Bezpieczeństwo

Gdzie zgubiłeś swój e-mail?

23 stycznia 2020

Gdzie zgubiłeś swój e-mail?

„Skąd u przestępców wziął się mój adres e-mail? Wysłali do mnie phishing, adres na pewno wyciekł z Orange!”. Przesadzałbym, twierdząc, że tego typu wiadomości trafiają do CERT Orange Polska regularnie, ale – cóż – nie są rzadkie. A ponieważ w edukacji o cyberzagrożeniach nie ma rzeczy niepotrzebnych (inaczej kampanie phishingowe nie kończyłyby infekcjami, czego dowodzą choćby statystyki CyberTarczy) są pewne o rzeczy, o których warto pisać regularnie, nawet jeśli mamy wrażenie, że przecież wszyscy o tym wiedzą.

Ty zgubisz e-mail, roboty znajdą

Nie ma prywatności – jest tylko świadome udostępnianie informacji o sobie. Tę mantrę ery internetu powtarzam podczas każdej wygłaszanej przeze mnie prezentacji. Problem w tym, że do większości z nas ta świadomość doszła niedawno, korzystają z internetu od jego początku, bądź – o tempora o mores – nie mogą przeżyć bez udostępniania informacji o sobie (to ostatnie to temat na inny materiał i raczej nie u nas, ale np. u Psycholog Pisze). Niezależnie od podejścia – w każdym z przypadków zostawiamy po sobie, przy mniejszej lub większej świadomości, ślady.

Zastanawiacie się, skąd u przestępców biorą się adresy e-mail, na które wysyłają phishing? Odpowiem pytaniem na pytanie – w ilu miejscach zostawiliście swój adres e-mail? Na ilu forach zakładaliście konta, gdzie i komu w sieci podawaliście, jak się z Wami skontaktować? Po internecie nieprzerwanie krążą crawlery, automaty przeszukujące ogólnodostępne miejsca właśnie pod kątem takich informacji. Pod zebraną bazę czasami podstawiają znane hasła i próbują ich na wykradzionych bazach lub popularnych serwisach. A innym razem, wraz z innymi nieszczęśnikami, wyślą takiej ofierze właśnie phishingowy mail, licząc, że sama się „podłoży”.

Ile o Tobie w sieci?

Co zrobić? Warto zacząć od sprawdzenia naszego adresu na stronie Have I Been Pwned. Jeśli tam się nie znajdziecie – możecie bić sobie brawo (albo po prostu mieliście szczęście). Śladów warto też poszukać wpisując nasze imię i nazwisko, czy też właśnie maila, w wyszukiwarce. Swoją drogą można znaleźć całkiem fajne informacje, ja np. dowiedziałem się, że moje imię i nazwisko noszą też piłkarz nożny i całkiem niezły skoczek w dal 🙂

A co robić jeśli „stało się” i pora powiedzieć „mądry internauta po szkodzie”? Jeśli HIPB pokazało, że wyciekły jakieś hasła – natychmiast je zmienić. W ogóle, zamiast zapamiętywać hasła, najlepiej zainstalować menedżer haseł i wtedy musimy pamiętać tylko jedno, bardzo silne. Ja prywatnie używam LastPass, a w Orange Polska zalecany jest KeePass. Różnica jest istotna, bowiem pierwszy funkcjonuje w chmurze i można otworzyć go na dowolnym urządzeniu, wyposażonym w przeglądarkę internetową (idealny dla mnie), drugi zaś działa offline, jest więc idealny do zapamiętywania np. haseł do korporacyjnych aplikacji.

Magiczne 2FA

Ktoś z Was korzysta już z 2FA? 2FA (2 Factor Authentication), czyli uwierzytelnianie dwuskładnikowe, to coś, co też od lat promuję nie tylko na blogu i zgodnie z opisaną na początku zasadą wspomnę kolejny raz. 2FA to dodatkowy element do logowania, wpisywany po tym, gdy zatwierdzimy hasło. Jeszcze niedawno często był to kod przesyłany SMSem (jak np. przy potwierdzaniu przelewów w bankach). Od jakiegoś czasu jednak firmy porzucają ten kanał, skłaniając się ku dedykowanym aplikacjom. Wystarczy znaleźć odpowiednią opcję w ustawieniach strony (listę serwisów, wspierających 2FA znajdziecie tutaj, są tu wszystkie, z których korzystam). Nigdy nie zdarzyło mi się, by którykolwiek z „moich” serwisów poinformował mnie o nieautoryzowanym logowaniu, ale dla samej świadomości miny złodzieja, któremu uśmiech na ustach zgaśnie, gdy zobaczy „podaj kod z aplikacji Google Authenticator” warto 🙂

No i nie zapomnijcie o jednej, „dość” ważnej kwestii. Jeśli korzystacie Facebooka, Google’a, czy innych internetowych usług sieciowych gigantów, oni i tak już wszystko o Was wiedzą. Tyle dobrego, że dla nich jesteście jednym z miliardów anonimowych internautów i zależy im tylko na tym, by podać Wam jak najbardziej dopasowaną reklamę. A przynajmniej ja zamierzam w to wierzyć.

