Ostatnio było trochę teksów, newsów, wrzutek jak zwał tak zwał, które miały pokazać, jak niebezpieczne, zdaniem autorów, jest wysyłanie wiadomości z linkami.

Nie chcę się kłócić, bo walka z paranoikami nie ma sensu. Chcę pokazać trochę inne podejście do tego problemu.

Dlaczego wysyłamy linki?

Zacznijmy od przyczyny. Dlaczego w ogóle różne instytucje wysyłają nam SMS-y i maile z linkami? Dawno, dawno temu, czyli jakieś 20-25 lat wstecz, gdy internet dopiero raczkował, pojawiła się zasada trzech kliknięć. Oryginalnie była zamieszczona w książce Jeffreya Zeldmana z 2001 r. p.t. „Taking Your Talent to the Web”. Ogólnie można ją ująć tak:

Nawigacja po stronie www pomiędzy jej treściami nie powinna być dłuższa niż trzy odnośniki.

Mówiąc prościej, jeżeli jako użytkownik chcę nawigować z artykułu A do artykułu B w ramach jednej strony, to nie powinienem wykonać więcej niż trzy kliknięcia. Brzmi sensownie? Brzmi sensownie. Jednak są tu dwie pułapki. Po pierwsze ta zasada jest tylko pewnego rodzaju heurystyką (w znaczeniu informatyki, a nie logiki). W tamtym czasie internet był wolny. Każde kliknięcie oznaczało, że trzeba czekać na dane. Każde kliknięcie kosztowało impulsy telefoniczne. W efekcie szukano jakiejś metody na projektowanie, która pozwoliłaby na zrównoważenie ilości kroków potrzebnych do wykonania ze złożonością zadania. No właśnie. Kliknięcie nie jest równe kliknięciu. Nie każde zadanie zrobimy w dwóch, czy trzech klikach. Te kliknięcia tak naprawdę opisują proces. Po drugie nie ma żadnych badań, które by potwierdzały, że trzy kliknięcia mają sens. Więcej do poczytania tutaj.

Jednak zasada trzech kliknięć to nie wszystko. Jest jeszcze reguła jednego kliknięcia od konkurencji. Chodzi tu o słowa Larry-ego Page-a:

On the Internet, competition is one click away

Czyli, klient może teoretycznie bez zbędnego wysiłku przejść do konkurencji. Oczywiście jest to głupota, ale dość nośna. Oczywiście, możesz pójść do konkurencji. Jednak czy ludzie to rzeczywiście robią? Czy inba z Twitterem spowodowała lawinowe przejście do Mastodona? Czy degeneracja Facebooka spowodowała, że tracą użytkowników? Czy Amazon, globalnie, traci przez interfejs z epoki internetu łupanego? Nie, a o przyczynach poczytacie na netopii.

Reasumując, przez ostatnie 20-kilka lat wypracowaliśmy sobie, jako wytwórcy internetów, pewne założenia. Nie do końca trzymają się one kupy, ale zostały „przepchnięte” w górę na pozycje, czy to decyzyjne (wraz z awansem) czy to stały się elementem korporacyjnych standardów i dobrych praktyk (w postaci design booków). I tych założeń się trzymamy. Ma być najlepiej jednym dwoma kliknięciami. W sposób maksymalnie uproszczony i przyjazny dla klienta. Zatem wysyłamy te linki, bo to jest ta nieszczęsna zasada trzech kliknięć – kliknij link, kliknij login, kliknij, zatwierdź oraz klient ma to podane na tacy. Nie kusi go „uciekanie” do konkurencji za pomocą jednego kliknięcia. Nie ma żalipostów, że trzeba przebijać się przez serwis transakcyjny i ludzie „się gubią”. Same plusy z punktu widzenia biznesu i całkiem OK z punktu UX.

Zagrożenia

Na drugim końcu problemu jest kwestia cyberbezpieczeństwa. Można podrobić wiadomość sms. Można wysłać „lewego” emaila. W niej umieszczamy link, który ofiara klika i umiera. Zarówno SMS, jak i email można wysłać do wielu ludzi i próbować ich „łowić”. Ktoś w końcu kliknie. Poda nam swój login i hasło. Super będziemy mieli dostęp do konta. Zainfekujemy go malwarem. Ilość możliwości jest naprawdę bardzo duża. Przy czym nadal istnieją bardziej klasyczne metody.

Czy to jest realny problem?

I tak i nie. Jak wszystko w IT, to zależy. Jeszcze nie tak dawno w podobny sposób wypowiadano się o kodach QR. Ich upowszechnienie miało prowadzić do armageddonu bezpieczeństwa i co? I nic się nie stało. Oczywiście nie oznacza to, że nie ma złośliwych kodów QR w przestrzeni publicznej. Są. Ale też nie są aż tak często skanowane i ludzie nie łapią się na lewe linki. Dużo większym problemem są scamy oparte o promocje i niewysyłanie towaru, czy przekręty na płatność kartą kredytową.

