Uzyskaj dostęp do tej i ponad 60000 książek od 6,99 zł miesięcznie
Każdy twój ruch w sieci jest monitorowany i zapisywany, a twoja prywatność nieustannie zagrożona. Potężne korporacje oraz rządy chcą wiedzieć, co robisz, i odpowiednio to wykorzystać. Prywatność to dziś luksus, na który niewielu z nas może sobie pozwolić.
Kevin Mitnick uczy sztuki bycia niewidzialnym w sieci, dzięki której będziesz mógł chronić siebie i swoje rodziny.
• Stwórz odporne na złamanie hasło
• Dowiedz się, czego nie należy robić na biurowym komputerze, drukarce czy innym urządzeniu firmowym
• Naucz się rozpoznawać zainfekowane e-maile i ataki phishingowe
• Zabezpiecz dostęp do swojego komputera, telefonu, routera, a nawet drukarki
• Naucz się bezpiecznie korzystać z otwartych sieci Wi-Fi w miejscach publicznych
• Skorzystaj z zaawansowanych technik umożliwiających zachowanie maksymalnej anonimowości w sieci
Ebooka przeczytasz w aplikacjach Legimi na:
Liczba stron: 417
Odsłuch ebooka (TTS) dostepny w abonamencie „ebooki+audiobooki bez limitu” w aplikacjach Legimi na:
Tytuł oryginalny: The Art of Invisibility. The world’s most famous hacker teaches you how to be safe in the age of big brother and big data
Autorzy: Kevin Mitnick i Robert Vamosi
Tłumaczenie: Regina Mościcka
Redakcja: Ewa Biernacka
Korekta: Małgorzata Jasińska
Skład: Marek Strypling
Opracowanie techniczne okładki: Marta Krzemień-Ojak
Przygotowanie eBooka: Jarosław Jabłoński
Redaktor prowadząca: Barbara Walus
Redaktor naczelna: Agnieszka Hetnał
Copyright for the Polish edition © Wydawnictwo Pascal
This edition published by arrangement with Little, Brown and Company, New York, New York, USA. All rights reserved.
Wszelkie prawa zastrzeżone. Żadna część tej książki nie może być powielana lub przekazywana w jakiejkolwiek formie bez pisemnej zgody wydawcy, za wyjątkiem recenzentów, którzy mogą przytoczyć krótkie fragmenty tekstu.
Bielsko-Biała 2017
Wydawnictwo Pascal sp. z o.o.
ul. Zapora 25
43-382 Bielsko-Biała
tel. 338282828, fax 338282829
pascal@pascal.pl
www.pascal.pl
ISBN 978-83-8103-140-0
Mojej kochanej mamie Shelly Jaffe oraz babci Rebie Vartanian
Mikko Hypponen
Kilka miesięcy temu spotkałem kolegę z liceum, którego nie widziałem od tamtych czasów. Poszliśmy na kawę, żeby porozmawiać o tym, czym zajmowaliśmy się przez minione lata. Dowiedziałem się, że mój znajomy zajmuje się sprzedażą i serwisowaniem nowoczesnej aparatury medycznej. Ja z kolei opowiedziałem mu o swojej pracy, w której od ponad dwudziestu pięciu lat zajmuję się bezpieczeństwem i prywatnością w sieci. Na „prywatność w internecie” parsknął śmiechem. „To pięknie brzmi — stwierdził — ale niewiele mnie obchodzi. Przecież nie jestem przestępcą i nie robię niczego złego. Dlaczego miałbym się przejmować, że ktoś mnie śledzi w internecie?”.
To wytłumaczenie mnie zasmuciło. Nie pierwszy raz słyszałem podobne argumenty od osób, które sądzą, że nie mają niczego do ukrycia, że tylko przestępcy powinni się martwić o swoje bezpieczeństwo, a szyfrowaniem danych zajmują się wyłącznie terroryści. Wielu z nas uważa, że nie ma potrzeby bronić swoich praw. Tymczasem wręcz należy to robić. Prywatność to jedno z podstawowych praw człowieka, które zapisane jest w powszechnej deklaracji praw człowieka ONZ z 1948 roku.
Skoro potrzebę poszanowania prawa do prywatności zauważono już prawie siedemdziesiąt lat temu, tym bardziej trzeba je chronić dzisiaj, w czasach pierwszego pokolenia w historii ludzkości, którego każdy krok można śledzić. Praktycznie na przestrzeni całego życia jesteśmy monitorowani, a nasza komunikacja podglądana, i to na różne sposoby. Stało się faktem, że nieustannie nosimy przy sobie urządzenia pozwalające śledzić każdy nasz ruch. I nie są to lokalizatory, lecz smartfony.
Dzięki monitoringowi w sieci wiadomo, jakie książki kupujesz i jakie czytasz artykuły, a nawet, które fragmenty lektury najbardziej cię zainteresowały. Wiadomo, dokąd i z kim podróżujesz. Czy jesteś chory, smutny czy może myślisz o seksie. Dane te są zbierane dziś głównie w celach reklamowych. Firmy oferujące darmowe usługi w rzeczywistości zarabiają na nich miliardy. To najlepiej świadczy o tym, na jak ogromną skalę tworzone są profile użytkowników internetu. Istnieje jednak jeszcze inny, bardziej wyspecjalizowany rodzaj monitoringu w sieci — ten agencji rządowych, krajowych i zagranicznych.
Wprawdzie komunikacja cyfrowa umożliwia rządom masowe gromadzenie danych i inwigilację, ale jednocześnie pozwala nam lepiej zadbać o swoje bezpieczeństwo. Możemy w tym celu używać narzędzi do szyfrowania danych, bezpiecznie je przechowywać, a także stosować podstawowe zasady bezpieczeństwa operacyjnego (OPSEC). Trzeba tylko wiedzieć, jak się do tego mądrze zabrać.
Właśnie w tym ma pomóc ta książka. Bardzo mnie cieszy, że Kevin znalazł czas na podzielenie się swoją wiedzą na temat sztuki bycia niewidzialnym w sieci. Kto jak kto, ale on naprawdę ma na ten temat niejedno do powiedzenia. Zachęcam do wykorzystania cennych rad i wskazówek Kevina na temat ochrony prywatności.
Wracając do mojego spotkania z dawnym kolegą — dopiliśmy kawę, pożegnaliśmy się i każdy z nas poszedł w swoją stronę. Żegnając się z nim, życzyłem mu wszelkiej pomyślności, choć nadal słyszałem jego słowa: „Dlaczego miałbym się przejmować, że ktoś mnie śledzi w internecie?”. Może i nie masz niczego do ukrycia, przyjacielu, ale masz mnóstwo rzeczy, które wymagają ochrony.
Mikko Hypponen pracuje jako główny specjalista ds. bezpieczeństwa w firmie F-Secure. Występował między innymi na konferencjach DEFCON [coroczny zlot hakerów w Las Vegas] i TED [Technology, Entertainment and Design — Technologia, Rozrywka i Design].
Czas zniknąć
Prawie dwa lata po tym, jak Edward Joseph Snowden, pracownik firmy Booz Allen Hamilton, ujawnił pakiet tajnych materiałów amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA), brytyjski komik John Oliver, gwiazda telewizji HBO, przeprowadził na nowojorskim Times Square sondę uliczną dla potrzeb swojego programu, który dotyczył zagadnień prywatności i inwigilacji w sieci. Zadał przypadkowym przechodniom dwa proste pytania: kim jest Edward Snowden i z czego jest znany1.
Z wyemitowanych przez Olivera materiałów wynikało, że nikt z ankietowanych nie potrafił udzielić poprawnej odpowiedzi. Kilka osób przyznało, że nazwisko to jest im znane, ale z niczym im się nie kojarzyło. Nikt nie pamiętał, że Edward Snowden jako pracownik kontraktowy NSA skopiował tysiące ściśle tajnych i poufnych dokumentów, które następnie przekazał dziennikarzom do upublicznienia. Oliver mógł zakończyć swoją część programu na temat masowej inwigilacji społeczeństwa pesymistyczną konkluzją. Z jego sondy wynikało, że choć tę sprawę przez dłuższy czas nagłaśniano w mediach, Amerykanie tak naprawdę nie przywiązują większej wagi do tego, że ich rząd szpieguje obywateli. Jednak prezenter zdecydował się na inne rozwiązanie. Wybrał się do Rosji, gdzie Snowden otrzymał azyl tymczasowy, by przeprowadzić z nim wywiad2.
Pierwsze pytanie, jakie dziennikarz zadał mu w Moskwie, brzmiało: „Co zamierzałeś osiągnąć, upubliczniając owe tajne materiały?”. Snowden odpowiedział, że przede wszystkim chciał powiadomić cały świat o praktykach NSA, o gromadzeniu danych niemal o każdym amerykańskim obywatelu. Kiedy Oliver pokazał mu wyniki sondy przeprowadzonej na Times Square, z której wynikało, że nikt z przechodniów go nie zna, Snowden odparł: „Cóż, wszystkich nie da się poinformować”.
Dlaczego nie jesteśmy dziś bardziej zorientowani w kwestiach ochrony prywatności, które poruszał Snowden i o podobnych przekonaniach? Jak to możliwe, że nie obchodzi nas, że agencja rządowa podsłuchuje prywatne rozmowy telefoniczne i ma wgląd w nasze e-maile i SMS-y? Powodem najprawdopodobniej jest to, że NSA nie ma bezpośredniego wpływu na życie większości z nas. Krótko mówiąc, nie postrzegamy prowadzonej przez nią inwigilacji jako bezpośredniej ingerencji w naszą prywatność.
