Tag: bezpieczeństwo

Hasło w stogu siana

Na łamach BIZNESU BEZ STRESU zajmowałem się już problemem haseł do systemów komputerowych i serwisów internetowych, czyli „kluczy” zabezpieczających nasze cyfrowe zasoby przed kradzieżą i nieuprawnionym dostępem. Hasła te powinny być jednocześnie łatwe do zapamiętania (żeby nie trzeba było ich zapisywać) i trudne do złamania (z oczywistych powodów). Te dwie cechy wydają się być nie do pogodzenia, więc albo stosujemy hasła banalne, albo skomplikowane, które zapisujemy na karteczkach lub przechowujemy w zaszyfrowanej postaci, korzystając z wyspecjalizowanego oprogramowania lub serwisów sieciowych.

Steve Gibson, specjalista do spraw bezpieczeństwa komputerowego, twórca znakomitego programu do odzyskiwania danych SpinRite oraz terminu „spyware”, odkrył ostatnio nową, genialną w swej prostocie metodę tworzenia haseł. Haseł, które są jednocześnie łatwe do zapamiętania i trudne do złamania!

Zastanówmy się najpierw, jak Niedobry Haker podchodzi do łamania naszych haseł. Po pierwsze za pomocą olbrzymiego słownika sprawdza wszystkie ciągi znaków, które mogą się z czymś kojarzyć: liczby, słowa, zmodyfikowane słowa oraz ich nieskomplikowane połączenia – na przykład:

  • „pies”, „pies0”, „pies1”, „pies2”,… „pies9”;
  • „Pies”, „Pies0”, „Pies1”, „Pies2”,… „Pies9”;
  • „piEs”, „piEs0”, „piEs1”, „piEs2”,… „piEs9”;
  • „pie5”, „pie50”, „pie51”, „pie52”,… „pie59”;
  • i tak dalej…

Atak słownikowy wymaga znacznej liczby sprawdzeń, jednak ogranicza się do stosunkowo skromnego repertuaru ludzkich skojarzeń. Co to jest „pies”, wie każdy, zaś „pvra” to słowo, które raczej nikomu nie przyjdzie samoistnie do głowy.

Gdy powyższa metoda nie przynosi sukcesu, Niedobry Haker musi uciec się do znacznie bardziej pracochłonnego łamania hasła „brutalnom siłom” poprzez sprawdzenie WSZYSTKICH możliwych, „niekojarzących się z niczym” ciągów znaków. Liczba kombinacji, które trzeba w tym przypadku poddać próbie jest olbrzymia i zależy od nieznanej Niedobremu Hakerowi długości hasła i nieznanego repertuaru użytych w nim znaków (czy są to tylko małe litery, czy małe i wielkie litery, czy małe i wielkie litery oraz cyfry, czy wreszcie małe i wielkie litery oraz cyfry i znaki przestankowe).

Zatem podsumujmy: dobre hasło to takie, którego nie da się znaleźć w słowniku i które jest długie. Dobre hasło nie musi być wcale skomplikowane! Pracochłonność procedury szukania od tego nie zależy! Zależy od wielkości stogu, który trzeba przekopać!

Na przykład 24-znakowe hasło „Pie5………………..” jest 95 razy trudniejsze do złamania niż 23-znakowe hasło „PrXyc.N(n4k77#L!eVdAfp9”.

Oczywiście pod warunkiem, że Niedobry Haker nie wie, jak długi jest ogon, który doczepiliśmy naszemu psu. I z jakich znaków się ten ogon składa. I czy doczepiliśmy go z tyłu, z przodu, czy w środku.

Dodatkowo warto różnicować swoje hasło tak, żeby nie używać tego samego ciągu znaków do uzyskiwania dostępu do wielu witryn internetowych, ponieważ Niedobry Haker mógłby jednym, zgubionym przez nas kluczem otworzyć wszystkie nasze cyfrowe szuflady.

A oto prosty przykład użycia metody Steve Gibsona do utworzenia zbioru mocnych, łatwych do zapamiętania haseł do wybranych witryn internetowych: słowo kluczowe: „klon” (zmodyfikowane w następujący sposób: „kl0N”), wypełniacz: „.1” powtórzony 4 razy, identyfikator witryny: dwa pierwsze znaki:

  • gmail: „kl0N.gm.1.1.1.1”
  • amazon: „kl0N.am.1.1.1.1”
  • twitter: „kl0N.tw.1.1.1.1”
  • facebook: „kl0N.fa.1.1.1.1”

PS. Steve Gibson opisał swoją metodę w artykule „Password Haystacks: How Well Hidden is Your Needle?”.

