50 παραβιάσεις κωδικών πρόσβασης την ώρα

Οι ερευνητές της Kaspersky Lab εξέτασαν τα δημοσίως διαθέσιμα εργαλεία hardware και λογισμικού για κρυφή υποκλοπή κωδικών πρόσβασης και ανακάλυψαν ότι ένα ισχυρό εργαλείο hacking μπορεί να δημιουργηθεί με μόλις 20$ και λίγες ώρες δουλειάς από κάποιον που διαθέτει βασικές γνώσεις προγραμματισμού. Σε ένα πείραμα που πραγματοποίησαν χρησιμοποίησαν μία USB συσκευή που βασίζεται σε ένα αυτοσχέδιο Raspberry Pi, ρυθμισμένο με συγκεκριμένο τρόπο και μάλιστα χωρίς να έχει εγκατεστημένο κάποιο κακόβουλο λογισμικό. Οπλισμένοι με αυτήν τη συσκευή, ήταν σε θέση να συλλέγουν κρυφά δεδομένα που σχετίζονται με την ταυτοποίηση των χρηστών από ένα εταιρικό δίκτυο, με ρυθμό 50 παραβιάσεων κωδικών πρόσβασης την ώρα.

Προκειμένου να προστατεύσετε τον υπολογιστή ή το δίκτυό σας από επιθέσεις με τη βοήθεια παρόμοιων DIY συσκευών, οι ειδικοί ασφαλείας της Kaspersky Lab συμβουλεύουν τα παρακάτω:

Για τακτικούς χρήστες:

–    Όταν επιστρέφετε στον υπολογιστή σας, ελέγξτε αν υπάρχουν επιπλέον συσκευές USB που εξέχουν από τις θύρες σας.
–   Αποφύγετε την αποδοχή flash drives από μη αξιόπιστες πηγές. Αυτή η μονάδα θα μπορούσε στην πραγματικότητα να είναι ένας υποκλοπέας κωδικού πρόσβασης.
–   Αποκτήστε τη συνήθεια να τερματίζετε τις συνεδρίες σε ιστότοπους που απαιτούν έλεγχο ταυτότητας. Συνήθως, αυτό σημαίνει να κάνετε κλικ σε ένα κουμπί «αποσύνδεσης».
–    Να αλλάζετε τους κωδικούς πρόσβασης τακτικά – τόσο στον υπολογιστή σας, όσο και στις ιστοσελίδες που χρησιμοποιείτε συχνά. Θυμηθείτε ότι δεν χρησιμοποιούν όλες οι αγαπημένες σας ιστοσελίδες μηχανισμούς προστασίας από την αντικατάσταση δεδομένων cookie (cookie data substitution). Μπορείτε να χρησιμοποιήσετε εξειδικευμένο λογισμικό διαχείρισης κωδικών πρόσβασης για την εύκολη διαχείριση ισχυρών και ασφαλών κωδικών πρόσβασης, όπως το δωρεάν εργαλείο Kaspersky Password Manager.
–    Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων ζητώντας, για παράδειγμα, επιβεβαίωση σύνδεσης ή χρήση ενός διακριτικού υλικού hardware.
–   Να εγκαταστήσετε και να ενημερώνετε τακτικά μια λύση ασφαλείας από έναν αποδεδειγμένο και αξιόπιστο προμηθευτή.

