Upozorenja o sigurnosnim certifikatima ne rade, kažu istraživači

Svaki web surfer je vidio. Te upozorenja o "nevažećem certifikatu" koje ponekad dobivate kada pokušavate posjetiti sigurnu web stranicu.

Kažu stvari poput "Postoji problem s sigurnosnim certifikatom na ovom web mjestu". Ako ste poput većine ljudi, možda ćete se osjećati neodređeno nelagodno i - prema novom članku istraživača na Sveučilištu Carnegie Mellon - postoji dobra šansa da ćete zanemariti upozorenje i svejedno kliknuti.

laboratorijski eksperiment, istraživači su otkrili da između 55 i 100 posto sudionika zanemaruje upozorenja o certifikatima, ovisno o tome koji je preglednik koristio (različiti preglednici koriste različite jezike kako bi upozorili svoje korisnike).

[Daljnje čitanje: Kako ukloniti zlonamjerni softver iz vaše računalo sa sustavom Windows]

"Svi su znali da postoji problem s tim upozorenjima", rekla je Joshua Sunshine, diplomantica Carnegie Mellona i jedan od koautora. "Naša je studija dramatično pokazala koliko je velik problem."

To nije sjajna vijest. Često se upozorenja pojavljuju zbog tehničkih problema na web stranici, ali također mogu značiti da se web surfer preusmjerava nekako na lažnu web stranicu. URL-ovi za sigurne web stranice počinju s "https".

Istraživači su proveli online istraživanje više od 400 web surfera kako bi saznali što misle o upozorenjima o certifikatima. Zatim su doveli 100 ljudi u laboratorij i proučavali kako surfaju webom.

Otkrili su da ljudi često imaju pomiješano razumijevanje upozorenja o certifikatima. Na primjer, mnogi su mislili da mogu ignorirati poruke kada posjećuju web mjesto koje vjeruju, ali da bi trebali biti oprezniji na manje vjerodostojnim web stranicama. "To je svojevrsno unakrsno razumijevanje onoga što te poruke znače", rekla je Sunshine. "Poruka potvrđuje da posjetite web mjesto na kojem mislite da posjećujete, a ne da je web mjesto pouzdano."

Ako bankarski web site pokazuje poruku da je sigurnosni certifikat nevažeći, to je vrlo loš znak, tvrde sigurnosni stručnjaci. To bi moglo značiti da je web surfer podvrgnut tzv. Čovjek-u-srednjem napadu. U ovom tipu napada, kriminalac se umetne između internetskog surfera i stranice koju posjećuje, u nadi da će ukrasti informacije.

Sigurnosni stručnjaci već dugo znaju da su ta sigurnosna upozorenja nedjelotvorna, rekao je Jeremiah Grossman, Web sigurnosna savjetovanja. Zato jer korisnici "zaista ne znaju što znače sigurnosni rizici", rekao je on putem instant poruke. "Dakle, oni se kockaju."

U pregledniku Firefox 3 Mozilla je pokušao upotrijebiti jednostavniji jezik i bolja upozorenja za loše certifikate. A preglednik otežava zanemarivanje upozorenja o lošem certifikatu. U laboratoriju Carnegie Mellon, korisnici Firefoxa 3 bili su najmanje vjerojatno da će kliknuti nakon što su upozoreni.

Istraživači su eksperimentirali s nekoliko redizajniranih sigurnosnih upozorenja koje su sami napisali, što je izgledalo još učinkovitije. Oni planiraju prijaviti svoje otkriće 14. kolovoza na Simpoziju za sigurnost Usenix u Montrealu. Ipak, Sunshine vjeruje da će bolje upozorenje pomoći samo toliko. Umjesto upozorenja, preglednici bi trebali koristiti sustave koji mogu analizirati poruke o pogreškama. "Ako ovi sustavi odluče da će to vjerojatno biti napad, oni bi samo trebali blokirati korisnika", rekao je.

Čak i kada posjećujete važne web stranice poput banaka, "ljudi i dalje drastično ignoriraju upozorenja", kazao je.