Z badania przeprowadzonego na Times Square wynika, że Amerykanie troszczą się o swoją prywatność, ale dopiero wtedy, gdy odczuwają jej naruszenie na własnej skórze. Oprócz pytań o Snowdena, Oliver chciał też na przykład poznać opinię przechodniów na temat tajnego (w rzeczywistości fikcyjnego) programu rządowego, zajmującego się gromadzeniem nagich zdjęć obywateli wysyłanych przez internet. W tej kwestii wszyscy ankietowani nowojorczycy byli zgodni — uznali to za niedopuszczalne. Jedna z osób wyjawiła, że sama niedawno wysyłała komuś swoją rozebraną fotkę.
Wszyscy przechodnie przepytywani na Times Square jednogłośnie twierdzili, że amerykańscy obywatele powinni mieć prawo do swobodnej wymiany informacji w sieci, nawet nagich zdjęć, z poszanowaniem ich prywatności.
Dokładnie to chciał nam uświadomić Snowden.
Pomysł z nieistniejącym programem rządowym, gromadzącym nagie zdjęcia Amerykanów, bynajmniej nie jest aż tak nieprawdopodobny, jak mogłoby się wydawać. Jak wyjaśnił Snowden w wywiadzie udzielonym Oliverowi, w dużej mierze przyczyniają się do tego firmy, takie jak Google. Ich serwery rozsiane są po całym świecie, i z tego powodu zwykła korespondencja e-mailowa (załóżmy, że z załączonym nagim zdjęciem) między mężem a żoną w obrębie tego samego miasta musi przejść przez zagraniczny serwer. Ponieważ dane te opuszczają granice Stanów Zjednoczonych (choćby na ułamek sekundy), NSA może na mocy ustawy Patriot Act gromadzić i archiwizować takie SMS-y czy e-maile (wraz z załączonymi do nich rozebranymi zdjęciami), ponieważ, z technicznego punktu widzenia, pochodzą one z zagranicznego źródła. Zdaniem Snowdena to dowód na to, iż przeciętni Amerykanie są uwikłani w sieć globalnej inwigilacji, stanowiącą pokłosie ataków terrorystycznych z 11 września 2001 roku. Pierwotnie miała ona przeciwdziałać terroryzmowi, obecnie zaś polega na szpiegowaniu praktycznie wszystkich obywateli, niejako na wszelki wypadek.
Biorąc pod uwagę pojawiające się nieustannie w mediach doniesienia na temat wycieków danych i rządowych kampanii inwigilacyjnych, można by pomyśleć, że kwestie te wzbudzają powszechne oburzenie społeczne. Zważywszy na dynamikę tego zjawiska, skumulowanego na przestrzeni kilku ostatnich lat, obywatele powinni być wstrząśnięci i przerażeni, a nawet organizować protesty uliczne. Tymczasem jest wprost przeciwnie. Większość z nas, w tym pewnie wielu czytelników tej książki, akceptuje, przynajmniej do pewnego stopnia, fakt, że cała nasza komunikacja (rozmowy telefoniczne, SMS-y, e-maile, wpisy na portalach społecznościowych) może być monitorowana przez osoby postronne.
I to frustruje.
Nawet jeśli nie złamałeś nigdy żadnego przepisu, sądzisz, że prowadzisz spokojne, przeciętne życie i czujesz się anonimowy wśród użytkowników sieci, wierz mi — nie jesteś niewidzialny.
Przynajmniej na razie.
Chciałbym tu wyznać, że zawsze fascynowała mnie magia. To pewnie nic dziwnego, bo hakerom przydają się zręczne dłonie. Jedna z najpopularniejszych magicznych sztuczek polega na znikaniu przedmiotów. Cały sekret opiera się na tym, że one wcale fizycznie nie znikają ani nie stają się niewidzialne, ale pozostają ukryte — za zasłoną, w rękawie czy w kieszeni. Krótko mówiąc, znajdują się gdzieś w tle, gdzie nie możemy ich dostrzec.
To samo dotyczy danych osobowych każdego z nas, które w dzisiejszych czasach są gromadzone i przechowywane, często w sposób dla nas niewidzialny. Większość nie ma pojęcia, jak łatwo do nich dotrzeć. Ponieważ sami ich nie widzimy, ulegamy złudzeniu, że jesteśmy niewidoczni dla byłych partnerów, rodziców, szkół, szefów czy pracowników agencji rządowych.
Tymczasem wystarczy, że ktoś wie, gdzie szukać, a wszelkie tego typu informacje stają się dostępne prawie dla każdego.
Za każdym razem, gdy występuję przed większym audytorium, wśród słuchaczy znajdzie się co najmniej jedna osoba nastawiona do tego sceptycznie. Jak pewna krytycznie odnosząca się do moich idei dziennikarka.
Siedzieliśmy w hotelowym barze w jednym z większych amerykańskich miast. Oznajmiła mi, że nigdy w życiu nie padła ofiarą kradzieży swoich danych osobowych. Stwierdziła, że jest na tyle młoda, że nie zdążyła się jeszcze niczego większego dorobić, więc jej dane nie znalazły się w nazbyt wielu miejscach w sieci. Nigdy nie ujawniała informacji o życiu prywatnym w artykułach czy w mediach społecznościowych, używanych przez nią jedynie do celów zawodowych. Z tych wszystkich powodów uważała się za niewidzialną w sieci. Poprosiłem, by pozwoliła mi wyszukać w internecie jej numer ubezpieczenia oraz inne dane osobowe. Niechętnie na to przystała.
Siedząc obok, zalogowałem się na stronę przeznaczoną dla prywatnych detektywów. Zaliczam się do nich z powodu pracy, która polega na wyjaśnianiu przypadków włamań hakerskich na świecie. Znałem nazwisko dziennikarki. Poprosiłem ją o adres zamieszkania. Ale nawet gdyby mi go nie podała, mogłem sam bez problemu wyszukać go w sieci.
W ciągu paru minut znałem nie tylko jej numer ubezpieczenia, ale i miejsce urodzenia, a nawet panieńskie nazwisko jej matki. Odnalazłem wszystkie adresy, pod którymi kiedykolwiek mieszkała, oraz wszystkie jej dawne numery telefonów. Wpatrując się w ekran komputera, zaskoczona dziennikarka potwierdziła wiarygodność wszystkich tych informacji.
Strona, którą się posłużyłem, dostępna jest za niewielką miesięczną opłatą abonamentową dla uprawnionych do korzystania z niej firm oraz dla indywidualnych użytkowników. Wszystkie wyszukiwane za jej pośrednictwem informacje są dodatkowo płatne, ponadto co jakiś czas weryfikowane jest prawo użytkownika do gromadzenia tego typu danych. Ale podobne informacje na temat każdego z nas można wyszukać w sieci za naprawdę symboliczną opłatą, do tego zgodnie z prawem.
Czy zdarzyło ci się wypełnić ankietę internetową lub podać swoje dane szkole czy organizacji, która następnie publikuje je w sieci? A może masz dostęp przez internet do swojej sprawy sądowej? Jeśli tak, to dobrowolnie przekazałeś swoje dane osobowe stronie trzeciej, która może z nimi zrobić, co zechce. Jest wielce prawdopodobne, że część z nich, o ile nie wszystkie, przejmą firmy gromadzące dane w celach komercyjnych. Zdaniem organizacji Rights Clearinghouse już ponad 130 tego typu firm zajmuje się wyszukiwaniem informacji, prawdziwych bądź fałszywych, o użytkownikach internetu3.
Druga kategoria to dane, których nie ujawniamy w sieci dobrowolnie, a mimo to są gromadzone zarówno przez korporacje, jak i agencje rządowe. Wiedzą, do kogo dzwonimy, wysyłamy e-maile i SMS-y, czego szukamy w internecie, co kupujemy w sklepach stacjonarnych i internetowych, dokąd podróżujemy. Pakiet danych na temat każdego z nas z każdym dniem się rozrasta.
W pierwszej chwili możesz dojść do wniosku, że nie warto się tym przejmować. Wierz mi: to nieprawda. Mam nadzieję, że po przeczytaniu tej książki, mając znacznie większą wiedzę na ten temat, sam zdecydujesz, że pora w końcu coś z tym zrobić.
Tak naprawdę, od dobrych kilkudziesięciu lat wszyscy ulegamy iluzji, że istnieje coś takiego jak prywatność.
Być może nadejdzie chwila, gdy zaniepokoi nas skala dostępu do naszego życia osobistego, rządów, pracodawców, przełożonych, nauczycieli czy rodziców. Ale ponieważ uzyskiwano go stopniowo — w miarę jak ochoczo przyjmowaliśmy każde cyfrowe udogodnienie w naszym życiu, nie zastanawiając się, jak wpływa na naszą prywatność — coraz trudniej będzie się nam wyrwać z tej pułapki. Poza tym, kto dobrowolnie zrezygnowałby z ulubionych gadżetów?
Największym niebezpieczeństwem w państwie stosującym cyfrową inwigilację obywateli nie jest to, że są gromadzone nasze dane (na to, niestety, nie mamy wpływu), ale to, jak się je wykorzystuje.
