Facebook, iwiw, twitter adatbiztonság

Jelszó: jelszó. Password: password.

Avagy: ha világuralomra törsz, ne Google eszközöket használj, VAGY képezd ki az embereidet az alapvető biztonsági tudnivalókról! (Ez utóbbit talán könnyebb és gyorsabb kivitelezni.)

Nem akarok nagyon teátrális lenni, de a Twitter másodszori bénázása a rosszul megválasztott jelszavakkal, az év legnagyobb égése. Ekkora lámerséget egy helyen el sem tudtam volna képzelni. Ez az, amikor egy csoport annyira a célokra összpontosít, hogy elfeledkezik magára zárni a budiajtót, és aztán meg van lepődve, ha rányitnak... (Bocsánat a hasonlatért :))

Dióhéjban a történet: egy leckéztetős hangulatban lévő hacker feltörte a Twitter vezetői és fejlesztői által használt belső kommunikációs rendszert, ami a Google, vállalatok számára kifejlesztett Apps rendszerének alapjain nyugszik.

Biz Stone, a Twitter egyik alapítója a BBC-nek elmondta, hogy a betörés nagyjából egy hónapja kezdődött azzal, hogy a hacker bejutott a cég egyik adminisztrációval foglalkozó munkatársának emailfiókjába, valószínűleg úgy, hogy egyszerűen megtippelte a jelszót. Ezt a teóriát megerősíti a TechCrunch blog szerkesztőinek kísérlete is, akik a Twitter egyik belső, keresőadatbázisokat tároló szerverére jutottak be pár perc alatt hasonló módon: a felhasználónév Jack volt, a jelszó pedig „password”. (Forrás: Index http://index.hu/tech/net/2009/07/16/feltortek_a_twittert/)

Ha bejutnak az e-mail fiókodba, akkor szinte tálcán van kínálva minden további regisztrációd hozzáférése, hiszen általában ezeket az személyes, folyamatosan használt e-mail postafiókunkba kérjük.

Most, amikor a robotok korát éljük a vírusok és kártevők terén, a hackerek még mindig veszik maguknak a fáradságot, és kézi munkával keresik ki maguknak a lényeges és hasznos adatokat, hogy aztán azokat további feltörésekre, betörésekre használják.

Így történt ez a Twitter esetében: egy “peremvidéken” dolgozó adminisztrátoron keresztül eljutottak egészen a kemény magig, és olyan brutális információkat loptak el, ami összeomlaszthatja az egész, éppen csak csírázásban lévő Twitter birodalmat.

A dolog egyik tanulsága az, hogy életbe vágóan fontos, hogy most azonnal menj, és az e-mail postafiókjaid jelszaván szigoríts egy kicsit! Ha netán jelenleg valami ilyesmit használnál, hogy: jelszó, jelszo, valami, qwertz, ztrewq, netán a nevedet, vagy születési évedet, vagy az e-mail fiókod kukac előtti részét, akkor egy percet sem várhatsz, uccu neki jelszót módosítani!

Ha az e-mail szolgáltatód a gmail, na, akkor meg olyan jelszót válassz, amit kicifrázol nagybetű-kisbetű kombinációval, számokkal, és az sem baj, ha totálisan értelmetlen a betűk és számok összetétele. És persze legyen jó hosszú, az én gmail jelszavam (alias google accountom) 12 karakteres jelszóval van védve. Számodra is ezt ajánlom minimum célként!

Térjünk vissza az esethez. Fontosnak tartom kiemelni, hogy a betörést végrehajtó hacker szándéka az volt ezzel az akcióval – állítólag -, hogy felhívja a figyelmet a helyes jelszómegválasztásra… Érdekes, nekem ugyanez a célom, mégsem követek el hozzá bűncselekményt. Igaz, így nem is találok akkora visszhangra, de a tevékenységem eredőjét nem is irányítják át holmi csámcsogásra alkalmas következményekre: ugyanis most az lett ebből az esetből a sláger, hogy napvilágra kerültek a Twitter fejlesztőinek világuralmi tervei, amiket egymás között beszélgettek szépen a saját rendszerükben.

