Informacinių sistemų apsaugos teorijoje yra sena, bet puiki taisyklė: apsaugos sistemos tvirtumas priklauso nuo pačio silpniausio jos elemento. Rodos, dar visai neseniai ši problema buvo neišsprendžiama. Tačiau sprendimas, panašu, atsirado, kai grupė amerikiečių mokslininkų publikavo savo naują darbą, kuriame demonstruojamas, rodos, mokslinės fantastikos vertas dalykas: pasirodo, žmogų galima priversti prisiminti slaptažodį, kurio jis niekada negalės išduoti.
Informacinių sistemų (ir ne tik jų) apsaugos teorijoje yra sena, bet puiki taisyklė: apsaugos sistemos tvirtumas priklauso nuo pačio silpniausio jos elemento. Pavyzdžiui, galima banke įdiegti super brangias spynas, visus darbuotojus identifikuoti pagal akies rainelę arba pirštų atspaudus (ar net pagal unikalų širdies ritmą, kaip siūlo kai kurie mokslininkai), papildomai dar priversti įsiminti nesąmoningus slaptažodžius, kurių simbolių skaičius sudaro kelias dešimtis, tačiau kol darbuotojai visus slaptažodžius saugos ant monitorių užklijuotų popieriukų, nieko apsaugoti tikrai nepavyks.
Apsaugos sistemos tvirtumas priklauso nuo pačio silpniausio jos elemento
Kam reikėjo visos šios beletristikos? O gi tam, kad dar kartą įrodyti, jog pačia silpniausia grandimi dažniausiai tampa pats žmogus. Galime jį vadinti vartotoju arba tiesiog „tarpine“ tarp kėdės ir klaviatūros. Galybė hakerių, dirbančių abiejose barikadų pusėse, taip pat daugybė IT saugumo ekspertų ir analitikų įvairiose diskusijose išsako paprastą tiesą: nėra reikalo laužti durų, spynų, bandyti parinkti reikiamus raktus, ieškoti pažeidžiamumų programinėje ar aparatinėje įrangoje ar visa tai aprašančiose technologijose. Visada žymiai paprasčiau įsilaužti į saugomas sistemas, pasinaudojant socialinės inžinerijos metodais.
Viskas taip paprasta, kaip du kart du: galima paskambinti darbuotojui, kuris žino slaptažodį, ir apgaulės būdu „išpešti“ reikiamą informaciją. Galima tiesiog pasinaudoti patiklumu. Arba pasirausti iš biuro išmetamose šiukšlėse. Galima netgi pasinaudoti termorektalinės kriptografijos metodu (taip juokais vadinamas fizinį ir psichologinį spaudimą reikiamo žmogaus atžvilgiu). Jei jis žino tai, ko mums reikia, galų gale jis visa tai pasakys, nori jis to ar nenori.
Rodos, dar visai neseniai ši problema buvo neišsprendžiama. Tačiau sprendimas, panašu, atsirado, kai grupė amerikiečių mokslininkų (D. Sanchez, P. Reber, H. Bojinov, D. Boneh ir P. Lincoln) publikavo savo naują darbą, kuriame demonstruojamas, rodos, mokslinės fantastikos vertas dalykas: pasirodo, žmogų galima priversti prisiminti slaptažodį, kurio jis niekada negalės išduoti.
Kaip atskaitos tašką mokslininkai pasirinko taip vadinamą užslėpto mokymosi mechanizmą. Skirtingai nuo akivaizdaus mokymosi, kai mes, pavyzdžiui, kremtame knygas mokyklose ar universitetuose, slapto mokymosi metodas siūlo patirtį kaupti klaidų ir bandymų būdu, žmogui to nepastebint.
Ką tai reiškia ir kaip tai vyksta? Prisiminkite, kaip mokėtės važiuoti dviračiu, ir viskas bus žymiai aiškiau. Ta informacija, duomenys, gebėjimai, kurie buvo gauti tokio mokymosi metu, saugomi tose smegenų zonose, kurios atskirtos nuo suvokiamų faktų atminties. Taigi jūs negalite žodžiais apibūdinti, kaip būtent jūs, važiuodami dviračiu, išlaikote pusiausvyrą, nors tai puikiai darote. Šis mechanizmas tiriamas jau dešimtmečius, ir mokslininkai ne pirmą kartą susimąsto, kaip jį panaudoti, pašalinant slaptažodžių apsaugos silpnąsias vietas. Tačiau būtent minėta amerikiečių mokslininkų grupė sugebėjo mokslo pasiekimus perteikti praktinio algoritmo forma, kuri gali būti panaudota realiame gyvenime.
Tai, ką jie padarė, iš pirmo žvilgsnio atrodo labai paprasta: mokslininkai sukūrė žaidimą. Jame pamatysime šešias stiklines, į jas krenta rutuliukai, o žaidėjas turi suspėti perimti tiksliai reikiamu momentu, spaudinėjant kiekvieną stiklinę atitinkantį klaviatūros mygtuką (S, D, F ir t.t.). Išoriškai tai gali labai priminti daugeliui žinomą „Guitar Hero“, tačiau skirtumas tik tas, kad nėra pačios gitaros. Žaidimas trunka nuo 30 minučių iki valandos, rutuliukai krenta atsitiktine tvarka. Tačiau visa paslaptis slypi tame, jog viskas atsitiktinai vyksta tik iš pirmo žvilgsnio. Iš tikrųjų, pačiam vartotojui net nepastebint, tačiau daugiau nei šimtą kartų per žaidimą, rutuliukai pradeda kristi tam tikra seka, kuri atitinka tam tikrą raidžių rinkinį. Užsirašę tuo metu spaudžiamus mygtukus, žmogus pamatytų prasmės neturinčią 30 simbolių kombinaciją. Ir nori jis to ar ne, tačiau žaidimui pasibaigus, ši kombinacija jau tupi jo smegenyse!