Tu mały offtop. Cholernie ciężkie do wykrycia z punktu widzenia użytkownika są wałki polegające na płatnościach „z bonusem”. Sklep Wałek Inc. wystawia towar np. buty do biegania popularnej marki, z promocją 30-50%. Następnie inwestuje pewną kwotę w reklamę w sieci np. linki sponsorowane w Google. W ten sposób ściąga klientów. Następnie klienci kupują i jak dochodzi do płatności, to dzieją się ciekawe rzeczy. Jedyną metodą płatności jest płatność kartą lub skorzystanie z usługi płatności jakiejś mało znanego pośrednika. Delikwent wybiera płatność kartą. Podaje dane, bo strona ma SSL-a, więc jest „bezpieczna”. Klika zapłać. W tym momencie sklep wysyła do operatora kartowego informację o obciążeniu, ale z zawyżoną kwotą. Zanim klient ogarnie, co się stało, to upływa kilka dni. Często nie ogarnie. Przy dobrej koordynacji czasowej np. początek sezonu, nabieramy wielu klientów. Kasa trafia do nas, a oni zostają z niczym.

Możemy więc przyjąć, że istnieje zagrożenie, ale tak jego skala jest nie do końca znana. W dodatku wraz ze wzrostem popularności danej formy powiadamiania czy usługi będzie proporcjonalnie spadać.

Że co??

Że to :) Wraz ze wzrostem wykorzystania usługi zagrożenia proporcjonalnie maleją. W dodatku restrykcyjne polityki bezpieczeństwa mogą je pogorszyć.

Paradoks kasków rowerowych

Jak to jest, że w USA, gdzie kaski rowerowe są wymagane, rowerzyści doznają obrażeń 21 RAZY częściej niż w Holandii, gdzie wymogu kasków brak?

Analizy tego zjawiska podjął się Greg Cuvler w pracy Bike helmets – a dangerous fixation? On the bike helmet’s place in the cycling safety discourse in the United States. I wiecie, co odkrył? Że kaski statystycznie nie poprawiają bezpieczeństwa. Oczywiście kaski CHRONIĄ przed obrażeniami głowy, ale ogólnie, to tak średnio działają. Dlaczego? Ponieważ organizatorzy ruchu, jak i prawodawcy skupiają się na kaskach jako, podstawowym elemencie ochronnym. Jednocześnie zaniedbują na przykład odpowiednie projektowanie infrastruktury. Co więcej, kierowcy, widząc rowerzystę w kasku, zachowują się znacznie bardziej niebezpiecznie w czasie wyprzedzania. I to już wiemy od 10 lat, dzięki eksperymentowi Iana Walkera. Sam eksperyment był potem przedmiotem krytyki (dość amatorska metodyka), ale kolejne podejścia do problemu potwierdzają tezy Walkera.

Ścierają się tutaj dwa punkty widzenia. Choć wydaje się, że są nie do pogodzenia, to jednak oba podejścia są poprawne. Jazda w kasku rzeczywiście może pomóc, JEŻELI zdarzy się wypadek. Jednak wprowadzenie obowiązku jazdy w kasku powoduje, że mniej ludzi jeździ na rowerach, a przez to statystycznie rowerzyści częściej ulegają wypadkom. Dlaczego tak się dzieje? Peter Jacobsen opublikował w 2003 roku badania, które mogą wskazywać przyczynę – więcej ludzi na rowerach/pieszych tym kierowcy bardziej uważają. Od tamtego czasu pojawiły się polemiki, ale sam mechanizm jest poprawny. Co więcej, całość ma nazwę – efek golfa.

Są też inne względy, które należy wziąć pod uwagę, między innymi zjawisko znane – przede wszystkim aktuariuszom i ubezpieczycielom – jako „efekt golfa”. W wielu miejscach, na przykład na Florydzie, stosunkowo wielu ludzi umiera podczas gry w golfa. Nie znaczy to jednak, że golf jest niebezpiecznym sportem. Po prostu w golfa gra ponadprzeciętnie wiele osób w dość zaawansowanym wieku, dotkniętych różnymi chorobami, i po prostu zdarza im się umierać podczas rozgrywki.

„Jak rowery mogą uratować świat”, autor Peter Walker, wyd. Wysoki Zamek 2018r.

Rowery i cyberbezpieczeństwo

Spróbujmy przenieść nasze doświadczenia rowerowe na grunt cyberbezpieczeństwa. Już kiedyś mieliśmy do czynienia z mechanizmem restrykcyjnego zabraniania i nakazywania. Nazywało się to polityką haseł. Hasło musiało mieć minimum osiem znaków, duże i małe litery, cyfry, znaki specjalne, gryzmoły oraz elementy języka migowego i odgłosów wiewiórki. W dodatku hasła musiały być zmieniane co miesiąc.

