Στον αέρα η ασφάλεια των ιστοσελίδων

Οταν χάκερ εισέβαλαν στους σέρβερ της Sony τον Ιούνιο, έστρεψαν την προσοχή σε ένα από τα πιο βασανιστικά προβλήματα ασφαλείας του Διαδικτύου: τα passwords. Ανακαλύπτοντας πως ένα εκατομμύριο κωδικοί χρηστών σε τρεις ιστοσελίδες της Sony ήταν αποθηκευμένοι χωρίς κρυπτογράφηση, οι εισβολείς τους δημοσίευσαν σε μία σελίδα όπου οποιοσδήποτε μπορούσε να τους δει.

Ο Τρόι Χαντ, ειδικός σε θέματα διαδικτυακής ασφάλειας, ανέλυσε το φάκελο με τους κωδικούς και βρήκε πως οι μισοί από αυτούς μπορούν να θεωρηθούν ευάλωτοι επειδή είχαν μικρό βαθμό τυχαιότητας – περιείχαν μόνο μικρά γράμματα, μόνο κεφαλαία ή μόνο αριθμούς.

Περισσότεροι από το ένα τρίτο μπορούσαν να βρεθούν σε ένα λεξικό και επομένως να μαντευτούν εύκολα από ένα password cracker, ένα εργαλείο που δοκιμάζει με μεγάλη ταχύτητα διαφορετικούς συνδυασμούς μυστικών λέξεων. Οι μισοί από τους κωδικούς περιείχαν λιγότερους από επτά χαρακτήρες. Τέλος, ο ερευνητής βρήκε 90 λογαριασμούς e-mails οι οποίοι υπήρχαν και σε ένα άλλο αρχείο με password που είχαν διαρρεύσει, από το Gawker.com, και ανακάλυψε πως περίπου τα δύο τρίτα αυτών των χρηστών είχαν τον ίδιο κωδικό και στους δύο ιστότοπους.

Το Διαδίκτυο βασίζεται στα passwords, και κάθε χρήστης έχει συνήθως αρκετούς λογαριασμούς που προστατεύονται από αυτά. Όμως όπως έδειξαν τα περιστατικά με τη Sony και το Gawker, οι χρήστες συχνά χρησιμοποιούν κωδικούς που είναι εύκολο να παραβιαστούν και μετά τους χρησιμοποιούν και σε άλλους λογαριασμούς.

«Μακάρι να υπήρχε μία απλή και πρακτική λίστα με οδηγίες για τους χρήστες», λέει ο Κόρμακ Χέρλι, προγραμματιστής, ο οποίος εργάζεται στη Microsoft Research. «Δυστυχώς, νομίζω πως ούτε εγώ ούτε κανένας δεν μπορούμε να δώσουμε τις σωστές οδηγίες αυτή τη στιγμή. Τα τελευταία δέκα χρόνια, όσοι ασχολούνται με την ασφάλεια ιστοσελίδων υπέθεταν πως τα passwords θα είχαν αντικατασταθεί από κάποιο άλλο μέτρο ασφαλείας, αυτό όμως δεν συνέβη».

Αντίθετα, οι λογαριασμοί που προστατεύονται από password έχουν πολλαπλασιαστεί. Ενα πρόγραμμα για τη διαχείριση των κωδικών θα μπορούσε να αποτελέσει μία λύση, όμως κι αυτή έχει τα δικά της μειονεκτήματα. Κάποιος που θα καταφέρει να μπει στον υπολογιστή του θύματος θα αποκτήσει πρόσβαση στους κωδικούς για κάθε λογαριασμό του.

Η κατάσταση μοιάζει χειρότερη όταν αναλογιστεί κανείς πως ακόμα και η αντίληψή μας περί ισχυρών και αδύναμων passwords μπορεί να είναι ελαττωματική. Σε μία πρόσφατη μελέτη, ερευνητές από το πανεπιστήμιο της Φλόριντα, τη Redjack και τη Cisco Systems, βρήκαν πως η δύναμη ενός κωδικού -δηλαδή πόσο τυχαίοι είναι οι χαρακτήρες του- δεν έχει ιδιαίτερη σημασία. Οι crackers κωδικών ακολουθούν συγκεκριμένες στρατηγικές, πρώτα ψάχνουν λέξεις που υπάρχουν στο λεξικό, μετά βάζουν αριθμούς στις λέξεις αυτές και μετά συνδυάζουν λέξεις μεταξύ τους. Οι ερευνητές βρήκαν πως τα εργαλεία που χρησιμοποιούν οι εισβολείς έχουν μεγάλη επιτυχία στο να μαντεύουν κωδικούς – βρίσκουν σχεδόν το 20% των κωδικών για επτά χαρακτήρες ή περισσότερους σε περίπου 10.000 προσπάθειες.

Οι ερευνητές υποστηρίζουν πως η ανάλυση της ισχύος των κωδικών δεν λαμβάνει υπόψη το χρόνο που θα αφιερώσει ο εισβολέας για να «σπάσει» τον κωδικό. Σύμφωνα με τον ερευνητή Ματ Γουέρ, έναν από τους συντάκτες της μελέτης, το αποτέλεσμα είναι πως μία εταιρεία που αναλύει την τυχαιότητα των κωδικών στην ιστοσελίδα της μπορεί να έχει «μία υπερβολικά αισιόδοξη άποψη για την ασφάλεια που παρέχει η διαδικασία δημιουργίας κωδικών που προτείνουν».

Σημαίνει επίσης πως το να αναγκάζεις τους υπαλλήλους να αλλάζουν συστηματικά τους κωδικούς τους μπορεί να μη λύνει τελικά κανένα πρόβλημα. Αντίθετα, μπορεί να αυξάνει τις πιθανότητες οι εργαζόμενοι να ξαναχρησιμοποιήσουν τον κωδικό και σε άλλες ιστοσελίδες, το οποίο σημαίνει πως αν κλαπεί ο ένας κωδικός θα θέσει σε κίνδυνο και άλλους λογαριασμούς. Και παρότι τα μεγάλα δίκτυα και οι ιστοσελίδες online αγορών συνήθως κλειδώνουν όσους επιχειρήσουν να εισαγάγουν πολλούς διαφορετικούς κωδικούς στη σειρά, οι χάκερ δεν έχουν αυτόν τον περιορισμό από τη στιγμή που αποκτήσουν εσωτερική πρόσβαση στο αρχείο που κρυπτογραφούνται οι κωδικοί πριν αποθηκευτούν.

Λόγω αυτών των ελαττωμάτων, οι ειδικοί σε θέματα ασφαλείας λένε πως οι εταιρείες που ενδιαφέρονται πραγματικά για την ασφάλεια δεν πρέπει να βασίζονται μόνο στα passwords. Η χρήση συσκευών ή λογισμικού που παράγουν έναν ξεχωριστό κωδικό σε κάθε σύνδεση, για παράδειγμα, αναγκάζει τον εισβολέα είτε να κλέψει τη συσκευή ή να κάνει μια άμεση επέμβαση τροποποιώντας τη σύνδεση μεταξύ του θύματος και του παροχέα της υπηρεσίας κατά τη διάρκεια της συναλλαγής. Τέτοιες επιθέσεις συμβαίνουν πιο σπάνια αλλά είναι πιθανές – χάκερ έχουν χρησιμοποιήσει ιούς τύπου Trojan, όπως ο Zeus, για να κλέψουν εκατομμύρια δολάρια από εταιρείες και οργανισμούς που χρησιμοποιούν μόνο τέτοιες τεχνικές – όμως η τεχνολογία απαιτεί από τους εισβολείς να καταβάλλουν περισσότερη προσπάθεια.

Αναδημοσίευση άρθρου “Password: Λίαν ευάλωτοι κωδικοί” από Ελευθεροτυπία, 11/9/2011

Σχετικά με eSafety

Για κάθε γονιό έρχεται κάποτε η στιγμή που συνειδητοποιεί ότι η σχέση του παιδιού του με το Διαδίκτυο ξεπερνάει κατά πολύ όσα ο ίδιος έχει -ή δεν έχει- συζητήσει μαζί του. Λίγο αργότερα, όσο μεγαλώνει, φτάνει και η στιγμή που ίσως να στερείται απαντήσεων στις απορίες του. Για τους εκπαιδευτικούς τα πράγματα είναι ακόμη πιο σύνθετα, καθώς όσοι/ες έχουν σχέση με την τεχνολογία χρησιμοποιώντας ψηφιακά εργαλεία, καλούνται όλο και πιο συχνά να γεφυρώσουν το χάσμα της ενημέρωσης που αφήνει η πιθανή άγνοια της οικογένειας και του μεγαλύτερου μέρους της σχολικής κοινότητας. Το Πανελλήνιο Σχολικό Δίκτυο, μέσω του επίσημου κόμβου internet-safety.sch.gr, στοχεύει στην ενημέρωση μαθητών, εκπαιδευτικών και γονιών σε θέματα ασφαλούς πλοήγησης στο Διαδίκτυο. Μέσα από το site παρέχει εργαλεία και υλικό τα οποία βοηθούν στην καλλιέργεια μιας πιο ώριμης κουλτούρας αντιμετώπισης πιθανών κινδύνων στο Διαδίκτυο.


Περισσότερες πληροφορίες
Κατηγορίες: Γενικά. Ετικέτες: , , , . Προσθήκη στους σελιδοδείκτες.