Gregor Spagnolo je Društvo OWASP Maribor, podružnico svetovne organizacije OWASP, ki si prizadeva za izboljšanje varnosti programske opreme, soustanovil pred tremi leti. Njihovo poslanstvo je v prvi vrsti zapolniti vrzel v znanju mladih – srednješolcev, predvsem pa študentov računalništva – na področju kibernetske varnosti. »V študijskih programih je premalo poudarka na tem področju, čeprav so kadri na področju kibernetske varnosti izjemno pomembni tako za gospodarski sektor kot za samo državo.« S slednjo Gregor Spagnolo tesno sodeluje: aprila je bil med drugim vodja slovenske ekipe na letošnji največji in najbolj kompleksni mednarodni vaji kibernetske obrambe na svetu, Locked Shields 21, na kateri so preverjali sposobnost držav za obrambo pred hekerskimi napadi na ključne sisteme.
Okrog deset prostovoljcev Društva OWASP Maribor, ki se profesionalno ukvarjajo z informacijsko varnostjo, nadebudnim računalničarjem predajajo svoje znanje na delavnicah in dogodkih. Gradijo skupnost, kot se izrazi Gregor Spagnolo. »Ponosen sem na našo ekipo. Tako lepo je videti ljudi, ki z veseljem delijo svoje znanje, in to brezplačno. Ves denar, ki ga dobimo v društvu, porabimo za organizacijo tekmovanj in kritje dejavnosti, namenjenih mladim.«
Te dni se pospešeno pripravljajo na dogodek Cyber Night (kibernetska noč, op. p.), na katerem bodo srednješolci in študentje tekmovali v reševanju varnostnih izzivov, najboljši pa se bodo udeležili evropskega tekmovanja v Pragi. Gre za t. i. Capture the flag (ujemite zastavo, op. p.) tekmovanje, v katerem udeleženci rešujejo najrazličnejše naloge. »Rdeča nit bo hekanje, napadanje sistemov. Ko vdreš, v sistem vneseš zastavo, ki je dokaz, da ti je uspelo – od tod ime tekmovanja.«
Tanka meja med etičnim in neetičnim
Ko Gregor Spagnolo govori o hekanju, ima v mislih seveda etično hekanje. Meja med etičnim in neetičnim pa je tanka, pravi. »O etičnem hekanju govorimo, ko imamo izrecno dovoljenje tistega, ki ga napadamo. Ko nas torej nekdo najame, da v njegovem informacijskem sistemu poiščemo pomanjkljivosti. Če nas želi kdo najeti, da bi vdrli v Facebook račun njegove partnerice, to seveda ni etično. Ne boste verjeli, ampak tudi takšne prošnje prejemamo. Veliko deklet nam piše, da bi rade dostop do fantovih sporočil, ker da bi rade vedele, ali jih vara. V afektu se ne zavedajo, da je to nezakonito. Takšnim prošnjam seveda ne ugodimo.«
V Društvu OWASP Maribor so razvili aplikacijo, podobno spletni banki, na kateri se lahko mladi učijo vdiranja v sistem. Poudarek je seveda na mladih, ki si želijo kariere na področju kibernetske varnosti. Kdaj pa kdaj pa se njihovih izobraževanj udeležijo tudi takšni z manj plemenitimi nameni. »Hitro prepoznamo ljudi, ki se želijo naučiti vdiranja v sisteme, da bi se s tem nezakonito okoristili. Razkrijejo se z vprašanji, ki jih zastavljajo. Ta so zelo specifična; jasno je, da so se že lotili vdiranja v sistem in jim za uspeh manjka samo še nekaj kamenčkov v mozaiku. No, pa tudi sicer niso pretirano subtilni. Pogosto se kar sami pobahajo, kako daleč so prišli s hekanjem.«
Bombastične akcije in gole fotografije
V okviru Programa Active Citizens Fund, ki ga financirajo države donatorice Norveška, Islandija in Lihtenštajn, je OWASP Maribor v teh mesecih pripravil kampanjo ozaveščanja o kibernetskih napadih in prevarah. Z njo nagovarjajo širšo javnost. S povečanim obsegom dela od doma in spletnega nakupovanja se je namreč močno povečalo število poskusov prevar in napadov – po ocenah ameriške organizacije za kibernetsko varnost PurpleSec se je kibernetski kriminal od začetka pandemije povečal za kar 600 odstotkov.
Država na področju ozaveščanja o tovrstnem kriminalu ne naredi dovolj, poudari Gregor Spagnolo. »Videi, ki jih država objavlja v okviru projekta Varni na internetu, so super, a ne prodrejo do splošne javnosti.« Ena najpogostejših pasti, v katere se povprečni uporabniki spleta (pre)hitro ujamejo, so lažne spletne trgovine. »Nikoli ne nasedajte na bombastične akcije! Pred nakupom v spletni trgovini, ki je ne poznate, vedno preverite, koliko časa je registrirana njihova domena. Sleparske domene ponavadi obstanejo največ kakih mesec dni, preden jih blokirajo. Je pa res, da so sleparji vedno bolj inovativni in kupujejo stare domene.« Če se vam spletna trgovina zdi sumljiva, jo prijavite na SI-CERT, nacionalni odzivni center za kibernetsko varnost, priporoča Spagnolo.
Vse bolj pogosta prevara, ki se ji v okviru ozaveščevalne kampanje posvečajo v društvu, je tudi phishing oziroma spletno ribarjenje, pri kateri želi goljuf – največkrat s pomočjo elektronske pošte in lažnega predstavljanja – pridobiti gesla in osebne podatke spletnih uporabnikov. »Grozijo jim na primer, da bodo javno objavili njihova sporočila ali pa gole fotografije. Ljudje se prestrašijo in jim plačajo, da tega ne bi storili, prijaviti pa jih ne želijo, ker jim je nerodno.« Najboljša obramba pred takšnimi napadi je t. i. dvofaktorska avtentifikacija (2FA), svetuje Spagnolo. Ta združuje uporabnikovo geslo in drugi faktor, enkratno generirano geslo. »Tudi če vam sleparji ukradejo geslo, jim to brez generiranega gesla prav nič ne pomaga. Dvofaktorska avtentifikacija je osnovna higiena kibernetske varnosti, ki bi jo morali uporabljati vsi!« nam položi na srce.