Για τους διαχειριστές συστημάτων

–   Αν το επιτρέπει η τοπολογία του δικτύου, προτείνουμε να χρησιμοποιείτε αποκλειστικά πρωτόκολλο Kerberos για τον έλεγχο ταυτότητας των χρηστών του domain.
–  Περιορίστε τους χρήστες με προνόμια στο domain από τη σύνδεση στα συστήματα παλαιού τύπου, ειδικά οι διαχειριστές τομέα.
–  Οι κωδικοί πρόσβασης των domain users πρέπει να αλλάζονται τακτικά. Εάν, για οποιονδήποτε λόγο, η πολιτική του οργανισμού δεν συνεπάγεται τακτικές αλλαγές κωδικού πρόσβασης, φροντίστε να αλλάξετε αυτήν την πολιτική.
–    Όλοι οι υπολογιστές εντός ενός εταιρικού δικτύου πρέπει να προστατεύονται με λύσεις ασφάλειας και πρέπει να εξασφαλίζονται τακτικές ενημερώσεις.
–    Για να αποφευχθεί η σύνδεση μη εξουσιοδοτημένων συσκευών USB, μπορεί να είναι χρήσιμη μια λειτουργία ελέγχου συσκευής, όπως αυτή που είναι διαθέσιμη στη σουίτα Kaspersky Endpoint Security for Business.
–    Εάν είστε ιδιοκτήτης της διαδικτυακής πηγής, σας συνιστούμε να ενεργοποιήσετε το HSTS (αυστηρή ασφάλεια μεταφοράς HTTP), το οποίο εμποδίζει την εναλλαγή από το HTTPS σε πρωτόκολλο HTTP και την πλαστογράφηση των στοιχείων σύνδεσης από ένα κλεμμένο cookie.
–    Αν είναι δυνατόν, απενεργοποιήστε τη λειτουργία ακρόασης και ενεργοποιήστε τη ρύθμιση απομόνωσης Client (AP) σε Wi-Fi routers και switches, απενεργοποιώντας τους από την ακρόαση της κίνησης σε άλλους σταθμούς εργασίας.
–  Ενεργοποιήστε τη ρύθμιση DHCP Snooping για να προστατεύσετε τους χρήστες των εταιρικών δικτύων από τη λήψη αιτημάτων DHCP από πλαστούς DHCP server.

Πηγή

Χρήσιμοι κανόνες από την ESET για τη δημιουργία ισχυρών passwords

Οι κίνδυνοι που παραμονεύουν στον εικονικό κόσμο του διαδικτύου πολλές φορές δεν γίνονται αντιληπτοί σε μερικούς χρήστες, που έχουν μεγαλώσει στην εποχή που δεν υπήρχε Internet και κοινωνικά δίκτυα, σε αντίθεση με τις νέες γενιές που μεγαλώνουν στην ψηφιακή εποχή και είναι πιο υποψιασμένες. Θέλοντας να βοηθήσει τους ανυποψίαστους χρήστες, ο Ondrej Kubovic, IT Security Specialist της ESET, προσφέρει μερικούς βασικούς κανόνες για ασφαλή passwords.

  1. Δημιουργήστε ένα μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό και μην το μοιραστείτε με κανέναν.
  2. Ο κανόνας είναι – όσο μεγαλύτερος ο κωδικός πρόσβασης, τόσο πιο ασφαλής. Ξεκινήστε με τουλάχιστον 8 χαρακτήρες, αλλά επιμηκύνετε τον κωδικό αν χρησιμεύει για  να προστατεύει πολύτιμα δεδομένα ή λογαριασμούς. Αν έχετε πρόβλημα να θυμηθείτε ένα σύνθετο κωδικό πρόσβασης, μπορείτε επίσης να επιλέξετε μια συνθηματική φράση ή να χρησιμοποιήσετε έναν password manager (αναλύονται παρακάτω)
  3. Αποφύγετε κοινές λέξεις, ονόματα, ημερομηνίες, αριθμούς ή προφανείς επιλογές, όπως 12345678, password ή qwerty.
  4. Προσθέστε ένα ψηφιακό κομμάτι, όπως αριθμούς και ειδικούς χαρακτήρες (@, #,!, κλπ), ή χρησιμοποιήστε τα αντικαθιστώντας κάποια από τα γράμματα στον κωδικό πρόσβασής σας.
  5. Εάν επιλέξετε την αντικατάσταση, προσπαθήστε να μην χρησιμοποιήσετε τις συνήθεις «ανορθογραφίες», όπως αντικατάσταση του «α» με «@» ή «ι» με «1» ή «!».
  6. Αλλάξτε τακτικά τους κωδικούς πρόσβασής. Και εδώ ισχύει ότι όσο πιο σημαντικά τα δεδομένα που προστατεύονται, τόσο πιο σύντομα πρέπει να αλλάζουν οι κωδικοί.
  7. Ένας από τους σημαντικότερους κανόνες είναι να μην χρησιμοποιήσετε ξανά τον ίδιο κωδικό πρόσβασης σε άλλους λογαριασμούς. Με αυτόν τον τρόπο, αν κλαπεί, κινδυνεύει μόνο ένας λογαριασμός, και αξίζει να το επισημαίνουμε ακόμη κι αν επαναλαμβανόμαστε.

Στη θεωρία μπορεί να ακούγεται αρκετά απλό, αλλά η πραγματικότητα είναι πιο σύνθετη. Πολλαπλές μελέτες έχουν δείξει ότι ο μέσος χρήστης έχει δεκάδες κωδικούς πρόσβασης για έναν ακόμη μεγαλύτερο αριθμό λογαριασμών, γεγονός που δυσχεραίνει τη διαχείρισή τους. Ωστόσο, υπάρχουν στρατηγικές για να παραμείνετε ασφαλείς διευκολύνοντας τη διαδικασία. Το πρώτο πράγμα που μπορεί να βοηθήσει είναι οι συνθηματικές φράσεις, ή αλλιώς passphrases, που παρόλου που είναι μεγαλύτερες από τους κωδικούς πρόσβασης, είναι πιο εύκολο να απομνημονευτούν. Ένας άλλος τρόπος είναι η χρήση ενός αξιόπιστου password manager, που αποθηκεύει όλους τους κωδικούς σε ένα μέρος, και το μόνο που χρειάζεται να θυμάται ο χρήστης είναι ένα από αυτά, εκείνο δηλαδή που θα του επιτρέψει να ξεκλειδώσει την εφαρμογή.

Πηγή

Εργαλεία ελέγχου ισχύος κωδικών: Συχνά αναξιόπιστα

laptop

Δεν λένε πάντα την αλήθεια τα εργαλεία αξιολόγησης κωδικών, διαπίστωσαν ερευνητές. Άλλοτε δίνουν το ‘OK’ τη στιγμή που το password είναι αδύναμο, άλλες πάλι φορές δεν δίνουν το ‘OK’ τη στιγμή που το password είναι πράγματι ισχυρό.

Συχνά τα εργαλεία ελέγχου της ισχύος κωδικών μας λένε αυτό ακριβώς που θέλουμε, όπως ακριβώς θα έκανε η σύντροφος ή ο σύντροφος όταν θα ρωτούσαμε για το νέο μας κούρεμα. Αυτό είναι το πόρισμα στο οποίο έφτασαν ερευνητές από το Πανεπιστήμιο Concordia στο Μόντρεαλ του Καναδά, μετά την αξιολόγηση εργαλείων ελέγχουν σε sites μεγάλων εταιρειών όπως Google, Yahoo, Twitter κ.ά.

Οι ερευνητές χρησιμοποίησαν scripts προκειμένου να στείλουν εκατομμύρια μέτρια passwords στα εργαλεία των εταιρειών, όπως επίσης και σε υπηρεσίες όπως το LastPass και το 1Password. Τα αποτελέσματα ήταν ασυνεπή: Συνθηματικά που χαρακτηρίζονταν ως ισχυρά από μερικά εργαλεία, από άλλα χαρακτηρίζονταν ως αδύναμα.

Μεταξύ των πλέον αξιόπιστων password checkers είναι εκείνος που διαθέτει το Dropbox, διαπίστωσαν οι ερευνητές.

Πηγή

Ένα δισεκατομμύριο κωδικοί πρόσβασης «στα χέρια ρώσων χάκερ»

Νέα Υόρκη

Στη μεγαλύτερη ίσως υποκλοπή δεδομένων που έχει καταγραφεί ως σήμερα, αμερικανική εταιρεία ασφάλειας προειδοποιεί ότι 1,2 δισεκατομμύρια κωδικοί πρόσβασης στο Διαδίκτυο και 500.000 διευθύνσεις email βρίσκονται στα χέρια νεαρών χάκερ στη Ρωσία.

