Jak się nie dać podsłuchać

Ostatnio sporo w Sieci ataków typu phishing – moda na takie wykradanie danych do logowania dotarła już też do Polski. Ogólnie zawsze jest problem z podawaniem haseł na stronach internetowych. Ale czy naprawdę to problem? Chyba nie. Od dawna są znane sposoby uwierzytelniana w tzw. niezaufanym środowisku.

Ot, pierwszy z brzegu i chyba najtańszy w implementacji to one-time-password – użytkownik za każdym razem podaje inne hasło. Ten sposób uwierzytelniana wymaga od użytkownika znajomości tylko hasła głównego, a resztę (wygenerowanie tych sześciu słów) załatwi jakiś programik. Dodatkowo można zmienić słownik, by te sześć słów było bardziej user-friendly. Oczywiście nie chroni to przed keyloggerem zainstalowanym na komputerze ofiary, bo ten wyciągnie hasło główne podawane go tego programu, ale atak phishingowy już nie przejdzie. Pomijam ludzi, którzy na prośbę strony podają wszystkie dane do logowania, a dodatkowo pięć kolejnych haseł.

Innym sposobem są tokeny. Jeżeli dość często taki token można dostać do konta bankowego, to raczej do logowania się do takich serwisów, jak Fotka czy Kartki, nie ma to sensu (koszt tokena). Sposób z tokenem jest bardzo wygodny i naprawdę bezpieczny. Inny przykład to przesyłanie haseł jednorazowych na telefon komórkowy, też wygodne i skuteczne, ale znów te koszta.

Cóż nam zostało? Certyfikaty. Ot, tani i bardzo skuteczny sposób sprawdzenia tożsamości. Wykradzenie PIN-u (np. przez keyloggera) nic nie da, bo atakujący nie ma klucza prywatnego. Pomijam w ogóle bezpieczne wersje z certyfikatami na kartach kryptograficznych (jak zwykle koszta), gdzie klucz prywatny NIE jest eksportowany, więc cała operacja zachodzi wewnątrz karty.

Najgorsze jest to, że nasi usługodawcy nie chcą stosować bezpiecznych rozwiązań. Ja nie widzę problemu wprowadzenia np. certyfikatów do tak dużych portali, jak Onet czy home :) właśnie do poczty czy innych usług. Osoba podczas rejestracji pobiera wygenerowany dla niej certyfikat i od tej pory całe uwierzytelnienie opiera się właśnie na tym certyfikacie. Nie ma certyfikatu, nie ma dostępu. Najdziwniejsze jest to, że dziś już każdy framework obsługuje RSA lub inny algorytm asymetryczny, a administratorzy/programiści dalej swoje.

Może trzeba wziąć sprawy w swoje ręce i wymusić na naszych usługodawcach jakieś bezpieczniejsze metody logowania niż kochana para: użytkownik i jedno tylko właściwe i najlepsze, superbezpieczne hasło.

Marcin Gabryszewski

[dodane 14.01.2008]
PS postanowiłem dopisać małe resume, by nie odpowiadać w komentarzach
Najpierw parę faktów
1) ssl nie chroni przed keyloggrem, a to najczęściej spotykany atak, są wyspecjalizowane komercyjne programy(patrz mój blog o PUP), czy trojany tego typu. ssl chroni przez snifingiem i pośrednio przed phishingiem( tz. kłódka )
2) gmail nie chroni w ogóle, poczta w nim jest taka sama jak u innych (mam konto na gmail, jak i na strefie, o2, onecie, wp, interii, we wszystkich jest user-password i połączanie ssl), czyli najprostszy keylogger sobie poradzi. Kto wie, może gmail jest nawet mniej bezpieczny inż inne serwisy, _link1_ _link2_
3) certyfikat nie jest jedynym sposobem, pierwszą wspomnianą metodą jest otp, np. używam sobie user-password, a przed wyjazdem na urlop aktywuję otp i generuje 10-15 haseł, to naprawdę fajna i bezpieczna opcja.

