Bezpieczeństwo

Hasła znają wszyscy, czyli (zły) przykład idzie z góry

8 grudnia 2017

Hasła znają wszyscy, czyli (zły) przykład idzie z góry

Cyberbezpieczeństwo już od pewnego czasu nie jest już wyłącznie tematem do rozmów geeków i hakerów, trafiając na łamy mediów głównego nurtu. Zazwyczaj ze względu na włamania, bądź równie spektakularne akcje, a czasami głupota rządzących. W tym przypadku brytyjskich.

Tweet poseł Nadine Dorries w kontekście cyber-zagrożeń powoduje, że włos jeży się na głowie. Dzielić się swoim hasłem ze wszystkimi w biurze to jedno, ale chwalić się tym i dziwić się, że ktokolwiek czepia się kolegi, bo przecież takie praktyki to w brytyjskim parlamencie standard, może wywołać tylko jedną reakcję:

W zasadzie… nie wiadomo od czego zacząć. W dalszych tweetach inni MPs przyznają, że każdy dzieli się loginem i hasłem z pracownikami biura, a czasami sami pytają się ich o hasła, bo zdarza się im zapomnieć. Posłanka Dorries natomiat wyjaśnia, że przecież ona nie ma dostępu do dokumentów rządowych!

Hasła znają wszyscy? Co z tego?

Ale czy to cokolwiek zmienia? Przypomnijmy choćby jeden z najbardziej spektakularnych włamów ostatnich lat, zakończony wykradzeniem dziesiątków milionów danych kart płatniczych klientów sieci supermarketów Target. Pierwszym krokiem do zainstalowania malware’u na terminalach płatniczych było włamanie do sieci… firmy serwisującej klimatyzację w kilku sklepach w jednym ze stanów. Oni też nie mieli dostępu do terminali.

Problem z dzieleniem się hasłem jest bardziej niż oczywisty. Przede wszystkim sekret – jakim z założenia jest hasło – jeśli zna go więcej osób, przestaje być sekretem. Dodatkowo w takiej sytuacji rozliczalność korzystania z konta staje się fikcją i jeśli ktokolwiek zrobi coś złego („wycieknie” dane, zainstaluje malware, etc.) nie będziemy w stanie dowieść winy faktycznemu sprawcy. No i – last but not least – przy takim podejściu otwieramy się na infiltrację przez służby specjalne dowolnego kraju. Czy przy trwającym od lat rozwoju cyberbroni ktokolwiek jest na tyle naiwny, by wierzyć, że inne kraje nie skorzystają z okazji, by zadomowić się w sieci parlamentu!?

I pomyśleć, że cała dyskusja zaczęła się od awantury dotyczącej oglądania pornografii przez parlamentarzystów znad Tamizy…

Udostępnij: Hasła znają wszyscy, czyli (zły) przykład idzie z góry

Bezpieczeństwo

Hasło wszyte w mankiecie

9 listopada 2017

Hasło wszyte w mankiecie

Hasło. Z jednej strony tak ważne, a z drugiej strony – tak piekielnie problematyczne. Bo o ile wpisanie go na stronie nie stanowi wielkiego problemu, nawet wymyślenie to nie żadne rocket science, ale już zapamiętać mocne hasło – to potrafi być sporym wyzwaniem…

Kurtka inteligentna, ale… brudna?

No bo tak – skoro mocne hasło ma mieć 12+ znaków, wielkie i małe litery, cyfry i znaki specjalne, no i nie zawierać wyrażeń słownikowych, to kto normalny coś takiego zapamięta (ja się nie liczę 😉 )? OK, można tę robotę scedować na menedżera haseł, ale – cóż – jego też trzeba zabezpieczyć mocnym hasłem. I tu na pomoc przychodzi nam technologia.

Wszystko wokół nas zaczyna być smart, ubrania też. Póki co, wiążą się z tym głównie minusy. Po pierwsze, takiej super kurtki nie możemy normalnie prać, a po drugie i kolejne – zerknijcie do mojego tekstu o konferencji Secure. Ale – jak widać powyżej, jeśli już obejrzeliście – wynalazcy z Uniwersytetu Waszyngtońskiego nie znają pojęcia „niedasię” i pracują nad możliwością… programowania części naszego ubrania! I to też nie jest rocket science, bo korzystają z elementów dostępnych w każdym sklepie. No może nie każdym ;), ale na pewno nie trzeba ich szukać w jakichś dziwnych miejscach.

