Η μεγαλύτερη κλοπή στοιχείων στο διαδίκτυο ...ΕΓΙΝΕ!

Στοιχεία 77 εκατομμυρίων λογαριασμών χρηστών και αντίστοιχα πιθανώς στοιχεία πιστωτικών καρτών έκαναν φτερά και άλλαξαν χέρια. Μήπως είστε ένας χρήστης από αυτούς;

Στις μέρες μας, οι ανακοινώσεις πως το δίκτυο της τάδε εταιρίας έπεσε θύμα χάκερς ή πως άγνωστοι απέκτησαν μη εξουσιοδοτημένη πρόσβαση στα στοιχεία πελατών της δείνα εταιρίας, έχουν αρχίσει να αποτελούν ανακοινώσεις κλισέ. Ας αναρωτηθούμε όμως για τους λόγους που οδηγούν σε αυτές τις καταστάσεις, παίρνοντας για παράδειγμα την πιο πρόσφατη παραβίαση, ίσως και τη μεγαλύτερη μέχρι στιγμής, στο Playstation Network της Sony.

Στις 17-19 Απριλίου 2011, παραβιάστηκε το online δίκτυο της Sony, με αποτέλεσμα να υποκλαπούν προσωπικά στοιχεία και πιθανώς στοιχεία πιστωτικών καρτών των  77 εκατομμυρίων λογαριασμών χρηστών. Διαβάζοντας την είδηση στο Reuters, θα ήθελα να σταθώ σε μερικά σημεία του κειμένου, που δείχνουν ξεκάθαρα την αναγκαιότητα ορισμένων καθημερινών πρακτικών ασφάλειας.

Η εταιρία ανακοίνωσε πως μεταξύ 17 και 19 Απριλίου, παραβιάστηκαν οι πληροφορίες λογαριασμών χρηστών του Playstation Network και της υπηρεσίας Quriocity. (The company said user account information for the PlayStation Network and its Quriocity service users was compromised between April 17 and April 19.)

Sony NetworkΠροφανώς με το user account information εννοούν πως, μεταξύ άλλων, εκλάπησαν και τα usernames/passwords των χρηστών. Είναι προφανές επίσης πως αν κάποιος χρήστης χρησιμοποιεί το ίδιο username/password και για άλλες υπηρεσίες (όπως π.χ. σε email accounts, skype accounts, VoIP accounts κ.λπ., κ.λπ.), οι Hackers θα έχουν αντίστοιχα πρόσβαση και σε αυτές. Επειδή το Username/Password ταυτοποιεί τον χρήστη, οι πιθανές παράνομες ενέργειες που θα γίνουν από τους Hackers με τα κλεμμένα στοιχεία, θα βαρύνουν τους αυθεντικούς χρήστες.

Ο Peller ισχυρίστηκε πως η Sony μάλλον δεν έδωσε αρκετή σημασία στα θέματα ασφάλειας, όταν ανέπτυσε το software που εκτελείται στο δίκτυό της. (Paller said Sony probably did not pay enough attention to security when it was developing the software that runs its network.)

Η ασφάλεια ενός υπολογιστικού συστήματος είναι κάτι που κάνουμε κατά την εγκατάστασή του κι όχι κάτι που θα κάνουμε αργότερα. Επίσης, όταν γράφουμε κάποιο πρόγραμμα, το πρώτο μας μέλημα δεν θα πρέπει να είναι μόνο το να λειτουργήσει, αλλά και να λειτουργήσει σε συνεργασία και υπό τους περιορισμούς των συστημάτων ασφαλείας που ενδεχομένως υπάρχουν. Ποτέ δεν απενεργοποιούμε ένα σύστημα ασφαλείας σε μόνιμη βάση! Ποτέ δε γράφουμε ένα πρόγραμμα, για να λειτουργήσει το οποίο θα πρέπει να απενεργοποιήσουμε κάποιο σύστημα ασφάλειας σε μόνιμη ή έστω περιστασιακή βάση!

Υποπτεύεται πως οι χάκερς απέκτησαν πρόσβαση στο δίκτυο, καταλαμβάνοντας τον Η/Υ ενός διαχειριστή ο οποίος είχε δικαιώματα πρόσβασης σε ευαίσθητες πληροφορίες πελατών της Sony. Πιθανολογείται πως έστειλαν στον εν λόγω διαχειριστή ένα email που περιείχε κακόβουλο λογισμικό, το οποίο κατέβηκε τοπικά κι εκτελέστηκε στον υπολογιστή του/της.

Ποτέ δεν θα είναι αρκετές φορές που θα τονίσω πως ο λογαριασμός ενός χρήστη με δικαιώματα διαχειριστή, πρέπει να χρησιμοποιείται μόνο για διαχείριση και για κανέναν άλλο λόγο! Κανένας λογαριασμός χρήστη υπολογιστικού συστήματος δεν πρέπει να έχει δικαιώματα διαχειριστή (Αdministrator). Οι ενέργειες που απαιτούν αυξημένα δικαιώματα θα πρέπει να γίνονται από ξεχωριστό λογαριασμό, δημιουργημένο αποκλειστικά για αυτό το σκοπό. Ποτέ δεν θα είναι αρκετές φορές που θα τονίσω πως κάθε λογαριασμός χρήστη θα πρέπει να συνοδεύεται από έναν επαρκή κωδικό κι όχι κάποιον που θα είναι εύκολο να μαντέψει κάποιος (π.χ. ημερομηνία γέννησης, το όνομα του χρήστη, επισφαλείς κωδικούς όπως 1234 κ.λπ.).

Αν πιστεύετε πως τα παραπάνω θα έπρεπε να εφαρμόζονται από μεγάλες εταιρίες αλλά είναι υπερβολικά για εσάς, πως θα σας φαινόταν αν:

  • Ο λογαριασμός σας στο Skype ή σε κάποια άλλη υπηρεσία VoIP έπεφτε θύμα χακερς κι εξανεμίζονταν τα χρηματικά ποσά που είχατε στη διάθεσή σας για να κάνετε τηλεφωνικές κλήσεις; 
  • Αν οι παραπάνω κλήσεις αποδεικνυόταν αργότερα πως σχετίζονται με παράνομες ενέργειες;  
  • Κάποιος έσπαγε τον κωδικό του email σας, παρακολουθώντας την προσωπική σας αλληλογραφία; 
  • Αν αποκτώντας πρόσβαση στην αλληλογραφία σας, στη συνέχεια αποκτούσε και πρόσβαση στον προσωπικό σας υπολογιστή κι επειδή χρησιμοποιείτε λογαριασμό με δικαιώματα διαχειριστή κατάφερνε να εγκαταστήσει λογισμικό (όπως εικάζεται για την περίπτωση της Sony) το οποίο θα είχε πρόσβαση στα (ενδεχομένως διαβαθμισμένα) έγγραφα σας, αποστέλλοντας τα παράλληλα σε κάποιον server στο internet; 
  • Κατόπιν των παραπάνω, εμφανιζόσασταν να έχετε προχωρήσει σε αγορές ή πωλήσεις χρηματιστηριακών τίτλων ή να έχετε μεταφέρει χρηματικά ποσά σε λογαριασμούς τρίτων; 
  • Με την πρόσβαση του χάκερ στον υπολογιστή σας, εγκαταστάθηκε λογισμικό που μετέτρεπε τον υπολογιστή σας σε κόμβο ανταλλαγής παιδικής πορνογραφίας ή άλλου απαγορευμένου περιεχομένου;

PlaystationΓια όλες τις παραπάνω περιπτώσεις, που σίγουρα δεν αποτελούν πλήρη λίστα των κακόβουλων ενεργειών, πως θα αποδεικνύατε πως δεν είσαστε εσείς που τις πραγματοποιήσατε, αφού θα έχουν γίνει από τον υπολογιστή σας και με χρήση των κωδικών σας;

Ακριβώς για τον ίδιο λόγο που δεν θα αφήνατε τα κλειδιά του αυτοκινήτου ή της μηχανής στο πεντάχρονο παιδί σας (δικαίωμα χρήσης επί επικίνδυνων αντικειμένων), θα πρέπει να αφαιρείτε και το δικαίωμα (πιθανής) διαχειριστικής χρήσης των συστημάτων σας από τρίτους, κάνοντας χρήση ενός λογαριασμού χρήστη κι όχι ενός λογαριασμού διαχειριστή στους υπολογιστές σας.

Ακριβώς για τον ίδιο λόγο που δεν αφήνετε τις πόρτες και τα παράθυρα ανοικτά, δε θα πρέπει να απενεργοποιείτε ένα σύστημα ασφάλειας στους υπολογιστές σας. Είναι οξύμωρο από τη μια πλευρά να εγκαθιστούμε κάμερες, πόρτες ασφαλείας και συστήματα συναγερμού, και από την άλλη να απενεργοποιούμε τα ήδη υπάρχοντα συστήματα ασφαλείας του υπολογιστή μας, ή να δεχόμαστε τον κάθε άγνωστο μέσα σε αυτόν (email attachment, λήψη κάποιου προγράμματος που λέει ότι κάνει τη Χ δουλειά αλλά δεν το έχουμε ψάξει παραπάνω, κ.λπ., κ.λπ.). Λάβετε σοβαρά την ασφάλεια του Υπολογιστή σας!

Τι πρέπει να κάνετε

  • Αν χρησιμοποιείτε εύκολους κωδικούς, αλλάξτε τους
  • Αν χρησιμοποιείτε τους ίδιους κωδικούς για διαφορετικές υπηρεσίες, αλλάξτε τους (πολύ χρήσιμο πρόγραμμα για αποθήκευση κωδικών είναι το Keepass)
  • Αν χρησιμοποιείτε λογαριασμό διαχειριστή στον υπολογιστή σας ή στο Domain σας για τις καθημερινές εργασίες, σταματήστε
  • Αν χρησιμοποιείτε απαρχαιωμένο λογισμικό, αντικαταστήστε το
  • Αν δεν αισθάνεστε άνετα με τις γνώσεις σας, όσον αφορά την ασφάλεια υπολογιστικών συστημάτων, αναζητήστε συμβουλές ή εκπαίδευση
  • Αν αντιλαμβάνεστε την αναγκαιότητα των μέτρων διαφύλαξης της Online ασφάλειάς σας, συζητήστε /τονίστε τα με φίλους και γνωστούς σας
  • Αν έχετε έστω και βασικές γνώσεις, όσον αφορά την ασφάλεια των υπολογιστικών συστημάτων, εκπαιδεύστε και τους φίλους / γνωστούς σας

.... γιατί δε θα καίγεται πάντα το μαγαζί του γείτονα!

   Αντώνης Τσακούμης
   Μηχανικός Η/Υ και Δικτύων

ΜΟΙΡΑΣΤΕΙΤΕ ΑΥΤΟ ΤΟ ΑΡΘΡΟ

ΤΕΧΝΙΚΕΣ ΕΚΔΟΣΕΙΣ ΙΔΕΕΑ

ΕΠΙΚΟΙΝΩΝΙΑ

Εφημερίδα
Το Συνεργείο του Αυτοκινήτου

 

Σαρανταπόρου 70
Χαλάνδρι, 15231 - Χάρτης

 

Τ 210 2825611, 210 6754419
F 210 2842420

 

info@tosynergeio.gr

 

 

Social Media

facebook logored gplus red YouTube redr Twitter