1.2 δισ. κλεμμένα στοιχεία login έφεραν στο φως το φλέγον ζήτημα παραβίασης των password

Hacker in a sunglasses with laptop.

Πως να προστατεύσετε τις ευαίσθητες πληροφορίες σας - ενημέρωση από τη Symantec

Πρόσφατη έκθεση υποστηρίζει ότι μία εγκληματική ομάδα Ρώσων υπέκλεψε 1.2 δισεκατομμύρια user names και passwords από 420.000 ιστοσελίδες. Σύμφωνα με πληροφορίες τα breaches έχουν μολύνει διαφορετικά είδη επιχειρήσεων που κυμαίνονται από οργανισμούς που εντάσσονται στη λίστα Fortune 500 μέχρι πολύ μικρές ιστοσελίδες. Οι ιστοσελίδες που παραβιάστηκαν δεν αναφέρθηκαν καθώς πολλές από αυτές εξακολουθούν να είναι ευάλωτες σε επιθέσεις.

Η ομάδα των Ρώσων φέρεται να κατάφερε να αποκτήσει αυτά τα στοιχεία με την χρήση botnets για να διερευνήσει εάν οι ιστοσελίδες έχουν ευπάθειες. Η έκθεση αναφέρει ότι, όταν ένας από τους μολυσμένους υπολογιστές του botnet επισκεφθεί μια ιστοσελίδα, οι επιτιθέμενοι αναγκάζουν τον υπολογιστή να πραγματοποιήσει ένα SQL injection στην ιστοσελίδα για να δουν αν περιέχει ευπάθειες. Εφόσον η ιστοσελίδα περιέχει ευπάθειες, τότε οι επιτιθέμενοι το καταγράφουν και επιστρέφουν σε αυτή αργότερα για να υποκλέψουν πληροφορίες από την βάση δεδομένων της ιστοσελίδας.

Σύμφωνα με πληροφορίες οι επιτιθέμενοι δεν έχουν πουλήσει πολλές από τις πληροφορίες που έχουν υποκλέψει, αντίθετα, έχουν χρησιμοποιήσει τα δεδομένα αυτά για να στείλουν μηνύματα spam στα κοινωνικά δίκτυα. Ωστόσο, αυτές οι πληροφορίες θα μπορούσαν να έχουν μεγάλη σημασία για άλλους εγκληματίες του κυβερνοχώρου. Εάν οι χρήστες επαναχρησιμοποιήσουν τα passwords τους σε άλλες online υπηρεσίες, τότε οι επιτιθέμενοι θα μπορούν να χρησιμοποιήσουν τις πληροφορίες με σκοπό να θέσουν σε κίνδυνο άλλους λογαριασμούς και να αποκτήσουν επιπλέον ευαίσθητες προσωπικές πληροφορίες για το θύμα.

Το πρόβλημα με τα passwords

Αυτό το περιστατικό που καταγράφηκε αποδεικνύει για ακόμα μία φορά πόσο προβληματικό είναι το σημερινό σύστημα των passwords. Είναι πολύ εύκολη η επαναχρησιμοποίηση passwords σε αμέτρητες ιστοσελίδες ή η δημιουργία passwords που μπορούν εύκολα να προβλεφθούν. Αυτό έχει ως αποτέλεσμα, εάν ένας επιτιθέμενος καταφέρει να αποκτήσει πρόσβαση στα login credentials του χρήστη παραβιάζοντας μία ιστοσελίδα, θα μπορούσε ενδεχομένως να χρησιμοποιήσει τις πληροφορίες για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε πολλούς άλλα online accounts.

Ακόμα και η ενημέρωση για σημαντικές ευπάθειες που γίνεται στους χρήστες δεν είναι αρκετή για να τους πείσει να αλλάξουν τα passwords τους. Μία πρόσφατη έκθεση από τον Pew Research Center υποστηρίζει ότι λιγότερα από τέσσερα στα δέκα άτομα, τα οποία γνωρίζουν για την ευπάθεια Heartbleed, άλλαξαν τα passwords τους ως απάντηση στο σφάλμα.

Αντί να κατηγορείται ο χρήστης, ίσως θα ήταν καλύτερο να εξεταστούν νέα μέτρα βελτίωσης του τρόπου που γίνεται το authentication όταν χρησιμοποιούνται online υπηρεσίες. Λαμβάνοντας υπόψη την ραγδαία εξέλιξη της τεχνολογίας τα τελευταία χρόνια, τόσο στον καταναλωτικό όσο και στον επιχειρηματικό τομέα, τώρα ίσως είναι η κατάλληλη στιγμή για δράση.

Mobile authentication

Ο πολλαπλασιασμός των smartphones έχει ενισχύσει τη δημοτικότητα του two-factor authentication. Όταν οι χρήστες κάνουν log in με τα passwords τους, ελέγχουν τα email, τα SMS ή τις φορητές εφαρμογές για τον δεύτερο προσωρινό authentication code. Αυτό σημαίνει ότι ακόμα και αν το password ενός χρήστη έχει εκτεθεί, ο επιτιθέμενος χρειάζεται να αποκτήσει επιπλέον πρόσβαση στο δεύτερο authentication για να παραβιάσει το λογαριασμό που έχει ως στόχο.