Volt már olyan baklövésem, mikor véletlenül a levelezőben a továbbítás gomb helyett a választ nyomtam meg, és hát olyan dolgokat közöltem a levél írójával, amit épp nem neki szántam. Nem volt ebből semmi gond, de annyira cikinek éreztem a dolgot, hogy két napig röhögtem kínomban, magamon…

Namost, ha olyan terveim szivárognának ki, amik hasonló kaliberűek, mint a Twitteré, de maradjunk végül is csak a dolog üzleti részénél: ha nem publikus üzleti terveim kerülnének napvilágra – alig van ilyen egyébként :) – az én béna jelszóválasztásom miatt, akkor lehet, hogy elásnám magam az erdőben… Miután “kitekertem a nyakát” annak az illetőnek, aki betör a rendszerembe. Mert azért azt tegyük hozzá, hogy a bűncselekmény az bűncselekmény. Más jelszavát próbálgatni, és bejutni zárt felületekre számítógépes bűncselekménynek számít, még itt, Magyarországon is. Akkor is, ha nem lop el semmit az illető.

Tanulság: az e-mail postafiókunk mi vagyunk. Az egész internetes identitásunk olykor. Úgy kell védenünk, mint a szemünk világát, erre pedig legkiválóbb és legegyszerűbb módszer a bonyolult, hosszú jelszó.

Tanulság 2: a hírek mögött lássuk meg a puszta valóságot: internetes bűnözők, Robin Hood álarca mögé rejtőzve, beleavatkoznak mindenbe, ami kicsit is sikeresebb az átlagnál. Irigység? Presztízs? Üzleti haszon? Mindegy mi vezérli őket, ezek az esetek igazságszolgáltatásért kiáltanak!

Tanulság 3: ha vállalkozó vagy, cégvezető, vagy esetleg csak dolgozik a kezed alá valaki, akkor létfontosságú, hogy ő is tisztában legyen az erős jelszó fontosságával. Tedd követelménnyé, és legyél ezzel kapcsolatban szigorú! Magadhoz is!

Meddig akarsz még szenvedni a lassú géped miatt? Van megoldás, ráadásul könnyű és gyors! Kattints ide, és nézd meg, hogyan tudod begyorsítani a gépedet saját kezűleg!>>

Vidi Rita

Vírus Kommandó Blog

Rövidített linkek veszélye Twitteren

A Twitterrel együtt jöttek be a divatba az úgynevezett rövidített linkek. Ez arra jó, hogy ha a twitteren szeretnél megosztani egy linket másokkal, mert úgy gondolod, hogy hasznos vagy jópofa dologra bukkantál, akkor bizony egy-egy átlagos link elveszi a twitter-hozzászólás (másnéven csirip) 140 karakterének javát.

Erre találták ki az úgynevezett url rövidítő szolgáltatásokat. Eredetiben így nézne ki a link a Twitteren. Már nem marad elég hely a szövegnek.

Eredeti, hosszú URL Twitteren (kattints a nagyításhoz)
Eredeti, hosszú URL Twitteren (kattints a nagyításhoz)

Rövidítve viszont így fest: sok hely marad még dumálni :).

Rövidített url Twitteren (kattints a nagyításért!)
Rövidített url Twitteren (kattints a nagyításért!)

Csakhogy ezekkel némi gond is lehet…

Amikor linket látsz valahol, vagy kapsz e-mailben, ha fölé viszed az egérmutatót, akkor a böngésződ vagy az e-mail kliensed ablakának bal alsó sarkában láthatod, hogy hova mutat az a link valójában. Ha oda mutat, ahova sejtetted, még akkor is lehetnek veszélyek a link mögött lévő oldalon (pl. mert feltörték…).

De a Twitteren, ahol elterjedt a rövidített linkek használata – és ez átgyűrűzik lassan a további felületekre is – hiába viszed a twitter hozzászólásokban látható rövidített linkek fölé az egérmutatót, nem fogja neked megmutatni, hogy valójában hova mutat a link.

Ugyanakkor, emberi mivoltunkból fakadóan sokkal többen kattintanak a Twitteren olyasmire, amiről nem tudják, hogy mi az. Erről itt egy cikk, köszi Vida Ági :)

Lehet, hogy ez egy kellemes izgalmi állapotot jelent, vagy esetleg jó érzés tudatlanul kattintani és meglepetésként élni meg a találatot… Hát, nem tudom, mindenesetre az én – mások szerint – paranoid hozzáállásomnak ez nem annyira tetszik…

Szeretem látni, hova tartok. Te hogy vagy ezzel?

