Czwórka superbohaterów z ikonami telefonu, laptopa, dysku sieciowego i dysku przenośnego na tle błyskawic.

Obronisz swoje dane?

Ostatnie lata z punktu widzenia bezpieczeństwa IT były dość ponure. Według ekspertów z Malwarebytes, od 2015 do 2017 roku liczba ataków ransomware wzrosła niemal 20-krotnie. Specjaliści zaznaczają, że hakerzy często do zdobycia komputerów i kont wykorzystują proste sposoby.

Ochrona kont internetowych

Z punktu widzenia cyberprzestępców serwisy internetowe to wyjątkowo lukratywne cele. Głównie dlatego, że często zawierają one bardzo wiele personalnych danych. Dla użytkownika gorszy może być tylko bezpośredni atak na jego prywatną skrzynkę e-mailową. Przede wszystkim dlatego, że przestępcy w tym drugim przypadku mogą zresetować dostępy do wszystkich usług online, z jakich zaatakowana osoba korzystała.

Od czego powinniśmy zatem zacząć? Przede wszystkim od sprawdzenia, czy już nie padliśmy ofiarą ataków. Nie mamy żadnego wpływu na poziom bezpieczeństwa serwisów, których używamy, dlatego tu trudno mówić o jakiejkolwiek prewencji, ale warto sięgnąć np. po dwuetapową weryfikację tożsamości. Najpierw zobaczmy jednak, jak możemy sprawdzić czy nasze dane logowania nie zostały przejęte przez przestępców w wyniku udanego ataku na serwis, którego jesteśmy użytkownikami.

Ataki na dane logowania

Każdy, kto chce sprawdzić, czy przestępcy mogli w przeszłości uzyskać dane logowania do jego kont online, może odwiedzić serwis Haveibeenpwned.com. Strona jest połączeniem bazy o znanych wyciekach danych (innymi słowy: udanych atakach na bazy z danymi logowania użytkowników konkretnego serwisu internetowego) oraz wyszukiwarki umożliwiającej internaucie sprawdzenie, czy przypadkiem jego adres e-mail (a tym samym również powiązane z tym adresem hasło logowania do danego serwisu) nie padły łupem przestępców. W bazie są dane o blisko 5 miliardach kont, o których informacje zostały przejęte przez przestępców.

Have I Been Pwned
Taki komunikat wyświetlony po wprowadzeniu naszego adresu e-mail to dobra wiadomość, ale nie oznacza, że nic nie musimy robić (graf. CHIP)

Jeżeli po wprowadzeniu swojego adresu e-mailowego w wymienionym serwisie, zobaczysz komunikat taki jak ten na powyższej ilustracji, jest to dobra wiadomość. Oznacza, że wprowadzony przez ciebie adres nie został odnaleziony w znanych atakach na dane użytkowników różnych serwisów internetowych. Może się jednak zdarzyć i tak, że komunikat wygenerowany przez ';–have i been pwned? będzie wyglądał tak.

Have I been pwned
Taki komunikat to zwiastun potencjalnych problemów – trzeba działać (graf. CHIP)

Oznacza to, że adres jest w jednej z baz danych, wykradzionych przez przestępców. W takim przypadku zaczynamy od sprawdzenia, jakich serwisów dotyczy problem. Odpowiedź na to pytanie znajdziemy, klikając widoczny w wyświetlanym komunikacie link „breached sites”. Gdy wiemy już, w jakich serwisach internetowych nasze dane zostały wykradzione, należy założyć, że zarówno adres e-mail jak i hasło dostępowe do zaatakowanej usługi online przejęto. Powinniśmy jak najszybciej zmienić hasła dostępowe do kont w tych usługach. Mam tylko nadzieję, że nie używaliście jednego hasła do wszystkich usług, bo wtedy czeka was zmienianie tego zabezpieczenia w każdym serwisie (każde hasło powinno być inne).

Opisywany serwis umożliwia nie tylko sprawdzenie adresów e-mail, ale również wyszukiwanie konkretnych haseł. Wystarczy przejść do sekcji „Passwords”, a następnie w polu tekstowym wprowadzić hasło, które chcecie sprawdzić. W odpowiedzi uzyskacie informacje, czy dane hasło jest znane przestępcom (czyli czy znajdowało się w wykradzionych zbiorach danych). Ta funkcja serwisu to dobre narzędzie, pozwalające ocenić, jak wiele osób używa tak niefrasobliwych sekwencji znaków jak np. „1234” czy „password”. Na szczęście dziś wiele serwisów wymusza już stosowanie znacznie bardziej skomplikowanych haseł dostępowych.

Czy ktoś się logował?

