Ups, znalazłem akta Epsteina: tydzień cyfrowego chaosu i wpadek FBI

Tydzień, w którym internet zbiorowo stracił rozum

Jeśli myślałeś, że twój tydzień jest zły, bo zapomniałeś karty Tesco Clubcard albo spóźniłeś się na autobus w ulewnym deszczu, pomyśl chwilę o dziale IT w FBI. Okazuje się, że najbardziej znana agencja śledcza na świecie ma cyfrowy odpowiednik frontowych drzwi podpartych nadgryzionym kiełbasiakiem z Greggsa. W serii wydarzeń bardziej przypominających scenariusz niskobud żetowego sitcomu niż dreszczowca z wysoką stawką, badacz bezpieczeństwa przypadkowo natknął się na jedne z najbardziej wrażliwych akt we współczesnej historii: dokumenty Jeffrey'ego Epsteina.

Żyjemy w erze, w której nieustannie mówi się nam, żebyśmy używali złożonych haseł, włączali uwierzytelnianie dwuskładnikowe i uważali na podejrzane e-maile od dawno zaginionych książąt. A jednak organizacje, których zadaniem jest utrzymanie porządku, zdają się mieć problem z podstawami. Ten tydzień był mistrzowskim kursem tego, jak nie powinno wyglądać cyberbezpieczeństwo, ze wszystkim: od rządowych wpadek po aplikacje zdradzające twoje najbardziej intymne sekrety. Zanurzmy się w ten chaos, co?

Polityka otwartych drzwi FBI

Głównym numerem tego cyfrowego cyrku jest badacz bezpieczeństwa działający pod pseudonimem Lassi. Przeglądając portal Law Enforcement Enterprise Portal (LEEP) - który brzmi znacznie poważniej, niż jest w rzeczywistości - Lassi odkrył, że może uzyskać dostęp do ogromnej ilości informacji bez potrzeby posiadania jakiegokolwiek klucza głównego. Nie był to żaden napad w stylu Mission Impossible z siatkami laserowymi i zwisaniem z sufitu. Chodziło raczej o klikanie właściwych linków i uświadomienie sobie, że wirtualne ogrodzenie ma w sobie ogromną, człowieczą dziurę.

Wśród cyfrowego bałaganu znajdowały się akta dotyczące Jeffrey'ego Epsteina. Dla tych, którzy żyli pod kamieniem: Epstein to nieżyjący już finansista, którego lista współpracowników przypomina Kto jest Kim osób, które wyjątkowo wolałyby na żadnej liście się nie znaleźć. Fakt, że akta te były w zasadzie pozostawione w niezamkniętej szufladzie w wirtualnym korytarzu, jest zdumiewający. FBI zamknęło już tę lukę, ale szkody dla ich reputacji w dziedzinie kompetencji technicznych są prawdopodobnie trwałe. Rodzi to poważne pytanie: jeśli FBI nie potrafi zabezpieczyć swoich najbardziej głośnych dowodów, jaka jest nadzieja dla reszty z nas?

Z perspektywy Wielkiej Brytanii jest to szczególnie irytujące. Często patrzymy na agencje USA jak na wzorzec w dziedzinie wywiadu i bezpieczeństwa. Jeśli są tak niedbałe, nasuwa to pytania o stan naszych własnych krajowych baz danych. W obliczu kryzysu kosztów utrzymania, który wyciska każdy grosz z brytyjskiego społeczeństwa, po prostu nie możemy sobie pozwolić na konsekwencje masowych naruszeń danych prowadzących do kradzieży tożsamości i oszustw finansowych. Potrzebujemy, żeby osoby odpowiedzialne radziły sobie z tym lepiej.

Aplikacja, która wiedziała za dużo

Jeśli wpadka FBI była kwestią narodowego wstydu, następna historia jest głęboko osobistą zdradą. Istnieje aplikacja o nazwie Victory, stworzona, by pomóc ludziom rzucić oglądanie pornografii. Jest częścią zestawu narzędzi obejmującego partnerów odpowiedzialności i śledzenie postępów. To rodzaj aplikacji, z której korzystasz, gdy jesteś najbardziej wrażliwy, starając się wprowadzić pozytywną zmianę w swoim życiu. Niestety, bezpieczeństwo aplikacji było mniej więcej tak solidne jak mokra papierowa torba.

Badacze odkryli, że aplikacja ujawniała wysoce wrażliwe zwyczaje setek tysięcy użytkowników. Mówimy o danych, które mogły być wykorzystywane do szantażu lub skrajnego społecznego zawstydzenia. Ironia jest tak gęsta, że można ją smarować na toście: aplikacja, która miała zapewniać bezpieczną przestrzeń do samodoskonalenia, naraziła swoich użytkowników dokładnie na to, czego starali się unikać. To wyraźne przypomnienie, że kiedy dajesz aplikacji swoje najbardziej prywatne dane, dokonujesz ogromnego aktu wiary.

Prawdziwy koszt darmowego (i nie do końca darmowego) oprogramowania

W Wielkiej Brytanii mamy surowe przepisy GDPR, które mają chronić nas przed tego rodzaju absurdami. Jednak aplikacje tworzone za granicą często grają według innych reguł, lub w ogóle żadnych. Wyciek Victory to przypomnienie, że prywatność to nie tylko funkcja, lecz fundamentalne prawo. Gdy firma nie potrafi tego chronić, nie ponosi tylko porażki w biznesie, zawodzi też w kwestii podstawowej ludzkiej przyzwoitości. Dla każdego, kto korzysta z aplikacji do 'samopomocy', rada jest prosta: sprawdź uprawnienia, przeczytaj politykę prywatności, a jeśli coś wygląda podejrzanie, prawdopodobnie takie jest.

Signal pod oblężeniem: rosyjski trop

Przechodząc od osobistych nawyków do szpiegostwa międzynarodowego, mamy wiadomość, że rosyjscy hakerzy atakują konta Signal. Signal od dawna jest ulubieńcem świata prywatności, polecany przez wszystkich od Edwarda Snowdena po twojego kuzynka-technofilę, który mieszka w klatce Faradaya. Używa szyfrowania end-to-end, co oznacza, że nawet sama firma nie może czytać twoich wiadomości. Jednak hakerzy znaleźli sposób na ominięcie szyfrowania, celując zamiast tego w samych użytkowników.

Grupa znana jako Sandworm (lub APT44 wśród ekspertów) stosuje sprytną inżynierię społeczną, by skłonić ludzi do powiązania kont Signal z wersją na komputery stacjonarne kontrolowaną przez hakerów. Gdy już mają to połączenie, mogą widzieć każdą wiadomość, którą wysyłasz i odbierasz, w czasie rzeczywistym. To błyskotliwe, choć przerażające, obejście zabezpieczeń. Nie wyważają zamka, lecz skłaniają cię do oddania zapasowego klucza.

Dla nas w Wielkiej Brytanii to w porę nadchodzące przypomnienie, że największą słabością każdego systemu bezpieczeństwa jest zazwyczaj osoba, która z niego korzysta. Możemy mieć całe szyfrowanie świata, ale jeśli dajemy się łatwo zwieść sprytnie spreparowaną wiadomością lub fałszywym ekranem logowania, to wszystko na nic. Rosjanie grają na długą metę i robią to bardzo dobrze. Musimy być równie wyczuleni.

Werdykt: kompletny bałagan

Czego nauczyliśmy się z cyfrowej rzezi tego tygodnia? Po pierwsze, że FBI powinno zatrudnić lepszych programistów webowych. Po drugie, że twoje 'prywatne' aplikacje mogą być wszystkim, tylko nie prywatnymi. I po trzecie, że nawet najbezpieczniejsze platformy są podatne na sprytny trik. To przygnębiający stan rzeczy, zwłaszcza gdy i tak mamy do czynienia z ospałą gospodarką i światem, który wydaje się coraz bardziej niestabilny.

Zalety nowoczesnej technologii: Mamy informacje całego świata w zasięgu ręki i możemy komunikować się natychmiast z kimkolwiek, gdziekolwiek.

Wady nowoczesnej technologii: Te informacje mogą obejmować akta Epsteina FBI, a twoja komunikacja może być czytana przez znudzonego agenta w Moskwie, podczas gdy twoja aplikacja do 'rzucania' opowiada światu o twoich wtorkowych wieczornych nawykach.

Czy jest w tym jakaś jasna strona? Być może. Incydenty te służą jako pobudka. Przypominają nam, żebyśmy byli cyniczni, ostrożni i nigdy nie zakładali, że 'bezpieczny' naprawdę oznacza 'chroniony'. Jeśli korzystasz z Signala, sprawdź połączone urządzenia. Jeśli korzystasz z aplikacji do samopomocy, rozważ zamiast tego papierowy dziennik. A jeśli jesteś FBI, może spróbuj wyłączyć portal i włączyć go ponownie, lub po prostu ustaw na nim porządne hasło.

Stosunek jakości do ceny w świecie technologii jest obecnie na historycznie niskim poziomie, jeśli weźmiesz pod uwagę koszt swojej prywatności. Płacimy za urządzenia i usługi, które często traktują nasze dane jak towar do handlowania lub uciążliwość do zignorowania. Czas, żebyśmy domagali się czegoś lepszego. Do tego czasu uważajcie na siebie, dbajcie o długie hasła i na litość boską, przestańcie klikać w linki, których nie rozpoznajecie.

Przeczytaj oryginalny artykuł na źródle.