Słyszeliście, że ostatnio w mediach dość sporo mówi się o zabezpieczaniu korespondencji e-mail? Nie każdy z nas jest celem wysokiej wartości (High Value Target, HVT), ale każdy z nas przez swoją niefrasobliwość może narazić się na ryzyka, związane z wyciekiem korespondencji. Naruszenie prywatności, wgląd w nasze intymne/wrażliwe treści, kradzież tożsamości (podszywanie się pod nas), okradanie (jako my) naszych znajomych, czy wreszcie dostęp do (ważnych) danych naszego pracodawcy. To nie wszystkie z potencjalnych ryzyk, związanych z uzyskaniem przez osobę niepowołaną dostępu do naszego konta e-mail. To nie muszą być dane ważne dla bezpieczeństwa państwa, by zrobiło nam się gorąco…

Jak się chronić? Na szczęście dla znaczącego ograniczenia ryzyka nie trzeba wiele. W dzisiejszych zaganianych czasach szkoda nam czasu na czynności, które wydają się zbędne. Jeśli jednak zdamy sobie sprawę, że zmiana naszych przyzwyczajeń względem kont e-mail, czy social mediowych, tak naprawdę nie zajmie nam o wiele więcej czasu – łatwiej będzie się do tego przyzwyczaić.

Po pierwsze – hasło

Od lat się mówi, że hasło to przeżytek, że kto to wszystko spamięta, żeby od haseł odchodzić. Co do zasady – absolutnie się zgadzam! Tylko, że w przypadku konta mailowego nikt nie wymyślił sensownej alternatywy. Dodatek do hasła – tak (o tym później), ale zastępstwo hasła jeszcze nie.

Choć są firmy, w których niezmiennie trwa podejście „bardzo-długie-totalnie-losowe-hasła-zmieniane-co-miesiąc” od tego na szczęście już się odchodzi. Nie powiem Wam, jaka jest polityka haseł w Orange Polska, ale zdradzę, że hasła zmieniamy rzadziej, niż co miesiąc. Dzięki temu nie zdarzają się sytuacje, gdy pół firmy loguje się, wpisując: „Czerwiec21!”, a przy zmianie hasła – „Lipiec21!”. Takie podejście mobilizuje do tego, żeby wymyślić hasło realne do zapamiętania, a jednocześnie wystarczająco trudne. Ja na szkoleniach podaję przykład znanego tylko Tobie zwrotu, zdania, np.:

Litwo, ojczyzno moja! Ty jesteś jak zdrowie!

Z którego można wziąć pierwsze litery i znaki przestankowe,  by powstało:

L,om!Tjjz!

Trudne? Trudne. Łatwe do zapamiętania, jeśli znamy punkt wyjścia? No ba! Może tylko trochę za krótkie. Jeśli z serwisu, z którego korzystasz, wycieknie baza haseł, z prawdopodobieństwem graniczącym z pewnością złodziej spróbuje złamać te do 8, ew. do 12 znaków. 13- i dłuższych nie będzie mu się opłacało.

W przypadku haseł przede wszystkim polecam korzystanie z menedżera haseł (jest ich sporo w sieci). Ja sam jednak kilka podstawowych haseł: do menedżera haseł (ha!), banku, czy sieci firmowej pamiętam w głowie. Uwierzcie mi, nawet jeśli jest to pokręcone 20-znakowe hasło, po wpisaniu go 30. raz i tak je zapamiętacie.

Po drugie – zaskocz oszusta

Wyobraź sobie gościa, który w jakiś sposób wszedł w posiadanie Twoje hasła. Z uśmiechem godnym Don Pedro, szpiega z Krainy Deszczowców wpisuje je, potwierdza i… wyskakuje mu monit o wpisanie drugiego składnika uwierzytelnienia!

Ha!

Chyba nie potrafię sobie skojarzyć żadnego poważnego serwisu, który nie udostępnia możliwości uwierzytelniania dwuskładnikowego. O co chodzi? W skrócie – konfigurujemy odpowiednią aplikację (SMSowe 2FA odradzam, wiadomość z kodem łatwiej przechwycić/podejrzeć, ale to temat na inny tekst). Po więcej zapraszam do lektury tekstu na blogu, poświęconego 2FA. Ja, ze względu na częste zmiany telefonów, korzystam z aplikacji Authy, polecam również Google Authenticator.

Specyficzną odmianą 2FA jest klucz sprzętowy. W Orange Polska używamy dedykowanego rozwiązania kryptograficznego, które pozwala nam zalogować się do sieci korporacyjnej, podpisać cyfrowo maila, czy zaszyfrować go. Ogólnodostępne rozwiązanie, np. Yubikey, generuje jednorazowy, specyficzny dla konkretnego egzemplarza kod po dotknięciu guzika w kluczu wetkniętym w gniazdo USB komputera. W lepszej wersji klucz można przytknąć do telefonu i autoryzować się przez NFC.

Po trzecie – patrzysz w ekran? Uważaj!

Podejście „mnie nikt nie zaatakuje, jestem bezwartościowy dla przestępcy” to pierwszy krok do porażki. Każdy z nas jest wartościowy dla przestępcy. Jeśli jesteś HVT, można od Ciebie wykraść dane, które następnie można sprzedać, czy opublikować w sieci. Konto na Facebooku zwykłego internauty można wykorzystać do podsunięcia jego przyjaciołom oszustwa „na BLIKa”. No i wreszcie – kto z nas nie ma danych, których zaszyfrowanie byłoby dla nas duuużym kłopotem? Zdjęcia dzieci, niedokończona praca magisterska, dokumentacja projektowa… To nie jest tak, że nikt tego nie widzi! Kilkukrotnie, czy to w pociągu, czy w samolocie, miałem możliwość zajrzenia na ekran laptopa siedzącego przede mną współpasażera (co ciekawe, akurat we wszystkich przypadkach były to osoby zajmujące się prawem) i przeczytania dokładnych szczegółów toczonych przez nich spraw, taktyki procesowej, nawet danych wrażliwych klientów!

Warto wyrobić w sobie przyzwyczajenie zasłaniania klawiatury, gdy w przestrzeni publicznej wpisujemy hasła, czy PINy!

Nie tylko przy bankomacie, ale także logując się do komputera w „kawiarnia office”, czy „park office”. Ściany mają uszy, a drzewa mają oczy. Czasem by wykraść dane logowania nie trzeba wcale wrzucać ofierze trojana…

Po czwarte – myśl, co i gdzie klikasz

…ale można. Na ten temat sam napisałem już chyba gigabajty treści, więc warto przypomnieć tylko w krótkich bulletach:

• Jeśli nie spodziewałeś się tego maila – nie klikaj linków i nie otwieraj załączników!
• Jeśli dodatkowo nie znasz nadawcy – jeszcze bardziej nie klikaj i nie otwieraj!!! (znając nadawcę możesz się z nim zawsze skontaktować i upewnić, czy to aby na pewno on)
• Logując się na jakąkolwiek stronę, albo wpisując na niej dane wrażliwe, upewnij się, czy to na pewno właściwy adres (ostatnio nasze systemy wyłapały domenę gov-pl.in, jak sądzicie, co w niej jest nie tak?)
• Nie ufaj absurdalnie wyjątkowym okazjom – zdarzają się tak rzadko, że nie warto podejmować ryzyka
• Rozdzielaj tożsamości – nie mieszaj spraw (i kont e-mail) prywatnych i służbowych. Wyrób w sobie nawyk wyjątkowej ostrożności przy korzystaniu z maila i infrastruktury w pracy

Dbajcie o siebie. Niech każdy Wasz mail pozostanie Waszym.

Od momentu, gdy zacząłem się zajmować cyberbezpieczeństwem, moim konikiem były hasła. Gdy wchodziłem 11 lat temu w branżę, miałem wrażenie, że wszyscy wokół mnie mają proste, ośmioznakowe hasła, „12345678” nie jest wcale przesadnie rzadkie, a wszyscy używają takiego samego hasła wszędzie, gdzie się da. Minęło 11 lat i statystyki pokazują, że tak naprawdę nie jest o wiele lepiej… Dlatego raz na jakiś czas odświeżam Wam pewne kwestie, które mogą pomóc w zachowaniu bezpieczeństwa Waszej cyfrowej tożsamości.

2FA – co to w zasadzie jest?

2(Two) Factor Authentication, uwierzytelnianie dwuskładnikowe, to drugi element hasła do serwisu internetowego. Jakiego? W zasadzie prawie każdego, bowiem skorzystanie z 2FA oferuje każdy serwis, podchodzący poważnie do użytkownika.

Idealna brama dostępu do naszego cyfrowego „ja” to coś-co-wiesz + coś-co-masz (czy jakoś tak 🙂 ). O ile to pierwsze to właśnie nasze hasło, drugie to nasz telefon. Jeśli używamy 2FA, po wpisaniu loginu i hasła pokaże się monit o drugie, zazwyczaj sześciocyfrowe. Po uprzedniej konfiguracji możemy je otrzymać za pośrednictwem SMSa (odradzam, coraz częściej, jeśli tylko można, odchodzi się od SMSów autoryzacyjnych), bądź aplikacji mobilnej. W tym pierwszym przypadku generowane jest „na zlecenie”, gdy system uzyska informację o logowaniu. W drugim – aplikacja generuje nieprzerwanie pseudolosowe hasła, zmieniając je co 60 sekund.

Jak to ma mi pomóc?

