Faktury elektroniczne EBPP

Trystero

Najlepsza ochrona przed hakerami? Nie bądź głupi!

Opublikowane przez Trystero w kategorii Społeczeństwo dnia 29.06.2011 | Komentarze (25) »

Bardzo podoba mi się myśl przewodnia artykułu Bloomberga o bezpieczeństwie informatycznym: ludzkości nie jest znane urządzenie zdolne powstrzymać ludzi przed zachowywaniem się jak idioci.

Pracownicy Departamentu Bezpieczeństwa Wewnętrznego USA w jednym z testów porozrzucali na parkingach instytucji rządowych i prywatnych firm współpracujących z nimi twarde dyski, płyty CD i pendrivy – oczywiście tak, by wyglądało, że zostały zgubione. Oszałamiające 60% pracowników podłączyło te nośniki do firmowego sprzętu. Odsetek wzrósł do 90% gdy nośniki miały logo instytucji/korporacji, w której pracowali testowani.

Inny przypadek: hakerzy po uzyskaniu informacji, że firma zajmującą dostarczaniem tokenów do logowania do systemów firmowych i bankowych prowadzi akcję rekrutacyjną rozesłali do pracowników tej firmy emaile z załącznikiem w postaci arkusza kalkulacyjnego o nazwie 2011 Recruitment Plan. System antyspamowy zadziałał – wszystkie emaile trafiły do Spamu. Znalazł się jednak jeden dzielny pracownik, który odzyskał email ze Spamu i otworzył załącznik. Koszt dystrybucji nowych tokenów to od 50 mln USD do 100 mln USD.

Kolejne zdarzenie: w lutym 2011 roku hakerzy włamali się do systemu firmy zajmującej się bezpieczeństwem informatycznym, HBGary. Okazało się, że dwaj najwyżsi rangą managerowie tej firmy używali tych samych haseł do poczty elektronicznej, serwisów społecznościowych i systemów korporacyjnych.

Niedawno pisałem o włamaniu do systemów grupy medialnej Gawker Media, której rezultatem było odszyfrowanie i upublicznienie około 190 000 haseł użytkowników. Najpopularniejszym hasłem było ‘123456’ – ponad 3000 użytkowników posługiwało się tym hasłem. Około 2000 użytkowników wybrało ‘password’ a ponad 1000 ‘12345678’. Wśród najpopularniejszych haseł znalazły się także ‘qwerty’, ‘abc123’, ‘111111’ i ‘0’.

Nie potrzeba zaawansowanej wiedzy w dziedzinie bezpieczeństwa informatycznego by wiedzieć, że:

  • nie powinno się uruchamiać nieznanych nośników danych
  • nie powinno się otwierać załączników w podejrzanych (w gruncie rzeczy: niezamawianych) emailach
  • powinno się mieć dwie, trzy kategorie haseł – osobne dla dziesiątek subskrypcji, poczty elektronicznej i systemów z danymi finansowymi
  • nie ma sensu używać 20 znakowych, skomplikowanych haseł ale zamiast imienia psa czy ‘123456’ dobrze jest mieć nieskomplikowaną, kilkuznakową kombinację liter i cyfr

Dlatego najlepszym zabezpieczeniem przed hakerami i oszustami jest szczypta zdrowego rozsądku. A jakie praktyczne wskazówki Wam przychodzą do głowy?

Podziel się z innymi:
  • Wykop
  • Google Bookmarks
  • Facebook
  • BLIP - Bardzo Lubię Informować Przyjaciół
  • Co-Robie.pl | Co teraz robisz?
  • Wrzuć to na Flakera - powiadom swoich Znajomych
  • grono.net - internetowa społeczność przyjaciół
  • Dodaj link - Linkr.pl - tylko ciekawe linki
  • Polec.pl - Pozytywnie Odjazdowo Lajtowo Elokwentny Content
  • Dodaj wyczajenie
  • Spis.pl - najciekawsze w sieci
  • pinger.pl - Nie taki zwykły blog.

Komentarze (25) do "Najlepsza ochrona przed hakerami? Nie bądź głupi!"