Brama ewakuacyjna

Brama ewakuacyjna

Podczas sobotniego spaceru po zaśnieżonych uliczkach zobaczyłem, uwiecznioną na powyższym zdjęciu, bramę ewakuacyjną z groźnym napisem „NIE ZASTAWIAĆ”. Zarówno przed nią, jak i za nią piętrzą się góry zgarniętego śniegu. Bo tak było najłatwiej…

Patrząc na ten obrazek, zacząłem zastanawiać się nad rolą bram ewakuacyjnych w naszym życiu i w działalności gospodarczej. Im odważniejsze są nasze plany, tym większe jest ryzyko niepowodzenia. I co wtedy? Konieczna jest wówczas ewakuacja na „z góry upatrzone pozycje”. I to one są właśnie taką bramą.

Niektórzy inaczej podchodzą do kwestii ryzyka w działaniu i opracowują oraz uruchamiają swoje plany B.

Ostatnio rozmawiałem z menedżerem wysokiego szczebla, który opisał mi następującą sytuację:

Jego firma realizowała kluczowy dla swojego istnienia projekt. Jednak menedżer ten nie miał pełnego zaufania do kierownika zespołu zajmującego się tym zadaniem, do podejmowanych przez niego decyzji merytorycznych. W związku z tym, zamiast uzdrowić sytuację, uruchomił, kierowany przez samego siebie, konkurencyjny projekt, który nazwał swoim planem B.

Abstrahując od finału tej historii, możemy pokazać wyraźnie, czym różni się brama ewakuacyjna od planu B.

Brama ewakuacyjna musi być drożna i zapewniać uratowanie skóry w przypadku jakiejś katastrofy lub totalnego niepowodzenia. Nie gwarantuje, że wyjdziesz z opresji nieporaniony lub że osiągniesz swój cel, jednak podczas realizacji planu A praktycznie nie pochłania twojej uwagi i zasobów twojej firmy.

Natomiast plan B wymaga utrzymywania go w gotowości, a w większości przypadków także wielu aktywnych i intensywnych działań, żeby w każdej chwili był gotów do odegrania pierwszoplanowej roli. W zmieniających się warunkach zewnętrznych niepielęgnowany plan B jest tylko złudzeniem bezpieczeństwa, polisą bez pokrycia.

Moja rada jest taka:

  1. Nie twórz i nie uruchamiaj planów B, ponieważ będą one odciągały twoją uwagę oraz zasoby od planu A i już na wstępie podważały twoją wiarę w jego powodzenie.
  2. Starannie przygotuj, a potem odśnieżaj swoją bramę ewakuacyjną, czyli wyjście awaryjne na wypadek niepowodzenia.

Jajka w koszyku

Znane polskie przysłowie mówi:

Nie wkładaj wszystkich jajek do jednego koszyka.

Niby je słyszałeś, ale jak przychodzi co do czego, często zapominasz o jego praktycznych zastosowaniach. Oto kilka z nich:

  1. Gdy wybierasz się w podróż albo na wakacje, nigdy nie trzymaj pieniędzy i ważnych dokumentów w jednym miejscu. Paszport miej przy sobie, a dowód osobisty schowany w bagażu podręcznym. Pieniądze podziel na trzy części: jedną trzymaj w portfelu, drugą w bagażu podręcznym, a trzecią w walizce. Pojęcie „pieniądze” obejmuje także karty płatnicze, które zabierasz ze sobą.
  2. Gdy jesteś zatrudniony na etacie, nawet w najwspanialszej firmie, nie zapominaj o pielęgnowaniu innych możliwości zarabiania na własne utrzymanie. Pielęgnuj dawne znajomości, rozwijaj swoje zainteresowania, staraj się zaistnieć publicznie poza swoim zakładem pracy. W dobie internetu jest to szczególnie łatwe – podtrzymywanie znajomości na podstawowym poziomie wymaga wysłania kilku listów elektronicznych, sieć to skarbnica wiedzy na każdy temat, także twojego hobby, a założenie bloga jest dziecinnie proste i bezpłatne.
  3. Gromadząc oszczędności lub grając na giełdzie, nie inwestuj wszystkiego w jeden fundusz lub akcje jednej firmy. Bywa, że taka inwestycja jest strzałem w dziesiątkę, lecz znacznie częściej, postępując w ten sposób, bawisz się w lotto a nie profesjonalnie zarządzasz swoimi pieniędzmi. Wybieraj różne instrumenty finansowe i dla bezpieczeństwa korzystaj z usług kilku banków.

Powyższe podejście stoi w pewnej sprzeczności z ideą upraszczania życia, lecz nie należy być doktrynerem. Jeśli alternatywą bezwzględnej prostoty jest bezpieczeństwo uzyskane kosztem niewielkiej (podkreślam NIEWIELKIEJ) złożoności, wybierz to drugie, a ograniczysz stres towarzyszący twojemu życiu i biznesowi.