(dilbert-20050910.jpg)

A później odkryliśmy, że to nie działa tak, jak oczekujemy. Jednak w przeciwieństwie do rowerów, tutaj poza regułami działał jeszcze przymus. Hasła muszą być, a ludzie są leniwi, więc były to hasła słabe. Z czasem zmieniliśmy podejście. Obecnie polityki stawiają na podpowiadanie. Jakieś minim jest wymagane, ale zazwyczaj jest ono łatwe do spełnienia. Jednocześnie wzrosła świadomość narzędzi. Zarówno po stronie użytkowników, którzy zaczęli stosować managery haseł i aktywować 2FA, jak i programistów, którzy porzucili MD5 i SHA1 na rzecz bezpieczniejszych funkcji. Oczywiście nadal jest dużo do zrobienia. Jednak nie jest to aż tak dużo, jak się wydaje.

Czy można zatem puścić całość na żywioł i niech się dzieje wola Omnizjasza? Nie do końca.

Edukacja, nie straszenie

Problem z rowerami i kaskami polega na sposobie mówienia o tym. Jeżeli przedstawiamy jazdę na rowerze jako skrajnie niebezpieczną czynność, to ludzie się zniechęcą. Nawet jeżeli wprowadzimy obowiązek jazdy w kasku. Najlepszym przykładem na to są Australia i wyspa Jersey. Peter Walker poświęcił temu zjawisku cały rozdział w swojej książce „Jak rowery mogą uratować świat”. Jednocześnie wskazuje Holandię jako kraj, gdzie edukacja jest prowadzona „językiem pozytywnym”. Mówimy o zagrożeniach, podpowiadając jak ich uniknąć.

Tak samo można mówić o problemie linków w wiadomościach. Ok, wysyłajcie, ale uczulcie klientów na mechanizmy ataku oraz dajcie wybór. Takie podejście spowoduje, że ludzie zaczną rzeczywiście zwracać uwagę na to, co robią. Od strony IT wypracujemy też odpowiednie mechanizmy minimalizujące ryzyko. W końcu upowszechnienie się tego mechanizmu ograniczy, statystycznie, skalę problemów.

Paradoks strony z SSL-em

Wspomniany przeze mnie sposób ataku ze sklepem był wykorzystany wobec moich znajomych. Gdy odkryli, że karata została obciążona kilkusetzłotowym „bonusem”, to zadzwonili do banku i rozpoczęli procedurę chargeback. Zgadnijcie, co poradził konsultant, jako kroki zaradcze? Przypominam, płatność była kartą, a nie przez pośrednika.

Po pierwsze zablokował kartę. Ma sens. Po drugie kazał zmienić hasło do serwisu transakcyjnego oraz wszystkich innych kanałów komunikacji. To już sensu ma dużo mniej. Po trzecie kazał przywrócić telefon do ustawień fabrycznych ORAZ przeinstalować system na komputerze, z którego była dokonana transakcja. Fajny pomysł, prawda?

Konsultant to jednak tylko prosty biointerfejs do komunikacji z klientami. Dziś rozwiązuje problem lewego sklepu, a jutro będzie zmagać się z niezadowoleniem klientów z nowego regulaminu, czy będzie próbował pomóc przy aktywacji karty płatniczej. Ma do dyspozycji książkę, w której opisane są wszystkie scenariusze prowadzenia rozmowy. Jak czegoś nie ma w scenariuszu, to dupa. Jednak ktoś tę książkę pisze. Ktoś układa procedury i jak widać procedura w przypadku oszustwa na „lewy sklep” jest idealnie bezsensowna.

Gdy rozmawialiśmy o tej sytuacji, to znajomy nie był w stanie zrozumieć, że nikt nie „ukradł” jego loginu i hasła do konta, ani danych karty, a po prostu zrobił go w chuja. Człowiekowi ciężko się przyznać, że połasił się na promocję. Argument znajomego był jeden, że znalazł sklep w google i miał kłódkę. Kliknął link, czyli coś, przed czym ostrzegają paranoicy od bezpieczeństwa. Sprawdził, czy strona jest zabezpieczona, czyli znowuż postąpił zgodnie z ich instrukcją. Tylko z tym klikaniem to tak nie do końca, bo klikał z „pewnego” źródła, za jaki uważa się reklamy google. Najgorsze jest jednak to, że nie zrozumiał mechanizmu ataku, a tak naprawdę oszustwa, bo przecież nie możemy tu mówić o „atakowaniu” kogokolwiek w sensie przełamywania zabezpieczeń.

Z punktu widzenia użytkownika postąpił zgodnie z zaleceniami. Wybrał pewne źródło i zweryfikował zabezpieczenia. Podobnie jak ofiary wypadków rowerowych. Miał kask, jechał po DDR, a że kierowca miał to w dupie, no cóż… bywa.

Oczywiście można nie klikać w żadne linki… przy czym zastanów się drogi czytelniku, w jaki sposób dotarłeś do tego tekstu?