Niebezpiecznik

0 – regularna zmiana haseł w połączeniu z wymaganiami złożoności w wielu przypadkach powoduje że użytkownicy wybierają proste do zapamiętania, krótkie hasła np. marzec2018. Odgadnięcie pierwszego członu hasła oznacza więc możliwość łatwego odgadnięcia hasła po następnej zmianie.

1 – większość ruchu sieciowego jest już szyfrowana (protokół https), więc używanie otwartej (nieszyfrowanej) sieci wifi nie oznacza że ktoś może łatwo odczytać przesyłane dane. Na dodatek sieci szyfrowane WPA2 nie powinny już być uznawane za bezpieczniejsze niż nieszyfrowane, ponieważ istnieją działające ataki pozwalające zdobyć klucz szyfrujący.

2 – firmy zajmujące się obsługą płatności i banki nie mają interesu w pomaganiu przestępcy. W celu umożliwienia przyjmowania płatności zbliżeniowych wymagana jest rejestracja u agenta rozliczeniowego, co wiąże się ze szczegółową weryfikacją. W wypadku zareklamowania transakcji agent wstrzyma wypłatę pieniędzy do momentu wyjaśnienia sytuacji.

No i zaczynam się zastanawiać nad tym konkursikiem. Bo teoretycznie na te wszystkie pytania odpowiedział PK w TEDTalku, więc teoretycznie można by tylko opisać to swoimi słowami i zgarnąć główną nagrodę :)
Czyli w skrócie można napisać, że nie musisz zmieniać haseł, wystarczy Ci manager haseł i hasła, których nikt nie złamie w czasie Twojego życia. A jeśli po śmierci Twoja nieżywa druga połówka pozna Twoją historię wyszukiwania w google, to … no i tu zależy od wyznawanej religii :) Z punktu drugiego, czyli tego określonego numerem 1 pięknie można opisać, że wystarczy używać jakiegoś VPNa (nawet takiego co to są dodawane do przeglądarek) i będzie całkiem bezpiecznie. Na trzecie pytanie odpowiedź jest najprostsza – nawet jak komuś się uda zarejestrować terminal płatniczy, ten ktoś podejdzie do was i uzyska autoryzacje na 50zł wydatek, to zawsze można skorzystać z usługi chargeback i najprawdopodobniej taki “haker” bardzo szybko utraci możliwość korzystania z terminala :)
Można by tak to pięknie opisać. Można by też napisać, że są o wiele prostsze metody wykradzenia naszych istotnych danych niż poprzez poznanie naszego hasła/podsłuchanie naszego ruchu sieciowego/podkradzenie danych osobowych z karty płatniczej.
Można też spróbować pokazać, że częste zmiany haseł prowadzą przeważnie do ustawiania haseł “banalnych” i “oczywistych”, więc bardziej przeszkadzają niż pomagają, a używanie swojego własnego połączenia wifi/gprs nic Ci nie da jak będzie za Tobą osoba, która podpatrzy gdzie się szlajasz po internetach.
Można to wszystko napisać, tylko po co? :) Ludzie, którzy o tym wiedzą i tak już o tym wiedzą, a ludzie, którzy nie wiedzą najprawdopodobniej prędzej obejrzą filmik z TEDTalksa Piotra Koniecznego, niż przeczytają wywody anonimowego człowieka w internecie pod jakimś dziwnym artykułem, który choć i tak jest w miarę krótki, to dla wielu za długi :) (a ten komentarz wydaje mi się, że zaczyna być dłuższy od samego artykułu).
Tak więc, konkludując i płynąc do brzegu, wystarczy napisać, żeby we wszystkim zachować zdrowy rozsądek i wszystko będzie dobrze :)

ad2. Co w przypadku podatności, które można użyć właśnie przez wifi (jakieś otwarte porty pod windą, usługi, itp…)? Kto wie co taki otwarty hotspot może nam zaoferować oprócz httpsa?

A ja się chyba pogubiłam… Rozumiem wszystkie 3 punkty, tylko dziwi mnie, że już nagle utrata prywatności nie jest tu (i na “Frendfejsie”) dla nikogo problemem? Bo jakkolwiek wiemy, że kradzież zbliżeniowa z karty jest mało prawdopodobna, a nawet jeśli to jest wychwalany tu pod niebiosa chargback, to nadal z karty bez folii dane osobowe można sczytać. Wyjaśni mi ktoś?

