poniedziałek, 19 listopada 2012

Elektroniczne [nie]bezpieczeństwo cz.1

Część 1:

 "Bezpieczeństwo, a raczej jego brak, czyli ciemna strona Facebooka"

 W następnym odcinku: "Banki, bankomaty i karty płatnicze"

Ten artykuł to pierwsza część z całego cyklu dotyczących bezpieczeństwa elektronicznego, nie tylko takiego, które dotyczy komputerów, ale również i innych aspektów naszego życia związanych z nowoczesnymi technologiami. Prawda jest niestety taka, iż używając wszystkich tych dobrodziejstw techniki bardzo często zapominamy o własnym bezpieczeństwie i zazwyczaj nie zdajemy sobie sprawy z faktu, że urządzenie, lub usługa, która ma nam ułatwiać życie, tak naprawdę może zostać wykorzystana jako broń przeciwko nam samym. Tak naprawdę, 80% ludzkości, o ile nie więcej nie ma nawet zielonego pojęcia o bezpieczeństwie. Większości ludzi wydaje się, że że skoro "rząd czuwa", a skoro danych usług używają miliony ludzi na całym świecie, to przecież można mieć do tego, czy tamtego pełny kredyt zaufania. W najlepszym wypadku kończy się na zainstalowaniu oprogramowania antywirusowego na domowym komputerze nie mając nawet pojęcia, że program antywirusowy to jedynie narzędzie, które może jedynie minimalnie zwiększyć nasze bezpieczeństwo. To tylko narzędzie - takie samo jak np. młotek. Możemy takowy posiadać, ale to jeszcze nie znaczy, że nagle zacznie on za nas wbijać gwoździe. Z narzędzia musimy więc jeszcze umieć skorzystać. Tym czasem jak jest w rzeczywistości - instalujemy i zapominamy. Ma działać, bronić i chronić. Działać będzie, owszem, chronić po części też, ale obronić przed własną niewiedzą i naiwnością nie obroni.


Człowiek - najsłabsze ogniwo.

Tak, tak - najsłabszym ogniwem w tym wszystkim nie jest wcale komputer, lecz my sami. Komputer, jak i każdy inny sprzęt to jedynie bezmyślne narzędzie, które ma za zadanie jedynie wykonywać nasze rozkazy. Tylko tyle i aż tyle. Narzędzie samo w sobie nie jest ani bezpieczne, ani niebezpieczne. To jedynie od nas zależy w jaki sposób je wykorzystamy. Pracując ostrożnie z piłą łańcuchową, bez problemu zetniemy drzewo, jeśli jednak będziemy nieostrożni - utnie nam ona rękę.

Kevin Mitnick - fot. FBI
80% przeprowadzanych w elektronicznym świecie ataków wcale nie dotyczy technologii. Dotyczą one nas - ludzi. I naszej niewiedzy, naszego braku znajomości "elektronicznego BHP".
Słyszał ktoś kiedyś z Was o człowieku o nazwisku Kevin Mitnick? Pewnie mały odsetek z Was, części natomiast to nazwisko być może kiedyś obiło się o uszy. Kim był (a właściwie wciąż jest, bo ciągle żyje) Kevin Mitnick? Otóż człowiek ten to najsławniejszy w historii hacker. To człowiek, który postawił na nogi całe FBI i który przez długi czas był uznawany za jednego z najbardziej niebezpiecznych ludzi na świecie. Mitnick tuż po aresztowaniu go przez FBI został zamknięty w całkowitym odizolowaniu od świata, co skomentował zdaniem: "zrobili to dlatego, bo boją się, że mógłbym zainicjować atak nuklearny za pomocą zwykłego więziennego telefonu". Jednak to nie to zdanie przeszło do historii, lecz inne, które wypowiedział później. 
Mitnick w swoim oświadczeniu powiedział: "Łamałem ludzi, nie hasła".

Dlaczego o tym piszę? Dlatego, że to krótkie zdanie oddaje w 4 krótkich słowach cały sens tego artykułu. Mitnick był stosunkowo przeciętnym informatykiem. To co go jednak wyróżniało, to niebywały spryt i zdolności do manipulacji. Mitnick włamywał się do największych rządowych systemów za pomocą informacji dostępowych, które po prostu wyciągał od ludzi. Ludzie sami podawali mu hasła i wcale nie wymuszał tego od nich siłą, ani przemocą. Polecam poczytać sobie jego książki, bo to naprawdę ciekawe i dające wiele do myślenia lektury. Opisuje w nich dobitnie jak wielkimi idiotami są ludzie i jak wielka jest ich niewiedza i podatność na manipulacje. Niektóre z akcji, które opisuje w swoich książkach mogłyby posłużyć za dobry film o Bondzie. Filmów zresztą na podstawie jego historii kilka powstało. Mitnik zapoczątkował na szeroką skalę coś, co funkcjonuje do dziś i znane jest pod nazwą "inżynieria społeczna", lub "socjotechnika". Mamy tego przykłady na każdym kroku, w mediach, w reklamach, w informacjach rządowych i...w przestępstwach. Prawda jest taka, że wcale nie musimy paść ofiarą przemocy fizycznej, ani "fizycznej" kradzieży, aby oddać komuś wszystko to co jest dla nas cenne. W większości przypadków oddamy to dobrowolnie, nawet o tym nie wiedząc.

