Co łączy atak siłowy na hasło i dezynterie?

(Tekst w skróconej formie pierwotnie pojawił się  w serwisie www.cyberdefence24.pl)


Nic. Tak jak w znanym powiedzeniu: co ma piernik do wiatraka? A jednak doświadczenie i zdobyta wiedza nie pozwalają nam tak zostawić tematu. 
Wiemy, że piernik upieczony jest mąki (między innymi), którą dawniej otrzymywało się ze zboża, za pomocą młynów wiatrowych (między innymi). Można iść dalej i znaleźć że to człowiek dla zapewnienia swoich potrzeb zbudował wiatraki aby oprócz chleba, jeść pierniki.

Problem


Jak jest w przypadku tytułu? Podobnie. Ataki siłowe na hasła zwane też  (brute force), należą do świata cyfrowego, wirtualnego odpowiednika realnego świata, w którym egzystują bakterie Shigella wywołujące jedną z najpopularniejszych odmian dezynterii powszechnie nazywaną czerwonką. Co je łączy? Ty i my, ogólnie człowiek.  Bytujemy w obu tych przestrzeniach jednocześnie. Ostatnio prawie bezustannie co ma swoje znaczenie dla nas jak i dla przebiegu zjawisk w tych światach. 

To co wiemy


Oderwijmy się na moment od tych rozważań i wykonamy wspólnie mały odręczny rysunek.
Potrzebne będą: ołówek, czerwony, zielony i niebieski pisak, kredka lub długopis. Linijka również może się przydać.
Możemy zacząć?
  • Rysujemy dwie osie jak na wykresie których znasz pewnie setki, poziomą i pionową. Zaznaczamy strzałki. Przy pionowej piszemy "NIEBEZPIECZEŃSTWO" przy poziomej "CZAS".
  • Na osi "CZAS" w połowie zaznaczamy "DZISIAJ".
  • Rysujemy teraz czerwonym kolorem krzywą (czy jak ktoś woli łuk), który naszym zdaniem odpowiada sytuacji związanej z realnym ryzykiem bądź zagrożeniami w świecie cyfrowym dla każdego użytkownika.


Teraz mała podpowiedź: wiele serwisów podaje, że zagrożenia i ryzyko dotyczące cyberperzestrzeni rosną wykładniczo od od kilku lat, zatem z "czasem" (najpierw powoli a potem "strzelają w niebo") jest to jednak fałszywy obraz sytuacji, mianowicie wynikowy wpływ na bezpieczeństwo on-line od tych drastycznych wzrostów jest tłumiony zmniejszeniem wagi do nich przykładanych. Im więcej włamań dookoła, tym większa akceptacja ryzyka dotyczącego włamania i pomino wzrostu częstotliwości zdarzeń, to samo poczucie zagrożenia. Docelowo krzywa taka mogła by mieć postać dynamicznego wzrostu i stopniowego nasycenia. Choć oczywiście równie dobrze, liczba źródeł zagrożeń (np. pochodzących z Internetu Rzeczy) może wzrosnąć i mimo małej wagi do nich przykładanych, efekt kumulacji da wzrost ostatecznie zbliżony co najmniej do liniowego jak nie wykładniczego ponownie.
My uzyskaliśmy taki efekt:




  • To co chcemy zrobić, to odwrócić zobrazowany trend, rysujemy zatem lustrzanie odbitą drugą krzywą w kolorze czerwonym od "DZISIAJ" w przyszłość. Mniej więcej jak poniżej:



