro lygiai tą patį. Todėl norint, kad antivirusinė tikrai veiktų, ji turėtų pakeisti savo duomenų bazes kardinaliai - iš kodo į elgesio sistemoje, nes būtent elgesys su sistema ir lemia, ar tai virusas, ar paprasta programa. Ir čia yra absoliučiai visų programų sistemų ateitis per artimiausius 5-30 metų (intervalas platus todėl, kad yra daug sistemų, kurios senos, bet dar naudojamos ir bus ilgai naudojamos, o apie refactor'inimą tokių kokybiškų įžvalgų kaip apie TDD, deja, dar neturime). Dabar jau pradėjome suprasti unit test'ų svarbą, suvokiame, TDD yra geras dalykas iš esmės, bet dar galvojame, jog tai teorija, o ne praktika. Nors iš tiesų TDD (kai kas, norėdami pabrėžti paskirtį ar norėdami atskirti testavimo procesą nuo kodo rašymo, tai vadina BDD, bet iš esmės TDD ir BDD - ekvivalenčios sąvokos) yra vienas geriausių mąstymo būdų, sukurtų per visą IT istoriją. Kitaip sakant, jau dabar didesnėse įmonėse projektuose patys vadovai reikalauja, kad būtų padengimas unit test'ais. O jeigu viskas evoliucionuos toliau, tai reikalaus ir tiesioginio TDD taikymo, kas iš esmės ir išnaudoja maksimaliai unit test'ų galią. Ir to priežastis yra ta, kad reikia žiūrėti ne kodą, o tai, ką tas kodas iš tiesų daro. Ir va kai Kaspersky pradės suprasti tai ir persirašys savo niekam tikusias programų sistemas į rimtesnes, kurios iš tiesų veiktų, tada ir bus galima apie juos rimtai kalbėti. O dabar jie tik šūdą mala ir kiša bevertį produktą už neadekvačią kainą. Bet gaila labiausiai kvailių, kurie tuo išties naudojasi ir dėl vieno kažkada pamatyto pagauto virusiuko dievina Kaspersky (nors tą pagautų ir AVG, ir Avira, ir bet kuris kitas soft'as - ir turbūt koks fitrewall'as jau tokio net nepraleistų dabar). Tiesiog jau seniai virusai nepraeis ir paprasčiausios instaliuotos ugniasienės. O va specifiniai virusai, trojanai ar backdoor'ai, skirti tam tikroms sistemoms, praeis visas ugniasienes ir antivirusines be jokio vargo.

Šitas man irgi pasirodė įtartinas. O kaip dėl ne tokių svarbių svetainių? Ar naudojantis tokiu viešu nešifruotu tinklu galima nulaužti, pvz., mano Technologijos.lt paskyrą, sužinoti slaptažodį?

Na, aš „hackeris“ ne didis, bet jei abu vienu metu būtume prisijungę prie vieno viešo WiFi tinklo ir prisijungtum prie T.lt, galėčiau prisijungti prie tavo paskyros (bet slaptažodžio negaučiau).