Ste menije v vašem lokalu že zamenjali z digitalnimi? Če še niste, vam svetujem, da pred uvedbo QR kode opravite analizo učinka spremembe na vašo varnost. Hecam se. Ob takšnem sporočilu bi se večina verjetno takoj obrnila stran. Čeprav to še zdaleč ni slab nasvet. Je pa vse odvisno od tega, kaj si pod tem pojmom predstavljate vi. Vam na poenostavljen način pojasnim, zakaj vas bi to moralo zanimati?

Ne zamudite! QR koda ponuja pomembno informacijo! 🙂

(Izvirnik slike: FLY:D z Unsplash / spletno mesto QR kode: viris.si)

Prejšnjič:

1. Kaj za vraga je analiza učinka na varnost?

2. Kaj je narobe z digitalnimi meniji?

Ko so digitalni meniji v obliki QR kod za pametne telefone preplavili gostinske lokale po svetu, večina ni pomislila na potencialne nevarnosti. In kot zadnje čase v navadi, se (predvsem dobičkonosne) novosti testirajo v javnosti. Naivni uporabniki so testni subjekti in hkrati kolateralne žrtve; brez škode za izvajalca testov.

In zakaj ne povem naravnost?

QR kode so informacijsko-varnostna nočna mora.

Pa ne moja, ampak vaša!

Verjetno ste že v kakem lokalu ‘morali’ z mobilnikom poskenirati QR kodo z mize. Ta naj bi na vašem telefonu odprla spletno stran menija dotičnega lokala. Pozor: ‘naj bi!’ Pa je res odprla pravo? Ste pred odpiranjem preverili, kam vas bo vodila povezava? Če vam je na mobilniku odprlo meni lokala, s tem še niste na varnem.

Odprli ste povezavo z vam neznano in mogoče nevarno spletno stranjo.

  • Ste pred tem prebrali, kam vas povezava vodi?
  • Kaj je povezava poleg pošiljanja menija na vaš mobilnik še omogočila nasprotni strani?
  • Kaj je z vašega mobilnika pobrala?
  • Je mogoče na mobilnik poleg menija naložila še kak zlonamerno kodo?

Kaj pa lahko QR koda povzroči?

Prevarant (ki bi ga najel tudi chef Bohinc) lahko v lokalni restavraciji QR kodo za ogled jedilnika prelepi z drugo. Gost z mize poskenira QR kodo in odpre povezavo, ta pa posledično na mobilnik namesti zlonarmerno aplikacijo, ki pobriše in ugasne mobilnik.

Slabost QR kod je v tem, da temeljijo na slepem zaupanju. To zadnje čase počasi le pojenja. V operacijske sisteme mobilnikov je šele zaradi nedavnih nadgradenj težje izsiliti namestitev zlonamernih aplikacij preko QR povezav.

QR kodo skenirate tako, da na mobilniku kamero usmerite v QR kodo. Aplikacija iz kode razbere povezavo in na zaslonu prikaže naslov spletnega mesta, ki ga namerava odpreti. Vi morate tega preveriti in potrditi, preden aplikacija vzpostavi povezavo. Tako imate vsaj možnost povezavo zavrniti, če je naslov videti sumljiv.

Podjetni prevaranti zlahka ustvarijo podoben videoposnetek z drugačno QR kodo. Za gornjo sliko s QR kodo in mojim logotipom sem potreboval manj kot 5 minut. Ponarejena povezava bi lahko odprla spletno povezavo, ki bi s telefona pobrala vse vaše osebne podatke in druge ‘uporabne’ informacije.

Naslednjič:

3. Odgovornost ponudnika storitev (8.3.2022)

Če potrebujete pomoč, vas z veseljem in brezplačno usmerim v pravo smer. Ali poskrbim, da vam strokovnjaki pomagajo pri bolj kompleksnih težavah.

Borut Kmetič


Po formalni izobrazbi sem diplomirani varstvoslovec informacijske varnosti, sicer pa imam precej izkušenj s področja vodenja in presoje ISO sistemov, svetovanja s področja informacijske varnosti, varstva osebnih podatkov, vodenja kakovosti, procesov in organizacijske kulture.

Kot sistemski inženir imam veliko operativnih izkušenj v IT-ju in na navedenih področjih. Pri zadnji zaposlitvi sem bil v vlogi vodje informacijske varnosti (cISO) v večji mednarodni kripto finančni instituciji. Tej sem se pridružil pri sanaciji ogromnega hekerskega vdora in postavljanju učinkovitega sistema informacijske varnosti.

Po naravi sem precej (samo)kritičen in vedno v iskanju izboljšav. Izzive rešujem s  celovitim sistemskim pogledom, s katerim lažje ocenim posamezno situacijo ter tako najdem bolj učinkovite strateške rešitve.

Ker verjamem v medsebojno pomoč in temu posledično osebno rast, vedno iščem priložnosti, da lahko pomagam drugim. Ker na probleme drugih lahko gledam bolj objektivno, lažje najdem rešitve, ki se včasih skrivajo tik pred očmi.

Borut@SmartAssets.it

Borut@Medium

Borut@Quora