Drošības nav

Daži interesanti secinājumi no 2005. gada (cik nu var saprast) pētījuma par cilvēku spēju atpazīt tīmekļa lapas, kas veidotas ar mērķi izkrāpt svarīgu informāciju (latviski sauc par “pikšķerēšanu”, kas man liekas nu viens ļoti neveiksmīgs latviskojums, bet labāku man šobrīd nav laika domāt).
Tulkots no Go Phish – The Daily WTF (angļu valodas pratējiem iesaku izlasīt arī pašu rakstu, pat nevajag tehniskas zināšanas):

Pirms dažiem gadiem Hārvardas universitātes un Bērklija koledžas pētnieki publicēja diezgan interesantu pētījumu par pikšķerēšanu. Veicot lietojamības izpēti, lai noskaidrotu, cik labi cilvēki spēj noteikt pikšķerēšanas mēģinājumus, viņi atklāja, ka:

  1. 23% dalībnieku pat nepaskatījas uz adreses joslu, statusa joslu vai drošības indikatoriem
  2. 68% bez vilcināšanās spieda “Yes”, “OK”, “Accept” vai jebkuru līdzvērtīgu pogu, kad parādījās logs, kas brīdināja par krāpnieciskiem lapas sertifikātiem
  3. 90% “iekrita” uz labi izstrādātām pikšķerēšanas lapām.

Ne izglītība, ne vecums, ne dzimums, ne iepriekšēja pieredze, ne pie datora pavadīto stundu skaits neuzrādīja statistiski nozīmīgu korelāciju ar vārīgumu pret pikšķerēšanu.
Vēl ļaunāk — pētījuma dalībnieki mēģināja netikt apmuļķoti. “Savā pētījumā mēs laikus rosinājām dalībniekus meklēt viltojumus,” skaidro izmeklētājs, “tāpēc šie dalībnieki, visticamāk, spēja atklāt krāpnieciskas mājas lapas labāk, nekā ‘īstās pasaules’ (nebrīdināti) lietotāji.”

Kas tikai kārtējo reizi apliecina to, ko esmu uzskatījis jau kopš pirmo reizi saskāros ar SSL — Internet pieslēgumu kriptēšanas un autentifikācijas sertifikātu apvienošana neatdalāmā veselumā ir vienkārši kārtējais veids, kā kāst naudu no cilvēkiem. Vēl jo vairāk tāpēc, ka neviena no firmām, kuru izdotos sertifikātus pārlūkprogrammas atpazīst (t.i., nerāda sarkanus trauksmes paziņojumus par nezināmas izcelsmes sertifikātu), tos neizsniedz par velti. Un nevienu neinteresē, ka mana sistēma varbūt ir paredzēta tikai privātai lietošanai, vai arī ir tik specifiskas funkcionalitātes, ka nevienam pasaulē nebūtu vajadzības to uzlauzt tik ļoti, lai ķēpātos ar pikšķerēšanu, līdz ar to man nekādi sertifikāti nav vajadzīgi. Bet, tai pat laikā es tik un tā negribu, lai jebkurš n-tajos pieslēguma posmos, caur kuriem iet jebkurš Internet savienojums, varētu mierīgi savākt tajā izmantotos lietotājvārdus un paroles. Gribi drošu pieslēgumu? Taisi pats savu sertifikātu, par kuru visi pārlūki mētās draudošus paziņojumus (tādējādi pieradinot cilvēkus vēl vairāk ignorēt šos paziņojumus), vai arī piķo kaut kādām ārzemju firmām par to, ka viņi tev šo sertifikātu izsniedz.

Leave a Reply

Your email address will not be published. Required fields are marked *

*