Linkrövidítő szolgáltatások (teljesség igénye nélkül):

http://bit.ly/

http://tinyurl.com

http://twurl.com/

Ami aggaszt: bármikor elkezdhetik használni ezt a rosszfiúk is. Mi, felhasználók, tudatalatt jó dolgokkal kötjük össze a linkrövidítést, és megtanuljuk vakon kattintgatni ezeket, aminek meglesz a hátulütője, majd meglátod.. Én szóltam :)

Itt követhetsz Twitteren: http://twitter.com/vidirita

Senki nem születik profi felhasználónak, de az nem mindegy, hogy honnan szeded össze az alapokat! Mi összeszedtük és egy anyagba rendeztük a legfontosabb, leglényegesebb, leghasznosabb tudnivalókat, a PC Start anyagban. Kattints ide, és nézd meg a részleteket>>

Szerinted kirúgják a Twitter főnököt?

Twitter - védtelen?
Twitter - védtelen?

A minap arról tettek közzé felmérést a CBRonline-on, hogy hogyan vélekednek egy e-bűnözéssel kapcsolatos külföldi rendezvény látogatói, az adatvesztéssel járó ügyek súlyosságáról.

A megkérdezett 104 válaszadó 30%-a úgy gondolja, hogy kritikus biztonsági rések miatt bekövetkezett adatvesztés esetén a biztonsági résért felelőst börtönbe kell zárni! Ugyanis muszáj, hogy büntetőjogi felelősséggel tartozzanak akár esetleg fejlesztők, akár esetleg főnökeik, mert leginkább most vállrándítás és az utólagos tűzoltás a jellemző. Például utóbbi időben az Adobe-t támadják egyre többen a befoltozatlan biztonsági rései miatt. Lehet, hogy az Adobe vezetője/vezetősége tisztában van azzal, hogy ezért a témában jártasak 30%-a a börtönbe kívánja őt/őket?

A válaszadók a gondatlanságból elszenvedett adatvesztések esetén a gondatlan céget 62%-ban bírságra ítélnék, míg ugyanezen kategóriában az adatvesztést elszenvedettek irányába 68% szerint kártérítéssel tartozik az említett, gondatlan szervezet. Vagyis, ha egy weboldal elveszíti az adataidat, akkor a cég, aki üzemelteti, fizessen bírságot (bíróságnak, államnak), neked meg kártérítést!

Ami a legérdekesebb, hogy a válaszadók 66%-a gondolja úgy, hogy az adatvesztéssel, vagy adatvédelmi szabályok megsértésével kapcsolatos problémák esetén a vezérigazgatók és további magas szintű vezetők ugyanúgy felelősek, mint az, aki mondjuk elveszítette a nemzetbiztonsági adatokat tartalmazó adatokat a metrón…

Azt látni kell, hogy cégeknél mindenért a legfőbb vezető a felelős, ha ezt nem tudná felvállalni, nem is lenne ott. Az egy dolog, hogy hogyan osztja tovább az áldást (büntetést) lefelé a kisfelelősök felé, de elsődlegesen a cég feje a legfőbb felelős.

Erről jutott eszembe az, hogy szerintem akkor most tuti, hogy súlyos felelősségre vonás fogja érni a Twitter-t üzemeltető cég legfőbb vezetőjét. Ugyanis már másodszor törnek be rövid idő alatt úgy a rendszerbe, hogy a Twitter rendszerének gyökeréig jutnak el. Erről cikk itt>

Egyik kérdés, ami felmerült bennem: most akkor a Twitter vezérigazgató repülni fog?

Második kérdés: lehet, hogy a Twitter sehol nem lenne, ha nem történnének ilyen dolgok?

Attól függetlenül, hogy használom és szeretem a Twittert, egyszerűen néha nem értem, mi ez a felhajtás körülötte. Tulajdonképpen olyan, mint bármilyen üzenőfal, bármilyen közösségi oldalon, ugyanakkor annyi a varázsa, hogy a Twittert bizonyos TUDATOSSÁGGAL használjuk. Nem csak azért vagyunk ott, hogy ott legyünk, hanem azért, hogy legyen valami eredménye.

Ezért nem fog soha az életben itthon olyan szinten elterjedni, ahogy azt szeretnék, ugyanis a felhasználók számára hosszú ideig nem ESZKÖZÖK az alkalmazások, hanem CÉLOK!
Célként viszont nem lehet használni a Twittert, mert akik így közelítenek hozzá, gyorsan el is felejtik, ugyanis nincs élmény mögötte, csak egy bizonyos, nagyon rövid ideig.

