Lekcije koje smo naučili hakovanjem Gawkera
Vesti, 16.12.2010, 01:32 AM

Slučaj hakovanja servera Gawker Media, što je za posledicu imalo curenje poverljivih podataka sa sajtova kao što su Gizmodo, Lifehacker, Kotaku, io9 i drugih, izlaganje javnosti 1,3 miliona korisničkih naloga, 405 Mb izgubljenog izvornog koda, i otkrivanje identiteta onih koji su ostavljali anonimne komentare - osim posledica doneo nam je i lekcije za budućnost.
Gawkeru predstoji dug i neizvestan put povratka poverenja korisnika, koji, u ne malom broju najavljuju brisanje svojih naloga. I sa tehničke strane, Gawkeru predstoji veliki posao detaljne revizije ili ponovne izgradnje sistema od nule kako bi se sprečilo da se ovako nešto u budućnosti ponovi.
Dakle, šta smo naučili iz slučaja Gawker? “Mnogo lekcija, većina njih pokazuje šta ne bi trebalo da činimo,” kaže kolumnista Threatposta, Džeremaja Grosman.
Prvo i pre svega, ne igrajte se sa medvedom. Gawker je sam sebe napravio metom za hakere, izazivajući hakersku zajednicu tvrdnjom da ih je nemoguće hakovati. Ne samo da je njih više, nego oni imaju i dovoljno slobodnog vremena na raspolaganju. Poštujte njihove sposobnosti. Da ne spominjemo da su šanse uvek na strani napadača. Sve što treba da rade napadači je da pronažu malu pukotinu u zidu koja će srušiti celu konstrukciju, kaže Džeremaja.
Sledeće je reakcija na incident - ne pretvarajte se da je sve u redu, ako nije. Strategija koja je ponekad efikasna kada je reč o političkim skandalima, a koja podrazumeva uporno poricanje, kontraproduktivna je u odnosu sa korisnicima. Na taj način samo motivišete protivnike da vam dokazuju da niste u pravu i da vam to dokazuju pred očima javnosti.
Ne koristite iste lozinke za različite internet naloge. Različite i jake lozinke za različite naloge smanjuju rizik na razumnu meru. Ukoliko napadač stekne kontrolu nad vašim Twitter nalogom, vaš Google nalog je i dalje bezbedan. U svetlu najnovijih zbivanja sa hakovanjem sajtova Gawker Media, kompanije Twitter, LinkedIn i Yahoo su pozvale svoje korisnike da promene lozinke.
Veliki broj korisnika (njih 33% prema istraživanju kompanije Sophos) koristi istu lozinku za sve sajtove na kojima imaju registrovane naloge. To znači da ako je vaša lozinka ukradena na jednom sajtu, ona će omogućiti napadaču da pristupi vašim nalozima i na ostalim sajtovima.
Sve postaje još gore od navedenog kada se uzme u obzir činjenica da veliki broj korisnika koristi veoma slabe lozinke koje je lako pogoditi: lozinka “123456” je najčešće korišćena lozinka, pokazuje slučaj Gawker, a za njom slede lozinke “password”, “12345678”, “lifehack” (na sajtu Lifehacker!), “111111”, “gizmodo” (na sajtu Gizmodo!), “internet”, “computer” itd.
Deluje neverovatno i uznemirujuće. Mnogi od nas koriste zaista jadne lozinke, a hakerima nije problem da ih pogode jer znaju koje se lozinke najčešće koriste. Ozloglašeni kompjuterski crv Conficker je čak imao ugrađenu lsitu najčešće korišćenih lozinki koju je koristio kako bi se što efikasnije širio.
Graham Cluley, ekspert kompanije Sophos, smatra da bi veb-sajtovi morali da razmotre mogućnost da se kada korisnik bira lozinku za svoj nalog proverava jačina lozinke koju je korisnik izabrao. Ukoliko se tada ustanovi da je izabrana lozinka reč iz rečnika ili da se iz nekog drugog razloga lako može pretpostaviti, od korisnika se zahteva da kreira novu, kvalitetniju lozinku.

Izdvojeno
Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje
Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje
Microsoft najavio produžetak podrške za Windows 10 za godinu dana
.jpg)
Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje
Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje
Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje
Pratite nas
Nagrade