Bezpieczeństwo kosztuje

Bezpieczeństwo kosztuje. Przede wszystkim w sensie materialnym. Słuszny postulat, żeby najważniejsze osoby w państwie nie podróżowały razem jednym samolotem, przekłada się bezpośrednio na brzęczące złotówki, które każdy podatnik musi wysupłać z kieszeni. A stąd już niedaleka droga do populistycznych haseł, które ma w zanadrzu każda opozycja, że władza wozi swoje tyłki w luksusowych, przestronnych kabinach samolotów, kiedy my musimy tłoczyć się w przepełnionych autobusach. I tak mija rok za rokiem i budzimy się z ręką w nocniku, gdy coś spadnie albo wydarzy się inne nieszczęście.

I nie ma co gadać po próżnicy o procedurach, o tym, że Prezydent nie może z Premierem, a generał z generałem, kiedy zawsze znajdą się tacy, którzy skrupulatnie rozliczą użycie o jednego samolotu za dużo.

Po wypadku polskiego prezydenckiego samolotu w amerykańskiej prasie pojawiły się pełne niedowierzania komentarze dotyczące braku lub nieprzestrzegania procedur dotyczących wspólnych podróży wysokich urzędników państwowych. Tyle że w Stanach Zjednoczonych:

  • Prezydent ma do dyspozycji dwa samoloty Boeing VC-25 (zmodyfikowana wersja Jumbo Jeta Boeing 747-200B), z których każdy kosztował 325 milionów dolarów i których roczne utrzymanie pożera podobną sumę. Zakupy produktów żywnościowych na potrzeby Air Force One odbywają się incognito, w losowo wybranych sklepach, żeby zmniejszyć ryzyko zatrucia („How Air Force One Works” / How Stuff Works). Przed samolotem prezydenckim do celu podróży dociera inny samolot: towarowy C141 Starlifter, którego zadaniem jest dostarczenie na miejsce opancerzonych samochodów wchodzących w skład kolumny prezydenckiej.
  • Wiceprezydent ma do dyspozycji jeden z czterech Boeingów C-32A (zmodyfikowana wersja Boeinga 757-200), z których każdy kosztował 65 milionów dolarów.

Oprócz kosztów materialnych, bezpieczeństwo wymaga także wysiłku, dyscypliny i czasu. To nie przypadek, że mimo wyposażenia każdego samochodu w pasy, wciąż wiele osób ginie w wypadkach lub odnosi ciężkie obrażenia z powodu ich niezapięcia. To nie przypadek, że zdarza się tak wiele wypadków z powodu rozwinięcia nadmiernej prędkości. Brak czasu skłania kierowców do podejmowania nieuzasadnionego ryzyka.

Reasumując, uważam, że wypadek pod Smoleńskiem powinien z jednej strony być impulsem do odpowiedniego ponadpartyjnego zadbania o bezpieczeństwo osób, które sami wybraliśmy na najwyższe urzędy w państwie, a z drugiej strony skłonić każdego z nas do refleksji, czy ryzyko, które podejmujemy na co dzień, jest naprawdę uzasadnione, czy przybycie do celu podróży kilkanaście minut wcześniej jest ważniejsze od naszego życia i zdrowia.

OGH – Oldskulowy Generator Haseł

KOSTKI

We wpisie Zapisuj hasła zachęcałem do stosowania długich, trudnych do zapamiętania haseł i zapisywania ich na karteczkach. Sekret bezpieczeństwa tkwił w modyfikowaniu haseł w momencie ich wprowadzania do komputera.

Kilka osób zwróciło mi wówczas uwagę, że do tworzenia takich haseł proponuję serwis internetowy Perfect Passwords, a przecież nie wiadomo, czy pozyskane w ten sposób hasła nie są celowo osłabione. W związku z tym opracowałem OGH – Oldskulowy Generator Haseł. Składa się on z dwóch kostek do gry i tabelki:

Dice Password

Kolejne znaki hasła tworzone są w następujący sposób:

  • Rzuć dwiema kostkami (lub jedną kostką dwa razy).
  • Wybierz z tabelki znak z wiersza odpowiadającego liczbie oczek na pierwszej kostce, z kolumny odpowiadającej liczbie oczek na drugiej kostce.
  • Powtórz powyższą procedurę tyle razy, ile znaków ma mieć twoje hasło.

Jeśli nikt nie podłożył ci oszukanych kostek, możesz być pewien, że utworzone hasło jest przypadkowe i podobne całkiem do niczego.

„Genialny samouk” czyli zwykły partacz

PARTACZE

Nieraz śmiejemy się z braku polotu i kreatywności, które, jak gminna wieść niesie, cechują amerykańskich menedżerów, pracowników, żołnierzy i przedstawicieli wszelkich zawodów. Zamiast zdać się na swoją zawodową intuicję i zmysł majsterklepki, wyciągają z segregatora listy kontrolne oraz instrukcje i starają się postępować zgodnie z tym, co zostało tam napisane. Za grosz fantazji! Za grosz artystycznej improwizacji!

Po dwóch latach domowych remontów i wielu latach praktyki zawodowej doszedłem do wniosku, że nie ma się z czego śmiać. Co najmniej 90% ludzkich działań da się opisać procedurami uwzględniającymi doświadczenia poprzedników: co i jak należy, a czego nie należy robić. Lekceważenie tych wskazówek prowadzi do wielokrotnego wynajdowania koła lub partactwa w czystej postaci (fotografia powyżej przedstawia rysy wyłażące jak grzyby po deszczu na nowiutkim suficie podwieszanym w moim domu).

Zastanów się zatem, kim jesteś lub chciałbyś być:

*** profesjonalistą,
który dysponuje podstawową wiedzą, na bieżąco zapoznaje się z instrukcjami i literaturą fachową oraz postępuje zgodnie z branżowymi standardami?

czy

*** „genialnym samoukiem”,
który pozjadał wszystkie rozumy i sam „wie lepiej”, czyli po prostu jest zwykłym partaczem?

Bankowość internetowa bez stresu

Do niedawna październik jednoznacznie kojarzył się z oszczędzaniem. Ostatnio stał się też miesiącem premier kolejnych wersji Ubuntu – najpopularniejszej, pieczołowicie przygotowywanej dla zwykłych ludzi, dystrybucji systemu operacyjnego Linux. W zadziwiający sposób te dwa październikowe skojarzenia prowadzą nas do tematu dzisiejszego wpisu, czyli bezpiecznej bankowości internetowej.

Ostatnio temat ten wywołał publicysta Washington Post Brian Krebs w artykule „Avoid Windows Malware: Bank on a Live CD”. Większość użytkowników nie chce, bądź nie może zrezygnować z Microsoft Windows jako podstawowego środowiska pracy. Niestety, niezależnie od wysiłków czynionych przez firmę z Redmond, system ten jest siedliskiem dziur umożliwiających przejmowanie haseł dostępu do kont bankowych oraz głównym celem ataku cyberprzestępców. Natomiast Linux, przede wszystkim ze względu na mniejszą popularność, jak i jawność kodu, jest powszechnie uważany za najbezpieczniejsze oprogramowanie systemowe dostępne dla przeciętnego użytkownika.

Najprostszą metodą pogodzenia tych dwóch sprzecznych ze sobą wymagań jest używanie komputera pracującego pod kontrolą Microsoft Windows do wszystkiego oprócz bankowości internetowej, a do bankowości internetowej Linuksa.

Aby to zrobić w sposób lekki, łatwy i przyjemny powinieneś skorzystać z dysku CD z dystrybucją Linux Ubuntu Live. Jego obraz możesz pobrać ze strony „Get Ubuntu” i zapisać na dysku CD.

Każdorazowo, gdy będziesz chciał wystartować komputer z dysku CD, wciśnij klawisz wywołujący „BOOT MENU” (na ekranie powinna być podpowiedź, który to klawisz) i wybierz z wyświetlonego menu pozycję „CD-ROM”. Ubuntu uruchomi się, nie psując systemu Windows, który masz zainstalowany na twardym dysku. Następnie uruchom przeglądarkę Firefox (jej ikona powinna być widoczna na „belce” u góry ekranu) i wpisz adres internetowy swojego banku. W tym momencie możesz być pewny, że żaden intruz nie podejrzy twojego hasła i treści przeprowadzanych transakcji (o ile oczywiście bank prawidłowo stworzył swój system obsługi bankowości internetowej).

Od kilku lat stosuję podobną metodę. Udało mi się wygospodarować osobny komputer, który jest przeznaczony tylko i wyłącznie do bankowości internetowej. Zainstalowałem na nim Linuksa Ubuntu i nigdy nie wchodzę za jego pomocą na strony internetowe niezwiązane z transakcjami bankowymi. Skomplikowane hasła dostępu wygenerowałem za pomocą strony Perfect Passwords (darzę ją pełnym zaufaniem) i zapisałem na dysku USB, który przechowuję w zupełnie innym miejscu niż komputer.

Stosowanie Linuksa jako środowiska dostępu do bankowości internetowej jest jednym z istotnych elementów mojego BIZNESU BEZ STRESU, czego i tobie życzę.