Zamjenik predsjednika HDZ-a i potpredsjednik Sabora Milijan Brkić u policiji je ispitan u svojstvu osumnjičenika jer je, tvrdi MUP, osumnjičen da je presretao e-poštu svoje žene, koristeći usluge bivšeg informatičara MUP-a, te je podignuta i kaznena prijava.
Ako se doista i u sudskom postupku pravomoćnom presudom dokaže da je potpredsjednik Sabora "kopao" po e-mailovima bivše žene, postavlja se nekoliko pitanja, prije svega koliko su sigurni, odnosno nesigurni naši podaci na e-mailu i na društvenim mrežama. O tome smo porazgovarali s Ivanom Šulc, stručnjakinjom za društvene mreže, internet i digitalni marketing.
Je li moguće da nam netko provali u e-mail, a ne zna našu šifru?
– Većina providera i servisa poput Googleova Gmaila vrlo je sigurna, zaštićena i teško se može provaliti bez lozinke. Međutim, u sve je moguće provaliti, pa tako i u e-mail, a često ne mora biti riječ o hakeru ili osobi koja raspolaže zavidnim znanjem, dovoljno je malo strpljenja i snalažljivosti. Veliki sigurnosni propust e-mail providera su pitanja pomoću kojih korisnici mogu vratiti svoj e-mail ako zaborave lozinku i ne mogu se više ulogirati. Mnogi će, kako bi brže završili s registracijom, birati osobna pitanja poput mjesta rođenja, imena kućnog ljubimca ili majčina djevojačkog prezimena.
Do tih je podataka vrlo lako doći preko Facebook profila, koji su često otvoreni, ili profila na drugim društvenim mrežama na kojima ljudi objavljuju vrlo osobne podatke ni ne razmišljajući o tome na koje se sve načine mogu upotrijebiti protiv njih. Ukratko, moguće je provaliti u e-mail jer je svaki sustav, koliko god bio osiguran, moguće hakirati. Potrebno je samo dosta vremena i strpljenja te nešto znanja i sreće.
Prijeti li opasnost ako se, primjerice, spojimo na nepoznati wi-fi?
– Svaki wi-fi predstavlja opasnost jer na internetu nikada nitko nije siguran, ali posebno je opasno spajati se na nepoznati i javni wi-fi. Javni wi-fi, poput interneta u kafićima, trgovačkim centrima i na aerodromima, postao je toliko čest i dostupan da mnogi ne razmišljaju prije nego što se spoje na njega. Iako se čini potpuno bezopasnim spojiti se na internet, provjeriti e-mail i društvene mreže, a možda i kupiti nešto na Amazonu, na nepoznatom wifiju to može biti prilično opasno. Najveća je opasnost na takvom internetu napad MitM ili Man in the Middle, što je jedan oblik prisluškivanja. Kad je računalo spojeno na internet, podaci se šalju od točke A (računalo) do točke B (internetska stranica), a nezaštićena mreža omogućuje hakeru da stane u sredinu te presretne i prati podatke, pa tako podaci više nisu privatni ni zaštićeni.
Osim toga, na javnim i nepoznatim mrežama puno je lakše preuzeti viruse i zaraziti računalo neželjenim programima koji mogu naštetiti. Kako je teško odoljeti napasti, a često i potrebi za spajanjem na nepoznati wi-fi, potrebno je voditi računa o osnovnim sigurnosnim pravilima kako ne bi bilo neželjenih posljedica. Uvijek je dobra ideja koristiti VPN, virtualnu privatnu mrežu koja služi poput kriptiranog tunela između korisnika i pružatelja usluga i koji će zaštititi podatke. Također, uvijek je nužno pristupati samo stranicama koje sadrže https, ne prijavljivati se na profile društvenih mreža ili e-maila te bilo kojih lokacija koje se koriste za kupovanje ili plaćanje i gdje je lak pristup podacima kreditnih kartica ili bankovnih računa. Isto je tako važno voditi računa da je isključen bluetooth kad nije u upotrebi jer on predstavlja veliki rizik za sigurnost i omogućava hakerima lak pristup uređaju i podacima na njemu.
Jesu li česte provale u e-mailove ili račune na društvenim mrežama?
– Problem s provalama u e-mailove i profile na društvenim mrežama je u tome što većina misli da se to njima ne može dogoditi, a mnogi kad otvaraju račune na internetu žele što prije završiti s procesom registracije te idu linijom manjeg otpora pri biranju lozinki kako bi i sami sebe osigurali od zaboravljanja. Činjenica je da na internetu nikada ne možemo biti previše paranoični, a iskustvo mi govori, barem ako je suditi po broju ljudi koji mi se javljaju zbog problema s hakiranim profilima, da je hakiranje češći problem nego što mislimo.