Η σπείρα, αποτελούμενη από περίπου δέκα άτομα στην κεντρική Ρωσία, κοντά στα σύνορα με το Καζακστάν, υπέκλεψε δεδομένα χρηστών από 420.000 δικτυακούς τόπους, αναφέρει η Hold Security, η οποία έχει αποκαλύψει στο παρελθόν κι άλλες παρόμοιες υποθέσεις.

Η εταιρεία δεν αποκαλύπτει ποιοι είναι οι δικτυακοί τόποι που παραβιάστηκαν, επικαλούμενη νομικές συμφωνίες αλλά και το γεγονός ότι αρκετοί από τους στόχους παραμένουν ευάλωτοι.

Η λίστα φέρεται πάντως να περιλαμβάνει μεγάλες εταιρείες του Διαδικτύου, ορισμένες από τις οποίες έχουν ενημερωθεί για την κυβερνοεπίθεση, καθώς και χιλιάδες μικρούς δικτυακούς τόπους.

Ανεξάρτητος ειδικός που ανέλυσε τα κλεμμένα δεδομένα για λογαριασμό των New York Times επιβεβαίωσε ότι οι κωδικοί είναι γνήσιοι.

Η σπείρα φαίνεται ότι αποτελείται από περίπου δέκα Ρώσους κάτω των 30 ετών οι οποίοι ζουν στην ίδια πόλη της κεντρικής Ρωσίας και γνωρίζονται προσωπικά μεταξύ τους.

Σύμφωνα με την Hold Security, οι χάκερ σε πρώτη φάση μόλυναν με κακόβουλο λογισμικό τους υπολογιστές ανυποψίαστων χρηστών και δημιούργησαν έτσι ένα botnet, ένα δίκτυο μολυσμένων PC που λειτουργούν ως υποχείρια της σπείρας. Το λογισμικό των χάκερ ήταν σχεδιασμένο να επιτίθεται σε κάθε ευάλωτο δικτυακό τόπο που επισκεπτόταν ο χρήστης.

«Οι χάκερ […] επιτέθηκαν σε κάθε δικτυακό τόπο που μπορούσαν να χτυπήσουν, από εταιρείες του Fortune 500 μέχρι πολύ μικρές ιστοσελίδες» ανέφερε στους NY Times ο ιδρυτής της Hold Security Άλεξ Χόλντεν.

Σύμφωνα με την εταιρεία τα κλεμμένα δεδομένα δεν έχουν πουληθεί στη μαύρη αγορά, έχουν όμως χρησιμοποιηθεί για την αποστολή spam (αυτόκλητα διαφημιστικά μηνύματα) για λογαριασμό τρίτων. Ουσιαστικά οι χάκερ αντλούν έσοδα δρώντας ως παράνομο διαφημιστικό πρακτορείο.

Για όσους επιθυμούν να αλλάξουν κωδικούς πρόσβασης στο Διαδίκτυο, ο καθηγητής Άλαν Γούντγουορντ του Πανεπιστημίου του Σάρεϊ παραθέτει μερικές συμβουλές στο BBC:

  • Μην χρησιμοποιείτε το ίδιο password σε πολλούς δικτυακούς τόπους
  • Αποφύγετε λέξεις που υπάρχουν στο λεξικό
  • Αποφύγετε συνθηματικά που αφορούν την προσωπική ζωή σας, όπως για παράδειγμα το όνομα του σκύλου σας. Οι χάκερ μπορούν να ανακαλύψουν τα στοιχεία αυτά μέσω των κοινωνικών επαφών σας.
  • Χρησιμοποιήστε συνδυασμούς ασυνήθιστων χαρακτήρων, αντικαθιστώντας για παράδειγμα το γράμμα «i» με τον αριθμό «1».
  • Μην κρατάτε σημειώσεις με τους κωδικούς πρόσβασης

Πηγή

Ένας Κόσμος Χωρίς Passwords

Παρά το γεγονός ότι η online ταυτοποίηση δύσκολα παραβιάζεται, ωστόσο, μέρα με την ημέρα γίνεται όλο και πιο ξεκάθαρο ότι θα πρέπει να απαλλαγούμε από την χρήση των passwords όσο πιο σύντομα γίνεται. Τα passwords έχουν αρκετές αδυναμίες, οι οποίες θέτουν τους εταιρικούς χρήστες, τους καταναλωτές και την online κοινότητα σε κίνδυνο, καθώς οι χρήστες στηρίζονται σε αυτά για την πρόσβαση τους σε κάθε τι Online. Το πρόβλημα είναι τελικά είναι ότι αυτοί οι μυστικοί κωδικοί δεν παραμένουν και τόσο μυστικοί.

Τα passwords κρύβουν μια σειρά από αδυναμίες που αφορούν τόσο στη λειτουργικότητά τους όσο και στον τρόπο που εμείς τα χρησιμοποιούμε. Έτσι, λοιπόν, δημιουργούνται τρία βασικά ζητήματα:

Τα Passwords μπορούν εύκολα να παραβιαστούν και να επαναχρησιμοποιηθούν. Τα Passwords που χρησιμοποιούμε για να πιστοποιήσουμε και να αποκτήσουμε πρόσβαση online πολύ εύκολα χάνονται ή υποκλέπτονται από hackers. Όπως έχει διαπιστωθεί τα τελευταία χρόνια, τα passwords δεν είναι ασφαλή και δεν διατηρούν τα δεδομένα προστατευμένα. Αρκετά από τα πιο πρόσφατα data breaches μεγάλης κλίμακας συμπεριλαμβάνουν την απώλεια των passwords, γεγονός το οποίο επέτρεψε στους hackers να αποσπάσουν σημαντικές πληροφορίες τις οποίες χρησιμοποίησαν έπειτα για να έχουν πρόσβαση σε προσωπικές, εταιρικές ή οικονομικές πληροφορίες. Παρά το γεγονός ότι μία εταιρεία μπορεί να διαθέτει encryption δεδομένων για τα κλεμμένα passwords, ωστόσο, εάν το σύστημα κρυπτογράφησης δεν είναι ισχυρό τότε ένας εξειδικευμένος hacker μπορεί γρήγορα να τα αποκρυπτογραφήσει, αφήνοντας τους εντελώς εκτεθειμένους.  Το πιο ανησυχητικό, όμως, είναι ότι η ανεξέλεγκτη επαναχρησιμοποίηση των passwords σε πολλαπλές ιστοσελίδες οδηγεί σε σοβαρό ζήτημα για το σύνολο της online ταυτότητας του χρήστη. Εφόσον, ένας hacker μπορεί να αποκτήσει πρόσβαση στο password ενός λογαριασμού μπορεί να βρει τον τρόπο να παραβιάσει τα πάντα.

Η ανάκτηση είναι αποδυναμωμένη. Εάν ένας χρήστης χάσει ή ξεχάσει το password, η παραδοσιακή μέθοδος ανάκτησης του password ζητά μία σειρά από απαντήσεις που μόνο ο πραγματικός χειριστής του λογαριασμού θα έπρεπε να γνωρίζει. Δυστυχώς, αυτά αποτελούν πρόσθετα passwords που συχνά μπορούν εύκολα να μαντεύσουν με βάση τις πληροφορίες που ένας χρήστης διαθέτει online. Οι hackers μπορούν να υποκλέψουν τα passwords και μέσω του social engineering. Αυτή η μέθοδος συχνά περιλαμβάνει την εκμετάλλευση των χρηστών που έχουν πρόσβαση στις δικές σας πληροφορίες. Δύο τέτοιες περιπτώσεις περιλαμβάνουν την υποκλοπή ταυτοτήτων στο Twitter του @N και του @mat.