  1. HeS powiedział(a):

    Połowę tych problemów nie pojawiłoby się wcale gdyby komputery w “poważnych” firmach były odpowiednie. Taki komputer nie powinien mieć możliwości podłączenia żadnego zewnętrznego nośnika danych (ani posiadać dodatkowych wejść/wyjść oprócz gniazda Etherneta). To powinna być monolityczna, “zalutowana” puszka (najlepiej bez dysku). A odzyskiwaniem spamu, odkładanego gdzieś na wydzielonym serwerze, powinien się zajmować administrator w firmie (po prośbie:). Współczesny, ogólno-dostępny, sprzęt komputerowy, Windowsy oraz organizacja pracy wprost zaprasza do łamania podstawowych zasad bezpieczeństwa.

  2. Ala Hakerka powiedział(a):

    Ja mam prosty sposób na, w miarę unikalne, hasła do każdego serwisu. Zawszę dzielę systemy, których używam na 3 klasy. Ważne (bank, komputer w domu, e-mail), nieważne (komputer w firmie; pierdyliard firmowych systemów, z których nie kojarzę do czego służy połowa; hasło do komunikatora) i kompletne duperele (Fejsbuki, NaszeKlasy, fora o-dupie-Marynie).

    Na początku wymyślam frazę, takie jakby hasło bazowe dla danej grupy serwisów. Potem dodaje do niego skrót nazwy serwisu, np. “G0G” dla Google, “YH!” dla Yahoo!, “wIKi” dla Wikipedii. Staram się, aby hasło miało >10 znaków (nie liczę skrótu nazwy serwisu). Takie hasło powoduje, ze moje hasła są unikalne pomiędzy serwisami i odporne na atak słownikowy (skrót nazwy), odporne na tęczowe tablice (długość) i łatwe do zapamiętania.

    W przypadku systemów firmowych, z wymuszaniem zmiany hasła, stosuję również “licznik” o długości 5 cyfr (systemy te sprawdzają czasem czy nowe hasło różni się w odpowiednim stopniu od poprzedniego.) Licznik podbijam przy każdej zmianie o stałą wartość. Zawsze o 1492 (łatwo mi zapamiętać datę odkrycia ameryki).

    Tam gdzie to możliwe loguje się z użyciem “two-factor authentication”, czyli hasło wraz z: (1) kodem z SMS-a (bank), (2) tokena RSA SecurID (praca), (3) kartki z kodami jednorazowymi (zdalny dostęp z firmy do komputera w domu).

    Ostatnio też włączyłam TFA w Google. Wygląda obiecująco, choć szkoda, że “application-specific passwords” nie mają możliwości przypisania ograniczeń typu “tylko Picasa”, albo “tylko Gmail” i jakiegokolwiek dyskryminowania po geolokalizacji, np. tylko z Polski/Europy.

  3. leon powiedział(a):

    Haslo nie moze byc slowem istniejacym w zadnym jezyku to podstawowa zasada, musi miec wiecej niz 6 znakow, 8 to takie optimum + musi skladac sie ze znakow alfanumerycznych i znakow specjalnych. Do tego nie powinno sie go nigdzie zapisywac, ani udzielac osoba postronnym (patrz Kevin Mitnic i jego social engineering).
    Warto zainstalowac oprogramowanie ktore ochroni nasz komputer przed keylogerami, raz na jakis czas skanowac komputer.
    Niedopuszczalne jest stosowanie tego samego hasla do servisow waznych i nieistotnych gdyz bardzo czesta praktyka, ze amatorzy administratorzy tworza strony (np. sklepy internetowe z jakimis drobiazgami), trzymaja oni wtedy nasze hasla i adresy mailowe w plaintext’cie (czyli niezakodowane) ktos kto wlamie ie na taka strone ma naszego maila, wtedy moze zrobic research do dna, a nawet podszywac sie pod nas i tym sposobem wysylac zainfekowane ale wygladajace wiarygodnie zalaczniki do ludzi z naszej ksiazki adresowej.
    Hasla do najbardziej krytycznych serwisow powinny byc zmieniane dla bezpieczenstwa raz na jakis czas.
    Warto tez pamietac, ze nie istenie cos takiego jak bezpieczny komputer gdy druga osoba ma do niego fizyczny dostep. Odczytanie danych znajdujacych sie na zabezpieczonym haslem komputerze przy ktorym mozna siasc zajmie zawodowcowi kilka do kilkunastu minut. Jezeli posiadamy na dysku naprawde istotne dane warto pomyslec nad ich szyfrowaniem, wtedy nawet w przypadku kradzierzy komputera nasze dane ( i naszych klientow) sa w miare bezpieczne.

