Rekrutacja 2026/2027 wystartowała!
Aplikuj
Blog Szkiełko i oko
12.07.2019

Udręki Internauty

dr inż. Robert Tomczak
Wykładowca

Zmieniliśmy się. Poznaj nas na nowo

Czytaj więcej

Magia słów

Przeciętny, no może trochę bardziej zaawansowany użytkownik komputera, zapytany o to, jak zapewnić sobie bezpieczeństwo w trakcie jego używania, posłuży się słowami i kluczami tożsamymi święconym talizmanom: antywirus, kłódka w przeglądarce, trudne do zgadnięcia hasła. Reguły zaklęć, stosowanych lub tylko wymawianych na wszelki wypadek „ode złego”, mające zabezpieczać doczesność eksploatacji systemu i spokój użytkownika. Oswajane dla spokoju, zamiast stosowane dla bezpieczeństwa.

Nauka zasad bezpiecznego korzystania z komputera podłączonego do Internetu (bo to przecież jest główne źródło demonów), jest niczym nauka zasad bezpieczeństwa ruchu drogowego – część z nich wynika z umówionych reguł (znaki drogowe), część z zasad fizyki (droga hamowania). Część jest niezmienna (pieszy jest słabszym uczestnikiem), a część podlega ewolucji wraz z postępującą technologią, chociaż nie zawsze jest akceptowana (pasy bezpieczeństwa). Nauka tych zasad wymaga nie tylko źródeł wiedzy oraz czasu, ale głównie oswojenia, intuicyjnego podejścia do bezpieczeństwa i unikania problemów. Metodami wypracowanymi w trakcie tysięcy lat ewolucji, w walce o przetrwanie i rozwój.

W kolejnych wpisach postaram się oswoić różne demony, wyjaśniając przy okazji jak efektywnie i bezpiecznie korzystać z Internetu, dlaczego warto dbać o swoją prywatność i w jakim zakresie, a także jak ułatwiać sobie życie w sieci. W sposób daleki od poradników technologicznych i wskazywania palcem rozwiązań – do tego są zupełnie inne materiały, których większość i tak nie czyta.

Frontem do zrozumienia

Zacznijmy od szyfrowania, które opisuje się zazwyczaj jako metodę ukrycia czegoś przed światem, znajdując natychmiastową kontrę w oklepanym zaklęciu „nie mam nic do ukrycia”. To zasadniczy problem wynikający z niezrozumienia opartego na tym, jak oswoiliśmy to zagadnienie.

 

Studia w CDV Poznań: Frontend Developer

W trakcie drugiej już Wojny Światowej, niemieckie wilki – U-Boty Kriegsmarine – synchronizowały swoje działania wykorzystując Enigmę, niezwykłą maszynę szyfrującą. Dzięki szyfrowaniu komunikacji niemożliwe było podsłuchanie celu, metody ataku i skuteczne przeciwstawienie. Niemożliwe było podsłuchanie pozycji, raportowanej przez łodzie podwodne, jakże trudne do zwyczajnego zauważenia na morzach i oceanach. Jedyną metodą walki z U-Botami wydawałoby się złamanie szyfrowania i podsłuchanie transmisji – czego podjęło się wiele państw, a sukces osiągnięto dzięki Polakom, absolwentom Uniwersytetu Poznańskiego – Marianowi Rojewskiemu, Henrykowi Zygalskiemu oraz Jerzemu Różyckiemu, zainspirowanym przez Zdzisława Krygowskiego.

Czy jednak, to był jedyny scenariusz? Co właściwie było celem – efektywne podsłuchiwanie transmisji, czy może jednak unikanie i zwalczanie łodzi podwodnych? Wyobrazić można sobie sytuację, gdy pozycje łodzi pozyskiwane są przez szpiega, lub sprytny podsłuch w siedzibie Kriegsmarine – byłoby to równie trudne i karkołomne, niczym łamanie Enigmy. A może, zamiast ryzykować, zamiast łamać szyfrowanie – wymyślić metodę namierzania okrętów?

Jak P. Mallmann Showell sugeruje (Enigma Kriegsmarine, Bellona 2011), że nie złamanie Enigmy, a wynalezienie i skuteczne wdrożenie systemów radionamierzania wysokoczęstotliwościowego huff-duff, było głównym powodem skutecznego zwalczania U-Botów – bowiem informacja była uzyskiwana natychmiast na okręcie, a nie w centrali, ale co najważniejsze – występowała zawsze, gdy jednostka nadawała regularne, obowiązkowe raporty, a nie tylko, gdy raportowała swoją pozycję (która mogła być też przecież sfałszowana).

Samo szyfrowanie nie gwarantowało więc łodzi bezpieczeństwa, a do zniszczenia przyczyniały się błędne procedury (regularne raporty radiowe) oraz cel działania przeciwnika – zniszczenie – niezwiązany z samym szyfrowaniem, czy treścią komunikatów.

Szyfrowanie natomiast umożliwiało łodziom coś bardzo ważnego na polu bitwy – gwarantowało bardzo wysokie prawdopodobieństwo identyfikacji źródła komunikatu. Po niemiecku mógł nadawać każdy. Zaszyfrowany stenogram mógł wysłać tylko ktoś, kto posiadał aktualne dane szyfrowania i Enigmę – rzeczy warte więcej i strzeżone bardziej niż okręty i ich załogi – ktoś godny zaufania. Zaufania na wagę życia.

Zza peryskopu ekranu

W ten sposób doszliśmy do punktu widokowego. Szyfrowanie ma wiele zastosowań, nie zawsze oczywistych.

