Υποκλοπές passwords: Πώς να προστατεύσετε τις ευαίσθητες πληροφορίες σας
16:59 11/8/2014
- Πηγή: PC Nea
Πρόσφατη έκθεση υποστηρίζει ότι μία εγκληματική ομάδα Ρώσων υπέκλεψε 1.2 δισεκατομμύρια user names και passwords από 420.000 ιστοσελίδες. Σύμφωνα με πληροφορίες τα breaches έχουν μολύνει διαφορετικά είδη επιχειρήσεων που κυμαίνονται από οργανισμούς που εντάσσονται στη λίστα Fortune 500 μέχρι πολύ μικρές ιστοσελίδες.
Οι ιστοσελίδες που παραβιάστηκαν δεν αναφέρθηκαν καθώς πολλές από αυτές εξακολουθούν να είναι ευάλωτες σε επιθέσεις.
Η ομάδα των Ρώσων φέρεται να κατάφερε να
αποκτήσει αυτά τα στοιχεία με την χρήση botnets για να διερευνήσει εάν οι ιστοσελίδες έχουν ευπάθειες. Η έκθεση αναφέρει ότι, όταν ένας από τους μολυσμένους υπολογιστές του botnet επισκεφθεί μια ιστοσελίδα, οι επιτιθέμενοι αναγκάζουν τον υπολογιστή να πραγματοποιήσει ένα SQL injection στην ιστοσελίδα για να δουν αν περιέχει ευπάθειες. Εφόσον η ιστοσελίδα περιέχει ευπάθειες, τότε οι επιτιθέμενοι το καταγράφουν και επιστρέφουν σε αυτή αργότερα για να υποκλέψουν πληροφορίες από την βάση δεδομένων της ιστοσελίδας.
Σύμφωνα με πληροφορίες οι επιτιθέμενοι δεν έχουν πουλήσει πολλές από τις πληροφορίες που έχουν υποκλέψει, αντίθετα, έχουν χρησιμοποιήσει τα δεδομένα αυτά για να στείλουν μηνύματα spam στα κοινωνικά δίκτυα. Ωστόσο, αυτές οι πληροφορίες θα μπορούσαν να έχουν μεγάλη σημασία για άλλους εγκληματίες του κυβερνοχώρου. Εάν οι χρήστες επαναχρησιμοποιήσουν τα passwords τους σε άλλες online υπηρεσίες, τότε οι επιτιθέμενοι θα μπορούν να χρησιμοποιήσουν τις πληροφορίες με σκοπό να θέσουν σε κίνδυνο άλλους λογαριασμούς και να αποκτήσουν επιπλέον ευαίσθητες προσωπικές πληροφορίες για το θύμα.
Το πρόβλημα με τα passwords
Αυτό το περιστατικό που καταγράφηκε αποδεικνύει για ακόμα μία φορά πόσο προβληματικό είναι το σημερινό σύστημα των passwords. Είναι πολύ εύκολη η επαναχρησιμοποίηση passwords σε αμέτρητες ιστοσελίδες ή η δημιουργία passwords που μπορούν εύκολα να προβλεφθούν. Αυτό έχει ως αποτέλεσμα, εάν ένας επιτιθέμενος καταφέρει να αποκτήσει πρόσβαση στα login credentials του χρήστη παραβιάζοντας μία ιστοσελίδα, θα μπορούσε ενδεχομένως να χρησιμοποιήσει τις πληροφορίες για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε πολλούς άλλα online accounts.
Ακόμα και η ενημέρωση για σημαντικές ευπάθειες που γίνεται στους χρήστες δεν είναι αρκετή για να τους πείσει να αλλάξουν τα passwords τους. Μία πρόσφατη έκθεση από τον Pew Research Center υποστηρίζει ότι λιγότερα από τέσσερα στα δέκα άτομα, τα οποία γνωρίζουν για την ευπάθεια Heartbleed, άλλαξαν τα passwords τους ως απάντηση στο σφάλμα.
