Jsou uživatelé hloupí a líní?

Skoro u každého článku o virech, phishingu nebo podvodných e-mailech se velmi rychle objeví několik příspěvků o tom, že „na takovou pitomost by naletěl jen úplný hlupák a dobře mu tak“, případně „to jsou ti blbí uživatelé; měl by být zákon, že počítač nesmí používat člověk, který k tomu nemá znalosti“. A i většina těch, kdo tyto tvrdé odsudky přímo nenapíšou, by pravděpodobně souhlasila s tvrzením, že kdyby uživatelé byli v počítačích vzdělanější, tyto útoky by nemohly uspět. Bruce Schneier ale nedávno upozornil na velice zajímavou hypotézu Cormaca Herleyho z Microsoft Research, která říká něco úplně jiného: Uživatelé nejsou líní ani hloupí, naopak se ve věcech počítačové bezpečnosti chovají racionálně; jsou to IT specialisté, kteří dělají chybu. Hypotézu So Long And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users doporučuji k prostudování všem profesionálům, kteří jsou za zavádění bezpečnosti zodpovědní. V tomto článku shrnu hlavní myšlenky a svůj názor na problematiku.

Základní myšlenka celé hypotézy by se dala shrnout do jediné věty: léčba by neměla být horší než sama nemoc. Drtivá většina bezpečnostních opatření se zabývá jenom otázkou, jak bezpečnost zvýšit (protože zvýšení bezpečnosti je „dobré“), ale už vůbec neřeší otázku, kolik to zvýšení bezpečnosti stojí (náklady na zvýšení bezpečnosti) a jestli vůbec přináší zamýšlený efekt (zvýšení bezpečnosti). Herley to demonstruje na třech oblastech: požadavcích na hesla, ochraně proti phishingu a varováních před chybnými certifikáty serverů. Dosah je ale daleko větší, snadno ho lze uplatnit například na firewally, antiviry a mnoho dalších počítačově-bezpečnostních otázek.

Herley vychází ze samozřejmě znějícího předpokladu, že racionální uživatel bude dělat to, co mu zvýší celkový užitek – jinými slovy, to, co přinese větší přínosy než náklady. Otázka samozřejmě je, jak přínosy a náklady počítačové bezpečnosti kvantifikovat. Pro jednotlivého uživatele to těžko dokážeme, o něco jednodušší je to pro celou internetovou populaci – suma přínosů všech uživatelů musí být větší než suma nákladů všech uživatelů. Zdánlivě jsme si nijak nepomohli, obojí se opět dá špatně kvantifikovat. Jenže je tu jedna změna – pro sumu nákladů dokážeme stanovit horní hranici, která by neměla být překonána, a to ve výši celkových přímých ztrát z útoku, před kterým se chráníme (jakmile by celkové náklady na bezpečnost byly větší než celkové ztráty z útoků, už by se vyplatilo prostě ty útoky zaplatit a s bezpečností nedělat nic). No a ty celkové ztráty dokážeme vyčíslit docela přesně – třeba v případě vyluxovaných účtů v důsledku phishingu prostě posčítat objemy nahlášených krádeží. Když vydělíme roční celkovou ztrátu celkovým počtem uživatelů, získáme maximální roční náklady, které má smysl do bezpečnosti vložit (například investicí do bezpečnostního softwaru), jejich přepočtem hodinovou mzdou množství času, které má smysl investovat to zkoumání jednotlivého případu, jestli je bezpečný nebo ne.

Herley to demonstruje na krádežích hesel k Paypalu. Tvrdí, že transakce provedené pod ukradenými hesly proběhly v objemu 0,49% ze zisku společnosti, tedy 8,8 milionu USD. Při 70 milionech uživatelů to znamená 0,1257 dolaru 4,14 dolarů ročně na uživatele (díky za upozornění na chybný výpočet) – což je maximální částka, kterou by racionální uživatel do své ochrany proti phishingu na Paypalu měl ročně vložit. Při přepočtu minimální mzdou v USA to znamená asi tak minutu zkoumání za rok. Pokud Paypal použiji jen desetkrát za rok, znamená to, že bych ověřováním pravosti neměl při jednom přístupu strávit víc než 6 sekund 3 minuty, jinak mě ověřování stojí víc, než kdybych se prostě smířil s občasným vyluxováním účtu. To všechno za předpokladu, že podrobným zkoumáním dokážu falešnou stránku odhalit ve sto procentech případů.

