06/03/2014

Całościowe podejście do ochrony online

Porady

Przypadek Naokiego Hiroshimy, który prowadził jednostronną walkę o odzyskanie swojego konta na Twitterze, uwydatnił kluczowe znaczenie przyjęcia całościowej postawy wobec kwestii bezpieczeństwa w internecie oraz przypominał o realiach współczesnego świata – nieodpowiednie zabezpieczenie jednego z wielu kont w używanych serwisach, może w nieprzewidywalny sposób wpłynąć na całą resztę.

sm

Hiroshima posiadał jednoliterową nazwę użytkownika na Twitterze: @N. Ludzie, którzy chcieli posiąść jego unikatowy nick, proponowali mu bajońskie sumy. Nie jestem w stanie zweryfikować tego osobiście, bowiem sam Naoki twierdzi, że zaproponowano mu nawet 50 tysięcy dolarów za odstąpienie całego konta. Właściciel unikatowej nazwy zmagał się również z lawiną prób przejęcia jego konta. Jego skrzynkę pocztową regularnie zasypywały wysyłane przez przestępców fałszywe e-maile z instrukcją zmiany hasła.

Jeżeli masz ochotę przeczytać pełną historię Naokiego Hiroshimy, możesz ją znaleźć w serwisie Next Web. Nie zależy mi na przeredagowaniu jego historii, żeby innymi słowami wysnuć zasadniczy wniosek – domniemamy haker przejął jego konto e-mailowe oraz profil na serwisie GoDaddy dzięki autoryzacji 4 ostatnimi cyframi z karty kredytowej Hiroshimy, które zdobył od przedstawicieli obsługi klienta firmy PayPal wykorzystując praktyki socjotechniczne. Przypadek Naokiego wykazał uderzające podobieństwo do nagonki na Matta Honana (Nazwa użytkownika na Twitterze: @mat), który w ciągu jednej godziny po opublikowaniu swojego artykułu na Wired w 2012 roku, został zaatakowany, czego konsekwencją było naruszenie jego całego cyfrowego życia. Honan logował się na wielu portalach metodą łańcuchową (portal-matka, dzięki któremu można logować się na innych stronach, bez zakładania nowego konta). Gdy włamano się na jedno z nich, wszystkie pozostałe zostały po kolei przejęte efektem domina.

Zacznę od podstawowego wyznania – jest niemożliwe, aby tak po prostu przekazać Wam idealną receptę na zabezpieczenie Waszych wszystkich urządzeń podłączonych do internetu. Każdy z nas ma indywidualny zakres potrzeb oraz odmienny zestaw kont i profili z których korzysta. Najlepsze, co mogę zrobić, to zbadanie powszechnie używanych usług i próbowanie ułożenia zestawu ogólnych zasad, których przestrzeganie pomoże Wam ustrzec się przed m.in. socjotechniką używaną w opisanych powyżej atakach.

Celem niniejszego artykułu jest wskazanie istotności, w formie obszernego przeglądu, całościowego podejścia do ochrony  swoich wszystkich kont.

Pierwszy krok: zainstaluj i uruchom sprawdzony program antywirusowy, aby ochronić się przed szkodliwymi programami takimi jak keyloggery czy trojanamy, a także innymi zagrożeniami. Po drugie – mówiliśmy o tym już wiele razy – zadbaj o regularną instalację aktualizacji. Bez tych dwóch podstawowych kroków, wszystkie inne środki są w zasadzie bezużyteczne.

Jeszcze jeden aspekt wart wspomnienia – zanim przejdziemy do konkretów – koniecznie musisz mieć różne hasła do swoich kont w różnych serwisach. Jeżeli masz problem z zapamiętaniem ich wszystkich (co wcale nie dziwi!), proponuje Ci użycie menadżera haseł, który zapamięta je wszystkie za Ciebie.

Jest zrozumiałe, że chciałbyś używać swojego podstawowego adresu email, we wszystkich możliwych kontach, w których jest on wymagany, aby odzyskać swoje hasło. I słusznie, ale zaleca się założenie oddzielnego adresu e-mail, który służyłby jedynie do konfiguracji Twoich profili. Idealnym rozwiązaniem byłoby stworzenie takiego adresu, który byłby znany tylko Tobie. Jeszcze lepszym pomysłem jest posiadanie większej liczby takich kont. Niemniej jednak, rozumiem, że wcale nie masz ochoty posiadać tysiąca kont e-mail. Microsoft oraz Yahoo oferują możliwość tworzenia aliasów, które mogą być użyteczne dla użytkowników dbających o zacieranie cyfrowych śladów po sobie. Jeżeli na przykład posiadasz konto jankowalski@outlook.com, możesz stworzyć dowolny alias (tajnyadres@outlook.com), który będzie podpięty pod Twoje podstawowe konto,  a e-maile będą trafiać do tej samej skrzynki.