    To tyle z rzeczy ktore mi przychodza do glowy na ta chwile, oczywiscie wszytkie rady autora sa jak najbardziej obowiazujace.

  4. Karol powiedział(a):

    @Hes
    Idąc tym tropem to im jeszcze internet odłącz i będzie bezpiecznie :)

    @Trystero
    Jak komp ma autorun wyłączony to nie widzę problemu w podpięciu jakiegokolwiek nośnika. A jak ma się jescze sandboxa i wie jak z tego korzystać to można działać i odpalać exeki :) Zawsze jest szansa, że listę płac się znajdzie :)

    Swoją drogą to każda szanująca się korporacja powinna zlecać raz do roku wyłapywanie idiotów.

  5. poszi powiedział(a):

    @Trystero,

    “nie ma sensu używać 20 znakowych, skomplikowanych haseł ale zamiast imienia psa czy ‘123456’ dobrze jest mieć nieskomplikowaną, kilkuznakową kombinację liter i cyfr”

    Takie hasła się obecnie łamie w kilka sekund metodą przeszukania wszystkich kombinacji przy pomocy wysokiej klasy kart graficznych. 4 małe litery, jedna duża i cyfra to zaledwie miliard kombinacji. Karta graficzna za 300$ przeszukuje 5 mld haseł na sekundę
    http://whitepixel.zorinaq.com/

    Jesli tam jest wyraz słownikowy, to są to mikrosekundy na złamanie.

    Takie hasło jest pseudobezpieczne, gdy ufamy, że coś zabezpieczene tym hasłem nie dostanie sie w niepowołane ręce (np. rachunek w banku, który blokuje dostep po kilku nieudanych próbach, a plik z zaszyfrowanymi hasłami jest bezpieczny), ale wiele przypadków pokazało, że różnie z tym bywa. Ale cokolwiek, do czego atakujący może mieć nieskrepowany dostep (zaszyfrowany plik, dysk USB, itp.) “zabezpieczone” takim hasłem jest w praktyce niezabezpieczone.

    Obawiam się, że w dzisiejszych czasach najbezpieczniejsze hasła to kilkunastoznakowe kompletnie losowe hasła z literami, cyframi i znakami specjalnymi. Do każdego serwisu inne, bo trafimy np. na takie Sony, które trzymało je w otwartym tekscie (brawa dla geniuszy z działu bezpieczeństwa) i najbardziej skomplikowane hasło w przypadku naruszenia bezpieczństwa w jednym miejscu jest bezużyteczne. Nikt śmiertelny takiego losowego hasła nie spamieta (jedno moze, ale nie wszystkie), więc jedyny sposób to mieć to zapisane. Mimo że to rada wyśmiewana od lat, jest to wielokrotnie bezpieczniejsze niż hasło “BardzoŁatweDoZapamietaniaHasło”, które się ma w pamięci.

    Nawet najlepsze hasło jest bezużyteczne, jak sie ma trojana z loggerem klawiatury. Dlatego wszystkie poważne miejsca powinny mieć podwójny system zabezpieczeń z hasłami jednorazowymi. Polskie banki to mają, ale amerykańskie nie. Za każdym razem jak korzystam z amerykańskiego banku się zastanawiam, jak to się dzieje, że one jeszcze nie poszły wszystkie z torbami.

