Rozhovor Cybernews so Saschom Pfeifferom
Odhalenie kompromitovaných hesiel, kým nie je neskoro, je pomerne náročná úloha – existuje len pár nejasných a zrejmých signálov, na ktoré si dať pozor.
Nezabezpečené, znovupoužívané či slabé heslá patria medzi hlavné kybernetické hrozby, ktoré ovplyvňujú nielen používateľov sociálnych sietí, ale aj veľké firmy alebo vládne inštitúcie. Odhalené heslá sú vstupenkou ku krádeži identity, finančným stratám a ďalším dlhodobým dôsledkom.
Dnes už si spoločnosť uvedomuje dôležitosť správcov hesiel. Aj tak je však ťažké určiť, aké funkcie sú najdôležitejšie a aké ďalšie opatrenia môžu zvýšiť online bezpečnosť. Výkonný riaditeľ správcu hesiel Psono, Sascha Pfeiffer, sa rozhodol podeliť o svoje názory na kyberbezpečnosť s tímom Cybernews.
Vráťme sa úplne na začiatok. Ako vyzeral vývoj Psona?
V roku 2015 som sa rozhodol naprogramovať Psono. V tom čase neexistovalo riešenie, ktoré by umožňovalo firme hostovať službu na vlastných serveroch a spravovať heslá s klientským šifrovaním všetkých uložených tajomstiev. Veľa som sa o tom rozprával s priateľmi – o tom, ako by to malo fungovať, alebo ako som pristupoval ku kryptografii, a asi som ich v niektorých smeroch doslova unudil na smrť. Prvá verejná verzia bola uvoľnená v roku 2017 a odvtedy sa postupne rozširovala – najprv rozšíreniami, súbormi, aplikáciami pre iOS a Android. To všetko len popri práci, v podstate komplet vo voľnom čase, cez víkendy či počas dovoleniek. V roku 2020 som sa rozhodol, že sa tomu chcem venovať naplno a založil som esaqa GmbH, čo bolo ťažké rozhodnutie – vtedy vrcholila pandémia COVID a toaletný papier bol vzácny... Ale oplatilo sa a získali sme veľa zákazníkov aj bez reálneho marketingu – ľudia, ktorí už predtým používali našu komunitnú edíciu, prešli na podnikovú verziu. Zvolenie novej nemeckej vlády, ktorá sa zaviazala k právu používateľov na šifrovanie, bolo veľká úľava. Predtým to vyzeralo, že by nemecký štát mohol žiadať softvérové firmy o implementáciu zadných vrátoch – teraz je to už úplne mimo hry.
Môžete nám predstaviť vášho správcu hesiel? Aké sú jeho kľúčové vlastnosti?
Psono umožňuje bezpečne ukladať a zdieľať heslá s kolegami alebo členmi rodiny. Pár vecí robí Psono výnimočným. V prvom rade si môžete všetko hostovať na vlastných serveroch. Tento decentralizovaný prístup robí službu oveľa odolnejšou voči útokom v porovnaní s poskytovateľmi, ktorí ukladajú všetko centrálne a kde jedna zraniteľnosť môže odhaliť heslá všetkých zákazníkov. Systém Psona je open source a teda môže byť auditovaný na zraniteľnosti a zadné vrátka. Ako nemecký poskytovateľ ponúkame používateľom alternatívy zamerané na súkromie. Všetky heslá a iné tajomstvá sú zašifrované predtým, než opustia zariadenie používateľa, a dešifrovať ich vie len používateľ. Všetky položky možno zdieľať s inými používateľmi, rozšírený systém oprávnení s grupami umožňuje extrémne flexibilné nastavenia – čo je ideálne pre firmy.
Aká bola vízia za tým, že ste Psono sprístupnili ako open source? Môžete nám viac priblížiť zákulisie bezpečnostného open source softvéru?
Open source je súčasťou nášho bezpečnostného modelu. Nemali by ste dôverovať žiadnemu softvéru, ktorý si nemôžete overiť. Platí to obzvlášť vo vzťahu k jednému z najdôležitejších softvérov – správcovi hesiel. Samozrejme, je v tom aj vnútorná láska k open source. Keď si spomeniem, ako som sa cítil, keď mi prvýkrát nabehol Ubuntu na notebooku, chytá ma nostalgia. Všetci stojíme na pleciach gigantov a bez open source softvéru by sme fungovali v IT dobe kamennej. Open source má aj ďalšie výhody, napríklad prístup k marketingovým kanálom dostupným len pre open source dodávateľov.
Niektorí odborníci tvrdia, že smerujeme k budúcnosti bez hesiel. Aký je váš názor?