To czego szukamy


Co się musi stać w punkcie "DZISIAJ" tak powstałego wykresu, aby ten trend się zmienił? Naszą propozycją jest zmiana podejścia na bardziej osobiste
Media poprzez dedykowane raporty opisują całościowo, statystycznie ujętą sytuację poszczególnych użytkowników, zarówno tych prywatnych jak w ramach organizacji i firm. Słyszymy o katastrofalnym stanie podatności na ataki phishingowe czyli oszustwa drogą mailową, słyszymy o niechlubnych praktykach nie aktualizowania oprogramowania, o złośliwych aplikacjach mobilnych, podsłuchiwaniu przekazywanych danych, o ransomware czyli praktykach żądania okupu za zaszyfrowane dane i można jeszcze długo wyliczać podobne. Niestety przez ten uogólniony obraz zapominamy, że na tę statystykę składają się pojedyncze ludzkie problemy z Internetem w tle, a często nawet prawdziwe życiowe dramaty. 
Jeśli sprawa nas nie dotyczy, łatwo o komentarz w stylu: "Przecież było ostrzeżenie, sami są sobie winni", ewentualnie "Niestety, taki mamy klimat, nic nie da się zrobić". 
My dostrzegamy jednak światełko w tunelu, jesteś nim Ty, albo nawet jeśli jeszcze nie, to możesz nim zostać w krótkim czasie.
Być może właśnie formułujesz w myśli pytania typu: "Dlaczego ja?", "Jak to?", "Po co?" lub wątpliwości: "To nie zadziała.", "A co ja mogę zrobić?" lub od razu szukasz wymówek: "Nie mam na to czasu.", "Niech się zajmą tym specjaliści.", "Ktoś to w końcu naprawi". Nie wykluczone że szukając odpowiedzi na te pytania powstałaby bardzo ciekawa dyskusja, jednak z racji ograniczenia miejsca i szacunku do Twojego czasu, niech za jedyny, w naszej ocenie wystarczający, posłuży ten argument: 

"Bezpieczeństwo w Internecie musi być osobiste, dotyczy głównie naszej aktywności w sieci jak i naszych danych w niej umieszczanych. Nie zgadzam się na to, aby ktoś decydował jak mam się poruszać w sieci, co czytać i jak komentować, tak samo jak nie chcę, aby ktoś za mnie decydował które moje dane są komu udostępniane."
Czy to Cię przekonuje do naszego podejścia? Jeśli tak, to pomiń numerowana listę poniżej.
Jeśli nie, to spróbuj nam zaufać i jako proste ćwiczenie zastanów się nad odpowiedzią na poniższe pytania:
1. Czy wiesz w ilu miejscach w sieci masz założony profil wymagający logowania aby uzyskać dostęp do Twoich danych i aktywności?
2. Czy wiesz ile sekund potrzeba aby ujawnić Twoje hasło uzyskane ze słabo zabezpieczonego serwera usługodawcy, dysponując publicznie dostępnym sprzętem i oprogramowaniem?
3. Czy zgadzasz się z polityką prywatności i regulaminami usług używanych przez Ciebie serwisów w Internecie i masz poczucie kontroli nad tym kto i po co używa Twoich danych osobowych jak również informacji o Twojej aktywności?
4. Czy komunikując się z innymi osobami przez Internet masz pewność, że ujawniasz informacje właśnie tej osobie, która wydaje się być Twoim rozmówcą?
5. Czy znasz i jesteś w stanie wyjaśnić historię swoich transakcji bankowych na rachunkach i kartach kredytowych?
6. Czy posiadasz aktualne kopie wszystkich swoich danych, które uważasz za ważne dla Ciebie i czy te dane są bezpieczne oraz możliwe do odczytania jeśli będzie taka potrzeba?
7. Czy wiesz co robią aplikacje na Twoim urządzeniu mobilnym? Co robią wtyczki w Twojej przeglądarce na komputerze?
8. Czy zezwalasz na i wymuszasz aktualizację oprogramowania, a przynajmniej te związane z bezpieczeństem?
9. Czy nadal używasz cyfrowe teści (muzykę, filmy, oprogramowanie), co do którego pochodzenia i ochrony wynikającej z praw autorskich nie masz pewności?
10. Jeśli nadal Cię nie przekonaliśmy co do konieczności skupienia się na bezpieczeństwie w bardziej osobisty sposób, to spójrz na wcześniejsze 9 punktów. Wszystkie dotyczyły Twojego bezpieczeństwa w kontakcie ze światem cyfrowym. 
(Osobom o zdeterminowanym poglądzie braku zasadności takiego podejścia polecamy, z szacunku do czasu nas wszystkich, przerwać lektruę w tym miejscu i wrócić do niej po incydencie bezpiecczeństwa dotyczącym ich danych).

Propozycja rozwiązania


Dziękujemy za zaufanie i kontynuowanie naszej dyskusji. 
Idąc dalej, tropem osobistego bezpieczeństwa szybko natrafiamy na techniczne problemy jego realizacji. 
Na szczęście, z pomocą przychodzi nam tutaj nasze doświadczenie życiowe. Co jak co, ale osobiste doświadczenia są naszym największym skarbem. Głównie dlatego, że są naszym sposobem na poradzenie sobie z problemem, przez co odzwierciedlają nasz styl życia, nawyki, potrzeby i dla jednych niestety, ale w naszej ocenie dzięki czemu, uwzględniają również nasze wady. 
Tak nasze WADY. Twoje również.
To one są głównym powodem naszego niepowodzenia na polu cyberbezpieczeństwa w ujęciu statystycznym i to one są tą czerwoną rosnącą linią porażki (Ci z Was, którzy nie odczuli boleśnie incydentu bezpieczeństwa na własnej skórze nie uważają, zapewne, że jakakolwiek porażka dotyczy ich- żywimy nadzieję, choć bez satysfakcji, że ta ocena ulegnie zmianie pod koniec lektury tego tekstu).
Autorzy tego tekstu wielokrotnie zadawali sobie pytanie, niestety bez satysfakcjonującej odpowiedzi, kto i kiedy wpadł na pomysł, aby przekonać ogół ludzkości, że media cyfrowe są wyjątkowe i że ogólne zasady dotyczące komunikacji międzyludzkiej, kształtowane od tysiącleci, nie mają tutaj zastosowania. Jeśli daliście sobie to wmówić to czas najwyższy, aby zrozumieć, że to nie jest prawda.
Internet, technologie mobilne, cyfrowe wersje dokumentów papierowych, nawet podpisy elektroniczne to wszystko są jedynie media komunikacyjne i narzędzia używane do tego, aby jeden człowiek przekazał coś drugiemu (jeśli poufne) lub wszystkim (innym jeśli publiczne). Skala efektywności tych narzędzi jest imponująca, zgoda, ale zasady ich używania nie zmieniły się od chwili, gdy pierwszy człowiek zdał sobie sprawę, że nie chce mówić drugiemu wszystkiego co wie, gdy powstała pierwsza tajemnica. Myśl tę pogłębimy w innym miejscu i czasie, teraz skupmy się na technicznych aspektach bezpieczeństwa osobistego.
Mając już wykazane, że cyberprzestrzeń jaką tworzy człowiek-nadawca i człowiek-odbiorca (lub wielu takich ludzi) wraz z całą masą sprzętu i oprogramowania między nimi, może bazować na naszych życiowych doświadczeniach, spójrzmy na jedno z nich: walkę z chorobą brudnych rąk.
I tutaj wracamy do tematu poruszonego na początku naszych rozważań, czyli tego jak i dlaczego dezynteria, jako jedna z chorób brudnych rąk, ma związek z atakami siłowymi na nasze hasła. Odpowiedź znajdziesz poniżej.


Idąc własnym tropem

Szukając mechanizmów ochrony przed zagrożeniami w Internecie bierzemy pod uwagę te doświadczenia życiowe, które są wspólne dla większości ludzi, nie powodujące odwrócenia uwagi i proste w realizacji czyli nasze nawyki. Obiecującym tropem okazały się kampanie WHO (Światowej Organizacji Zdrowia) mające na celu zmniejszenie ryzyka zachorowania i rozprzestrzeniania czerwonki bakteryjnej. Jak się okazuje, wystarczy kilka bakterii i sprzyjające warunki ich rozwoju, aby zainfekowany człowiek zachorował. Choroba ta jest bardzo trudna do opanowania w warunkach dużych grup ludzi, takich jak kolonie, akademiki, masowe imprezy - wszędzie tam, gdzie dochodzi do bezpośredniego kontaktu ludzi, głownie związanego z podawaniem sobie rąk i przedmiotów w pogorszonych warunkach stosowania zasad higieny osobistej - konkretnie zwyczaju mycia rąk.
To jest właśnie ten nawyk, którego przykładem posłużymy się do zbudowania praktyk dotyczących bezpiecznego używania haseł. 
Wyobraźmy sobie, na ile efektywną jest ochrona przed bakteriami jeśli do umycia rąk użyjemy najlepszych praktyk i zaleceń, użyjemy nawet środków dezynfekcyjnych ale zrobimy to JEDNORAZOWO wierząc, że skoro to tak dobre praktyki to jesteśmy chronieni. 
Niestety, tak właśnie większość z nas postępuje z hasłami. Ustawia, nawet i ponad 20 znakowe, trudne do odgadnięcia i złamania hasła zawierające małe, duże litery, cyfry, znaki specjalne. Niestety po ustawieniu, nie zmienia ich w ogóle, albo robi to bardzo rzadko a i wtedy zmiana jest jedynie kosmetyczna, powodująca, że hasło jest podobne do poprzedniego. 
Takie praktyki, są na rękę przestępcom Internetowym co jest głównym powodem do rekomendowania odejścia od twardego wymogu ciągłej zmiany haseł (źródło pl, źródło en). 
Zostawmy na chwilę ten zaskakujący wniosek i sprawdźmy drugą stronę medalu: opłukanie rąk i odpowiadające temu używanie przewidywalnych, krótkich, lub tych samych haseł w wielu serwisach. Zdecydowanie nie uchroni nas to przed: ani bakteriami (najczęściej chowają się między palcami a brud widać nawet gołym okiem), ani przestępcami (proste hasła łamane są w sekundy atakami słownikowymi, a krótkie w kilka sekund atakami siłowymi). 
Jak ma się zatem ta praktyka do realnego świata? I jak to w końcu jest, zmieniać te hasła czy nie i jeśli tak to na jakie? 
Odpowiedzi na to jak radzić sobie z bakteriami najlepiej szukać u specjalistów, dlatego odsyłamy tutaj do porad pochodzących z Oddziału Higieny Żywności, Żywienia i Przedmiotów Użytku Wojewódzkiej Stacji Sanitarno-Epidemiologiczna w Poznaniu.
Odpowiedzi na pytanie dotyczące haseł są wszędzie, głównie dlatego, że eksperci mówią o tym od ponad 15 lat. My stoimy na następującym stanowisku, że dla każdego znajdzie się coś odpowiedniego i tak:
a) jeśli masz dobrą pamięć i mało kont, użyj wyrażeń hasłowych (więcej o hasłach),b) jeśli masz słabą pamięć, mało czasu lub dużo kont, użyj menadżera haseł (przegląd menadżerów haseł) - użyj go do generowania i przechowywania silnych haseł lub wyrażeń hasłowych,c) stosuj idywidualne hasło do każdego konta, unikalne i zgodne z a) lub b),d) zmieniaj hasła często, szczególnie gdy coś wzbudzi Twój niepokój (podejrzana aktywność na koncie, publiczne informacje o wycieku danych) i bazując na regularnym schemacie, jednak nie rzadziej niż 90 dni - za każdym razem stwórz nowe, unikalne hasło dla każdego konta zgodnie z a) lub b),e) koniecznie, bez wyjątków i opóźnień zmień hasło gdy dowiesz się, że zostało ono ujawnione lub usługa padła ofiarą ataku hakerskiego lub wycieku danych - jako analogia niech posłuży tutaj sytuacja, w której każdy rozsądny człowiek każdorazowo po kontakcie z chorym, lub nawet po kontakcie z ludzką krwią, myje i dezynfekuje ręce. Czynność ta ma charakter działania wynikającego z okoliczności, a nie bazującego na okresowości, mimo to jest, a raczej powinna być, nawykiem.


A teraz kilka słów wyjaśnienia dla punktu d) czyli dlaczego jednak zmieniać. Odpowiedź jest prosta, bo analogicznie do mycia rąk, trzeba to robić dokładnie i często, w innym wypadku jest to jedynie strata czasu. 
Przestępcy posiadający bazę danych zawierającą źle zabezpieczone hasła (tak, niestety zdarza się - i jest to naganna praktyka - że usługodawca przechowuje hasła w jakiejkolwiek ich formie) są w stanie użyć jej zawartości czy to "łamiąc" hasła metodą siłową (brute force) czy też socjotechniką, od samego użytkownika, symulując fałszywą "zmianę hasła" w komunikacji mejlowej (phishing) czy telefonicznej (vishing). Takie "łamanie" dużej liczby haseł zajmuje jednak trochę czasu, zatem prewencyjnie, nawet jeśli nie ma informacji o włamaniu, takie hasło warto zmienić na nowe, unikalne i równie silne przez analogię do mycia rąk po dotykaniu przedmiotów, które są publicznie dostępne jak klamki, poręcze czy uchwyty w środkach komunikacji masowej czy wspominanej w punkcie e) powyżej.

Myjmy zatem ręce i zmieniajmy hasła - często i starannie.

Mamy już dobrą praktykę osobistą, którą możemy przeciwstawić cyberprzestępcom, tak aby utrudnić im czerpanie korzyści z ich procederu. Można to sobie wyobrazić jako oznaczenie zadania jako dobrze wykonane - fajką czy ptaszkiem w zielonym kolorze. Wróćmy zatem do rysunku. 
  • Dorysujmy zielonym kolorem ponad czerwoną linią duży "ptaszek" - znaczek potwierdzająco-zatwierdzający, rozmiarem co najmniej taki sam jak krzywa ryzyka, wierzchołkiem dotykający tej krzywej w punkcie "DZISIAJ".
  • Między ramonami "ptaszka" wstawiamy znak "@" jako odwołanie do cyberprzestrzeni.

Nasz wykres prezentuje się jak poniżej:


Patrząc na ten wykres z pewnej odległości, dostrzec można symbol cyberużytkownika. Stworzyliśmy go bazując na chęci odwrócenia obecnie negatywnego trendu cyberbezpieczeństwa poprzez pozytywną postawę wszystkich internautów, czyli Ciebie, każdego z nas i milionów innych, którzy tworzą wspólną sieć połączonych ludzi.

Ten znaczek jest dla nas ważny i mamy nadzieję, że i dla Ciebie stanie się symbolem zmiany Twojej postawy dotyczącej Cyberbezpieczeństwa. 
Razem z nami, wspólnie, od dzisiaj poprzez swój przykład możesz utrudnić cyberprzestępcom ich procedery, wzmocnić kontrolę nad swoimi danymi w Internecie i bardziej świadomie używać jego zasobów stawiając na:
Bezpieczeństwo Bardziej Osobiste

W NAGRODĘ, a bez wątpienia na takową zasługujesz po prześledzeniu całej tej dyskusji, rysowaniu i zmianie nastawienia oferujemy Ci plakietkę akcji Bezpieczeństwo Bardziej Osobiste z Inicjatywą Kultury Bezpieczeństwa

Nagroda za przeczytanie artykułu i postępowanie BBO.



Możesz ją pobrać nie zostawiając nam swoich danych (wymagane jest założenie konta w serwisie oferującym darmowe osiągnięcia cyfrowe tutaj  oraz podanie następującego kodu xgmpzc ), użyć kodu QR poniżej, lub przesłać nam mejla z prośbą o odznakę BBO - dostaniesz wtedy osobistą odznakę, indiwidualizowaną linkiem dla podanego adresu mejla. Oczywiście możesz również pobrać samą grafikę tutaj.


Kod QR nagrody za przeczytanie artykułu i postępowanie BBO.


Odpowiedź czyli więcej pytań


Pamiętaj, że to dopiero początek, w zasadzie wstęp, porównywalny do decyzji wyruszenia w drogę. 
Stoisz w progu swoich drzwi i masz przed sobą kilka ścieżek, warto sprawdzić każdą z nich i zdobyć nagrody na nich ukryte, przy okazji ulepszając swoje praktyki dotyczące Bezpieczeństwa Bardziej Osobistego. Ścieżki w formie zadań znajdziesz w naszym kalendarzu tutaj:

IKB+K to zadania dotyczące bezpośrednio Twojej obecności w sieci - to Twoje konta i hasła, czyli strażnicy Twoich danych i Twojej aktywności w cyberprzestrzeni. W trzech krokach pokażemy Ci jak poprawić ich kondycję, zmienić je w najwyższej jakości zabezpieczenia zgodne z obowiązującą sztuką.

IKB+D to zadania dotyczące Twoich danych, tego co w postaci cyfrowej, co momentalnie może zostać zniszczone jak pamiątki podczas pożaru domu, albo zabrane Tobie i przekazane osobom, które nie powinny nigdy mieć do tego dostępu, jak w sytuacji kradzieży. W trzech krokach, zwrócimy Twoją uwagę na praktyki pozwalające zachować Twoje dane pod Twoją kontrolą.


IKB+F to zadania dotyczące wrażliwej Twojej działalności jakiej są ogólnie pojęte transakcje internetowe mające skutki finansowe lub prawne. W trzech krokach spróbujemy namówić Cię do zbudowania nawyków ograniczonego zaufania, monitorowania aktywności i czujności, które mogą pozwolić Ci uniknąć wielu kłopotliwych i kosztowych sytuacji.


IKB+MC to nie zadania. To krótkie porady dotyczące bezpieczeństwa informacji czy aktywności w cyberprzestrzeni. Proponujemy przejrzeć je wraz z wiadomościami podczas śniadania, porannej kawy czy dowolnej innej formie "doganiania świata". Ze swojej strony dołożymy starań, aby pojawiały się w kalendarzu w każdy pracujący dzień przed godziną 9 rano.



Możesz również przystąpić do wydarzenia na Facebooku w ramach którego próbujemy zmienić całą Polskę w społeczność internautów zaangażowanych w Bezpieczeństwo Bardziej Osobiste, tworząc tym samym prawdziwe obytwatelskie podstawy cyfrowego państwa i kultury świadomych cyberużytkowników.

Jeśli chcesz wiedzieć więcej o nas zapraszamy na nasz:
profil na Twitterze

Zachęcamy również osoby zaangażowane zawodowo w cyberbezpieczeństwo i zarządzanie ryzykiem technologicznym do dołączenia do Technology Risk & Information Security Wrocław Forum - grupy na LinkedIn, której społeczną działalnością jest właśnie Inicjatywa Kultury Bezpieczeństwa czyli IKB, z inspiracji której prowadzona jest akcja Bezpieczeństwo Bardziej Osobiste.

Wszystkich zainteresowanych materiałami publikowanymi przez IKB informujemy, że są one publicznie dostępne i darmowe do użytku zarówno nie jak i komercyjnego w ramach licencji Creative Commons Uznanie autorstwa-Na tych samych warunkach 3.0 Polska. Zachęcamy do ich używania we własnych programach uświadamiających, jak również rozmowach, przykładach czy poleceniach.

Do zobaczenia!

Artur Marek Maciąg w imieniu Inicjatywy Kultury Bezpieczeństwa

Popularne posty z tego bloga

[ECSM 2016] tydzień 1 - Bezpieczne finanse w sieci

Nie dać się "złośliwym organizmom"

Supporting National Cyber Security Awareness Month 2016