2 – byłem niedawno w Szwecji i w większym gronie z miejscowymi poruszyliśmy ten temat – na moją opinię, że w ten sposób nikt nikogo nie okrada od razu parę osób się zgłosiło, że im się taki przypadek osobiście zdarzył (metro czy inne zatłoczone miejsca). i owszem – reklamacja do banku.. tylko taką transakcję trzeba wychwycić (powiadomienia online albo ciągła analiza historii karty/wyciągów). ale nie można mówić, że to się nie zdarza (może w Polsce nie.. ;))

Dlaczego numerujecie punkty zaczynając od “0” ?
Przecież nawet mówimy: “po pierwsze”, “po drugie” i tak dalej …
Nie mówimy przecież: “po zerowe”
Jeszcze jesteśmy ludźmi, nie komputerami, robotami czy maszynami.

Ad 0) Atak przez zgadywanie hasła do działającego systemu powinien być przez ten system wychwycony po kilku nieudanych próbach. W tej sytuacji częsta zmiana hasła nie jest potrzebna. Po prostu hasło musi nie być trywialne i co najważniejsze nie może być takie samo jak w jakimś innym systemie. Regularna ich zmiana nie jest konieczna co w zasadzie niczego nie daje poza ryzykiem, że z braku weny użyjemy hasła które już gdzieś wyciekło.

Najczęstszym bowiem przypadkiem włamań jest to, iż z pewnego systemu wyciekną hasła (błędy w systemach są, zawsze będą i zawsze znajdzie się ktoś kto je znajdzie i wykorzysta). Nas po pewnym czasie ulegną pewnie złamaniu i wtedy nic nie stoi na przeszkodzie aby zacząć szukać innych systemów w których ofiara użyła tego właśnie hasła.

Ad 1) Bo napastnik może podstawić także zabezpieczoną sieć w której poprosi w ramach logowania o numer karty kredytowej… albo przekieruje Was na fałszywe okno logowania do Waszego banku. Trzeba być czujnym! Warto też używać VPNa… ale to też nie powinno osłabiać czujności.

Ad 2) Bo choć technicznie możliwa jest kradzież 50zł w zatłoczonym tramwaju, to statystyka pokazuje, że trudy, koszty i ryzyko są dla złodziei zbyt duże w stosunku do łupu i się tym po prostu nie zajmują.

A co jeśli ktoś wykradnie bazę danych, (albo będzie miał nieuprawniony dostęp), na której przechowywane są hasła użytkowników? Czy czasowa zmiana hasła nie zmniejsza ryzyka na włamanie się na nasze konto?

A ja akurat lubię mieć kartę w osłonce, bo jak jej używam do płacenia to tylko trochę wysuwam i zbliżam do terminala. Dzięki temu żadna kamera nie zobaczy kodu CCV/CVC i danych wytłoczonych na karcie.

0️⃣ – Im częściej zmieniamy hasło, tym trudniej jest zapamiętać obecne. Dlatego ludzie, którzy to robią, najczęściej wymyślają hasło według łatwego do zapamiętania wzoru, np. dopisują do czegoś obecny miesiąc – “Alamakota-marzec”, “Alamakota-kwiecień” itp. To znaczy, że jeżeli atakujący odgadnie albo w inny sposób pozna że obecne hasło to “Alamakota-marzec”, a jest marzec, to nie będzie miał problemu z włamaniem się również w kwietniu. A nawet jeżeli ktoś tak nie robi, tylko naprawdę wymyśla silne, bezpieczne hasło za każdym razem, to potem w pamięci zostaje mu kilka ostatnich haseł. Łatwo się wtedy pomylić i wpisać któreś z poprzednich, a trudno żeby ósmy z kolei ciąg cyfr, wykrzykników, małp, dużych i małych liter zapadł dobrze w pamięć.

1️⃣ – Obecnie zdecydowana większość stron WWW i aplikacji wykorzystujących internet korzysta z szyfrowania TLS (to ta kłódka, która pojawia się obok adresu strony). Dzięki niemu nikt poza klientem (np. telefonem, laptopem) i serwerem (np. banku, poczty) nie jest w stanie odczytać przesyłanych danych. “Otwarte” sieci Wi-Fi różnią się od zabezpieczonych hasłem tylko tym, czy dane są szyfrowane wewnątrz sieci (np. od telefonu do rutera). To znaczy, że jeżeli ktoś spróbuje “podsłuchać” to, jak korzystasz z internetu na takiej sieci, to te dane i tak będą zaszyfrowane, ale w inny sposób.