Αντί να κατηγορείται ο χρήστης, ίσως θα ήταν καλύτερο να εξεταστούν νέα μέτρα βελτίωσης του τρόπου που γίνεται το authentication όταν χρησιμοποιούνται online υπηρεσίες. Λαμβάνοντας υπόψη την ραγδαία εξέλιξη της τεχνολογίας τα τελευταία χρόνια, τόσο στον καταναλωτικό όσο και στον επιχειρηματικό τομέα, τώρα ίσως είναι η κατάλληλη στιγμή για δράση.
Mobile authentication
Ο πολλαπλασιασμός των smartphones έχει ενισχύσει τη δημοτικότητα του two-factor authentication. Όταν οι χρήστες κάνουν log in με τα passwords τους, ελέγχουν τα email, τα SMS ή τις φορητές εφαρμογές για τον δεύτερο προσωρινό authentication code. Αυτό σημαίνει ότι ακόμα και αν το password ενός χρήστη έχει εκτεθεί, ο επιτιθέμενος χρειάζεται να αποκτήσει επιπλέον πρόσβαση στο δεύτερο authentication για να παραβιάσει το λογαριασμό που έχει ως στόχο.
Το επόμενο βήμα για να κάνει οποιοσδήποτε login με ασφάλεια φαίνεται να είναι το βιομετρικό authentication. Αν και αυτού του είδους η τεχνολογία υπάρχει εδώ και αρκετό καιρό, η Apple το έκανε ευρέως γνωστό, με την προσθήκη ενός fingerprint αισθητήρα στο iPhone 5S την περασμένη χρονιά. Οι χρήστες μπορούν να ξεκλειδώσουν το κινητό τους τηλέφωνο ή να ελέγξουν τις αγορές τους στο iTunes τοποθετώντας το δάχτυλό τους στο πλήκτρο ‘home’. Ακολούθησαν και άλλοι κατασκευαστές smartphone οι οποίοι εφάρμοσαν αυτό το χαρακτηριστικό στις συσκευές τους, ενώ τον Ιούνιο η Apple εγκατέστησε αυτό το χαρακτηριστικό σε όλες τις εφαρμογές της, βοηθώντας την τεχνολογία να εξαπλωθεί ακόμα περισσότερο.
Το βιομετρικό authentication στα smartphones δεν περιλαμβάνει μόνο το δαχτυλικό αποτύπωμα. Ένα στέλεχος της Samsung πρόσφατα δήλωσε ότι η εταιρεία εξετάζει την δημιουργία συσκευών, οι οποίες ανιχνεύουν τις ίριδες των χρηστών για να τους αναγνωρίσουν.
Το authentication του μέλλοντος
Το authentication δεν θα σταματήσει εδώ, καθώς οι ερευνητές συνεχώς αναζητούν νέους τρόπους για να φέρουν την επανάσταση αυτής της μεθόδου. Την περασμένη χρονιά, η Regina Dugan, επικεφαλής του Advanced Technology and Projects group στη Google, πρότεινε ένα tattoo ή ένα χάπι κατάποσης που να μπορεί να αναγνωρίζει τον χρήστη. Το μόνο που θα χρειάζεται να κάνουν οι χρήστες είναι να ακουμπούν την συσκευή τους – ή ακόμα και το αυτοκίνητο τους – για να την ξεκλειδώσουν.
Μια εταιρεία που αναδείχθηκε από το Πανεπιστήμιο της Οξφόρδης εργάζεται, επίσης, πάνω σε ένα νέο σύστημα authentication. Το σύστημα της Oxford BioChronometrics υπολογίζει τις αμέτρητες διαφορετικές συμπεριφορές που φέρει ένας χρήστης όταν αλληλεπιδρά με τη συσκευή του. Αυτό θα μπορούσε να περιλαμβάνει τον τρόπο που ο χρήστης γέρνει προς το κινητό του τηλέφωνό όταν πληκτρολογεί, την ταχύτητα που κάνει scroll, τις κινήσεις που κάνει με το ποντίκι του και ακόμα περισσότερα. Το σύστημα συνδυάζει αυτές τις πληροφορίες για να δημιουργήσει ένα “electronically Defined Natural Attributes (eDNA)” για τον χρήστη, το οποίο στη συνέχεια χρησιμοποιεί για να αναγνωρίσει την ταυτότητα του χρήστη.