Nekada se, na samim počecima društvenih mreža, provaljivalo samo u profile poznatih osoba, ali sada to više nije slučaj. Provaljuje se u profile influencera, ali i ljudi sa zanemarivo malim brojem pratitelja, te se traži otkupnina za ponovni pristup profilu i e-mailu koji je hakiran zajedno s društvenom mrežom. Provaljivanja se događaju svakodnevno i nitko na internetu nije siguran od krađe podataka, ni oni koji se bave sigurnošću, a još manje oni koji o sigurnosti ne vode računa.
Svako koliko bi trebalo mijenjati lozinke?
– Mnogi su mitovi vezani uz lozinke i njihovo mijenjanje, a najčešći je onaj koji zahtijeva često mijenjanje lozinke. Štoviše, brojne tvrtke od svojih zaposlenika zahtijevaju mijenjanje lozinki nakon određenog perioda, najčešće svakih 30 ili 60 dana. Moje je mišljenje, kao i brojnih drugih stručnjaka za internetsku sigurnost, da je to zastarjela praksa od koje ima više štete nego koristi. Problem je u tome što, iako IT služba zahtijeva mijenjanje lozinki radi sigurnosti, ova praksa dovodi do brojnih sigurnosnih propusta. Najveći je taj što zaposlenici imaju previše lozinki koje trebaju zapamtiti, pa najčešće idu linijom manjeg otpora i biraju iste lozinke samo s dodanim brojem, ili zapisuju lozinke na papirić koji lijepe na monitor kako bi se brže ulogirali.
Osim toga, brojne stranice, pa čak i društvene mreže nude mogućnost dvofaktorske autentifikacije, kojom se smanjuje mogućnost neovlaštenog ulaska na e-mail ili ostale profile i račune. Izabere li se kvalitetna i snažna lozinka, nije je potrebno mijenjati osim u slučajevima kad stranica na kojoj se koristi lozinka obavijesti korisnike da su hakirani, kada postoji dokaz da je netko ušao na račun ili vidio lozinku, kad je računalo zaraženo virusima, ako je osoba koristila lozinku na tuđem računalu ili na zajedničkom računalu u knjižnici ili hotelima.
Što je dobra lozinka, a kakva je ona koja bi nas mogla koštati provaljivanja u e-mail, Facebook, Instagram?
– Svake godine tvrtke koje se bave sigurnošću na internetu objavljuju liste najgorih lozinki koje se, iznenađujuće, i najčešće koriste. Uvijek je loša ideja za lozinke koristiti logičan slijed brojeva poput 123456, datuma rođenja i godišnjica, vlastitog imena te imena članova obitelji, ljubimaca, bliskih prijatelja ili bilo kakvih podataka do kojih je moguće doći preko društvenih mreža.
Loša je ideja služiti se riječima omiljenih filmova ili glazbe, riječi iz rječnika ili ostalih uobičajenih riječi i pojmova za koje korisnici smatraju da ih je teško pogoditi, a zapravo ih mnogi drugi isto koriste kao lozinke. Koliko god zvučalo komplicirano, najbolja metoda kreiranja lozinke je izabrati pojam od osam ili više znakova, međusobno pomiješanih velikih i malih slova te simbola i brojeva. Možda ih je teško zapamtiti, ali komplicirane i neuobičajene lozinke najbolja su zaštita protiv neovlaštenog preuzimanja računa.
Na što treba paziti ako želimo zaštiti naše podatke na e-mailu?
– Za početak je najvažnije izabrati snažnu lozinku koju neće moći svatko pogoditi. Isto tako, važno je da samo vlasnik e-maila ima pristup podacima za prijavu, a nikada nije dobra ideja omogućiti računalu da zapamti podatke za logiranje na e-mail, profile na društvenim mrežama ili druge web-stranice. Koliko je mnogima naporna pomisao konstantnog upisivanja podataka, još je napornije ako netko neovlašteno dođe do računa zbog nepažnje. Da bi podaci bili zaštićeni, potrebno je instalirati i sigurnosni softver na računalo i držati ga čistim od virusa i ostalih zloćudnih programa pomoću kojih neovlaštene osobe mogu pristupiti našim podacima.
Na tuđim ili dijeljenim računalima uvijek je potrebno paziti na kakve se stranice spajamo, kakve podatke ostavljamo za sobom, te brisati povijest pretraživanja i kolačiće, kao i voditi računa o tome da računalo nije zapamtilo ništa što netko drugi može iskoristiti. Koristi li se internet na javnome mjestu poput aerodroma ili trgovačkih centara, treba imati na umu da je riječ o mrežama s puno sigurnosnih propusta na koje je najbolje ne spajati se, a ako se baš morate spojiti, onda barem trebate paziti što se na njima radi i kakvim se podacima pristupa.
