Lekcije koje smo naučili hakovanjem Gawkera

Vesti, 16.12.2010, 01:32 AM

Lekcije koje smo naučili hakovanjem Gawkera

Slučaj hakovanja servera Gawker Media, što je za posledicu imalo curenje poverljivih podataka sa sajtova kao što su Gizmodo, Lifehacker, Kotaku, io9 i drugih, izlaganje javnosti 1,3 miliona korisničkih naloga, 405 Mb izgubljenog izvornog koda, i otkrivanje identiteta onih koji su ostavljali anonimne komentare - osim posledica doneo nam je i lekcije za budućnost.

Gawkeru predstoji dug i neizvestan put povratka poverenja korisnika, koji, u ne malom broju najavljuju brisanje svojih naloga. I sa tehničke strane, Gawkeru predstoji veliki posao detaljne revizije ili ponovne izgradnje sistema od nule kako bi se sprečilo da se ovako nešto u budućnosti ponovi.

Dakle, šta smo naučili iz slučaja Gawker? “Mnogo lekcija, većina njih pokazuje šta ne bi trebalo da činimo,” kaže kolumnista Threatposta, Džeremaja Grosman.

Prvo i pre svega, ne igrajte se sa medvedom. Gawker je sam sebe napravio metom za hakere, izazivajući hakersku zajednicu tvrdnjom da ih je nemoguće hakovati. Ne samo da je njih više, nego oni imaju i dovoljno slobodnog vremena na raspolaganju. Poštujte njihove sposobnosti. Da ne spominjemo da su šanse uvek na strani napadača. Sve što treba da rade napadači je da pronažu malu pukotinu u zidu koja će srušiti celu konstrukciju, kaže Džeremaja.

Sledeće je reakcija na incident - ne pretvarajte se da je sve u redu, ako nije. Strategija koja je ponekad efikasna kada je reč o političkim skandalima, a koja podrazumeva uporno poricanje, kontraproduktivna je u odnosu sa korisnicima. Na taj način samo motivišete protivnike da vam dokazuju da niste u pravu i da vam to dokazuju pred očima javnosti.

Ne koristite iste lozinke za različite internet naloge. Različite i jake lozinke za različite naloge smanjuju rizik na razumnu meru. Ukoliko napadač stekne kontrolu nad vašim Twitter nalogom, vaš Google nalog je i dalje bezbedan. U svetlu najnovijih zbivanja sa hakovanjem sajtova Gawker Media, kompanije Twitter, LinkedIn i Yahoo su pozvale svoje korisnike da promene lozinke.

Veliki broj korisnika (njih 33% prema istraživanju kompanije Sophos) koristi istu lozinku za sve sajtove na kojima imaju registrovane naloge. To znači da ako je vaša lozinka ukradena na jednom sajtu, ona će omogućiti napadaču da pristupi vašim nalozima i na ostalim sajtovima.

Sve postaje još gore od navedenog kada se uzme u obzir činjenica da veliki broj korisnika koristi veoma slabe lozinke koje je lako pogoditi: lozinka “123456” je najčešće korišćena lozinka, pokazuje slučaj Gawker, a za njom slede lozinke “password”, “12345678”, “lifehack” (na sajtu Lifehacker!), “111111”, “gizmodo” (na sajtu Gizmodo!), “internet”, “computer” itd.

Deluje neverovatno i uznemirujuće. Mnogi od nas koriste zaista jadne lozinke, a hakerima nije problem da ih pogode jer znaju koje se lozinke najčešće koriste. Ozloglašeni kompjuterski crv Conficker je čak imao ugrađenu lsitu najčešće korišćenih lozinki koju je koristio kako bi se što efikasnije širio.

Graham Cluley, ekspert kompanije Sophos, smatra da bi veb-sajtovi morali da razmotre mogućnost da se kada korisnik bira lozinku za svoj nalog proverava jačina lozinke koju je korisnik izabrao. Ukoliko se tada ustanovi da je izabrana lozinka reč iz rečnika ili da se iz nekog drugog razloga lako može pretpostaviti, od korisnika se zahteva da kreira novu, kvalitetniju lozinku.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Apple i Google na tajnoj konfereniciji o špijuniranju sa šefovima obaveštajnih službi

Apple i Google na tajnoj konfereniciji o špijuniranju sa šefovima obaveštajnih službi

Prošle nedelje iza zatvorenih vrata održan je tajni sastanak čelnih ljudi obaveštajnih agencija iz sedam zemalja sa predstavnicima tehnoloških gi... Dalje

Zašto su sigurnosna pitanja za oporavak naloga loša ideja

Zašto su sigurnosna pitanja za oporavak naloga loša ideja

Sigurnosna pitanja često nude daleko manji nivo zaštite od loziniki koje kreiraju korisnici i ne bi ih nikada trebalo koristiti kao jedini način za... Dalje

Američka NSA planirala da hakuje Google Play i instalira špijunski softver na telefonima

Američka NSA planirala da hakuje Google Play i instalira špijunski softver na telefonima

Američka Nacionalna bezbednosna agencija (NSA) i njeni partneri planirali su da hakuju linkove do Googleove i Samsungove prodavnice aplikacija da bi ... Dalje

Prva pomoć kod infekcije kripto-ransomwareom

Prva pomoć kod infekcije kripto-ransomwareom

Bez obzira da li blokira web browser ili je šifrovao fajlove na računaru, infekcija ransomwareom je ozbiljan problem, a ransomware je trenutno i jed... Dalje

Identifikacija naloga kao mamac za krađu ličnih podataka korisnika Microsoftovih servisa

Identifikacija naloga kao mamac za krađu ličnih podataka korisnika Microsoftovih servisa

Stručnjaci upozoravaju na novu prevaru koja koristi identifikaciju Windows Live naloga kao mamac kako bi ukrala lične podatke koji se nalaze na kori... Dalje