Ciekawostka:
W lipcu 2012 roku Policja zatrzymała człowieka, który wpadł na dość ciekawy pomysł wyłudzania pieniędzy za pomocą Allegro. Oszust najpierw wysyłał zapytania lub umieszczał je na różnych forach informujące o możliwości zamieszczenia swojego banera reklamowego na jego stronie. Wymagało to wykonania jedynie 2 przelewów, każdy po 1.01zł. Warto zaznaczyć, że Allegro umożliwia aktywację swojego konta, za pomocą przelewu złotówki ze swojego prywatnego konta na nowo zakładane konto w Allegro - w taki sposób serwis pobiera informacje o użytkowniku z naszego osobistego konta. Co ciekawego, nawet konto w niektórych bankach można w ten sposób założyć, nie trzeba nawet dowodu, wystarcza jedynie przelew z innego konta w celu potwierdzenia danych. Atakujący zaraz po aktywacji konta wystawiał na sprzedaż przedmioty i pobierał opłaty za towar, towaru oczywiście nie wysyłając. Policja natomiast pukała do drzwi niczego nie świadomych ludzi, którzy dali się nabrać, gdyż to właśnie na ich dane aktywowane były konta oszusta. Pomysłowym oszustem okazał się uczeń II klasy liceum.

Tyle sposobów, ile ludzkiej pomysłowości.

W całej serii artykułów postaram się więc opisać kilkanaście z setek możliwych ataków, jakich ofiarami możemy paść oraz opiszę jak się przed nimi obronić. Wszystko to będzie podparte ciekawymi przykładami i ciekawostkami zaczerpniętymi z prawdziwego życia i prawdziwych ataków jakie już miały miejsce. Zobaczycie, że czasami ludzka pomysłowość po prostu nie zna granic. Będzie zatem po części na poważnie, a po części na wesoło, gdyż niektóre z rzeczy, które tutaj opiszę wywołają u Was uśmieszek na twarzy i myśl pod tytułem "No nie wierzę, że takie coś mogło się udać". :) Do dzieła zatem. Pierwsza część z całej serii, czyli poniższy artykuł, będzie o Facebooku i o tym na co tak naprawdę decydujemy się zakładając tam konto.

Na początek zadajmy sobie pytanie - co cennego posiadamy i czego nie chcielibyśmy stracić. O ile nie pracujemy dla rządu i nie posiadamy w swoich zbiorach ściśle tajnych informacji to napewno pojawi się odpowiedź: pieniądze. Można również obawiać się kradzieży np. naszej prywatności. Jeżeli mamy coś na sumieniu - to zapewne również niewygodnych jakiś informacji na nasz temat, jakiś kompromitujacych nas faktów z życia, zdjęć itp. Każdy ma swoją własną listę rzeczy, których nie chciałby, aby mu skradziono.
Zacznijmy więc może od pieniędzy, bo tych właśnie dotyczy 99% wszystkich włamań i prób kradzieży. Gdzie trzymamy nasze pieniądze? Większość z nas trzyma je w banku i wydają się nam tam bezpieczne. Nic bardziej mylnego - naszych pieniędzy tak naprawdę nie ma w banku, one istnieją jedynie wirtualnie - jako ciąg zer i jedynek zapisanych na komputerze. Co więcej - "klucze" do tego komputerowego skarbca nosimy przez cały czas przy sobie - w dwóch miejscach: na kawałku plastiku, oraz w nieco bardziej ezgotycznym miejscu znajdującym się powyżej naszej szyji - w naszej głowie.

Ciekawostka:
Kilka miesięcy temu pojawiła się w Polsce zmodyfikowana wersja wirusa ZeuS. Wirus ten narobił nieco szkód jeśli chodzi o bankowość elektroniczną na świecie. W tym roku dotarł do Polski w zmienionej, przystosowanej do ataku na polskie banki wersji. Wirus podmienia w locie stronę logowania do banku, na której podczas logowania prosi o podanie numeru komórki w celu aktualizacji certyfikatu bezpieczeństwa, po czym na podany numer SMS-em zostaje wysłana aplikacja, która instaluje w telefonie oprogramowanie, które w locie odbiera od banku SMS-y z kodami potwierdzającymi przelew. Wirus zatem w szybki sposób zdobywa nasz numer konta, login, hasło oraz dostęp "w locie" do SMS-ów wysyłanych z banku.


