Bezpieczeństwo

Co zrobić by Twój e-mail pozostał Twoim?

17 czerwca 2021

Co zrobić by Twój e-mail pozostał Twoim?

Słyszeliście, że ostatnio w mediach dość sporo mówi się o zabezpieczaniu korespondencji e-mail? Nie każdy z nas jest celem wysokiej wartości (High Value Target, HVT), ale każdy z nas przez swoją niefrasobliwość może narazić się na ryzyka, związane z wyciekiem korespondencji. Naruszenie prywatności, wgląd w nasze intymne/wrażliwe treści, kradzież tożsamości (podszywanie się pod nas), okradanie (jako my) naszych znajomych, czy wreszcie dostęp do (ważnych) danych naszego pracodawcy. To nie wszystkie z potencjalnych ryzyk, związanych z uzyskaniem przez osobę niepowołaną dostępu do naszego konta e-mail. To nie muszą być dane ważne dla bezpieczeństwa państwa, by zrobiło nam się gorąco…

Jak się chronić? Na szczęście dla znaczącego ograniczenia ryzyka nie trzeba wiele. W dzisiejszych zaganianych czasach szkoda nam czasu na czynności, które wydają się zbędne. Jeśli jednak zdamy sobie sprawę, że zmiana naszych przyzwyczajeń względem kont e-mail, czy social mediowych, tak naprawdę nie zajmie nam o wiele więcej czasu – łatwiej będzie się do tego przyzwyczaić.

Po pierwsze – hasło

Od lat się mówi, że hasło to przeżytek, że kto to wszystko spamięta, żeby od haseł odchodzić. Co do zasady – absolutnie się zgadzam! Tylko, że w przypadku konta mailowego nikt nie wymyślił sensownej alternatywy. Dodatek do hasła – tak (o tym później), ale zastępstwo hasła jeszcze nie.

Choć są firmy, w których niezmiennie trwa podejście „bardzo-długie-totalnie-losowe-hasła-zmieniane-co-miesiąc” od tego na szczęście już się odchodzi. Nie powiem Wam, jaka jest polityka haseł w Orange Polska, ale zdradzę, że hasła zmieniamy rzadziej, niż co miesiąc. Dzięki temu nie zdarzają się sytuacje, gdy pół firmy loguje się, wpisując: „Czerwiec21!”, a przy zmianie hasła – „Lipiec21!”. Takie podejście mobilizuje do tego, żeby wymyślić hasło realne do zapamiętania, a jednocześnie wystarczająco trudne. Ja na szkoleniach podaję przykład znanego tylko Tobie zwrotu, zdania, np.:

Litwo, ojczyzno moja! Ty jesteś jak zdrowie!

Z którego można wziąć pierwsze litery i znaki przestankowe,  by powstało:

L,om!Tjjz!

Trudne? Trudne. Łatwe do zapamiętania, jeśli znamy punkt wyjścia? No ba! Może tylko trochę za krótkie. Jeśli z serwisu, z którego korzystasz, wycieknie baza haseł, z prawdopodobieństwem graniczącym z pewnością złodziej spróbuje złamać te do 8, ew. do 12 znaków. 13- i dłuższych nie będzie mu się opłacało.

W przypadku haseł przede wszystkim polecam korzystanie z menedżera haseł (jest ich sporo w sieci). Ja sam jednak kilka podstawowych haseł: do menedżera haseł (ha!), banku, czy sieci firmowej pamiętam w głowie. Uwierzcie mi, nawet jeśli jest to pokręcone 20-znakowe hasło, po wpisaniu go 30. raz i tak je zapamiętacie.

Po drugie – zaskocz oszusta

Wyobraź sobie gościa, który w jakiś sposób wszedł w posiadanie Twoje hasła. Z uśmiechem godnym Don Pedro, szpiega z Krainy Deszczowców wpisuje je, potwierdza i… wyskakuje mu monit o wpisanie drugiego składnika uwierzytelnienia!

Ha!

Chyba nie potrafię sobie skojarzyć żadnego poważnego serwisu, który nie udostępnia możliwości uwierzytelniania dwuskładnikowego. O co chodzi? W skrócie – konfigurujemy odpowiednią aplikację (SMSowe 2FA odradzam, wiadomość z kodem łatwiej przechwycić/podejrzeć, ale to temat na inny tekst). Po więcej zapraszam do lektury tekstu na blogu, poświęconego 2FA. Ja, ze względu na częste zmiany telefonów, korzystam z aplikacji Authy, polecam również Google Authenticator.

