Imali smo sigurnosni incident. Evo što morate znati – pisalo je velikim slovima u objavi korisnika KeyserSosa 1. kolovoza na Redditu, internetskoj stranici koja se najbolje može opisati kao mješanac društvene mreže i klasičnog foruma. Inače, KeyserSos je pseudonim Christophera Slowea, Redditova čelnog čovjeka za tehnologiju. Što su to korisnici morali znati? Kakav incident? U nastavku objave stigli su odgovori.
Slowe je otkrio da je haker provalio u Reddit te da je ukrao određenu količinu korisničkih podataka među kojima su se našle email-adrese nekih korisnika i potpuna sigurnosna kopija Redditove baze podataka iz 2007. godine koja je uključivala privatne i javne objave korisnika kao i njihove šifrirane šifre (pokriva podatke od osnivanja stranice 2005. godine do svibnja 2007.). Haker je do tih podataka došao tako što je kompromitirao korisničke račune zaposlenika putem alata za dvostruku potvrdu identiteta koji se bazira na SMS-porukama.
Tako izgleda danas vjerojatno najopasniji zločinački čin - napad na bazu podataka i krađa osobnih podataka.
I to je manje-više bilo to. Iz Reddita su rekli da će se javiti korisnicima koji su pretrpjeli gubitak podataka, ali nisu rekli da će se javiti svima onima čiji su emailovi možda završili u hakerovim rukama. “Provjerite svoju dolaznu poštu da vidite jeste od nas primili email između 3. i 17. lipnja. Ako slučajno jeste, razmislite o tome postoji li nešto na Redditu što ne biste htjeli da se povezuje s tom adresom”, napisao je Slowe i grdno pogriješio. “Taj je koncept totalno pogrešan. Ta nisu korisnici krivi za napad i na njih se ne bi trebalo stavljati težište na takav način”, rekao je za BBC Alan Woodward, stručnjak za računalnu sigurnost i profesor pri Sveučilištu u Surreyju.
Velika je to neizvjesnost za otprilike 330 milijuna korisnika Reddita, a kada je riječ o krađi osobnih podataka korisnika neke internetske stranice, šutnja definitivno nije zlato. Nakon izbijanja skandala oko tvrtke Cambridge Analytica i neovlaštene distribucije osobnih podataka 87 milijuna korisnika iz baze podataka društvene mreže Facebook internetski servisi poput Reddita trebali bi puhati i na hladno jer je taj incident pokazao da osobni podaci mogu biti oružje. Tu, zapravo, nema sumnje, oni jesu oružje, međutim problem je što se taj aspekt rijetko kada spominje u tom kontekstu.
Kada god čelnici tehnološki naprednih tvrtki kao što su Facebook i Reddit izađu pred javnost ili zakonodavca, te rasprave malokad rezultiraju većim razumijevanjem problema. Zastupnici Kongresa SAD-a mučili su se s timelineom, news feedom, aplikacijom unutar društvene mreže, oglasima i njihovim naplaćivanjem, dosegom i algoritmima. Zuckerberg je nastojao objasniti što Facebook jest i što rade a da ne kaže što zapravo rade. “Bila je to moja greška i žao mi je. Ja sam pokrenuo Facebook, ja ga vodim i ja sam odgovoran za sve što se ovdje događa”, rekao je Zuckerberg i zamutio vodu.
Računalno upućeniji proveli su nekoliko sati mijenjajući svoje šifre, ali nisu napustili niti jedan servis kojim se koriste. Jesu li te šifre dugačke barem 12 znakova, nečitljive, sadrže li barem jednu brojku i jedan simbol ili ne, Zuckerberga nije zanimalo. Neke ustupke jesu napravili, sigurnosne postavke postale su razumljivije, korisnici su s nekoliko klikova mišem mogli doznati što Facebook zna o njima i slično. Preuzimanjem kopije osobnih podataka koju Facebook o njima drži u svojoj bazi podataka mnogi su se korisnici prvi put susreli s konceptom baze podataka - ključem uspjeha Facebooka, ali i tolikih drugih.
Baza podataka uređena je skupina podataka pohranjena tako da im se lako i brzo može pristupiti. Da bi se tim podacima pristupilo, uz bazu podataka vezan je i računalni program koji se koristi za pristup. Djeluje jednostavno, zar ne?
