Lekcije koje smo naučili hakovanjem Gawkera

Vesti, 16.12.2010, 01:32 AM

Lekcije koje smo naučili hakovanjem Gawkera

Slučaj hakovanja servera Gawker Media, što je za posledicu imalo curenje poverljivih podataka sa sajtova kao što su Gizmodo, Lifehacker, Kotaku, io9 i drugih, izlaganje javnosti 1,3 miliona korisničkih naloga, 405 Mb izgubljenog izvornog koda, i otkrivanje identiteta onih koji su ostavljali anonimne komentare - osim posledica doneo nam je i lekcije za budućnost.

Gawkeru predstoji dug i neizvestan put povratka poverenja korisnika, koji, u ne malom broju najavljuju brisanje svojih naloga. I sa tehničke strane, Gawkeru predstoji veliki posao detaljne revizije ili ponovne izgradnje sistema od nule kako bi se sprečilo da se ovako nešto u budućnosti ponovi.

Dakle, šta smo naučili iz slučaja Gawker? “Mnogo lekcija, većina njih pokazuje šta ne bi trebalo da činimo,” kaže kolumnista Threatposta, Džeremaja Grosman.

Prvo i pre svega, ne igrajte se sa medvedom. Gawker je sam sebe napravio metom za hakere, izazivajući hakersku zajednicu tvrdnjom da ih je nemoguće hakovati. Ne samo da je njih više, nego oni imaju i dovoljno slobodnog vremena na raspolaganju. Poštujte njihove sposobnosti. Da ne spominjemo da su šanse uvek na strani napadača. Sve što treba da rade napadači je da pronažu malu pukotinu u zidu koja će srušiti celu konstrukciju, kaže Džeremaja.

Sledeće je reakcija na incident - ne pretvarajte se da je sve u redu, ako nije. Strategija koja je ponekad efikasna kada je reč o političkim skandalima, a koja podrazumeva uporno poricanje, kontraproduktivna je u odnosu sa korisnicima. Na taj način samo motivišete protivnike da vam dokazuju da niste u pravu i da vam to dokazuju pred očima javnosti.

Ne koristite iste lozinke za različite internet naloge. Različite i jake lozinke za različite naloge smanjuju rizik na razumnu meru. Ukoliko napadač stekne kontrolu nad vašim Twitter nalogom, vaš Google nalog je i dalje bezbedan. U svetlu najnovijih zbivanja sa hakovanjem sajtova Gawker Media, kompanije Twitter, LinkedIn i Yahoo su pozvale svoje korisnike da promene lozinke.

Veliki broj korisnika (njih 33% prema istraživanju kompanije Sophos) koristi istu lozinku za sve sajtove na kojima imaju registrovane naloge. To znači da ako je vaša lozinka ukradena na jednom sajtu, ona će omogućiti napadaču da pristupi vašim nalozima i na ostalim sajtovima.

Sve postaje još gore od navedenog kada se uzme u obzir činjenica da veliki broj korisnika koristi veoma slabe lozinke koje je lako pogoditi: lozinka “123456” je najčešće korišćena lozinka, pokazuje slučaj Gawker, a za njom slede lozinke “password”, “12345678”, “lifehack” (na sajtu Lifehacker!), “111111”, “gizmodo” (na sajtu Gizmodo!), “internet”, “computer” itd.

Deluje neverovatno i uznemirujuće. Mnogi od nas koriste zaista jadne lozinke, a hakerima nije problem da ih pogode jer znaju koje se lozinke najčešće koriste. Ozloglašeni kompjuterski crv Conficker je čak imao ugrađenu lsitu najčešće korišćenih lozinki koju je koristio kako bi se što efikasnije širio.

Graham Cluley, ekspert kompanije Sophos, smatra da bi veb-sajtovi morali da razmotre mogućnost da se kada korisnik bira lozinku za svoj nalog proverava jačina lozinke koju je korisnik izabrao. Ukoliko se tada ustanovi da je izabrana lozinka reč iz rečnika ili da se iz nekog drugog razloga lako može pretpostaviti, od korisnika se zahteva da kreira novu, kvalitetniju lozinku.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zašto ljudi ignorišu bezbednosna upozorenja

Zašto ljudi ignorišu bezbednosna upozorenja

Naučnici sa Univerziteta Brigham Young (BYU) sproveli su studiju o razlozima zbog kojih ljudi najčešće ignorišu bezbednosna upozorenja, pokušava... Dalje

Ponovo hakovani Epic Games forumi, ukradene informacije više od 800000 korisnika

Ponovo hakovani Epic Games forumi, ukradene informacije više od 800000 korisnika

Hakeri su ukrali više od 800000 korisničkih imena, lozinki i email adresa korisnika foruma Unreal Engine i Unreal Tournament koji su u vlasništvu k... Dalje

Neobjavljeni Snoudenovi dokumenti potvrđuju tvrdnje hakera: hakerski alati NSA su u njihovim rukama

Neobjavljeni Snoudenovi dokumenti potvrđuju tvrdnje hakera: hakerski alati NSA su u njihovim rukama

Prošlog ponedeljka, hakerska grupa “Shadow Brokers” objavila je aukciju sajber oružja američke Nacionalne bezbednosne agencije (NSA). S... Dalje

Kako je francuski bloger prevario prevarante i inficirao ih ransomwareom Locky

Kako je francuski bloger prevario prevarante i inficirao ih ransomwareom Locky

Među najprofitabilnijim prevarama na internetu su prevare sa lažnom tehničkom podrškom koja pokušava da zastraši korisnike i natera ih da kupe s... Dalje

Sajber kriminalci sa računa kompanije Leoni ukrali 40 miliona evra

Sajber kriminalci sa računa kompanije Leoni ukrali 40 miliona evra

Nemačka proizvođač automobilskih kablova kompanija Leoni, koja ima proizvodne pogone i u Srbiji, našao se na meti sajber kriminalaca koji su pomo... Dalje