Nie chcę narzucać nikomu mojego myślenia, a raczej pokazać niebezpieczeństwo ignorancji. Jeżeli ktoś chce user-password, nich używa, ale ja chcę mieć możliwość innego uwierzytelniania. Teraz będąc na urlopie nie jestem wstanie pójść do kawiarenki i odebrać bezpiecznie poczty, czy wysłąć zdjęć kumplowi. Zaś zakładanie kolejnych kont mojekonto1@jakaś_poczta, mojekonto2@jakaś_poczta to jakaś paranoja i nie jest rozwiązaniem. Jedynie banki dostrzegły problem, ale to też po kilkukrotnych kradzieżach pieniędzy z kont użytkowników. Cóż mam też wrażenie, że ludzie zapominają, że dzisiaj największą wartość ma INFORMACJA.

Jak stwierdziłem w komentarzu, ja wybieram bezpieczeństwo i problemy(jeżeli w ogóle są) z tym związane.

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

21 skomentuj »

Polecamy

Reklama

Komentarze

#1 xponok 2008-07-07 10:00:17 0
To sie nie zmieni dopóki ludzie po informatycznych studiach nie będą mieli pojęcia co to jest np. SSL, o programowaniu z jego użyciem nie wspomnę.

Ciągle wszyscy uważają, że "to jest trudne" i dlatego dalej wszystko się toczy po najmniejszej linii oporu.
None
#2 user 2008-07-07 10:00:17 0
a o ludziach korzystających z kafejek i różnych komputerów to pomyślałeś?
None
#3 hmm 2008-07-07 10:00:17 0
Skoro się ma w systemie keyloggera, który może podsłuchać pin, to chyba nie jest problemem, żeby ten czy inny robal dobrał się do pliku z kluczem prywatnym? Trochę to wszystko naciągane ...
None
#4 Marcin Gabryszewski 2008-07-07 10:00:17 0
w tym akurat wypadku ssl nic nie zmieni, tu chodzi raczej o zabezpieczenie się przed przechwyceniem hasła np. odebranie poczty w kafejce. Właśnie po to są inne sposoby uwierzytelniania niż login i stełe hasło.

Ssl chroni przed podsłuchem pakietów, a NIE klawiatury czy screen grabber'ów.
None
#5 Radek 2008-07-07 10:00:17 0
Certyfikat, nie przechowywany w specjalnym urządzeniu (koszty) można wykraść, może to zrobić np. robak internetowy (jak wspomniał już hmm) lub włamywacz, który wykorzystał jakąś dzurę w bezpieczeństwie. Istnieje też konieczność przenoszenia certyfikatu, jeśli chcemy korzystać z poczty w wielu miejscach. Myślę, że bezpieczniej jest przechowywać hasło w głowie niż certyfikat na zwykłym nośniku.
None
#6 Bartosz Sawicki 2008-07-07 10:00:17 0
Teoretycznie autor ma racje, ale tylko teoretycznie. Praktyczne wykorzystanie certyfikatów jest znacznie trudniejsze. Napisać aplikacje i skonfigurować system, żeby wykorzystywał osobiste certyfikaty SSL do logowania, to mały problem.

Problemem są użytkownicy, dla których zaimportowanie certyfikatu to wyższa magia. Problemem sa także różnice pomiędzy przeglądarkami. Problem jest kilka certyfikatów do jednego portalu w jednej przegladarce. No i oczywiscie logowanie z kawiarenek, o ktorym wspomniał @user.