To akurat proste. Wyobraź sobie, że ktoś wykrada Twoje hasło. Czy to w efekcie socjotechnicznego ataku (uwierzcie mi, najlepsi w tej materii potrafiliby czasem oszukać nawet mnie), czy wycieku danych, infekcji złośliwego oprogramowania na Twoim komputerze, czy nawet… przypadkowego upublicznienia Twoich poświadczeń logowania. Radosny oszust wpisuje Twój login, hasło, zaciera ręce, aż tu nagle:

Jeśli nie ma naszego telefonu – może zapomnieć tym, że zrobi nam większą krzywdę.

Listę stron, na których możecie skorzystać z 2FA znajdziecie np. tutaj. Jeśli witryny, której używacie tam nie ma, albo naciskajcie jej administratora/właściciela, albo poczekajcie, aż możliwości i uwarunkowania pozwolą im wreszcie na uruchomienie uwierzytelnienia dwuskładnikowego. Jak na przykład… nam 🙂

Poczta Orange z 2FA

Tak, od kilku dni możemy się pochwalić, że u nas też można użyć drugiego czynnika logowania! My na kontach służbowych mieliśmy go już od dawna – to token kryptograficzny, którym również możemy szyfrować maile (np. te z Waszymi danymi osobowymi) oraz je podpisywać. Skorzystanie z 2FA w Poczcie Orange jest trywialnie proste. Wystarczy, jeśli:

• zalogujesz się na swoje konto na https://poczta.orange.pl
• wybierzesz Ustawienia, a następnie sekcję Weryfikacja dwuetapowa
• aktywujesz odpowiadającą Ci wersję

Dodatkowo przełączyliśmy jeszcze nasze serwery pocztowe w tryb SSL/Enforced TLS. W skrócie – szyfrujemy Wasze dane tak, by naprawdę nikt nie mógł do nich zajrzeć.

Spokojnych świąt dla Was i Waszych bliskich. A w dzisiejszych czasach przede wszystkim zdrowia.

Hasło. Z jednej strony tak ważne, a z drugiej strony – tak piekielnie problematyczne. Bo o ile wpisanie go na stronie nie stanowi wielkiego problemu, nawet wymyślenie to nie żadne rocket science, ale już zapamiętać mocne hasło – to potrafi być sporym wyzwaniem…

Kurtka inteligentna, ale… brudna?

No bo tak – skoro mocne hasło ma mieć 12+ znaków, wielkie i małe litery, cyfry i znaki specjalne, no i nie zawierać wyrażeń słownikowych, to kto normalny coś takiego zapamięta (ja się nie liczę 😉 )? OK, można tę robotę scedować na menedżera haseł, ale – cóż – jego też trzeba zabezpieczyć mocnym hasłem. I tu na pomoc przychodzi nam technologia.

Wszystko wokół nas zaczyna być smart, ubrania też. Póki co, wiążą się z tym głównie minusy. Po pierwsze, takiej super kurtki nie możemy normalnie prać, a po drugie i kolejne – zerknijcie do mojego tekstu o konferencji Secure. Ale – jak widać powyżej, jeśli już obejrzeliście – wynalazcy z Uniwersytetu Waszyngtońskiego nie znają pojęcia „niedasię” i pracują nad możliwością… programowania części naszego ubrania! I to też nie jest rocket science, bo korzystają z elementów dostępnych w każdym sklepie. No może nie każdym ;), ale na pewno nie trzeba ich szukać w jakichś dziwnych miejscach.

Mankiecie, na pomoc?

Istota tkwi w przewodzących prąd niciach, wszytych w ubranie, czy to jako dodatek, czy – jak zakładam docelowo – na etapie produkcji. Korzystając z ferromagnetycznych właściwości materiału z którego są zrobione, można za pomocą odpowiedniego urządzenia (w zasadzie… magnesu) – nomen omen – „zaszyć” w nich, za pomocą dodatniej i ujemnej polaryzacji, ciąg zer i jedynek. Encyklopedii Brittanica w ten sposób nie zapiszemy, ale drugi składnik hasła, albo… uprawnienia dostępu do budynku już tak! A taki ferromagnetyczny element możemy wmontować w krawat, pasek, opaskę, naszyjnik, czy wszyć w mankiet koszuli. Drzwi otwierane krawatem? Brzmi dziwnie, ale sami przyznacie, że ma sens.

„Wyprałem hasło”

Badania naukowców z Waszyngtonu udowodniły, że do gromadzenia w ten sposób krótkich ciągów znaków nie potrzeba elektroniki, żadnych sensorów, nic z tych rzeczy. Do odczytania wystarczy zwykły magnetometr, a pod tym tajemniczym hasłem kryje się choćby najzwyklejszy czip NFC w telefonie. Jedno nad czym trzeba popracować, to problem zanikania jakości sygnału. W przypadku badań po tygodniu siła sygnału osłabiała się nawet o 30 procent, ale z drugiej strony, „mankiet” można było po prostu „naładować”. Aha, wysokie temperatury też wytrzymało, nawet 160 st. C, więc prać można bez ryzyka.
Przyznam szczerze, że mnie się taka koncepcja podoba. A Wam?