Tento trend často prezentujú dodávatelia riešení, ktorí sa snažia predať svoj softvér ako univerzálne riešenie. Ja osobne si myslím, že heslá tu budú ešte aspoň ďalších 30 rokov. Zatiaľ sa totiž nenašlo žiadne vhodné riešenie. Väčšinou majú tieto alternatívy viacero nedostatkov. Staršie nástroje sa často nedajú integrovať. Zaviesť také riešenie naprieč všetkými zariadeniami, softvérmi a systémami je zložité. Verejné možnosti typu OAuth služieb nesú riziko, že vám prevádzkovateľ zruší účet alebo z nejakého dôvodu odmietne prístup, čím stratíte všetky prepojené účty. Heslá majú svoje chyby, ale všetky známe alternatívy majú zatiaľ tiež svoje problémy.
Zaznamenali ste v dôsledku aktuálnych globálnych udalostí vznik nových hrozieb?
Chcem byť opatrný, ale úprimne si nemyslím, že by sa v súvislosti so súčasnými globálnymi udalosťami objavili úplne nové typy hrozieb. Istotne je väčší dopyt po bezpečnosti a ochrane, ale stránka IT bezpečnosti z toho zatiaľ profituje len mierne. To sa však môže rýchlo zmeniť, ak sa objavia nové veľké hackerské útoky.
Čo by mal podnik urobiť hneď po bezpečnostnom incidente, aby ochránil svoju prevádzku a dáta zákazníkov?
Prvým krokom by mala byť okamžitá zmierňujúca reakcia. Skúste odpojiť internet, sieť, vypnúť servery a služby, aby ste zabránili ďalším škodám. Druhým krokom je opätovné spustenie služieb v izolovanom prostredí a identifikovanie toho, čo sa vlastne stalo, ako k tomu došlo – v ideálnom prípade aj s pomocou externých profesionálov. Tretí krok je informovanie dotknutých zákazníkov – vysvetliť detaily a možné riziká. Keď znovu spúšťate svoje služby do bežnej prevádzky, otočte všetky prihlasovacie údaje a overte, že útočník nezanechal zadné dvierka, ktorými by sa mohol do systému znova dostať. Skúmajte aj, ako podobným situáciám v budúcnosti predísť a implementujte ochranné opatrenia – často sa na tomto bode spoločnosť rozhodne zaviesť správcu hesiel, ak ho ešte nemá.
Ako môže človek zistiť, že jeho heslo bolo kompromitované? Existujú varovné príznaky, ktoré možno ľahko prehliadnuť?
Zistiť kompromitované heslá býva zvyčajne veľmi ťažké, existuje len niekoľko nejasných príznakov, na ktoré sa dá orientovať – napríklad podozrivá aktivita, mailové upozornenia na zmenu hesla či prihlásenie z neznámej lokality alebo prevody peňazí, ktoré ste neschvaľovali. Psono má v sebe zabudovanú funkciu, ktorá kontroluje verejné služby typu haveibeenpwned.com, či sa vaše heslo nenachádza vo verejne známych únikoch – čiže odhalí, či už niekedy boli vaše heslá kompromitované. Väčšinou je však lepšie sa na vec pozerať preventívne: vytvárať naozaj náhodné heslá a nikdy nepoužívať tie isté – a v tomto je správca hesiel skutočne jediným praktickým riešením.
Okrem silnej autentifikácie – aké iné bezpečnostné nástroje by mal podľa vás každý začleniť do svojho života?
Je množstvo nástrojov, ale keďže väčšina útokov dnes prichádza cez e-mail, považujem za základ dobrého poskytovateľa mailových služieb. Gmail a Outlook odvádzajú skvelú prácu pri filtrovaní spamu, phishingu či blokovaní podozrivého obsahu. Druhým najdôležitejším nástrojom je nastavenie dvojfaktorovej autentifikácie všade, kde to ide. Spolupracujeme napríklad s Yubico, aby sme do Psona implementovali podporu Yubikey (popri alternatívach ako Google Authenticator a pod.). Dodatočné faktory eliminujú väčšinu slabín, ktoré sa heslám vyčítajú.
Čo čaká Psono v blízkej budúcnosti?
Neviem, kde začať. Produktovo pracujeme na úplne prepracovanej verzii nášho webového klienta. Aplikácia je ďalšia veľká stavba – chceli by sme, aby to bola špička medzi správami hesiel. Po obchodnej stránke zatiaľ nemôžem nič prezradiť, ale chystá sa spolupráca s niekoľkými obrovskými spoločnosťami, ktoré zákazníkom umožnia široký prístup ku správcom hesiel.
