“Ryzyko można znacznie ograniczyć” – rozmowa z Mateuszem Bilińskim

Jeden z pierwszych posiadaczy certyfikatu CompTIA iOS Mobile App Security+ oraz jeden z prelegentów Infoshare, największego wydarzenia ze świata biznesu, innowacji i technologii w Polsce.

Interia: Z roku na rok coraz więcej osób korzysta z aplikacji mobilnych do płatności czy zarządzania wrażliwymi danymi. Twórcy aplikacji wciąż wymyślają coraz nowsze patenty, które mają na celu ułatwić nam życie. Co jednak z bezpieczeństwem takich rozwiązań? Czy powinniśmy ślepo ufać, że nasze dane są właściwie chronione? Co może nam grozić podczas korzystania z aplikacji mobilnych?

Mateusz Biliński: Współcześnie, jeżeli ktoś chce korzystać z najpopularniejszych aplikacji i technologii, bardzo często nie ma innego wyjścia i musi zawierzyć twórcom swoje dane. Nawet jeżeli aplikacja deklaruje pewne zachowanie, mogą pojawić się w niej czasami błędy, doprowadzające do wyprowadzenia danych poza bezpieczne obszary.

Dobrą wiadomością jest to, że średni poziom zabezpieczeń popularnych aplikacji mobilnych, takich jak aplikacje bankowe czy komunikatory systematycznie podwyższa się. Coś co kilka lat temu było popularnym błędem dziś praktycznie nie jest spotykane w aplikacjach z górnej półki.

Z drugiej strony w sklepie Google Play pojawia się więcej aplikacji, które, przykładowo, nadużywają uprawnień w systemie użytkownika. Takie aplikacje bardzo często widoczne są jedynie przez kilka dni, znikają, tylko po to, żeby za chwilę pojawić się z innym tytułem oraz zmienioną ikoną.

Dla użytkownika aplikacji mobilnych, najgorszy, realny scenariusz, to zainstalowanie aplikacji, która miała spełniać jakąś konkretną funkcję (np. portfela kryptowalut albo komunikatora), lecz w rzeczywistości jest złośliwym oprogramowaniem. Czasami takie aplikacje zamiast bezpośrednio wykradać dane, do których mają dostęp, skupiają się na podszywaniu się pod inne aplikacje, np. bankową, z której użytkownik regularnie korzysta.

Użytkownicy urządzeń Apple są zdecydowanie mniej narażeni na wycieki, poprzez instalację dowolnej aplikacji z AppStore, m.in ze względu na rozbudowany proces weryfikacji aplikacji. Natomiast trzeba pamiętać o tym, że znane są przykłady w historii AppStore, kiedy potencjalnie złośliwe aplikacje pojawiały się w sklepie.

W związku z tym, niezależnie do systemu, zalecana jest czujność użytkownika przy instalacji aplikacji.

Interia: Skąd możemy mieć pewność, że aplikacja, którą pobieramy jest bezpieczna? Jak rozpoznać bezpieczną aplikację?

Mateusz Biliński: Niestety, należy założyć, że takiej pewności właściwie nigdy uzyskamy. Natomiast można znacząco ograniczyć ryzyko stosując się do kilku prostych zasad.

Użytkownicy mają tutaj do dyspozycji dwa fundamentalne rozwiązania. Po pierwsze istotne jest, aby korzystać z mechanizmów bezpieczeństwa, których dostarczają producenci telefonu i ich infrastruktura.

W przypadków telefonów z Androidem takim elementem jest korzystanie z Google Play Protect, który domyślnie jest włączony na współczesnych telefonach. Play Protect przede wszystkim skanuje aplikacje pod kątem anomalii, które związane są bardzo często ze złośliwym oprogramowaniem.

Po drugie, źródłem informacji na temat jakości i bezpieczeństwa aplikacji bardzo często są opinie użytkowników w sklepie Google Play, których twórcy aplikacji nie mogą tak łatwo usunąć. Dodatkowo warto przy instalowaniu zupełnie nowych aplikacji poszukać informacji na temat ich bezpieczeństwa w sieci. Dla popularniejszych aplikacji jest szansa, że znajdziemy jakiś raport, który rzuci więcej światła na działanie aplikacji.

Tutaj należy pamiętać jeszcze o jednym elemencie: aplikacje mobilne bardzo często zmieniają się. Istnieją aplikacje, które udostępniają nowe wersje praktycznie codziennie. Mimo, że pojawiają się czasami pewne zagrożenia z tym związane, domyślnie warto regularnie aktualizować to co zainstalowaliśmy.

Interia: Czy istnieją technologie stosowane w aplikacjach mobilnych, których powinniśmy się wystrzegać?

Mateusz Biliński: Praktycznie nie ma technologii mobilnych, które same w sobie są niebezpieczne. Istotny jest tak naprawdę sposób ich wykorzystania. Poziom bezpieczeństwa w tym obszarze musi być rozważany w kontekście konkretnej aplikacji i konkretnego urządzenia.