Ο κ. Frank Stajano, επιστήμονας του Πανεπιστημίου Cambridge, υποστηρίζει ότι έχει μία διαφορετική λύση για το πρόβλημα των passwords υπό την μορφή μια ηλεκτρονικής αύρας. Με αυτό το σύστημα ο χρήστης φοράει ένα αξεσουάρ ή έχει ένα εμφύτευμα κάτω από το δέρμα, το οποίο παράγει μια ηλεκτρονική αύρα. Αυτή η αύρα θα μπορεί να επεκταθεί δύο με τρία πόδια γύρω από το σώμα ενός ατόμου και το σήμα που εκπέμπει θα επιτρέπει μόνο στον χρήστη να αποκτά πρόσβαση στις συσκευές που του ανήκουν. Ως αποτέλεσμα, το άτομο θα μπορεί να ξεκλειδώσει το αυτοκίνητο του με ένα κλειδί fob μέσα στα πλαίσια αυτού του πεδίου, αλλά εάν το κλειδί fob ξεφύγεια από τα όρια αυτού του πεδίου τότε θα πάψει να λειτουργεί. Ο Stajano δουλεύει, επίσης, επάνω σε μία συσκευή που ονομάζεται pico, η οποία αποθηκεύει μια σειρά αμέτρητων passwords για τις online υπηρεσίες. Αυτή η συσκευή θα λειτουργήσει μόνο εντός της ηλεκτρονικής αύρας.
Προστατέψτε τις πληροφορίες σας
Ίσως περάσει ορισμένο χρονικό διάστημα μέχρι αυτά τα φιλόδοξα project για τις μεθόδους authentication γίνουν πραγματικότητα. Τώρα, η Symantec συμβουλεύει τους χρήστες να διαφυλάξουν τις online πληροφορίες τους από τους επιτιθέμενους με τους παρακάτω τρόπους:
· Χρησιμοποιείστε πάντα «ισχυρά» passwords και ποτέ μην τα επαναχρησιμοποιείτε σε άλλες ιστοσελίδες.
· Ενεργοποιείστε το two-factor authentication στις ιστοσελίδες που το παρέχουν. Η υπηρεσία που παρέχει η Symantec:Validation and ID Protection (VIP) Service επιτρέπει στις επιχειρήσεις να εφαρμόσουν και το two-factor authentication και το risk-based token-less authentication.
· Εξετάστε το ενδεχόμενο χρήσης ενός password manager, όπως το Norton Identity Safe, το οποίο αποθηκεύει με ασφάλεια διαφορετικούς κωδικούς πρόσβασης για τις online υπηρεσίες.
Οι ιστοσελίδες που παραβιάστηκαν δεν αναφέρθηκαν καθώς πολλές από αυτές εξακολουθούν να είναι ευάλωτες σε επιθέσεις.
Η ομάδα των Ρώσων φέρεται να κατάφερε να
Σύμφωνα με πληροφορίες οι επιτιθέμενοι δεν έχουν πουλήσει πολλές από τις πληροφορίες που έχουν υποκλέψει, αντίθετα, έχουν χρησιμοποιήσει τα δεδομένα αυτά για να στείλουν μηνύματα spam στα κοινωνικά δίκτυα. Ωστόσο, αυτές οι πληροφορίες θα μπορούσαν να έχουν μεγάλη σημασία για άλλους εγκληματίες του κυβερνοχώρου. Εάν οι χρήστες επαναχρησιμοποιήσουν τα passwords τους σε άλλες online υπηρεσίες, τότε οι επιτιθέμενοι θα μπορούν να χρησιμοποιήσουν τις πληροφορίες με σκοπό να θέσουν σε κίνδυνο άλλους λογαριασμούς και να αποκτήσουν επιπλέον ευαίσθητες προσωπικές πληροφορίες για το θύμα.
Το πρόβλημα με τα passwords
Αυτό το περιστατικό που καταγράφηκε αποδεικνύει για ακόμα μία φορά πόσο προβληματικό είναι το σημερινό σύστημα των passwords. Είναι πολύ εύκολη η επαναχρησιμοποίηση passwords σε αμέτρητες ιστοσελίδες ή η δημιουργία passwords που μπορούν εύκολα να προβλεφθούν. Αυτό έχει ως αποτέλεσμα, εάν ένας επιτιθέμενος καταφέρει να αποκτήσει πρόσβαση στα login credentials του χρήστη παραβιάζοντας μία ιστοσελίδα, θα μπορούσε ενδεχομένως να χρησιμοποιήσει τις πληροφορίες για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε πολλούς άλλα online accounts.
Ακόμα και η ενημέρωση για σημαντικές ευπάθειες που γίνεται στους χρήστες δεν είναι αρκετή για να τους πείσει να αλλάξουν τα passwords τους. Μία πρόσφατη έκθεση από τον Pew Research Center υποστηρίζει ότι λιγότερα από τέσσερα στα δέκα άτομα, τα οποία γνωρίζουν για την ευπάθεια Heartbleed, άλλαξαν τα passwords τους ως απάντηση στο σφάλμα.
Αντί να κατηγορείται ο χρήστης, ίσως θα ήταν καλύτερο να εξεταστούν νέα μέτρα βελτίωσης του τρόπου που γίνεται το authentication όταν χρησιμοποιούνται online υπηρεσίες. Λαμβάνοντας υπόψη την ραγδαία εξέλιξη της τεχνολογίας τα τελευταία χρόνια, τόσο στον καταναλωτικό όσο και στον επιχειρηματικό τομέα, τώρα ίσως είναι η κατάλληλη στιγμή για δράση.
Mobile authentication
Ο πολλαπλασιασμός των smartphones έχει ενισχύσει τη δημοτικότητα του two-factor authentication. Όταν οι χρήστες κάνουν log in με τα passwords τους, ελέγχουν τα email, τα SMS ή τις φορητές εφαρμογές για τον δεύτερο προσωρινό authentication code. Αυτό σημαίνει ότι ακόμα και αν το password ενός χρήστη έχει εκτεθεί, ο επιτιθέμενος χρειάζεται να αποκτήσει επιπλέον πρόσβαση στο δεύτερο authentication για να παραβιάσει το λογαριασμό που έχει ως στόχο.
Το επόμενο βήμα για να κάνει οποιοσδήποτε login με ασφάλεια φαίνεται να είναι το βιομετρικό authentication. Αν και αυτού του είδους η τεχνολογία υπάρχει εδώ και αρκετό καιρό, η Apple το έκανε ευρέως γνωστό, με την προσθήκη ενός fingerprint αισθητήρα στο iPhone 5S την περασμένη χρονιά. Οι χρήστες μπορούν να ξεκλειδώσουν το κινητό τους τηλέφωνο ή να ελέγξουν τις αγορές τους στο iTunes τοποθετώντας το δάχτυλό τους στο πλήκτρο ‘home’. Ακολούθησαν και άλλοι κατασκευαστές smartphone οι οποίοι εφάρμοσαν αυτό το χαρακτηριστικό στις συσκευές τους, ενώ τον Ιούνιο η Apple εγκατέστησε αυτό το χαρακτηριστικό σε όλες τις εφαρμογές της, βοηθώντας την τεχνολογία να εξαπλωθεί ακόμα περισσότερο.
Το βιομετρικό authentication στα smartphones δεν περιλαμβάνει μόνο το δαχτυλικό αποτύπωμα. Ένα στέλεχος της Samsung πρόσφατα δήλωσε ότι η εταιρεία εξετάζει την δημιουργία συσκευών, οι οποίες ανιχνεύουν τις ίριδες των χρηστών για να τους αναγνωρίσουν.
Το authentication του μέλλοντος
Το authentication δεν θα σταματήσει εδώ, καθώς οι ερευνητές συνεχώς αναζητούν νέους τρόπους για να φέρουν την επανάσταση αυτής της μεθόδου. Την περασμένη χρονιά, η Regina Dugan, επικεφαλής του Advanced Technology and Projects group στη Google, πρότεινε ένα tattoo ή ένα χάπι κατάποσης που να μπορεί να αναγνωρίζει τον χρήστη. Το μόνο που θα χρειάζεται να κάνουν οι χρήστες είναι να ακουμπούν την συσκευή τους – ή ακόμα και το αυτοκίνητο τους – για να την ξεκλειδώσουν.
Μια εταιρεία που αναδείχθηκε από το Πανεπιστήμιο της Οξφόρδης εργάζεται, επίσης, πάνω σε ένα νέο σύστημα authentication. Το σύστημα της Oxford BioChronometrics υπολογίζει τις αμέτρητες διαφορετικές συμπεριφορές που φέρει ένας χρήστης όταν αλληλεπιδρά με τη συσκευή του. Αυτό θα μπορούσε να περιλαμβάνει τον τρόπο που ο χρήστης γέρνει προς το κινητό του τηλέφωνό όταν πληκτρολογεί, την ταχύτητα που κάνει scroll, τις κινήσεις που κάνει με το ποντίκι του και ακόμα περισσότερα. Το σύστημα συνδυάζει αυτές τις πληροφορίες για να δημιουργήσει ένα “electronically Defined Natural Attributes (eDNA)” για τον χρήστη, το οποίο στη συνέχεια χρησιμοποιεί για να αναγνωρίσει την ταυτότητα του χρήστη.
Ο κ. Frank Stajano, επιστήμονας του Πανεπιστημίου Cambridge, υποστηρίζει ότι έχει μία διαφορετική λύση για το πρόβλημα των passwords υπό την μορφή μια ηλεκτρονικής αύρας. Με αυτό το σύστημα ο χρήστης φοράει ένα αξεσουάρ ή έχει ένα εμφύτευμα κάτω από το δέρμα, το οποίο παράγει μια ηλεκτρονική αύρα. Αυτή η αύρα θα μπορεί να επεκταθεί δύο με τρία πόδια γύρω από το σώμα ενός ατόμου και το σήμα που εκπέμπει θα επιτρέπει μόνο στον χρήστη να αποκτά πρόσβαση στις συσκευές που του ανήκουν. Ως αποτέλεσμα, το άτομο θα μπορεί να ξεκλειδώσει το αυτοκίνητο του με ένα κλειδί fob μέσα στα πλαίσια αυτού του πεδίου, αλλά εάν το κλειδί fob ξεφύγεια από τα όρια αυτού του πεδίου τότε θα πάψει να λειτουργεί. Ο Stajano δουλεύει, επίσης, επάνω σε μία συσκευή που ονομάζεται pico, η οποία αποθηκεύει μια σειρά αμέτρητων passwords για τις online υπηρεσίες. Αυτή η συσκευή θα λειτουργήσει μόνο εντός της ηλεκτρονικής αύρας.
Προστατέψτε τις πληροφορίες σας
Ίσως περάσει ορισμένο χρονικό διάστημα μέχρι αυτά τα φιλόδοξα project για τις μεθόδους authentication γίνουν πραγματικότητα. Τώρα, η Symantec συμβουλεύει τους χρήστες να διαφυλάξουν τις online πληροφορίες τους από τους επιτιθέμενους με τους παρακάτω τρόπους:
· Χρησιμοποιείστε πάντα «ισχυρά» passwords και ποτέ μην τα επαναχρησιμοποιείτε σε άλλες ιστοσελίδες.
· Ενεργοποιείστε το two-factor authentication στις ιστοσελίδες που το παρέχουν. Η υπηρεσία που παρέχει η Symantec:Validation and ID Protection (VIP) Service επιτρέπει στις επιχειρήσεις να εφαρμόσουν και το two-factor authentication και το risk-based token-less authentication.
· Εξετάστε το ενδεχόμενο χρήσης ενός password manager, όπως το Norton Identity Safe, το οποίο αποθηκεύει με ασφάλεια διαφορετικούς κωδικούς πρόσβασης για τις online υπηρεσίες.
Keywords
πληροφοριες, iphone 5s, user, names, botnet, sql, injection, spam, online, login, νέα, δραση, mobile, smartphones, email, sms, σημαίνει, apple, iphone, itunes, samsung, εταιρεία, regina, group, google, tattoo, oxford, cambridge, λύση, ηλεκτρονική, project, symantec, vip, norton, www.google.gr, Καλή Χρονιά, θεμα εκθεσης 2012, sql, το ποντικι, ηλεκτρονική, αξεσουαρ, αυτοκινητο, βημα, νεα μετρα, τηλεφωνο, apple, email, itunes, oxford, tattoo, ατομο, αυρα, γινεται, δαχτυλο, δευτερο, δερμα, διαστημα, δικτυα, ευκολα, υπαρχει, εκθεση, ενημερωση, εξελιξη, εταιρεία, εφαρμογες, τεχνολογια, υπηρεσια, υπηρεσιες, υπολογιστες, κινητο, λύση, μηνυματα, μορφη, ομαδα, παντα, ορια, ποντικι, συνεχεια, σειρα, σωμα, ταυτοτητα, τρια, φορα, group, αγορες, ασφαλεια, botnet, cambridge, ειδη, injection, project, user, login, μια φορα, names, norton, ποδια, regina, risk, σημαίνει, σημα, smartphones, sms, spam, symantec, online
Τυχαία Θέματα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- O OTE TV φέρνει στην Ελλάδα τον θρύλο του NBA, Γκάρι Πέιτον
- Η Microsoft επιτίθεται στο MacBook Air της Apple με τις νέες διαφημίσεις για το Surface Pro 3
- Έρευνα για τους κινδύνους των USB
- H μάστιγα των κλεμμένων κωδικών
- Το Facebook απαγορεύει το υποχρεωτικό Like-Share στα sites για ανάγνωση του περιεχομένου τους
- Alienware 13, Το Ελαφρύτερο Και Λεπτότερο Gaming Laptop
- Nokia 130, Το Οικονομικότερο Κινητό Της Microsoft
- Η Ρωσία ζητάει από Apple και SAP πρόσβαση στον πηγαίο κώδικά των προϊόντων τους
- Tα 10 πιο επικίνδυνα videogames σύμφωνα με τους ψυχολόγους! (Video)
- League of Legends: Δύο εκ. δολάρια έπαθλο στο παγκόσμιο πρωτάθλημα
- Δημοφιλέστερες Ειδήσεις PC Nea
- Τελευταία Νέα PC Nea
- Υποκλοπές passwords: Πώς να προστατεύσετε τις ευαίσθητες πληροφορίες σας
- O OTE TV φέρνει στην Ελλάδα τον θρύλο του NBA, Γκάρι Πέιτον
- Η Cyta μπαίνει στην παροχή υπηρεσιών κινητής τηλεφωνίας
- Πέντε πρόσθετες εφαρμογές για το gmail που σας λύνουν τα χέρια
- Αύξηση τζίρου μετά από 9 τρίμηνα για την Forthnet
- Νέος Διευθυντής Επενδυτικών Σχέσεων στον ΟΤΕ
- Το ΟΤΕ VDSL επεκτείνεται σε νέες περιοχές της χώρας
- Crouching Yeti: Μια ενεργή εκστρατεία κατασκοπείας με περισσότερους από 2.800 στόχους παγκοσμίως
- Πώς τα social media καθορίζουν τον τρόπο διακοπών
- Η Microsoft ανακοίνωσε τους νικητές του 2014 Παγκόσμιου Imagine Cup
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Diablo 3: Μεγαλύτερο μέγεθος install στο PS4
- Διαγωνισμός Kudos RS: Ο νικητής
- League of Legends: Δύο εκ. δολάρια έπαθλο στο παγκόσμιο πρωτάθλημα
- Περισσότερα mega-evolved Pokemon στα Pokemon Omega Ruby και Alpha Sapphire
- Tα 10 πιο επικίνδυνα videogames σύμφωνα με τους ψυχολόγους! (Video)
- Aπίθανα στοιχεία που δεν γνωρίζετε για το LEGO! (Video)
- Μάνος Γρυπάρης-Χριστιάνα Θάνου καλεσμένοι στην ΝΕΡΙΤ
- Έρευνα για τους κινδύνους των USB
- Οι 10 καλύτεροι hackers όλων των εποχών! (Video)
- Οι 10 δημοφιλέστερες ιστοσελίδες σήμερα στον κόσμο!