Wyobraź sobie jak nadgorliwy prokurator mógłby wykorzystać uzyskane w sieci przypadkowe dane na twój temat, być może pochodzące nawet sprzed kilku lat. W dzisiejszym świecie informacje, często pozbawione realnego kontekstu, żyją własnym życiem praktycznie bez końca. Nawet sam sędzia Sądu Najwyższego Stanów Zjednoczonych Stephen Breyer twierdzi, że „trudno dziś przewidzieć, czy nasze wypowiedzi w sieci nie zostaną w przyszłości uznane przez prokuratora za istotne dla prowadzonego przez niego śledztwa”4. Mówiąc krótko, udostępniona przez kogoś na Facebooku fotka, na której wyraźnie widać, że jesteś pijany, to najmniejsze z twoich zmartwień.
Możesz twierdzić, że nie masz nic do ukrycia, ale czy wiesz to na pewno? W artykule w czasopiśmie „Wired” Moxie Marlinspike, ceniony specjalista ds. bezpieczeństwa, udowadnia, że posiadanie nawet czegoś tak pospolitego jak homar, w Stanach Zjednoczonych może zostać uznane za przestępstwo federalne5. „I nie ma znaczenia, czy kupiłeś go w sklepie spożywczym, czy ktoś ci go dał; jest żywy albo martwy; zginął z przyczyn naturalnych bądź zabiłeś go w samoobronie. Idziesz do więzienia z powodu głupiego homara i kropka”6. A wszystko dlatego, że istnieje wiele drugorzędnych martwych przepisów, które łamiemy całkiem tego nieświadomi. Teraz jednak pozostawiane przez nas ślady w sieci — dostępne na wyciągnięcie ręki dla każdego, kto miałby ochotę je wykorzystać — są brane za twarde dowody.
Pojęcie prywatności dla każdego znaczy coś innego. Są powody, dla których decydujemy się udostępniać pewne informacje osobom postronnym, inne zaś zachowujemy wyłącznie dla siebie. Trudno mieć ochotę przeżywać lęk przed szpiegowaniem nas przez agencję rządową, albo na to, by były partner czytał nasze wpisy w sieci, a pracodawca wiedział coś o naszym życiu rodzinnym.
Dla tak rozmaitych scenariuszy nie oczekujcie ode mnie podania jednej metody chronienia prywatności. Ponieważ każdy z nas ma w tej kwestii inny próg tolerancji, chciałbym przede wszystkim zwrócić uwagę na coś ogólnego — na to, jak w dzisiejszych czasach masowo gromadzone są dane. Potem sam zdecydujesz, które rozwiązanie jest dla ciebie najlepsze.
Moja książka ma za zadanie przede wszystkim zapoznać cię z metodami zachowania prywatności w cyfrowym świecie oraz zaprezentować niezbędne do tego narzędzia. Ponieważ poziom prywatności zależy od indywidualnych potrzeb i predyspozycji, skala bycia niewidocznym w sieci w przypadku każdego z nas również będzie inna.
Chciałbym ci również uświadomić, że każdy z nas bez wyjątku jest obserwowany, zarówno we własnym domu, jak i na ulicy, w kawiarni czy na autostradzie. Twój komputer, telefon, samochód, system alarmowy, a nawet lodówka, to urządzenia, które pozwalają uzyskać dostęp do twojego prywatnego życia.
Spokojnie, nie zamierzam cię straszyć. Chcę cię tylko nauczyć, jak skutecznie przeciwdziałać postępującej utracie prywatności, która we współczesnym świecie stała się już niestety normą.
Z tej książki dowiesz się między innymi, jak:
zaszyfrować i wysłać bezpieczny e-mail,
chronić swoje dane odpowiednimi hasłami,
ukryć swój adres IP na odwiedzanych stronach,
zabezpieczyć komputer przed śledzeniem w sieci,
chronić swoją anonimowość,
oraz wiele innych przydatnych rzeczy, dzięki którym opanujesz sztukę bycia niewidzialnym w sieci.
Hasło można złamać!
Jennifer Lawrence nie cieszyła się długim weekendem we wrześniu 2014 roku. Laureatka Oscara była jedną z wielu celebrytek, których prywatne zdjęcia, w tym również nagie, znalazły się w internecie.
Potraktuj to jako przestrogę i pomyśl o fotkach, które aktualnie przechowujesz w swoim komputerze, komórce czy skrzynce pocztowej. Oczywiście w większości są neutralne. Pewnie nic złego by się nie stało, gdyby nagle cały świat obejrzał sfotografowane przez ciebie zachody słońca, rodzinne imprezy czy nawet selfie z niezbyt twarzową fryzurą. Ale czy naprawdę miałbyś ochotę wszystkim je pokazywać? Jak byś się czuł, gdyby nagle stały się powszechnie dostępne w sieci? Pewnie nie wszystkie twoje zdjęcia są równie nieprzyzwoite, jak te gwiazd, ale przecież dotyczą twojego prywatnego życia. Każdy z nas powinien sam decydować, czy w ogóle chce je udostępniać innym, a jeśli tak, to na jakich zasadach. Niestety, jeśli przechowujesz je w informatycznej chmurze, decyzja ta nie zawsze należy do ciebie.
Tamtego leniwego i sennego długiego wrześniowego weekendu media zdominowała afera z wyciekiem do sieci nagich zdjęć Jennifer Lawrence. W ramach akcji the Fappening ujawniono wówczas także prywatne, często niemal całkiem rozebrane fotki innych gwiazd, takich jak Rihanna, Kate Upton, Kaley Cuoco, Adrianne Curry oraz ponad trzystu innych osób znanych ze świata rozrywki, w większości kobiet. Wykradziono je z ich komórek, a następnie opublikowano w sieci. Co było do przewidzenia, część internautów z ciekawością je obejrzała. Jednak dla wielu osób historia ta stała się smutną przestrogą, że coś podobnego może się przydarzyć każdemu.
Jak ktoś zdobył dostęp do prywatnych fotek Jennifer Lawrence i innych gwiazd?
Ponieważ wszystkie używały iPhone’ów, początkowo zakładano, że spowodował to atak hakerski na usługę Apple iCloud — chmurę, przeznaczoną do przechowywania plików i zdjęć użytkowników komórek. Po wyczerpaniu pamięci w telefonie zdjęcia, nowe pliki, muzyka i gry ładowane są na serwer Apple, zwykle za niewielką miesięczną opłatą subskrypcyjną. Google oferuje podobną usługę dla urządzeń mobilnych z systemem Android.
Firma Apple, która prawie nigdy nie wypowiada się w mediach na temat bezpieczeństwa, stwierdziła, że nie ponosi odpowiedzialności za ten incydent. W wydanym oświadczeniu można było przeczytać, iż „włamania na konta mają związek z atakami nakierowanymi na nazwy użytkownika, hasła i pytania bezpieczeństwa”, a „żaden z badanych przypadków nie jest rezultatem złamania systemów Apple, takich jak iCloud czy Find my iPhone”1.
Rozebrane zdjęcia gwiazd po raz pierwszy pojawiły się na forum hakerskim znanym z publikacji tego typu kompromitujących materiałów2. Prowadzi się na nim otwarte dyskusje na temat narzędzi informatyki śledczej, wykorzystywanych do nielegalnego pozyskiwania informacji. Organy ścigania używają ich do zdobywania dostępu do danych na potrzeby prowadzonego śledztwa, przechowywanych na urządzeniach mobilnych lub w chmurze. Ale oczywiście służą one również do całkiem innych celów.
Na wspomnianym forum omawiano między innymi oprogramowanie przeznaczone do użytku przez organy ścigania i agencje rządowe, które umożliwia dostęp do kont w serwisie iCloud — Elcomsoft Phone Password Breaker (EPPB). To jedno z tego typu narzędzi, najbardziej popularne wśród hakerów. EPPB wymaga od użytkownika znajomości loginu i hasła do konta w iCloud, ale dla użytkowników forum nie stanowiło to, rzecz jasna, żadnego problemu. Jak się okazało, w tamten wrześniowy weekend ktoś wysłał do popularnego serwisu repozytoriów kodów (Github) narzędzie o nazwie iBrute, umożliwiające łamanie haseł do kont praktycznie wszystkich użytkowników iCloud.
Zastosowanie iBrute w połączeniu z EPPB umożliwiło włamywaczowi podszycie się pod danego użytkownika serwisu i ściągnięcie pełnej kopii zapasowej jego iPhone’a na inny nośnik. Usługa archiwizacji jest bardzo przydatna, kiedy wymieniasz komórkę na nową, ale zarazem pozwala zdobyć cenny łup hakerowi. Dzięki niej zyskuje on dostęp do wszystkiego, co kiedykolwiek się w niej znajdowało. W ten sposób dociera do znacznie większej liczby informacji, niż tylko za pomocą zalogowania się na konto swojej ofiary w iCloud.
Jonathan Zdziarski, konsultant w dziedzinie informatyki śledczej i specjalista ds. bezpieczeństwa, w wywiadzie udzielonym miesięcznikowi „Wired” stwierdził, że przypadek kradzieży zdjęć Kate Upton jednoznacznie wskazuje na użycie oprogramowania iBrute i EPPB. Zdobywając dostęp do kopii zapasowej iPhone’a zapisanej w chmurze, haker uzyskuje prywatne dane i informacje, które może potem wykorzystać do szantażowania swojej ofiary3.
W październiku 2016 roku trzydziestoletniego mieszkańca Lancaster w stanie Pensylwania Ryana Collinsa skazano na półtora roku więzienia za „nieuprawniony dostęp do zabezpieczonego komputera w celu pozyskania informacji”, umożliwiający mu włamanie się na ponad 100 kont w iCloud oraz Google4.
Aby skutecznie chronić swoje konto w iCloud lub innym serwisie, należy ustawić odpowiednio silne hasło. Choć wydaje się to oczywiste, to wiele osób, nawet tych piastujących najwyższe stanowiska w potężnych korporacjach, wykazuje się pod tym względem karygodnym lenistwem. Wiem o tym z doświadczenia, pracując jako pentester, czyli ktoś przeprowadzający kontrolowane włamania do sieci komputerowych w celu wyszukania w nich słabych punktów. Przykładowo, taką niefrasobliwością wykazał się dyrektor generalny Sony Entertainment Michael Lynton, który jako hasło do konta domeny ustawił: „sonyml3”. Nic dziwnego, że do jego skrzynki włamali się hakerzy i upublicznili w sieci całą znajdującą się w niej korespondencję, zyskując administracyjny dostęp praktycznie do wszystkich firmowych danych i dokumentów.
Oprócz poczty służbowej, używamy również kont prywatnych, także chronionych hasłem. Gdy będzie trudne do odgadnięcia, nie uchroni nas to, co prawda, przed atakiem hakerów uzbrojonych w takie narzędzia, jak oclHashcat (aplikacja wykorzystująca karty graficzne, żeby przyspieszyć łamanie haseł), ale jest duża szansa, że znacznie wydłuży ten proces, co zniechęci atakującego i skłoni go do zmiany celu na łatwiejszy.
O tym, jakiego rodzaju hasła do kont bankowych czy komputerów firmowych bywają w powszechnym użyciu, najlepiej uświadomił nam atak hakerski na portal randkowy Ashley Madison z lipca 2015 roku. Wśród 11 milionów upublicznionych wówczas haseł do kont jego użytkowników najczęściej spotykane to: „123456”, „12345”, „password” „DEFAULT”, „123456789”, „qwerty”, „12345678”, „abc123” oraz „1234567”5. Jeśli widzisz wśród nich swoje hasło, istnieje duże ryzyko, że również padniesz ofiarą kradzieży danych, bo podobne ciągi znaków przewiduje większość dostępnych w sieci narzędzi do łamania haseł. Zachęcam cię, byś odwiedził stronę www.haveibeenpwned.com i sprawdził, czy twoje konto kiedykolwiek padło ofiarą ataku hakerów.
Na miarę XXI wieku odrobinę się postarajmy i twórzmy hasła złożone z dłuższych i bardziej skomplikowanych kombinacji liter i cyfr. Jeśli wydaje ci się to trudne, nie obawiaj się — mam zamiar nauczyć cię, jak to się robi ręcznie i automatycznie.
Najprościej byłoby zrezygnować z samodzielnego ustawiania hasła i przerzucić się na automatyczne generowanie go. Masz do wyboru co najmniej kilka przeznaczonych do tego aplikacji, tzw. menadżerów haseł. Dzięki nim możesz przechowywać wszystkie dane logowań w wirtualnym „sejfie”, do którego dostęp daje ci jedno kliknięcie, a także tworzyć nowe silne hasła dla każdej witryny, z której korzystasz.
Warto przy tym pamiętać o dwóch poważnych minusach tych aplikacji. Pierwszym jest wymóg jednego hasła głównego. Jeśli komputer zostanie zainfekowany złośliwym oprogramowaniem, kradnącym hasła na podstawie zarejestrowanych, wybieranych przez ciebie klawiszy, wtedy przepadłeś. Włamywacz za jednym zamachem przejmie wszystkie twoje hasła. Pracując jako pentester, czasami zastępuję menadżera haseł wersją zmodyfikowaną, która przesyła nam hasło główne (jeśli menadżer haseł jest oprogramowaniem otwartym) po uzyskaniu dostępu admina do sieci klienta. W następnym kroku zdobywamy wszystkie hasła do kont uprzywilejowanych. Krótko mówiąc, wykorzystujemy menadżera haseł jako tylne drzwi, przez które zyskujemy dostęp do kluczy w całym informatycznym królestwie.
Drugi problem jest znacznie bardziej prozaiczny. Jeśli zapomnisz hasła głównego, stracisz wszystkie swoje hasła. Nie jest to, oczywiście, sytuacja bez wyjścia, możesz je bowiem resetować po kolei na każdej ze stron, ale zwykle zajmuje to sporo czasu.
Pomimo tych niedogodności, zachęcam do skorzystania z tego typu aplikacji oraz poniższych wskazówek, dzięki którym stworzysz silne, a zatem bezpieczne hasła.
Przede wszystkim używaj długich ciągów znaków, co najmniej 20—25, niezawierających słów. Najlepiej, gdy są to przypadkowe zlepki, na przykład „ek5iogh#skf&skd”. Ponieważ nasz mózg ma problem z zapamiętywaniem tego typu nic nieznaczących kombinacji, lepiej skorzystać z menadżera haseł. To o wiele bezpieczniejsza metoda niż samodzielne wymyślanie go. Osobiście wolę aplikacje typu open source, takie jak Password Safe czy KeePass, które przechowują dane lokalnie na komputerze.
Inna ważna zasada — nie używaj tych samych haseł do różnych kont. Wiem, że czasami trudno się od tego powstrzymać, skoro dziś używa się ich praktycznie na każdym kroku. Dlatego lepiej zdać się na aplikację, która wygeneruje za ciebie hasła trudne do złamania.
Niestety, nawet w przypadku silnego hasła nadal istnieje ryzyko, że pokona cię technologia. W sieci można znaleźć najróżniejsze programy do łamania haseł, takie jak ogólnodostępny John the Ripper, który działa według parametrów6skonfigurowanych przez użytkownika. Może on na przykład określić maksymalną liczbę znaków do przetestowania, wybrać do użycia znaki specjalne, obce słowa itp. John the Ripper i inne „łamacze haseł” niezwykle skuteczne w ich odgadywaniu, potrafią sprawdzać kombinacje znaków w haśle za pomocą określonych reguł. W ten sposób, według zdefiniowanych parametrów, testują każdą możliwą kombinację cyfr, liczb i symboli, aż w końcu trafią na tę właściwą. Na szczęście większość z nas nie ma za wrogów potężnych imperiów, które dysponują nieograniczonym czasem i funduszami, a jedynie byłych partnerów, wrogich krewnych czy po prostu tych, którzy nas nie lubią. Jeśli przyjdzie im zmierzyć się z ustawionym przez ciebie ponaddwudziestoznakowym hasłem, nie wystarczy im cierpliwości ani środków, żeby je złamać.
Załóżmy jednak, że chcesz tworzyć hasła tradycyjnie i że faktycznie będą wystarczająco silne. Jak należy z nimi postępować? Możesz je zanotować, byle w inteligentny sposób. Na pewno nie pisz: „Bank of America: 4the1st-timein4ever*”, bo to byłoby oczywiste dla każdego. Możesz zastąpić nazwę banku jakimś dalekim skojarzeniem (na przykład „bieliźniarka” — kiedyś popularne miejsce trzymania oszczędności) z dopiskiem „4the1st.” Zauważ, że nie użyłem hasła w całości. Nie ma takiej potrzeby — resztę możesz mieć w głowie. Kiedy komuś wpadnie w ręce lista niekompletnych haseł, będzie miał problem, przynajmniej na początku.
W tym miejscu przypomina mi się pewna zabawna historyjka. Kiedyś u przyjaciela, znanego pracownika Microsoftu, przy kolacji, z jego żoną i dzieckiem, rozmawialiśmy o kwestii bezpieczeństwa haseł. W pewnym momencie żona wstała i podeszła do lodówki. Jak się okazało, wszystkie hasła bez wyjątku zapisane były na kartce przyczepionej magnesem do drzwi. Przyjaciel pokręcił z niedowierzaniem głową, a ja nie potrafiłem ukryć rozbawienia.
Zapisywanie haseł może nie jest najszczęśliwszym rozwiązaniem, ale równie dużo problemów czeka nas, gdy któregoś z nich zapomnimy. Niektóre witryny, na przykład banków internetowych, blokują użytkownikom dostęp do kont po kilku, najczęściej trzech, nieudanych próbach wpisania prawidłowego hasła. Jednak wciąż jeszcze nie jest to praktyka powszechna. Ale nawet taka blokada nie jest w stanie powstrzymać włamywaczy posługujących się programami typu John the Ripper czy oclHashcat (wykorzystujący w procesie łamania hasła karty graficzne, co znacznie zwiększa jego skuteczność). Poza tym hakerzy zazwyczaj działają inaczej i nie testują każdej możliwej postaci hasła na stronie logowania.
Załóżmy teraz, że dochodzi do kradzieży pewnej bazy danych, w której znajdują się nazwy użytkowników oraz hasła. Te ostatnie w tego typu bazach najczęściej przechowywane są w postaci „zaszyfrowanej”, a ściślej mówiąc „zahaszowanej”.
W jaki sposób je wykorzystać, żeby włamać się na czyjeś konto?
Za każdym razem, gdy wpisujesz gdziekolwiek hasło — by odblokować laptop czy zalogować się do serwisu internetowego — przechodzi ono przez jednokierunkowy algorytm, zwany funkcją skrótu (haszującą). Nie jest to tożsame z szyfrowaniem, które jest funkcją dwukierunkową: możliwe jest szyfrowanie oraz deszyfrowanie, jeśli posiada się klucz. Funkcja skrótu (hasz) to tzw. odcisk palca wiadomości złożonej z określonego ciągu znaków. Teoretycznie w przypadku algorytmów jednokierunkowych nie da się odtworzyć wiadomości na podstawie skrótu, a przynajmniej nie jest to łatwe.