Zakładając najgorszy scenariusz, czyli wykrycie naszego adresu w wykradzionych bazach danych, powinniśmy bezwzględnie zmienić nasze hasło. Co jednak w sytuacji, gdy opisywany wyżej serwis nie znajdzie adresu? W takim przypadku również warto sprawdzić, czy ktoś niepowołany nie próbował zalogować się na nasze konto? Niestety, nie we wszystkich usługach online możemy to sprawdzić. Ale w niektórych – owszem. Pokażemy to na przykładzie Google.

Konto Google
W ustawieniach konta Google możemy łatwo wyśledzić wszelkie, również nieudane, próby logowania na nasze konto z różnego typu urządzeń (graf. CHIP)

Odwiedzamy serwis myaccount.google.com, następnie logujemy się na własne konto Google, po czym w sekcji „Logowanie się i zabezpieczenia” klikamy odnośnik „Zdarzenia związane z zabezpieczeniami i aktywnością na urządzeniu”. Wyświetlona zostanie strona, na której od razu zobaczymy, czy ostatnio nastąpiła jakakolwiek próba zalogowania się z nieznanego nam urządzenia czy miejsca. Jeżeli wykryjemy jakąkolwiek podejrzaną aktywność (próbę logowania z miejsca, w którym nie byliśmy czy z urządzenia, którego nie mamy), należy przede wszystkim zmienić hasło do konta Google. Należy również sprawdzić, czy ktoś już użył tokena zabezpieczającego połączenie z kontem. Jest to o tyle istotne, że właściciel urządzenia, w którego pamięci przechowywany jest token uwierzytelniający, będzie mógł uzyskać dostęp do naszego konta również po tym, jak zmienimy w nim hasło. Za chwilę wyjaśnimy, jak to działa i jak sobie z tym radzić.

Kolejnym sygnałem świadczącym o tym, że być może konto zostało zhakowane, mogą być informacje od znajomych, że otrzymali oni za pośrednictwem np. sieci społecznościowej dziwne wpisy lub zapytania z twojego profilu. Facebook, podobnie jak Google, również udostępnia narzędzia, pozwalające sprawdzić aktywność i logowania na koncie. Po zalogowaniu się do Facebooka należy wybrać z menu pozycję „Ustawienia”, a następnie na stronie ustawień kliknąć z menu po lewej stronie „Bezpieczeństwo i logowanie”. W sekcji „Lokalizacja zalogowania” zobaczymy listę wszystkich urządzeń z aktywnymi tokenami bezpieczeństwa (czyli posiadacz tych urządzeń nie musi znać hasła, aby zalogować się na twój profil na Facebooku).

Utrudnij hakerom dostęp

Istnieje wiele sposobów ochrony konta. Najważniejszym jest po prostu dobre hasło. Co ciekawe, według analityków bezpieczeństwa, używanie w hasłach znaków specjalnych, wielkich liter czy cyfr wcale nie jest jest konieczne. Hasło może się składać wyłącznie z małych liter i będzie bezpieczne pod warunkiem, że jego długość wynosi ok. 15 – 20 znaków. Oczywiście nie należy używać żadnych spójnych zdań typu „Litwo, Ojczyzno Moja!”, zamiast tego można tworzyć zlepki przypadkowych słów. W ten sposób utworzysz długie hasło, które łatwo zapamiętasz. To znacznie lepsze rozwiązanie niż tworzenie niemożliwych do zapamiętania haseł typu „1:Ma~p9Kf|?!1Si5”. Kolejna niezwykle ważna rzecz to używanie innego hasła do każdej usługi online. Nowoczesne ataki potrafią uwzględnić np. zmianę dwóch ostatnich znaków w haśle (wielu użytkowników zmienia hasła co miesiąc, dodając do końca stałego hasła po prostu numer miesiąca). Dlatego używanie jednego, nieznacznie zmodyfikowanego hasła do każdej usługi to zły pomysł. Jeżeli korzystasz z wielu usług online i masz problem z zapamiętaniem dużej liczby haseł, możesz użyć programowego menadżera haseł. Wtedy należy zapamiętać tylko jedno hasło dostępowe do zaszyfrowanego sejfu z hasłami.

Wspomniałem wcześniej o tokenach usług online, powiązanych z urządzeniami, za pośrednictwem których użytkownik loguje się do danej usługi. Działają one trochę jak pliki cookie w odwiedzanych przez nas serwisach. Dzięki plikom cookie witryna nas „zapamiętuje”. Natomiast dzięki tokenom bezpieczeństwa, wszystkie urządzenia i aplikacje, zawierające token, mają dostęp do konta, nawet po zmianie hasła dostępowego. W przypadku konta Google listę aktywnych tokenów uzyskamy, wybierając z sekcji „Logowanie się i zabezpieczenia” odnośnik „Aplikacje, które mają dostęp do konta”. Podobne funkcje możemy znaleźć w panelu ustawień na Facebooku.

Panel z listą logowań do Facebooka (graf. CHIP)

Pod listą „Lokalizacja zalogowania” widoczne jest polecenie „Wyloguj się ze wszystkich sesji”. Kliknięcie tego elementu spowoduje usunięcie tokenów bezpieczeństwa ze wszystkich urządzeń, powiązanych z danym kontem na Facebooku. W połączeniu ze zmianą hasła oznacza to, że nawet jeżeli ktokolwiek wykradł nam wcześniejsze hasło dostępowe i użył go do wygenerowania tokenu bezpieczeństwa, nie będzie mógł już dostać się do naszego konta.

Kolejne działanie, jakie powinniśmy podjąć, to zamknięcie „tylnych drzwi”, pozostawianych przez usługi online dla użytkowników, którzy zapomną swoich haseł. Chodzi o tzw. pytania zabezpieczające, które mają – w razie zapomnienia hasła – uwiarygodnić zapominalskiego użytkownika, że faktycznie zapomniał on hasła do swojego konta w danej usłudze. Problem jedynie polega na tym, że pytania te dotyczą często rzeczy mało tajnych, np. imienia psa czy innego pupila, imienia pierwszej miłości, nazwiska panieńskiego matki itp. Tymczasem takie dane wyszkoleni socjotechnicznie cyberprzestępcy są w stanie uzyskać dość szybko. Tym samym będą mogli skorzystać z tylnej furtki i w imieniu uprawnionego użytkownika odpowiedzieć na pytania zabezpieczające, przejmując tym samym kontrolę nad kontem ofiary.

Jeżeli z pewnych względów w danej usłudze nie chcesz wyłączać pytań zabezpieczających lub nie da się tego zrobić, warto ustawić odpowiedź na pytanie / pytania zabezpieczające, która nie będzie oczywista. Może to być nawet losowy ciąg znaków, takie jakby kolejne hasło. Oczywiście, aby nie obciążać nadmiernie naszej pamięci, warto zanotować te nietypowe odpowiedzi i przechowywać w bezpiecznej lokalizacji, np. w menadżerze haseł.

Włącz uwierzytelnianie dwuskładnikowe

Wiele serwisów internetowych zdało sobie sprawę, że używanie tylko jednego hasła do ochrony logowania użytkownika jest zbyt słabym zabezpieczeniem. Dlatego obecnie najpopularniejsze usługi online oferują opcjonalną procedurę 2FA (2-factor-authentication, czyli uwierzytelnianie dwuskładnikowe). Polega na tym, że podczas logowania podajesz najpierw swoje hasło, przypisane do danego konta, a następnie – jeżeli to hasło jest prawidłowe – system prosi o wprowadzenie dodatkowego hasła jednorazowego. Może ono zostać wysłane do użytkownika w formie wiadomości SMS czy wygenerowane w mobilnej aplikacji do uwierzytelniania dwuskładnikowego (np. Google Authenticator czy Authy dla Androida, użytkownicy systemu Apple iOS mogą użyć aplikacji Auth OTP – wszystkie wymienione są bezpłatne).

Zaletą uwierzytelniania dwuskładnikowego jest przede wszystkim to, że dostęp do usługi jest chroniony nie tylko informacją, którą użytkownik zna (standardowe hasło do konta), ale również informacją, którą dana osoba otrzymuje (SMS z kodem jednorazowym). Po włączeniu uwierzytelniania dwuskładnikowego nawet skuteczny atak na bazę danych użytkowników danego serwisu nie wystarczy przestępcom – musieliby oni jeszcze wykraść smartfon ofiary lub podejrzeć komunikację na nim.

Popularne usługi online i ich warianty dwuskładnikowego uwierzytelniania, kolor zielony oznacza obsługiwanie danego rozwiązania, czerwony – brak (graf. CHIP)

Nasza rada: jeżeli dana usługa oferuje wybór metody dwuskładnikowego uwierzytelniania, bezpieczniej jest wybrać metodę 2FA, wykorzystującą aplikację generującą jednorazowe kody niż ich przesyłanie za pomocą wiadomości SMS. Wiadomości tekstowe można łatwo przechwycić, natomiast dostęp do aplikacji generującej kod na smartfonie możesz dodatkowo zabezpieczyć blokadą ekranu czy odciskiem palca. Trzecia, widoczna w powyższej tabelce forma zabezpieczenia – U2F – to tzw. klucz sprzętowy, czyli fizyczne urządzenie, np. w formie klucza USB, które musi być podłączone do komputera, by potwierdzić tożsamość osoby, wprowadzającej hasło dostępowe do danej usługi.

