Poučení z případu Sony v 10 bodech

Poučení z případu Sony v 10 bodech

I když v těchto dnech Sony opět rozebíhá svou síť PlayStation network po té, co dosud neznámí hackeři prolomili její obranu a získali informace o uživatelích, včetně data narození a čísel platebních karet. Napravit reputaci se Sony nepodařilo ani nabídkou roční ochrany před zneužitím karet ani nabídkou her zdarma. Tím, že Sony připustila mizernou bezpečnost a zveřejnila podrobnosti o tom co se stalo, vystrašila i toho nejcyničtějšího online uživatele. Eweek připravil několik bodů, které ukazují na to, v čem bychom se měli poučit.

1. Můžeme Sony věřit?

Hacknutím Playstation Network se Sony dostala do velmi nezáviděníhodné situace. Napravit škody, a získat zpět důvěru zákazníků bude běh na velmi dlouhou trať. To je také důvodem, proč se doporučuje mít bezpečnostního experta na plný úvazek.

Je levnější investovat do bezpečnosti, než získávat důvěru zákazníků.

2. Hackeři jsou o krok napřed

Bohužel hackeři a kriminálníci budou vždy o krok napřed. Vyplývá to již z principu jejich činnosti. V případě Sony se hackerům povedlo nejen obalamutit bezpečnostní opatření, ale jedinou odpovědí Sony bylo vypnutí sítě.

Bezpečnostní opatření se musí pravidelně aktualizovat.

3. Problémy se zhoršují

Bohužel pro Sony, problémy s nabouráním se do PlayStation Sítě se mohou jen zhoršovat. Nejprve bylo odhaleno, že byly ukradeny citlivé informace. Sony pak byla nucena přiznat, že byly ukradeny také informace o platebních kartách, ačkoliv byly kódované. Následně se Sony dostalo do problémů, protože hackeři s sebou odnesli také kompromitované účty. Je tedy nutné aby si uživatelé změnily hesla. Ty však mohou změnit jen se znalostí emailu a data narození. Což však hackeři znají také.

Je jednodušší zastavit probíhající útok, než řešit problémy, které útok způsobí.

4. Citlivé údaje je možné ukrást jednodušeji, než si mnozí myslí

Mnoho lidí se domnívá, že pokud pošle citlivá data pomocí zabezpečeného kanálu, jejich data jsou v bezpečí. Tento předpoklad je ale mylný. Ačkoliv používání zabezpečeného kanálu je důležité, řeší to pouze cestu informací od klienta k serveru. Nijak to nemá vliv na vlastní bezpečnost serveru.

Mějte na paměti, že HTTPS protokol není vše, ale přesto je to jedna z věcí, která nesmí chybět.

5. Některé společnosti mají lepší zabezpečení než jiné

Ačkoliv to Sony neuslyší velmi rádo, jsou společnosti, které jsou lépe zabezpečené a lépe chrání data svých zákazníků. Je zřejmé, že Sony nepatří mezi špičku v tomto seznamu. Je samozřejmě obtížné zjistit, která společnost je v tom lepší. Nejlepší ochrana dat se projevuje tím, že uživatel nezaznamená žádné problémy. Totéž se však stane i v případě, že na společnost dosud nikdo neútočil. A netýká se to pouze soukromých společností, ale také vládních úřadů.

Nezabezpečit data svých klientů začne být trestný činem, i když možná ne z pohledu práva, ale rozhodně z pohledu zákazníků.

6. Dokonce i bezpečné chování může selhat

Uživatelé PlayStation Network nikdy nepředpokládali, že jsou jejich data ohrožena. Mnoho z nich vědělo o hrozbách phishingu nebo stahování neznámého software. Také nikdy nesdíleli čísla platebních karet na neznámých serverech. Ale Sony PlayStation Network nevypadalo  jako nebezpečné místo.

Všichni by si měli uvědomit, že bezpečná služba nemusí být zcela bezpečnou.

7. Bezpečnost není jen o nebezpečných Windows

Je zřejmé, že nejvíce bezpečnostních problémů je na platformě Windows. To je však způsobeno zejména množstvím uživatelů, které jej používají a atraktivitou tohoto množství lidí pro hackery. Nepochybně zde jsou také bezpečnostní problémy, které by bylo záhodno vyřešit, ale hlavním problémem jakéhokoliv operačního systému jsou zejména uživatelé.

Je proto nebezpečné se domnívat, že jste v bezpečí jen díky tomu, že nepoužíváte Windows. To platí nejen pro Playstation Network, ale také pro iOS i Mac OS X.

8. Nedostatek komunikace udělá situaci ještě horší

Ať již problémy Sony byly způsobeny nekompetentností příslušných zaměstnanců či genialitou hackerů, veřejné prohlášení Sony vypadalo pomalé a nemotorné. Většinu týdne uživatelé se pouze dozvěděli, že je síť dole, bez vysvětlení. Pak začala Sony vypouštět informace a průlom do jejich systému se ukazoval jako horší a horší. Sony pak prohlásilo, že přebudovává svou síť, aby si zákazníci mohli být jisti, že jsou jejich informace v bezpečí, ale Sony to trvalo příliš dlouho. To bylo nakonec završeno tím, že bylo Sony pozváno na kobereček ke senátorům, kteří se ptali co se to u nich děje.

Pokud k problémům dojde, je lepší je hned přiznat a pracovat na nápravě, než nechat klienty v nejistotě.

9. S jídlem roste chuť

Jestli jsou internetoví hackeři něco, tak zlomyslní Jakmile cítí krev, začnou hledat další cíl a zjišťovat jak složit další velkou službu. Pokud si to uvědomíte, měli by jste velmi opatrně dávat pozor na to, kam ukládáte své informace a měli by jste je mazat z míst, kde je již nepotřebujete.

Čím méně informací na internetu necháváte, tím lépe pro vás a tím méně budete zasaženy případným bezpečnostním incidentem.

10. Bude hůř

Bohužel pro všechny lidi, bezpečnostní problémy se objevují po celém světě a nebudou ustávat. Ve skutečnosti se budou jen zvyšovat. Dle mého názoru, bude šance, že by se množství bezpečnostních incidentů snížila až v době, kdy přestanou existovat totalitní režimy, které tyto aktivity podporují (nejkřiklavěji se to projevilo, když servery Google napadli hackeři z Číny) a státy budou mezi sebou spolupracovat při potírání internetové kriminality (tím myslím aktivní činnosti sloužící k přerušení služby, získání práv či způsobování škod na serveru). Jenom na tento server je podnikáno denně okolo 10 útoků, kdy se podivné živly zejména z asijských IP adres snaží získat přístup k emailu nebo k ssh účtu.

S rozvojem chytrých telefonů a tabletů (někde jsem slyšel, že tablet je v současné době eufenismus pro iPad) se hackeři budou zaměřovat právě na tato zařízení. Dnes to vypadá, že vzhledem k přísné kontrole Apple (podle některých příliš, podle dalších mírné) se na App Store nedostává tolik škodlivého software jako na Android, který je podle některých zaplevelen softwarem, který se tetelí aby mohl autorům odeslat soukromé informace.

Proto buďte pozorní, a přemýšlejte před tím, než někde napíšete něco, co by se nemělo dostat do cizích rukou.

Poslat Poučení z případu Sony v 10 bodech na facebook
Publikováno 30.11.2010
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License