50 παραβιάσεις κωδικών πρόσβασης την ώρα

Οι ερευνητές της Kaspersky Lab εξέτασαν τα δημοσίως διαθέσιμα εργαλεία hardware και λογισμικού για κρυφή υποκλοπή κωδικών πρόσβασης και ανακάλυψαν ότι ένα ισχυρό εργαλείο hacking μπορεί να δημιουργηθεί με μόλις 20$ και λίγες ώρες δουλειάς από κάποιον που διαθέτει βασικές γνώσεις προγραμματισμού. Σε ένα πείραμα που πραγματοποίησαν χρησιμοποίησαν μία USB συσκευή που βασίζεται σε ένα αυτοσχέδιο Raspberry Pi, ρυθμισμένο με συγκεκριμένο τρόπο και μάλιστα χωρίς να έχει εγκατεστημένο κάποιο κακόβουλο λογισμικό. Οπλισμένοι με αυτήν τη συσκευή, ήταν σε θέση να συλλέγουν κρυφά δεδομένα που σχετίζονται με την ταυτοποίηση των χρηστών από ένα εταιρικό δίκτυο, με ρυθμό 50 παραβιάσεων κωδικών πρόσβασης την ώρα.

Προκειμένου να προστατεύσετε τον υπολογιστή ή το δίκτυό σας από επιθέσεις με τη βοήθεια παρόμοιων DIY συσκευών, οι ειδικοί ασφαλείας της Kaspersky Lab συμβουλεύουν τα παρακάτω:

Για τακτικούς χρήστες:

–    Όταν επιστρέφετε στον υπολογιστή σας, ελέγξτε αν υπάρχουν επιπλέον συσκευές USB που εξέχουν από τις θύρες σας.
–   Αποφύγετε την αποδοχή flash drives από μη αξιόπιστες πηγές. Αυτή η μονάδα θα μπορούσε στην πραγματικότητα να είναι ένας υποκλοπέας κωδικού πρόσβασης.
–   Αποκτήστε τη συνήθεια να τερματίζετε τις συνεδρίες σε ιστότοπους που απαιτούν έλεγχο ταυτότητας. Συνήθως, αυτό σημαίνει να κάνετε κλικ σε ένα κουμπί «αποσύνδεσης».
–    Να αλλάζετε τους κωδικούς πρόσβασης τακτικά – τόσο στον υπολογιστή σας, όσο και στις ιστοσελίδες που χρησιμοποιείτε συχνά. Θυμηθείτε ότι δεν χρησιμοποιούν όλες οι αγαπημένες σας ιστοσελίδες μηχανισμούς προστασίας από την αντικατάσταση δεδομένων cookie (cookie data substitution). Μπορείτε να χρησιμοποιήσετε εξειδικευμένο λογισμικό διαχείρισης κωδικών πρόσβασης για την εύκολη διαχείριση ισχυρών και ασφαλών κωδικών πρόσβασης, όπως το δωρεάν εργαλείο Kaspersky Password Manager.
–    Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων ζητώντας, για παράδειγμα, επιβεβαίωση σύνδεσης ή χρήση ενός διακριτικού υλικού hardware.
–   Να εγκαταστήσετε και να ενημερώνετε τακτικά μια λύση ασφαλείας από έναν αποδεδειγμένο και αξιόπιστο προμηθευτή.

Για τους διαχειριστές συστημάτων

–   Αν το επιτρέπει η τοπολογία του δικτύου, προτείνουμε να χρησιμοποιείτε αποκλειστικά πρωτόκολλο Kerberos για τον έλεγχο ταυτότητας των χρηστών του domain.
–  Περιορίστε τους χρήστες με προνόμια στο domain από τη σύνδεση στα συστήματα παλαιού τύπου, ειδικά οι διαχειριστές τομέα.
–  Οι κωδικοί πρόσβασης των domain users πρέπει να αλλάζονται τακτικά. Εάν, για οποιονδήποτε λόγο, η πολιτική του οργανισμού δεν συνεπάγεται τακτικές αλλαγές κωδικού πρόσβασης, φροντίστε να αλλάξετε αυτήν την πολιτική.
–    Όλοι οι υπολογιστές εντός ενός εταιρικού δικτύου πρέπει να προστατεύονται με λύσεις ασφάλειας και πρέπει να εξασφαλίζονται τακτικές ενημερώσεις.
–    Για να αποφευχθεί η σύνδεση μη εξουσιοδοτημένων συσκευών USB, μπορεί να είναι χρήσιμη μια λειτουργία ελέγχου συσκευής, όπως αυτή που είναι διαθέσιμη στη σουίτα Kaspersky Endpoint Security for Business.
–    Εάν είστε ιδιοκτήτης της διαδικτυακής πηγής, σας συνιστούμε να ενεργοποιήσετε το HSTS (αυστηρή ασφάλεια μεταφοράς HTTP), το οποίο εμποδίζει την εναλλαγή από το HTTPS σε πρωτόκολλο HTTP και την πλαστογράφηση των στοιχείων σύνδεσης από ένα κλεμμένο cookie.
–    Αν είναι δυνατόν, απενεργοποιήστε τη λειτουργία ακρόασης και ενεργοποιήστε τη ρύθμιση απομόνωσης Client (AP) σε Wi-Fi routers και switches, απενεργοποιώντας τους από την ακρόαση της κίνησης σε άλλους σταθμούς εργασίας.
–  Ενεργοποιήστε τη ρύθμιση DHCP Snooping για να προστατεύσετε τους χρήστες των εταιρικών δικτύων από τη λήψη αιτημάτων DHCP από πλαστούς DHCP server.