Jedziemy dalej - gdzie trzymamy pozostałe cenne dla nas informacje? Bardzo często na naszych własnych domowych komputerach, tudzież na komputerach firmowych i na serwerach w internecie. Czy są bezpieczne? Nie. Nie są, a sposobów na dostanie się do nich jest tyle, ile ludzkich pomysłów i za chwilę udowodnię, że wszystko to jesteśmy w stanie oddać absolutnie za darmo, nawet o tym nie wiedząc. Pozostała jeszcze jedna rzecz - prywatność i to od niej zaczniemy, ponieważ o ile pieniądze z naszego konta bankowego, czy dane z naszego komputera jest trochę trudniej zdobyć (o tym szerzej w następnych artykułach), o tyle informacje dotyczące naszej prywatności udostępniamy innym sami - dobrowolnie i to na każdym praktycznie kroku. Ile takie informacje są warte dla innych i do czego można je wykorzystać, o tym za chwilę.

Potęga informacji.


Mark Zuckerberg, założyciel FB.
Widok jego gęby to dla mnie katorga.
Jakie znacie najcenniejsze "dobra" na tym świecie? Pomyślcie przez chwilę. Co pojawia Wam się w głowach? Na pewno są to słowa takie jak złoto, diamenty, gaz, czy ropa naftowa. Otóż nie. Najcenniejszym dobrem jest INFORMACJA. Nie ma niczego cenniejszego na tym świecie. Prawdziwe fortuny zbija się na informacji, a nie na rzeczach "fizycznych". Ten kto posiada dostęp do informacji, ten ma władzę. A ile informacji o sobie oddajemy innym każego dnia? Niewyobrażalne ich ilości. Ktoś zapewne powie, że przecież jest to niegroźne, że podanie gdzieś swojego imienia i nazwiska, adresu email, czy udostępnienie swojego zdjęcia jest przecież niegroźne, no bo po co to komu. Otóż prawda jest zupełnie inna. Informacje o nas są bardzo, ale to bardzo cenne, choć nie zdajemy sobie nawet z tego sprawy. Jak myślicie, na czym polega fortuna jaką zarobił na swoim portalu nieznany wcześniej nikomu chłoptaś o nazwisku Zuckerberg? Polega na posiadaniu informacji. Czy podarowaliście kiedyś Facebookowi choćby złotówkę, czy nawet grosza? Formalnie oczywiście, że nie. A mimo to Facebook jest warty miliardy dolarów. Jak to więc możliwe, że firma, która przecież nie produkuje niczego, nie sprzedaje żadnych fizycznych towarów, nie bierze od klientów żadnych pieniędzy jest jedną z najbogatszych i najpotężniejszych firm na świecie. Otóż my płacimy Facebookowi, ale nie pieniędzmi, przynajmniej nie bezpośrednio. 