Το επόμενο βήμα για να κάνει οποιοσδήποτε login με ασφάλεια φαίνεται να είναι το βιομετρικό authentication. Αν και αυτού του είδους η τεχνολογία υπάρχει εδώ και αρκετό καιρό, η Apple το έκανε ευρέως γνωστό, με την προσθήκη ενός fingerprint αισθητήρα στο iPhone 5S την περασμένη χρονιά. Οι χρήστες μπορούν να ξεκλειδώσουν το κινητό τους τηλέφωνο ή να ελέγξουν τις αγορές τους στο iTunes τοποθετώντας το δάχτυλό τους στο πλήκτρο ‘home’. Ακολούθησαν και άλλοι κατασκευαστές smartphone οι οποίοι εφάρμοσαν αυτό το χαρακτηριστικό στις συσκευές τους, ενώ τον Ιούνιο η Apple εγκατέστησε αυτό το χαρακτηριστικό σε όλες τις εφαρμογές της, βοηθώντας την τεχνολογία να εξαπλωθεί ακόμα περισσότερο.

Το βιομετρικό authentication στα smartphones δεν περιλαμβάνει μόνο το δαχτυλικό αποτύπωμα. Ένα στέλεχος της Samsung πρόσφατα δήλωσε ότι η εταιρεία εξετάζει την δημιουργία συσκευών, οι οποίες ανιχνεύουν τις ίριδες των χρηστών για να τους αναγνωρίσουν.

Το authentication του μέλλοντος

Το authentication δεν θα σταματήσει εδώ, καθώς οι ερευνητές συνεχώς αναζητούν νέους τρόπους για να φέρουν την επανάσταση αυτής της μεθόδου. Την περασμένη χρονιά, η Regina Dugan, επικεφαλής του Advanced Technology and Projects group στη Google, πρότεινε ένα tattoo ή ένα χάπι κατάποσης που να μπορεί να αναγνωρίζει τον χρήστη. Το μόνο που θα χρειάζεται να κάνουν οι χρήστες είναι να ακουμπούν την συσκευή τους – ή ακόμα και το αυτοκίνητο τους – για να την ξεκλειδώσουν.

Μια εταιρεία που αναδείχθηκε από το Πανεπιστήμιο της Οξφόρδης εργάζεται, επίσης, πάνω σε ένα νέο σύστημα authentication. Το σύστημα της Oxford BioChronometrics υπολογίζει τις αμέτρητες διαφορετικές συμπεριφορές που φέρει ένας χρήστης όταν αλληλεπιδρά με τη συσκευή του. Αυτό θα μπορούσε να περιλαμβάνει τον τρόπο που ο χρήστης γέρνει προς το κινητό του τηλέφωνό όταν πληκτρολογεί, την ταχύτητα που κάνει scroll, τις κινήσεις που κάνει με το ποντίκι του και ακόμα περισσότερα. Το σύστημα συνδυάζει αυτές τις πληροφορίες για να δημιουργήσει ένα “electronically Defined Natural Attributes (eDNA)” για τον χρήστη, το οποίο στη συνέχεια χρησιμοποιεί για να αναγνωρίσει την ταυτότητα του χρήστη.

Ο κ. Frank Stajano, επιστήμονας του Πανεπιστημίου Cambridge, υποστηρίζει ότι έχει μία διαφορετική λύση για το πρόβλημα των passwords υπό την μορφή μια ηλεκτρονικής αύρας. Με αυτό το σύστημα ο χρήστης φοράει ένα αξεσουάρ ή έχει ένα εμφύτευμα κάτω από το δέρμα, το οποίο παράγει μια ηλεκτρονική αύρα. Αυτή η αύρα θα μπορεί να επεκταθεί δύο με τρία πόδια γύρω από το σώμα ενός ατόμου και το σήμα που εκπέμπει θα επιτρέπει μόνο στον χρήστη να αποκτά πρόσβαση στις συσκευές που του ανήκουν. Ως αποτέλεσμα, το άτομο θα μπορεί να ξεκλειδώσει το αυτοκίνητο του με ένα κλειδί fob μέσα στα πλαίσια αυτού του πεδίου, αλλά εάν το κλειδί fob ξεφύγεια από τα όρια αυτού του πεδίου τότε θα πάψει να λειτουργεί. Ο Stajano δουλεύει, επίσης, επάνω σε μία συσκευή που ονομάζεται pico, η οποία αποθηκεύει μια σειρά αμέτρητων passwords για τις online υπηρεσίες. Αυτή η συσκευή θα λειτουργήσει μόνο εντός της ηλεκτρονικής αύρας.

Προστατέψτε τις πληροφορίες σας

Ίσως περάσει ορισμένο χρονικό διάστημα μέχρι αυτά τα φιλόδοξα project για τις μεθόδους authentication γίνουν πραγματικότητα. Τώρα, η Symantec συμβουλεύει τους χρήστες να διαφυλάξουν τις online πληροφορίες τους από τους επιτιθέμενους με τους παρακάτω τρόπους:

  • Χρησιμοποιείστε πάντα «ισχυρά» passwords και ποτέ μην τα επαναχρησιμοποιείτε σε άλλες ιστοσελίδες.
  • Ενεργοποιείστε το two-factor authentication στις ιστοσελίδες που το παρέχουν. Η υπηρεσία που παρέχει η Symantec:Validation and ID Protection (VIP) Service επιτρέπει στις επιχειρήσεις να εφαρμόσουν και το two-factor authentication και το risk-based token-less authentication.
  • Εξετάστε το ενδεχόμενο χρήσης ενός password manager, όπως το Norton Identity Safe, το οποίο αποθηκεύει με ασφάλεια διαφορετικούς κωδικούς πρόσβασης για τις online υπηρεσίες.
Loading