Mankiecie, na pomoc?

Istota tkwi w przewodzących prąd niciach, wszytych w ubranie, czy to jako dodatek, czy – jak zakładam docelowo – na etapie produkcji. Korzystając z ferromagnetycznych właściwości materiału z którego są zrobione, można za pomocą odpowiedniego urządzenia (w zasadzie… magnesu) – nomen omen – „zaszyć” w nich, za pomocą dodatniej i ujemnej polaryzacji, ciąg zer i jedynek. Encyklopedii Brittanica w ten sposób nie zapiszemy, ale drugi składnik hasła, albo… uprawnienia dostępu do budynku już tak! A taki ferromagnetyczny element możemy wmontować w krawat, pasek, opaskę, naszyjnik, czy wszyć w mankiet koszuli. Drzwi otwierane krawatem? Brzmi dziwnie, ale sami przyznacie, że ma sens.

„Wyprałem hasło”

Badania naukowców z Waszyngtonu udowodniły, że do gromadzenia w ten sposób krótkich ciągów znaków nie potrzeba elektroniki, żadnych sensorów, nic z tych rzeczy. Do odczytania wystarczy zwykły magnetometr, a pod tym tajemniczym hasłem kryje się choćby najzwyklejszy czip NFC w telefonie. Jedno nad czym trzeba popracować, to problem zanikania jakości sygnału. W przypadku badań po tygodniu siła sygnału osłabiała się nawet o 30 procent, ale z drugiej strony, „mankiet” można było po prostu „naładować”. Aha, wysokie temperatury też wytrzymało, nawet 160 st. C, więc prać można bez ryzyka.
Przyznam szczerze, że mnie się taka koncepcja podoba. A Wam?

Udostępnij: Hasło wszyte w mankiecie

Bezpieczeństwo

Jak mocne jest Twoje hasło?

28 września 2017

Jak mocne jest Twoje hasło?

Człowiek to istota – hmmm – powiedzmy, że nie wypada użyć określenia „głupia”, powiedzmy więc, że po prostu lubimy chodzić na skróty. Ale o tym, że jesteśmy uparci można już powiedzieć i taka jest prawda. Upór to nie tylko cecha mojego 11-letniego syna – również wielu z nas. Na przykład wtedy, gdy zakładamy konto w nowym serwisie i wymyślamy doń hasło.

Tak, tak – dawno nie było o moim koniku :), a wpadłem ostatnio na ciekawy materiał o badaniach Carnegie Mellon University. To nie byle jaka uczelnia i nie chodzi oto, że „hamerykańska”. To przede wszystkim „dom” dla centrum koordynacyjnego CERT, miejsce w którym ostatecznie przyznaje się prawo do używania nazwy Computer Emergency Response Team (ma je m.in. nasz CERT Orange Polska).

Hasło na skróty

Każdy twierdzi, że jego hasła są świetne i nie do złamania, a gdy przychodzi do kolejnych wycieków, po raz kolejny okazuje się, że gros odhashowanej bazy to „12345678”, „Password”, „ILoveYou!”, czy inne tego typu konstrukcje „nie do złamania”. Zastanówcie się sami, czy tworząc hasła, nie chodzicie przypadkiem na skróty? Czy przy konieczności użycia wielkich i małych liter nie zaczynacie hasła wielką? A w ilu przypadkach, jeśli hasło ma zawierać cyfry i znaki specjalne, kończy się ciągiem „1!” (oczywiście bez cudzysłowów)? Kto jest bez grzechu, niech pierwszy rzuci kamieniem. No własnie. A przestępcy też o tym wiedzą.  Do tego stopnia, że ustawiwszy łamanie wykradzionej bazy na schemat Wmmmmmcz (gdzie W to wielka litera, m to mała, c to cyfra, a z to znak specjalny) przy odpowiednio silnym sprzęcie w ciągu kilku/nastu sekund rozszyfrują przynajmniej połowę bazy. Słabo, nie?

