19/09/2019

Bajka o Czerwonym Kapturku

Informacje

Jak można wyjaśnić dziecku, co to jest bezpieczeństwo informacji? Niektórzy poddadzą się i zwyczajnie zabronią dzieciom konkretnych aktywności w internecie — lub nawet w ogóle go wyeliminują. Jednak sam zakaz, bez wyjaśnienia, może przynieść efekt przeciwny do zamierzonego i raczej zachęci dzieci do zdobycia zakazanego owocu.

Aby odpowiedzieć na pytanie „Dlaczego nie rozmawiamy z dziećmi o cyberzagrożeniach i jak działa bezpieczeństwo informacji?”, rodzice, którzy nie są obyci w tym temacie i nie wiedzą, od czego zacząć, zwykle wpadają w frustrację i rezygnują (niekoniecznie w tej kolejności). Ale wszystko już zostało wyjaśnione. Jednak nie zdajemy sobie sprawy z tego, że wiele książek dla najmłodszych na temat cyberbezpieczeństwa powstało już kilkaset lat temu — są to bajki. Wystarczy tylko odrobinę zmienić swój tok myślenia.

Czerwony Kapturek

Weźmy na przykład Czerwonego Kapturka. To dobrze znana w Europie bajka, która została opowiedziana również przez tak wybitnych ekspertów ds. cyberbezpieczeństwa jak bracia Grimm, Charles Perrault i wielu innych. Chociaż historia ta ma wiele wersji, które nieznacznie się różnią, główna fabuła jest taka sama. Prześledźmy krok po kroku, co się stało.

1. Matka wysyła swoją córkę do Babci z koszem smakołyków.

2. Czerwony Kapturek spotyka Wilka, który pyta dziecko, dokąd zmierza.

3. Dziewczynka odpowiada zgodnie z prawdą, że idzie do Babci z koszem smakołyków.

Już w tym miejscu można dostrzec kwestię związaną z cyberbezpieczeństwem — np. procedurę uścisku dłoni, która jest procesem nawiązania komunikacji między dwiema osobami.

Czerwony Kapturek został zaprogramowany tak, aby zapukać do drzwi domu, w którym mieszka Babcia, a na pytanie: „Kto tam” odpowiedzieć, że mama przysyła smakołyki — była to na swój sposób autoryzacja umożliwiająca wejście do domu. Jednak z jakiegoś powodu dziewczynka przekazała tę ważną wiadomość obcemu, mimo że nie usłyszała pytania „Kto tam”. Daje to atakującemu wiadome możliwości.

4. W zależności od wersji oprogramowania układowego bajki Wilk wysyła Czerwonego Kapturka na spacer lub sugeruje mu zebranie dla Babci bukietu kwiatów.

Tak czy inaczej, można to porównać do ataku typu odmowa usługi (DoS). Jeżeli Wilk spróbuje zalogować się w domu Babci po przybyciu Czerwonego Kapturka, ma niewielkie szanse na to, że zostanie wpuszczony, bo jedyny oczekiwany gość będzie już w środku. Dlatego z punktu widzenia Wilka ważne jest, aby odesłać Czerwonego Kapturka gdzieś na jakiś czas, aby nie mógł on ukończyć swojego zadania zgodnie z planem.

5. Wilk dociera więc do domu Babci jako pierwszy i należycie się loguje, odpowiadając poprawnie na pytanie „Kto tam?”. Babcia udziela mu dostępu do domu.

To prawie książkowa wersja ataku Man-in-the-Middle (MitM) wykorzystującego atak metodą powtórzenia. Wilk wkracza w kanał komunikacji ustanowiony między dwiema osobami, dowiaduje się o procedurze uścisku dłoni i frazie od klienta, a następnie odtwarza wszystko w celu nielegalnego zdobycia dostępu do serwera.

6. Wilk pożera Babcię, ubiera się w jej koszulę nocną i kładzie się w jej łóżku pod kocem.

Dziś powiedzielibyśmy, że tworzy stronę phishingową. Na pierwszy rzut oka wszystko wygląda dobrze — jest łóżko Babci, a w nim leży ktoś, kto ją przypomina.

7. Po przybyciu do domu i usłyszeniu pytania Czerwony Kapturek odpowiada, jak mu nakazano.

To kontynuacja ataku MitM, jednak teraz Wilk, który poznał już drugą część procedury wymiany informacji, naśladuje normalne zachowanie serwera Babci. Nie dostrzegając nic podejrzanego, dziecko się loguje.

8. Czerwony Kapturek wchodzi do domu i zastanawia się na głos, dlaczego Babcia ma takie duże uszy, oczy, zęby. Trafne pytania, jednak ostatecznie, usatysfakcjonowany ogólnymi odpowiedziami Wilka, loguje się i… zostaje zjedzony.

W prawdziwym życiu, podobnie jak w tej bajce, strony phishingowe rzadko są w 100% przekonujące i często zawierają wątpliwe elementy, na przykład podejrzane hiperłącza. Aby uniknąć problemów, warto zachować czujność: jeśli na przykład nazwa domeny Babci wystaje jej spod koszuli nocnej, natychmiast opuść stronę.

Czerwony Kapturek widzi pewne niespójności, jednak niestety je ignoruje. Tu należy wyjaśnić swojemu dziecku, że dziewczyna zachowała się nieostrożnie, a także powiedzieć, co powinna zrobić.

9. Na szczęście zjawiła się grupa drwali (w niektórych wersjach była to grupa leśniczych), rozcięła wilka, a z jego środka wyskoczyła Babcia i Czerwony Kapturek, obie całe i zdrowe.

Oczywiście podobieństwa do bezpieczeństwa informacji nie są tu doskonałe, gdyż nie możemy rozciąć cyberprzestępców i odzyskać od nich pieniędzy, reputacji czy bezpieczeństwa. Chociaż, mówiąc szczerze, nie próbowaliśmy tego. I dla pewności napiszemy, że nie jesteśmy w żaden sposób powiązani z nikim, komu się to ewentualnie udało.

Cyberbezpieczeństwo w innych bajkach

Bajki opowiadają życiowe lekcje, a czasami nawiązują do bezpieczeństwa informacji — najważniejsze jest tu prawidłowe objaśnienie. Na przykład w Trzech świnkach można dostrzec skryptowego dzieciaka, który używa narzędzia w postaci chuchania i dmuchania w celu przeprowadzenia ataku siłowegoKrólowa Śniegu instaluje w oku Kaja szkodliwe lusterko i przejmuje nad nim kontrolę — można to porównać do sytuacji, w której narzędzie dostępu zdalnego (RAT) umożliwia przestępcy będącego na zewnątrz kontrolę nad zainfekowanym systemem.

Z kolei Kot w butach to w zasadzie szczegółowy raport na temat bardzo wyszukanego ataku APT, w którym Kot najpierw przechwytuje infrastrukturę ogra, a następnie zawiera nieuczciwą umowę z lokalnym rządem za pomocą skomplikowanego oszustwa obejmującego usługi reputacyjne.