Warto zaznaczyć, że im bliżej aplikacja znajduje się systemu operacyjnego i jest dostarczona przez jego producenta, tym większa szansa, że dane w ramach w tych aplikacji będą bezpieczniejsze. Wynika to z faktu, że producenci mają większą kontrolę nad tym jak ich aplikacje będą działać w obrębie systemu, w związku z tym mają więcej możliwości zabezpieczania danych, np. poprzez wykorzystanie elementów sprzętowych. Trzeba jednak uprzedzić otwarcie, że takie zabezpieczenia były już w historii niepoprawnie implementowane lub zawierały podatności, pomimo tego, że były tworzone przez producentów urządzeń.

Interia: Zagrożenie atakiem hakerskim dotyczy nie tylko wielkich przedsiębiorstw. Coraz częściej słyszy się o próbach kradzieży danych od prywatnych osób lub niewielkich firm. Dlaczego tak się dzieje? Czy faktycznie mamy się czego obawiać?

Mateusz Biliński: Jednym z powodów zwiększonej popularności ataków jest po prostu większa ilość osób, które aktywnie korzystają z sieci i usług w niej dostępnych, np. finansowych. W związku z tym atakujący, w szczególności wykorzystujący człowieka jako słabe ogniwo, zarzucają szerzej swoją sieć licząc na lepszy rezultat.

Nie bez znaczenia jest również łatwość dostępu do narzędzi wspomagających takie ataki oraz relatywnie niskie koszty ich przeprowadzania.

Należy tutaj zauważyć, że ataki socjotechniczne są przede wszystkim bardzo groźne i skuteczne, jeżeli ktoś odpowiednio przeprowadzi wcześniej rekonesans dotyczący potencjalnej ofiary. Jednym z takich źródeł mogą być bazy danych, które wyciekły z innych systemów, w których użytkownik był zarejestrowany. W związku z tym podstawą egzystencji w sieci powinno być używanie różnych haseł, w różnych serwisach oraz regularna ich zmiana.

Użytkownicy przede wszystkim powinni wystrzegać się zachowań, które zwiększają prawdopodobieństwo, że staną się ofiarami. Takich elementów jest wiele, ale jednym z kluczowych jest weryfikacja, że jesteśmy na właściwej (a nie fałszywej) stronie internetowej zanim wpiszemy jakiekolwiek dane wrażliwe lub poufne, np. hasło do serwisu bankowego.

W serwisie niebezpiecznik.pl zamieszczamy dodatkowe informacje, które pomagają użytkownikom skutecznie zabezpieczać i konfigurować swoje urządzenia czy systemy. Prowadzimy też szkolenie “Jak nie dać się zhackować", w ramach którego, w skondensowanej formie przekazujemy informacje i porady, które naszym zdaniem powinien znać (i stosować!) każdy użytkownik Internetu, zarówno prywatnie, jak i zawodowo.

Interia: Czy my, jako użytkownicy możemy w jakiś sposób zadbać o swoje bezpieczeństwo podczas korzystania z różnych aplikacji?

Mateusz Biliński:  Przede wszystkim typowi użytkownicy nigdy nie powinni instalować aplikacji spoza zaufanych źródeł. Na Androidzie można taką operacja dostępna jest na każdym urządzeniu, w przypadku iOS taki schemat jest mniej popularny, ale wciąż możliwy. Bardzo trudno jest ocenić wtedy użytkownikom czy aplikacja może być złośliwa czy nie.

Dodatkowo dla już zainstalowanych zarówno na Androidzie jak i w systemie iOS, można decydować o tym jakie uprawnienia przydzielane są aplikacjom. W związku z tym warto regularnie przeprowadzić audyt uprawnień przyznanych aplikacjom i zadecydować czy rzeczywiście chcemy, aby konkretne pozycje miały dostęp np. do mikrofonu lub lokalizacji.

Interia: Co w przypadku, gdy telefon zgubimy lub zostanie nam skradziony? Jak zabezpieczyć dane i jakie kroki podjąć w takiej sytuacji?

Mateusz Biliński:  Przede wszystkim na taką sytuację warto przygotować się wcześniej i przećwiczyć cały scenariusz w domu, sprawdzając czy wszystko działa poprawnie. Fundamentem jest zastosowanie blokady telefonu, gdzie hasło jest odpowiednio długie i ew. skutecznego mechanizmu biometrycznego. Tutaj niestety bezpieczeństwo takich rozwiązań zależy już od konkretnego urządzenia.

Oprócz blokady ekranu, takim elementem, który może nam pomóc w przypadku kradzieży jest aktywowanie usług typu Find My Phone. Zarówno Google jak i Apple zapewniają dostęp do takiej usługi w ramach swoich systemów operacyjnych. Dzięki temu w przypadku zagubienia lub kradzieży jest szansa na zdalny dostęp do urządzenia: określenie jego lokalizacji, usunięcie danych, aktywowanie dźwięku lub zrobienie zdjęcia.