Πηγή

Χρήσιμοι κανόνες από την ESET για τη δημιουργία ισχυρών passwords

Οι κίνδυνοι που παραμονεύουν στον εικονικό κόσμο του διαδικτύου πολλές φορές δεν γίνονται αντιληπτοί σε μερικούς χρήστες, που έχουν μεγαλώσει στην εποχή που δεν υπήρχε Internet και κοινωνικά δίκτυα, σε αντίθεση με τις νέες γενιές που μεγαλώνουν στην ψηφιακή εποχή και είναι πιο υποψιασμένες. Θέλοντας να βοηθήσει τους ανυποψίαστους χρήστες, ο Ondrej Kubovic, IT Security Specialist της ESET, προσφέρει μερικούς βασικούς κανόνες για ασφαλή passwords.

  1. Δημιουργήστε ένα μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό και μην το μοιραστείτε με κανέναν.
  2. Ο κανόνας είναι – όσο μεγαλύτερος ο κωδικός πρόσβασης, τόσο πιο ασφαλής. Ξεκινήστε με τουλάχιστον 8 χαρακτήρες, αλλά επιμηκύνετε τον κωδικό αν χρησιμεύει για  να προστατεύει πολύτιμα δεδομένα ή λογαριασμούς. Αν έχετε πρόβλημα να θυμηθείτε ένα σύνθετο κωδικό πρόσβασης, μπορείτε επίσης να επιλέξετε μια συνθηματική φράση ή να χρησιμοποιήσετε έναν password manager (αναλύονται παρακάτω)
  3. Αποφύγετε κοινές λέξεις, ονόματα, ημερομηνίες, αριθμούς ή προφανείς επιλογές, όπως 12345678, password ή qwerty.
  4. Προσθέστε ένα ψηφιακό κομμάτι, όπως αριθμούς και ειδικούς χαρακτήρες (@, #,!, κλπ), ή χρησιμοποιήστε τα αντικαθιστώντας κάποια από τα γράμματα στον κωδικό πρόσβασής σας.
  5. Εάν επιλέξετε την αντικατάσταση, προσπαθήστε να μην χρησιμοποιήσετε τις συνήθεις «ανορθογραφίες», όπως αντικατάσταση του «α» με «@» ή «ι» με «1» ή «!».
  6. Αλλάξτε τακτικά τους κωδικούς πρόσβασής. Και εδώ ισχύει ότι όσο πιο σημαντικά τα δεδομένα που προστατεύονται, τόσο πιο σύντομα πρέπει να αλλάζουν οι κωδικοί.
  7. Ένας από τους σημαντικότερους κανόνες είναι να μην χρησιμοποιήσετε ξανά τον ίδιο κωδικό πρόσβασης σε άλλους λογαριασμούς. Με αυτόν τον τρόπο, αν κλαπεί, κινδυνεύει μόνο ένας λογαριασμός, και αξίζει να το επισημαίνουμε ακόμη κι αν επαναλαμβανόμαστε.

Στη θεωρία μπορεί να ακούγεται αρκετά απλό, αλλά η πραγματικότητα είναι πιο σύνθετη. Πολλαπλές μελέτες έχουν δείξει ότι ο μέσος χρήστης έχει δεκάδες κωδικούς πρόσβασης για έναν ακόμη μεγαλύτερο αριθμό λογαριασμών, γεγονός που δυσχεραίνει τη διαχείρισή τους. Ωστόσο, υπάρχουν στρατηγικές για να παραμείνετε ασφαλείς διευκολύνοντας τη διαδικασία. Το πρώτο πράγμα που μπορεί να βοηθήσει είναι οι συνθηματικές φράσεις, ή αλλιώς passphrases, που παρόλου που είναι μεγαλύτερες από τους κωδικούς πρόσβασης, είναι πιο εύκολο να απομνημονευτούν. Ένας άλλος τρόπος είναι η χρήση ενός αξιόπιστου password manager, που αποθηκεύει όλους τους κωδικούς σε ένα μέρος, και το μόνο που χρειάζεται να θυμάται ο χρήστης είναι ένα από αυτά, εκείνο δηλαδή που θα του επιτρέψει να ξεκλειδώσει την εφαρμογή.

Πηγή

Εργαλεία ελέγχου ισχύος κωδικών: Συχνά αναξιόπιστα

laptop

Δεν λένε πάντα την αλήθεια τα εργαλεία αξιολόγησης κωδικών, διαπίστωσαν ερευνητές. Άλλοτε δίνουν το ‘OK’ τη στιγμή που το password είναι αδύναμο, άλλες πάλι φορές δεν δίνουν το ‘OK’ τη στιγμή που το password είναι πράγματι ισχυρό.

Συχνά τα εργαλεία ελέγχου της ισχύος κωδικών μας λένε αυτό ακριβώς που θέλουμε, όπως ακριβώς θα έκανε η σύντροφος ή ο σύντροφος όταν θα ρωτούσαμε για το νέο μας κούρεμα. Αυτό είναι το πόρισμα στο οποίο έφτασαν ερευνητές από το Πανεπιστήμιο Concordia στο Μόντρεαλ του Καναδά, μετά την αξιολόγηση εργαλείων ελέγχουν σε sites μεγάλων εταιρειών όπως Google, Yahoo, Twitter κ.ά.

Οι ερευνητές χρησιμοποίησαν scripts προκειμένου να στείλουν εκατομμύρια μέτρια passwords στα εργαλεία των εταιρειών, όπως επίσης και σε υπηρεσίες όπως το LastPass και το 1Password. Τα αποτελέσματα ήταν ασυνεπή: Συνθηματικά που χαρακτηρίζονταν ως ισχυρά από μερικά εργαλεία, από άλλα χαρακτηρίζονταν ως αδύναμα.

Μεταξύ των πλέον αξιόπιστων password checkers είναι εκείνος που διαθέτει το Dropbox, διαπίστωσαν οι ερευνητές.