Specyficzną odmianą 2FA jest klucz sprzętowy. W Orange Polska używamy dedykowanego rozwiązania kryptograficznego, które pozwala nam zalogować się do sieci korporacyjnej, podpisać cyfrowo maila, czy zaszyfrować go. Ogólnodostępne rozwiązanie, np. Yubikey, generuje jednorazowy, specyficzny dla konkretnego egzemplarza kod po dotknięciu guzika w kluczu wetkniętym w gniazdo USB komputera. W lepszej wersji klucz można przytknąć do telefonu i autoryzować się przez NFC.

Po trzecie – patrzysz w ekran? Uważaj!

Podejście „mnie nikt nie zaatakuje, jestem bezwartościowy dla przestępcy” to pierwszy krok do porażki. Każdy z nas jest wartościowy dla przestępcy. Jeśli jesteś HVT, można od Ciebie wykraść dane, które następnie można sprzedać, czy opublikować w sieci. Konto na Facebooku zwykłego internauty można wykorzystać do podsunięcia jego przyjaciołom oszustwa „na BLIKa”. No i wreszcie – kto z nas nie ma danych, których zaszyfrowanie byłoby dla nas duuużym kłopotem? Zdjęcia dzieci, niedokończona praca magisterska, dokumentacja projektowa… To nie jest tak, że nikt tego nie widzi! Kilkukrotnie, czy to w pociągu, czy w samolocie, miałem możliwość zajrzenia na ekran laptopa siedzącego przede mną współpasażera (co ciekawe, akurat we wszystkich przypadkach były to osoby zajmujące się prawem) i przeczytania dokładnych szczegółów toczonych przez nich spraw, taktyki procesowej, nawet danych wrażliwych klientów!

Warto wyrobić w sobie przyzwyczajenie zasłaniania klawiatury, gdy w przestrzeni publicznej wpisujemy hasła, czy PINy!

Nie tylko przy bankomacie, ale także logując się do komputera w „kawiarnia office”, czy „park office”. Ściany mają uszy, a drzewa mają oczy. Czasem by wykraść dane logowania nie trzeba wcale wrzucać ofierze trojana…

Po czwarte – myśl, co i gdzie klikasz

…ale można. Na ten temat sam napisałem już chyba gigabajty treści, więc warto przypomnieć tylko w krótkich bulletach:

  • Jeśli nie spodziewałeś się tego maila – nie klikaj linków i nie otwieraj załączników!
  • Jeśli dodatkowo nie znasz nadawcy – jeszcze bardziej nie klikaj i nie otwieraj!!! (znając nadawcę możesz się z nim zawsze skontaktować i upewnić, czy to aby na pewno on)
  • Logując się na jakąkolwiek stronę, albo wpisując na niej dane wrażliwe, upewnij się, czy to na pewno właściwy adres (ostatnio nasze systemy wyłapały domenę gov-pl.in, jak sądzicie, co w niej jest nie tak?)
  • Nie ufaj absurdalnie wyjątkowym okazjom – zdarzają się tak rzadko, że nie warto podejmować ryzyka
  • Rozdzielaj tożsamości – nie mieszaj spraw (i kont e-mail) prywatnych i służbowych. Wyrób w sobie nawyk wyjątkowej ostrożności przy korzystaniu z maila i infrastruktury w pracy

Dbajcie o siebie. Niech każdy Wasz mail pozostanie Waszym.

Udostępnij: Co zrobić by Twój e-mail pozostał Twoim?

Bezpieczeństwo

Oglądaj się za siebie

10 października 2019

Oglądaj się za siebie

Czasem i mnie zdarza się wymyślić jakiś clickbaitowy tytuł :), ale gdy odsuniemy na bok żarty, okaże się, że ma on sporo sensu. Wpadłem bowiem ostatnio na ciekawe badanie, przeprowadzone na zlecenie firmy 3M. Dam sobie rękę uciąć, że badanie przeprowadzane z założoną tezą, biorąc pod uwagę, że zleceniodawca produkuje m.in. filtry na ekran monitora, uniemożliwiające osobom postronnym zobaczenie, co też tam wypisujemy. Ale nie zmienia to faktu, że badanie to bezdyskusyjnie zwraca uwagę na problem, którego wielu z nas nie widzi…

Wystarczy 15 minut

Dla zwykłych internautów – dokładne przyglądanie się potencjalnym phishingowym mailom. Dla firmowych specjalistów od procedur – polityki bezpieczeństwa haseł. Dla tych zajmujących się techniczną stroną cyberbezpieczeństwa – firewalle. I wiecie co? To wszystko o kant… tzn. i tak się nie przyda, gdy przestępca mimochodem stanie za nami i zobaczy jakie hasło wpisujemy.

