Page 53 - Special Ops Survival
P. 53
SPECIAL OPS CY BERSUR V IV AL
AP* może zachęcić klientów do automatycznego połączenia się z nim, przez sać z bazy rozszyfrowanej na telefonie, a następnie wygenerować nowe na który jest zainteresowany
odpowiadanie pozytywnie na każde zapytanie o będącej w eterze “zaufanej” zaufanym urządzeniu. zawartością korespondencji
(tj. zapisanej) sieci WiFi. Użytkownik może nawet nie być świadomy korzy- może być nie tylko agencja
stania z innej niż własna sieci. Dodatkowo można wymusić przyłączenie Same “passphrase” to nie wszystko. Może atakujący nie będzie w stanie bezpieczeństwa czy wywia-
się wszystkich klientów poprzez rozłączenia z każdego innego WLANa*. złamać tego, co znajduje się w bazie serwisu w postaci hashy (nieodwra- du, ale także haker czy carder.
Ochronę przed przechwytywaniem i manipulowaniem ruchem przedstawię calnych funkcji skrótu), jednak co w przypadku gdy nie będzie musiał pró- Niestety samo zabezpieczenie
w kolejnym punkcie. Jeśli chodzi zaś o ataki z wykorzystaniem fałszywych bować, bo developerzy zdecydowali aby trzymać hasła jawnym tekstem konta może nie wystarczyć,
punktów dostępu, to zabezpieczenie jest jedno - wyłączyć możliwość auto- lub hashują funkcjami uznawanymi za niebezpieczne takimi jak MD5 (kilka gdy atakującemu uda się zdo-
połączenia ze “znanymi” sieciami oraz upewniać się, że do transmisji danych ciągów daje ten sam hash to jest tzw. kolizja)? Przede wszystkim należy do być dostęp do miejsca gdzie
wykorzystujemy zaufany hotspot (np. ten z komórki) z odpowiednim zabez- Darmowy menadżer haseł KeePass. takiego portalu mieć oddzielne dane do logowania, co spełnimy stosując przechowywane są wiadomo-
pieczeniem (standardem dla użytkowników “domowych” czyli nie enterprise zasadę “jedno hasło jedna usługa”. Atakujący może próbować wymusić od ści i to niekoniecznie w formie
jest wykorzystanie WPA2-PSK***, wspieranego przez większość nowocze- użytkownika próbę zalogowania się na stronie, która do złudzenia przypomi- uniemożliwiającej odczytanie
snych systemów operacyjnych, oczywiście istnieje możliwość wykorzysta- każdej używanej usługi. Jeszcze gorzej będzie, jeśli wszystkie te usługi będą na oryginalny portal zarówno domenowo jak i w kontekście interfejsu (to jest każdej osobie postronnej.
nia po prostu kabla). ze sobą jakoś połączone. Dlaczego tak wielki nacisk powinno się kłaść na tzw. phishing). W takim przypadku, jeśli uda mu się przejąć dane do logo- Najlepiej zadbać o własne
WiFi nie jest jedyną bezprzewodową technologią podatną na ataki. Ostat- te ciągi długości od kilku do kilkudziesięciu liter? Cóż, często jest to jedyna wania, będzie w stanie uzyskać trwały dostęp do konta. Rozwiązaniem tego szyfrowanie z wykorzystaniem
nimi czasy dokonano wnikliwej analizy protokołu Bluetooth i okazało się, że informacja, która weryfikuje tożsamość użytkownika. Jest barierą pomiędzy problemu, jest tzw. 2FA czyli weryfikacja dwuetapowa. Generalny koncept algorytmów kryptografii asy-
większość powszechnie używanych systemów jest podatna w pewien spo- jego prywatnymi danymi, a całym światem. By uzyskać dostęp do skrzynki polega na uwierzytelnianiu się za pomocą “czegoś co mamy”, lub “czegoś metrycznej, takiego jak RSA.
sób na ataki związane z tym rodzajem komunikacji. Co gorsza nie wymaga- pocztowej należy podać jawny i powszechnie znany adres email oraz wła- co wiemy”. Ta druga opcja, to nic innego jak kolejne hasło, które przed za- Na urządzeniach pod kontrolą Aplikacja Signal zapewniająca bezpieczną,
na jest żadna interakcja użytkownika. Wystarczy, że urządzenie będzie miało śnie hasło. Zbiór znaków, który dzieli wszystkich użytkowników internetu od pytaniem o nie jest modyfikowane z użyciem czasu. W wyniku konieczno- systemu Unix/Linux/OS X, do- szyfrowaną wymianę wiadomości.