Dlatego to, co przechowywane jest w bazie haseł komputera, komórki czy chmury, nie występuje w postaci jawnej, czyli na przykład „MaryHadALittleLamb123$”, ale jako wynik funkcji skrótu na haśle, stanowiący kombinację cyfr i liter. Jest to tzw. hasz hasła7.
Hasła przechowywane w zabezpieczonej pamięci naszych komputerów występują w formie zahaszowanej i to one padają łupem kradzieży podczas ataku na komputer. Po uzyskaniu haszów hakerzy mają do dyspozycji powszechnie dostępne narzędzia typu John the Ripper czy oclHashcat do łamania i odzyskiwania haseł. Mogą do tego wykorzystać algorytm siłowy (brute force), czyli testować każdą możliwą kombinację znaków, albo posłużyć się atakiem słownikowym, czyli sprawdzać hasła występujące w słownikach. Funkcje dostępne w John the Ripper oraz oclHashcat pozwalają na zawężenie testowanych słów na podstawie zdefiniowanych reguł. Jedna z nich to leetspeak, w której poszczególne litery zastępowane są cyframi, np. „k3v1n m17n1ck”. Odzyskiwanie haseł tą metodą jest znacznie bardziej efektywne niż atak siłowy. Najszybciej łamane są te najprostsze i najpopularniejsze, bardziej złożone wymagają nieco więcej zachodu. Czas trwania tej operacji zależy od kilku czynników. Korzystając z wyżej wspomnianych aplikacji, hakerzy, mając do dyspozycji twój wykradziony login i hasz, mogą włamać się na więcej niż jedno z twoich kont, testując odzyskane hasło na kilku stronach powiązanych z twoim adresem e-mailowym lub innym identyfikatorem użytkownika.
Ogólnie rzecz ujmując, im więcej znaków w haśle, tym więcej czasu potrzeba aplikacjom typu John the Ripper na sprawdzenie wszystkich możliwych kombinacji. Jednak coraz szybsze procesory sprawiają, że odgadnięcie sześcio- czy nawet ośmioznakowych haseł trwa coraz krócej. Dlatego radzę, by dla bezpieczeństwa stosować hasła złożone z co najmniej 25 znaków.
Jeśli już stworzyłeś odpowiednio silne hasła, pamiętaj — nikomu ich nie zdradzaj. Z pozoru wydaje się to oczywiste, jednak z sondaży przeprowadzonych w Londynie i innych wielkich miastach wynika, że ujawniane są nawet w zamian za takie błahostki, jak długopis czy kawałek czekolady8.
Jeden z moich przyjaciół przekazał kiedyś swojej dziewczynie hasło do konta w Netfliksie. Wydawało mu się to wtedy naturalne — dzięki temu mogła sama wybierać dla nich filmy do wspólnego oglądania. Okazało się jednak, że jednocześnie zyskała dostęp do historii filmów obejrzanych przez niego z poprzednimi dziewczynami. Nietrudno jej było się tego domyślić po tytułach — Stowarzyszenie wędrujących dżinsów na pewno nie należało do pozycji, które wybrałby do samotnego oglądania.
Owszem, wszyscy mamy jakąś przeszłość. Byłoby wręcz podejrzane, gdyby było inaczej. Ale chyba żadna dziewczyna nie lubi natykać się na tak jaskrawe ślady swoich poprzedniczek.
Po zabezpieczeniu odpowiednimi hasłami kont internetowych, to samo powinieneś zrobić ze swoimi urządzeniami. Większość z nas używa już tylko laptopów, niektórzy także komputerów stacjonarnych. Nawet jeśli mieszkasz sam, pomyśl o gościach, którzy przychodzą do ciebie w odwiedziny. Wystarczy jeden ruch myszką, by ktoś podejrzał twoje pliki, zdjęcia czy gry. Po co miałbyś ryzykować?
W tym miejscu przypomina mi się kolejna historyjka związana z Netfliksem. Wydarzyła się w czasach, gdy serwis ten prowadził głównie wysyłkę płyt DVD do domów użytkowników. Podczas imprezy domowej pewna znana mi para zostawiła włączony komputer z zalogowanym kontem do serwisu i ktoś wykorzystał to do zrobienia im brzydkiego kawału. Po jakimś czasie zorientowali się, że na liście ich zamówień znajduje się mnóstwo filmowych gniotów. Niestety dopiero wtedy, gdy odkryli je w dostarczonej poczcie.
Jeszcze istotniejsze jest zabezpieczenie hasłami komputerów używanych w pracy. Przypomnij sobie, ile razy niespodziewanie odwoływano cię od biurka na nieplanowane spotkanie. W tym czasie ktoś mógłby swobodnie przejrzeć otwarty na twoim komputerze arkusz kalkulacyjny budżetu na następny kwartał czy twoje wiadomości w skrzynce pocztowej. Albo co gorsza (jeśli nie masz wygaszacza ekranu chronionego hasłem, który włącza się po kilku sekundach braku aktywności), korzystając z twojej przedłużającej się nieobecności, mógłby usiąść przed nim i, podszywając się pod ciebie, wysłać wiadomość, czy nawet wprowadzić zmiany w otwartym pliku z budżetem.
Mamy dziś do dyspozycji co najmniej kilka nowatorskich narzędzi pozwalających zapobiec tego typu zagrożeniom. Jednym z nich jest oprogramowanie służące do automatycznego blokowania ekranu. Wykorzystuje ono moduł Bluetooth do sprawdzenia, czy jesteś w pobliżu komputera. Innymi słowy, kiedy wyjdziesz do łazienki i twoja komórka znajdzie się poza zasięgiem Bluetootha komputera, zostaje on momentalnie zablokowany. Istnieją również wersje wykorzystujące inteligentne opaski czy smartzegarki.
Stworzenie silnych haseł do kont i serwisów internetowych jest niezwykle istotne. Nie na wiele się jednak przyda, jeśli ktoś fizycznie przejmie należące do ciebie urządzenie, w którym na dodatek zostawiłeś wszystko otwarte. Dlatego należy przede wszystkim zabezpieczyć urządzenia mobilne, bo najłatwiej je zgubić i najczęściej padają łupem złodziei. Mimo to, jak donosi amerykański serwis Consumer Reports, aż 34 proc. Amerykanów nie stosuje w nich żadnych zabezpieczeń, nawet tak prostych, jak blokada ekranu czterocyfrowym PIN-em9.
W 2014 roku funkcjonariusz policji z Martinez w Kalifornii przyznał się do kradzieży rozebranych zdjęć z komórki kobiety podejrzanej o prowadzenie samochodu pod wpływem alkoholu. Stanowiło to jawne pogwałcenie zapisów czwartej poprawki do Konstytucji Stanów Zjednoczonych10, która zakazuje nieuprawnionych rewizji i zatrzymań bez nakazu sądowego i adekwatnego uzasadnienia — funkcjonariusze policji muszą złożyć oświadczenie, dlaczego chcą przejrzeć np. zawartość czyjegoś telefonu.
Jeśli dotąd nie zabezpieczyłeś hasłem swojej komórki, zrób to jak najszybciej. Wierz mi, to bardzo ważne.
Istnieją trzy popularne metody blokowania telefonów, zarówno tych z Androidem, jak i iOS czy z jakimś innym systemem. Najbardziej znana to kod dostępu — ciąg liczb, które trzeba wpisać w odpowiedniej kolejności, by odblokować komórkę. Nie używaj PIN-u dostarczonego przez operatora komórkowego, przejdź do ustawień i skonfiguruj go samodzielnie, tak by był silniejszy. Możesz do tego użyć nawet siedmiu cyfr, na przykład swojego starego numeru telefonu z dawnych lat. W każdym razie na pewno nie zostawaj przy czterech.
W niektórych urządzeniach przenośnych można w kodach używać też liter. I w tym przypadku wybierz co najmniej siedem znaków. W nowocześniejszych urządzeniach na jednym ekranie wyświetlane są zarówno cyfry, jak i litery, więc wpisywanie kodu nie wymaga przełączania się z jednego układu klawiatury na drugi.
Inna opcja to odblokowywanie ekranu według wzoru. Od 2008 roku telefony z Androidem wyposażone są w tzw. wzór blokujący (ALP) — na ekranie wyświetla się dziewięć kropek, które należy połączyć w określonej kolejności. Uzyskany w ten sposób symbol funkcjonuje jako kod dostępu. Na pierwszy rzut oka jest to rozwiązanie bezpieczne. Ze względu na liczbę możliwych kombinacji blokada ta wydaje się praktycznie nie do przejścia. Nic bardziej mylnego.
Na zorganizowanej w 2015 roku konferencji PasswordsCon zaprezentowano raport z badań, z którego wynika, że użytkownicy są niewiarygodnie przewidywalni i wybierają zaledwie kilka z aż 140 704 możliwych kombinacji11. Jakie to były wzory? Często pierwsza litera własnego imienia. Badania te udowodniły również, że przeważnie wybierane są kropki środkowe, a nie narożne. Warto uwzględnić te wyniki przy ustawianiu blokady ekranu telefonu w formie symbolu.
