Konferencje
Mobile Trends
prelegent Maciej Najbar podczas swojego wystąpienia na Mobile Trends Conference 2025
Aplikacje Bezpieczeństwo

Iluzja bezpieczeństwa: dlaczego cyberochrona to proces, a nie stan

Autor: Magdalena Krawiec
Ikona zegara

Często żyjemy w przekonaniu, że jesteśmy bezpieczni. Widzimy kłódkę przy adresie strony, korzystamy z aplikacji, które deklarują szyfrowanie, a producenci zapewniają nas o „najwyższych standardach”. To jednak tylko iluzja bezpieczeństwa. Prawdziwa ochrona danych wymaga zrozumienia, gdzie kończą się możliwości technologii, a zaczyna najsłabsze ogniwo – człowiek.

W swojej prelekcji na Mobile Trends Conference Maciej Najbar obnażył mechanizmy działania cyberprzestępców i pokazał, jak łatwo złudne poczucie bezpieczeństwa prowadzi do poważnych konsekwencji. 

Kłódka jako metafora bezpieczeństwa

Kłódka to jeden z najbardziej rozpoznawalnych symboli bezpieczeństwa – również w świecie cyfrowym, gdzie oznacza zaszyfrowane połączenie HTTPS. Ma jednak jedną fundamentalną wadę: można ją otworzyć, ale można ją też rozciąć.

Każda kłódka, zarówno fizyczna, jak i cyfrowa, opiera się na skończonej liczbie kombinacji. Klucz do zamka to po prostu zestaw możliwych ustawień. Hasło? Tak samo – ciąg znaków, który można odgadnąć metodą brute force.

Brute force – atak bez śladów

Brute force to atak polegający na sprawdzaniu wszystkich możliwych kombinacji, aż do skutku. Największy problem polega na tym, że atak brute force nie pozostawia śladów.
Po wszystkim kłódka jest zamknięta, wygląda nienaruszona, a my nawet nie wiemy, że ktoś jej dotykał.

To tworzy idealne środowisko dla cyberprzestępców – nikt nie patrzy, nie ma ryzyka przyłapania.

Człowiek – najsłabsze ogniwo cyberbezpieczeństwa

Nowoczesne cyberataki rzadko przypominają spektakularne włamania znane z filmów. O wiele częściej są to działania metodyczne, wykorzystujące najprostsze słabości: złe hasła, brak ostrożności, nieuwagę.

Nawet najbardziej zaawansowany system przestaje działać, jeśli:

  • użytkownik korzysta z rutowanego telefonu,
  • twórcy aplikacji zapisują hasła w plikach niezaszyfrowanych,
  • firmy zapominają o ostrzeganiu klientów po wykryciu wycieku,
  • projektanci pomijają elementy analizy zagrożeń.

To tu zaczyna się thread model process – proces modelowania zagrożeń, który w praktyce często kończy się na połowie drogi.

Thread model process: proces, którego nie wolno skracać

Większość firm skupia się wyłącznie na trzech krokach:

  1. Określenie celu,
  2. Zaplanowanie działania,
  3. Sprawdzenie, czy system działa.

Problem polega na tym, że dwa kluczowe kroki – identyfikacja zagrożeń oraz szacowanie ich ryzyka – są pomijane. Powód? Terminy, presja, szybka produkcja.

Maciej Najbar pokazuje ten proces za pomocą prostej metafory komunikacji między kupującym a sprzedającym na zatłoczonym bazarze. Telefon przekazywany między nimi symbolizuje pakiety danych w internecie.

To idealny przykład, by zrozumieć:

Jak powstaje atak typu Man in the Middle?

Pomiędzy kupującym a sprzedającym pojawia się… cyberprzestępca, który przechwytuje telefon (pakiet), czyta wiadomości i podszywa się pod jedną ze stron.

Rezultat?

  • kupujący zostaje oszukany,
  • sprzedawca traci zaufanie klientów,
  • system przestaje działać.

Dopiero analiza tego zagrożenia pozwala stworzyć bezpieczny mechanizm komunikacji – analogię do szyfrowania asymetrycznego i późniejszej wymiany klucza PIN (szyfrowanie symetryczne).

Dlaczego certyfikaty ratują komunikację?

Nawet idealny system szyfrowania można obejść, jeśli przestępca wstawi się pomiędzy dwie strony jako fałszywy nadawca lub odbiorca. To dlatego w sieci kluczową rolę pełnią certificate authorities (CA) – niezależne instytucje potwierdzające tożsamość serwera.

To odpowiednik sytuacji, w której dzwonimy do mamy kupującego i pytamy: Czy ten telefon rzeczywiście należy do Twojego dziecka?

Dzięki CA przestępca nie może po prostu podmienić urządzenia i przejąć kontroli nad komunikacją.