Szyfrowanie treści zapewnia poufność przesyłanych danych. Jest to najbardziej oczywiste zastosowanie, pozwalające zachować prywatność, która jest osobnym, szerokim i niezbyt oczywistym zagadnieniem do omówienia, ale pozwala również ochronić przed podszyciem się pod naszą osobę. Kto chciałby, żeby jego przełożony, czy nauczyciel dostał od niego bardzo, bardzo niemiłego maila? Kto jest gotów wymontować drzwiczki ze skrzynki pocztowej?

Szyfrowanie pozwala zachować integralność komunikatu. Czym jest integralność? Zapewnieniem, że odbiorca zapoznaje się z treścią wysłaną przez nadawcę. Droga treści w Internecie wiedzie przez wiele linii i węzłów dostawców internetowych. Na każdym elemencie tej drogi treść może zostać przekształcona. Mogą zostać podmienione obrazki, reklamy, fragmenty treści. Po co? Jeżeli nie wiadomo o co chodzi – chodzi o pieniądze. Albo o władzę. Zmiana treści „w locie” może przypominać cenzurę i słynne czarne paski lub dziury w korespondencji – tyle, że niewidoczne lub „lokowanie” produktu, bez informowania o tym. Czy rozmawiając o bólu głowy z przyjacielem, wierzysz w jego zapewnienie o skuteczności stosowanego i zalecanego przez niego środka i braku skutków ubocznych?

Szyfrowanie pozwala zidentyfikować drugą stronę rozmowy (ale nie zawsze – bo nie zawsze jest to wymagane lub zastosowane). Coś, co stosujemy na co dzień – rozpoznając na podstawie głosu, wyglądu, lub… miejsca, czy narzędzia którym się ktoś posługuje – co akurat bywa czasami zwodnicze. Najlepszym przykładem szyfrowania jako metody autentykacji jest podpis elektroniczny. Najczęściej stosowanym – szyfrowanie stron WWW – w którym należy jednak rozróżnić kilka przypadków:

  • Jeżeli w pasku adresu jest widoczna kłódka i nazwa (można ją kliknąć) – mamy do czynienia z identyfikacją podmiotu, którego nazwa jest wyświetlana i przypisana do wyświetlanego adresu WWW. Taką identyfikację powinna mieć z całą pewnością strona banku.
  • Jeżeli w pasku adresu wyświetlana jest tylko kłódka – identyfikacja związana jest z adresem strony internetowej z której korzystasz – zapewnia integralność i poufność, ale nie dostarcza  informacji o podmiocie, który udostępnia stronę. Przydatne, gdy korzystasz ze znanego Tobie doskonale adresu WWW – np. google.pl – chociaż z całą pewnością dla globalnej marki bezpieczniejszy w użyciu jest adres kończący się na „com” ze względu na możliwe braki oryginalnych stron regionalnych. Przekazując przez taką stronę dane osobowe lub pieniądze musimy być pewni co do poprawności adresu WWW w pasku przeglądarki.

Pozostają jeszcze inne, możliwe technicznie rozwiązania, gdy współczesne przeglądarki ostrzegają przed nawiązywaniem połączenia lub je wprost uniemożliwiają. Wtedy warto sprawdzić, czy na pewno wpisaliśmy dobry adres (uwaga na literówki), czy nie kliknęliśmy np. w reklamę ale przede wszystkim włączyć intuicję i zastanowić się, czy naprawdę musimy wejść na tę stronę – bo może zamiast się przejmować, to trzeba po prostu taką stronę zamknąć i już.

 

Studia w CDV Poznań: Informatyka

Nieco technicznie

Mechanizmy bezpieczeństwa, nie tylko w Internecie, wiążą się zazwyczaj z pogorszeniem wygody działania (zapinanie pasów, zakluczanie zamków, okazywanie identyfikatorów). Szyfrowanie samo w sobie we współczesnych czasach nie stanowi już problemu technicznego, ani szczególnego utrudnienia dla korzystających – warto więc dbać o stosowanie tego mechanizmu wszędzie, gdzie to tylko możliwe.

W przypadku stron WWW mechanizm ten pośrednio wymusza Google swoją polityką, ale w przypadku braku szyfrowania można sprawdzać, czy istnieje wersja adresu z szyfrowaniem – szczególnie, gdy zamierzamy przekazywać do strony jakieś informacje, w szczególności dane logowania, czy dane osobowe (można spróbować poprzedzić adres literami https:// zamiast http://).

W przypadku stron WWW – warto też korzystać z wiedzy – czym jest strona z autentykacją podmiotu, a czym jest strona z szyfrowaniem związanym wyłącznie z adresem.

W przypadku połączeń WiFi – korzystać z wersji szyfrowanej, lub próbować wynegocjować taką konfigurację w miejscach, w których mamy taką możliwość (w domu, w pracy, w ulubionej kawiarence).

Można też skorzystać z VPN (wirtualna sieć prywatna) – jeżeli dużo podróżujemy, które jest wyższą szkołą… konfiguracji, ale później pozostaje praktycznie bezobsługowe. Sprawdza się przede wszystkim w dziwnych miejscach i sposobach dostępu do Internetu.

Ku końcowi

Czynnikiem, który przewijał się mniej, lub bardziej w tle, pozostaje przyczyna oswajania pojęcia bezpieczeństwa z szyfrowaniem. To po prostu działa – tak samo, jak rozglądanie się przed wejściem na ulicę. A może też trochę przyczyniła się magia starożytnych i nowożytnych szyfrów i niezwykłych tajemnic. Niezależnie od przyczyn, wiesz już, że samo słowo, stosowane niczym amulet, bez wiedzy do czego służy – nie jest wystarczające. Na szczęście część tej, wcale nie magicznej wiedzy, masz już w posiadaniu.

Przy okazji warto zapamiętać, że wiele problemów rozwiązuje pytanie „po co”, czy też „dlaczego” chcę czy muszę coś robić lub czegoś nie robić.