Dobre hasło? Sprawdź sam/a!

Naukowcy z CMU przeanalizowali miliony dostępnych w różny sposób haseł i przygotowali bazujący na przygotowanej przez siebie sztucznej sieci neuronowej tester haseł. Bazując na popularności formy, treści i stylu haseł, po wpisaniu naszej propozycji nie tylko dowiemy się, czy jest słaba, średnia, czy silna, ale również – w przypadku uwag – przeczytamy dlaczego coś jest nie tak i co powinniśmy zrobić, by utrudnić wyważenie bramy do naszego cyfrowego świata. Trochę edukacyjnie, jak nasza CyberTarcza, która nie tylko mówi: „Wylecz infekcję”, ale także wyjaśnia na czym polega związane z nią ryzyko.

Powiecie: „Ale co ty nam mówisz, chcesz, żebyśmy wpisali nasze hasła na jakiejś stronie?”. W sumie to będzie nawet mieć sporo racji, sam przed tym przestrzegam. Tutaj mamy jednak pewność, że to witryna CMU, oczywiście z transmisją zabezpieczoną przez https. Dla spokoju ducha jeśli chcecie sprawdzić jakieś hasło, zmieńcie w nim kilka cyfr, liter, czy znaków, żeby było bliźniaczo podobne do testowanego, ale jednak nie takie samo.

Jeśli jesteście gotowi na wyzwanie, zajrzyjcie na https://cups.cs.cmu.edu/meter/. Sprawdziłem kilka moich – było na zielono i bez uwag, ale ja nie jestem do końca normalny 😉

Udostępnij: Jak mocne jest Twoje hasło?

Bezpieczeństwo

Sprawdź, czy nie ukradli Ci hasła

2 marca 2017

Sprawdź, czy nie ukradli Ci hasła

Michał Rosiak

Mam przeczucie graniczące z pewnością, że gdyby poprosić odpowiednio dużą grupę zwykłych internautów, żeby powiedzieli jedno słowo lub zwrot, z którym kojarzą im się problemy z cyberbezpieczeństwem, tym zwrotem byłby: „wyciek danych„. To właśnie newsy o bazach wykradzionych z kolejnych serwisów, do spółki z informacjami o atakach DDoS, wprowadziły bezpieczeństwo „na salony”, czyli do mediów głównego nurtu. I dobrze – im więcej mówi się o bezpieczeństwie w sieci, tym lepiej dla wszystkich.

Hasło to absolutna podstawa w dbałości o bezpieczeństwo naszych danych. Najlepiej o długości powyżej 12 znaków, trudne do odgadnięcia, a jednocześnie łatwe do zapamiętania. No i – przynajmniej jeśli chodzi o serwisy, w których przechowujemy nasze najbardziej wrażliwe dane – używane jednokrotnie! Dlaczego? Ano choćby dlatego, że jeśli zdarzy się duży (albo nawet duuuuuuuuży, bo liczba rekordów danych trafiających w ręce cyber-przestępców nierzadko przekracza dziesiątki milionów!) wyciek, a nasze hasło nie będzie odpowiednio mocne, to stracimy dostęp i ewentualnie dane tylko do jednego konta. Przestępcy bowiem od razu po złamaniu bazy skanują wszystkie popularne serwisy internetowe pod kątem tego samego e-maila i hasła.

Skąd mam wiedzieć, czy moje hasło wyciekło? W internecie można znaleźć sporo witryn z informacją: „Wpisz swój adres e-mail, a dowiesz się, czy Twoje hasło wyciekło”. Jeśli pomyśleliście sobie, że to idiotyzm oddawać komuś mojego maila, to mogę tylko bić brawo! W takiej sytuacji trzeba korzystać z nielicznych zaufanych serwisów, np. Have I Been Pwned, prowadzonego przez dyrektora regionalnego z Microsoftu, researchera bezpieczeństwa IT, Troya Hunta. Dokładnie tę bazę możecie teraz odpytać bezpośrednio ze strony CERT Orange Polska, wchodząc pod adres https://cert.orange.pl/haveibeenpwned, bądź klikając w link, umieszczony pod adresem. Gdy piszę ten tekst, w bazie znajdują się dane ze 187 wycieków, obejmujące łącznie… ponad 2 miliardy kont! Jeśli Waszego konta tam nie ma (tak jak mojego prywatnego 🙂 ), możecie zapisać się do serwisu powiadamiającego Was natychmiast, jeśli jednak gdzieś się znajdzie. Gorąco polecam!