Aztán már eszközként működik, az ahhoz értők kezében. Ezért lesz csak szűk körben elterjedve még hosszú ideig, kivéve, ha Kelemen Annácska és Győzike megjelenik mint felhasználó. Akkor már ÉLMÉNY lesz a Twitter, azonnal, és CÉL.

Elnézést ezért a kis kitérőért, én így látom, most amúgy is divat Twitter témákat boncolgatni, épp idepasszolt a dolog.

Na, de kanyar vissza: betörtek a Twitterhez, a rendszerbe, felvételek vannak róla, egy fehér kalapos hacker csinálta, hogy felhívja a figyelmet, ráadásul olyan sztárok fiókjával, mint pl. Ashton Kutcher…

Mi ebből a tanulság?

Vagy a hacker borzasztó zseni és türelmes és innovatív, vagy a Twitter háza táján vannak problémák. Bármelyik is, egyik sem jó hír. Nem mondom, hogy ki kell rúgni a Twitter vezérigazgatóját, mert még egy rosszabb is jöhet a helyére ;), de az biztos, hogy elérte a Twitter felhajtás azt a szintet, ami megköveteli, hogy a NASA és a Pentagon rendszerénél is biztonságosabb és védettebb legyen. Idén már nem szeretnék hasonló hírrel találkozni. Egyébként meg találkozzunk a Twitteren: http://twitter.com/vidirita :).

Minden honlaptulajdonos és webmester rémálma, hogy feltörik az oldalát, és olyan kártékony kódot helyeznek bele, ami megfertőzi a látogatók számítógépét. A megelőzésről itt olvashatsz>>

Miért kellene egyedül küszködnöd a számítógépes problémákkal, hogy ha van segítség? A PC Kommandó Távsegítség kényelmesen, gyorsan, biztonságosan, és költséghatékonyan segít! Kattints ide a részletekért, és az elérhetőségekért, hogy többé soha ne legyen az gond, hogy nincs kihez fordulni!>>

Vissza a (h)őskorba: jelszókezelés papíron!

Szoftverfüggő olvasóim most megint nem fognak örülni, de újfent azt találom mondani, hogy ne szoftvereket használjunk, hanem gondolkodjunk józan paraszti ésszel – már akinek adatott ilyesmi :) – és nézzük egy kicsit madártávlatból a dolgokat.

A jelszókezelés gondja kezd horribilis méreteket ölteni, hiszen rohamosan terjednek a közösségi oldalak és szolgáltatásaik, és minden szuperszónikus web2-es oldalhoz egyéni hozzáférés, vagyis felhasználónév és jelszó szükségeltetik.

Jobb esetben némelyik oldal kapcsolatban áll egymással, és elfogadják a másik oldalon történt regisztrációt is (Pl. a Google összes szolgáltatása egy fiókból elérhető). De globálisan tekintve, a halmozódó jelszavak kezelése a szolgáltatások fejlődésével egyre sürgetőbbé, sőt, mitöbb: égetőbbé válik.

Ja, valahol külföldön, mert az biztos, hogy nem itthon.

Számoljunk egy kicsit: felmérések és becslések szerint ma, Magyarországon 3 millió háztartásban, 4 millió számítógép felhasználó van.
A felfoghatatlan sikernek örvendő Twitteren pedig 4 ezer magyar felhasználó van. Természetesen a szám folyamatosan növekszik, de az elmúlt egy évben elmaradt az átütő növekedés. Márpedig a Twitter a szinte már a legalapvetőbb web2-es szolgáltatás. A Twitter felhasználóinak mérőszáma azt mutatja, hogy a magyar felhasználók egy ezred része használja.

Ennek a 4 ezer twitter felhasználónak valóban szüksége lehet kiemelten kezelni a jelszavait, hiszen ők képviselik azt a szűk réteget, akiknek tényleg mindenben benne van már a kezük, simán elképzelhető, hogy ezen felhasználók esetében az egyénenként 40-50 -féle regisztráció, ebből kifolyólag 40-50 jelszó is hétköznapinak számít.