“Teoretski, i (Microsoft) Excelova tablica može se klasificirati kao baza podataka, međutim problem se pojavljuje kada količina i raznovrsnost podataka raste. Pretraga i čitanje podataka tada postaje puno kompleksnija”, objašnjava inženjer softvera u tvrtki Mendix Ivan Grbavac.
Tehnički gledano, podaci koji čine određenu bazu spremaju se na računalima koja u svojoj suštini nisu različita od onih kojima se ljudi svakodnevno koriste. Takva računala, dakako, moraju moći primiti i poslati velike količine informacija i datoteka pa je presudno da imaju puno memorije, što privremene (eng. Random Access Memory ili RAM), što trajne (tvrdi diskovi raznih vrsta).
“Svi podaci koji funkcioniraju kao sigurnosne kopije ili kojima se ne mora moći pristupiti odmah idu na tvrde diskove od magnetskih diskova (HDD), dok se oni kojima se stalno pristupa pohranjuju na tvrde diskove od integriranih krugova (SSD)”, objašnjava Grbavac.
Da bi podaci bili sigurni, najčešće se čuvaju u nekoliko kopija te se tako osigurava da ne mogu nehotice propasti, a Grbavac ističe da se memorija u tim računalima radi sigurnosti spaja u redundantnu mrežu nezavisnih diskova (RAID). RAID funkcionira tako da se diskovi istovremeno pune podacima, što smanjuje vjerojatnost da će kvar diska uništiti podatke, ali i povećava dostupnost podataka jer se na korisnikov zahtjev za podacima može odgovoriti brže.
“Ako govorimo o bazi srednje veličine, tada se ona rasporedi na dva snažnija računala. Jedno se potom koristi svaki dan, dok drugo čeka u stanju pripravnosti ako prvo otkaže poslušnost”, kaže Grbavac. U slučaju velikih tvrtki koje skupljaju goleme količine podataka kao što su primjerice Google i Facebook, broj računala koji čine jednu bazu podataka, odnosno podatkovni centar, može se popeti i do više tisuća.
Primjerice, Facebookov kampus u američkom gradu Prinevilleu u saveznoj državi Oregon broji tri podatkovna centra od kojih se onaj najmanji proteže na 32,5 tisuće četvornih metara ili četiri i pol nogometna terena Barcelonina stadiona Camp Nou, dok se onaj najveći proteže na 41,8 tisuća četvornih metara. Na izgradnju podatkovnih centara u Prinevilleu utrošeno je 1560 tona čelika, jedan od centara sadrži 1530 kilometara raznih kabela.
Jedan od ta tri centra zadužen je za čuvanje podataka koji korisnici rijetko zatrebaju odnosno koji “malo ljudi zanima”. Kada su iz TechCruncha posjetili Prineville i ušli u centar za pohranu podataka koji se više ne koriste, napisali su da se na jednoj polici nalaze 32 servera odnosno računala koja mogu primiti dva petabajta, odnosno dva milijuna gigabajta podataka. Na fotografiji iz centra može se vidjeti niz od najmanje 12 takvih polica, dok se na jednoj drugoj fotografiji može vidjeti da je nasuprot takvih 12 polica njih još 12 te da one čine prolaz između dva takva reda. To je nešto više od 1500 petabajta podataka samo u jednom prolazu.
Iz društvene su mreže u prosincu prošle godine najavili da će u Prinevilleu izgraditi još dva podatkovna centra koji će se protezati na otprilike 83 tisuće četvornih metara, a The Oregonian piše da će koštati “stotine milijuna dolara”. Jedan od njih bi trebao početi s radom 2020. godine, a drugi bi se trebao početi graditi iduće godine. Facebook diljem svijeta već sada posjeduje pet podatkovnih centara - tri u SAD-u, jedan u Irskoj i jedan u Švedskoj - a u narednih nekoliko godina planira im pridodati još sedam - šest u SAD-u i jedan u Danskoj.
Facebook diljem svijeta već sada posjeduje pet podatkovnih centara - tri u SAD-u, jedan u Irskoj i jedan u Švedskoj (na slici)
Facebook diljem svijeta već sada posjeduje pet podatkovnih centara - tri u SAD-u, jedan u Irskoj i jedan u Švedskoj (na slici)
Facebook diljem svijeta već sada posjeduje pet podatkovnih centara - tri u SAD-u, jedan u Irskoj i jedan u Švedskoj (na slici)
Za elitno društvo tvrtki i organizacija koje posjeduju podatkovne centre te veličine i svakodnevno obrađuje praktički neizbrojive količine podatka kaže se da posluje na hiperskali. Da bi tvrtka za sebe mogla reći da posluje na hiperskali, konzultantski i analitičarski gigant International Data Corporation kaže da tvrtka mora imati najmanje pet tisuća servera na najmanje 930 četvornih metara prostora koji su posloženi u istovrsnu, prilagodljivu i prethodnim radom nesputanu cjelinu, ali i da takve tvrtke nerijetko imaju i puno veće infrastrukture.