  6. mdht powiedział(a):

    “Za każdym razem jak korzystam z amerykańskiego banku się zastanawiam, jak to się dzieje, że one jeszcze nie poszły wszystkie z torbami.”
    poszły, tylko bailout był wystarczający ;)

    “Obawiam się, że w dzisiejszych czasach najbezpieczniejsze hasła to kilkunastoznakowe kompletnie losowe hasła z literami, cyframi i znakami specjalnymi.”

    Dlaczego? Czy mówimy tylko o ilości możliwych kombinacji czy istnieje inna zależność? Hasło AA jest bezpieczniejsze niż A0?

  7. Paweł powiedział(a):

    “nie ma sensu używać 20 znakowych, skomplikowanych haseł”
    Dlaczego?

    Polecam ten sposób: http://www.baekdal.com/tips/password-security-usability

  8. poszi powiedział(a):

    “Dlaczego? Czy mówimy tylko o ilości możliwych kombinacji czy istnieje inna zależność? Hasło AA jest bezpieczniejsze niż A0?”

    Chodzi oczywiscie o liczbę kombinacji (litery i cyfry to więcej kombinacji niz same litery), ale też o przewidywalność. Nielosowe hasło będzie łatwiejsze do zapamietania, co wiąże się z pewnymi ułatwieniami dla łamiącego hasło. Będzie miało częściej cyfrę 0 oraz 1, (zastepujące O lub I) lub rok urodzenia na końcu, znak specjalny najczęściej na końcu lub poczatku, duża literę najczęsciej na poczatku, generalnie wiecej małych liter niż innych. Mówiąc ściśle będzie miało mniejsza entropię niz hasło losowe.

    Hasło nielosowe można zrobić dość bezpieczne (np. 10 wyrazów słownikowych przebije już możliwości łamaczy), ale będzie wtedy bardzo długie i niewygodne we wpisywaniu (trudniej wpisać to bez pomyłki).

  9. wróżka metylia powiedział(a):

    A mi się wydaje, że kogoś zdrowo pogięło. To, że w jakimś serwisie użytkownicy mają hasło ‘123′ uważam za wyłączną winę tego serwisu – uniemożliwienie wybrania trywialnego hasła koduje się w kilkanaście minut, naście lat temu widziałem biblioteki, które pozwalały sprawdzić czy hasło jest słownikowe (lub prosta mutacja) – dlaczego mam winić użytkownika za to, że programiście serwisu (który to serwis pewnie jeszcze chce na użytkowniku zarabiać!) się nie chce?

    Firma zajmująca się dystrybucją tokenów, w której możliwe jest żeby e-mail z zewnątrz znalazł się na tym samym komputerze, co tajne dane? Bez jaj.

    Nie wiem jak Was, ale mnie dążenie do przerzucania coraz większej odpowiedzialności na użytkownika mierzi. Co z tego, że ktoś ma w fafnastu serwisach takie hasło jak w Sony? Firma Sony ma poufności pilnować, za darmo tego nie robi.

    Nie uruchamiać nieznanych nośników danych? A może niech system operacyjny tego dopilnuje, żeby nie uruchomić jakiejś szmaciarskiej aplikacji niewiadomego pochodzenia. Nie da się? A na iPhone jakoś się dało.

  10. wburzyns powiedział(a):

    “A jakie praktyczne wskazówki Wam przychodzą do głowy?”

    Do każdego konta należy mieć osobne, losowo wygenerowane hasło o długości co najmniej 20 znaków. Istnieje wiele aplikacji wspomagających tworzenie i zarządzanie takim zbiorem, np. http://keepass.info/.

    Należy zachować ostrożność przy wyborze rzeczonej aplikacji: zwłaszcza trzeba się upewnić, że korzysta ona z kryptograficznie bezpiecznych źródeł losowości w systemie (https://secure.wikimedia.org/wikipedia/en/wiki/Cryptographically_secure_pseudorandom_number_generator) i że szyfrowanie zbioru haseł przeprowadzane jest za pomocą powszechnie uznanych algorytmów (np. AES).