Πηγή

Ένα δισεκατομμύριο κωδικοί πρόσβασης «στα χέρια ρώσων χάκερ»

Νέα Υόρκη

Στη μεγαλύτερη ίσως υποκλοπή δεδομένων που έχει καταγραφεί ως σήμερα, αμερικανική εταιρεία ασφάλειας προειδοποιεί ότι 1,2 δισεκατομμύρια κωδικοί πρόσβασης στο Διαδίκτυο και 500.000 διευθύνσεις email βρίσκονται στα χέρια νεαρών χάκερ στη Ρωσία.

Η σπείρα, αποτελούμενη από περίπου δέκα άτομα στην κεντρική Ρωσία, κοντά στα σύνορα με το Καζακστάν, υπέκλεψε δεδομένα χρηστών από 420.000 δικτυακούς τόπους, αναφέρει η Hold Security, η οποία έχει αποκαλύψει στο παρελθόν κι άλλες παρόμοιες υποθέσεις.

Η εταιρεία δεν αποκαλύπτει ποιοι είναι οι δικτυακοί τόποι που παραβιάστηκαν, επικαλούμενη νομικές συμφωνίες αλλά και το γεγονός ότι αρκετοί από τους στόχους παραμένουν ευάλωτοι.

Η λίστα φέρεται πάντως να περιλαμβάνει μεγάλες εταιρείες του Διαδικτύου, ορισμένες από τις οποίες έχουν ενημερωθεί για την κυβερνοεπίθεση, καθώς και χιλιάδες μικρούς δικτυακούς τόπους.

Ανεξάρτητος ειδικός που ανέλυσε τα κλεμμένα δεδομένα για λογαριασμό των New York Times επιβεβαίωσε ότι οι κωδικοί είναι γνήσιοι.

Η σπείρα φαίνεται ότι αποτελείται από περίπου δέκα Ρώσους κάτω των 30 ετών οι οποίοι ζουν στην ίδια πόλη της κεντρικής Ρωσίας και γνωρίζονται προσωπικά μεταξύ τους.

Σύμφωνα με την Hold Security, οι χάκερ σε πρώτη φάση μόλυναν με κακόβουλο λογισμικό τους υπολογιστές ανυποψίαστων χρηστών και δημιούργησαν έτσι ένα botnet, ένα δίκτυο μολυσμένων PC που λειτουργούν ως υποχείρια της σπείρας. Το λογισμικό των χάκερ ήταν σχεδιασμένο να επιτίθεται σε κάθε ευάλωτο δικτυακό τόπο που επισκεπτόταν ο χρήστης.

«Οι χάκερ […] επιτέθηκαν σε κάθε δικτυακό τόπο που μπορούσαν να χτυπήσουν, από εταιρείες του Fortune 500 μέχρι πολύ μικρές ιστοσελίδες» ανέφερε στους NY Times ο ιδρυτής της Hold Security Άλεξ Χόλντεν.

Σύμφωνα με την εταιρεία τα κλεμμένα δεδομένα δεν έχουν πουληθεί στη μαύρη αγορά, έχουν όμως χρησιμοποιηθεί για την αποστολή spam (αυτόκλητα διαφημιστικά μηνύματα) για λογαριασμό τρίτων. Ουσιαστικά οι χάκερ αντλούν έσοδα δρώντας ως παράνομο διαφημιστικό πρακτορείο.

Για όσους επιθυμούν να αλλάξουν κωδικούς πρόσβασης στο Διαδίκτυο, ο καθηγητής Άλαν Γούντγουορντ του Πανεπιστημίου του Σάρεϊ παραθέτει μερικές συμβουλές στο BBC:

  • Μην χρησιμοποιείτε το ίδιο password σε πολλούς δικτυακούς τόπους
  • Αποφύγετε λέξεις που υπάρχουν στο λεξικό
  • Αποφύγετε συνθηματικά που αφορούν την προσωπική ζωή σας, όπως για παράδειγμα το όνομα του σκύλου σας. Οι χάκερ μπορούν να ανακαλύψουν τα στοιχεία αυτά μέσω των κοινωνικών επαφών σας.
  • Χρησιμοποιήστε συνδυασμούς ασυνήθιστων χαρακτήρων, αντικαθιστώντας για παράδειγμα το γράμμα «i» με τον αριθμό «1».
  • Μην κρατάτε σημειώσεις με τους κωδικούς πρόσβασης

Πηγή

Ένας Κόσμος Χωρίς Passwords

Παρά το γεγονός ότι η online ταυτοποίηση δύσκολα παραβιάζεται, ωστόσο, μέρα με την ημέρα γίνεται όλο και πιο ξεκάθαρο ότι θα πρέπει να απαλλαγούμε από την χρήση των passwords όσο πιο σύντομα γίνεται. Τα passwords έχουν αρκετές αδυναμίες, οι οποίες θέτουν τους εταιρικούς χρήστες, τους καταναλωτές και την online κοινότητα σε κίνδυνο, καθώς οι χρήστες στηρίζονται σε αυτά για την πρόσβαση τους σε κάθε τι Online. Το πρόβλημα είναι τελικά είναι ότι αυτοί οι μυστικοί κωδικοί δεν παραμένουν και τόσο μυστικοί.