2️⃣ – Ludzie korzystają z takich nakładek, bo boją się oszustw z wykorzystaniem “lewych” terminali, z którymi oszust chodzi i “zbiera” sygnały z kart. Takich terminali po prostu nie ma. Aby dostać terminal, trzeba się zgłosić do dostawcy usług płatniczych (banku lub firmy takiej jak np. eService) i podać swoje dane. Dużo danych. Ewentualnego przestępcę możnaby dzięki nim łatwo wyśledzić w przypadku wykrycia oszustwa. Jest ono bardzo łatwe do wykrycia, bo ludzie często informują banki o “dziwnych” transakcjach na wyciągu z karty, żeby je unieważnić (tzw. chargeback) i dostać pieniądze z powrotem. Dużo chargebacków zachęca dostawców usług płatniczych do wszczęcia śledztwa, które może się różnie skończyć – od zabrania terminala, po zgłoszenie sprawy na policję/do prokuratury.
Poza tym, takie oszustwo wymagałoby, aby przyłożyć terminal do karty na taką samą odległość, jak przy “zwykłej” płatności kartą. Ludzie trzymają karty w różnych miejscach – kieszenie, torebki, plecaki – więc przestępcy musieliby każdego obmacywać dziwnym urządzeniem, co na pewno zwróciłoby uwagę.

0, 1, 2 – bo dziś jest dzień Bezpiecznego Internetu i nic złego dziś nie ma prawa się Wam stać.

(joke)

Bezpieczny internet (dla danego człowieka) to taki, w którym nie da się powiązać informacji z różnych miejsc, serwisów społecznościowych, baz danych oraz stron i uzyskać w ten sposób całościowy profil danej osoby. Niestety, zdecydowana większość ludzi chwali się w sieci samochodami, mieszkaniami, datą wyjazdu na odległe wakacje, wysyła skany dokumentów na każde żądanie, klika we wszystko jak popadnie oraz nie weryfikuje próśb o dopłatę czy pożyczkę od starego dawno nie widzianego znajomego, a na deser stosuje wszędzie to samo albo bardzo przewidywalne hasła i nie używa 2FA – a potem zdziwienie, że to jednak nie był znajomy tylko ktoś inny, że dane np. z dowodu osobistego latają po internetach i ktoś wziął kredycik, że było włamanie…
Sorry za offtop :-)

0️⃣ Nie musicie regularnie zmieniać haseł.
Wystarczy że używasz odpowiednio zabezpieczonego (przechowywanego), złożonego i niepowtarzalnego hasła (np. wygenerowane w generatorze haseł) które nie jest wykorzystywane nigdzie indziej. Natomiast dobrze jest monitorować bezpieczeństwo naszego hasła na stronach udostępniających informacje o prostych, znanych i złamanych hasłach oraz tych ujawnionych z przecieków.

1️⃣ Nie musicie unikać otwartych sieci Wi-Fi.
Należy jednak pamiętać że korzystanie z otwartej sieci może wiązać się z podglądnięciem naszej aktywności w internecie.
Dlatego korzystanie z takiej sieci należy traktować jakby ktoś siedział cały czas obok nas i patrzył nam na monitor. Z tego powodu najlepiej nie logować się np. do konta bankowego.

2️⃣ Nie musicie używać osłonek anty-RFID/NFC na karty platnicze.
Ponieważ płatność kartą to obecnie jeden z najbezpieczniejszych sposobów płatności. W przypadku nieautoryzowanego użycia karty i kradzieży środków – operatorzy mają możliwość cofnięcia takiego nadużycia.

karty maja opcje chargeback’u. kazda tranakcje mozna reklamowac,hasla trzeba miec unikatowe do kazdej strony, poza tym trzeba robote trzeba zwalic na managera hasel – pamieta sie tylko haslo do managera, a to czy haslo trzeba zmoeniac czy nie to sa pozory bezpiecznego korzystania z poazczegolnych serwisow, jak sie ma sciagnieta baze to bazy typu rainbow sprawe zalatwia, socjoinzynieria jeat bardziej skuteczna niz zgadywanie hasel, bez vpnasieci publiczne nie sa az tak bezpieczne, https mozna odszyfrowac, zielona klodka to tylko znak ze sesja jest szyfrowana, waszy firmy moga korzystac z rozwiazan co podgladaja trafik uzytkownikow odszyfrowuja i szyfrujac sesje na nowo, co wiec stoi na przeszkodzie udawa siec publiczna o nazwie identycznej do prawdziwej sieci? kiedy ostatnio sprawdzaliacie ssha256, sha1, sn strony logowania do banku, czy potwierdzalisci na infolinii zmiane certyfikatow?