Tvrtka Synergy Research prošle je godine pobrojila sve podatkovne centre te veličine u svijetu te je u izvješću otkrila da ih ima 390, 90 više nego 2016. Oni kažu da tvrtke koje posluju na hiperskali imaju više stotina tisuća servera, a katkad i više milijuna.
Gotovo polovica (44 posto) tih centara nalazi se u Sjedinjenim Američkim Državama, a slijedi ih Kina s osam posto, Japan i Velika Britanija sa šest te Australija i Njemačka s pet posto. Synergy Research kaže da u svijetu postoje 24 tvrtke koje posluju na hiperskali te da svaka od njih u prosjeku posjeduje prosječno 16 podatkovnih centara. Najveći među najvećima su Amazon, Microsoft, IBM i Google. Svaka od tih tvrtki diljem svijeta ima najmanje 45 podatkovnih centara. Iz Synergy Researcha kažu da će tvrtke koje posluju na hiperskali do kraja 2019. posjedovati više od 500 podatkovnih centara.
No, to je hiperskala i, još važnije, to su specijalizirani podatkovni centri koje su te tvrtke same dizajnirale i izgradile kako bi namirile svoje potrebe za podacima. Potreba za kvalitetnim bazama podataka i alatima koji se koriste za upravljanje tim bazama postoji i na puno nižim razinama i čini se da to tržište doživljava pravi procvat.
Market Research Future, tvrtka specijalizirana za istraživanje tržišta, prošle je godine ustvrdila da će tržište sustava za upravljanje bazama podataka iz godine u godinu rasti po osam posto te da će 2022. godine vrijediti 63 milijarde dolara. Tom bi rastu najviše trebalo pridonijeti natjecanje tržišnih lidera Oraclea, SAP AG-a, IBM-a, Microsofta i Amazonove podružnice WebServices u privlačenju manjih i srednjih tvrtki koje se sve više i više okreću poslovanju “u oblaku”, odnosno upotrebi dislociranih servera i računala. Male i srednje tvrtke uz pomoć “oblaka” mogu značajno smanjiti troškove poslovanja budući da im specijalizirane tvrtke pomažu u upravljanju podacima. Negativna strana “oblaka” je što baza nije tvrtki nadohvat ruke, međutim to je za tvrtke koje nemaju novaca raditi vlastite podatkovne centre kompromis koji će spremno prihvatiti.
“Kako se volumen digitalnog sadržaja diljem svijeta stalno povećava, potreba za centrima s bazama podataka i računalnima u oblaku značajno će porasti”, stoji u izvještaju Market Research Futurea. “Dakako, baze podataka igraju ključnu ulogu u informacijskim i komunikacijskim industrijama, međutim popularizacija poslovanja u oblaku vodi do toga da će i druge industrije prigrliti upotrebu upravljanja bazama podataka.”
Dvije industrije koje bi se takvom načinu rada najprije trebale okrenuti su sektor za financijsko poslovanje (banke, osiguravajuća društva i slične tvrtke) te zdravstvo. To nije slučajno, budući da su te dvije industrije najviše na udaru hakera, pa bi im poslovanje u oblaku trebalo pomoći da bolje zaštite i sebe i svoje klijente.
SingHealth
Sredinom srpnja hakeri su napali SingHealth, najveću singapursku zdravstvenu instituciju koju čine četiri bolnice, pet specijaliziranih centara medicine i osam poliklinika, te ukrali osobne podatke 1,5 milijuna pacijenata među kojima su i premijer Lee Hsien Loong te nekoliko ministara. Kako je izveden najgori hakerski napad u povijesti Singapura? Jedna radna stanica zaražena je malwareom i hakeri su potom preko tog računala pristupili bazi podataka. Toliko jednostavno. No, ne napadaju se samo veliki sustavi poput SingHealtha.
Primjerice, australska Agencija za zaštitu podataka objavila je da su Australci od 22. veljače do 31. srpnja ove godine pretrpjeli čak 305 provala u svoje podatke te da su hakeri i kriminalci zahvaljujući tim napadima došli do osobnih podataka više od tisuću osoba. Na popisu ukradenih podataka bilo je svega: od bankovnih podataka i brojeva kreditnih kartica do brojeva putovnica i vozačkih dozvola. Hakeri su u tom periodu najviše puta napali sektor zdravstva, i to 49 puta, a odmah iza zdravstva plasirao se financijski sektor s 36 provala. Od tih napada njih 59 posto bilo je djelo zločinaca ili zlonamjernih pojedinaca, a većina je njih pogodila grupe ne veće od 100 ljudi.
“U australskoj cyber-sigurnosti postoje dvije vrste organizacija koje pružaju zdravstvene usluge - one koje znaju da su hakirane i one koje ne znaju da su hakirane”, rekao je u travnju ove godine doktor Nathan Pinskier, specijalist za e-zdravstvo iz australske Udruge liječnika opće prakse. “Svakom sustavu koji drži osobne podatke prijete rizici, neovisno o tome je li riječ o kartotekama ili online sustavima”, rekla je u povodu objave izvješća čelnica Agencije za zaštitu podataka Angelene Falk. Nije ohrabrujuće, ali barem je realno.
Da bismo ilustrirali koliko napad na bazu podataka jedne tvrtke potencijalno može biti skup, dovoljno je da se podsjetimo na prošlogodišnji udar na američku agenciju za kreditni rejting Equifax.
Lani su u hakerskom napadu na podatkovnu bazu agencije za kreditni rejting Equifax ukradeni brojevi osiguranja i vozačkih dozvola, podaci s pomoću kojih se može doći i do bankovnih računa
U tom su napadu kompromitirani osjetljivi podaci 143 milijuna Amerikanaca, a takvu je štetu bilo moguće napraviti jer je Equifax u trenutku kada su otkrili da im je netko provalio u sustav upravlja o bazom podataka zaposlenika više od 7100 poslodavaca. Među ukradenim podacima našli su se brojevi osiguranja, brojevi kreditnih kartica, brojevi vozačkih dozvola, imena i prezimena, datumi rođenja i adrese stanovanja. S tim se podacima može doći do još bitnijih bolničkih kartona i bankovnih računa. Reuters je u ožujku ove godine objavio da će tvrtku ta provala na kraju koštati više od 275 milijuna dolara. Prema nekim podacima, riječ je o najskupljem cyber-napadu u povijesti.
Svi ukradeni podaci poslije se pretvaraju u zaradu. Što ih je više, to je potencijalna zarada, naravno, veća. Imena i prezimena te kućne adrese koriste se za krađu identiteta, a bolnički kartoni nerijetko sadrže informacije poput krvne grupe i popisa lijekova koje osoba pije. Hakeri mogu uz pomoć tih podataka doći do tih lijekova. Podaci o zdravlju pojedinca mogu se koristiti za ucjenjivanje, što pojedinca, što institucija. Ako se među vašim osobnim podacima kojim slučajem nađe i neka šifra, isprobat će je i na drugim stranicama. Vaš email će se najednom početi puniti “odličnim poslovnim prilika”. Ako radite za vojsku, državu ili veliku tvrtku, onda su ti podaci još unosniji. Alati su možda novi, međutim principi nisu. No, kako kaže pjesma - “nije u šoldima sve”. Sjetite se provale u internetsku stranicu za izvanbračne afere Ashley Madison. Nečiji se život može uništiti i da mu se ne isprazni račun u banci.
Microsoft kaže da cyber-zločinci međunarodnoj zajednici mogu nanijeti štetu u vrijednosti od 500 milijardi dolara te da će prosječna tvrtka jedan takav napad platiti otprilike 3,8 milijuna dolara. Symantec kaže da svaki 131. email sadrži malware, a portal Small Business Trends kaže da su male tvrtke meta 43 posto napada. Istraživanje koje je proveo Institut Ponemon kaže da financijskim tvrtkama treba u prosjeku 98 dana da pronađu provalu u svoju bazu podataka.
I na kraju trešnja na vrhu: Istraživanje koje je provelo Sveučilište u Marylandu 2007. prvi je put izbrojalo koliko često hakeri napadaju računala s pristupom internetu. Hakeri nekoga napadnu svakih 39 sekundi.
Ako vam je šifra “123456”, molimo vas, radi vlastite i tuđe dobrobiti, odmah je promijenite.