Lekcije koje smo naučili hakovanjem Gawkera

Vesti, 16.12.2010, 01:32 AM

Lekcije koje smo naučili hakovanjem Gawkera

Slučaj hakovanja servera Gawker Media, što je za posledicu imalo curenje poverljivih podataka sa sajtova kao što su Gizmodo, Lifehacker, Kotaku, io9 i drugih, izlaganje javnosti 1,3 miliona korisničkih naloga, 405 Mb izgubljenog izvornog koda, i otkrivanje identiteta onih koji su ostavljali anonimne komentare - osim posledica doneo nam je i lekcije za budućnost.

Gawkeru predstoji dug i neizvestan put povratka poverenja korisnika, koji, u ne malom broju najavljuju brisanje svojih naloga. I sa tehničke strane, Gawkeru predstoji veliki posao detaljne revizije ili ponovne izgradnje sistema od nule kako bi se sprečilo da se ovako nešto u budućnosti ponovi.

Dakle, šta smo naučili iz slučaja Gawker? “Mnogo lekcija, većina njih pokazuje šta ne bi trebalo da činimo,” kaže kolumnista Threatposta, Džeremaja Grosman.

Prvo i pre svega, ne igrajte se sa medvedom. Gawker je sam sebe napravio metom za hakere, izazivajući hakersku zajednicu tvrdnjom da ih je nemoguće hakovati. Ne samo da je njih više, nego oni imaju i dovoljno slobodnog vremena na raspolaganju. Poštujte njihove sposobnosti. Da ne spominjemo da su šanse uvek na strani napadača. Sve što treba da rade napadači je da pronažu malu pukotinu u zidu koja će srušiti celu konstrukciju, kaže Džeremaja.

Sledeće je reakcija na incident - ne pretvarajte se da je sve u redu, ako nije. Strategija koja je ponekad efikasna kada je reč o političkim skandalima, a koja podrazumeva uporno poricanje, kontraproduktivna je u odnosu sa korisnicima. Na taj način samo motivišete protivnike da vam dokazuju da niste u pravu i da vam to dokazuju pred očima javnosti.

Ne koristite iste lozinke za različite internet naloge. Različite i jake lozinke za različite naloge smanjuju rizik na razumnu meru. Ukoliko napadač stekne kontrolu nad vašim Twitter nalogom, vaš Google nalog je i dalje bezbedan. U svetlu najnovijih zbivanja sa hakovanjem sajtova Gawker Media, kompanije Twitter, LinkedIn i Yahoo su pozvale svoje korisnike da promene lozinke.

Veliki broj korisnika (njih 33% prema istraživanju kompanije Sophos) koristi istu lozinku za sve sajtove na kojima imaju registrovane naloge. To znači da ako je vaša lozinka ukradena na jednom sajtu, ona će omogućiti napadaču da pristupi vašim nalozima i na ostalim sajtovima.

Sve postaje još gore od navedenog kada se uzme u obzir činjenica da veliki broj korisnika koristi veoma slabe lozinke koje je lako pogoditi: lozinka “123456” je najčešće korišćena lozinka, pokazuje slučaj Gawker, a za njom slede lozinke “password”, “12345678”, “lifehack” (na sajtu Lifehacker!), “111111”, “gizmodo” (na sajtu Gizmodo!), “internet”, “computer” itd.

Deluje neverovatno i uznemirujuće. Mnogi od nas koriste zaista jadne lozinke, a hakerima nije problem da ih pogode jer znaju koje se lozinke najčešće koriste. Ozloglašeni kompjuterski crv Conficker je čak imao ugrađenu lsitu najčešće korišćenih lozinki koju je koristio kako bi se što efikasnije širio.

Graham Cluley, ekspert kompanije Sophos, smatra da bi veb-sajtovi morali da razmotre mogućnost da se kada korisnik bira lozinku za svoj nalog proverava jačina lozinke koju je korisnik izabrao. Ukoliko se tada ustanovi da je izabrana lozinka reč iz rečnika ili da se iz nekog drugog razloga lako može pretpostaviti, od korisnika se zahteva da kreira novu, kvalitetniju lozinku.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Pornografski sajt Xtube inficira trojancem računare posetilaca

Pornografski sajt Xtube inficira trojancem računare posetilaca

Hakeri su kompromitovali popularni pornografski sajt Xtube i ubacili u sajt maliciozni kod koji preusmerava posetioce na stranicu sa exploit alatom, i... Dalje

''Sextortion'': Ucenjivači sa interneta sada koriste Android malvere da bi ucenjivali žrtve

''Sextortion'': Ucenjivači sa interneta sada koriste Android malvere da bi ucenjivali žrtve

“Sextortion” je oblik seksualne ucene žrtve koju je ucenjivač prethodno ubedio da izvede neki seksualni akt koji je krišom snimio da bi... Dalje

Zbog hakerskog napada, Twitch resetovao lozinke svih korisničkih naloga

Zbog hakerskog napada, Twitch resetovao lozinke svih korisničkih naloga

Amazonov servis za streamovanje video igara Twitch objavio je da su otkriveni pokušaji nedozvoljenog pristupa nekim informacijama korisničkih naloga... Dalje

Prevaranti i dalje obećavaju korisnicima besplatne pozive preko WhatsAppa

Prevaranti i dalje obećavaju korisnicima besplatne pozive preko WhatsAppa

Ne po prvi put prevaranti koriste interesovanje korisnika WhatsAppa za besplatne pozive koje je WhatsApp uveo krajem januara ali ne za sve korisnike A... Dalje

Na hakerskom takmičenju Pwn2Own hakovana sva četiri vodeća browsera

Na hakerskom takmičenju Pwn2Own hakovana sva četiri vodeća browsera

Hakeri koji su učestvovali na takmičenju Pwn2Own uspeli su da hakuju četiri popularna browsera, kao i Adobe Reader i Flash Player pluginove. Najve... Dalje