uruchomioną usługę i znajdzie się w pobliżu źródła ataku, którym może być skanów umów, czy intymnych wiadomości. To nie są treści, które powinny ści, taka informacja w bazie webserwisu nie może być hashowana, dlatego stępne jest oprogramowanie
uprzednio zainfekowany system lub specjalnie przygotowane urządzenie. Na ujrzeć światło dzienne. Zgodnie ze schematem przedstawionym w punkcie w przypadku wycieku będzie jawnie znana (w odróżnieniu od mocnego hasła GPG oraz GPG2, które umożliwi wygenerowanie oraz późniejsze szyfrowanie
nic zda się wyłączenie wykrywalności. Jedyną obroną na ten atak pozostaje o metadanych - każda, z pozoru niezbyt ważna informacja, może uzupełnić przechowywanego w postaci funkcji skrótu). Niemniej jednak taka informa- i deszyfrowanie wiadomości. W celu zwiększenia wygody użytkowania, war-
aktualizacja oprogramowania, a tam gdzie producent takowej nie przewiduje całokształt tożsamości i ułatwić potencjalnemu napastnikowi atak. Hasło cja jak np. kod przepisywany z ekranu telefonu, stanowi całkiem rozsądne to zaopatrzyć się w klienta poczty (np. Thunderbird) oraz rozszerzenia takie
- wyłączenie Bluetootha [6]. staje się kluczowym elementem naszego bezpieczeństwa, o który trzeba zabezpieczenie na wypadek przejęcia głównego hasła. Jeżeli istnieje moż- jak Enigmail, które zwiększą integrację komponentów odpowiedzialnych za
Najmniej podatną na ataki z racji stosunkowo niewielkiej powszechności dbać. Autorowi bliższe jest angielskie słowo “passphrase” niż “password”, liwość, to dobrze jest z niej skorzystać. 2FA bazujące “na tym co mamy”, szyfrowanie sprawiając, że praktyczne wykorzystanie stanie się szybsze
odpowiedniego hardware jest sieć GSM. Niestety część jej infrastruktury ponieważ podkreśla istotną rolę większego skomplikowania klucza. Istnieją może opierać się np. o tokeny. Najczęściej stosowane są fizyczne urządze- i łatwiejsze w użyciu. Użytkownicy systemów Microsoftu mogą zaopatrzyć
opiera się na przestarzałych założeniach i słabym szyfrowaniu. Ponadto co- sposoby, aby ułatwić proces bezpiecznego przechowywania i użytkowania nia pełniące rolę “klucza” do zasobów. Ciekawym wariantem jest U2F w for- się w oprogramowanie GPG4win oraz ten sam zestaw rozszerzeń do klienta
raz łatwiej zbudować imsi catchera lub, jak to się w języku polskim przyjęło tego rodzaju poufnych zasobów. mie np. Yubikeya produkowanego przez Yubico. Yubikey przypomina trochę pocztowego Thunderbird (listę innych rozwiązań można znaleźć tutaj [8]).
określać, “jaskółkę”, czyli przenośną stację BTS, która pośredniczy w trans- Coraz popularniejsze stają się tzw. menedżery haseł, czyli zaszyfrowane pamięć przenośną na USB. Wspiera hasła jednorazowe (OTP - one time Zasadniczym ograniczeniem tego sposobu szyfrowania komunikacji, jest
misji danych pomiędzy urządzeniami znajdującymi się w zasięgu, a prze- bazy danych zawierające hasła do wykorzystywanych usług czy portali. Nie- password), kryptografię asymetryczną (w tym OpenPGP) czy tę opartą na fakt że druga strona również musi posiadać zestaw kluczy i przekazać swój
kaźnikami operatorów. Urządzenia takie są najczęściej wykorzystywane bywałą zaletą takiego rozwiązania, jest wygoda i prostota obsługi. Wystarczy krzywych eliptycznych. Możliwe jest wykorzystanie tego hardware również klucz publiczny. Niestety RSA pomimo niebywałych zalet wciąż nie stało się
przez różnego rodzaju służby, jednak coraz łatwiejszy montaż powoduje, zapamiętać jedynie tzw. “główny tekst szyfrujący” (ang: master passphra- na urządzeniach mobilnych za pomocą standardu NFC. Obecnie listę usług, na tyle powszechne, aby każdy używał go do zabezpieczania koresponden-
że niewykluczone jest spotkanie się z catcherem DIY* wykorzystywanym se - takie bardziej rozbudowane hasło), czyli ciąg znaków, który spowoduje do których można się zalogować z pomocą Yubikeya można zobaczyć cji. Nie jest to też rozwiązanie 100% bulletproof, bowiem atakujący (zwłasz-
przez hackera. Pierwszą linią obrony przed takim sposobem przechwycenia rozszyfrowanie bazy i umożliwi przekopiowanie wartości do pól logowania. na stronie producenta [26]. Jedna ważna uwaga, w dniu 16.10.2017 cza dysponujący dużym budżetem), może starać się wygenerować klucz
komunikacji jest wykorzystanie oprogramowania do wykrywania i ostrzega- Najpopularniejsze na rynku rozwiązania to LastPass, 1Password, Dashla- okazało się, że niektóre układy elektroniczne stosowane rów- o identycznym “krótkim odcisku palca” [14] (short fingerprint, krótka liczba
nia o podejrzanych BTSach. System iOS nie potrzebuje dodatkowej aplikacji, ne i KeePass. Większość z nich wspiera szerokie spektrum platform w tym nież przez Yubico, generują klucze, które łatwo rozłożyć identyfikująca klucz znajdujący się na serwerze kluczy takim jak [15], uła-
natomiast użytkownicy Androida powinni spojrzeć na program Android IMSI systemy mobilne czy posiada dodatki wspierające integrację z przeglądar- na czynniki pierwsze oraz tym samym zbudować twia rozpowszechnianie) albo po prostu podmieni wysłany klucz publiczny.
Catcher Detector, który został udostępniony na licencji typu open-source. ką internetową. Część menedżerów przechowuje dane w chmurach - jest to klucz prywatny na podstawie publicznego. Jeżeli W efekcie tego informacje zaszyfrowane będą mogły zostać przeczytane
Własnoręczne zbudowanie aplikacji zminimalizuje możliwość wstrzyknięcia rozwiązanie bardzo wygodne, jednak może budzić kontrowersje. Wymaga Czytelnik jest w posiadaniu takiego urządzenia, tylko przez atakującego. Kolejną wadą GPG jest stosunkowo niska przeno-
złośliwego kodu, które nie raz pojawiają się w marketach [10], [11] i stanowią znacznie większego zaufania w kierunku producenta i jego intencji, a także powinien kierować się tym linkiem [25] [7], aby śność i niezbyt oszałamiające wsparcie platform mobilnych (chociaż takowe
kolejne zagrożenie dla użytkownika. Niestety operatorzy sklepów z oprogra- zabezpieczeń takich baz, bowiem kompromitacja serwisów zdarza się naj- w najgorszym przypadku Klucz YubiKey, służący do podwójnej weryfikacji. istnieje). Alternatywnym rozwiązaniem i pewnego rodzaju kompromisem
mowaniem nie są w stanie wykrywać podejrzanych zmian w serwowanych lepszym (albo takim, co chcą w ten sposób o sobie myśleć [18]). KeePass po- otrzymać nowe i niepodat- Aby zalogować się do swojego konta należy będzie wykorzystanie kont pocztowych, których dostawcy mocno stawiają
umieścić go w porcie USB komputera oraz
programach, stąd zdarza się, że aplikacje ze złośliwym kodem (który może siada lokalne bazy, a jego format jest wspierany przez aplikacje zarówno na ne na atak urządzenie. w odpowiednim momencie nacisnąć kluczyk. na bezpieczeństwo i prywatność użytkowników. Chyba najlepszą renomę
Ta płytka zmieści się w obudowie pendrive
i jest w stanie wpisać dowolne komendy wykradać dane użytkownika lub pełnić rolę tylnej furtki do systemu) są po- Androida jak i iOSa oraz Windows Phone. Niestety o synchronizację danych i rozgłos ma szwajcarska firma Protonmail, która oferuje również darmo-
podając się za klawiaturę]
bierane i instalowane przez całkiem długi okres. należy zatroszczyć się samemu. Poza synchronizacją, koniecznym krokiem we skrzynki. Maile są szyfrowane end2end, to znaczy że sami pracownicy
będzie regularny backup, bowiem po stracie takiej bazy, trudno będzie od- SZYFROWANA firmy nie będą w stanie odtworzyć komunikacji. Wiadomości są chronione
zyskać kontrolę nad kontami. Niemniej autor zachęca do poznawania me- WYMIANA WIADOMOŚCI najpierw przez hasło powiązane logowaniem do konta, następnie drugie,
WIELOSTOPNIOWE UWIERZYTELNIA- nadżerów haseł, korzystania z nich oraz regularnego backupowania. Niestety związane z deszyfrowaniem wiadomości. Protonmail używa kryptogra-
NIE I HASŁA. ludzki umysł nie jest najlepszym generatorem losowych liczb czy liter, a przy- Ilekroć w eterze przetacza się dyskusja polityczna na temat niezależności fii automatycznie w przypadku przesyłania wiadomości pomiędzy dwoma
najmniej nie w kontekście haseł. Jednym ze sposobów tworzenia “passphra- i prób kontrolowania sieci, zawsze pojawia się wątek prywatnej korespon- użytkownikami posiadającymi tam skrzynki. Istnieje możliwość wymiany
Zarządy korporacji powinny pamiętać, że na nic zdadzą się miliono- se” jest tworzenie z pozoru bezsensownych zdań, które łatwo zapamiętać. To dencji. Niestety prywatność tak jak i bezpieczeństwo, to procesy, o które treści również z użytkownikami, którzy korzystają z usług innych dostaw-
we inwestycje w bezpieczeństwo, jeśli dostępu do domeny chronić będzie bardzo dobra technika i świetnie nada się do stworzenia master passphrase użytkownik musi zatroszczyć się sam. ców. Wtedy należy tylko ustalić wspólne hasło komunikacji. Alternatywą dla
domyślne hasło. Tak samo jest z bezpieczeństwem kont statystycznych w menadżerze. Natomiast usługi mogą być zabezpieczane również ciągami Jeżeli Czytelnik wciąż poszukuje argumentów “za” szczególną ochroną Protonmail’a jest Tutanota. Warto wspomnieć o dedykowanych aplikacjach
użytkowników sieci. Niestety wygoda i lenistwo, powodują, że ustawiamy znaków stworzonych przez kryptograficznie bezpieczne generatory zaim- korespondencji, polecam zapoznać się z historią wycieków firmy Yahoo. na smartfony, które znacznie ułatwiają korzystanie z emaila. Nie ma też
hasła bardzo łatwe do odgadnięcia. Jeśli hasło staje się dłuższe i bardziej plementowane wewnątrz menadżerów haseł. Co w przypadku konieczności Zwłaszcza szczególnego ataku, podczas którego napastnicy przez po- przeciwwskazań, aby połączyć przedstawiony wcześniej sposób szyfrowa-
skomplikowane - zostaje ono zapisane na kartce papieru oraz przyklejone zalogowania się na nie używając nie swojego urządzenia? Najlepiej odmówić. nad 2 lata mieli dostęp do narzędzi administracyjnych firmy czy skrzynek nia razem z wykorzystaniem bezpiecznych skrzynek. Użycie takich portali
do monitora lub w wersji “bezpiecznej” schowane pod klawiaturą/w szu- Przede wszystkim pozostaje powrót do punktu drugiego niniejszego artyku- pocztowych użytkowników. Okresowo przeczesywali je między innymi pod wiąże się z pewnym zaufaniem. Służby mogą poprosić o dodanie kilku linijek
fladzie. Kolejnym grzechem jest wykorzystywanie tego samego hasła do łu. Jeśli jednak zachodzi ważny powód, można po prostu takie hasło przepi- kątem obecności numerów kart kredytowych. To pokazuje, że podmiotem, kodu, który pozwoli przejąć dane użytkowników.
52 Wydanie Specjalne SPECIAL OPS EXTRA SURVIVAL SURVIVAL Wydanie Specjalne SPECIAL OPS EXTRA 53