Οι χρήστες δεν χρησιμοποιούν ισχυρά passwords. Η δημιουργία Password ανήκει στον χρήστη, αλλά συνήθως δεν δίνει ιδιαίτερη σημασία στην δημιουργία ισχυρών Password. Θα εκπλαγείτε αν δείτε πόσοι χρήστες χρησιμοποιούν το “1234” ή το “love” ή τη σειρά του πληκτρολογίου “qwerty” ως κωδικούς. Αυτό συχνά οδηγεί σε ισχυρές επιθέσεις που δοκιμάζουν μία σειρά passwords σε συνδυασμό με usernames.

Τα καλά νέα είναι ότι παρατηρείται μια σειρά από εναλλακτικές λύσεις. Δύο ισχυροί παράγοντες αλλαγής: οι υπολογιστές τσέπης που αποτελούν φυσική προέκταση της ταυτότητάς μας καθώς επίσης και η ενσωμάτωση βιομετρικών δακτυλικών αποτυπωμάτων για μεγαλύτερη ασφάλεια.

Θέλετε να μάθετε περισσότερα; Ανατρέξτε στην παρουσίαση της Symantec: Μπαίνοντας σε έναν κόσμο δίχως Passwords.

Πηγή

Οι hackers χρησιμοποιούν κοινότυπα και αδύναμα passwords όπως οι περισσότεροι χρήστες

Έκθεση της γνωστής εταιρείας ηλεκτρονικής ασφαλείας Avast, αποκάλυψε πως οι hackers χρησιμοποιούν αδύναμα passwords, όπως ακριβώς και η πλειοψηφία των χρηστών παγκοσμίως.  Στην Avast ανέλυσαν ένα δείγμα περίπου 40.000 κωδικών ασφαλείας τα οποία συνέλεξαν κατά τη διάρκεια των ερευνών τους σε κακόβουλα προγράμματα τα τελευταία χρόνια. Μέσω των αναλύσεων που έκαναν, ανακάλυψαν πως μόνο το 10% των passwords ήταν πάνω από ένα επίπεδο για να μην ανακτηθούν εύκολα με τις γνωστές μεθόδους που υπάρχουν.

Επιπλέον ανακάλυψαν πως σχεδόν κάνενα από τα passwords δεν περιείχε κεφαλαίους χαρακτήρες, παρά τις συνεχείς προτροπές ειδικών σε θέματα ασφαλείας για χρήση κωδικών που περιέχουν πεζά αλλά και κεφαλαία. Οι περισσότεροι κωδικοί ήταν στην αγγλική γλώσσα και αποτελούνταν από κοινές λέξεις και εκφράσεις, ενώ συχνά περιείχαν παραλλαγές των λέξεων pass, root και hax. Το μέσο μήκος των κωδικών ήταν μόλις έξι χαρακτήρες και μόνο 52 είχαν μήκος πάνω από 12 χαρακτήρες.

Πηγή

Τα 25 χειρότερα passwords για το 2013

Μετά από δύο χρόνια, η λέξη “password” χάνει τα πρωτεία στη λίστα με τους 25 χειρότερους κωδικούς ασφαλείας που δημοσιεύει η SplashData, μια λίστα η οποία προκύπτει από τους χιλιάδες λογαριασμούς που παραβιάζονται κάθε χρόνο. ”Νικητής” για το 2013 αναδεικνύεται το “123456″, αλλά πέρα από τα προφανή είχαμε και 8 νέες εισόδους στο Top 25 παροιμιώδους αφέλειας…

Πέραν της πλάκας, ο CEO της SplashData υπενθυμίζει ότι θα πρέπει να επιλέγουμε αρκετά πολύπλοκα passwords και με αφορμή τα “adobe123″, “photoshop” προειδοποιεί να μην χρησιμοποιούμε ως βάση το αντίστοιχο πρόγραμμα/υπηρεσία κλπ.

worst_passwords_2013

Πηγή