^Κορυφή Σελίδας
Το συναίσθημα που προκαλεί ένα password που καταρρέει μέσα σε κλάσματα του δευτερολέπτου ακροβατεί μεταξύ πανικού και τάσης για γέλια. Αν είναι τόσο εύκολο, γιατί μπαίνουμε στον κόπο να κάνουμε log in και να θυμόμαστε έστω αυτό το ένα, ταπεινό password που χρησιμοποιούμε από καταβολής κόσμου; Κι αν αυτό δεν επαρκεί, υπάρχει κάτι άλλο που μπορεί να μας προστατεύσει;
Ζητήσαμε από έναν hacker, τον Virtual_Samadhi, να μοιραστεί μαζί μας τα μυστικά της τέχνης του, για να τα χρησιμοποιήσουμε? εναντίον του, κι εκείνος μας απάντησε ?πρώτα απ? όλα? ότι δεν υπάρχει password που δεν σπάει. Μπορούμε, όμως, να προστατευτούμε μέχρι ενός σημείου.
Τα συχνότερα λάθη των passwords
«Τα πιο μεγάλα λάθη στην ασφάλεια των ηλεκτρονικών υπολογιστών γίνονται από τους ίδιους τους χρήστες» εξηγεί ο Virtual_Samadhi. Ρίξτε μια ματιά στα πέντε συχνότερα λάθη της «κατασκευής» κωδικών και? αναγνωρίστε τα δικά σας:
Και πώς θα φανταστεί ο άλλος τον κωδικό μου;
Δεν θα τον φανταστεί ?τουλάχιστον όχι αν έχετε διορθώσει τα προαναφερθέντα λάθη. Θα χρησιμοποιήσει έναν από τους άπειρους τρόπους που υπάρχουν για να τον «σπάσει». Πάρτε ιδέες:
Brute force password cracking λέγεται η πιο δημοφιλής εκδοχή επίθεσης, η οποία βασίζεται στις λεγόμενες password ή dictionary lists. Αυτές είναι έτοιμες για κατέβασμα λίστες με τεράστιο αριθμό πιθανών passwords (σκεφτείτε κάτι κοντά στο εκατομμύριο) τους οποίους «δοκιμάζει» αυτόματα ένα πρόγραμμα. «Το καλό ?για τον χρήστη? σε αυτήν την μέθοδο είναι ότι πολλά συστήματα, όπως το Facebook για παράδειγμα, έχουν φτιαχτεί έτσι ώστε να «κλειδώνουν» μετά τις πέντε λανθασμένες εισαγωγές password» λέει ο Virtual_Samadhi.
Precomputed hash tables ή Rainbow Tables λέγονται οι αντίστοιχες λίστες οι οποίες μαντεύουν την κρυπτογραφημένη εκδοχή του κωδικού σας (ή hash, σε απλά? χακερικά) αντί για τον ίδιο τον κωδικό. Ο cracker σε αυτήν την περίπτωση χρησιμοποιεί ένα πρόγραμμα το οποίο δημιουργεί κωδικούς και ταυτόχρονα τους κρυπτογραφεί. Πρόκειται για τον συνηθέστερο τρόπο επίθεσης σε κωδικούς ασύρματων δικτύων και Windows. «Σημαντικό ρόλο στη μέθοδο αυτή, όπως και στην προηγούμενη, παίζει η τεχνολογία που έχει στα χέρια του ο cracker. Το πόσο γρήγορα θα σπάσει έναν κωδικό εξαρτάται από την ταχύτητα του επεξεργαστή και της σύνδεσής του, αλλά και από αυτό που λέμε distributed password cracking: το αν έχει δηλαδή στη διάθεσή του δύο ή σαρανταδύο υπολογιστές να προσπαθούν ταυτόχρονα να σπάσουν τον ίδιο κωδικό» εξηγεί ο Virtual_Samadhi.
Pass the hash λέγεται ο πιο σπάνιος, και ο πιο επικίνδυνος, τρόπος επίθεσης, ο οποίος είναι γνωστός στην underground κοινότητα και μόνο, όπως τονίζει ο Virtual_Samadhi. Σκεφτείτε το σαν το τρίτο βήμα: δεν «μαντεύεις» τον κωδικό, δεν "σπας" την κρυπτογράφησή του, τα παρακάμπτεις και τα δύο και «χτυπάς» απευθείας τον στόχο.
Social Engineering είναι ο υποτιμημένος από την underground κοινότητα τρόπος που διέδωσε στο παγκόσμιο στερέωμα ο πιο γνωστός hacker όλων των εποχών, ο Kevin Mitnick, πριν από μερικά χρόνια με το βιβλίο του ?The Art of Deception?. Εδώ ο cracker της γειτονιάς σας δεν χρειάζεται ούτε προγράμματα, ούτε λίστες, ούτε εξειδικευμένες γνώσεις. Αρκεί ένα τηλεφώνημα, στο οποίο σας λέει, για παράδειγμα, ότι αντικαθιστά τον τεχνικό της εταιρείας σας και χρειάζεται το password σας για να διορθώσει κάτι στην βάση δεδομένων. Σας φαίνεται απίστευτο; Κι όμως, δέκα στις δέκα φορές ο Mitnick έκλεινε το τηλέφωνο με το password που ήθελε στα χέρια του.
Τι να κάνω τελικά;
Και τώρα είμαι ασφαλής;
Ο γενικός κανόνας λέει ότι δεν υπάρχει κωδικός που να μην σπάει. Δεν υπάρχει, δηλαδή, περίπτωση ένας ικανός cracker να «βάλει στο μάτι» τον κωδικό σου, απλέ καθημερινέ χρήστη, και να μην καταφέρει να τον σπάσει. «Το κόλπο είναι να του κάνεις τη ζωή δύσκολη» λέει ο Virtual_Samadhi, «να χρειαστεί δηλαδή τόσο πολύ χρόνο, ώστε να τα παρατήσει. Το σπάσιμο ενός κωδικού μπορεί να διαρκέσει από μερικά δέκατα του δευτερολέπτου, για να σπάσει π.χ. ο κωδικός abc, έως μερικούς αιώνες προσπάθειας για passwords τύπου ?F(Gke10e8f4!?. Αν στα αρχεία σου δεν κρύβονται τα μυστικά του κράτους, ο δύσκολος κωδικός σου δεν αξίζει τις εργατοώρες που θα σπαταληθούν για να σπάσει. Αυτό που θέλεις είναι, ουσιαστικά, να βαριούνται να ασχοληθούν μαζί σου» καταλήγει.
ΑΝΑΔΗΜΟΣΙΕΥΣΗ:www.in2life.gr (ΗΡΩ ΚΟΥΝΑΔΗ)