Udostępnij: Sprawdź, czy nie ukradli Ci hasła

Bezpieczeństwo

Zajrzyj do swojego routera

8 grudnia 2016

Zajrzyj do swojego routera

Żyjemy w świecie, w którym okazja czyni złodzieja. Ponoć są kraje, czy też regiony, w których ludzie nie zamykają drzwi na klucz wychodząc do pracy, ale u nas tak nigdy nie będzie. Mieszkając w bloku nie wyobrażam sobie wyjścia z mieszkania jako ostatni bez sprawdzenia, czy aby na pewno zamknąłem drzwi (a gdybym mieszkał w domu, to jeszcze okna). W sumie oczywiste, prawda? A co byście powiedzieli, gdyby wszystkie drzwi miały dokładnie takie same klucze. Co więcej – te klucze wyglądałyby na kompletnie badziewne, jak np. do plastikowych zabawkowych dziecięcych kas. Ufalibyście takim kluczom? Nie? A zastanówcie się, jak wygląda hasło do routera w Waszej domowej sieci?

No bo po co nam wypasione zabezpieczenia komputera i urządzeń mobilnych, hasła po fafdziesiąt znaków, z symbolami i cyframi, skoro zostawiamy szeroko otwarte drzwi dokładnie na wejściu do naszej domowej sieci!? Nie znam zbyt wielu osób, które po zainstalowaniu urządzeniu w domu od razu zaglądają do jego konfiguracji (tzn. znam sporo, ale wszyscy pracują w moim departamencie, a my w tych kwestiach nie jesteśmy grupą reprezentatywną 🙂 ), a tymczasem domyślne login i hasłow tych urządzeniach nigdy nie były tajemnicą! Znalezienie ich w sieci to kwestia kilkunastu sekund. Co więcej, niemała część urządzeń obecnych na rynku od razu po podłączeniu jest domyślnie… dostępne z internetu! Konsekwencje? Wszystko co wychodzi z Waszej domowej sieci może zostać podsłuchane, podmienione, przestawione, a strona na którą wchodzicie może nie być tą, której się spodziewacie, jeśli przestępca podmieni adresy serwerów DNS… Potencjalne efekty – począwszy od świadomości, że ktoś podgląda nasze życie, poprzez podłączenie naszej sieci do botnetu i użycie jej do przeprowadzania np. ataków DDoS, do utraty wszystkich pieniędzy z konta.

Oczywiście instalacja nowego routera domowej sieci to nie jest coś, co robimy codziennie, ale warto byście choćby teraz poświęcili kilka minut na zalogowanie się na router (zazwyczaj pod adresem 192.168.1.1), zmianę przynajmniej hasła (często login „admin” jest wbity na stałe), sprawdzenie, czy Wasze urządzenie nie jest aby dostępne z internetu i upewnienie się, czy adresy serwerów DNS są wciąż takie, jakie być powinny (w przypadku Orange Polska primary DNS to 194.204.159.1 zaś secondary: 194.204.152.34). W ostatnich dwóch kwestiach możecie spać spokojniej jeśli korzystacie z urządzeń z naszej sieci sprzedaży, bowiem adresy serwerów DNS są w nich ustawione na stałe, zaś dostęp spoza domowej sieci jest domyślnie wyłączony. No i pamiętajcie o porządnych haśle do WiFi – na nic brak dostępu z zewnątrz, jeśli cyber-obwieś zobaczywszy naszą sieć zaloguje się do niej hasłem 12345678…

Front page photo: A. Strakey/Flickr

Udostępnij: Zajrzyj do swojego routera

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej