27 Απρ 2011

(αν)Ασφάλεια υπολογιστικών συστημάτων στην πράξη

Στις 17-19 Απριλίου 2011, παραβιάστηκε το online δίκτυο της Sony, με αποτέλεσμα να υποκλαπούν προσωπικά στοιχεία και πιθανώς στοιχεία πιστωτικών καρτών των  77 εκατομμυρίων λογαριασμών χρηστών. Διαβάζοντας την είδηση στο Reuters, θα ήθελα να σταθώ σε μερικά σημεία του κειμένου, που δείχνουν ξεκάθαρα την αναγκαιότητα ορισμένων πρακτικών ασφάλειας.

The company said user account information for the PlayStation Network and its Qriocity service users was compromised between April 17 and April 19.
Προφανώς με το user account information εννοούν πως, μεταξύ άλλων, εκλάπησαν και τα usernames/passwords των χρηστών. Είναι προφανές επίσης πως αν κάποιος χρήστης χρησιμοποιεί το ίδιο username/password και για άλλες υπηρεσίες (όπως π.χ. σε email accounts, skype accounts, VoIP accounts κλπ κλπ), οι Hackers θα έχουν αντίστοιχα πρόσβαση και σε αυτές. Επειδή το Username/Password ταυτοποιεί τον χρήστη, οι πιθανές παράνομες ενέργειες που θα γίνουν από τους Hackers με τα κλεμμένα στοιχεία, θα βαρύνουν τους αυθεντικούς χρήστες.

Paller said Sony probably did not pay enough attention to security when it was developing the software that runs its network.
Η ασφάλεια ενός υπολογιστικού συστήματος είναι κάτι που κάνουμε κατά την εγκατάστασή του κι όχι κάτι που θα κάνουμε αργότερα. Επίσης, όταν γράφουμε κάποιο πρόγραμμα, το πρώτο μας μέλημα δεν θα πρέπει να είναι μόνο το να λειτουργήσει, αλλά και να λειτουργήσει σε συνεργασία και υπό τους περιορισμούς των συστημάτων ασφαλείας που ενδεχομένως υπάρχουν. Ποτέ δεν απενεργοποιούμε ένα σύστημα ασφαλείας σε μόνιμη βάση! Ποτέ δε γράφουμε ένα πρόγραμμα, για να λειτουργήσει το οποίο θα πρέπει να απενεργοποιήσουμε κάποιο σύστημα ασφάλειας σε μόνιμη ή έστω περιστασιακή βάση!

He suspected the hackers entered the network by taking over the PC of a system administrator, who had rights to access sensitive information about Sony's customers. They likely did that by sending the administrator an email message that contained a piece of malicious software that got downloaded onto his or her PC.
Ποτέ δεν θα είναι αρκετές φορές που θα τονίσω πως ο λογαριασμός ενός χρήστη με δικαιώματα διαχειριστή, πρέπει να χρησιμοποιείται μόνο για διαχείριση και για κανέναν άλλο λόγο! Κανένας λογαριασμός χρήστη υπολογιστικού συστήματος δεν πρέπει να έχει δικαιώματα διαχειριστή. Οι ενέργειες που απαιτούν αυξημένα δικαιώματα θα πρέπει να γίνονται από ξεχωριστό λογαριασμό, δημιουργημένο αποκλειστικά για αυτό το σκοπό. Ποτέ δεν θα είναι αρκετές φορές που θα τονίσω πως κάθε λογαριασμός χρήστη θα πρέπει να συνοδεύεται από έναν επαρκή κωδικό κι όχι κάποιον που θα είναι εύκολο να μαντέψει κάποιος (π.χ. ημερομηνία γέννησης, το όνομα του χρήστη, επισφαλείς κωδικούς όπως 1234 κλπ).


Αν πιστεύετε πως τα παραπάνω θα έπρεπε να εφαρμόζονται από μεγάλες εταιρίες αλλά είναι υπερβολικά για εσάς, πως θα σας φαινόταν αν:
  • Ο λογαριασμός σας στο Skype ή σε κάποια άλλη υπηρεσία VoIP έπεφτε θύμα χακερς κι εξανεμίζονταν τα χρηματικά ποσά που είχατε στη διάθεσή σας για να κάνετε τηλεφωνικές κλήσεις;
  • Αν οι παραπάνω κλήσεις αποδεικνυόταν αργότερα πως σχετίζονται με παράνομες ενέργειες; 
  • Κάποιος έσπαγε τον κωδικό του email σας, παρακολουθώντας την προσωπική σας αλληλογραφία;
  • Αν αποκτώντας πρόσβαση στην αλληλογραφία σας, στη συνέχεια αποκτούσε και πρόσβαση στον προσωπικό σας υπολογιστή κι επειδή χρησιμοποιείτε λογαριασμό με δικαιώματα διαχειριστή κατάφερνε να εγκαταστήσει λογισμικό (όπως εικάζεται για την περίπτωση της Sony) το οποίο θα είχε πρόσβαση στα (ενδεχομένως διαβαθμισμένα) έγγραφα σας, αποστέλλοντας τα παράλληλα σε κάποιον server στο internet;
  • Κατόπιν του παραπάνω, εμφανιζόσασταν να έχετε προχωρήσει σε αγορές ή πωλήσεις χρηματιστηριακών τίτλων ή να έχετε μεταφέρει χρηματικά ποσά σε λογαριασμούς τρίτων;
  • Με την πρόσβαση του χάκερ στον υπολογιστή σας, εγκαταστάθηκε λογισμικό που μετέτρεπε τον υπολογιστή σας σε κόμβο ανταλλαγή παιδικής πορνογραφίας ή άλλου απαγορευμένου περιεχομένου;
Για όλες τις παραπάνω περιπτώσεις, που σίγουρα δεν αποτελούν πλήρη λίστα των κακόβουλων ενεργειών, πως θα αποδεικνύετε πως δεν είσαστε εσείς που τις πραγματοποιήσατε, αφού θα έχουν γίνει από τον υπολογιστή σας και με χρήση των κωδικών σας;


Ακριβώς για τον ίδιο λόγο που δεν θα αφήνατε τα κλειδιά του αυτοκινήτου ή της μηχανής στο πεντάχρονο παιδί σας (δικαίωμα χρήσης επί επικίνδυνων αντικειμένων), θα πρέπει να αφαιρείτε και το δικαίωμα (πιθανής) διαχειριστικής χρήσης των συστημάτων σας από τρίτους, κάνοντας χρήση ενός λογαριασμού χρήστη κι όχι ενός λογαριασμού διαχειριστή στους υπολογιστές σας.
Ακριβώς για τον ίδιο λόγο που δεν αφήνετε τις πόρτες και τα παράθυρα ανοικτά, δε θα πρέπει να απενεργοποιείτε ένα σύστημα ασφάλειας στους υπολογιστές σας. Είναι οξύμωρο από τη μια πλευρά να εγκαθιστούμε κάμερες, πόρτες ασφαλείας και συστήματα συναγερμού, κι από την άλλη να απενεργοποιούμε τα ήδη υπάρχοντα συστήματα ασφαλείας του υπολογιστή μας, ή να δεχόμαστε τον κάθε άγνωστο μέσα σε αυτόν (email attachment, λήψη κάποιου προγράμματος που λέει ότι κάνει τη Χ δουλειά αλλά δεν το έχουμε ψάξει παραπάνω, κλπ, κλπ).

Αν χρησιμοποιείτε εύκολους κωδικούς, αλλάξτε τους
Αν χρησιμοποιείτε τους ίδιους κωδικούς για διαφορετικές υπηρεσίες, αλλάξτε τους (πολύ χρήσιμο πρόγραμμα για αποθήκευση κωδικών είναι το Keepass)
Αν χρησιμοποιείτε λογαριασμό διαχειριστή στον υπολογιστή σας ή στο Domain σας για τις καθημερινές εργασίες, σταματήστε
Αν χρησιμοποιείτε απαρχαιωμένο λογισμικό, αντικαταστήστε το
Αν δεν αισθάνεστε άνετα με τις γνώσεις σας, όσον αφορά την ασφάλεια υπολογιστικών συστημάτων, αναζητήστε συμβουλές ή εκπαίδευση
Αν αντιλαμβάνεστε την αναγκαιότητα των μέτρων διαφύλαξης της Online ασφάλειάς σας, συζητήστε /τονίστε τα με φίλους και γνωστούς σας
Αν έχετε έστω και βασικές γνώσεις, όσον αφορά την ασφάλεια των υπολογιστικών συστημάτων, εκπαιδεύστε και τους φίλους / γνωστούς σας

.... γιατί δε θα καίγεται πάντα το μαγαζί του γείτονα !

Socializer Widget By Blogger Yard
SOCIALIZE IT →
FOLLOW US →
SHARE IT →