  11. Śmierć Apple powiedział(a):

    “A na iPhone jakoś się dało.” iPhone nie otworzy też tych wiadomego pochodzenia

  12. Śmierć Apple powiedział(a):

    “Jak komp ma autorun wyłączony to nie widzę problemu w podpięciu jakiegokolwiek nośnika”

    Dopóki nie ma dziury w zabezpieczeniach.

  13. Śmierć Apple powiedział(a):

    “Kolejne zdarzenie: w lutym 2011 roku hakerzy włamali się do systemu firmy zajmującej się bezpieczeństwem informatycznym, HBGary. Okazało się, że dwaj najwyżsi rangą managerowie tej firmy używali tych samych haseł do poczty elektronicznej, serwisów społecznościowych i systemów korporacyjnych.”

  14. leon powiedział(a):

    poszi: w swoich rozwazaniach diotyczacych lamania hasel bierzesz pod uwage, ze ktos juz dopadl baze np. hasel zhashowanych RSA ale jak oni dopadna ta baze to znaczy ze weszli na sever jak weszli an server to moga juz wszytko lacznie z przerobieniem logowania na takie ktore hasla sprawdza i jednoczesnie zapisuje plaintextem.
    Jezeli chodzi o wlamywanie sie na konta nie majac bazy danych lamanie tych hasel nie jest takie proste np. w linuksach standardem jest, ze po blednym wpisaniu hasla kolejna probe mozna podiac po 3 sekundach – w takim wypadku nawet komputer kwantowy nie pomoze w zlamaniu 8 znakowego hasla z liter cyfr i znakow specjalnych.

    Odnosnie zapisywania hasel to nie ma takiej potrzeby wystarczy zastosowac stara technike tworzenia takich hasel: wezmy na przyklad zdanie: “Mieszkam w Warszawie, jestem inwestorem i zarabiam dużo dolarów dzieki moim inwestycja, a pieniadze lokuje na koncie z duzym oprocentowaniem.” Kazdy sobie moze ulozyc jakeis krotkie zdanie, ktore jest dla niego latwe do zapamietania. Potem bierze to zdanie i wybiera z niego pierwsze litery, zamieniajac co nie co w znaki specjalne i z naszegio zdania powstaje: “MwW,jiizd$dmi,aplnkzd%.” – trudne do zapamietania? no chyba nie, slownik nie ma z nim szans, brute force tez nie. Kazdy moze ulozyc sobei zdanie o rodzinie, miescie, miejscu ktore lubi itp. Powstaja w ten sposb hasla praktycznie nie mozliwe do zlamania i jednoczesnie bardzo proste do zapamietania.

  15. Lulu powiedział(a):

    Nie zgadzam sie! Nalezy uzywac 20 znakowych hasel. Po prostu do normalnego hasla trzeba dodac wiersz, piosenke, proze.
    “Ogary poszły w las”, itp. oczywiscie to znane, ale ilosc tez jest ogromna.

    Po drugie warto po prostu zapisywac na kartce czesc hasla.

  16. Arturro powiedział(a):

    Na wszystkich nieistotnych kontach mam jedno i dokładnie to samo hasło. Tak, już wyciekło, zmieniać nie zamierzam, bo po co? Zapamiętanie nowego jest bardziej kłopotliwe, niż założenie nowego konta w jakimś nieistotnym serwisie.
    Dla tych kliku kont średnioważnych używam pewnej prostej kominacji login/hasło. Znaczy mam 3 loginy do tego hasło składające się z 2 członów. Każdy z członów występuje w 3 kombinacjach. Jak dotąd nikomu nie udało się ich złamać (a były liczne próby – przynajmiej wg. naszego administratora), a ja nie mam problemu by “odtworzyć” sobie to hasło jak je zapomnę.
    A do rzeczy naprawdę ważnych używam albo tokena, albo naprawdę wyjątkowego hasła. Czyli do banku i poczty firmowej.

    Też kiedyś kombinowałem z wymyślnymi hasłami, ale wtedy zdażało mi się zapomnieć hasło, często bez możliwości odzyskania. A trzymanie haseł w pliku na pulpicie, czy na kartce przy biurku to głupota. Przerost paranoi też jest szkodliwy :).