My płacimy własną prywatnością. Sprzedajemy Facebookowi informacje o nas samych, nie mając pojęcia ile tak naprawdę są one warte. W zamian otrzymujemy możliwość podejrzenia co tam słychać u naszych znajomych i możliwość porozmawiania z nimi, jeśli znajdują się np. gdzieś na końcu świata. Coś za coś. Otrzymujemy usługę i płacimy za nią sobą samym. Przynajmniej w teorii tak to wygląda, gdyż rzeczywistość jest zupełnie inna, bo portal ten już dawno z platformy kontaktowej (co wcale złą koncepcją nie jest, żeby takie coś istniało) stał się popkulturową papką dla idiotów, którzy z jakiś nieznanych mi powodów muszą 20 razy dziennie poinformować cały świat o swoim stanie emocjonalnym, o tym co jedli na śniadanie i pokazać się światu z jak najbardziej idiotycznej strony. Do tego dochodzi propaganda polegająca na sławnym stwierdzeniu: "Nie masz konta na FB? Nie istniejesz.". Dla coniektórych to jest już wręcz przymus, żeby posiadać tam swoje konto. Żeby nie było - posiadam tam konto, lecz pod fikcyjną nazwą i używam go jedynie do tego, żeby mieć kontakt z kilkoma osobami. Gdyby nie to, to wywaliłbym to konto na zbity pysk, co jednak i tak w przypadku FB nie jest takie proste, ale o tym później. Dla mnie FB nie ma żadnej wartości i gdyby nie powód, o którym napisałem przed chwilą, to z niekrytą satysfakcją obejrzałbym relację ze zbombardowania facebookowych serwerów, bo co ta strona zrobiła z ludźmi, to czasem mi się po prostu nie mieści w głowie. Ale ja to ja i jest wielu takich jak ja, lecz co mają zrobić dzieciaki w szkołach? Przecież w "szkolnych kręgach" nie posiadanie konta na FB = brak znajomych, izolacja, skopanie na dalszy plan. A przecież wiadomo jak bardzo emocjonalnie młodzi ludzie reagują na odrzucenie ze strony rówieśników. Ile przypadków samobójstw ma miejsce z tak błahych powodów? Więc taki dzieciak nie chce być gorszy, chce być częścią grupy i chce być lubiany, a nie uważany za dziwaka. Jest to tragiczne moim zdaniem, naprawdę tragiczne i niestety, ale jest z tym coraz gorzej. 
Inna sprawa - tym razem ze szkoły przenieśmy się w kręgi biznesowe. Wbrew pozorom - tutaj sytuacja jest analogiczna, gdyż w obecnych czasach każda szanująca się firma po prostu musi posiadać profil na FB, inaczej zwyczajnie nie istnieje! Do tego właśnie doprowadził FB, doprowadził do całkowitej patologii i jest to jedna z tych rzeczy, która nigdy nie powinna była powstać, a już napewno nie w takiej formie. Zuckkerberg niech sobie popija drinki z palemką i wydaje te swoje miliardy, ale później niech smaży się w piekle, za to co uczynił tworząc FB.

Ciekawostka:
W październiku 2012 Facebook przyznał się do wycieku danych ponad miliona użytkowników ze swojego portalu. Paczka z danymi zawierała imiona, nazwiska, adresy email oraz linki do profili pechowych użytkowników. Pakiet wykradzionych danych został kupiony przez jednego człowieka za równowartość ok. 16zł. Gdy kupujący poinformował o tym FB, ludzie od Facebooka jedynie zasugerowali mu trzymanie języka za zębami i grzecznie poprosili o wykasowanie tych danych ze swojego dysku.


Cyfrowa patologia.

Jakby nie patrzeć - sprzedawanie informacji o samym sobie stało się wręcz społecznym przymusem. Coś takiego jak prywatność już praktycznie nie istnieje, nie istniała już dawno, ale teraz problem ten urósł już do wręcz niebezpiecznych rozmiarów. Dobrze, powiedzieliśmy już sobie o moralnych skutkach istnienia tego portalu i o jego wpływie na obecny świat, czas więc teraz na przedstawienie niebezpieczeństwa od strony "technicznej".

Co dajemy Facebookowi w momencie rejestracji? Zakładam oczywiście, że podawane dane są prawdziwe, a tak właśnie czyni większość ludzi. Podajemy więc swoje imię i nazwisko, pseudonim jakim nas nazywają ludzie, swój adres email, hasło dostępu oraz podstawowe informacje o naszej lokalizacji. To tak na początek, gdyż cwany Facebook za chwilę zaczyna wyciągać z nas coraz więcej informacji dotyczących naszej biednej osoby, takich jak dodanie swojego zdjęcia, podania nazwy szkoły, jaką ukończyliśmy, miejsc, w których pracujemy i pracowaliśmy, czy też miejsc, w których byliśmy na wakacjach. Wszystko to oczywiście pod pretekstem zwiększenia prawdopodobieństwa odnalezienia jak największej liczby znajomych, których znamy np. ze szkoły, czy z naszego byłego miejsca pracy. W pewnym momencie FB poprosi również o podanie hasła do naszej skrzynki mailowej, co jest już praktycznie podaniem siebie samego na tacy. Facebook w tym momencie wie już o nas prawie wszystko. Na swoich serwerach zapisał informacje o naszym nazwisku, przezwisku ze szkoły, o tym jak wyglądamy, skąd jesteśmy, jakie mamy wykształcenie, co w życiu robimy i gdzie aktualnie przebywamy. Czego chcieć więcej? Informacji o tym co jadamy na śniadanie? Bez obawy - i te informacje sami podamy prędzej, czy później. Daje do myślenia? Jeśli jeszcze nie, to powiem Wam teraz, że właśnie dobrowolnie podaliście wszystkie informacje, których pozyskanie agencjom takim jak FBI, CIA, czy Mossad zajęłoby miesiące żmudnej pracy. Facebook jest wręcz darem z niebios dla agencji i służb, o których przed chwilą wspomniałem. To nie jest teoria spiskowa, lecz najprawdziwsza oczywista oczywistość. Co ciekawe, służby takie jak wywiad, Policja, Urząd Skarbowy, czy ZUS same otwarcie przyznają, że korzystają z FB w celu kontrolowania obywateli. Było również bardzo wiele przypadków, gdy Policja wpadała na ślad poszukiwanej osoby dzięki podejrzeniu profilu kogoś z jego znajomych, który przypadkiem nieświadomie umieścił jakieś zdjęcie w towarzystwie poszukiwanej osoby. Było wiele przypadków, gdy Urząd Skarbowy rozpoczynał dochodzenia w sprawie realnego statusu majątkowego obywateli, gdy nagle ktoś, kto wg zeznań podatkowych jest biedakiem, nagle umieszczał na FB zdjęcia z wakacji, czy fotografując się w nowo zakupionym samochodzie. Było również wiele przypadków, gdy Zakład Ubezpieczeń Społecznych wzywał będące na zwolnieniu lekarskim osoby na kontrolę, po tym gdy w statusie napisali oni "Czuję się wyśmienicie", lub gdy osoba zamieszczała wesołe zdjęcie, z którego to wynikało, że aż taka chora ta osoba w rzeczywistości nie jest. Przykładów można mnożyć w tysiące, ale co najlepsze - wszystkie te urzędy otwarcie przyznają, że używają FB do kontroli obywateli.