Przyznajcie się sami przed sobą – czy zawsze wpisując hasło patrzycie, czy ktoś się Wam nie przygląda? Mnie w pracy akurat przychodzi to łatwo, bo za plecami mam kaloryfer i ścianę :), ale co gdy pracujemy zdalnie? Żyjemy w czasach, w których niczym nienormalnym nie jest otwarty laptop w bistro, kawiarni, czy przestrzeni co-workingowej. A tam, logując się, czy zestawiając połączenie VPN, mało kto patrzy za siebie… Tymczasem, według badania Instytutu Ponemon, zleconego przez Visual Privacy Advisory Council i wspominane 3M, w 45% badanych przypadków od spojrzenie na monitor i ręce ofiary do wpisania w odpowiednie miejsce przejętych poświadczeń logowania minęło zaledwie 15 minut!

Do phishingu jeden krok

Kwestia „shoulder surfingu” i ogólnie niefrasobliwości idealnie wpisuje się w trwające obecnie kampanie, rozsiewające trojana Emotet. Będące ich źródłem maila przychodzą z maili udających adresy osób, z którymi korespondujemy. Co więcej, są… odpowiedziami na faktyczne mailowe konwersacje, co tym bardziej może zmylić ofiarę (na stronie CERT Orange Polska przeczytacie bardziej szczegółowy opis). Skąd przestępcy mają dostęp do takich wiadomości? Ano stąd, że musieli dostać się do skrzynek „nadawców”. A jak się do nich dostali? Mogli przy pomocy złośliwego oprogramowania, a mogli po prostu zerknąć w kawiarni na to, jak się logowałeś/aś…

Jak na lunchu – to nie w pracy

Oczywiście Emotet i pokrewne to tylko jeden ze sposobów, w jaki przestępcy mogą wykorzystać naszą niefrasobliwość. By wykraść tajne dane z korporacji, nie trzeba włamywać się do komputera jej prezesa. Wystarczy znaleźć jeden słaby punkt, na najniższym szczeblu. Takim punktem może być jeden pracownik, który podczas przerwy lunchowej w pobliskim centrum handlowym nie zdejmie wiszącego na wierzchu identyfikatora z nazwiskiem, poskarży się podczas głośnej rozmowy z kolegami na złych ludzi z konkurencyjnego wydziału, aż wreszcie nie zauważy, logując się do sieci podczas szybkiego obiadu, że nie tylko on widzi wpisywany przez siebie login i hasło.

Nie namawiam Was do wpadania w obsesję i manię prześladowczą. Ale sami przyznacie, że warto być świadomym tego typu zagrożeń.

Udostępnij: Oglądaj się za siebie

Bezpieczeństwo

Najgorsze hasła 2017

4 stycznia 2018

Najgorsze hasła 2017

Kocham Was ludzie. Serio. Stali czytelnicy pewnie spodziewają się, że piszę to nieco ironicznie i tak, mają rację 🙂 Przeczytałem coroczne podsumowanie, zbierające najgorsze hasła z wykradzionych baz, autorstwa firmy SplashData. Idio… tzn. wyjątkowo niefrasobliwych internautów wciąż nie brakuje. I dobrze – dzięki nim tacy jak ja mają pracę 🙂

Hasła roku? Liderem 123456!

Od trzech lat niezmiennie najczęściej wybieranym hasłem wśród internautów jest 123456. Zdaję sobie oczywiście sprawę, iż nie mamy pewności, czy mówimy o grupie reprezentatywnej (raport bazuje tylko na odszyfrowanych częściach wykradzionych baz danych), tym niemniej fakt, iż 3 procent przeanalizowanych haseł to „123456” nas przeraża, a przestępców rzecz jasna cieszy. Cała reszta z top 100 (nie chciałem Was zanudzać na blogu, poniżej „zaledwie” Top 30) to w zasadzie niezmiennie te same idiotyczne hasła, których złamanie zajmuje profesjonalistom ułamki sekund.

Dlaczego hasła są takie ważne?

Tym, którzy są tu regularnie, nie muszę tłumaczyć 🙂 Jak jednak widać po statystykach, wciąż są tacy, którym trzeba. Spytam więc, czy wychodząc z domu zamykacie drzwi? A w jaki sposób? Na haczyk, czy jednak na patentowe zamki? No właśnie. A przecież jedyną różnicą między naszymi aktywami i pasywami offline i online jest tylko sposób dostępu. Są tak samo wartościowe i tak samo można je ukraść.
Polecam również poświęcony tematowi film – to zaledwie 5 wartych obejrzenia minut.

No i na koniec obiecane „topowe” hasła.

Najpopularniejsze hasła 2017 (top 30)
1 123456 11 admin 21 hello
2 password 12 welcome 22 freedom
3 12345678 13 monkey 23 whatever
4 qwerty 14 login 24 qazwsx
5 12345 15 abc123 25 trustno1
6 123456789 16 starwars 26 654321
7 letmein 17 123123 27 jordan23
8 1234567 18 dragon 28 harley
9 football 19 passw0rd 29 password1
10 iloveyou 20 master 30 1234

Udostępnij: Najgorsze hasła 2017

Bezpieczeństwo

Jak mocne jest Twoje hasło?