Trzecie zabezpieczenie to blokada biometryczna. Apple, Samsung oraz inne znane marki mają już w ofercie telefony z wbudowanym czytnikiem linii papilarnych, odblokowywane za pomocą odcisku palca. Ale nawet ta metoda nie jest niezawodna. Po wejściu na rynek czytnika Touch ID naukowcy — najwyraźniej oczekując od firmy Apple przełomowej zmiany, w porównaniu z urządzeniami dostępnymi do tej pory na rynku — ze zdumieniem odkryli, że niektóre stare metody oszukiwania dawnych czytników nadal sprawdzają się w iPhone’ie. Wystarczy „zebrać” odcisk palca z czystej powierzchni, używając zasypki dla niemowląt i taśmy klejącej.
Na rynku są również dostępne telefony z funkcją rozpoznawania twarzy. Ale i tę blokadę można obejść, wykorzystując zdjęcie wysokiej rozdzielczości twarzy właściciela.
Ogólnie mówiąc, systemy identyfikacji biometrycznej są dość podatne na ataki. Dlatego najlepiej, gdy nie są jedynym składnikiem procesu uwierzytelniania. Nie wystarczy, że przyłożysz palec do czytnika czy uśmiechniesz się do kamery; dodatkowo wprowadź kod dostępu lub wzór odblokowujący ekran. Te dwie metody zastosowane łącznie powinny skutecznie zabezpieczyć urządzenie mobilne.
A co w sytuacji, gdy ustawiłeś odpowiednio silne hasło, ale nigdzie go nie zapisałeś i nie jesteś w stanie wejść na rzadko używane konto? Wybawieniem będzie wówczas funkcja odzyskiwania hasła. Niestety, jednocześnie stanowi ona ułatwienie dla potencjalnego włamywacza. Wykorzystując zostawiane przez nas ślady cyfrowe i profile na portalach społecznościowych, hakerzy potrafią dostać się do naszych skrzynek pocztowych i nie tylko — wyłącznie za pomocą resetowania chroniących je haseł.
Jedno z takich oszustw, nagłośnione w prasie, polegało na zdobyciu czterech ostatnich cyfr karty kredytowej ofiary i wykorzystaniu ich do weryfikacji tożsamości podczas kontaktu z dostawcą usługi w celu zmiany podanego przez użytkownika adresu e-mailowego. W ten sposób haker mógł bez jego wiedzy zresetować hasło i zastąpić je własnym.
W 2008 roku student Uniwersytetu Stanu Tennessee David Kernell postanowił włamać się do skrzynki pocztowej w serwisie Yahoo, należącej do Sary Palin, ówczesnej kandydatki na urząd wiceprezydenta Stanów Zjednoczonych12. Kernell nie zamierzał samodzielnie odgadywać jej hasła, obawiał się bowiem, że po kilku nieudanych próbach konto zostanie zablokowane. Dlatego wykorzystał funkcję jego resetowania, oceniając później tę metodę jako „bardzo łatwą”13 .
Może zdarzyło ci się otrzymać podejrzane e-maile od znajomych czy współpracowników z linkami do zagranicznych stron pornograficznych? Założę się, że później dowiedziałeś się o włamaniu do ich skrzynek pocztowych. Tego typu incydenty są dość powszechne, ponieważ konta pocztowe z reguły zabezpieczone są zbyt słabymi hasłami. Komuś udało się je poznać za pomocą kradzieży danych albo z użyciem funkcji resetowania hasła.
Zakładając konto pocztowe czy bankowe, zazwyczaj wybieramy — przeważnie trzy — tzw. pytania bezpieczeństwa. Często mają one formę rozwijanej listy i na ogół są dość oczywiste, na przykład: „Gdzie się urodziłeś?”, „Gdzie chodziłeś do liceum/na studia?”. Wśród nich jest także nieśmiertelne pytanie o nazwisko panieńskie matki, stosowane do potwierdzania tożsamości co najmniej od 1882 roku14. Jak dowiesz się w dalszej części tej książki, na rynku działa mnóstwo firm specjalizujących się w wyszukiwaniu w sieci i gromadzeniu informacji na temat każdego z nas. Dzięki nim odpowiedź na wybierane przez nas pytania bezpieczeństwa staje się dziecinnie prosta. W zasadzie każdy, kto poszpera kilka minut w sieci, ma szansę złamać tego typu zabezpieczenie konta danej osoby.
Trzeba przyznać, że ostatnio poziom trudności tych pytań nieco się poprawił. Pojawiające się kwestie typu: „Gdzie urodził się twój szwagier?” i tak jednak niosą ze sobą pewne ryzyko, które opisuję poniżej. Niestety, wciąż jeszcze można się natknąć na podpowiedzi w stylu: „W jakim mieście urodził się twój ojciec?”.
Podsumowując, ogólna rada brzmi: ustanawiając pytania bezpieczeństwa, unikaj najbardziej oczywistych. A jeśli masz do wyboru tylko podstawowe, rusz głową. Kto powiedział, że odpowiedzi mają być prawidłowe/prawdziwe? Można przecież potraktować je niekonwencjonalnie. Na przykład zakładając konto na platformie wideo podaj, że twój ulubiony kolor to tutti-frutti. Nie do odgadnięcia, prawda? A przecież ma coś wspólnego z kolorem. Ostatecznie to ty decydujesz, co stanowi prawidłową odpowiedź na dane pytanie bezpieczeństwa.
W przypadku kreatywnych odpowiedzi koniecznie zanotuj sobie zarówno pytanie, jak i odpowiedź, i przechowuj je w bezpiecznym miejscu (albo wykorzystaj do tego menadżera haseł). Na pewno zdarzy ci się rozmawiać z obsługą techniczną, która poprosi o odpowiedź na któreś z nich. Trzymaj je gdzieś pod ręką, na przykład w segregatorze lub na karteczce w portfelu (najlepiej naucz się ich na pamięć i zawsze używaj tych samych). Dzięki temu szybko przypomnisz sobie, że poprawna odpowiedź na pytanie: „Gdzie się urodziłeś?” brzmi: „W szpitalu”. Twoja pomysłowość może skutecznie zrazić włamywacza, który wcześniej poszperał w sieci w poszukiwaniu informacji na twój temat, więc będzie próbował udzielić znacznie bardziej rzeczowej i zgodnej z prawdą odpowiedzi na to pytanie: „Columbus, Ohio”.
Szczere odpowiedzi na pytania bezpieczeństwa pociągają za sobą jeszcze jedno niebezpieczeństwo — zdradzasz w nich dodatkowe informacje na swój temat. Na przykład poprawna odpowiedź na pytanie: „Gdzie urodził się twój szwagier?” może zostać sprzedana przez serwis, a następnie połączona z innymi informacjami lub wykorzystana do uzupełnienia brakujących danych. Z twojej odpowiedzi można wywnioskować, że jesteś lub byłeś w związku małżeńskim oraz że twój obecny lub były partner ma siostrę, której mąż urodził się we wskazanym przez ciebie miejscu. Z pozoru prosta odpowiedź, a tyle dodatkowych informacji. Z drugiej strony, jeśli w ogóle nie masz szwagra, możesz udzielić zmyślonej odpowiedzi, na przykład: „Puerto Rico”. W ten sposób skutecznie zmylisz każdego, kto będzie próbował budować twój profil osobowy. Im więcej tego typu mylnych tropów, tym mniej cię widać w sieci.
Kiedy odpowiadasz na niestandardowe pytania bezpieczeństwa, zawsze się zastanów, jak ważna jest dla ciebie dana strona internetowa. Znacznie bezpieczniej powierzać tego typu informacje osobowe bankowi niż na przykład platformie wideo. Ponadto warto sprawdzić politykę prywatności danego serwisu, czy nie ma w niej zapisów (mniej lub bardziej jawnych) pozwalających mu sprzedawać gromadzone dane stronie trzeciej.
Do dokonania resetu hasła do konta pocztowego Sary Palin w serwisie Yahoo potrzebna była data jej urodzin, kod pocztowy i odpowiedź na pytanie: „Gdzie poznałaś męża?”. Dwie pierwsze informacje można bez problemu znaleźć w sieci (Palin sprawowała wtedy urząd gubernatora Alaski). Pytanie bezpieczeństwa wydawało się przeszkodą nieco trudniejszą, ale i z nim Kernell nie miał kłopotu. Wszystko dlatego, że Palin w wywiadach wielokrotnie podkreślała, że mąż jest jej licealną miłością. Co dało się przewidzieć, prawidłowa odpowiedź brzmiała: „W liceum”.
Odgadując odpowiedzi na pytania bezpieczeństwa do konta Palin, Kernell zresetował hasło w Yahoo i ustawił własne. Dzięki temu mógł swobodnie przeglądać całą jej prywatną korespondencję e-mailową. Na internetowej stronie hakerskiej umieszczono zrzut ekranu skrzynki odbiorczej Palin, a ona sama nie miała do niej dostępu do chwili samodzielnego zresetowania hasła15.
To, co zrobił Kernell, uchodzi za przestępstwo — naruszenie ustawy o oszustwach i nadużyciach komputerowych. Ukarano go na podstawie dwóch zarzutów: utrudnianie działania wymiaru sprawiedliwości poprzez niszczenie dokumentów (poważne przestępstwo) oraz nieautoryzowany dostęp w celu uzyskania informacji z komputera (wykroczenie). W 2010 roku został skazany na rok i jeden dzień więzienia oraz trzy lata nadzoru sądowego16.
Jeśli twoje konto e-mailowe zostało zhakowane, jak konto Sary Palin, po pierwsze powinieneś zmienić hasło na nowe, korzystając z funkcji resetowania. Postaraj się tym razem ustawić hasło odpowiednio silne, według moich wcześniejszych wskazówek. Następnie sprawdź w folderze Wysłane, co dokładnie wyszło z twojej skrzynki. Znajdziesz tam spam rozesłany do wielu osób czy nawet do wszystkich figurujących na liście kontaktów. To dlatego zdarzało ci się otrzymywać podobne rzeczy od przyjaciół — po prostu im także włamano się na konta pocztowe.