Žaidėjas negali prisiminti šios kombinacijos – nei visos, nei dalimis. Jis nieko nepajus (kažko panašaus į „aš jau tai kažkur mačiau!“ nebus), jei jam parodytume šią kombinaciją, užrašytą ant popieriaus. Ir vis tik, jei dabar žmogų vėl pasodintume prie šio žaidimo ir vėl pradėtų kristi rutuliukai atitinkama seka, jis „pereis“ žaidimą greičiau, nei tuomet, kai tik mokėsi jį žaisti. Jis sąmoningai nesuvokia savo patirties, tačiau pirštai prisimena, kaip reikia reaguoti konkrečiu atveju. Ir statistika tai puikiai parodo (žaidėjas padarys mažiau klaidų). Grįžtant apie analogiško „Guitar Hero“, rezultatą galima paaiškinti taip: išmoktą melodiją sugrosime geriau.
Taigi mūsų smegenyse atsiradusi 30 simbolių kombinacija ir yra slaptažodis, kurį žmogui reikia įsiminti. Mokslininkai įrodė, jog informacija „bandomojo triušio“ galvoje išlieka mažiausiai keletą savaičių ir greičiausiai ji ten išliks daug ilgesniam laikui, jei tikėti turimais duomenimis apie žmogaus atminties funkcionavimo mechanizmą. Garantuoti tokį efektą galima periodiškai treniruojantis (visa tai užtruks trumpiau, nei mokymosi procesas). Patikrinimas, ar slaptažodis įsimintas, trunka apie penkias minutes.
Amerikiečių mokslininkai savo projektą klasifikuoja kaip priklausantį elgesio biometrijos ir kognityvinės psichologijos sritims. Nereikia būti šių sričių specialistu, kad suprastume, jog namų kompiuterių apsaugai panaši apsauga bus neadekvačiai sudėtinga. Tyrimo autoriai mano, jog visa tai galima panaudoti ypatingų svarbių objektų apsaugai, pavyzdžiui, atominėse elektrinėse ar karinės paskirties objektuose. Antra vertus, žinant tai, jog šiais laikais ir finansų sistema gali sukelti tikrai katastrofiškus padarinius, projektu gali susidomėti ir privačios kompanijos. Juk toks mokymas leidžia ne tik „įkalti“ į galvą jokios prasmės neturinčią simbolių kombinaciją (netgi ir labai norėdami, vargu, ar sąmoningai imsite tai daryti), tačiau ir garantuoti, jog žinantis tokį slaptažodį žmogus niekada jo neišduos.
Galime trumpam įsivaizduoti, jog su tokiu mokslininkų sukurtu treniruokliu pasitreniravusį darbuotoją pagrobia nusikaltėliai. Kaip ištraukti iš jo slaptažodį? Fizinė jėga nepadės: informacija juk saugoma toje smegenų zonoje, kuri atskirta nuo sąmoningai suvokiamų faktų atminties srities, todėl žmogus negalės slaptažodžio užrašyti ar jį atpažinti. Pasodinti žmogelį prie kompiuterio, kuriame veikia treniruoklio kopija? Taip pat beviltiška, kadangi slaptažodžio žinojimo patikrinimui rutuliukai turėtų kristi tam tikra seka. Kitais žodžiais tariant, žaidimas turi žinoti, kokią melodiją sugroti, kad būtų galima patikrinti žaidėjo reakciją. Tam reikalui reikia pagrobti ne tik žmogų, bet ir gauti prieigą prie kompiuterio, tačiau prisijungti prie jo reikalingas slaptažodis, kurį mums ir reikia sužinoti. Dar daugiau, jei vis tik nusikaltėliams pavyktų pasodinti darbuotoją prie tarnybinio kompiuterio, yra teorinė galimybė atpažinti (atsižvelgiant į mygtukų paspaudimo stilių), ar tik žmogaus neveikia prieš savo valią.
Aišku, klausimų vis dar yra daugiau, nei atsakymų. Kaip ilgai be pakartotinių treniruočių vartotojas galės atkurti slaptažodį? Kaip greitai auga klaidų skaičius? Ar galima sutrumpinti mokymosi laiką, nepakenkiant slaptažodžio stiprumui? Juo labiau, ar ilgai toks metodas bus konkurencingas, kai pasirodys kitos technologijos, pavyzdžiui, IBM kuriama multifaktorinė biometrija, kuri po penkerių metų, jei tikėti kompanijos atstovų pareiškimais, leis atsisakyti slaptažodžių, kuriuos prisiminsime tik kaip naktinį košmarą. Aišku, ir „Mėlynojo giganto“ siūlomas variantas nėra idealus: juk mes patys tampame slaptažodžiu, kurio niekada nebepakeisime. Tad tenka konstatuoti eilinį kartą: idealaus slaptažodžio paieškos tęsiasi, o pastarasis mokslininkų darbas – tai tikrai įdomus žingsnis toje sferoje, kurioje mokslo žmonės suka galvas ne vieną dešimtmetį.