Jak zabezpieczać dane i aplikacje? Najważniejsze zasady

Przed Tobą konkretne wskazówki dotyczącące ochrony danych wrażliwych. Oto najważniejsze obszary.

1. Unikaj zapisywania danych w niezaszyfrowanej formie

Wszystko, co aplikacja zapisuje w pamięci telefonu podłączonego do USB, może zostać odczytane. Najczęstsze błędy:

  • zapisywanie haseł w czystym tekście,
  • przechowywanie niewygasających tokenów,
  • brak szyfrowania lokalnej bazy danych.

Lepsze rozwiązania:

  • secure database (dane szyfrowane przed zapisem),
  • tokeny rotowalne,
  • OAuth (Google, Microsoft, Facebook).

2. Wybieraj bezpieczne algorytmy

Obecnie:

  • AES-256 – standard szyfrowania asymetrycznego,
  • SHA – standard haszowania.

Stare metody, takie jak RSA, są dziś głównie ciekawostką matematyczną, a słabe szyfrowanie jest gorsze niż… brak szyfrowania. Dlaczego?

Bo twórca aplikacji może uznać, że skoro dane są „zaszyfrowane”, to jest bezpiecznie – co jest fałszywym założeniem.

3. Rozważnie korzystaj z cache

Zasada ogólna jest prosta – jeśli dane są prywatne – nie cache’uj, jeśli są publiczne – można cache’ować.

Choć w praktyce nie zawsze da się uniknąć cache’owania danych prywatnych, ta filozofia pozwala zadać właściwe pytania:

  • czy na pewno muszę to cache’ować?
  • w jaki sposób mogę to zabezpieczyć?

4. Unikaj urządzeń zrootowanych – to otwarte drzwi dla przestępców

Rootowanie urządzenia oznacza pełen dostęp do plików. W takim środowisku:

  • przestępca ma przewagę,
  • dane wrażliwe mogą zostać przejęte,
  • aplikacja traci możliwość narzucania zabezpieczeń.

Możesz:

  • wykrywać źródło instalacji aplikacji (Google Play, Amazon),
  • weryfikować sygnaturę aplikacji,
  • blokować działanie na urządzeniach podejrzanych.

5. Uważaj na niestandardowe klawiatury – to potencjalne keyloggery

Każdy może pobrać klawiaturę z ładniejszą skórką. Problem?

Taka klawiatura może rejestrować wszystko, co wpisujesz:

  • loginy,
  • hasła,
  • dane karty płatniczej.

Dlatego aplikacja powinna:

  • sprawdzać, czy klawiatura jest systemowa,
  • wymuszać bezpieczną klawiaturę na Androidzie,
  • ostrzegać użytkowników o ryzyku.

Najważniejszy wniosek: bezpieczeństwo nigdy nie jest pełne

Cyberprzestępcy nie szukają tylko luk w aplikacji. Analizują cały system: urządzenie, oprogramowanie, użytkownika, przeglądarkę, klawiaturę, procesor, pamięć. Wykorzystują łańcuch wielu luk, aby uzyskać dostęp tam, gdzie nikt się tego nie spodziewa.

Dlatego:

  • stosuj pełny thread model process,
  • pamiętaj o identyfikacji zagrożeń,
  • zadawaj sobie pytanie: co może pójść nie tak później?,
  • nie popadaj w iluzję, że jedna „kłódka” wystarczy.

Zbyt wiele zabezpieczeń usypia czujność. Zbyt mało – otwiera drzwi dla przestępców. Kluczem jest świadomość, analiza i zdrowy rozsądek.

Artykuł powstał na podstawie prelekcji Macieja Najbara przedstawionej podczas Mobile Trends Conference 2025. A o bieżącej edycji Mobile Trends Conference przeczytasz tutaj.

Udostępnij
Mobile Trends
Zobacz także
Młodzi Polacy i ich smartfony: relacja pełna uzależnień, potencjału i wyzwań Bezpieczeństwo

Młodzi Polacy i ich smartfony: relacja pełna uzależnień, potencjału i wyzwań

Czytaj
Bankowość przyszłości – jak AI i biometryka zmieniają sektor finansowy Banking

Bankowość przyszłości – jak AI i biometryka zmieniają sektor finansowy

Czytaj
Rozporządzenie MiCA: wspólne zasady, lokalne pułapki, globalne szanse Banking

Rozporządzenie MiCA: wspólne zasady, lokalne pułapki, globalne szanse

Czytaj
Połowa spamu walentynkowego to oszustwa: jak cyberprzestępcy wykorzystują okres miłości? Bezpieczeństwo

Połowa spamu walentynkowego to oszustwa: jak cyberprzestępcy wykorzystują okres miłości?

Czytaj