W tym miejscu pragnę podkreślić istotny wniosek płynący z powyższych akapitów – posiadanie odrębnego adresu do odzyskiwania haseł ma kluczowe znaczenie. Jeżeli ktoś uzyska kontrolę nad Twoim podstawowym kontem, dzięki któremu może przejąć wszystkie inne – to już pozamiatane. Od tego momentu, wszystkie konta i profile są poza Twoją kontrolą.

GOOGLE

Zacznijmy od Google. Pierwszą rzeczą jaką powinieneś zrobić jest zabezpieczenie Twojego konta za pomocą drugiego adresu, o którym już wspomnieliśmy wcześniej. W ten sposób, jeżeli Twoje konto zostanie zaatakowane, możesz wysłać swoje żądanie o zmianę hasło na swoją drugą skrzynkę i odzyskać dostęp do swojego konta. Powinieneś również połączyć konto ze swoim urządzeniem mobilnym, dzięki czemu możesz włączyć dwuetapową weryfikację, do której wyjaśnienia wrócę za moment.

Twoje konto w serwisie Google ma specjalną sekcję poświęconą uprawnieniom, gdzie możesz sprawdzić, które aplikacje i usługi mają dostęp (są połączone) do Twojego konta. Raz na jakiś czas upewniaj się, że wyraziłeś zgodę na wszystkie usługi, które tam się znalazły. Jeżeli zdarzy Ci się zauważyć coś, czego nie rozpoznałeś, powinieneś to skrupulatnie zbadać. Jeżeli nie jesteś w stanie ustalić, co to za aplikacja, albo wydaje Ci się podejrzana – anuluj jej dostęp do Twojego konta. Prawdopodobnie jest to legalna aplikacja, jednak może być zainfekowana szkodliwym oprogramowaniem i całkiem teoretycznie i potencjalnie może stanowić „furtkę” dla intruza do Twojego profilu.

Wracając do wcześniej poruszonego zagadnienia – powodem, dla którego chcieliśmy, abyś połączył swoje konto z urządzeniem mobilnym, jest możliwość uruchomienia weryfikacji dwuetapowej. Polega ona na zatwierdzeniu każdego logowania przy pomocy nowego urządzenia 6-cyfrowym kodem wysłanym SMS-em na telefon komórkowy. Przyznam szczerze – podwójne logowanie może być nieco irytujące, jednak stanowi ono ogromną barierę dla potencjalnego włamywacza. Teraz, jeżeli napastnik chciałby włamać się na Twoje konto, musiałby również ukraść Twój telefon lub zhakować Google – co wydaje mi się mało prawdopodobne, a przynajmniej nigdy nie widziałem, ani nie słyszałem o tego typu przypadku … jak dotąd. Jeżeli używasz gmaila na swoim iPhonie lub innym urządzeniu, na którym weryfikacja dwuetapowa nie jest dostępna, możesz ustawić specjalne hasło dla danej aplikacji. Jest to zdecydowanie dodatkowa niedogodność, jednak ma skuteczne i efektywne zastosowanie. Powrócimy do tego tematu w jednym z kolejnych postów.

Oprócz weryfikacji dwuetapowej, należy skonfigurować powiadomienia mobilne, aby otrzymać wiadomość tekstową w przypadku próby zmiany Twojego hasła przez osobę trzecią bądź logowania z podejrzanej lokalizacji. Poza tym, miej na oku dziennik logowania, aby mieć pewność, że wszystko jest w porządku. Jeżeli zauważyłeś coś podejrzanego, a mam tu na myśli sesje logowania, których nie byłeś autorem, prawdopodobnie to jest dobry moment, żebyś zmienił hasło. Urządzenia z systemem Android oraz Portfel Google – każde dostępne za pośrednictwem konta Google – przechowują wiele poufnych informacji, takich jak dane kart kredytowych, więc powinieneś zrobić wszystko, by mieć pewność, że są one należycie chronione.

Zrzut ekranu 2014-03-06 o 16.33.05

Warto również przyjrzeć się bliżej środkom bezpieczeństwa związanych z dostawcami kart płatniczych, kontami bankowymi online, a także samymi usługami Google’a. Wiele osób korzysta z rozwiązań Google w połączeniu z własnymi domenami. Warto przypomnieć, że atakujący mogą przejąć Twój profil i próbować zażądać okupu za dostęp do innych kont (jak w przypadku @N), a nawet wykorzystać zasadę domina i przejąć inne konta (jak w przypadku @mat).

APPLE

W przypadku usług Apple’a powinieneś wykonać analogiczne kroki ze swoim kontem Apple ID (jeżeli takowe posiadasz). Jeżeli chcesz dostać się do ustawień, powinieneś odwiedzić stronę https://appleid.apple.com/pl. Tak samo jak w powyżej opisywanym przypadku, zaleca się włączenie weryfikacji dwuetapowej. Dzięki temu będziesz otrzymywał specjalny kod na swoje urządzenie mobilne za każdym razem, gdy będziesz chciał dokonać zmian w swoim koncie Apple ID. Takie rozwiązanie jest dobre z co najmniej dwóch powodów. Po pierwsze, stanowi kolejną barierę dla włamywacza, tuż po ewentualnym złamaniu hasła. Jeżeli ustawisz dwuetapową weryfikację, otrzymasz również powiadomienie SMS-em, gdy ktoś inny będzie próbował zalogować się na Twoje konto Apple ID. Co więcej, zapewne masz ustawione pytania pomocnicze w razie ewentualnego zapomnienia hasła. Upewnij się, że nie jest ono zbyt proste i oczywiste. Osobiście nie rekomenduję używania predefiniowanych pytań, ale kiedy nie ma innego wyjścia, staram się wybierać te najbardziej subiektywne, na które potencjalny napastnik nie znajdzie odpowiedzi w internecie. Sugeruję również skorzystanie z opcji załączenia dodatkowego adresu e-mail, na wypadek gdy sytuacja stanie się naprawdę gorąca. E-mail który posłużył Ci do rejestracji konta Apple ID powinien sam w sobie pełnić taką funkcję, jednak warto byłoby posiadać jeszcze jeden pomocniczy adres. Na koniec oczywista już rada, jednak zawsze warta przypomnienia – zadbaj o to, by Twoje hasło było silne i niepowtarzalne.

Zrzut ekranu 2014-03-06 o 16.34.23

Uwaga: niektóre usługi – jak pokazuje to historia @N – wymagają podania ostatnich 4 cyfr z numeru karty płatniczej w celu zweryfikowania tożsamości logującego się. Apple nie jest jednym z tych serwisów, jeżeli jednak korzystasz z tego typu usług, warto zdefiniować specjalnie przeznaczony do tych celów numer rachunku. W ten sposób, jeżeli osoba atakująca odgadnie ostatnie 4 cyfry Twojej karty, będzie ona miała dostęp tylko do jednego serwisu, a nie do każdego konta, który preferuję tę metodę uwierzytelniania.

PAYPAL

W przypadku tego serwisu istnieją dwie szkoły myślenia. Z jednej strony, konto PayPal otwiera nowy rozdział w dostępie do bankowości online. Z drugiej strony, PayPal jest skutecznym sposobem na ukrycie Twoich danych finansowych przed osobami trzecimi. Na przykład, gdy dokonasz zakupu w małym, detalicznym sklepie internetowym, nie masz wglądu i kontroli nad tym, co dzieje się na „zapleczu” w procesie przetwarzania płatności. W takich przypadkach tak naprawdę nikt nie może Ci zagwarantować, że poufne informacje, takie jak Twój kod CVV, są przechowywane w bezpieczny, zaszyfrowany sposób. W związku z tym korzystanie z usług serwisu PayPal może być idealnym rozwiązaniem dla osób, które niekoniecznie chcą ujawnić swoje dane osobowe bezpośrednio sprzedawcy.

Drugim, zdecydowanie ważniejszym, środkiem prewencyjnym oferowanym przez PayPal, jest ustawienie „klucza zabezpieczeń”. Nie jest to wprost tak nazwane, jednak klucz ten ma charakter dwuetapowej weryfikacji. Serwis oferuje użytkownikowi kilka opcji. Jedna z nich to standardowy SMS w celu potwierdzenia płatności – opcja ta jest darmowa. W ustawieniach serwisu PayPal podajesz swój numer komórkowy, akceptujesz warunki, a na Twój numer zostaje wysłany jednorazowy kod za każdym razem gdy korzystasz z jego serwisu. Ponownie to podkreślę – jest to silne zabezpieczenie, które umacnia barierę chroniącą Twoje konto, ponieważ błyskawicznie zostaniesz powiadomiony, gdy np. ktoś ukradnie Twoje hasło i będzie próbował się zalogować. Możesz również zapłacić 30 dolarów, a wtedy PayPal wyśle Ci specjalne urządzenie wielkości Twojej karty kredytowej, które będzie generowało specjalne kody. Po naciśnięciu jednego przycisku otrzymasz jednorazowy kod dostępu – podobnie jak w tokenach stosowanych przez niektóre banki.

Paypal oferuje również możliwość zmiany mechanizmu uwierzytelniania dla klientów korzystających z telefonicznej pomocy technicznej. Numer karty kredytowej jest ustawiony jako domyślny, jednak istnieje opcja ustawienia niezależnego, specjalnego kodu numerycznego. Jest to całkiem rozsądny krok, biorąc pod uwagę wcześniej rozważane zagrożenia.

Poza tym, jak zawsze warto upewnić się, że hasło jest silne oraz że konto jest podłączone Twojego urządzenia mobilnego, dzięki czemu PayPal może wysłać Ci powiadomienie, gdy pojawią się próby zmiany hasła lub podejrzane logowania.

TWITTER

Zrzut ekranu 2014-03-06 o 16.35.30

Tradycyjnie warto, abyś ustawił silne hasło i skorzystał z funkcji dwuetapowej weryfikacji. Synonimem dwuetapowej weryfikacji na serwisie Twitter jest „weryfikacja logowania”.

Zaleca się również włączenie funkcji, która wymaga podania danych osobowych, gdy chcesz zmienić/zresetować hasło. Poza tym, warto włączyć powiadomienia wysyłane drogą elektroniczną lub SMS-ową, gdy ktoś o Tobie wspomni lub przekaże tweety dalej. W przypadku, gdy ktoś przejmie Twoje konto i zacznie zasypywać innych spamem lub wysyłać tweety z przekierowaniem na szkodliwe strony, zapewne Twoi przyjaciele i obserwujący napiszą do Ciebie w tej kwestii. Jest to przypadek, o którym zapewne chciałbyś zostać poinformowany błyskawicznie, tak aby rozwiązać ten problem najszybciej jak się da.

Zawsze powinieneś kontrolować listę aplikacji, które są połączone z Twoim twitterowym kontem, aby mieć pewność, że wyraziłeś zgodę na wszystkie pozycje. Ponadto, jeżeli znajdą się tam aplikacje, z których już nie korzystasz, warto je „odciąć” od konta. Takie porzucone aplikacje stanowią otwartą furtkę do włamania na Twoje konto na Twitterze.

FACEBOOK

Podobne schematy znajdziemy również na Facebooku Przede wszystkim, powinieneś skorzystać z możliwości włączenia funkcji bezpiecznego przeglądania stron internetowych. Uruchom funkcję powiadomień o próbach logowania z nierozpoznanych przeglądarek. Włącz dodatkową opcję „zatwierdzania logowania”, która jest tożsama z dwuetapową weryfikacją.

Zrzut ekranu 2014-03-06 o 16.36.52

Polega ona na wysłaniu przez serwis Facebook, specjalnego kodu na urządzenie mobilne, gdy ktoś próbuję się zalogować z nowego miejsca. Kolejną funkcjonalnością, którą warto rozważyć, to „generator kodów” będący po prostu innym wariantem podwójnej weryfikacji. Zamiast otrzymania kodu w postaci wiadomości SMS, logujesz się poprzez specjalną aplikację Facebooka, którą wcześniej instalujesz na swoim telefonie, a ona generuje specjalny kod dostępu dla Ciebie. Inaczej niż w przypadku Google, Facebook posiada specjalną funkcję, która pozwala na ustalenie zaufanych przyjaciół. Jest to jedna z alternatyw na odzyskanie dostępu do swojego konta w chwilach cyberzagrożenia. Dzięki tej funkcji jesteś zabezpieczony w razie utraty dostępu do swojego konta e-mail, które mogłoby posłużyć do zresetowania hasło po wykryciu ataku. Standardową, finalna poradą w kwestii Facebooka, jest uważne śledzenie swoich aktywnych sesji, aby upewnić się, że wszystkie z nich zostały zainicjowane przez Ciebie. Pamiętaj również aby sprawdzić, czy wszystkie „zaufane urządzenia”, które znajdują się w tej sekcji, mają prawo tam się znaleźć.

MICROSOFT (XBOX LIVE)

Kolejną już usługą, której warto poświęcić więcej uwagi jest Xbox Live, zwłaszcza jeżeli weźmiemy pod uwagę zwiększone możliwości sieciowe najnowszej konsoli Microsoftu – Xbox One. Nie miałem jeszcze szansy grzebać w najnowszej konsoli, jednak jestem wieloletnim użytkownikiem usługi Live na modelu 360. Jeżeli zalogujesz się do swojego konta Xbox Live za pomocą przeglądarki internetowej, będziesz miał możliwość ustawienia dwuetapowej weryfikacji, skonfigurowania e-maila do odzyskiwania haseł, a także wybrania, w jakich przypadkach chcesz otrzymywać powiadamiania dotyczące bezpieczeństwa. Wszystkie wymienione środki bezpieczeństwa są ważne, aby zapewnić sobie spokojne korzystanie z konta Xbox Live, zwłaszcza, że często te konta zawierają informacje dotyczące karty płatniczej.