Interia: Ostatnio coraz większą popularnością cieszą się rozwiązania oparte na sztucznej inteligencji. Jakie są zagrożenia z tym związane? 

Mateusz Biliński:  Współczesne metody uczenia maszynowego są namacalnym przykładem technologii podwójnego zastosowania. Z jednej strony można je wykorzystać, np. do generowania fałszywych wypowiedzi wideo polityków, z drugiej, prowadzone są badania nad skutecznym wykrywaniem takich materiałów.

Obecnie popularniejsze zastosowania sztucznej inteligencję pojawiają się w formie automatyzacji zadań, które człowiekowi zajmują zaledwie kilka sekund: rozpoznawanie obrazów, rozpoznawanie dźwięków, rozpoznawanie tekstu. Największe zagrożenie jakie się tutaj pojawia, to możliwość oszukiwania takich systemów, jeżeli nie są odpowiednio przygotowane na niespotykane wcześniej dane. Przykładowo, zdjęcie, na którym człowiek ewidentnie rozpoznaje dziecko, może być zaklasyfikowane jako broń palna, jeżeli w ramach obrazu pojawi się odpowiednio spreparowany szum.

Z błędnymi rezultatami klasyfikacji wiąże się, tak naprawdę największe zagrożenie: w jaki sposób rezultaty będą interpretować ludzie. Ważna jest tutaj świadomość, że pomimo znaczącej skuteczności współczesnej technologii, w niektórych zastosowaniach, możliwe są błędy, które wynikają np. ze źle dobranych zbiorów danych. W związku z tym, osoby podejmujące decyzje na podstawie takich rezultatów powinny wykazać się czujnością, szczególnie we wczesnych fazach działania systemów.

Obecnie ma miejsce ogromny skok technologiczny w praktycznych zastosowaniach uczenia maszynowego na dużą skalę. Coś nie było jeszcze możliwe kilka miesięcy temu, dzisiaj jest już w zasięgu nie tylko badaczy, ale też pasjonatów i praktyków. Szczególnie dotyczy to przetwarzania języka naturalnego, gdzie generowanie tekstów, których składnia i treść bardzo skutecznie sprawiają wrażenie napisanych przez człowieka. Istnienie takich technologii powinno wzmagać naszą czujność przy przetwarzaniu informacji, które do nas docierają i formowaniu na ich podstawie opinii.

Interia: Czy masz jakieś rady dla zwykłych użytkowników dotyczące bezpieczeństwa podczas korzystania z urządzeń mobilnych?

Mateusz Biliński:  Myślę, że istnieją trzy elementy, o które użytkownik powinien dbać i zapewnią mu podstawy bezpieczeństwa w środowisku mobilnym.

Po pierwsze, i jest to punkt najistotniejszy, ważne są regularne aktualizacje systemu operacyjnego. W przypadku Androida, takie aktualizacje powinniśmy dostawać przynajmniej raz na miesiąc. Apple aktualizuje swoje urządzenia wtedy kiedy uzna to za odpowiednie, zwykle częściej niż raz w miesiącu, jak tylko zostaną załatane błędy.

Niestety problemem jest tutaj wsparcie długoterminowe od producenta. O ile w przypadku Apple, takie aktualizacje można otrzymywać nawet po 5 latach od premiery urządzenia, w przypadku telefonów z Androidem bardzo często takim maksimum są 2 lat. Niestety po takim czasie, jeżeli nie dostajemy już aktualizacji jedynym wyjściem, szczególnie dla nietechnicznego użytkownika, jest zmiana urządzenia na nowe.

Drugim, elementem, o który warto dbać, jest regularne sprawdzanie czy rzeczywiście potrzebujemy aplikacji, które są zainstalowane na naszym urządzeniu. Jeżeli okaże się, że ich nie wykorzystujemy, powinniśmy je usunąć. Aplikacje, które są niepotrzebnie zainstalowane na urządzeniu, mogą stanowić dodatkowe źródło zagrożenia, np. jeżeli okaże się, że akurat taka aplikacja zawiera jakąś podatność. Warto, więc dążyć do stanu, który ja nazywam Minimalnym Zestawem Aplikacji.

Ostatnim rozwiązaniem, które warto regularnie stosować jest wyłączanie dodatkowych interfejsów, z których nie korzystamy. Chodzi tutaj o WiFi, Bluetooth, NFC. W przeszłości zdarzało się, że implementacje tych protokołów zawierały poważne błędy i wystarczyło mieć taki interfejs włączony, aby ktoś przejął zdalną kontrolę nad urządzeniem. Nawet jeżeli tak poważna podatność nie istnieje w danym momencie, to interfejsy radiowe mogą być wykorzystane w inny sposób, na przykład do śledzenia użytkownika.