Zaraz, zaraz… Widzę, że już się pojawiają odpowiedzi, do mojego punktu widzenia. Cieszę się bardzo, bo już myślałem że będę odosobniony w poglądach. Mimo odmiennej narracji, liczę na darmową wejściówkę na wykład o tym jak się nie dać…

Do rzeczy. Moim zdaniem:

ad 0) – Nie ma potrzeby REGULARNEJ zmiany haseł.

Gdybam sobie bez poparcia, że wraz z powszechniejszymi generatorami skomplikowanych haseł, spadł udział ich łamania metodami słownikowymi czy siłowymi. Jeżeli wystąpił wyciek “od wewnątrz” wykorzystujący błąd dostawcy usługi lub “od nas” poprzez infekcję stanowiska to nie wiadomo kiedy / czy w ogóle, się o tym dowiemy. Zmienianie haseł to mimo wszystko dobra praktyka.

ad 1) – Ostrożności nigdy za wiele. Hotspoty dzielą się na takie, które ktoś kiedyś “ogarnął” i takie “z przypadku”.

Te ogarnięte mają przeważnie jakoś filtrowany ruch, jest kolejkowanie, separacja klientów, tylko że przeważnie jest to na zasadzie – zrobienie, działa, zapominamy (Polopiryna z SDI). Aktualizacje? Update? Analiza ruchu? Może co najwyżej do profilowania.

Te z przypadku? Cóż… gro telefonów i laptopów nie jest łatana na bieżąco. W sieci lokalnej można wiele.

Również w kwestii ruchu sieciowego. A decydując się na bramę i DHCP (to nie tylko DNS), można być ofiarą czegoś co z nazwy kojarzą chyba wszyscy “man in the middle”. I niech argument o HTTPS w tym przypadku też upadnie, bo rozprucie SSL (chociażby przez degradację) to w sytuacji skompromitowannej “bramy”, wykonalne i realne.

Częściowo pomocny będzie jakikolwiek tunel VPN. Ale to nie jest lek na wszystko.

ad 3) nie wiem, nie praktykowałem.

Jedyne co, to potwierdzam że można blokować ;-) Kupiłem fajny portfel (i tylko dlatego, że fajny) anty-RFID. Przepustka zblizeniowa nie działa.

PS. Jak we wszystkim trzeba kalkulować… wygodę! Paranoikom pewnie nic nie pomoże. Ale jestem zdania, że uproszczenie, bez wskazania ryzyka to droga do katastrofy.

PS2. Kiedyś uczono aby zaczynać od blokowania wszystkiego. Więc może i stąd z założenia moje podejście do Waszego konkursowego “wyzwania”?

Im częściej zmieniasz – Tym szybciej stosujesz schemat.
Nieważny kurier – ważne, w jak szczelnym opakowaniu jest przesyłka.
Niezwykle trudno zostać anonimowym właścicielem czytnika.

0. Zaczynamy generować trywialne hasła. Ważniejsze od częstych zmian jest posiadanie niepowtarzalnego hasła do każdego serwisu. Wyciek z jednego serwisu nie spowoduje włamania na inne serwisy. Jednak niepowtarzalność powinna iść w parze z nieszablonowością. Wyciek z 2 serwisów może pokazać, że nasze hasła to połączenie nazwy kamienia szlachetnego z imieniem kucyka z My Little Pony, co znacznie zmniejszy zakres wymaganych prób zgadnięcia hasła do pozostałych serwisów. Nawet wyciek z jednego serwisu może zasugerować, że hasła mamy szablonowe.
1. Większość stron jest szyfrowana, więc podsłuchiwanie komunikacji w sieci publicznej na nic się nie zda. Ponadto sieci zahasłowane mogą podsłuchać wszyscy znający hasło, więc hasłowanie sieci z ogólnodostępnym hasłem to tzw. teatr bezpieczeństwa.
2. Karty płatnicze to najbezpieczniejsza forma płatnicza. Kwoty powyżej 50zł wymagają pinu, a nieautoryzowane płatności można zareklamować korzystając z chargeback.

0 – Jak wycieknie to hasło aktualne – bez względu na to, ile razy było zmieniane!

1 – Obojętne czy to twój ISP czy WiFi na lotnisku – jest to sieć (za przeproszeniem) PUBLICZNA! Jak również sieć, w której działa serwer, z którym sie łączysz i wszystkie sieci po drodze. Nie kontrolujesz ich i należą do róznych podmiotów. Odgórnie załóż, że każdy pakiet może zostać w dowolnym miejscu przechwycony lub podmieniony bez twojej wiedzy. Tylko end-to-end security załatwia sprawę.

2 – Zawsze możesz skorzystać z procedury chargeback.

0-lepiej korzystać z managera typu polecany przez Was keepass. Generuje on hasła, których nie musimy pamiętać, są trudniejsze niż to co najczęściej wymyślimy i nie będą się powtarzać.
1-korzystanie z vpn takiego jak polecany przez Was NordVPN sprawia że nawet w publicznych sieciach można czuć się bezpiecznie bo nikt nie podsłucha naszej transmisji bo będzie szyfrowana.
2-Nie ma to sensu, bo urządzenie do skopiowania karty jest droższe niż transakcja zbliżeniowa bez pinu, a poza tym dla danej karty byla by to jednorazowa transakcja. Poza tym ktoś musiałby bardzo blisko przy łożyć urządzenie do naszej karty.

Zadam Wam wszystkim jedno niepopularne pytanie:
A co jak Pani Krysia z księgowości nie ma VPN i nigdy o nim nie słyszała i nie wiem do czego służy a ni jak go skonfigurować?
Tak wiem, Wy tu wszyscy “fachowcy”, każdy ma VPN, VPS, używa szyfrowania, 2FA i wszystkiego innego, ale jakim procentem społeczeństwa jesteśmy? 1? 0,5? 0,25? A co z 99%? Reszta społeczeństwa nie ma pojęcia o czymś takim jak VPN, więc sorry, ale rada, “VPN jest lekarstwem na całe zło” jakoś do 99% nie trafia ….

Nie trzeba regularnie zmieniać haseł, bo przy ich mnogości regularne zmiany doprowadzą do ich upraszczania, typu tomek2020 albo luty2020 – wtedy każdy znający jedno z poprzednich haseł łatwo odgadnie obecne. Skrajnym skutkiem wymuszania częstej zmiany haseł jest ich zapisywanie na kartkach.

Nie musicie unikać otwartych sieci Wi-Fi, ufając szyfrowaniu transmisji. Ale też intencje ewentualnego hakera musiałyby zawężać się do zasięgu rutera wifi co jest względnie nieefektywne, bo o wiele łatwiej robić przekręty na blik mając zasięg na cały świat. Hakerom chodzi głównie o nasze pieniądze, a zabezpieczymy je w większości przypadków posługując się ubezpieczonymi sposobami płatności, gdzie prym wiedzie karta płatnicza.

Nie trzeba używać osłonek na karty płatnicze, bo kradzież tym sposobem jest skrajnie nieefektywna przy ilości włożonej pracy – każdy terminal ma podpięty NIP firmy itp. Ostatecznie transakcje kartowe i tak są ubezpieczone a procedura chargeback dostępna dla wszystkich – wspiera posiadaczy kart w takim przypadku ale też wielu innych, nawet jeszcze nieznanych.

Ad. 0
Menedżer haseł

Ad. 1
VPN

Ad.2
Chargeback :-)

Hmmm.
Bazując na wszystkich powyższych komentarzach i tym, co się działo i dzieje w świecie cyfrowym w ostatnim czasie można dojść do nowego wniosku:
0, 1 i 2: było już tyle wycieków baz danych i włamów, a urządzenia i oprogramowanie jest tak Dziurawe, że w sumie nic nie musisz robić, bo jakkolwiek byś się nie zabezpieczał i tak jesteś w czarnej D… ;o)

1. hasło zawsze może wyciec, więc jego zmiana nie chroni nas przed nieautoryzowanym dostępem a ew. trwałym nieautoryzowanym dostępem. Dużo ważniejsze i w sumie najbardziej istotne jest używanie trudnych i unikatowych haseł, a gdzie to możliwe używanie 2FA.
2. praktycznie wszystkie strony dziś szyfruje ruch, dlatego podsłuchiwanie ruchu jest znikomym zystkiem dla ew. przestępców nawet, jeśli nie używamy VPN. Informacja na jakie strony wchodzę, nawet jeśli są to strony, którymi nie chcemy się chwalić jak witryny dla osób dorosłych nie ujawnią nawet naszych preferencji w doborze kontentu na takiej stronie.
3. kradzieże z kart zbliżeniowych z kieszeni ofiary nie są praktykowane z powodu zbyt dużej ochrony ze strony banków.
3.

Podajcie proszę wyjaśnienia tych mitów. Mam szczególnie problem z otwartymi sieciami wifi (pkt. 1).