De tévedés azt hinni, hogy ez a pár ezer fős létszám lefedi a teljes magyar internetező közösséget.
A „fennmaradó”, kb. 3 995 000 felhasználónál leginkább már csak 1-5 jelszó megjegyzése a feladat, ugyanis ezek lefedik a gmail, a freemail, az iwiw, a myvip +1 oldalak látogatását. Az meg megy fejből is!

Ennyi.

Ráadásul nagyon sok, az otthoni-, urambocsá kezdő felhasználókat méltán érdeklő, hírlevelet üzemeltető oldal nem kér jelszavakat, tehát minden egyes regisztrációt nem lehet besorolni a jelszóigénylő szolgáltatások közé.

Akkor hát mire ez a felbuzdulás a jelszókezelő szoftverek iránt?
Azt látom, hogy megint van miről beszélni, ugyanakkor az alig néhány embert érdekel.
Mi lesz a tömegekkel?

Értem én, hogy ezek fontos témák, értem, hogy megoldásokat kell keresni.
Ráadásul van itt még valami a pakliban, ami a jelszókezelő szoftverek létjogosultságát igazolná ugyebár: a jelszólopó, adatlopó, kémkedő kártevők elszaporodása.
A jelszókezelő szoftverek még titkosítanak is, tehát jujj dejó megoldás, a kártevők nem tudják ellopni.

Ez rossz kiindulási pont. Ugyanis arra épül, hogy „amikor kémprogram kerül a számítógépre, akkor jól jön a jelszókezelő szoftver a titkosítással…”

Igen ám, de ne feltételezzünk olyasmit, ami nem törvényszerű: ki mondta, hogy kötelező, hogy kémprogram kerüljön a számítógépre? Ha az én gépem védett tud lenni bármilyen kártevő ellen, akkor bárkié. És ennek így is kell lennie. Ez inkább lehet cél, mintsem, hogy jelszókezelő programok használatát tanuljuk meg a drága időnkben.

Hobbi felhasználók számára van pár javaslatom:

– Böngészővel jelszót megjegyeztetni nem szerencsés.
– Automatikus bejelentkezéseket megjegyeztetni a weboldalakon nem szerencsés.
– Ha a jelszavaid mennyisége eléri a fejben tartás határait, akkor egyszerűen írd fel egy papírra, és tedd az asztalod fiókjába! Mindezt természetesen csak otthon! Munkahelyen tilos ilyesmit, ott egyébként is vannak speciális jelszókezelési szabályzatok, azokkal érdemes megismerkedni.

A jelszóválasztás szabályai

Hosszú, akár értelmes szavakat válassz, szuper megoldás, ha van benne ékezetes betű, de az íöüőű betűket nem szerencsés alkalmazni, mert ezek rendre elvéreznek a karakterkódoláson. (Néhány oldalon még az áéóú is sajnos.)

Azt szokták javasolni, hogy ne legyenek szótári szavak, de két, egymással általában nem passzoló szót összerakhatsz. Pl. pacaltelefon.
Rakj mellé számot: pacaltelefon285
Jócskán megnöveli a variációk számát.

Óriási hiba: a jelszavad soha nem egyezhet meg a felhasználó neveddel! Még csak nem is utalhat rá! Tehát, ha valahol: kissjozefin@e-mail.hu a felhasználó neved, akkor nem lehet kissjozefin a jelszavad!
Nem lehet jelszó továbbá: “login”, “admin”, “1234”, “4321”, “jelszo” “password” és társaik.


Összefoglalva: ha senki más nem férhet hozzá, akkor nyugodtan jegyezd meg a jelszavaidat és belépési adataidat PAPÍRON. Olyan kártevő nincs, amelyik benyúl a fiókba és kinyitja a jegyzetfüzetet :). Ezt a megoldást lehet használni akár 60-70 jelszónál is.

Nem kell saját magunk ellenségeinek lennünk, nem kell teljesen új jelszavakat kitalálnunk minden oldalon. Lehet egy alap jelszót variálni számokkal, vagy különböző kiegészítő szavakkal. A lényeg, hogy ne utaljon ránk a szó, ne utaljon a felhasználó nevünkre, és ne utaljon teljes egészében magára az oldalra se.

További hasznos cikk és hasznos kommentek a jelszókezelésről, itt>. Te hogy csinálod?

Meddig akarsz még szenvedni a lassú géped miatt? Van megoldás, ráadásul könnyű és gyors! Kattints ide, és nézd meg, hogyan tudod begyorsítani a gépedet saját kezűleg!>>