Hackování na Twitteru se musí zastavit

Original page: https://www.schneier.com/essays/archives/2020/07/the_twitter_hacks_ha.html

 

 

Twitter byl tento týden hacknut. Ne Twitter pro pár lidí, ale pro všechny Twitter. Někdo ohrozil celou síť Twitteru pravděpodobně tím, že ukradl přihlašovací údaje některého ze správců systému Twitter. Tito lidé jsou důvěryhodní, aby zajistili hladké fungování Twitteru.

Hacker použil tento přístup k odesílání tweetů z různých populárních a důvěryhodných účtů, včetně účtů Joe Bidena, Billa Gatese a Elona Muska, jako součást světského podvodu – krádeže bitcoinů – ale je snadné si představit nebezpečnější scénáře. Představte si, že vláda používá tento druh útoku proti jiné vládě a koordinuje řadu falešných tweetů stovek politiků a dalších osobností veřejnosti den před velkými volbami, aby ovlivnila výsledek. Nebo eskalovat mezinárodní spor. Dobře, bylo by to zničující.

Není známo, zda hackeři měli přístup k přímým zprávám na Twitteru. Tyto DM nejsou šifrovány end-to-end, což znamená, že nejsou šifrovány v síti Twitter a mohly být hackerům k dispozici. Tyto zprávy – mezi světovými vůdci, generálními řediteli, reportéry a jejich zdroji, zdravotnickými organizacemi – jsou mnohem cennější než bitcoiny. (Kdybych byl národní zpravodajskou agenturou, mohl bych dokonce použít bitcoinový podvod k maskování mého skutečného účelu shromažďování zpravodajských informací.) V roce 2018, Twitter řekl, že zkoumá šifrování těchto zpráv, ale ještě ne.

Internetové komunikační platformy – jako je Facebook, Twitter a YouTube – jsou v dnešní společnosti klíčové. Takhle spolu komunikujeme. Takto s námi komunikují naši volení vůdci. Jsou to nezbytná infrastruktura. Přesto je provozují ziskové společnosti s malým vládním dohledem. To už prostě není udržitelné. Twitter a společnosti, jako je to, jsou nezbytné pro náš národní dialog, pro naši ekonomiku a pro naši demokracii. Musíme s nimi začít jednat tímto způsobem, a to znamená, že je od nich vyžaduje, aby odvedli lepší práci v oblasti bezpečnosti, a rozešli je.

V případě Twitteru tento týden nebyly hackerovy taktiky příliš sofistikované. Téměř jistě se dozvíme o bezpečnostních výpadcích na Twitteru, které hacknutí umožnily, možná včetně útoku na SIM kartu, který se zaměřil na poskytovatele mobilních služeb zaměstnance, nebo možná dokonce na úplatek zasvěcenýchFBI vyšetřuje.

Tento druh útoku se nazývá „třídní přestávka“. Třídy jsou pro počítačové systémy endemické a nejedná se o něco, proti čemu se my jako uživatelé můžeme bránit lepší osobní bezpečností. Nezáleželo na tom, zda jednotlivé účty měly složité a těžko zapamatovatelné heslo nebo dvoufaktorové ověření. Nezáleželo na tom, zda byly účty běžně přístupné přes Mac nebo PC. Dosud nebylo nic, co by žádný uživatel mohl udělat, aby ho chránil.

Přerušení třídy jsou bezpečnostní chyby, které narušují nejen jeden systém, ale celou třídu systémů. Mohou zneužít zranitelnost v konkrétním operačním systému, která útočníkovi umožňuje dálkové ovládání každého počítače, který běží na softwaru daného systému. Nebo zranitelnost digitálních videorekordérů a webových kamer s internetovým připojením, která útočníkovi umožňuje přijímat tato zařízení do masivního botnetu. Nebo jediná zranitelnost v síti Twitter, která útočníkovi umožňuje převzít každý účet.

Pro uživatele Twitteru byl tento útok dvojitou whammy. Mnoho lidí se spoléhá na autentizační systémy Twitteru, aby věděli, že někdo, kdo se snaží být určitou celebritou, politikem nebo novinářem, je skutečně tou osobou. Když byly tyto účty uneseny, důvěra v tento systém trhala. A poté, co byl útok objeven a Twitter dočasně zrušil všechny ověřené účty, veřejnost ztratila životně důležitý zdroj informací.

Existuje mnoho bezpečnostních technologií, které společnosti jako Twitter mohou implementovat, aby lépe chránily sebe a své uživatele; to není problém. Problém je ekonomický a jeho vyřešení vyžaduje provedení dvou věcí. Jeden z nich reguluje tyto společnosti a požaduje, aby utratili více peněz za bezpečnost. Druhým je snížení jejich monopolní moci.

Bezpečnostní předpisy pro banky jsou složité a podrobné. Pokud by byl zaměstnanec bankovního sektoru na nízké úrovni chycen, aby si pohrával s účty lidí, nebo pokud by omylem poskytla přihlašovací údaje někomu jinému, banka by byla přísně pokutována. V závislosti na podrobnostech incidentu mohou být vrcholoví vedoucí pracovníci bank považováni za osobně odpovědné. Hrozba těchto akcí pomáhá udržovat naše peníze v bezpečí. Ano, stojí to peníze bank; někdy to vážně snižuje jejich zisky. Ale banky nemají na výběr.

Opak je pravdou pro tyto technologické giganty. Mohou se rozhodnout, jakou úroveň zabezpečení svých účtů máte, a v této věci nemáte žádné slovo. Pokud vám jsou nabídnuty možnosti zabezpečení a soukromí, je to proto, že se rozhodli, že je budete mít. Neexistuje žádná regulace. Neexistuje žádná odpovědnost. Neexistuje ani žádná transparentnost. Víte, jak jsou vaše data v bezpečí na Facebooku, v Apple iCloud nebo kdekoli? Ty ne. Nikdo kromě těchto společností ano. Přesto jsou klíčové pro národní bezpečnost země. A jsou to vzácný spotřebitelský produkt nebo služba, která může fungovat bez významného vládního dohledu.

Například Twitterův účet prezidenta Donalda Trumpa nebyl hacknut jako Joe Biden’s, protože ten účet má „ zvláštní ochranu“, jejíž podrobnosti nevíme. Také nevíme, co ostatní světoví vůdci mají tyto ochrany, nebo rozhodovací proces kolem toho, kdo je získá. Jsou to manuální? Mohou škálovat? Mohou je mít všechny ověřené účty? Tvůj odhad je stejně dobrý, jako můj.

Kromě bezpečnostních opatření je dalším řešením rozbití technologických monopolů. Společnosti jako Facebook a Twitter mají tolik síly, protože jsou tak velké a čelí skutečné konkurenci. Jedná se o riziko národní bezpečnosti i riziko osobní bezpečnosti. Kdyby existovalo 100 různých společností podobných Twitteru a dostatečná kompatibilita, aby se všechny jejich kanály mohly spojit do jednoho rozhraní, tento útok by nebyl tak velký problém. Ještě důležitější je, že riziko podobného, ale politicky zaměřeného útoku by nebylo tak velké. Pokud by existovala konkurence, různé platformy by nabízely různé možnosti zabezpečení, stejně jako různá pravidla účtování, různé pokyny pro ověřování – různé všechno. Konkurence je způsob fungování naší ekonomiky; takto podněcujeme inovace. Monopoly mají větší moc dělat to, co chtějí, v hledání zisku, i když to lidem na cestě škodí.

To nebyl Twitterův první bezpečnostní problém týkající se důvěryhodných zasvěcených. V roce 2017, v poslední pracovní den, zrušil zaměstnanec účet prezidenta Donalda Trumpa. V roce 2019 byli dva lidé obviněni ze špionáže saúdské vlády, zatímco byli zaměstnanci Twitteru.

Možná bude tento hack sloužit jako buzení. Ale pokud minulé incidenty týkající se Twitteru a dalších společností jsou náznaky, nebude. Nedostatečné výdaje na bezpečnost a nechání společnosti platit případnou cenu jsou mnohem výnosnější. Neobviňuji technické společnosti. Jejich firemní mandát je vydělat co nejvíce peněz, jak je to legálně možné. Řešení tohoto problému vyžaduje změny v zákoně, nikoli změny v srdcích vůdců společnosti.