Ciekawostka:
W listopadzie 2012 Google przez dziurę w Facebooku zaindeksowało ponad milion prywatnych wiadomości wymienianych pomiędzy użytkownikami FB. Nie były to groźne wiadomości, bo raczej takie typu "Chcę dodać Cię do znajomych", ale...każda z tych wiadomości zawierała w sobie link, który po kliknięciu umożliwia automatyczne zalogowanie się na konto FB odbiorcy wiadomości.


Co ciekawe, nawet pracodawcy bardzo często sprawdzają swoich pracowników właśnie w ten sposób. Jakiś czas temu była nawet afera, gdy w jednej z dużych firm jednym z wymogów przyjęcia do pracy było...posiadanie konta na FB. Facebook służy również do różnego rodzaju manipulacji. Widząc kogo w znajomych ma dana osoba, można bardzo łatwo ten fakt wykorzystać. W jaki sposób? Tutaj niech już zadziała Wasza wyobraźnia. Nawet dziennikarze otwarcie przyznają się do tego, że często wykorzystują ten sposób na dotarcie do takiej czy innej osoby, do której dotrzeć osobiście nie mogą. Co jednak dzieje się z naszymi prywatnymi danymi od strony technicznej. Otóż informacje te są bardzo często sprzedawane osobom trzecim, głównie firmom. Co takie firmy robią z takimi informacjami? Takie informacje są wykorzystywane w celach marketingowych, a wykorzystane bardzo często są odsprzedawane dalej, lub po prostu wyciekają i wędrują dalej. Jak zatem firmy wykorzystują te dane w swoim marketingu? Bardzo prosto. Posiadając nasz adres email i wiedząc o naszych zainteresowaniach (kliknięcia "Lubię to!") tak naprawdę mówimy danym firmom, jakie reklamy najchętniej chcielibyśmy otrzymać i jakie najszybciej do nas trafią. Udostępniamy więc za darmo swój własny portret psychologiczny. Jeśli więc ktoś często klika w znaczki "Lubię to!" na stronach o tematyce kulinarnej to oczywistym jest, że taki ktoś lubi gotować. Firma, która handluje np. przyprawami bardzo chętnie zainteresuje się takim delikwentem i zapewne zaadresuje do niego reklamę w stylu "Kochasz gotować? Mamy dla Ciebie specjalną ofertę!". Tak to właśnie działa. Nasze dane osobowe to więc informacja, która komuś innemu pozwoli na zarobienie mniejszych lub większych pieniędzy. FB oczywiście oficjalnie nie przyznaje się do handlu takimi informacjami, jednak bardzo dziwnym trafem co pewien czas w internecie pojawiają się informacje o wycieku kilku milionów kont z profili FB. Czasami takie "pakiety danych" można wręcz bezpośrednio zakupić np. na "eBay'u". Można zrobić samemu prosty eksperyment: wystarczy założyć na FB fikcyjne konto, założyć do tego specjalny, oddzielny adres email, wyłączyć na nim filtr antyspamowy, wymyślić sobie jakiś fikcyjny obszar zainteresowań, np. "Sprzęt audio" i codziennie klikać na "Lubię to!" na stronach dotyczących takiego właśnie tematu. Zobaczycie po pewnym czasie, że na konto mailowe podane podczas rejestracji jakimś dziwnym trafem zaczną przychodzić spersonalizowane reklamy dotyczące w dużej mierze niczego innego, jak tylko "Sprzętu audio".