Τα passwords κρύβουν μια σειρά από αδυναμίες που αφορούν τόσο στη λειτουργικότητά τους όσο και στον τρόπο που εμείς τα χρησιμοποιούμε. Έτσι, λοιπόν, δημιουργούνται τρία βασικά ζητήματα:

Τα Passwords μπορούν εύκολα να παραβιαστούν και να επαναχρησιμοποιηθούν. Τα Passwords που χρησιμοποιούμε για να πιστοποιήσουμε και να αποκτήσουμε πρόσβαση online πολύ εύκολα χάνονται ή υποκλέπτονται από hackers. Όπως έχει διαπιστωθεί τα τελευταία χρόνια, τα passwords δεν είναι ασφαλή και δεν διατηρούν τα δεδομένα προστατευμένα. Αρκετά από τα πιο πρόσφατα data breaches μεγάλης κλίμακας συμπεριλαμβάνουν την απώλεια των passwords, γεγονός το οποίο επέτρεψε στους hackers να αποσπάσουν σημαντικές πληροφορίες τις οποίες χρησιμοποίησαν έπειτα για να έχουν πρόσβαση σε προσωπικές, εταιρικές ή οικονομικές πληροφορίες. Παρά το γεγονός ότι μία εταιρεία μπορεί να διαθέτει encryption δεδομένων για τα κλεμμένα passwords, ωστόσο, εάν το σύστημα κρυπτογράφησης δεν είναι ισχυρό τότε ένας εξειδικευμένος hacker μπορεί γρήγορα να τα αποκρυπτογραφήσει, αφήνοντας τους εντελώς εκτεθειμένους.  Το πιο ανησυχητικό, όμως, είναι ότι η ανεξέλεγκτη επαναχρησιμοποίηση των passwords σε πολλαπλές ιστοσελίδες οδηγεί σε σοβαρό ζήτημα για το σύνολο της online ταυτότητας του χρήστη. Εφόσον, ένας hacker μπορεί να αποκτήσει πρόσβαση στο password ενός λογαριασμού μπορεί να βρει τον τρόπο να παραβιάσει τα πάντα.

Η ανάκτηση είναι αποδυναμωμένη. Εάν ένας χρήστης χάσει ή ξεχάσει το password, η παραδοσιακή μέθοδος ανάκτησης του password ζητά μία σειρά από απαντήσεις που μόνο ο πραγματικός χειριστής του λογαριασμού θα έπρεπε να γνωρίζει. Δυστυχώς, αυτά αποτελούν πρόσθετα passwords που συχνά μπορούν εύκολα να μαντεύσουν με βάση τις πληροφορίες που ένας χρήστης διαθέτει online. Οι hackers μπορούν να υποκλέψουν τα passwords και μέσω του social engineering. Αυτή η μέθοδος συχνά περιλαμβάνει την εκμετάλλευση των χρηστών που έχουν πρόσβαση στις δικές σας πληροφορίες. Δύο τέτοιες περιπτώσεις περιλαμβάνουν την υποκλοπή ταυτοτήτων στο Twitter του @N και του @mat.

Οι χρήστες δεν χρησιμοποιούν ισχυρά passwords. Η δημιουργία Password ανήκει στον χρήστη, αλλά συνήθως δεν δίνει ιδιαίτερη σημασία στην δημιουργία ισχυρών Password. Θα εκπλαγείτε αν δείτε πόσοι χρήστες χρησιμοποιούν το “1234” ή το “love” ή τη σειρά του πληκτρολογίου “qwerty” ως κωδικούς. Αυτό συχνά οδηγεί σε ισχυρές επιθέσεις που δοκιμάζουν μία σειρά passwords σε συνδυασμό με usernames.

Τα καλά νέα είναι ότι παρατηρείται μια σειρά από εναλλακτικές λύσεις. Δύο ισχυροί παράγοντες αλλαγής: οι υπολογιστές τσέπης που αποτελούν φυσική προέκταση της ταυτότητάς μας καθώς επίσης και η ενσωμάτωση βιομετρικών δακτυλικών αποτυπωμάτων για μεγαλύτερη ασφάλεια.

Θέλετε να μάθετε περισσότερα; Ανατρέξτε στην παρουσίαση της Symantec: Μπαίνοντας σε έναν κόσμο δίχως Passwords.

Πηγή

Οι hackers χρησιμοποιούν κοινότυπα και αδύναμα passwords όπως οι περισσότεροι χρήστες

Έκθεση της γνωστής εταιρείας ηλεκτρονικής ασφαλείας Avast, αποκάλυψε πως οι hackers χρησιμοποιούν αδύναμα passwords, όπως ακριβώς και η πλειοψηφία των χρηστών παγκοσμίως.  Στην Avast ανέλυσαν ένα δείγμα περίπου 40.000 κωδικών ασφαλείας τα οποία συνέλεξαν κατά τη διάρκεια των ερευνών τους σε κακόβουλα προγράμματα τα τελευταία χρόνια. Μέσω των αναλύσεων που έκαναν, ανακάλυψαν πως μόνο το 10% των passwords ήταν πάνω από ένα επίπεδο για να μην ανακτηθούν εύκολα με τις γνωστές μεθόδους που υπάρχουν.

Επιπλέον ανακάλυψαν πως σχεδόν κάνενα από τα passwords δεν περιείχε κεφαλαίους χαρακτήρες, παρά τις συνεχείς προτροπές ειδικών σε θέματα ασφαλείας για χρήση κωδικών που περιέχουν πεζά αλλά και κεφαλαία. Οι περισσότεροι κωδικοί ήταν στην αγγλική γλώσσα και αποτελούνταν από κοινές λέξεις και εκφράσεις, ενώ συχνά περιείχαν παραλλαγές των λέξεων pass, root και hax. Το μέσο μήκος των κωδικών ήταν μόλις έξι χαρακτήρες και μόνο 52 είχαν μήκος πάνω από 12 χαρακτήρες.