To všechno samozřejmě platí jen v průměru – kdybych se stal tím „šťastným výhercem“, kterému byl účet vybrán, a mohl vrátit čas, jistě bych byl ochoten investovat víc než šest sekund svého života. Jenže zase na druhou stranu je třeba si uvědomit, že pokud mi někdo vybere účet, nebudu to já, kdo většinu té ztráty ponese: s největší pravděpodobností mi ztrátu dobrovolně vykompenzuje sám Paypal (pro který je vyplacení pár tisíc dolarů jistě menší zlo než ztráta důvěry veřejnosti v jeho služby – představte si ty titulky, „Paypal nepomůže okradenému uživateli“), případně moje banka (pro kterou platí totéž), i kdyby tu nebyla velmi silná zákonná ochrana, která je k tomu donutí (prostudujte si 3. část zákona o platebním styku, zejména paragraf 18). Ano, pro Paypal a moji banku by bylo výhodné, kdybych investoval víc do své ochrany, ale k tomu žádnou motivaci nemám.

Herley dále rozebírá tři běžná bezpečnostní doporučení právě s ohledem na ekonomické přínosy: pravidla pro silná hesla, ochranu před phishingem a smysluplnost bezpečnostních certifikátů. Ve všech případech dochází k závěru, že sice jde o doporučení dobrá a užitečná (v tom smyslu, že skutečně zlepšují bezpečnost – i když mnohdy méně, než by si počítačovci rádi mysleli1)), ale vzhledem k reálným škodám nesmírně drahá na čas a úsilí. A v tom, říká, je právě důvod, proč uživatelé ignorují základní bezpečnostní návyky – třeba si to nedokázali přesně odvodit, ale přesto intuitivně došli ke správnému závěru, že se jim spíš vyplatí smířit se s občasnou ztrátou, než se chránit a tu ztrátu (byť v jiné formě) utrpět určitě.

Závěr z celé analýzy je ten, že je něco zásadně špatně v samotném pojetí počítačové bezpečnosti. Vzdělávání uživatelů k ničemu nevede a nepovede, protože to z hlediska uživatelů není efektivní. Pokud se má bezpečnost zvýšit, musí se kompletně změnit přístup IT profesionálů a jejich motivace (jak někdo poznamenal v diskusi pod Schneierovou upoutávkou na tuto analýzu, admini jsou motivováni k nesmyslnému zvyšování bezpečnosti, protože náklady na toto zvýšení ponesou uživatelé, zatímco náklady na nedostatečnou bezpečnost by nesl sám admin2)). Samozřejmě to celé neznamená, že bychom měli zahodit všechny současné bezpečnostní mechanismy, složit ruce do klína a smířit se s tím, že sem tam utrpíme nějakou tu ztrátu. Ty mechanismy jsou dobré a účinné, když už je jednou uživatelé přijali za své, ale je třeba pořádně zapracovat na tom, jak uživatele přesvědčit, aby je za své přijali.

Můj názor

Popisovaná hypotéza zní možná absurdně, ale čím víc se nad ní zamýšlím, tím víc mi připadá rozumná. To, že uživatelé nejsou ochotni investovat ještě víc do počítačové bezpečnosti, je myslím evidentní. A to nejenom běžní uživatelé (ti, o kterých se pak v případě úspěšného útoku řekne, že museli být úplně blbí): sám sebe považuji za až přehnaně posedlého bezpečností, ale jsou oblasti, do kterých se vůbec neobtěžuji jít, přestože jsou nesmírně důležité – třeba fyzickou bezpečnost počítače téměř vůbec neřeším, přestože je pro funkčnost mého oblíbeného šifrování klíčová, protože skutečně účinné pojetí by šlo tak daleko za hranice přiměřené ceny a pohodlí, že to prostě nejsem ochoten strpět.

Dá se to ale demonstrovat i na jiném příkladu: Antivirus stojí něco kolem 1000 Kč ročně. Kolik peněz stojí běžného uživatele zavirování jejich počítače? V podstatě nic. Není žádný tlak na rychlé odstranění viru, protože nehrozí poškození dat (na rozdíl od konce 80. a začátku 90. let, kdy se tvůrci virů vyžívali v destruktivních akcích, dnes viry slouží svým tvůrcům k ekonomickému prospěchu – a ten nenastane, pokud počítač zkolabuje). Možnost, že virus ukradne vaše data? U domácích uživatelů to sotva bude mít konkrétní finanční následky. Ukradnou vám heslo od bankovnictví? Stejně se každá transakce musí potvrdit druhým kanálem (autorizační SMS). Zpomalí se vám kvůli přenosům internet? To stejně nikdo z běžných uživatelů nepozná. Přímý náklad bude tak akorát to, že vás poskytovatel odřízne od poštovního serveru, dokud virus neodstraníte, ale vadí to někomu v době, kdy se maily posílají zejména přes webové rozhraní Googlu, Seznamu nebo někoho podobného? A mimochodem – kolikrát jste se setkali s tím, že vás antivirus zachránil před útokem, který by bez antiviru uspěl?

