Nasveti za Varno uporabo interneta 1. del

V kolikor bi me povabili, da ugotovim oz. “skrekam” vaše geslo, saj veste tega istega, ki ga uporabljate na vseh spletnih straneh, ki jih obiskujete; kolikokrat bi moral ponoviti ugibanje vašega gesla, da bi ga uganil? Pa poglejmo… v nadaljevanju moj top 10 seznam možnih gesel.

Najprej se moram seveda kot to počnejo hekerji informirati kdo ste, pridobiti vaše podatke; pripraviti za naslednje korake. Pridobiti podatke o vas je lažje, kot si mislite; internet je ogromna zbirka informacij o vsem – tudi o vas, profil na Facebooku, Linkedin, objave nagradnih iger, telefonski imenik, blog, diplomska naloga, zaposlitveni CV, .. Ko imam podatkov dovolj lahko dokaj enostavno vdrem v vašo e-pošto, računalnik in/ali bančni račun; navsezadnje je žal tako, da ko si ugotovil geslo za eno od storitev je verjetnost, da tudi ostale storitve uporabljajo enako geslo zelo visoka.

Torej top 10 ugibanje vašega Varnostnega gesla:

1. Vaš partner, otrok, ime hišnega ljubljenčka, največkrat sledi št. 0 ali 1 (ker vas določene storitve, ki jih uporabljajo silijo uporabljati številke; kajneda?)
2. Vaša pin številka mobitela
3. Številka vaše pin kode bančne kartice
4. 123 ali 1234 ali 123456
5. “geslo”
6. Kraj bivanja, ime priljubljene športne ekipe
7. Datum rojstva – vaše, vašega partnerja ali vašega otroka
8. “bog”
9. “vstopi”
10. “denar”
11. “ljubezen”

Statistično gledano bi zgornji seznam pokril približno 20% populacije (tudi vas, ki to berete). Ne skrbite, če mi do tu še ni uspelo pridobiti vašega gesla, bom potreboval še nekaj dodatnih minut preden mi to uspe.

Hekerji (pa s tem ne mislim tistih etičnih, ki sodelujejo pri razvoju varnostne opreme) so razvili precej obsežen nabor orodij, s katerimi pridobivajo vaše osebne podatke. In edina ovira med tem ali bodo vaši podatki varni ali pa jih bodo zlorabili je vaše geslo oziroma načinu porabe in vzdrževanja vašega gesla.

Ena najenostavnejših metod do pridobitve vaših informacij je z uporabo tako imenovane “Brute Force Attack” metode. Skupaj s to metodo heker uporablja program s katerim se poizkusi prijaviti v spletno stran z vašo identiteto. Na spletni strani Insecure.org najdete seznam Top 10 BREZPLAČNIH “Password Crackers”.

Torej, kakšen je postopek vdora v vaš računalnik, spletne storitve, ki jih uporabljate? Enostaven!! Sledite moji logiki:

• Enako geslo uporabljate za veliko različnih spletnih storitev, kajne??

• Nekatere spletne storitve, ki jih uporabljajo imajo precej dobro varnost, kot npr. on-line banka ali službeni VPN, teh torej heker ne bo napadal.

• Kakorkoli, druge spletne storitve kot so npr. forumi, ki jih obiskujete, klepetalnice ali spletna trgovina, kjer ste pred kratkim kupovali je manj varnostno pripravljena kot banka. To so potencialne tarče hekerja.

• Torej, kar mora narediti heker je uporabiti Brutus, wwwhack, THC Hydra na njihovih strežnikih in podati navodila, da poiskusi npr. 10.000 krat (ali 100.000 – kar vas zadovolji) različne kombinacije uporabniških imen in gesel s čim višjo hitrostjo.

• Ko ima heker določeno število usklajenih uporabniških imen + gesel gre lahko nazaj na targetirano stran in testira.

• Ampak počakajte … Kako ve katere spletne strani uporabljate in kakšen je vaš “login ID” za strani, ki jih velikokrat uporabljate? Vzorci uporabnikov so zelo ponavljivi – večina nas uporablja “top 10″ najbolj pogosto obiskanih strani (google, facebook, 24ur.com, najdi.si, siol.net, bolha.com, avto.net, itd) in pri vseh uporabimo svoje email ali uporabniško ime za prijavo.

In kako hitro je to možno izvesti? Odvisno od treh dejavnikov – dolžine in kompleksnosti vašega gesla, hitrosti računalnika, ki ga uporablja heker in hitrosti internetne povezave hekerja.

Predvidimo, da ima heker razmeroma hitro povezavo in PC. V nadaljevanju ocena časa, ki bi ga potreboval za generiranje vseh možnih kombinacij gesla za dano število znakov. Po generiranju seznama je samo vprašanje časa preden računalnik preiskusi vse možne kombinacije oziroma je izključen pri preizkušanju.

Posvetite posebno pozornost pri razliki med uporabo samo malih črk in uporabo vseh možnih znakov (Velike črke, male črk in posebni znaki kot – @#$%^&*). Dodajanje zgolj ene Velike črke ali enega posebnega znaka bi spremenila čas procesiranja gesla z 8 znaki iz 2.42 dneva v 2.1 stoletja.

Zgornji podatki veljajo za povprečen računalnik ob predvidevanju da ne uporaljate nobene običajne besede iz slovarja. Če bi za zgoraj opisano aktivnost uporabil super zmogljive računalnike, kot jih ima na voljo npr. Google bi šlo 1000 krat hitreje.

Lahko bi še ure in ure pisal o različnih načinih vdora varnosti in počel to kar počnejo mediji – prestrašiti vas ter vliti nezaupanje v internet.

Namen je tu popolnoma drugačen NAUČITI vas varne uporabe in IZPOSTAVITI kar 95% uporabnikov interneta pozablja – da je 95% od vdorov uspešnih zaradi slabih, ponavljajočih gesle.

Verjemite, poznam dejstvo, da morajo biti gesla lahka za zapomniti, vendar če želite mirno spati, se zaščititi in uporabljati geslo, ki ga nikoli nihče ne bo uganil IN ne vsebuje besed iz slovarja upoštevajte spodnje nasvete:

1. Naključno zamenjajte črke s številkami, ki izgledajo podobno. Črka ‘o’ postane številka ‘0′, ali celo boljšepostane ‘@’ ali ‘*’, “i” postene 1, “e” postane “3” (primer –kogovsek postane k@g0vs3k).
2. Naključno uporabljajte Velike črke (primer – k@g0vseK).
3. Za osnovno besedo se spomnite nečesa iz preteklosti, na kar ste bili zelo navezani, vendar NAJ TO NE BO IME OSEBE, HIŠNEGA LJUBLJENČKA! Vsako ime in beseda v slovarju bo klonila pod enostavnim “brute force” napadom.
4. Resnično potrebujete drugačno kombinacijo uporabniškega imena in gesla za VSAKO tudi “nepomembne” spletne storitve, ki jih uporabljate. Naj spomnim – vdor se začne pri nepomembnih, slabo zaščitenih storitvah. Uporaba istega gesla povsod je zelo slaba taktika, tudi če se potrudite ustvariti zahtevno sestavljanko znakov.
5. Izdelate si svojo taktiko, kako istemu geslu dodajati unikaten nabor znakov, ki si jih boste še vedno lahko zapomnili. Primer : uporaba za gmail – tvorba gesla: k@g0vseKgma1 ali gma1k@g0vseK, uporaba najdi k@g0vseKnajd1 ali najd1k@g0vseK; lahko si zamislite zgolj določeno število znakov storitve, ki jo uporabljate in uporabite kombinacijo Velikih in malih črk GmAk@g0vseK. Torej nekaj premisleka in izdelava dobrega in preprostega, hkrati pa unikatnega sistema vam bo omogočila izdelavo dobrega, močnega gesla za vsako storitev posebej.

Velikokrat je predstava KJE mora biti geslo močno popolnoma napačno, prenekateri si predstavlja, da geslo za uporabo e-pošte ni pomembno, saj razmišljate “saj nimam shranjenega nič pomembnega”. Huda napaka. Največkrat je ta e-pošta povezana z vsemi storitvami, ki jih uporabljate. Ko sem ugotovil katere spletne storitve uporabljate, prijavim izgubo gesla in v povratnem mailu dobim vstopnico do vaših podatkov te storitve. Ste še prepričani da geslo za e-pošto ni pomembno?

Mnogokrat se zgodi, da si gesla zapisujete na svojem domačem računalniku, kjer uporabljate brezžični router. Le tega ste verjetno kupili brez vednosti da ima pžarni zid in da je že prednastavljen; ampak ker niste strokovnjak ob namestitvi niste spremenili prednastavljenega gesla; nova nevarnost, da bo nekdo uporabil to vašo nespretnost in vam ukradel vsa gesla naenkrat, zato hranjenje gesel, ki niso kriptirana in dodatno varovana na osebnih računalnikih ni pametna varnostna taktika.

Žal je velikokrat tako, da se uporabniki interneta vseh nevarnosti zavejo šele, ko je prepozno in ob medijskem napihovanju tovrstnih dejanj reagirajo popolnoma napačno – z neuporabo potencialno zelo dobrih in koristnih spletnih storitev.

Namesto tega naredite sebi uslugo in upoštevajte vsaj del gornjih nasvetov in izboljšajte moč gesel, ki jih uporabljate v internetu. Uporaba interneta je lahko popolnoma varna, če k uporabi pristopite pravilno skupaj z nami ponudniki spletnih storitev, ki bomo temu dodali še napredne tehnične storitve za zagotovitev varnosti.

Ostanite varni, uporabljate spletne storitve in mirno spite.

Matej Okorn
Metakocka