Sprawdź też, czy ktoś nie podłączył się do twojego konta, ustawiając przekierowanie całej korespondencji na swoją skrzynkę. W takim przypadku nadal widzisz ją u siebie, ale ma też do niej dostęp włamywacz. Jeśli tak się stało, od razu usuń obcy adres e-mailowy, na który przekierowywane są twoje wiadomości.
Hasła i kody PIN to ważne elementy bezpieczeństwa, ale, jak widać, nie są niezawodne i można je złamać. Dlatego znacznie bezpieczniejsze jest uwierzytelnienie dwuskładnikowe, zwane również weryfikacją dwuetapową (2FA). Firma Apple wprowadziła je dla użytkowników usług iCloud, w reakcji na kradzieże rozebranych zdjęć z telefonu Jennifer Lawrence oraz innych gwiazd.
Weryfikacja 2FA polega na tym, iż w procesie sprawdzania tożsamości użytkownika strony lub aplikacje wykorzystują dwa lub trzy elementy. Są to zazwyczaj: „coś, co masz” (np. karta kredytowa lub debetowa z paskiem magnetycznym lub mikroprocesorem), „coś, co wiesz” (np. PIN lub odpowiedź na pytanie bezpieczeństwa) oraz „to, kim jesteś” (metody biometryczne, np. analiza linii papilarnych, rozpoznawanie twarzy czy głosu itp.). Im więcej elementów, tym większa pewność, że użytkownik rzeczywiście jest tym, za kogo się podaje.
Mogłoby się wydawać, że to stosunkowo nowa technologia, ale wcale tak nie jest. Weryfikacja typu 2FA towarzyszy nam od ponad 40 lat, choć często nie jesteśmy tego świadomi. Stosuje się ją między innymi przy pobieraniu gotówki z bankomatu. Konieczna jest wówczas wydana przez bank karta („coś, co masz”) oraz PIN („coś, co wiesz”). Dzięki połączeniu tych dwóch składników uliczny bankomat dostaje informację, że chcesz uzyskać dostęp do konta oznaczonego na karcie. W niektórych krajach działają już bankomaty z dodatkowymi metodami weryfikacji, np. systemem rozpoznawania twarzy czy żył dłoni. Mówimy wówczas o uwierzytelnieniu wieloskładnikowym (MFA).
Weryfikacja 2FA stosowana jest również w sieci przez wiele instytucji finansowych, portali medycznych, a także komercyjne serwisy pocztowe i społecznościowe. W ich przypadku łączy się hasło („coś, co wiesz”) z telefonem komórkowym („coś, co masz”). Dzięki temu twoja komórka jest powiązana z używanym urządzeniem, a osoba nieuprawniona nie może wejść na tak zabezpieczone konta, nie mając jej fizycznie przy sobie.
Posłużmy się przykładem konta w Gmailu. Aby włączyć w nim funkcję 2FA, trzeba podać na stronie swój numer telefonu komórkowego. W celu weryfikacji tożsamości, Google wysyła na niego SMS z sześciocyfrowym kodem. Wpisując go na stronie Gmaila, potwierdzasz, że twój komputer jest powiązany z tym numerem komórkowym.
W sytuacji, gdy ktoś będzie próbować z innego komputera lub urządzenia mobilnego zmienić hasło do twojego konta, na swoją komórkę dostaniesz SMS z kodem weryfikacyjnym, bez którego nie da się wprowadzić żadnych zmian w ustawieniach konta.
Niestety, nawet w tej metodzie jest pewien haczyk. Jak twierdzą specjaliści z firmy Symantec, nawet jeśli korzystasz z usługi potwierdzania tożsamości za pomocą SMS, ktoś, kto zna twój numer telefonu, może przy użyciu odpowiednich zabiegów socjotechnicznych przejąć wysyłany kod, jeśli nie będziesz wystarczająco uważny17.
Powiedzmy, że chcę włamać się na twoje konto pocztowe, a nie mam hasła. Znam jednak numer twojej komórki, bo łatwo cię namierzyć w Google. Wówczas mogę wejść w opcję zmiany hasła na twoim koncie i je zresetować. Ponieważ masz ustawioną weryfikację dwuetapową, system wysyła na twoją komórkę SMS z kodem. Myślisz, że dzięki temu jesteś bezpieczny? Nie byłbym tego taki pewien.
Unaoczniło to włamanie do telefonu komórkowego działacza praw obywatelskich DeRaya Mckessona. Ten przykład doskonale ilustruje sposób, w jaki hakerzy oszukują operatorów komórkowych, by dokonać zamiany karty SIM18. Wszystko po to, by zhakować komórkę i przejąć przychodzące na nią SMS-y, na przykład z kodem weryfikacyjnym od Google, co pozwoliło zresetować hasło do konta pocztowego w Gmailu Mckessona, zabezpieczonego przez 2FA. To znacznie bardziej prawdopodobne, niż skłonienie kogoś podstępem do udostępnienia SMS-a z kodem. Ale i to także jest możliwe.
Ponieważ haker nie ma dostępu do kodu weryfikacyjnego wysłanego przez dostawcę usługi pocztowej na twoją komórkę, musi udawać kogoś innego, żeby go od ciebie zdobyć. W tym celu kilka sekund przed tym, jak dostajesz SMS-a z kodem od — jak w naszym przykładzie — Google, wysyła do ciebie SMS mniej więcej takiej treści: „Google wykryło podejrzaną aktywność na twoim koncie. W celu jej zablokowania prosimy o odesłanie na ten numer przesłanego ci kodu”.
Z pozoru wszystko się zgadza — widzisz, że faktycznie otrzymałeś od Google SMS z kodem weryfikacyjnym. Jeśli wiadomość od hakera nie wyda ci się podejrzana, prześlesz go bezpośrednio do niego. Od tego momentu ma niecałą minutę na posłużenie się nim — skorzystanie z opcji resetowania twojego hasła i po jego zmianie zyskanie dostępu do twojego konta pocztowego czy każdego innego.
Ponieważ przesyłane SMS-ami kody nie są szyfrowane i można je zdobyć w powyżej opisany sposób, bezpieczniejszą metodą uwierzytelnienia dwuskładnikowego jest instalacja Google Authenticator z Google Play lub iTunes (dla użytkowników iPhone’a). Aplikacja ta samodzielnie generuje unikatowy kod dostępu, przy okazji każdych twoich odwiedzin strony chronionej przez 2FA, nie ma więc potrzeby wysyłania go SMS-em. Generowany przez nią sześciocyfrowy kod jest zsynchronizowany z algorytmem weryfikacji strony, do której chcemy uzyskać dostęp. Jedyna niedogodność polega na tym, że Google Authenticator przechowuje twój wzorzec generowania haseł jednorazowych w ustawieniu: Tylko dla tego urządzenia. W związku z tym po utworzeniu kopii zapasowej iPhone’a i zainstalowaniu jej na innym urządzeniu (jeśli na przykład zgubiłeś telefon albo wymieniasz go na nowszy model), kody wygenerowane przez Google Authenticator nie zostaną przeniesione. Dlatego radzę wydrukować sobie ich listę na wypadek zmiany w przyszłości komórki czy laptopa. Nie będziesz miał tego problemu z innymi tego typu aplikacjami, takimi jak 1Password, które umożliwiają stworzenie kopii algorytmów haseł jednorazowych i zapisanie jej na nowym urządzeniu.
Kiedy już zarejestrowałeś swoje urządzenie, za każdym razem, gdy logujesz się z niego na daną stronę, będziesz pytany o nowy kod dostępu, chyba że zaznaczysz opcję (o ile jest dostępna) zapamiętania weryfikacji na tym urządzeniu (przez 30 dni). Inny komputer, którego użyjesz, na przykład twojego partnera czy małżonka, zażąda dodatkowej weryfikacji. W przypadku 2FA oczywiście powinieneś wówczas mieć pod ręką własną komórkę.
Poznawszy opisane tu środki zapobiegawcze, pewnie zastanawiasz się, co doradzałbym wszystkim osobom przeprowadzającym w sieci rozmaite transakcje finansowe.
Najbardziej oczywista rada to zakup za mniej więcej 100 dolarów rocznej licencji programu antywirusowego oraz firewalla na trzy komputery. Problem z tym jest taki, że przeglądając strony internetowe, możesz załadować w swojej przeglądarce baner ze szkodliwym oprogramowaniem albo dostać je w e-mailu. W każdym przypadku, łącząc się z internetem, twój komputer jest nieustannie zagrożony wirusami, a oprogramowanie antywirusowe nie zawsze je wszystkie wyłapie.
Dlatego radzę przeznaczyć około 200 dolarów na zakup Chromebooka. Osobiście preferuję dość drogie iPady. Chromebook jest prawie tak samo funkcjonalny, za to znacznie tańszy.
Proponuję ci go jako osobne urządzenie wyłącznie do prowadzenia transakcji finansowych w sieci, a w razie potrzeby również do załatwiania wszystkich spraw związanych ze zdrowiem. Na Chromebooku nie da się zainstalować żadnych aplikacji, jeśli najpierw nie założysz konta w Gmailu. Jego główna funkcjonalność sprowadza się do przeglądania internetu.
