Łatwe hasła przyczyną ataków internetowych

W ostatnim czasie mieliśmy do czynienia z nasileniem się ataków typu ransomware, większą skutecznością ataków phishingowych oraz wieloma wyciekami baz danych użytkowników. Okazuje się, że nie trzeba być wcale hakerem o mitycznych umiejętnościach, by włamać się do sieci komputerowych największych firm czy organizacji rządowych. Wystarczy tylko pamiętać o tym, że użytkownicy komputerów wciąż stosują bardzo proste hasła.

Powracamy do tematu ataku na oprogramowanie SolarWinds Orion. Przypomnijmy, że w wyniku tego ataku ofiarą padło aż 18 tysięcy firm i organizacji rządowych. Już od samego początku Amerykanie oskarżali o ten atak hakerów pochodzących z Rosji. W końcu przyznały to oficjalnie, we wspólnym oświadczeniu, agencje FBI, CISA i NSA.

Z raportu CISA wynika ponadto, że hakerzy odpowiedzialni za atak stosowali dwie najprostsze techniki włamywania się do systemów komputerowych. Pierwsza to odgadywanie haseł, a druga ich rozpylanie.

Jak pokazuje wiele raportów bezpieczeństwa, użytkownicy wciąż stosują bardzo łatwe do odgadnięcia hasła – imiona swoich zwierząt domowych lub dzieci albo nazwy ulubionych przedmiotów. 

Wystarczy mieć podstawową wiedzę o użytkowniku i jego rodzinie (wiedzę tę można pozyskać na przykład z kont w serwisach społecznościowych), by z dużym prawdopodobieństwem udało się zalogować na jego konto.

Często jest to jednak czasochłonne, bo trzeba próbować się zalogować na konto atakowanego użytkownika wielokrotnie, aż do skutku. To metoda zwana też brute force. Metodą brute force jest też podstawianie przez włamywaczy w polu hasła kolejnych słów zaciąganych ze słownika (mają oni nadzieję, że zastosowane hasło jest słownikowe i uda się je dopasować).

Rozypalanie haseł

Metoda rozpylania z kolei polega na próbie dopasowania haseł do użytkowników. W przypadku zdarzających się wycieków samych haseł, ale bez kont użytkowników, trzeba dopasować te hasła do ich właścicieli.

Czasem też uda się odgadnąć hasło użytkownika i wtedy trzeba sprawdzić, czy działa ono w innych systemach (większość osób stosuje tę samą parę login plus hasło w wielu różnych systemach). 

Obie wspomniane metody były użyte właśnie w przypadku ataku na SolarWinds.

Proste hasła a sprawa polska

W ostatnich dniach głośno było o kolejnych włamaniach na konta polskich prawicowych polityków. W połowie stycznia z konta posła PiS Marka Suskiego na Twitterze zamieszczono roznegliżowane zdjęcia radnej mogilna Ewy Szarzyńskiej.

Szarzyńska z kolei utraciła nie tylko swoje prywatne fotografie, ale także dostęp do swojego konta na Instagramie. Poseł Suski poinformował dodatkowo, że stracił też dostęp do swojej skrzynki mailowej.

Oczywiście zarówno pan Suski, jak i pani Szarzyńska twierdzą, że to hakerzy włamali się na ich konto. W naszej opinii nie była to wcale zasługa wyrafinowego hakera, a po prostu tego, że oboje mieli po prostu łatwe do odgadnięcia hasła.

Jeśli to prawda, to byłoby o tyle niepokojące w przypadku posła Suskiego, że jest on członkiem komisji ds. służb specjalnych.

Edukacja w zakresie haseł internetowych jest niezwykle istotna

To bardzo ważne, by edukować pracowników, jakie powinni tworzyć hasła. Dobre hasło powinno mieć około 8-10 znaków długości i składać się z losowych małych i dużych liter, a także znaków specjalnych typu wykrzyknik, hash czy znak dolara.

Ponadto w każdym serwisie należy stosować inne hasło – nigdy nie powinno się ograniczać do tej samej pary login i hasło w kilku różnych usługach. Jeśli użytkownicy posługują się zróżnicowanymi hasłami i nastąpi wyciek z bazy jednej usługi, to nie będzie on miał żadnego wpływu na inne usługi – przestępcom nie uda się zalogować, gdy spróbują wykorzystać znane im hasło.

Aby zapamiętać hasła, najlepiej użyć menedżera haseł, takiego jak LastPass czy 1Password.

LastPass

Uwierzytelnianie wieloskładnikowe znacznie utrudnia włamanie

Bardzo skuteczną metodą zabezpieczenia konta jest stosowanie uwierzytelniania wieloskładnikowego (przynajmniej dwuskładnikowego) – czyli MFA (Multi-Factor Authentication) lub 2FA (Two-Factor Authentication). Polega ono na dodaniu dodatkowego składnika uwierzytelniającego prócz samego hasła – na przykład konieczności potwierdzenia logowania w aplikacji na smartfonie (np. Google Authenticator) albo podania dodatkowego, jednorazowego kodu, który usługa wysyła na zarejestrowany w systemie numer telefonu albo adres email. 

W tym wypadku nawet odgadnięcie hasła (albo pozyskanie go w ramach wycieku haseł) nic przestępcom nie da, bo właściciel konta musi potwierdzić logowanie z poziomu własnego smartfona. Bez fizycznego dostępu do tego smartfona zalogowanie się jest praktycznie niemożliwe. 

Biometria w przyszłości zastąpi hasła

W przyszłości powszechnie stosowane będą biometryczne systemy identyfikacji użytkownika. Tego typu rozwiązania są już coraz częściej stosowane, ale jeszcze nie działają doskonale. Obejmują skan linii papilarnych, trójwymiarowy skan twarzy, skan siatkówki oka albo ułożenia naczyń krwionośnych w dłoni. W przyszłości do wszystkich systemów logować się będziemy przy pomocy biometrii – nie będziemy musieli już pamiętać żadnych haseł. 

WhatsApp traci użytkowników

Niedawna zapowiedź zmiany regulaminu w komunikatorze WhatsApp wywołała duże zamieszanie wśród jego użytkowników. A jest ich bardzo dużo – z WhatsApp korzystają 2 miliardy osób.

Wkrótce zacznie obowiązywać nowy regulamin usługi, w którym użytkowników poinformowano, że informacje na ich temat będą przekazane Facebookowi.  W przypadku braku akceptacji nowego regulaminu, stracimy dostęp do komunikatora.

Temat padł na bardzo podatny grunt. Media zaczęły straszyć swoich czytelników tym, że WhatsApp będzie od teraz wiedział o nas wszystko, a nawet będzie miał wgląd do naszych wiadomości (co akurat jest nieprawdą).

Użytkownicy zaczęli masową migrację na inne komunikatory, takie jak Signal i Telegram. Dosłownie w przeciągu kilkudziesięciu godzin platformy te zyskały miliony nowych użytkowników. Spowodowało to nawet przeciążenie serwerów, na których utrzymywane są te rozwiązania.

Do tej pory WhatsApp nie zbierał o nas praktycznie żadnych informacji. Pamiętajmy jednak o tym, że aplikacja ta została kupiona przez Facebooka w 2014 roku za 19 miliardów dolarów. Nie powinniśmy się dziwić, że Facebook w końcu chciałby zacząć monetyzować użytkowników WhatsAppa. 

A Facebook jest najskuteczniejszy w monetyzowaniu przez wyświetlanie sprecyzowanych reklam i ofert swoim użytkownikom. Im więcej o nich wie, tym lepiej dopasowana jest oferta i tym większe szanse, że spotka się z reakcją użytkownika.

Stąd też zmiana regulaminu – WhatsApp chce o nas po prostu lepiej wiedzieć, żeby móc nam wyświetlać lepsze oferty. Oficjalnie jednak chodzi o “lepszy kontakt przez komunikator z firmami”.

Dlatego nie dziwi fakt, że część osób postanowiła zrezygnować z WhatsAppa i przerzuca się na alternatywne komunikatory.

Signal i Telegram zamiast WhatsApp

Jeśli chodzi o bezpieczne komunikatory, które zapewniają szyfrowanie wiadomości i nie zbierają praktycznie żadnych danych na temat użytkowników (poza numerem telefonu), to dostępne są dwa narzędzia: Telegram oraz Signal.

Telegram to aplikacja stworzona przez rosyjskiego programistę, Pawła Durowa. Komunikator jest bardzo intuicyjny w użyciu i wizualnie bardzo podobny do WhatsApp, więc użytkownikom będzie się najłatwiej na niego przerzucić.

Signal z kolei jest komunikatorem z otwartym kodem źródłowym – czyli open source – tworzonym przez organizację Signal Foundation. Zapewnia lepszy poziom bezpieczeństwa niż Telegram, w tym pełne szyfrowanie end-to-end, możliwość automatycznego usuwania wiadomości po zadanym czasie, a także ochronę logowania przy pomocy kodu PIN. Nie jest jednak tak intuicyjny i nie wygląda tak ładnie jak Telegram. Wydaje się jednak, że ze względu na wyższy poziom bezpieczeństwa ostatecznie większą popularność zdobędzie Signal.

WhatsApp pozostanie numerem 1

Migracja części użytkowników z WhatsApp na Signal czy Telegram nie spowoduje, że ten pierwszy komunikator zakończy swój żywot. Na razie na porzucenie WhatsAppa zdecydowało się kilkadziesiąt milionów osób. To nadal tylko niewielki fragment całej bazy, która liczy – przypomnijmy – 2 miliardy użytkowników.

Jeśli jesteśmy aktywni w serwisach społecznościowych, a w szczególności mamy konto na Facebooku, to i tak Facebook wie o nas wszystko, co potrzebuje – i w tym wypadku rezygnacja z WhatsApp nie ma najmniejszego sensu. Nowy regulamin praktycznie nic dla nas nie zmieni.

Ale jeśli dbamy o swoją prywatność w sieci, nie mamy utworzonych żadnych kont w serwisach społecznościowych, a nawet internet przeglądamy zawsze w trybie incognito, wówczas faktycznie dobrym pomysłem jest rezygnacja z WhatsApp na rzecz najlepiej Signala.

Szerzej na temat tego, jakie dane zbierają poszczególne komunikatory, napisaliśmy w artykule: WhatsApp, Signal, Telegram, czy Facebook Messenger – co wybrać?

Dodaj komentarz