  17. karroryfer powiedział(a):

    HBGary przednie. Pokazuje najwyrażniej sens kategoryzowania haseł. Szkoda że jeszcze nie działa powszechnie OpenID lub coś podobnego bo wpisywanie hasel do dziesiątek forów ( z regóły używanych sporadycznie) to koszmar – w naturalny sposób upraszczający po pewnym czasie hasło(a). Nie sądzę aby wielkie szkody wyrządziło mi włamanie na NK czy fejsa – ale już na Allego potencjalnie tak więc trzeba uważać

  18. abc powiedział(a):

    “A trzymanie haseł w pliku na pulpicie, czy na kartce przy biurku to głupota.”

    Lepiej mieć arcytrudne hasło zapisane na karteczce niż “abc1″. Naprawdę, wszystkie włamy jakich doświadczyłem były z Chin, Rumunii, itd… A żeby ustrzec się przed ciekawską sprzątaczką, wychodząc z biura wystarczy karteczkę włożyć w plik papierów.

  19. abc powiedział(a):

    No i można mieć karteczkę postaci:

    NI&97T987YB
    JO&y9*&h(Y9
    J87^RIUyBOi
    h89(h9b8y7H
    )7T(*&t(B*7

    a hasło to np. YB8tT9^97) – czyli po jednej z przekątnych…

  20. Antek powiedział(a):

    @Karol
    Czasem i blokowanie Autorun nie wystarczy :)
    http://niebezpiecznik.pl/post/nietypowa-myszka-instaluje-wirusa-po-podlaczeniu/

  21. Michał powiedział(a):

    Od razu skojarzył mi się komiks:
    http://xkcd.com/792/

  22. Bulwersator powiedział(a):

    A mi ten
    http://xkcd.com/538/

  23. szopen powiedział(a):

    Z tego co pamiętam, zmuszanie użytkowników do używania zbyt trudnych haseł i generowanie ich dla użytkowników jest jednym z częściej podnoszonych oznak kiepskiego administratora. Większość ludzi nie zapamięta hasła i wrzuci je właśnie na karteczkę. A większość włamań udanych i złośliwych wcale nie pochodzi z Chin.

  24. Gryzak powiedział(a):

    Mnie uczyli specjaliści od bezpieczeństwa, że hasło powinno być długie, ale bez konieczności komplikowania. Czyli szladzieweczkad0laseczka jest o wiele lepsze niż D#Y$^12. Choćby z tego względu, że to drugie jest nie do zapamiętania. Brute force polegnie, włącznie ze słownikiem, a jak masz hashe niezasolone, to żadne hasło nie jest bezpieczne.

    A jak jeszcze wymusisz zmiany co 30 dni przy takim skomplikowaniu, to nie ma mocnych, będzie to hasło gdzieś zapisane. Już pomijam, że z reguły cały jeden pokój zna swoje hasła, ale tu już nic nie poradzisz, poza kartami z certyfikatem.

    Bawi mnie taki Polbank np., który wymusza zmianę hasła co 90 dni. I trzeba wejść, zmienić na nowe, zmienić na jeszcze nowsze, zmienić na stare. Upierdliwe jak mało co. A z tego co wiem, to zablokowanego konta nie da się odblokować telefonicznie. Niezły ruch musi być w związku z tym w oddziałach ;)

  25. Fizjonom powiedział(a):

    Z tym Gawker Media to wcale się nie dziwię. Wszystko przez to, że na swoich stronach przymuszali do zakładania konta, jeśli ktoś chciał napisać tylko głupi komentarz. Na ich stronach hasła nie chroniły żadnych ważnych danych, więc i użytkownicy (słusznie) nie przykładali się do tworzenia skomplikowanych haseł.

Przepraszamy, możliwość dodawania komentarzy jest obecnie wyłączona.

Trystero

niezależny blog finansowy

Autor bloga jest inwestorem giełdowym i doktorantem na czołowym polskim uniwersytecie. Publikowane na blogu teksty dotyczą rynku kapitałowego, ekonomii, gospodarki i życia społecznego– w takiej mniej więcej kolejności więcej »

Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player