Następnie, jeśli jeszcze tego nie zrobiłeś, ustaw na danej stronie weryfikację dwuetapową dla twojego Chromebooka. A kiedy skończysz załatwiać sprawy w banku czy portalu pacjenta, wyłącz go i nie używaj do niczego innego.
Wiem — nie wygląda to zachęcająco. W ten sposób tracisz dostęp do swojego banku z innych urządzeń. Ale dzięki takiemu rozwiązaniu maleje ryzyko włamania się do twojego konta bankowego czy kradzieży informacji na temat twoich finansów czy zdrowia. Jeśli będziesz wykorzystywał Chromebooka wyłącznie w celach finansowych i zdrowotnych i nie odwiedzał na nim żadnych innych stron internetowych, poza bankiem czy portalem pacjenta, masz prawie 100 procent pewności, że nie zaatakują go trojany czy inne szkodliwe aplikacje.
Do tej pory dowiedziałeś się, jak ważne jest tworzenie i ochrona silnych haseł oraz dlaczego warto używać funkcji 2FA, jeśli jest dostępna. W następnych rozdziałach chciałbym ci uświadomić, że w trakcie najzwyklejszych codziennych czynności zostawiamy po sobie cyfrowe ślady, a także co możemy zrobić, żeby skutecznie chronić swoją prywatność.
Kto poza tobą czyta twoje e-maile?
Jeśli jesteś choć trochę podobny do mnie, rano po wstaniu z łóżka sprawdzasz pocztę e-mailową. I być może, tak jak ja, zadajesz sobie pytanie, kto jeszcze, oprócz ciebie, mógł przeczytać twoją korespondencję. Wierz mi, to nie ma nic wspólnego z paranoją. Jeśli korzystasz z bezpłatnych kont pocztowych, jak Gmail czy Outlook 365, odpowiedź jest oczywista i alarmująca.
Nawet jeśli skasujesz wiadomość po jej przeczytaniu w komputerze czy telefonie, bynajmniej nie pozbywasz się jej trwale, jej kopia pozostaje gdzieś zapisana. Ponieważ poczta elektroniczna działa na bazie chmury, dostęp do niej w każdej chwili i z dowolnego urządzenia zapewniają kopie zapasowe. Jeśli korzystasz, dajmy na to, z serwisu Gmail, kopia każdej wysłanej lub otrzymanej wiadomości zapisywana jest na serwerach Google rozsianych po całym świecie. Na takiej samej zasadzie działają inni dostawcy poczty: Yahoo, Apple, AT&T, Comcast czy Microsoft. Każdy wysłany przez ciebie e-mail może zostać skontrolowany przez firmę hostingową. Oficjalnie monitoring poczty służy rzekomo do ochrony przed wirusami, ale w rzeczywistości jest inaczej: osoby z zewnątrz mogą i faktycznie miewają dostęp do naszej korespondencji z zupełnie innych, całkiem niealtruistycznych pobudek.
Większość z nas otwarcie nie akceptuje, by ktokolwiek, oprócz adresata, miał wgląd do wysyłanej przez nas poczty. Przepisy prawne chronią zarówno korespondencję listowną, jak elektroniczną. Ale w praktyce wiadomo, że darmowe konta pocztowe mają swoją ukrytą cenę. Nie jest tajemnicą, że serwisy typu Yahoo, oferujące swoje usługi bezpłatnie, uzyskują większość dochodów z reklam. Jednak nie zawsze do końca zdajemy sobie sprawę, jak te dwie rzeczy łączą się ze sobą i jak to wpływa na naszą prywatność.
.
.
.
...(fragment)...
Całość dostępna w wersji pełnej
Wszystkie poniższe linki były aktualne podczas pisania niniejszej książki, tj. w lipcu 2016 roku.
Wstęp:
Czas zniknąć
https://www.youtube.com/watch?t=33&v=XEVlyP4_11M.Snowden wyjechał najpierw do Hongkongu, a potem trafił do Rosji, gdzie otrzymał prawo stałego pobytu. Starał się również o azyl w Brazylii i innych krajach, nie wykluczając przy tym powrotu do Stanów Zjednoczonych, pod warunkiem że zagwarantowano by mu uczciwy proces.http://www.reuters.com/article/2011/02/24/idUSN2427826420110224.https://www.law.cornell.edu/supct/html/98-93.ZD.html.https://www.law.cornell.edu/uscode/text/16/3372.http://www.wired.com/2013/06/why-i-have-nothing-to-hide-is-the-wrong-way-to-think-about-surveillance/.Rozdział 1:
Hasło można złamać!
https://www.apple.com/pr/library/2014/09/02Apple-Media-Advisory.html.http://anon-ib.com/. Uwaga: strona nie jest bezpieczna i może zawierać wstrząsające zdjęcia.http://www.wired.com/2014/09/eppb-icloud/.https://www.justice.gov/usao-mdpa/pr/lancaster-county-man-sentenced-18-months-federal-prison-hacking-apple-and-google-e-mail.http://arstechnica.com/security/2015/09/new-stats-show-ashley-madison-passwords-are-just-as-weak-as-all-the-rest/.http://www.openwall.com/john/.„MaryHadALittleLamb123$” wygenerowane przez http://www.danstools.com/md5-hash-generator/.http://news.bbc.co.uk/2/hi/technology/3639679.stm.http://www.consumerreports.org/cro/news/2014/04/smart-phone-thefts-rose-to-3-1-million-last-year/index.htm.http://www.mercurynews.com/california/ci_26793089/warrant-chp-officer-says-stealing-nude-photos-from.http://arstechnica.com/security/2015/08/new-data-uncovers-the-surprising-predictability-of-android-lock-patterns/.http://www.knoxnews.com/news/local/official-explains-placing-david-kernell-at-ky-facility-ep-406501153-358133611.html.http://www.wired.com/2008/09/palin-e-mail-ha/.http://fusion.net/story/62076/mothers-maiden-name-security-question/.http://web.archive.org/web/20110514200839/http://latimesblogs.latimes.com/webscout/2008/09/4chans-half-hac.html.http://www.commercialappeal.com/news/david-kernell-ut-student-in-palin-email-case-is-released-from-supervision-ep-361319081-326647571.html; http://edition.cnn.com/2010/CRIME/11/12/tennessee.palin.hacking.case/.http://www.symantec.com/connect/blogs/password-recovery-scam-tricks-users-handing-over-email-account-access.https://techcrunch.com/2016/06/10/how-activist-deray-mckessons-twitter-account-was-hacked/.Kevin Mitnick, najsłynniejszy (były) haker świata, obecnie pracuje jako konsultant ds. bezpieczeństwa IT. Jest założycielem i dyrektorem generalnym uznanej na świecie firmy Mitnick Securities Consulting, specjalizującej się w testach penetracyjnych, oraz głównym pentesterem w KnowBe4, oferującej szkolenia w zakresie cyberbezpieczeństwa. Bohater niezliczonych doniesień medialnych i artykułów prasowych, wystąpił w wielu programach telewizyjnych i radiowych jako ekspert ds. bezpieczeństwa IT. Zeznawał przez amerykańskim Senatem i publikował artykuły w „Harvard Business Review”. We współpracy z Williamem L. Simonem jest autorem bestsellerów Sztuka podstępu. Łamałem ludzi, nie hasła, Sztuka infiltracji oraz Duch w sieci. Mieszka w Las Vegas; podróżuje po świecie z odczytami i prezentacjami jako światowej klasy specjalista ds. cyberbezpieczeństwa.
Robert Vamosi posiada certyfikat CISSP i jest uznanym i nagradzanym dziennikarzem, autorem When Gadgets Betray Us: The Dark Side of our Infatuation with New Technologies (Kiedy gadżety nas zdradzają. Ciemna strona fascynacji nowoczesnymi technologiami). Wystąpił w filmie dokumentalnym poświęconym historii hakowania Code2600. Od ponad 15 lat zajmuje się tematyką bezpieczeństwa informacji, publikując artykuły między innymi na portalach Forbes.com, ZDNet, CNET, CBS News, PC World oraz Security Ledger.
Karta tytułowa
Karta redakcyjna
PRZEDMOWA Mikko Hypponen
WSTĘPCzas zniknąć
ROZDZIAŁ PIERWSZYHasło można złamać!
ROZDZIAŁ DRUGIKto poza tobą czyta twoje e-maile?
ROZDZIAŁ TRZECIJesteś na podsłuchu?
ROZDZIAŁ CZWARTYBez szyfru jesteś bezbronny
ROZDZIAŁ PIĄTYKiedy mnie widać, a kiedy nie
ROZDZIAŁ SZÓSTYKto śledzi każde twoje kliknięcie
ROZDZIAŁ SIÓDMYPieniądze albo dane!
ROZDZIAŁ ÓSMYWierz każdemu, nie ufaj nikomu
ROZDZIAŁ DZIEWIĄTYŻadnej prywatności? Pogódź się z tym!
ROZDZIAŁ DZIESIĄTY Możesz uciekać, ale i tak się nie ukryjesz
ROZDZIAŁ JEDENASTYHej, KITT, nie zdradź im, gdzie jestem!
ROZDZIAŁ DWUNASTY Internet rzeczy a inwigilacja
ROZDZIAŁ TRZYNASTYCo ukrywa przed tobą szef
ROZDZIAŁ CZTERNASTYAnonimowość w podróży
ROZDZIAŁ PIĘTNASTY Na celowniku FBI
ROZDZIAŁ SZESNASTY Anonimowość w sieci w praktyce
Podziękowania
Przypisy
O autorach