Za prethodni post, prvi na ovom domenu, izabrao sam moj rad “Definisanje odnosa privatnosti i sigurnosti”. Kroz rad se stidljivo provlači ideja da apsolutna anonimnost na internetu može, u određenim slučajevima, nepovljno uticati na sigurnost. Kako danas stoje stvari, ukoliko želimo, na primer, da obavljamo novčane transakcije iz topline našeg doma, ili da se bavimo e-trgovinom, moramo biti spremni da se donekle odreknemo naše online anonimnosti. Podvlačim dve reči iz prethodnog pasusa: u određenim slučajevima i donekle.Zašto?Upravo u ovom postu pokušaću da predstavim i drugu stranu medalje ovog kompleksnog odnosa: Objasniću na koji način ugrožena privatnost može negativno uticati na sigurnost i povećati rizik od prevare. Kao primer uzećemo JMBG i Agenciju za privredne registre. Naravno, ovo nisu jedini problemi koji postoje, ali su pogodni za demonstraciju ideje.

Photo credit: PureVPN

Krećemo iz našeg dvorišta i bavimo se situacijom u Srbiji gde, se kultura privatnosti kreće na skali čiji su polovi “nema je” i “jedva je vidljiva”. Samim tim, kao posledicu imamo svakodnevno offlinei online ugrožavanje privatnosti građana. Dobru demonstraciju ovog problema u online svetu reprezentuje činjenica da se, na primer, JMBG-ovi građana Srbije nalaze svuda po netu: Rang liste za studentske domove, podaci o članovima izborne komisije, izborne liste kao i izolovani i teško objašnjivi slučajevi. Ovde uvek volim da pomenem slučaj jednog amaterskog košarkaškog kluba koji je, iz nekog, samo njima poznatog razloga, na svom sajtu objavio imena i prezimena svih svojih članova zajedno sa JMBG-ovima!?

Zašto je važno da JMBG bude privatan?Teško je to objasniti u nekoliko rečenica ali sama činjenica da JMBG koristite za ličnu identifikaciju (bilo sam JMBG ili kao deo nekog dokumenta) u banci, pošti, prilikom komunikacije

sa državnim organima itd, govori o tome da taj broj treba čuvati od očiju javnosti.Važno je napomenuti da JMBG nije samo broj. Ukoliko neko ima vaš JMBG on zna vaš datum rođenja, mesto rođenja kao i vaš pol a to su, što će biti pokazano u tekstu, tri podatka koja mogu u koakciji sa drugim podacima da naprave značajnu razliku kada je u pitanju ugrožavanje vaše privatnosti.Plastično rečeno, JMBG predstavlja neku vrstu vašeg offline passworda.Ipak, kompromitovan password možete promeniti, kompromitovan JMBG nažalost ne.Takođe Zakon o zaštiti podataka o ličnosti definiše ko, kada i kako sme da prikuplja podatke o ličnosti. Ili se Zakon ne poštuje ili objavljivanje prikupljenih podataka nije zabranjeno? Interesantančlanak na temu Zakona, koji sam pronašao priperemajući ovaj tekst, napisao je advokat Dragan Tošić: “Ostavi moj JMBG na miru”.

Kako stoje stvari u svetu? Pandan JMBG-u u SAD-u je SSN (Social Security Number). Iako se može reći da SSN ima relativno veću težinu od JMBG-a princip upotrebe vrlo je sličan. Za razliku od Srbije gde JMBG-ove možete downloadovati sa neta, u SAD-u to će biti malo teže. Brojeve ćete morati da ih kupite na crnom tržištu i tako rizikovati da budete uhapšeni. O stanju na crnom tržištu SSN-ova baš nedavno je, u dva navrata, pisao Brian Krebs.

Kakve posledice nepotrebno objavljivanje JMBG-a može da nosi?

Krađa identiteta i Agencija za privredne registre Kao što je najavljeno u naslovu, u ovom tekstu detaljnije ćemo se pozabaviti Agencijom za privredne registre jer je manifestacija odsustva kulture privatnosti u ovoj organizaciji potencijalno najbolnija po građane. Pritom sam ubeđen da se nije svesno došlo do ovakve pozicije već je samo došlo vreme za modernizaciju. Dosta toga se u Srbiji promenilo od 2005. godine kada je agencija osnovana.Prema sadašnjem stanju stvari APR može biti snažan katalizator u procesima ugrožavanja privatnosti i krađe identiteta građana. Kako smo došli do ovog zaključka i gle leži problem?

Ukoliko danas imate firmu u Srbiji (ili ste član upravnog odbora, odgovorno lice ili sl.) vaš JMBG nalazi se objavljen i svima dostupan na sajtu APR-a, zajedno sa vašim imenom i prezimenom.U slučaju da ste registrovani kao preduzetnik situcaja je još dramatičnija jer je sedište firme obično adresa na kojoj stanujete tako da je zapravo u tom slučaju objavljen još jedan podatak više.Uz podatke o vašim nalozima na društvenim mrežama, e-mail adresama, provere vašeg kretanja, potencijalni napadač ima već dosta materijala.