Πηγή

Τα 25 χειρότερα passwords για το 2013

Μετά από δύο χρόνια, η λέξη “password” χάνει τα πρωτεία στη λίστα με τους 25 χειρότερους κωδικούς ασφαλείας που δημοσιεύει η SplashData, μια λίστα η οποία προκύπτει από τους χιλιάδες λογαριασμούς που παραβιάζονται κάθε χρόνο. ”Νικητής” για το 2013 αναδεικνύεται το “123456″, αλλά πέρα από τα προφανή είχαμε και 8 νέες εισόδους στο Top 25 παροιμιώδους αφέλειας…

Πέραν της πλάκας, ο CEO της SplashData υπενθυμίζει ότι θα πρέπει να επιλέγουμε αρκετά πολύπλοκα passwords και με αφορμή τα “adobe123″, “photoshop” προειδοποιεί να μην χρησιμοποιούμε ως βάση το αντίστοιχο πρόγραμμα/υπηρεσία κλπ.

worst_passwords_2013

Πηγή

Hacking facebook passwords on the same network

Να ευχαριστήσουμε ιδιαίτερα το μέλος μας Τριαντάφυλλο ο οποίος έγραψε αυτό τον πολύτιμο οδηγό για hacking facebook. Είναι πολύ αναλυτικός και μας εξηγεί όλα όσα πρέπει να κάνουμε. Όσα μας λέει είναι καθαρά για εκπαιδευτικούς σκοπούς και θέλει να μας δείξει πόσο εύκολα μπορεί να μας κλέψουν τους κωδικούς μας. Ειδικά στην περίπτωση που βρισκόμαστε σε free wifi. Ο οδηγός θα μας βοηθήσει να καταλάβουμε πως λειτουργούν οι hackers. Σκοπός του είναι να μας βοηθήσει να προστατευτούμε και όχι να επιτεθούμε σε άλλους χρήστες.

Η κάθε απόπειρα χρήσης τους οδηγού για κακόβουλους σκοπούς είναι αποκλειστικά με δικιά σας ευθύνη.

Τι πρέπει να κάνω για να «δω» τους κρυφούς κωδικούς κάποιου που βρίσκεται στο ίδιο δίκτυο με εμένα? Αυτή είναι η ερώτηση που απασχολεί πολλούς από εμάς που ασχολούμαστε με το συγκεκριμένο θέμα. Και επειδή ποτέ δεν ήμουνα καλός στην έκθεση ιδεών, ας προχωρήσουμε αμέσως στο θέμα μας. Για το σκοπό μας θα χρειαστούμε το λειτουργικό σύστημα BackTrack 5 R3 64bit που είναι αυτό που εγώ προσωπικά έχω κατεβάσει από το επίσημο site του BackTrack που είναι το εξής: http://www.backtrack-linux.org/downloads/ και μάλιστα προσωπικά προτιμώ την έκδοση GNOME και όχι KDE. Βασικά είναι ίδιες, απλά αλλάζει το γραφικό περιβάλλον. Θα το τρέξουμε μέσα από το VMware και τρέχοντας στην αρχή το BackTrack θα βάλουμε τους κωδικούς root & toor και μετά πληκτρολογούμε startx.

Μπαίνοντας πλέον στο λειτουργικό μας, βλέπουμε την επόμενη εικόνα, και μάλιστα ακολουθούμε τη διαδρομή που βλέπουμε:

Zenmap
Εικόνα 1. Διαδρομή του προγράμματος Zenmap.
Με αυτό το τρόπο, θα εκτελέσουμε το ZenMap, και με απλά λόγια θα βρούμε ποια μηχανήματα είναι συνδεδεμένα στο δίκτυό μας. Εννοείται λοιπόν ότι είμαστε ήδη συνδεδεμένοι στο δίκτυο μας. Εγώ προσωπικά είμαι ασύρματα συνδεδεμένος, και θα πληκτρολογήσω σε ένα terminal την εντολή: ifconfig και πατώντας enter θα δω την διεύθυνση IP μηχανήματός μου. Δες επόμενη εικόνα:
Εμφάνιση IP
Εικόνα 2. Εμφάνιση IP με δύο διαφορετικούς τρόπους.
Βλέπουμε εδώ ότι η διεύθυνση που έχω φαίνεται και από το terminal και από το παράθυρο δεξιά της διαχείρισης ασύρματων δικτύων.
Έχοντας ανοίξει λοιπόν το Zenmap πληκτρολογούμε τη διεύθυνσή μας αλλά όχι όπως την είδαμε, αλλά θα γράψουμε: 192.168.10.0/24 και έτσι θα πούμε στο πρόγραμμα να σκανάρει ΟΛΟ το δίκτυο. Έπειτα πατάω scan και περιμένω. Η διαδικασία κρατάει αρκετό χρόνο οπότε περιμένω.
Πατάω στο τέλος της διεύθυνσής μου ….0/24 για να ψάξει ουσιαστικά σε όλο το εύρος του δικτύου και να τα ‘σκανάρει’ όλα. Μόλις τελειώσει το σκανάρισμα βλέπουμε την εικόνα 3, όπου στο αριστερό μέρος φαίνονται όλα τα μηχανήματα που είναι συνδεδεμένα με το ΑΡ καθώς και το δικό μας στο συγκεκριμένο παράδειγμα. Κάνοντας κλικ μπορούμε να δούμε και τα αναλυτικά του στοιχεία, που μηχάνημα είναι το ΑΡ, ποια λειτουργικά συστήματα έχουνε οι υπολογιστές κλπ.
Ανάλυση αποτελεσμάτων με το ZenMap
Εικόνα 3. Ανάλυση αποτελεσμάτων με το ZenMap – Υπολογιστές δικτύου.
Κλείνουμε το ZenMap αφού πήραμε μια ιδέα για το τι γίνεται περίπου στο δίκτυό μας και προχωράμε παρακάτω.
θα πληκτρολογήσω την εντολή σε αυτό: service apache2 stop και πατάω enter. Αυτό γίνεται γιατί σε λίγο θα κάνω τον δικό mini web server ο οποίος θα σηκώσει την ιστοσελίδα που θέλω να παρακολουθήσω, και για το παράδειγμά μας το http://www.facebook.com. Πλέον μπορώ να το κάνω αυτό, και θα το πετύχω πληκτρολογώντας:
cd /pentest/exploits/set/ και πατάω enter και ακριβώς από κάτω πατάω:
./set και όμοια μετά πατάω enter.
Έτσι παίρνω το δεξί παράθυρο της εικόνας 4, που είναι το πρόγραμμα SET, όνομα το οποίο προκύπτει από τις λέξεις: Social Engineering Toolkit. Όπως φαίνεται πληκτρολογώ την επιλογή 1 (social engineering attacks). μετά θα επιλέξω την επιλογή 2 (website attack vectors) και μετά την επιλογή 3 (credential harvester attack method). Μετά θα επιλέξω τη δεύτερη επιλογή (site cloner) δηλαδή θα επιλέξω στον δικό μου server να ανεβάσω μια «κλωνοποιημένη» σελίδα αυτής που θα παρακολουθώ (facebook).
hacking facebook
Εικόνα 4. Στήσιμο και εκτέλεση του SET.
Για να πω λίγο εδώ τι ακριβώς γίνεται. Εμείς ουσιαστικά θέλουμε να μπούμε ΑΝΑΜΕΣΑ στον ρούτερ ΚΑΙ στον υπολογιστή του θύματος που παρακολουθούμε. Ή ανάμεσα στον ρούτερ και σε ΌΛΟΥΣ τους υπολογιστές του δικτύου μας, εάν θέλουμε να τους παρακολουθήσουμε, μήπως και κάποιος από αυτούς μπει στο facebook που είναι το παράδειγμα μας. Εγώ θα επιλέξω όλους τους υπολογιστές του δικτύου, μιας και δεν θέλω να επιτεθώ μόνο σε έναν υπολογιστή. Με αυτό το τρόπο όταν κάποιος άλλος από το δίκτυο θελήσει να δει μια ιστοσελίδα στο δίκτυο στόχο μας, δεν θα μπει αμέσως σε αυτή. Με άλλα λόγια αν θέλει κάποιος να μπει στο facebook το οποίο αντιστοιχεί στην ΙΡ 75.198.145.70.65, δεν θα μπει σε αυτή την ΙΡ απευθείας, αλλά πρώτα θα μπεί στην δική μας (192.168.10.5 για το παράδειγμά μας) και μετά μέσα από εμάς (δηλαδή από τον mini web server μας) θα μπει στην ΙΡ του facebook. Αφού όμως θα μπει μέσα από εμάς, θα μπορούμε να πάρουμε τα στοιχεία του μιας και οι πληροφορίες του θα περνάνε από εμάς. Ας δούμε πως……
Αφού από πριν βρίσκομαι στο σημείο όπου έχω επιλέξει την επιλογή site cloner, θα γράψω σαν site που θέλω να αναπαράγω το εξής: https://facebook.com και θα πατήσω enter. Μετά πρέπει να γράψω την διεύθυνση ΙΡ μου, αφού αυτή είναι που θα μπει κυριολεκτικά ανάμεσα στο ΑΡ και στον υπολογιστή στόχο. Πληκτρολογώ λοιπόν την ΙΡ μου και πατάω πάλι enter. Πατάω άλλη μία φορά αν μου ζητήσει αυτό μέσω ειδικού μηνύματος. Μετά από αυτό έχω κάνει τον server μου. Τώρα πρέπει να αντιστοιχήσω αυτόν με την δική μου ΙΡ. Έτσι θα πληκτρολογήσω τις εξής εντολές:
cd /usr/local/share/ettercap/ 
nano etter.dns
Ανοίγει έτσι το αρχείο etter.dns μέσα από το terminal. Θα πάω τέρμα κάτω και θα γράψω εκεί μία μόνο γραμμή. Για το παράδειγμα θα γράψω:
facebook.com A 192.168.10.5 (ip βάζετε την δικιά σας)
και θα σώσω το αρχείο πατώντας πρώτα ctrl+o, και μετά ctrl+x. Έτσι οι αλλαγές που κάνω έχουν μείνει πλέον στο αρχείο. Η εντολή που έβαλα σημαίνει το εξής: Όταν κάποιος πληκτρολογεί στον browser του αυτή τη διεύθυνση, δεν θα μπαίνει αμέσως στην δική του ΙΡ (της ιστοσελίδας δηλαδή), αλλά στην ΙΡ που γράφουμε εδώ. Δηλαδή την δική μας, και μετά από εκεί και πέρα θα προχωράει κανονικά στην ΙΡ του site.
Σε αυτό το σημείο έχουμε τελειώσει με το SET και μένει να τρέξουμε το πρόγραμμα ettercap. Θα πληκτρολογήσουμε λοιπόν σε ένα terminal την επόμενη εντολή:
ettercap -q -T -i wlan0 -P dns_spoof -M arp:remote // //
Δε θα αναλύσω το τι σημαίνει το κάθε γράμμα. Πλέον έχουμε τελειώσει και περιμένουμε. Όποιος από το δίκτυο μπει στο site που γράψαμε μέσα στο αρχείο etter.dns και πληκτρολογήσει φυσικά τα στοιχεία του, δηλαδή username και password θα μας εμφανιστούν στην οθόνη του προγράμματος SET. Δες εικόνα 5 & 6.

hacking facebook
Εικόνα 5. Πληκτρολογώντας username 7 password, δεν έχω πατήσει enter ακόμα.
password facebook
Εικόνα 6. Αφού έχω εισάγει username και password.
Βλέπουμε από την εικόνα 6 ότι αφού έχουμε πληκτρολογήσει τα στοιχεία μας και έχουμε πατήσει το enter, η διεύθυνση του facebook παίρνει στην αρχή τη δική μας IP. (Εικόνα 6 κόκκινο πλαίσιο επάνω αριστερά). Δοκιμάστε το με οποιαδήποτε site, και δεν χρειάζεται βεβαίως να πείσουμε το θύμα να κάνει κλικ στη δική μας ΙΡ μέσα από τον δικό του browser. Για την ακρίβεια το θύμα δε θα πάρει χαμπάρι ότι μόλις έχασε τον κωδικό του και ότι έπεσε θύμα hacking.
Υπάρχει βέβαια τρόπος να δούμε εάν κάποιος μπορεί να μας το κάνει αυτό αλλά δεν θα ασχοληθώ εδώ με αυτό το θέμα.

Case passwords: Ασφαλείς κωδικοί και πως να τους δημιουργήσετε

Οι κωδικοί ασφαλείας, κοινώς τα passwords, είναι ένα σημαντικό τμήμα της καθημερινότητας του σύγχρονου χρήστη και δυστυχώς, είναι πολλά τα σφάλματα που διαπράττουμε κατά τη χρήση τους, ακόμα και όσοι ασχολούμαστε λίγο παραπάνω με την τεχνολογία.

Γιατί όσο εύκολο είναι να βρεις έναν εμπνευσμένο κωδικό που πιστεύεις πως δε θα τον βρει κανείς, άλλο τόσο εύκολο είναι για τον επιτήδειο hacker να τον “σπάσει” χρησιμοποιώντας τα εργαλεία του, μέσα σε λίγα λεπτά! Δεχόμαστε επίθεση από κάθε μεριά και το τελευταίο που θα έπρεπε να κάνουμε, είναι να αγνοούμε τη σημασία που έχει η σωστή διαχείριση των κωδικών μας, online και offline.

Αναλογιστείτε λίγο τι ακριβώς προστατεύουν οι κωδικοί σας: Τους τραπεζικούς σας λογαριασμούς (ATM PIN), το σπίτι σας (κωδικοί συναγερμών), τα e-mail accounts σας και διάφορους λογαριασμούς που έχετε σε social networks και λοιπά sites, το κινητό σας, το Wi-Fi σας. Με λίγα λόγια, ένα τεράστιο μέρος της περιουσίας σας και όλη σας της ζωής! Γιατί, λοιπόν, να μη δώσετε τη δέουσα προσοχή στα passwords αυτά; Αν νομίζετε κι εσείς πως “δε θα συμβεί σε μένα”, σίγουρα εθελοτυφλείτε και αν ρωτήσετε τους γνωστούς σας, όλο και κάποια περίπτωση θα βρείτε που αφορά κλοπή κωδικών, δεδομένων, ακόμα και χρημάτων εξ’αιτίας ενός ανεπαρκούς κωδικού ασφαλείας. Το παρακάτω infographic μας δείχνει καθαρά την κατάσταση (μαζί με λίγη προϊστορία).

Τα στατιστικά είναι αποκαρδιωτικά: 1 στους 3 χρήστες χρησιμοποιεί τον ίδιο κωδικό για όλους τους λογαριασμούς που έχει στο Internet (και πιθανότατα και σε άλλες περιπτώσεις, εκτός διαδικτύου), ενώ σχεδόν 3 στους 4 χρήστες χρησιμοποιούν κάποιο κωδικό για περισσότερους από έναν λογαριασμούς! Αν συνδυάσετε τα παραπάνω με τον αριθμό των online accounts που έχει ένας τυπικός χρήστης, δηλαδήγύρω στους 25, τότε αντιλαμβάνεστε άμεσα το μέγεθος του προβλήματος. Σε αυτά τα 25, κατά μέσο όρο, accounts αντιστοιχούν μόλις 6 κωδικοί. Αυτό πρακτικά σημαίνει πως αν κάποιος ανακαλύψει ή αποκτήσει έναν κωδικό, αυτομάτως μπορεί να τον χρησιμοποιήσει για πρόσβαση σε περίπου 4 διαφορετικούς λογαριασμούς, ή και παραπάνω!

passwordprotection1 Case passwords: Ασφαλείς κωδικοί και πως να τους δημιουργήσετε

Ακόμα χειρότερα, πολλοί χρήστες σημειώνουν τους κωδικούς τους στο κινητό τους ή σε χαρτιά που έχουν πάνω στο γραφείο τους ή στο δωμάτιό τους, δηλαδή σε σημεία που μπορεί εύκολα να τους βρεί κάποιος άλλος. Ακόμη κι αν δεν ίσχυε αυτό, ελάχιστοι χρήστες φροντίζουν να δημιουργήσουν ασφαλείς κωδικούς και χρησιμοποιούν “αδύναμους” συνδυασμούς, που μπορεί να είναι και προφανείς. Παραδείγματα τέτοιων κωδικών είναι τα “password”, “12345678”, “qwerty”, ενώ πάμπολλοι χρήστες ορίζουν ως κωδικό το όνομα του/της συντρόφου τους ή του αγαπημένου κατοικιδίου τους, τη διεύθυνσή τους, την ημερομηνία γέννησης, το τηλέφωνό τους, γενικά κάτι που θα μπορούσε να ανακαλύψει ο οποιοσδήποτε με λίγη προσπάθεια…

Κατανοητό, είναι εξαιρετικά δύσκολο να έχετε ένα διαφορετικό και πολυσύνθετο κωδικό για κάθε λογαριασμό σας. Ειδικά με την αδυνατισμένη μνήμη της σημερινής γενιάς που έχει μάθει να βρίσκει τα πάντα στο Google και σε αποθηκευμένα αρχεία, κάτι τέτοιο πρακτικά είναι αδύνατο. Ωστόσο, μπορείτε να πάρετε κάποια βασικά προστετευτικά μέτρα ώστε να μειώσετε τις πιθανότητες να βρεθεί κάποιος κωδικός σας σε λάθος χέρια.

Πρώτον, μην ορίζετε ολόκληρες λέξεις ως κωδικούς, ή κάτι το προφανές. Δημιουργήστε συνδυασμούςπου περιλαμβάνουν τόσο κεφαλαίους, όσο και μικρούς χαρακτήρες, αριθμούς αλλά και σύμβολα (αν το επιτρέπει το site). Αν, για παράδειγμα, αντί για “password” ως κωδικό ορίζατε το “p@ssW0rD”, θα ήταν πολύ πιό δύσκολο για τον επίδοξο hacker να τον “σπάσει”. Επίσης, προσπαθήστε ο κωδικός σας να είναι τουλάχιστον 8 χαρακτήρες σε μέγεθος. Μη ξεχνάτε ότι κάθε ένας χαρακτήρας που προσθέτετε στο password σας, αυξάνει δεκάδες φορές τη δυσκολία και το χρόνο που απαιτείται για να σπάσει.

Δεύτερον, προσπαθήστε να ορίζετε κωδικούς που θα θυμάστε και δε θα ξεχνάτε εύκολα, ειδικά αν πρόκειται για πολύ ευαίσθητες περιπτώσεις (κωδικός τραπέζης, συναγερμού κ.λπ.) Μια χρήσιμη συμβουλή για να το καταφέρετε είναι να συνδέετε τον κωδικό με κάποιο συμβάν ή ρουτίνα της ζωής σας, ώστε να τον θυμάστε ευκολότερα.

Τρίτον, μην σημειώνετε τους κωδικούς σας πουθενά, ακόμα και αν το κάνετε σε ένα κομμάτι χαρτί που έχετε τριπλοκλειδωμένο στο τελευταίο συρτάρι του γραφείου σας. Είναι επίφοβο και πρέπει να το αποφεύγετε. Αν οπωσδήποτε θέλετε να σημειώσετε κάποιον κωδικό επειδή δεν τον θυμάστε εύκολα, προτιμήστε αντί για τον ίδιο να γράψετε κάποια ένδειξη που θα οδηγεί σε αυτόν, κάποιο hint που μόνο εσείς θα καταλάβετε και θα γνωρίζετε. Έτσι, ακόμα και αν κάποιος βρεί τη σημείωση, θα του είναιάχρηστη.

Τέλος, μην λέτε σε κανέναν τους κωδικούς σας, ακόμα και σε πρόσωπα που εμπιστεύεστε, πολλά περιστατικά συνδέεονται με “φίλους” και συγγενείς. Παράλληλα, αποφύγετε να κάνετε login απόδημόσιους υπολογιστές ή ακόμα και μέσω public συνδέσεων Wi-Fi, αφού μπορεί να υπάρχει κάποιοkeylogger ή άλλο σύστημα υποκλοπής που θα “παραδώσει” τον κωδικό απ’ευθείας στα χέρια του κακόβουλου χρήστη. Ένα ωραίο tip για δημόσιους υπολογιστές, αν πρέπει οπωσδήποτε να μπείτε σε ένα λογαριασμό σας από αυτούς, είναι να χρησιμοποιείτε το virtual πληκτρολόγιο των Windows και όχι το πραγματικό, αν και υπάρχουν προγράμματα-υποκλοπείς ακόμα και γι’αυτό (για το ποντίκι πιό συγκεκριμένα), ωστόσο δεν χρησιμοποιούνται τόσο ευρέως. Α, και μπορείτε κάθε τόσο να αλλάζετετους ευαίσθητους κωδικούς σας, ας πούμε 1-2 φορές τον χρόνο…σίγουρα δε βλάπτει.

Προσοχή, προσοχή και πάλι προσοχή!

 Πηγή

Χάπι θυμάται τους κωδικούς πρόσβασης του χρήστη

Λύση σε ένα «πρόβλημα» που βασανίζει εκατομμύρια ανθρώπους καθημερινά υπόσχεται ότι θα δώσει ένα χάπι σύμφωνα με την αυστραλιανή εφημερίδα «The Sydney Morning Herald». Απευθύνεται σε όλους όσοι διατηρούν λογαριασμούς σε διάφορες υπηρεσίες, κοινωνικά δίκτυα εφαρμογές και τείνουν να ξεχνούν τους κωδικούς πρόσβασής τους σε αυτές.

Το «χάπι», το οποίο δημιούργησε η Motorola, χορηγείται στοματικά και πρόκειται ουσιαστικά για έναν τρόπο ενεργοποίησης των διαδικτυακών λογαριασμών του χρήστη χωρίς ο ίδιος να χρειάζεται να τους θυμάται.

 

Αποτελείται από ένα μικροτσίπ (χωρίς μπαταρία) το οποίο παίρνει ενέργεια από τα στομαχικά οξέα του χρήστη.

Το ειδικό χάπι, το οποίο δημιούργησε η Motorola, περιέχει ένα μικροτσίπ – δίχως μπαταρία – το οποίο αντλεί ενέργεια από τα στομαχικά οξέα που εκκρίνει ο ανθρώπινος οργανισμός μετά την κατάποση.

Μέσα από το στομάχι, το χάπι εκπέμπει «σήμα αυθεντικότητας» προς τη συσκευή σας – κινητό τηλέφωνο, υπολογιστή – ταμπλέτα κτλ – αντικαθιστώντας την παραδοσιακή μέθοδο εισαγωγής κωδικών πρόσβασης.

Την παρουσίαση του χαπιού πραγματοποίησε η Ρετζίνα Ντούγκαν, επικεφαλής του τμήματος εξελιγμένης τεχνολογίας της Motorola, στο συνέδριο All Things Digital στην Καλιφόρνια των ΗΠΑ.

Ακόμη, το χάπι βρίσκεται σε στάδιο δοκιμών αλλά σύμφωνα με αναφορές εξειδικευμένων διαδικτυακών ιστοτόπων, έχει λάβει ήδη την έγκριση της υπηρεσίας Τροφίμων και Φαρμάκων των ΗΠΑ.

Πηγή