Login-hasło jest proste jak cep. I to jest jego wielka zaleta. Dzisiaj certyfikaty są zbyt trudne dla użytkownika i dlatego przegrywają.
None
#7 Marcin Gabryszewski 2008-07-07 10:00:17 0
Kradzież ceryfikatu(pełnego z kluczem prywantym i pinem) to raczej sytuacja skrajna. Do takiego ataku/kradzieży potrzeba specjalnego softu, pisanego właściwie na zamówienie pod konkretne wymagania. Chyba łatwiej stracić zwykłe hasło(właśnie w kawiarence gdzie komp może mieć prostego keyloggera) niż cały certyfikat!!!
None
#8 jj 2008-07-07 10:00:17 0
nawet jesli bezpieczniejsze sa certyfikaty to na tyle utrudniaja prace ze nie zamierzma nigdy posiadac akrzynki pocztowej wymagajacej takiego logowania.

juz obecnie wole przekierowac poczte z home czy innych zrodel np na ulubiony gmail i miec do tego dostep w kazdej chwili gdziekolwiek jestem bez jakiegokolwiek oczekiwania (zwlaszcza ze majac w firmie wiele komputerow albo laczac sie u klientow musze miec szybki dostep z dowolnego miejsca). duzo mlodych osob skrzynki pocztowe teaktuje obecnie jako przenosne (dostepne z dowlnego miejsca np u sasiada czy u kolezanki) dyski na ktorych trzymaja zdjecia ,pliki, wazne linki itp,

przypuszczam ze wymasgajac certyfikatu poczta onetu lub inna stracila by wiekszosc uzytkownikow indywidualnych.
None
#9 szczerze 2008-07-07 10:00:17 0
certyfikat to nic przy lenistwie ludzi ale idealizowanie gmala to k...przegięcie roku
None
#10 jj 2008-07-07 10:00:17 0
nikt nie idealizuje gmail, to tylko przyklad ale ludzie lubia takie proste i wygodne narzedzia, lepiej sie z teg korzysta niz z jakiejkowielk komercyjnej skrzynki pocztowej.

problem z certyfikatami to nie tylko lenistow ale obawa o instalowanie czegokolwiek na swoim komputerze, przecietny uzytkownik woli zrezygniowac z uslugi niz instalowac cos u siebie na komputerze.
None
#11 Marcin Gabryszewski 2008-07-07 10:00:17 0
A niby w jaki sposób gmail ma Ciebie chronić przed przechwyceniem hasła. gmail jak każde logowanie user-password jest podatne na keyloggery czy phishing. Nie możesz też spokojnie konta gmail używać w kawiarence.
None
#12 jj 2008-07-07 10:00:17 0
nie mowie ze gmail mnie przed czymkolwiek chroni.

po prostu uwazam ze dla 90% ludzi wygoda i szybkosc jest wazniejsza niz bezpieczenstwo. z zycia znam przypadki przejecia kont pocztowych, numerow komunikatorow itp i wiekszosc ludzi olewa to, zaklada nowe konto i stosuje dalej to samo haslo nie przejmujac sie, z lenistwa stosuja te same hasla do poczty, do prodstali spolecznosciowych , dologowanai sie na kontach swoich uczelni. poczta gmail, onet czy wp (wp niedlugo tez bedzie korzystac z gmail) sa popularne z tego powodu ze sa proste, nie wymagaja dodatkowych dzialan. jeszcze jakis czas temu ludzie wiedzieli chociaz jak obslugiwac program pocztowy, teraz polowa osob nawet tego nie dotyka bo "zbyt skomplikowane".

moje wypowiedzi odnosza sie do tego ze powszechne stosowanie certyfikatow nie przyjmie sie, chyab ze naglwe wszyscy glowni gracze na rynku takich uslug by je wprowadzili razem i zmusili do tego ludzi. w przeciwnym wypadku wygra lenistwo i wygoda a certyfikaty nadal beda niszowym zjawiskiem.

None
#13 sancho 2008-07-07 10:00:17 0
jj ma rację. Konieczność przenoszenia ze sobą certyfikatu dyskwalifikuje tą metodę. Bo i jak je przenosić? Dyskietka? Pendrive? W dodatku instalować swój certyfikat na obcym komputerze? Nie dziękuję - wolę po prostu zmienić hasło po logowaniu z niebezpiecznego serwisu. Już bardziej racjonalny pomysł to hasła jednorazowe. Dobrym pomysłem ew. mogłoby być zabezpieczenie certyfikatem kluczowych funkcji skrzynki jak odzyskanie skrzynki po utracie hasła, usunięcie skrzynki, odblokowanie skrzynki (po kilkukrotnym błędnym logowaniu) itp.
None
#14 Marcin Gabryszewski 2008-07-07 10:00:17 0
Noszenie przy sobie certyfikatu np. na pendrivie to dla mnie nie kłopot. Problem jest inny, wy używacie email do celów prywatnych, a co z firmowymi skrzynkami. Tam też mam generować nowe konto, bo ktoś zwinął hasło. Wiele małych firm bazuje na hostingu, czy darmowych skrzynkach, nie ma własnych serwerów. Pomijam w ogóle kwestię kradzieży np biznesowych umów czy innych rzeczy związanych z firmą. Rozumiem, że programów antywirusowych też nie instalujecie bo obciążają system, firewall'a nie włączacie bo ma denerwujące pytanie o połączania z netem. No dobra poddaję się, wy wolicie user-friendly, ja bezpieczeństwo. Więc raczej porozumienia nie będzie :) PS. Chciałbym tylko zobaczyć wsze miny jak ktoś zwinął by wam kasę z PayPal'a właśnie podając tylko wasz email i hasło.
None
#15 jj 2008-07-07 10:00:17 0
ja uzywam poczty firmowej (a wlasciwie przekierowuja ja na darmowa poczte bo osobiscie nie spotkalem firmowej poczty ktora by sie wygodnie obslugiwala), mam wlasna firme, wszystko przekierowuje na darmowa poczte ze wzgledu na wygode :)

podobnie robia inne osoby, inne firmy. doradcy handlowi, ksiegowi, programisci, kazdy z nich uzywa poczty w wielu miejscach i w bardzo roznych komputerach (albo np w telefonie komorkowym, a moze niedlugo w lodowce, telewizorze itp).

firewall czy antiwirus to troche inna sprawa bo dotyczy danego komputera a nie danej uslugi ale mimo to wiele firm nadal tego nie uzywa albo uzywa w zly sposob. osobiscie znam duza firme programistyczna ktora zainstalowala antywirus u pracownikow dopiero w ostatnim czasie a jakiegos specjalnego firewall dla windows xp nie maja do dzis a robia uslugi na najwiekszych firm w polsce.

wiem o tym bo jezdze po firmach, grzebie ludziom w komputerach i widze co maja zainstalowane i jak obsluguja sprzet.

jakby ktos zwinal kasez paypall, no coz, takie ryzyko :)

w swoim artykule idealizujesz zachowanie ludzi i podejscie firm do uslug ktore generuja, czynnik ludzki musi byc uwgledniony, kupujac samochod malo kto jako powod wyboru danego modelu uznaje bezpieczenstwo, na pierwszym miejscu jest wygoda.

rownei dobrze mozna napisac drugi artykul o tym, ze trzeba zabezpieczac komputery czytnikiem linii papilarnych i siatkowki oka ale z gory wiadomo ze nawet przy darmowych takich czytnikach na pewno nie przyjma sie do uzytku.
None
#16 pytajnik000 2008-07-07 10:00:17 0
"np. używam sobie user-password, a przed wyjazdem na urlop aktywuję otp i generuje 10-15 haseł, to naprawdę fajna i bezpieczna opcja."

a jak to zastosować, jakie programy do tego użyć ? bo tylko jakieś płatne na googlach znalazłem ?
None
#17 Marcin Gabryszewski 2008-07-07 10:00:17 0
Tak nie da rady, twój server pocztowy(dostawca) musi wspierać otp
None
#18 roD 2008-07-07 10:00:17 0
Grzeczne i tanie rozwiązanie OTP powinno być podstawowym rozwiązaniem. Dlaczego dajecie ludziom wybór pomiędzy: Łatwo - trudniej, nie edukując ich co może ich spotkać gdy ktoś wykradnie im hasło? To nic nie kosztuje, a ludziska już są przyzwyczajone do kart kodów jednorazowych lub haseł sms-owych w swoich bankach ;-> Bez podstawowej edukacji lub chęci ochrony danych, które podobno dla wszystkich są ważne, przez polskich specjalistów, bezpieczeństwo mija się z celem. Dzięki takiemu postępowaniu programu wykradające hasła stają się coraz bardziej popularne, nawet w środowiskach domorosłych hakierów ;-) Wyedukowany użytkownik, przyzwyczajony i dorastający w środowisku jednego hasła poradzi sobie z zalogowaniem, które da mu poczucie bezpieczeństwa. A co jak straci jedno hasło (takie rozwiązanie stosowane prawie wszędzie), straci zaufanie, którym obdarzył Was wcześniej i ... Tyle. Warto to przemyśleć.
None
#19 Ivan Barazniew 2008-07-07 10:00:17 0
Moim zdaniem wszystko zależy od świadomości użytkownika. Jeśli ktoś chce mieć pocztę firmową przekierowywaną na prywatne konto i do tego lubi logować się na nią skąd popadnie, to powinien sie liczyć z możliwością wykradnięcia hasła. Natomiast jeśli dana osoba jest świadoma tego co robi i tego jak działają zabezpieczenia, zastanowi się kilka razy zanim zaloguje się gdziekolwiek z obcego kompa nawet przy użyciu najbezpieczniejszego uwieżytelniania. Obecnie zabezpieczenia przy użyciu certyfikatu rzeczywiście są pewniejsze, lecz gdy tylko wejdą do powszechnego użytku pojawią się programy króre potrafią wykradać klucze i łamać te zabezpieczenia. Dodatkową kwestią jest możliwość utraty danych a nie tylko hasła. Załóżmy ze logujesz się z kawiarenki przy użyciu super unikatowej i bezpiecznej metody opartej na jednorazowej autoryzacji certyfikatem wydanym tylko na to jedno połączenie. Nikt nie przejął twojego pinu i certyfikaty a newet jeśli przejął to nic mu z tego bo certyfikat był jednorazowy ale gdy tylko otworzysz jakiegoś maila zostanie on śćiągnięty przez twoją przeglądarkę w postaci tekstowej na dysk twardy co daje możliwość jego przejęcia, podobnie jest z załącznikami, wystarczy prostacki monitor cache przeglądarki. Bezpieczna autoryzacja to trochę za mało aby beztrosko korzystać z poczty i innych danych poufnych na niezaufanych maszynach.
None
#20 QWER 2008-07-07 10:00:17 0
haslo- zabezpieczenie znakowe majace bronic dostepu przed osobami nieupowarznionymi... sama genesa tego slowa podpowiada jego kruchosc i podatnosc

sprawa 1 to zabezpieczenie komputera przed niechcianym oprogramowaniem i wgladem z zewnatrz itd( antyvirus anty spyware,czeste skanowanie i firewall), 2ga sprawa to odpowiednie niepowtarzalne trudne do podpatrzenia haslo nie data urodzenia, nie nazwa pieska..., po 3 niewolno logowac sie w bylejakich miejscach gdzie nie mamy szansy wiedziec na 100% czy cos/ktos nas nie szpieguje/ certyfikaty i ssl owszem fajna sprawa ale powiedzmy faktycznie ze 90% hasel wychodzi na jaw przez glupote jego wlasciciela , 95% zlamanych hasel to hasla ktore zostaly zlamane w smieszny sposob a nie przez deszyfracje ssl czy inne zabawy... tu trzeba rozumu a nie jakichs wielkich umiejetnosci czy filozofi
None
#21 To|masz 2008-07-07 10:00:17 0
człowiek najsłabszym ogniwem każdego systemu...

None

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.