Ciekawostka:
Pomimo ustawienia prywatności w FB, tak aby osoby niepowołane nie mogły oglądać naszych zdjęć, FB posiada błąd, który na to pozwala. Wystarczy w formularzu logowania wpisać adres email osoby i dowolne hasło. FB wyświetli nam imię, nazwisko i zdjęcie osoby, która jest właścicielem wpisanego adresu email.


Wiem, co lubisz!

Warto wspomnieć też o jednym - nie każdy o tym wie, ale każde kliknięcie na "Lubię to!" na danej stronie jest równoznaczne z subskrypcją informacji pojawiających się właśnie na tej stronie na naszej własnej tablicy. Można to wyłączyć w ustawieniach prywatności, jednak o tym fakcie FB już w tak oczywisty sposób nas nie informuje. Co jest najlepsze, zauważyłem, że wiele osób kilka w te znaczki praktycznie "hurtowo". Pojawia się informacja, że jakiś znajomy kliknął - klikam i ja. A potem pojawia się milion reklam, wpisów i innych bzdetów dotyczących tych wszystkich "lubianych" tematów wraz z zapytaniem "Co tego tak dużo?". No cóź, ludzie sami sobie są winni. Ja radzę w ogóle nie klikać w te głupoty, można sobie wybrać kilka stron, z których informacje napawdę chcemy otrzymywać, np. z jakiś zaufanych portali informacyjnych, ale na litość boską - klikanie we wszystko co podsunie się pod rękę to istny masochizm i nazwijmy to po imieniu - czysty debilizm.
Do czego jeszcze mogą zostać wykorzystane nasze prywatne dane? Teoretycznie - do wszystkiego. Począwszy od kradzieży naszych kont na innych portalach, na wyzerowaniu naszego konta bankowego skończywszy. W jaki sposób? Sposobów znowu jest tyle, co pomysłów. Opiszę kilka z nich. Sposób pierwszy nie dotyczy jedynie FB, lecz także każdego innego serwisu, na którym zakładamy jakieś konto. Jak wynika ze statystyk - ludzie rzadko przywiązują uwagę do jakości haseł. Bardzo często są to hasła bardzo krótkie i składające się wyłącznie z małych znaków, albo cyfr. Statystyki są naprawdę przerażające, jak się okazuje bardzo częstymi hasłami używanymi przez ludzi, są arcytrudne do odgadnięcia kwiatki takie jak "12345", czy też takie, które są identyczne z nazwą konta.

Cyfrowe samobójstwa.

Co więcej, zdecydowana większość ludzi używa tego samego loginu, hasła i adresu email na wielu różnych portalach. Taka kombinacja to komputerowe samobójstwo, ponieważ w przypadku wycieku tych danych na jednym portalu, osoba wchodząca w posiadanie tych danych uzyskuje automatycznie dostęp do wszystkich naszych pozostałych kont w pozostałych serwisach, na których do rejestracji użyliśmy tych samym danych. Bardzo częstym błędem jest również podawanie jako hasła: daty urodzenia, imienia swojej drugiej połówki, czy też zwierzątka domowego. Mając dostęp do profilu danej osoby na FB raczej nie trudno dowiedzieć się z kim związana jest dana osoba, kiedy się urodziła, czy też jak wabi się jej pies. A tak jak napisałem - mając dostęp do jednego konta mamy bardzo duże prawdopodobieństwo na uzyskanie dostępu do kont pozostałych, w tym do hasła na naszą skrzynkę email, a mając dostęp do konta email i naszych danych osobowych, osoba która przejęła naszą skrzynkę dostaje bardzo szerokie pole do popisu, np. w naszym banku. Mając dostęp do naszej poczty oraz do naszego profilu FB, na którym to czarno na białym widać przecież jakie relacje łączą nas z poszczególnymi osobami, taka osoba może również dużo namieszać, wykorzystując adresy email naszych znajomych wyciągnięte z naszej własnej skrzynki i pisząc do nich z naszego konta. Kevin Mitnick już zacierałby ręce. Pole do popisu, jeśli chodzi o socjotechnikę miałby w takim przypadku wręcz nieograniczone.

Ciekawostka:
W sierpniu 2012r. pewien starszy mężczyzna wyłudził z warszawskiego banku 300 tys.zł. Mężczyzna przyszedł do oddziału banku z podrobionym dowodem i za jego pomocą zmienił numer telefonu, na który SMS-em przychodziły kody do potwierdzania przelewów. Następnie mając już zmieniony numer komórkowy, zmienił login i hasło do banku, po czym z konta prawowitego właściela pobrał 300 tys.zł. Pomimo nagrania z monitoringu, Policji nie udało się ustalić tożsamości mężczyzny. Zdjęcie z monitoringu obok.


A przecież Mitnick, to tylko jeden z milionów.  Co jeszcze ciekawe, dzięki FB nawet tak wydawałoby się, że trudna do zdobycia informacja jak panieńskie nazwisko matki, które jest dość popularnym "weryfikatorem" - praktycznie zdobyć można w ciągu jedynie kilku minut. Wystarczy odpowiednio prześledzić relacje rodzinne w "znajomych". Jak więc się przed tym wszystkim uchronić? Przede wszystkim należy pamiętać, aby nigdy nie używać tych samych haseł i adresów email w różnych serwisach. Oczywiście pojawia się tu pewien problem, jeśli tych kont mamy bardzo dużo - wtedy dość trudno będzie nam zapamiętać każde hasło z osobna. Ale jest na to pewien sposób. Wyobraźmy sobie, że używamy na codzień jednego adresu email o nazwie "adres_email@gmail.com" oraz hasła "997abcXxX888". Załóżmy po jednej oddzielnej skrzynce na każdy portal, np. dla FB niech będzie to "01_FB_adres_email@gmail.com", dla Onet.pl - "02_ONETPL_adres_email@gmail.com" itd. itp. Podobnie z hasłem, dla FB niech będzie to "O1_FB_997abcXxX888" itd. itp. Taki manewr podniesie nasze bezpieczeństwo, a i będzie dość łatwy do zapamiętania. Warto również pamiętać, aby używać haseł mozliwie jak najdłuższych i takich, które nie powinny się bezpośrednio z nami kojarzyć, tzn. żadnych dat urodzin, imion itp. rzeczy. Bardzo ważnym jest również używanie haseł możliwie "niesłownikowych". A co to jest hasło niesłownikowe? Już wyjaśniam.

Nigdy nie jesteś bezpieczny, człowieku.

Jak zauważyliście opisywałem tutaj przypadki dotyczące wycieku hasła, lub jego prostego odgadnięcia. Nie są to jednak jedyne metody na uzyskanie dostępu do naszych haseł. Istnieją jeszcze 2, a właściwie 3, z czego ta trzecia to przystawienie komuś lufy do głowy i poproszenie o hasło :) Opiszę więc te pozostałe dwie - są to odpowiednio: atak "słownikowy" i atak typu "brute force". Ten pierwszy polega na podstawianiu po koleji różnych słów, które znajdują się w tzw. słowniku i liczeniu na to, iż któreś słowo prędzej czy później "trafi". Warto zaznaczyć, że obecnie słowniki mogą być naprawdę pokaźnych rozmiarów. Hasło niesłownikowe więc jest to takie hasło, którego teoretycznie w słowniku być nie powinno. Przykład takiego hasła: "x546fyskjo65x". Takiego zwrotu w słowniku raczej nie uświadczymy, jednak już hasła typu "polska", "lokomotywa123", czy temu podobno zapewne w nim wystąpią. Drugi atak to atak typu "brute force" (pol. brutalna siła), który polega na podstawianiu po koleji wszystkich możliwych kombinacji znaków. Jest to proces bardzo mozolny, co jednak nie znaczy, że nie niemożliwy do wykonania. Ostatnią ważną rzeczą o jakiej należy pamiętać to używanie mozliwie różnych znaków i tworzenie kombinacji zawierających w sobie zarówno małe jak i duże litery oraz cyfry. Takie hasła są zdecydowanie trudniejsze do złamania.

Co jeszcze można napisać o bezpieczeństwie Facebooka? Można napisać o aplikacjach, z których zdecydowanie odradzam korzystać. Jak chyba każdy zauważył, jest tego cała masa i praktycznie co chwilę pojawia się jakieś zaproszenie do jakiegoś kalendarza, czy innego programu. Jak również zapewne każdy zauważył - w momencie uruchomienia aplikacji FB prosi nas o zgodą i podaje do jakich informacji o nas będzie miał dostęp dany program. Nie radzę się tym sugerować. Było już wiele afer związanych z aplikacjami, które omijały zabezpieczenia FB i wykradały więcej danych, niż pozwalał na to użytkownik. Więc krótko - nie korzystać, nie przyjmować zaproszeń, nie wierzyć na słowo, nie ufać.
Ciekawostka:
W tym roku w USA stanowa policja rozbiła gang dokonujący włamań do domów. Podczas przesłuchania jeden z członków gangu zeznał, że wiedzieli, kiedy domowników nie ma w domu z...Facebooka.


Na tym kończymy pierwszą część artykułu, myślę że dała ona co niektórym do myślenia. Pamiętajmy - nasza prywatność i nasze bezpieczeństwo zależy tylko i wyłącznie od nas samych! I pamietajcie jeszcze jedno: to co raz pojawiło się w internecie, pozostaje w nim na wieczność.

W następnym odcinku będzie dokończenie tematu Facebooka, a także będzie o bankach, bankomatach i kartach płatniczych. Przeczytacie m.in. o najbardziej pomysłowych włamaniach z tego roku, dowiedzie się jak będąc przebranym za ochroniarza wynieść z banku kilka milionów złotych, jak nie dać się okraść za pomocą zdalnego zczytania danych z karty bankomatowej, oraz na co uważać podczas korzystania z bankomatów.


Na zakończenie bonus:

Policja szuka osoby, która zgwałciła 3-letnie dziecko!!
http://www.facebook.com/profile.php?=7432645066541
To jest jej profil na facebooku, może ktoś poznaje i mógłby pomóc?
TO BARDZO WAŻNE! 



I bonus #2:
Tuż po publikacji tego artykułu zablokowano mi konto na FB, a moim oczom ukazał się taki oto komunikat:

6 komentarzy:

  1. Przyznjaję, o niektórych rzeczach wiedziałam... ale reszta z tego co opisałeś ZASKOCZYŁA MNIE. Od dziś Iwona jest bardziej ostrożna

    OdpowiedzUsuń
  2. Dobrze że nie mam konta na FB. Dane wrażliwe to zresztą znacznie szerszy temat, dużo ich gromadzi Google - co pewien czas gdy loguję się na Gmaila wyskakuje mi strona z prośbą o uzupełnienie danych - głównie numeru telefonu i adresu, oczywiście tego nie robię. Krytycznym punktem na wielu portalach jest "pytanie bezpieczeństwa" - jeśli ktoś poda tam pytanie w stylu "mój ulubiony aktor" to w parę minut można zalogować się na jego konto, po prostu zgadując hasło.

    OdpowiedzUsuń
  3. Mnie to niepokoi portal Badoo. Ciagle dostaje emaile ze tam na mnie czeka jakas wiadomosc, ze osoby chca sie ze mna skontaktowac. Facebook tak samo do mnie wysyla. Gmail tak samo chce mojego telefonu i adresu. sa dni ze nie moge sie dostac do moich emaili na WP i Gmail bo sa pytania o numer telefonu najpierw. Rozne portale chca podac im swoje dane z telefonem wlacznie, a potem dostaje mase komercyjnego spamu, albo trzeba sciagnac sobie jakis plug-in po ktorym komputer dziwnie dziala. Robi sie coraz gorzej. Ludzie za komuny bali sie kolorowych telewizorow, mysleli ze wladza ludowa przez taki telewizor ich podglada a dzisiaj sami wystawiaja swoje zycie na widok publiczny. Jakos nie przychodza mi oferty dobrze platnej pracy tylko spam wyciagajacy ze mnie pieniadze, kup to, tamto, owamto. Niedawno w jakims kraju ojciec jakiejsc nastolatki w ciazy podniosl alarm, bo do corki juz przyszla masa ofert kupna ubranek dla noworodka i takich tam rzeczy, bo juz ktos przehandlowal jej dane ze jest w ciazy.
    Pelno smsow namawiajacych na kupno czegos, emaili i wyskakujacych okienek. Czemu to oferty zarobku tak nie podsuwaja tylko wyciagania pieniedzy?

    OdpowiedzUsuń
  4. Jest taki portal, nie wiem czy jeszcze istnieje, który robił rzecz następująca - podczas logowania użytkownik podawał adres e-mail i hasło, po to aby mógł prowadzić skrzynkę pocztową połączoną z portalem. Jeśli jednak nie wyczytał pewnego punktu z regulaminu i nie odznaczył pewnej oferowanej możliwości, portal wysyłał do wszystkich ze skrzynki maile będące nie zaproszeniem, ale żądaniem zarejestrowania się na tym portalu. Kilka takich maili swego czasu dostałem, wyglądało to tak, jakby wysyłały je do mnie osoby znane mi tylko przelotnie. Podobno portal pobierał też ze skrzynek różne prywatne dane, z treścią wiadomości włącznie.

    OdpowiedzUsuń
    Odpowiedzi
    1. Był taki portal...nazwa zaczynała się na "F", a kończyła na "k"... :)

      Usuń
  5. my blog anonymous have a peek at this website Read More Here look at more info pop over here

    OdpowiedzUsuń