Preporučujete li da se fotografije i dokumenti čuvaju u tzv. oblaku, tipa iCloud i slično?
– Oblak je samo šminkerska riječ za mrežu povezanih servera, a jednostavno rečeno, server je računalo koje pruža podatke ili usluge drugim računalima. Kad se podaci spremaju u oblak, može im se pristupiti s bilo kojeg računala koje je spojeno na mrežu oblaka. Upravo zbog toga mnogi su zabrinuti za sigurnost podataka u oblaku jer su ti podaci izvan njihove kontrole i ne nalaze se sigurno spremljeni na hard disku vlastitog računala. Sigurnost oblaka je odlična, ali nije neprobojna, što pokazuju brojni primjeri provaljivanja u oblake i krađe podataka.
Mnogi se još sjećaju hakiranja iClouda iz 2014. godine, kad je mnogo poznatih osoba ostalo bez svojih fotografija koje nisu bile za oči javnosti, a koje su pronađene u medijima i na raznim internetskim stranicama. Ipak, poduzmu li se sve potrebne mjere opreza kao i kod e-maila, oblak je odlično mjesto za spremanje fotografija i dokumenata jer je to jeftino, jednostavno, a i sigurnije od čuvanja podataka na hard disku računala. Puno je lakše provaliti u nečije računalo i ukrasti podatke nego u oblak, koji je zaštićen i šifriran, ali ako je riječ o osjetljivim podacima i dokumentima, onda ih je najbolje ne držati u oblaku, nego na vanjskom hard disku, koji nije spojen na računalo, nego sigurno spremljen pod ključem.
Keylogger - zloćudni softver
Trebaju li neki posebni alati, uređaji ako nam netko želi provaliti u e-mail, a ne zna za lozinku?
– Brojne su metode pomoću kojih se može provaliti u nečiji e-mail, a mnoge zahtijevaju poseban softver koji će u tome pomoći. Najpoznatija metoda krađe tuđih podataka je preko virusa, trojanaca, koji zaraze računalo i kontroliraju sve aktivnosti na njemu, pa tako i e-mail.
Trojanac je program koji haker vrlo jednostavno može pospremiti u drugi program koji žrtva preuzme s interneta ili ga primi u obliku e-maila i privitaka poput raznih videa ili prezentacija.
Druga vrlo jednostavna metoda, a koja ne zahtijeva posebna tehnička znanja, jest phishing. Phishing (pecanje) popularna je tehnika kojom se dolazi do lozinki, a riječ je o tome da haker izradi kopiju početne originalne stranice e-maila. Mnogi korisnici, posebno oni koji se ne bave tehnologijom, neće primijetiti da stranica nije original i prijavit će se na e-mail sa svojim podacima, koji se automatski šalju hakeru i omogućuju mu, ili njoj, da se prijavi na e-mail bez ikakvih problema.
Sljedeća metoda pomoću koje hakeri provaljuju u e-mailove je keylogging. Keylogger je zloćudni softver koji prati korisnikove unose preko tipkovnice, a može uzimati i snimke ekrana koje se šalju osobi koja želi provaliti u nečiji e-mail. Keylogger se koristi i za krađu lozinki ostalih web-stranica ili brojeva kreditnih kartica, a često je nevidljiv vlasnicima računala i ne prikazuje se u task manageru, koji prikazuje trenutne radnje i procese na računalu, što ga čini izrazito teškim za otkrivanje.
Ostale metode uključuju instalaciju raznih programa na računalo (RAT - Remote Administration Tool), koje su kreirali hakeri, pomoću kojih je moguće kontrolirati računalo i pristupiti mu s bilo koje lokacije.
Upravo zbog toga je izrazito važno da se instaliraju samo provjereni programi i sa sigurnih lokacija. Ponekad se dogodi i masovni upad na server određene stranice, pri čemu hakeri preuzmu stotine tisuća lozinki. Kako ljudi često koriste istu lozinku na više lokacija, moguće je i ovom metodom pristupiti nečijem e-mailu čak i ako to nije bila prvotna namjera – kaže Ivana Šulc.
Zatvor do tri godine
Zakon kaže: "Tko neovlašteno presretne ili snimi nejavni prijenos računalnih podataka ili drugome učini dostupnim tako pribavljene podatke, kaznit će se kaznom zatvora do tri godine.
Podaci koji su nastali počinjenjem kaznenog djela će se uništiti." Od 2013. je zabilježeno 13 takvih slučajeva.