Facebook - uwierzytelnianie dwuskładnikowe
Moduł konfiguracji uwierzytelniania dwuskładnikowego na Facebooku (graf. CHIP)

Sposób ustawiania uwierzytelniania dwuskładnikowego jest podobny dla większości usług, w których taka forma zabezpieczenia dostępu jest obsługiwana. Zwykle odbywa się to za pomocą kreatora konfiguracji, który prowadzi użytkownika krok po kroku przez cały proces. Ważne, by pamiętać o tzw. kodach resetujących (zwanych również zapasowymi). To specjalne kody (ich liczba jest ściśle ograniczona), które są generowane podczas konfiguracji dwuskładnikowego uwierzytelniania, a które umożliwiają zalogowanie się do wybranych usług (chronionych opisywanym mechanizmem) w sytuacji, gdy np. zgubimy smartfon, przestanie on nam działać itp. Te dane resetujące najlepiej fizycznie wydrukować i schować w bezpiecznym miejscu, aby móc ich użyć w razie potrzeby.

Jednocześnie usługodawcy dostrzegli problem, związany z uwierzytelnianiem dwuskładnikowym – jest ono znacznie mniej wygodne niż proste wpisywanie hasła. Dlatego wiele usług (Apple, Google, Facebook i inne) daje możliwość oznaczania konkretnych urządzeń jako tzw. bezpiecznych. Podczas korzystania z takiego sprzętu ponownie, wystarczy wpisać tylko hasło do konta, aby się zalogować, etap hasła jednorazowego jest pomijany (de facto do serwisu wysyłany jest specjalny klucz sprzętowy urządzenia, które wcześniej zostało oznaczone jako zaufane). Jest to wygodniejsze, ale naprawdę nie powinniśmy z tego korzystać, bo psuje całe bezpieczeństwo wprowadzane przez dwuskładnikowe uwierzytelnianie. Jeśli zaufane urządzenie zostanie zainfekowane złośliwym kodem, umożliwiającym zdalną kontrolę nad sprzętem, wtedy agresorowi wystarczy znać tylko hasło, bo przecież „używa” zaufanego urządzenia. I w efekcie warstwę ochronną wprowadzaną przez 2FA diabli biorą…

Używanie sprzętu jako zabezpieczenia haseł

Logowanie z wykorzystaniem sprzętowego klucza USB U2F (Universal 2nd Factor) jest jeszcze bezpieczniejsze niż mechanizm zabezpieczający 2FA. Jednak w tym przypadku musimy liczyć się z kosztami. Trzeba kupić kompatybilny klucz USB U2F, np. taki jak na poniższej fotografii.

USB U2F Fido Certified
Sprzętowy klucz, chroniący dostęp do usług online, to wydatek rzędu kilkudziesięciu złotych (fot. Inbase.pl)

Dlaczego taki klucz jest bezpieczniejszy od 2FA? Teoretycznie, gdy korzystamy z 2FA, możliwe byłoby przeprowadzenie ataku typu man-in-the-middle w celu odczytania jednorazowego kodu, generowanego przez aplikację / SMS i wprowadzenie go do usługi przed użytkownikiem. To trudne, ale możliwe. Użycie klucza sprzętowego znacznie lepiej chroni dostęp do usługi online. Przeprowadzenie ataku man-in-the-middle w takim przypadku jest nierealne. Podczas konfiguracji dwuetapowego uwierzytelniania, wykorzystującego klucz sprzętowy, usługa, do której dostęp ma być w ten sposób chroniony, generuje parę kluczy kryptograficznych (klucz publiczny i klucz prywatny). Klucz prywatny zapisywany jest na sprzętowym kluczu USB. Jeżeli użytkownik zaloguje się później na swoim koncie za pomocą znanego mu hasła, musi potwierdzić, że jest osobą, za którą się podaje, podłączając do komputera nośnik USB U2F, zawierający klucz prywatny. Serwer wysyła wtedy do klienta ciąg bitów, który wykorzystuje do wygenerowania kodu. Maszyna kliencka z podłączonym kluczem USB U2F szyfruje ten kod kluczem prywatnym i w postaci zaszyfrowanej wysyła do serwera uwierzytelniającego, który rozszyfrowując przesłane informacje, uzyskuje dowód, że logowany użytkownik to uprawniony użytkownik. Dostęp zostaje przyznany. Niestety, metoda USB U2F jest niedostępna dla posiadaczy np. smartfonów z systemem iOS, gdyż Apple nie przewiduje w swoich urządzeniach możliwości użycia sprzętowych kluczy uwierzytelniających.


Dalej – o komputerach domowych oraz urządzeniach z Androidem i iOS-em.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.