Da li su ovi podaci dovoljni za kreiranje napada?Pokušaćemo ovo da ilustrujemo jednim primerom:Vaš zadatak osmislite jednostavan social engineering napad na sledeću osobu i/ili njene saradike:

Demonstracija krađe identiteta/Social engineering napad:Recimo da ste preduzetnik koji ima mali ali perspektivan online biznis. Upravo ste na vašem blogu objavili da ste prihode u odnosu na prošlu godinu povećali za 70% primenom nove poslovne strategije i akvizicijom novog klijenta Firma d.o.o

Moguće rešenje zadatka:(dajem samo hintove i kostur mogućeg rešenje, ne bih da inspirišem nekoga na krivično delo – za sve nejasnoće obratite mi se slobodno preko kontakt strane)- Imamo ime i prezime, JMBG, Websajt a verovatno i twitter i FB nalog pa samim tim i fotografiju.- Imamo spisak klijenata i možemo da dođemo do njihovih kontakt podataka.- Imamo adresu stanovanja i verovatno fizički pristup poštanskom sandučetu jer nije u pitanju poslovna zgrada.- Da li imamo dovoljno podataka da se lažno predstavimo i pokušamo na taj način da izvršimo neki

vid zloupotrebe?- Kao dodatnu demonstraciju pogledajte video: See how easily freaks can take over your life

Photo credit: The Hacker News

Niste skeptik ukoliko postavite pitanje da li je ovakav scenario moguć ili se pitate koliko je verovatan?Odgovor na to daće nam sam APR.Na primer, u istom tom APR-u možete otvoriti firmu sa zloupotrebljenim podacima.Ovaj slučaj nije izolovan, što potvrđuje direktor APR-a u intervjuu datom Novostima korišćenjem odrednice “nekoliko slučajeva”. Međutim i APR nije usamljen.Kako google kaže, u Srbiji, otvaranje računa, podizanje kredita sa zloupotrebljenim podacima dešava se češće nego što mislimo. Takođe imam određana saznanja da je potpisivanje fiktivnih post-paid ugovora sa mobilnim operaterima je sve češće zastupljen vid prevare o kojem će se tek pričati u budućnosti.

Samim tim scenario je moguć. Verovatnoća da se ovako nešto dogodi velikim delom direktno je proporcionalna sa procenom napadača koliko novca može da izvuče tj. da li mu se isplati da se trudi. Da stvar bude još komplikovanija, meta ne morate biti vi, već neko od vaših saradnika ili klijenata.

Umesto zaključka: Aktiviranje alarma i apelČini se da je iz prethodnih paragrafa jasnije na koji način, u moderno, digitalno doba, doba sve većeposredne komunikacije ugrožena privatnost može ugroziti sigurnost od pojedinca i povećati rizik odprevare. Generalno, nadam se da se iz teksta vidi da je ovaj odnos dosta je širi od problema APR-a i JMBG-a. Sistemi ugrožavanja privatnosti iznešeni su detaljnije u prethodnom postu.

Možda ste se zapitali Zbog čega, više od pola godine od slučajeva pomenutih u prethodnom pasusu pišem blog o APR-u i privatnosti?Možda je ovo offtopic za celu priču o privatnosti ali je važno za sigurnost:Razlog je postojanje opasnost da se broj ovakvih slučajeva naglo poveća u 2014. godini- Do ovoga će doći u slučaju da APR ne promeni i ne modernizuje način na koji vrši obradu i proveru podataka.Evo šta je po sredi. U akcionom planu za realizaciju strategije za razvoj informacionog društva APRje dobio sledeći zadatak za poslednji kvartal 2013. godine:

Активност 11: Успостављање електронске услуге регистрације новог предузећа

(zapravo se sa elektronskom registracijom navodno krenulo 2008. ali trenutno ona nije moguća)

Činjenica je da nam je ovakva usluga više nego potrebna ali moramo biti svesni da nesigurna i ad hoc implementacija može da stvori dosta problema. Nemam uvid u plan implementacije ali pretpostavljam da je cilj da skoro sve može da se završi online što je veliki izazov sa sigurnosne procese.U tom slučaju ljudi iz APR-a moraju da budu svesni da sigurnosne procedure u registraciji koje su koristili do sada neće biti dovoljne da zaustave zlonamernike iz online sfere. Online sigurnost ima specifičnosti koje se ne manifestuju u offline svetu. Mehanizmi detekcije potencijalno prevarnog ponašanja prilično su specifični i bez prethodnog iskustva u online poslovanju, vrlo teško ćete doći do efikasnog modela zaštite.Gde je zapravo problem i izvor moje skepse?Možda je stvarno procenat zloupotrebe identiteta u offline registraciji zanemarljiv. U tekstu sam setrudio da ne budem previše strog i da prosipam praznu kritiku već da svaku tvrdnju argumentujem.Međutim, u slučaju da se ništa ne promeni, trenutni doprinos APR-a ugrožavanju privatnosti, opisanu ovom tekstu, može sutra biti jaka potpora za urušavanje sigurnosti sistema elektronske registracijepreduzeća. Postoji rizik da napravite sistem koji sam sebe kompromituje i da tako procenti zloupotreba budu značajno veći.

Zbog toga kratko apelujem na APR:- Čuvajte privatnost građana. Za početak sklonite JMBG-ove i sve ostale nepotrebne podatke od očiju javnosti. To će biti višestruko korisno a koristiće i vama.- Oprezno i sistematično, uz konsultovanje stručnjaka i analizu iskustva okolnih zemalja, zaplovite u elektronsku registraciju.