PS: No i czytajcie dokładnie każdego dziwnego, nieoczekiwanego, niestandardowego maila. Odrobina uwagi + nieklikanie w nieznane linki i załączniki znacząco zmniejszą ryzyko udanego ataku na Was.

Udostępnij: Gdzie zgubiłeś swój e-mail?

Bezpieczeństwo

Każde hasło da się zapamiętać

14 lutego 2019

Każde hasło da się zapamiętać

Hasło… Pierwsza i najważniejsza brama do naszej cyfrowej tożsamości. W zasadzie do wielu, bowiem liczba serwisów online, z których na codzień korzystam, w przypadku wielu (a może i większości) z nas przekroczyła setkę. A skoro korzystamy ze stu serwisów, to przecież nikt nie przy zdrowych zmysłach nie stworzy dla każdego z nich odrębnego hasła, prawda?

Cóż – a właśnie, że nieprawda.

Z ilu haseł korzystasz?

Zanim wpadniecie na pomysł, żeby coś mi wytknąć, powiem sam – tak, zainspirowałem się dzisiejszym wpisem na Niebezpieczniku. Co więcej – nawet polecam wszystkim przeczytanie go (gdy skończycie już mój, rzecz jasna). Po pierwsze, znajdziecie tam szczegółową instrukcję korzystania z jednego z menedżerów haseł (bo to o nich będę pisał). Po drugie – cóż, lubimy się z redakcją Niebezpiecznika, więc czemu nie dzielić się z Wami wartościowymi treściami, które można tam znaleźć? Poza tym nasze grupy docelowe czytelników nieco się jednak różnią.

Ale dobra, do rzeczy. Tak, można, a wręcz powinno się, mieć odrębne hasło do każdego serwisu z którego korzystamy. Ja sam nie rzucę pierwszy kamieniem. Mam pewne „dyżurne” hasło, którego używam do sporej liczby witryn. Na swoją obronę napiszę, że to tylko takie, gdzie nie ma nawet jednego bita moich danych wrażliwych. Reszty haseł… nawet nie znam. Nigdy nie widziałem ich na oczy, ale ważne, że wszystko wie o nich mój menedżer. Menedżer haseł oczywiście 🙂

Hasło w Menedżerze

Menedżer haseł to aplikacja, która zarządza wszystkimi używanymi przez Ciebie hasłami. Nie tylko je przechowuje, ale także – a może przede wszystkim? – wymyśla, zgodnie z podanymi przez Ciebie wytycznymi (długość, rodzaje znaków – wielkie/małe litery, cyfry, znaki specjalne – czy stopień skomplikowania). Programy tego typu po zintegrowaniu z przeglądarką pozwalają w momencie założenia konta na automatyczne wygenerowanie i zapisanie hasła doń, dzięki czemu – jak wspominałem wcześniej – nie musisz go nawet widzieć. W sumie to dobrze, po co komu 30-znakowe losowe hasło, i tak nikt tego nie zapamięta 🙂

Menedżer może albo trzymać Twoje hasła w pliku lokalnym (KeePass, z którego korzystamy m.in. w Orange Poslska, 1Password), bądź w swojej chmurze (LastPass, z którego korzystam prywatnie). Nawet jednak w tym ostatnim rozwiązaniu baza haseł jest rozszyfrowywana lokalnie na Twoim urządzeniu i nigdy nie jest w takiej formie dostępna w żadnym innym miejscu, niż Twój komputer, czy urządzenie mobilne. W efekcie nawet w przypadku wycieku danych (czy też zgubienia przez Ciebie komputera/pendrive z offline’ową bazą haseł) przestępca nie będzie w stanie się do niej dostać. Musiałby znać główne, zabezpieczające bazę, hasło. Nie muszę oczywiście mówić, że akurat ono musi być ekstremalnie silne. Jeśli pozwala na to menedżer – obowiązkowo zabezpieczone również drugim składnikiem (uwierzytelnianie dwuskładnikowe, 2FA).

Czy każde hasło nadaje się do menedżera?

O ile korzystanie z menedżera na początku może wydawać się skomplikowane, szybko się do niego przyzwyczajamy i staje się absolutnie automatyczne. Do tego stopnia, że czasami, gdy zapomnę zalogować się do mojego, wchodząc na znaną mi stronę patrzę jak sroka w gnat na okienko logowania dziwiąc się, dlaczego nie wpisuje się tam moje hasło? Są tylko trzy hasła, których tam nigdy nie umieszczam, trzymając je jedynie w głowie. Do Gmaila, do banku i rzecz jasna do naszej Sieci Korporacyjnej. Akurat w tych trzech miejscach czuję się bezpieczniej, gdy z nikim i niczym się nimi nie dzielę. A pozostałe? Cóż, nie wiem, jak mogłem żyć bez menedżera haseł.

Udostępnij: Każde hasło da się zapamiętać

Bezpieczeństwo

Nie będzie haseł, nie będzie czego kraść?

11 kwietnia 2018

Nie będzie haseł, nie będzie czego kraść?

World Wide Web Consortium (W3C), odpowiedzialne za standardy obowiązujące w sieci internet, ogłosiło, że Google, Microsoft, and Mozilla dołączyły do projektu pozwalającego używać autentykacji biometrycznej przy korzystaniu z internetu. Oznacza to – ni mniej, ni więcej – że w naszych przeglądarkach do logowania będziemy mogli używać twarzy, głosu i odcisków palców, bez konieczności instalowania dodatkowych rozwiązań zewnętrznych.

Było to możliwe dzięki opublikowaniu przed FIDO (Fast IDentity Online) Alliance standardu Web Authentication (WebAuthn), definiującego jak przeglądarki mogą używać komponentów na stronach WWW w odniesieniu do hardware’owych czytników, bez użycia oprogramowania firm trzecich. WebAuthn dopuszcza również użycie rozwiązania zewnętrznego, jak fizyczny „klucz”, czy smartfon, przy użyciu połączenia USB, Bluetooth, czy NFC.

Śmierć haseł?

Co to znaczy dla nas, jako użytkowników internetu? W dłuższej perspektywie zapewne śmierć haseł, przynajmniej w odniesieniu do zwykłego użytkownika sieci. Palce nosimy przy sobie, głos i twarz też, a co więcej – wykradnięcie ich przy wykorzystaniu phishingu jest niemożliwe. To nie loginy i hasła, które niefrasobliwie potrafimy podawać na tacy przestępcom.

Pytanie oczywiście w jaki sposób developerzy wdrożą te rozwiązania w życie. Wielokrotnie byliśmy świadkami udanych prób ataku na systemu rozpoznawania twarzy w telefonach, które dawało się oszukać zdjęciem i akurat ten sposób logowania do banku nie budzi zaufania. Głos? Tu już bardziej, ale przy założeniu, że np. będziemy wypowiadać jakieś abstrakcyjne hasło, w rodzaju: „Gwiazda ma koła z różowego szpinaku”. W innym przypadku, mając świadomość, że nasz głos można nagrać na różne sposoby, nie znając szczegółów jego analizy, ciężko byłoby zaufać również tej metodzie. Najlepsze wydają się być skany tęczówki i odcisku palca – oczywiście przy założeniu, że nie instalujemy na telefonie nieznanego oprogramowania. A co jeśli mamy dostęp do informacji o ciężarze strategicznym (czy to dla kraju, czy przedsiębiorstwa)? Cóż – tu pozostają hasła, albo wycieranie wszystkiego, czego dotkniemy w miejscach publicznych. Za prezydentem USA chodzą odpowiedzialni za tym funkcjonariusze Secret Service…

Zdjęcie autorstwa Andri Koolme (Flickr) na licencji CC-BY-2.0

Udostępnij: Nie będzie haseł, nie będzie czego kraść?

Bezpieczeństwo

Czy moje hasło wyciekło?

8 marca 2018

Czy moje hasło wyciekło?

Stali czytelnicy bloga znają zapewne bazę wycieków haseł Have I Been Pwned, której polską wersję można znaleźć na stronie CERT Orange Polska. Witryna prowadzona przez Australijczyka Troya Hunta, jednego z najbardziej znanych i medialnych (a to nie zawsze idzie w parze) ekspertów bezpieczeństwa IT gromadzi wszystkie wycieki loginów i haseł z ostatnich lat, pozwalając na sprawdzenie, czy nasze dane autoryzacyjne nie znalazły się w którymś z nich. Kilkanaście dni temu Troy zdecydował się uprawnić w istotny sposób swój serwis.

Czy ukradli mój login…

Zasada działania Have I Been Pwned jest prosta. Wchodzimy na stronę, wpisujemy login, witryna odpytuje bazę, czy się tam znalazł, po chwili dostajemy informację zwrotną. Na zielono (jest ok), bądź na czerwono, z informacją, skąd wyciekły nasze dane. Mechanizmy szyfrowania wpisywanych danych powodują, że nasz login w czystej formie nie będzie hulał nigdzie po świecie. Sam Troy Hunt zapewnia też, że nie gromadzi treści zapytań. Biorąc pod uwagę, że cały świat od lat korzysta z jego serwisu i wszystko jest w najlepszym porządku, nie sposób w to nie wierzyć – notabene stąd hostowana na naszej stronie polska wersja.

A co byście powiedzieli na możliwość sprawdzenia, czy gdzieś nie wyciekło nasze… hasło? Wiem, to brzmi nieco szaleńczo i mnie na pierwszy rzut mózgu włosy na głowie stanęły dęba. No bo przecież kompletnie inną sprawą jest wpisanie na stronie loginu, a czym innym naszego hasła, którego mamy przecież za żadne skarby nikomu nie podawać!

…i hasło?

Uwierzcie mi, że czuję się abstrakcyjnie, namawiając Was na coś takiego. No to może parę słów opisu. Z niespotykanie szczegółowego opisu usługi (w sumie nic dziwnego, chodzi o nasze hasła), wynika (w skrócie) iż są one wielokrotnie i w rozbudowany sposób szyfrowane po stronie przeglądarki, a następnie w specyficzny, niestandardowy sposób przesyłane w formie odpytania do bazy wycieków, gdzie oczywiście nie jest zachowywane. Chętnych zapraszam do zapoznania się z pełną treścią dokumentu. Ja po jego przeczytaniu, dodając do tego renomę i zaufanie do Hunta w bezpieczniackim świecie, wpisałem tam jedno z moich haseł. Takie, o którym wiedziałem, że znalazło się w przynajmniej jednym wycieku. Zwrotnie dostałem informację sugerującą nieużywanie tego hasła, bowiem w bazach pojawia się dwukrotnie. W sumie to niewiele w porównaniu do niemal 21 milionów dla „123456” ale wciąż o dwa razy za dużo, prawda? Na szczęście inne, nieco istotniejsze hasło, które wpisałem, wyświetliło się na zielono.

Jeśli mielibyście ochotę zajrzeć – czy to w celu sprawdzenia istniejącego hasła, czy przetestowania, czy nowe nie jest zbyt łatwe, wejdźcie pod adres https://haveibeenpwned.com/Passwords (specjalnie bez linka – zaznaczcie go i wklejcie do przeglądarki). Przed skorzystaniem upewnijcie się, czy strona pokazuje zieloną kłódkę, z certyfikatem wystawionym na Have I Been Pwned (Troy Hunt) (AU). A potem już tylko życzę samych zielonych plansz.

Udostępnij: Czy moje hasło wyciekło?

Bezpieczeństwo

Krótka historia, dlaczego warto dbać o hasło (i nie tylko)

22 lutego 2018

Krótka historia, dlaczego warto dbać o hasło (i nie tylko)

Postanowiłem „ukraść” Michałowi czwartkowy tekst o bezpieczeństwie. Powód? Natrafiłem na historię naszego klienta, który (zapewne) zapewnił darmowy transfer całej okolicy…  i zdecydowałem się nią podzielić.

Sprawa trafiła do nas przez przypadek. Ktoś w serwisie Targeo.pl ustawił adres biura prasowego, jako adres do kontaktu dla Orange Polska. Jeden z klientów skorzystał z niego i dostaliśmy jego reklamację. Dotyczyła, niskiej prędkości internetu. Klient nie mógł nawet odpalić strony w przeglądarce, o pobieraniu czegokolwiek nie wspominając.

Nad sprawą się pochyliliśmy i przesłaliśmy do wyjaśnienia przez kolegów zajmujących się obsługą klienta. Wrócili do nas szybko i co się okazało? Że klient korzysta z łącza o prędkości kilkudziesięciu Mb/s, a transfer przebiegał wręcz modelowo w obie strony. Właśnie… modelowo. Tak bardzo, że przez łącze przepływało w pojedynczej sesji nawet 200 GB danych. I tak dzień po dniu. Dlaczego? Ktoś widocznie znalazł WiFi, które było praktycznie niezabezpieczone i postanowił z niego skorzystać. Klient mógł także zostać częścią botnetu lub w inny sposób udostępnić swój komputer. W każdym z tych przypadków dobre hasło i dodatkowe zabezpieczenia załatwiłyby sprawę.

Historia skończyła się dobrze, choć z niewielkimi perypetiami. Na wszelki wypadek klient otrzymał nowy modem, a koledzy z BOK pomogli mu go zabezpieczyć. Po drodze okazało się jednak, że jakiś amator cudzej własności skorzystał z fragmentu sieci (proza życia) biegnącej do klienta, ale to też naprawiliśmy. Nasz klient odzyskał szybkość kilkudziesięciu mega i spokój. Bezcenne 😉

 

Udostępnij: Krótka historia, dlaczego warto dbać o hasło (i nie tylko)

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej