reklama

Hekerská nafúknutá bomba menom SkTorrent

Zaujala ma správa o hekerskom útoku na službu SkTorrent a príslušné bombastické titulky. Televízia Markíza o tomto útoku informovala dosť kostrbato. Nespresnili niektoré dôležité veci a všetci len preberali tú istú omáčku.

Písmo: A- | A+
Diskusia  (0)

Rozhodol som sa teda napísať tento „menší“ a mierne odborný článok pre tých menej chápavých, ale aj pre skúsenejších užívateľov.

Video: Televízne noviny, 19.2.2016

Ukradli 118 tisíc identít? Akých? Odkiaľ? Čo som zistil, ide „len“ o útok na diskusné fórum sktorrent.eu. Hekeri získali prístupové údaje registrovaných členov, nič iné.

Ak nie ste registrovaným členom tohto fóra, nič vám nehrozí.

Ak ste členom tohto fóra, máte problém, a to najmä ak používate tie isté heslá alebo služby bez niekoľkostupňového overovania (napr. cez mobil).

SkryťVypnúť reklamu
Článok pokračuje pod video reklamou

Na internete bol zverejnený export týchto užívateľov s ich heslami a mailovými adresami.

Ako som to videl, ide prevažne o české mailové adresy. Osobne neviem aké lamy môžu používať také mailové služby ako je práve seznam.cz či zoznam.sk, post.sk, azet.sk atď. To boli a aj sú najhoršie mailové služby vôbec.

Médiá si asi myslia, že všetci využívajú tento portál alebo čo. Ich príspevky by sa dali pokojne označiť za hoax. Hlavne, že majú bombastickú reportáž údajne o najväčšom hekerskom útoku na Slovensku.

Ako sa k tomu dostali?

Hekeri mohli získať heslo k FTP serveru hostingu alebo prihlasovacie údaje administrátora do fóra alebo mali umožnení prístup priamo k databáze. Väčšinou nie sú práve tieto servisné heslá príliš komplikované. Keď sa nabúrali do systému, stačilo už len exportovať dáta užívateľov. Tí zlomyseľnejší hekeri všetko zmažú a keď nemáte zálohy, tak vás môže rovno poraziť.

SkryťVypnúť reklamu
reklama

Ako to reálne funguje s heslami

V televíznom príspevku akosi pozabudli (a nespomenuli to ani špecialisti), že prečo je ľahké získať heslo druhej osoby.

Môžete mať ako chcete komplikované heslo, ak ho webová stránka odosiela bez SSL protokolu, je viditeľné pre každého, kto by dátový tok odchytil a server môže šifrovať heslo aj cez Dimenziu X, keď nie už dostatočne ošetrené pri odosielaní od klienta k serveru.

Špeciálne znaky nepodporujú všetky online služby a niektoré vám aj presne vypíšu, aké znaky sú povolené a aj akú maximálnu dĺžku hesla môžete použiť.

Nie je pravda, že ak máte krátke heslo a zmeníte pár znakov na iné špeciálne znaky, žeby to hekerom trvalo x rokov, kým by na to došli. Akékoľvek heslá do 10 znakov sú ľahko identifikovateľné – nemáme už 90. roky ;)

SkryťVypnúť reklamu
reklama

Šifrovanie hesiel na serveri je tiež kapitola sama o sebe. Štandardné šifrovacie metódy nie sú nijak extra komplikované a sú reverzibilné.

Výsledkom šifrovania je kryptografický reťazec, ktorý takmer z prvého pohľadu nič nehovorí, ale stačí spočítať znaky a aké znaky sú použité, a môžete identifikovať základný hešovací algoritmus – pretože mnohé systémy práve používajú hešovacie metódy a nie kryptovacie. Samozrejme je množstvo ďalších rôznych techník, ako efektívne zakódovať reťazec.

Ale ani to nie je najlepšia ochrana.

Preto pokročilejšie portály používajú viacúrovňové overovanie (identifikácia zariadenia a prehliadača, následné overenie cez SMS alebo audiotextom), a základom je automaticky blokovať viacnásobné chybné pokusy o prihlásenie.

SkryťVypnúť reklamu
reklama

Ak umožníte človeku alebo robotovi neustále dookola overovať prístupy, tak je to len otázkou času, kým identifikuje platné údaje.

Kameňom úrazu overovacích procesov sú aj tzv. kontrolné otázky. Práve tie sú často nezmyselne zostavované a často krát ich musíte vyplniť a nemáte možnosť si dokonca zadať ani vlastnú otázku. Čo myslíte, koľko by vám trvalo odblokovať online účet, ak by ste si mali zvoliť svoju obľúbenú farbu? ;)

Čo je to slovníkový a brutal force útok?

Slovníkový útok je databáza rôznych slov, prevažne anglických. Tieto databázy sa vytvárajú ľahko z verejne dostupných slovníkov v rôznych jazykoch. Obsahuje základné pomenovania vecí, zvierat, farieb, ľudí a iných vecí a vzájomne ich kombinuje.

Brutal force attack“ je vo voľnom preklade priamy brutálny útok. Program hľadá náhodné kombinácie zvolených znakov, kým neprejde všetky možné kombinácie. Tento typ útoku trvá najdlhšie a podľa dĺžky hesla môže trvať aj roky, ak je teda napadnutý systém tak hlúpy, že umožní nekonečné overovanie ;)

Viete čo je to psycho-sociologický útok?

Tento pojem ma napadol práve teraz. Neviem či táto metodika má svoj názov ;) Už podľa názvu je jasné, o aké informácie pôjde. Ak chcem u niekoho prelomiť heslo, budem sa sústrediť na jeho osobu, myslenie, kde býva, jeho profesiu, záľuby, sociálne siete atď. Budete ako internetový mentalista a detektív Monk dokopy. Vďaka týmto drobnostiam môžete získať prístupy k jeho online účtom a nielen tam. Táto metodika dokázala občas nájsť aj hľadaných zločincov, ktorí mali svoje charakteristické stopy pri písaní na internete.

Ach tie koláčiky

Veľmi nebezpečnou hračkou v každom počítači, resp. prehliadači sú Cookies (hovor. koláčiky alebo sušienky). Sú to informácie, ktoré navštívená web stránka ukladaná na váš počítač. Obsahujú rôzne informácie, od osobných nastavení, identít až po uložené heslá. Práve do týchto údajov sa zapisujú vaše prihlasovacie údaje, ak si na danej stránke zaškrtnete možnosť si zapamätať heslo. Tieto dáta sa dajú čítať a nie sú nijak zvlášť šifrované. Poznáte to napr. z Googlu, ktorý číta vaše cookies pre relevantnejšie zobrazovanie reklám. Každá web stránka môže o vás zistiť pomerne dosť informácií práve z cookies, aj keď štandardne iné domény nemôžu čítať cookies iných domén v prehliadači, ale aj toto sa dá obísť. Preto je vhodné neukladať si heslá do prehliadača a pravidelne obsah všetkých cookies vymazávať.

Diskusné fóra

Kto by ich nepoznal. Najviac rozšíreným systémom pre fóra bol (aj je) bez pochýb phpBB. Tento systém má pokročilejšie šifrovanie hesiel, ale tak či tak je častým terčom hekerov. Keďže pre fóra je zbytočné prevádzkovať SSL spojenie a vzhľadom obsahu je to vo väčšine prípadov aj zbytočné. Je už chybou užívateľov, ak použijú to isté heslo (aj login) na fóre aj pre svoj email a iné služby.

Ďalšou stránkou je etika administrátorov (vo všeobecnosti - nielen diskusné fóra). Lebo oni majú prístup k vašim údajom. Keďže vedia, akou metódou sa šifrujú heslá, vedia ich aj spätne získať (vlastne to väčšinou ani nepotrebujú, podľa typu rozhrania môžu ľahko vytvárať nové heslá alebo ich rovno ručne vložiť do databázy).

Stopovanie páchateľov

Je možné identifikovať páchateľov? Nepriamo áno. Každé zariadenie a komunikácia na internete je identifikovateľná. Čokoľvek čo sa pripojí je „vidieť“. Sú metódy, ktorými sa dá utajiť činnosť na sieti, ale kým budú nad vami poskytovatelia internetu, oni budú králi. Aj sami si môžete svojpomocne zistiť, kto vás hekol. Potom je už na polícii, aby to dokázali konkrétnej osobe. Problém je aj v tom, že to mohol spraviť ktokoľvek, aj keď vieme, že to išlo trebárs z PC XY v byte č.4 na ulici A v meste X. Existuje však všeobecná klauzula, že ktokoľvek, kto spácha trestný čin prostredníctvom napr. vašej WiFi siete, ste v konečnom dôsledku zodpovedný za to vy ako vlastník. Osobne neviem, ako to funguje v praxi, či skutočne nemusím byť priamym páchateľom a pôjdem sedieť za hekera, keď napr. vykradol banku cez moju WiFi ;)

Na záver

Nepoviem nič nového, ale heslá by ste mali mať pre každú službu iné alebo používať globálne šifrovacie služby, ktorými sa prihlásite do všetkých svojich portálov jedným heslom – problém je, že by musela existovať u nás iniciatíva, aby sa weby zapojili do týchto systémov.

Komplikované heslá si nezapamätáte. Ale známe úryvky z filmov, kníh či piesní už áno. Používajte aj celé vety s čiarkami a medzerami. Heslá si píšte do papierového poznámkového bloku – ten vám cez internet nikto neukradne ;) Môžete si heslá uložiť do nejakej tabuľky alebo jednoduchého textového súboru a dať zvlášť na USB kľúč (alebo disketu, keď viete čo to je :) a potom už len použiť CTRL+C a CTRL+V. Je to mierna prevencia aj proti známym keyloggerom. Používajte dlhé heslá, minimálne 20 a viac znakov, ktoré budú zložené z malých a veľkých písmen, čísiel a rôznych špeciálnych znakov, vrátane diakritiky a medzier (záleží od kompatibility).

Ideálne heslo: #87daq_KolLo6.470@itv+rv8WOW/nftu*ldqmx=0

Keď sa prihlasujete na web bez prefixu HTTPS://, nemáte zabezpečené spojenie a všetko čo cez akýkoľvek formulár odošlete, je čitateľné pre tretie strany.

Toto je veľký problém aj e-shopov, ktoré nechránia svojich zákazníkov a používajú bežný HTTP prístup, napriek tomu, že v účte majú svoje osobné údaje, informácie o kreditných kartách či bankových účtoch atď.

Mne tiež raz hekli jeden účet na Googli. Mailovú adresu útočník našiel na verejne dostupnom mieste (išlo o adresu pre potreby portálu) a trvalo mu nejakých 6 mesiacov, kým prenikol do schránky. Mal som tam ešte staré heslo do 10 znakov, ktoré obsahovalo aj špeciálny znak a nemal som aktívne overovanie nových prihlásení cez mobil. Našťastie nič nevymazal. Aj také sa stáva.

Existujú rôzne online nástroje na vygenerovanie hesla, buď na strane servera (kódy generuje web aplikácia – nie je príliš bezpečné) alebo na strane klienta (kódy generuje vložený JavaScript alebo objekt – Flash/Java). Potom staré-dobré offline programy pre bežné operačné systémy. Tie sú najvhodnejšie. Alebo si vytvoriť vlastný web server na domácej sieti a použiť vlastný PHP generátor.

Ak chcete, môžete vyskúšať môj online generátor. Nie je nijak komplikovaný, kódy sú však generované na serveri. Dáta sa neukladajú, sú jednorazové. Sú síce uložené počas operácie do pamäte, ale po skončení sa iba zobrazia užívateľovi v prehliadači. Vždy použite adresu s HTTPS! Keďže SSL certifikát je zdieľaný s prevádzkovateľom hostingu, musíte potvrdiť výnimku a pokračovať ďalej.

Branislav Pírek

Branislav Pírek

Bloger 
  • Počet článkov:  27
  •  | 
  • Páči sa:  0x

Staromešťan, patriot a liberálny konzervatívec apolitického smeru... IT špecialista, venujem sa grafike, dizajnu, počítačom, tvorbe SFX a inej kreatívnej tvorbe v IT, stolnému tenisu, kritike a iným. Mám rád umenie a dobré veci...Obľúbený výrok: "Damnant, quae non intelligunt".Web:www.piri.sk Kontakt:blog.piriosgmail.comNávštevnosť blogu: Zoznam autorových rubrík:  PolitikaBratislavaPočítačeKultúra a spoločnosťDabingIné

Prémioví blogeri

Matúš Sarvaš

Matúš Sarvaš

3 články
Jiří Ščobák

Jiří Ščobák

752 článkov
Monika Nagyova

Monika Nagyova

295 článkov
Iveta Rall

Iveta Rall

87 článkov
Zmudri.sk

Zmudri.sk

3 články
Adam Valček

Adam Valček

14 článkov
reklama
reklama
SkryťZatvoriť reklamu