28 września 2017

Jak mocne jest Twoje hasło?

Człowiek to istota – hmmm – powiedzmy, że nie wypada użyć określenia „głupia”, powiedzmy więc, że po prostu lubimy chodzić na skróty. Ale o tym, że jesteśmy uparci można już powiedzieć i taka jest prawda. Upór to nie tylko cecha mojego 11-letniego syna – również wielu z nas. Na przykład wtedy, gdy zakładamy konto w nowym serwisie i wymyślamy doń hasło.

Tak, tak – dawno nie było o moim koniku :), a wpadłem ostatnio na ciekawy materiał o badaniach Carnegie Mellon University. To nie byle jaka uczelnia i nie chodzi oto, że „hamerykańska”. To przede wszystkim „dom” dla centrum koordynacyjnego CERT, miejsce w którym ostatecznie przyznaje się prawo do używania nazwy Computer Emergency Response Team (ma je m.in. nasz CERT Orange Polska).

Hasło na skróty

Każdy twierdzi, że jego hasła są świetne i nie do złamania, a gdy przychodzi do kolejnych wycieków, po raz kolejny okazuje się, że gros odhashowanej bazy to „12345678”, „Password”, „ILoveYou!”, czy inne tego typu konstrukcje „nie do złamania”. Zastanówcie się sami, czy tworząc hasła, nie chodzicie przypadkiem na skróty? Czy przy konieczności użycia wielkich i małych liter nie zaczynacie hasła wielką? A w ilu przypadkach, jeśli hasło ma zawierać cyfry i znaki specjalne, kończy się ciągiem „1!” (oczywiście bez cudzysłowów)? Kto jest bez grzechu, niech pierwszy rzuci kamieniem. No własnie. A przestępcy też o tym wiedzą.  Do tego stopnia, że ustawiwszy łamanie wykradzionej bazy na schemat Wmmmmmcz (gdzie W to wielka litera, m to mała, c to cyfra, a z to znak specjalny) przy odpowiednio silnym sprzęcie w ciągu kilku/nastu sekund rozszyfrują przynajmniej połowę bazy. Słabo, nie?

Dobre hasło? Sprawdź sam/a!

Naukowcy z CMU przeanalizowali miliony dostępnych w różny sposób haseł i przygotowali bazujący na przygotowanej przez siebie sztucznej sieci neuronowej tester haseł. Bazując na popularności formy, treści i stylu haseł, po wpisaniu naszej propozycji nie tylko dowiemy się, czy jest słaba, średnia, czy silna, ale również – w przypadku uwag – przeczytamy dlaczego coś jest nie tak i co powinniśmy zrobić, by utrudnić wyważenie bramy do naszego cyfrowego świata. Trochę edukacyjnie, jak nasza CyberTarcza, która nie tylko mówi: „Wylecz infekcję”, ale także wyjaśnia na czym polega związane z nią ryzyko.

Powiecie: „Ale co ty nam mówisz, chcesz, żebyśmy wpisali nasze hasła na jakiejś stronie?”. W sumie to będzie nawet mieć sporo racji, sam przed tym przestrzegam. Tutaj mamy jednak pewność, że to witryna CMU, oczywiście z transmisją zabezpieczoną przez https. Dla spokoju ducha jeśli chcecie sprawdzić jakieś hasło, zmieńcie w nim kilka cyfr, liter, czy znaków, żeby było bliźniaczo podobne do testowanego, ale jednak nie takie samo.

Jeśli jesteście gotowi na wyzwanie, zajrzyjcie na https://cups.cs.cmu.edu/meter/. Sprawdziłem kilka moich – było na zielono i bez uwag, ale ja nie jestem do końca normalny 😉

Udostępnij: Jak mocne jest Twoje hasło?

Reklama

Dziś zmienia się z Orange

31 stycznia 2011

Dziś zmienia się z Orange

Właśnie wystartowaliśmy z kampanią, w której przypominamy, że przedłużając z nami umowę można dostać nawet 40 proc. więcej minut do wykorzystania w taryfach Delfin, Pelikan i Pantera. To zarazem pierwszy spot , którym pojawia się nowy podpis, zwany z angielska claim. Zamiast „together we can do more” jest  „dziś zmienia się z Orange”. Hasło będzie pojawiać się w naszej komunikacji marketingowej w ofertach Orange nie tylko w Polsce, ale także innych krajach. Ma pokazywać, w jaki sposób dostarczane przez nas technologie mogą zmienić życie klientów na lepsze. Jestem ciekawy, jak podoba się Wam nasz nowy claim?

Udostępnij: Dziś zmienia się z Orange

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej