Bezpieczeństwo

Nie będzie haseł, nie będzie czego kraść?

11 kwietnia 2018

Nie będzie haseł, nie będzie czego kraść?

World Wide Web Consortium (W3C), odpowiedzialne za standardy obowiązujące w sieci internet, ogłosiło, że Google, Microsoft, and Mozilla dołączyły do projektu pozwalającego używać autentykacji biometrycznej przy korzystaniu z internetu. Oznacza to – ni mniej, ni więcej – że w naszych przeglądarkach do logowania będziemy mogli używać twarzy, głosu i odcisków palców, bez konieczności instalowania dodatkowych rozwiązań zewnętrznych.

Było to możliwe dzięki opublikowaniu przed FIDO (Fast IDentity Online) Alliance standardu Web Authentication (WebAuthn), definiującego jak przeglądarki mogą używać komponentów na stronach WWW w odniesieniu do hardware’owych czytników, bez użycia oprogramowania firm trzecich. WebAuthn dopuszcza również użycie rozwiązania zewnętrznego, jak fizyczny „klucz”, czy smartfon, przy użyciu połączenia USB, Bluetooth, czy NFC.

Śmierć haseł?

Co to znaczy dla nas, jako użytkowników internetu? W dłuższej perspektywie zapewne śmierć haseł, przynajmniej w odniesieniu do zwykłego użytkownika sieci. Palce nosimy przy sobie, głos i twarz też, a co więcej – wykradnięcie ich przy wykorzystaniu phishingu jest niemożliwe. To nie loginy i hasła, które niefrasobliwie potrafimy podawać na tacy przestępcom.

Pytanie oczywiście w jaki sposób developerzy wdrożą te rozwiązania w życie. Wielokrotnie byliśmy świadkami udanych prób ataku na systemu rozpoznawania twarzy w telefonach, które dawało się oszukać zdjęciem i akurat ten sposób logowania do banku nie budzi zaufania. Głos? Tu już bardziej, ale przy założeniu, że np. będziemy wypowiadać jakieś abstrakcyjne hasło, w rodzaju: „Gwiazda ma koła z różowego szpinaku”. W innym przypadku, mając świadomość, że nasz głos można nagrać na różne sposoby, nie znając szczegółów jego analizy, ciężko byłoby zaufać również tej metodzie. Najlepsze wydają się być skany tęczówki i odcisku palca – oczywiście przy założeniu, że nie instalujemy na telefonie nieznanego oprogramowania. A co jeśli mamy dostęp do informacji o ciężarze strategicznym (czy to dla kraju, czy przedsiębiorstwa)? Cóż – tu pozostają hasła, albo wycieranie wszystkiego, czego dotkniemy w miejscach publicznych. Za prezydentem USA chodzą odpowiedzialni za tym funkcjonariusze Secret Service…

Zdjęcie autorstwa Andri Koolme (Flickr) na licencji CC-BY-2.0

Udostępnij: Nie będzie haseł, nie będzie czego kraść?

Bezpieczeństwo

Czy moje hasło wyciekło?

8 marca 2018

Czy moje hasło wyciekło?

Stali czytelnicy bloga znają zapewne bazę wycieków haseł Have I Been Pwned, której polską wersję można znaleźć na stronie CERT Orange Polska. Witryna prowadzona przez Australijczyka Troya Hunta, jednego z najbardziej znanych i medialnych (a to nie zawsze idzie w parze) ekspertów bezpieczeństwa IT gromadzi wszystkie wycieki loginów i haseł z ostatnich lat, pozwalając na sprawdzenie, czy nasze dane autoryzacyjne nie znalazły się w którymś z nich. Kilkanaście dni temu Troy zdecydował się uprawnić w istotny sposób swój serwis.

Czy ukradli mój login…

Zasada działania Have I Been Pwned jest prosta. Wchodzimy na stronę, wpisujemy login, witryna odpytuje bazę, czy się tam znalazł, po chwili dostajemy informację zwrotną. Na zielono (jest ok), bądź na czerwono, z informacją, skąd wyciekły nasze dane. Mechanizmy szyfrowania wpisywanych danych powodują, że nasz login w czystej formie nie będzie hulał nigdzie po świecie. Sam Troy Hunt zapewnia też, że nie gromadzi treści zapytań. Biorąc pod uwagę, że cały świat od lat korzysta z jego serwisu i wszystko jest w najlepszym porządku, nie sposób w to nie wierzyć – notabene stąd hostowana na naszej stronie polska wersja.

A co byście powiedzieli na możliwość sprawdzenia, czy gdzieś nie wyciekło nasze… hasło? Wiem, to brzmi nieco szaleńczo i mnie na pierwszy rzut mózgu włosy na głowie stanęły dęba. No bo przecież kompletnie inną sprawą jest wpisanie na stronie loginu, a czym innym naszego hasła, którego mamy przecież za żadne skarby nikomu nie podawać!

…i hasło?

Uwierzcie mi, że czuję się abstrakcyjnie, namawiając Was na coś takiego. No to może parę słów opisu. Z niespotykanie szczegółowego opisu usługi (w sumie nic dziwnego, chodzi o nasze hasła), wynika (w skrócie) iż są one wielokrotnie i w rozbudowany sposób szyfrowane po stronie przeglądarki, a następnie w specyficzny, niestandardowy sposób przesyłane w formie odpytania do bazy wycieków, gdzie oczywiście nie jest zachowywane. Chętnych zapraszam do zapoznania się z pełną treścią dokumentu. Ja po jego przeczytaniu, dodając do tego renomę i zaufanie do Hunta w bezpieczniackim świecie, wpisałem tam jedno z moich haseł. Takie, o którym wiedziałem, że znalazło się w przynajmniej jednym wycieku. Zwrotnie dostałem informację sugerującą nieużywanie tego hasła, bowiem w bazach pojawia się dwukrotnie. W sumie to niewiele w porównaniu do niemal 21 milionów dla „123456” ale wciąż o dwa razy za dużo, prawda? Na szczęście inne, nieco istotniejsze hasło, które wpisałem, wyświetliło się na zielono.

Jeśli mielibyście ochotę zajrzeć – czy to w celu sprawdzenia istniejącego hasła, czy przetestowania, czy nowe nie jest zbyt łatwe, wejdźcie pod adres https://haveibeenpwned.com/Passwords (specjalnie bez linka – zaznaczcie go i wklejcie do przeglądarki). Przed skorzystaniem upewnijcie się, czy strona pokazuje zieloną kłódkę, z certyfikatem wystawionym na Have I Been Pwned (Troy Hunt) (AU). A potem już tylko życzę samych zielonych plansz.

Udostępnij: Czy moje hasło wyciekło?

Bezpieczeństwo

Krótka historia, dlaczego warto dbać o hasło (i nie tylko)

22 lutego 2018

Krótka historia, dlaczego warto dbać o hasło (i nie tylko)

Postanowiłem „ukraść” Michałowi czwartkowy tekst o bezpieczeństwie. Powód? Natrafiłem na historię naszego klienta, który (zapewne) zapewnił darmowy transfer całej okolicy…  i zdecydowałem się nią podzielić.

Sprawa trafiła do nas przez przypadek. Ktoś w serwisie Targeo.pl ustawił adres biura prasowego, jako adres do kontaktu dla Orange Polska. Jeden z klientów skorzystał z niego i dostaliśmy jego reklamację. Dotyczyła, niskiej prędkości internetu. Klient nie mógł nawet odpalić strony w przeglądarce, o pobieraniu czegokolwiek nie wspominając.

Nad sprawą się pochyliliśmy i przesłaliśmy do wyjaśnienia przez kolegów zajmujących się obsługą klienta. Wrócili do nas szybko i co się okazało? Że klient korzysta z łącza o prędkości kilkudziesięciu Mb/s, a transfer przebiegał wręcz modelowo w obie strony. Właśnie… modelowo. Tak bardzo, że przez łącze przepływało w pojedynczej sesji nawet 200 GB danych. I tak dzień po dniu. Dlaczego? Ktoś widocznie znalazł WiFi, które było praktycznie niezabezpieczone i postanowił z niego skorzystać. Klient mógł także zostać częścią botnetu lub w inny sposób udostępnić swój komputer. W każdym z tych przypadków dobre hasło i dodatkowe zabezpieczenia załatwiłyby sprawę.

Historia skończyła się dobrze, choć z niewielkimi perypetiami. Na wszelki wypadek klient otrzymał nowy modem, a koledzy z BOK pomogli mu go zabezpieczyć. Po drodze okazało się jednak, że jakiś amator cudzej własności skorzystał z fragmentu sieci (proza życia) biegnącej do klienta, ale to też naprawiliśmy. Nasz klient odzyskał szybkość kilkudziesięciu mega i spokój. Bezcenne 😉

 

Udostępnij: Krótka historia, dlaczego warto dbać o hasło (i nie tylko)

Bezpieczeństwo

Czy moje hasło też wyciekło?

21 grudnia 2017

Czy moje hasło też wyciekło?

Przeszło 10 milionów loginów i odszyfrowanych haseł w domenie .pl, a w sumie 1,4 miliarda par login-hasło – tyle znalazło się na opublikowanej w ostatnich dniach w sieci największej liście wycieków danych autoryzacyjnych z całego świata.

Kluczowe pytanie: czy powinienem/powinnam się bać? Odpowiedź brzmi: to zależy. Znacząca część odszyfrowanych haseł to efekt wycieku sprzed 5 lat z serwisu LinkedIn, istnieje więc możliwość, że ówczesne ofiary zdążyły już zmienić swoje hasło. Co jeśli nie? A przede wszystkim: jak sprawdzić, czy jestem na tej liście?

Sprawdź swój adres

Odpowiedź na drugie pytanie jest najprostsza. Wystarczy wejść na polską wersję serwisu HaveIBeenPwned umieszczoną na witrynie naszego CERTu i wpisać adres e-mail, co do którego mamy obawy. Można go wpisać bez ryzyka, Waszych maili nie gromadzimy my, ani anglojęzyczny serwis, do którego z naszej strony trafia zapytanie. Jeśli strona zaświeci się na czerwono, też nie ma powodów do paniki, tym niemniej zalecamy:

  • natychmiastową zmianę hasła z danego serwisu oraz innych miejsc, gdzie do logowania używaliśmy tej samej pary login-hasło
  • uruchomienie w serwisach, które na to pozwalają, uwierzytelniania dwuskładnikowego
  • zachowanie szczególnej ostrożności w przypadku dziwnych maili: twój adres jest znany publicznie, więc stanowisz cel dla ukierunkowanego phishingu

Spokojnych świąt. Najlepiej analogowych 🙂 – w dzisiejszym świecie nawet do Netflixa nie jest potrzebny tablet, wystarczy Orange TV i dekoder ICU100 🙂

Udostępnij: Czy moje hasło też wyciekło?

Bezpieczeństwo

Hasła znają wszyscy, czyli (zły) przykład idzie z góry

8 grudnia 2017

Hasła znają wszyscy, czyli (zły) przykład idzie z góry

Cyberbezpieczeństwo już od pewnego czasu nie jest już wyłącznie tematem do rozmów geeków i hakerów, trafiając na łamy mediów głównego nurtu. Zazwyczaj ze względu na włamania, bądź równie spektakularne akcje, a czasami głupota rządzących. W tym przypadku brytyjskich.

Tweet poseł Nadine Dorries w kontekście cyber-zagrożeń powoduje, że włos jeży się na głowie. Dzielić się swoim hasłem ze wszystkimi w biurze to jedno, ale chwalić się tym i dziwić się, że ktokolwiek czepia się kolegi, bo przecież takie praktyki to w brytyjskim parlamencie standard, może wywołać tylko jedną reakcję:

W zasadzie… nie wiadomo od czego zacząć. W dalszych tweetach inni MPs przyznają, że każdy dzieli się loginem i hasłem z pracownikami biura, a czasami sami pytają się ich o hasła, bo zdarza się im zapomnieć. Posłanka Dorries natomiat wyjaśnia, że przecież ona nie ma dostępu do dokumentów rządowych!

Hasła znają wszyscy? Co z tego?

Ale czy to cokolwiek zmienia? Przypomnijmy choćby jeden z najbardziej spektakularnych włamów ostatnich lat, zakończony wykradzeniem dziesiątków milionów danych kart płatniczych klientów sieci supermarketów Target. Pierwszym krokiem do zainstalowania malware’u na terminalach płatniczych było włamanie do sieci… firmy serwisującej klimatyzację w kilku sklepach w jednym ze stanów. Oni też nie mieli dostępu do terminali.

Problem z dzieleniem się hasłem jest bardziej niż oczywisty. Przede wszystkim sekret – jakim z założenia jest hasło – jeśli zna go więcej osób, przestaje być sekretem. Dodatkowo w takiej sytuacji rozliczalność korzystania z konta staje się fikcją i jeśli ktokolwiek zrobi coś złego („wycieknie” dane, zainstaluje malware, etc.) nie będziemy w stanie dowieść winy faktycznemu sprawcy. No i – last but not least – przy takim podejściu otwieramy się na infiltrację przez służby specjalne dowolnego kraju. Czy przy trwającym od lat rozwoju cyberbroni ktokolwiek jest na tyle naiwny, by wierzyć, że inne kraje nie skorzystają z okazji, by zadomowić się w sieci parlamentu!?

I pomyśleć, że cała dyskusja zaczęła się od awantury dotyczącej oglądania pornografii przez parlamentarzystów znad Tamizy…

Udostępnij: Hasła znają wszyscy, czyli (zły) przykład idzie z góry

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej