Kako poboljšati zaštitne mehanizme protiv hakera, ili zlonamjernih programa?

Tihomir Čuljak
Tehnologija
prije 1 godinu
6 min čitanje

Internetski kriminal postao je posao u kojem se više zarađuje nego u naftnoj industriji. U naftnoj industriji profitne marže su malo iznad troškova proizvodnje i transporta, dok je kod mrežnog internetskoga kriminala gotovo sav prihod zarada.

Osnovni razlog naglog porasta zarade u ovom poslu je slaba zaštita kod većine aplikacija.

Kod računovodstvenih programa ili programa koji kontroliraju tehnološke procese programeri se trude napraviti programe koji najbolje upravljaju tehnološkim procesima, kontrolni mehanizmi trebaju spriječiti korisnike od vršenja nenamjernih grešaka. Pri tome se često pojavljuju razni bagovi koje programeri nastoje popraviti novim inačicama svoga programa. Ali za zaštitu od zlonamjernih korisnika i virusa vode manju brigu.

Najbolju zaštitu od zlonamjernih korisnika imaju banke.

Napadi na bankarske sustave su najčešći i banke su uložile puno novca u zaštitu. Radi toga bi i programeri u svim drugim djelatnostima mogli kopirati bankarske sustave zaštite.

U bankarstvu se sve češće koristi zaštita putem skeniranja lica, kod plaćanja mobitelom. Tu više nije dovoljno ukrasti nečiju lozinku da bi se mogao ukrasti novac. Kontrola korisnika skeniranjem lica je vrlo jednostavna i vrlo sigurna. Mobiteli imaju sa prednje strane, ispod ekrana, malu nevidljivu IC kameru koja može dubinski skenirate lice, te izmjeriti temperaturu lica. Zahvaljujući tome kamera može prepoznati fotografiju, te ju se na taj način ne može prevariti. Zato je plaćanje mobitelom vrlo sigurno. Osim ako netko otme i mobitel i vlasnika te ga natjera da nešto plati svojim mobitlom.

Kod dizanja novca na bankomatu sigurnost je nešto manja. Bankomati imaju kameru za snimanje ispred sebe, ali ne mogu skenirati lice i prepoznati osobu. Zato će bankomati isplatiti novac nekome tko ukrade tuđu karticu i zna lozinku, ali će tog lopova i snimiti, što policiji i bankarima olakšava otkrivanje počinitelja krađe.

Kod kupovine preko interneta dovoljno je imati ukradene podatke o kartici sa lozinkom, što se često može dobiti virusima koji napadaju banke. U tom slučaju onaj tko se domogao podataka može vrlo lako kupovati preko interneta, dok banka ili korisnik to ne primijete i ne ponište karticu, ili promjene lozinku. Kako bi se otežala ova vrsta krađe mogle bi se promijeniti procedure na način da kod kupnje preko interneta aplikacija uključi kameru na ekranu ili tipkovnici korisnika i snimi lice onoga tko je upisao lozinku. Ako kamera na ekranu ili tipkovnici ne postoji aplikacija bi mogla poslati na ranije prijavljeni broj mobitela korisnika zahtjeva za skeniranje lica. Ako ne dobije odgovor aplikacija bi trebala zatražiti broj mobitela radi identifikacije. Ako korisnik ne da broj mobitela aplikacija bi trebala javiti takvom korisniku kako nema novca na računu, a o svemu bi odmah informaciju trebao dobiti pravi vlasnik kartice na svoj ranije prijavljeni mobitel i banka.

Kod kupovine u trgovinama također je moguće krasti lažnim karticama koje izrađuju oni koji su se domogli podataka o brojevima kartica sa lozinkama. Blagajnici ne provjeravaju identitet kupaca, te ne mogu otkriti lažnu karticu dok je vlasnici ili bankari ne ponište. Kako bi se spriječile ovakve prijevare banke bi mogle tražiti od trgovaca da nabave POS kase koje u sebi imaju kamere. Ovakve kase ne bi mogle skenirati lice radi prepoznavanja, ali bi mogle uslikati korisnika kad približi karticu POS uređaju, te spremiti tu sliku za slučaj da se naknadno utvrdi krađa kartica. Bankari bi mogli motivirati trgovce za nabavku ovakvih POS uređaja sa kamerom snižavanjem provizije za kupovine preko ovakvih uređaja.

Kod programa koji kontroliraju tehnološke uređaje, ili poslovne podatke poduzeća zaštita bi mogla biti puno jača. Većina korisnika u poduzećima koji rade na različitim aplikacijama imaju lozinke koje rijetko mijenjaju i koje često zapisuju na papirićima koje zalijepe na svojim ekranima. Zato nije rijetko da im netko ukrade lozinke. Lozinke se mogu doznati i krađom podataka upadom u baze poduzeća. Programeri koji pišu i održavaju ovakve aplikacije mogli bi više kopirati bankarske sustave zaštite. Mogli bi u aplikacije uvesti provjeru svih korisnika ne samo po lozinci već i slikanjem lica korisnika kamerom na ekranu, ili tipkovnici. A kod vršenja posebno važnih ili opasnih radnji korisniku bi aplikacija mogla na unaprijed upisani broj mobitela poslati poruku na mobitel da dozvoli ulaz u podatke sa mobitela. Kada korisnik pogleda na taj broj mobitela i odobri ulaz u mobitel, on bi skenirao lice ispred sebe i to poslao u aplikaciju, zajedno sa GPS lokacijom mobitela. Ako ne postoji unaprijed upisani broj mobitela, ili ako korisnik odgovori kako je izgubio mobitel aplikacija bi trebala zatražiti novi broj mobitela radi identifikacije. Tada bi na taj novi broj mobitela trebalo poslati poruku o dozvoli za ulaz u mobitel, skeniranje i GPS lokaciju. Ako se skeniranjem lica utvrdi kako se radi o pravom korisniku on bi mogao izvršiti operaciju koju je počeo, a ako skeniranje lica pokaže lažnog korisnika on bi mogao nastavit rad sa vrlo suženim ovlastima. Na ekranu bi sve trebalo izgledati kao da se izvršavaju sve njegove naredbe, ali stvarno bi takav korisnik mogao vidjeti vrlo ograničene i nebitne podatke. Ako naredi kopiranje ili brisanje nekih podataka, te prekid ili pokretanje nekog procesa, na ekranu bi taj lažni korisnik trebao vidjeti kako se te naredbe izvršavaju, ali se stvarno ništa od toga ne bi trebalo obavljati. Istovremeno bi informaciju o ovom upadu, sa slikom i GPS lokacijom trebale dobiti osobe koje su u poduzeću ili organizaciji zadužene za informatičku i fizičku sigurnost.

Prilagodbom postojećeg softwera na ovakav sigurniji mod rada kriminal u informatičkoj industriji bi se mogao znatno smanjiti, a prihodi kriminalaca bi se višestruko smanjili, ali najsposobniji hakeri bi i dalje nalazili načina za krađu, osobito od informatički nepismenih korisnika i onih koji misle kako su njihovi podaci nebitni pa ni zaštita tih podataka nije važna.