Řešení jsou podle mě jenom dvě: Buď zvýšit náklady za zanedbání bezpečnosti, nebo snížit náklady na zvýšení bezpečnosti. To první je asi sotva realizovatelné – jakkoliv bychom si my, co na bezpečnost dbáme, přáli, aby majitel zavirovaného počítače šířícího nákazu musel hradit skutečně způsobené škody, sotva se takový požadavek podaří prosadit do praxe. Takže zbývá jen snížení nákladů na vyšší bezpečnost. Dosáhnout se toho dá – firewall a antivirus musí běžet úplně skrytě, nesmějí uživatele obtěžovat žádnými dotazy. Browser se sám musí při příchodu na nebezpečnou stránku rozhodnout, co udělá, žádné zobrazování varování a dotaz na akci. Autentizace uživatele musí tam, kde to je jen trochu možné (typicky u všech služeb, ke kterým se přistupuje vzdáleně), přejít na systém s krátkými hesly a lockoutem po několika chybných přihlášeních místo dosavadního spoléhání se na silná hesla, u zvlášť citlivých služeb může být přidán druhý autentizační mechanismus (jen ho proboha nedávejte všude!).

Půjde to udělat ve stávajícím konceptu počítačů? Nevím. Mám o tom své pochybnosti. Možná budeme muset počkat, než se všechno bude dělat na tenkých klientech nebo na operačních systémech typu Chrome OS. Jen mám strach, jestli mě v takovém prostředí ještě budou počítače bavit.

Poznámka 1

Hesla: Ani jedno z běžných doporučení na délku, složitost, časté změny, opakování atd. nechrání proti keyloggerům a phishingu; proti útoku hrubou silou působí omezeně v tom smyslu, že sice zabrání samotnému útoku, ale pokud by ověřovací mechanismus používal nějakou formu omezení počtu pokusů, ochránilo by to proti brute force taky a uživateli by stačilo pamatovat si nepoměrně jednodušší heslo. Je zajímavé, že toto správně pochopily banky a v bankomatech si vesměs vystačí s čtyřmístným číselným heslem (PINem), které si uživatel může sám zvolit a klidně ho mít neustále stejné; naopak české vysoké školy, kde heslo celkem nic podstatného nechrání, často stále trvají na dlouhých (6 znaků a víc) a složitých (aspoň jeden symbol) heslech, každých pár měsíců obměňovaných. (Mimochodem, kolik znáte lidí, kteří požadavek na pravidelné obměňování hesla řeší jinak, než tím, že k základnímu heslu přidávají stále rostoucí počitadlo?)

Phishing: Aby uživatel zabránil phishingu, musel by se naučit „parsovat“ URL tak, jak to dělají počítače. Nestačí totiž podívat se, že se „paypal“ vyskytuje v adrese, ale musí v ní být na správném místě a ve správném kontextu, v souvislosti s postupně rozšiřovanými mezinárodními doménovými jmény i ve správné znakové sadě. Nemluvě o tom, že by se musel naučit rozlišovat grafické prvky prohlížeče od grafických prvků stránky. (Jednoduché? Kolik znáte lidí, kteří napíšou www.pepak.net do vyhledávacího pole Seznamu místo do adresového pole prohlížeče? Můj log říká, že takových lidí je zatraceně hodně.)

Certifikáty: Principiálně dokonalá ochrana proti útokům typu Man-in-the-Middle nebo phishing. Až na jeden detail: Jediné místo, kde docela určitě nikdy neuvidíte chybu certifikátu, je phishingová stránka – útočník si dá zatraceně záležet na tom, aby se potenciální oběť nelekla vyskočivšího varování, takže buď použije protokol http a certifikát nebude mít vůbec, nebo si dá záležet na tom, aby ten certifikát určitě byl platný. (V souvislosti s aktivitou Start SSL, která nabízí certifikáty zdarma, to není až takový problém…)

Poznámka 2

Kdo se bude muset naučit dlouhé složité heslo a pravidelně tuto práci opakovat? Běžný uživatel. Admin jenom klikne v administraci a řekne tím systému, že si od všech uživatelů má vyžádat nové heslo zadaných parametrů.

Kdo by musel řešit to, že někdo zvenčí odpozoroval heslo sekretářky napsané na papírku přilepeném na monitor a ukradl dokumenty? Admin, pochopitelně.

Podobné příspěvky:

Posted in bezpečnost by , 6. 12. 2009 12:17

11 Responses to “Jsou uživatelé hloupí a líní?”

  1. avatar pepak napsal:
    15. 7. 2016 (18:00)

    gorn: Ve skutečnosti tak napůl: Ano, měl jsem to počítat z 290 milionů, ne z 8,8 milionu. V tom skutečně ve článku je chyba. Ale rozhodně to není 10 tisíc Kč na uživatele, ani zdaleka. Těch 290 M znamená při tehdejších 70 milionech uživatelích cca 4,14 USD na člověka, tedy cca 100 Kč. Při přepočtu na hodinovou sazbu u nás to znamená něco málo přes 2 hodiny práce za minimální mzdu (počítáno v čistém), a to je objem, který má člověk ročně vynaložit.

  2. avatar gorn napsal:
    15. 7. 2016 (11:10)

    V článku máte nejspíš chybu v části výpočtu ztráty u PayPalu. V článku se říká že jde o 0.49procenta TEDY 290mil. Vy to znovu vydělíte a dojdete ke ztrátě 8.8mil USD což je asi 10tisic Korun na uzivatele a to uz je pro leckoho skoro mesicni plat, minimalne velmi podstatna castka.

  3. avatar pepak napsal:
    9. 4. 2016 (17:27)

    Robert7: Příchod ransomware samozřejmě situaci pozměnil. Kdo ví, třeba to bude v konečném efektu dobrá věc, že si uživatelé uvědomí, že mají co ztratit.

  4. avatar robert7 napsal:
    7. 4. 2016 (13:53)

    „Kolik peněz stojí běžného uživatele zavirování jejich počítače? V podstatě nic. … Možnost, že virus ukradne vaše data? U domácích uživatelů to sotva bude mít konkrétní finanční následky.“

    Myslim, ze tato skutocnost sa uz od doby publikovania clanku zmenila, resp, moze sa v konkretnom pripade lahko zmenit. Utocnik moze na zavirovany pocitac nainstalovat „ransomware“ – bezny uzivatelia casto nemaju spolahlivy backup system, t.j. budu ochotny zaplatit za odblokovanie^/desifrovanie dat.

    Dalsia moznost, ze ze utocnik vyuzite data ziskane zo zavireneho pocitaca na velmi konkretny a tym padom presvedcivy „phishing“. Trebars ked bude vediet adresu, SPZ, meno … moze poslat velmi presvedcivy list s pokutou od dopravneho inspektoratu s trochou snahy a socialneho inzinierstva bude sediet aj uvedene miesto priestupku a rychlost.

  5. avatar pepak napsal:
    20. 1. 2011 (17:01)

    Není trošku přestřelené počítat ztráty jenom ze skutečných ztrát. Za prvé, je to jediné číslo, které můžeme rozumně získat, všechny ostatní jsou jen odhady, které se můžou člověk od člověka lišit i o řády (ono taky jak vyjádřit hodnotu něčeho, co nenastalo…); započítání odvrácených škod by v podstatě vedlo k tomu, že to jedno jasně dané číslo vynásobíme víceméně náhodným koeficientem. Za druhé, a to je podle mě hlavní, to jedno číslo má docela dobrý význam: říká, jak velkým škodám by se dalo zabránit, kdyby se navýšila současná bezpečnostní opatření. Čili jinými slovy dává horní limit tomu, o kolik má smysl navýšit výdaje na bezpečnost (protože nechceme, aby náklady byly vyšší než úspory) – a to jak na úrovni celospolečenské, tak na úrovni individuální („Má pro mě smysl koupit lepší antivirový program nebo doplnit svoje zabezpečení o antispyware, které zatím nemám?“).

    Bezpečnost platebních karet vůbec není dána dvouúrovňovou autentizací! Za prvé, pro velkou spoustu transakcí není přítomnost (ostatně ani samotná existence!) karty podstatná. Za druhé, kdyby bezpečnost karet spočívala v dvouúrovňové autentizaci, znamenala by krádež/ztráta karty prakticky automaticky značné škody – tato závislost evidentně neplatí. Bezpečnost platebních karet je totiž dána primárně tím, že autorizace probíhá systémem, ve kterém autorizující zařízení dovoluje jen hodně omezený počet pokusů o uhádnutí hesla (na fyzické úrovni přímo, tím, že bankomat kartu sežere, nebo že se čip zakousne; na elektronické úrovni tím, že rozumné systémy sledují počty pokusů např. z jedné IP adresy a pokud transakce překročí určitou hranici, automaticky spadá mezi podezřelé a bude ověřena přímo člověkem – např. tak, že banka zatelefonuje majiteli, jestli transakci opravdu prováděl on).

  6. avatar Mishman napsal:
    20. 1. 2011 (10:19)

    Hesla – zapomínáte, že u platebních karet se jedná o dvou-úrovňovou autentikaci, tedy, že musíte znát PIN, ale také a především mít tu kartu. Zablokování (u obchodníka) nebo pozření karty bankomatem v případě x-násobného špatného zadání PINu je nezbytností. Stejně tak všichni uživatelé by měli vědět, že zapsání PINu na kartu = vybílení účtu v případě, že ji ztratí.

  7. avatar Mishman napsal:
    20. 1. 2011 (10:01)

    Není trošku přestřelené počítat ztráty jenom ze skutečných ztrát? Jako by žádné bezpečnostní mechanismy neexistovaly? Já se domnívám, že ve skutečnosti je potřeba počítat ztráty (a tudíž případné náklady na zvyšování bezpečnosti) s tím vědomím, že k těm ztrátám došlo, ačkoli byla aplikována určitá míra ochrany. Kdyby nebyla aplikována, tak by byly ztráty samozřejmě daleko vyšší. Je vždy vhodné si udělat paralelu s ne-elektronickým světem – vraťme se 100 let nazpět – banka také nenechá otevřený trezor. Pokud by tam nebyla ochranka, tak si troufne banku vyloupit každý lupič. Někteří si troufnou i když tam ochranka je, ale bude jich daleko méně, než když tam ochranka je. Klient při odchodu z banky nebude mávat balíkem stodolarovek, protože by ho za rohem někdo klepnul (zde narážím na vzdělávání a hlavně zdravý rozum uživatelů). Stejně tak nepodepíše bianco šek, protože s tím mu může vybílit konto kdokoli. Zkrátka za sebe se domnívám, že zajištění bezpečnosti je důležité a stejně tak vzdělávání a informování uživatelů. Bohužel elektronický věk přišel pro některé lidi příliš rychle, než aby byli schopni načerpat určité sebezáchovné chování, které se v jiných aspektech společenského chování budovalo tisíce let.

  8. avatar Ondřej Bouda napsal:
    15. 4. 2010 (10:12)

    Přidávat k základnímu heslu čítač je zbytečně komplikované – kdo si má pamatovat, jestli má zrovna heslo4 nebo heslo7; jednodušší je nastavit 5x heslo které nechci a po šesté zpátky to původní 🙂

  9. avatar Danoboss napsal:
    8. 12. 2009 (17:59)

    Inak teraz uvažujem, že prístup k tej bezpečnosti mi pripomína Open Office. Je to trocha iná kategória, pretože Open Office je zdarma, ale tiež je robený štýlom, nech si užívatelia zvyknú na úplne iný systém, alebo robia úplne zbytočné veci…

  10. avatar pepak napsal:
    7. 12. 2009 (20:00)

    To je věc názoru. Můžeš mít pravdu, já se na to ale dívám z toho hlediska, že pokud mohu certifikát dostat zadarmo a online, je to jen otázka času, než se mi konečně s jedním na falešné údaje podaří projít.

  11. avatar Danoboss napsal:
    7. 12. 2009 (19:49)

    Fakt dobrý článok na zamyslenie, mám rád občas aj trocha teórie, nie samú prax. Čo by som ale vynechal je konkrétne tá časť zo Start SSL, zato že dáva certifikáty zdarma. Jednak dá zdarma myslím iba „modré“ certifikáty, kým snáď všetky banky používajú rozšírené zelené, jednak to že ich dáva zdarma automaticky neznamená, že sú menej dôveryhodné – to že je certifikát platený nehovorí nič o dôveryhodnosti danej firmy, viď problém s vydaním certifikátu Comodom na ktorý bolo upozornené už dávnejšie. Navyše asi každá normálna CA si dá pozor aby nevydala certifikát pre stránku paypal.org alebo niečo podobné.

Leave a Reply

Themocracy iconWordPress Themes

css.php