xff.cz - mapa webu - novinky

Jak na bezpečnost internetových účtů

S postupem času si každý z nás naakumuluje množství internetových účtů u různých internetových služeb. Některé jsou méně důležité, některé důležitější – ty, které dávají přístup k nějakým osobním informacím.

Bezpečnost není radno podceňovat ani u účtů o nichž si myslíte, že pro vás nejsou zas tak důležité. Pokud se útočník zaměří konkrétně na vás, nedbalé zabezpečení méně důležitých účtů může využít k získání informací, které pak využije k prolomení účtů, které pro vás jsou mnohem důležitější. Ať už skrze kontrolu nad méně důležitým účtem někoho přesvědčí, aby mu dal přístup k účtům jiným, nebo využije slabiny služby. Některé [anti-]služby jsou ochotny i v dnešní době zaslat původní heslo, které uživatel zadal při registraci, útočníkovi na mail.

Služba většinou pro zřízení účtu vyžaduje dvě informace:

Pro efektivní zabezpečení je třeba, aby jste znali hrozby, kterým čelíte. Tj. jaké informace a techniky útočníci využívají a jak fungují internetové služby z pohledu bezpečnosti – jaká existují rizika.

Kdo má přístup k vašim přihlašovacím údajům

Internetová či webová služba je typicky program, který zprostředko­vává čtení a prezentování informací z databáze a jejich ukládání. Část programu běží na počítači majitele služby (serverová část) a část na počítači uživatele (klientská čás­t).

Z pohledu serverové části, majitel služby často nemá plnou kontrolu nad svými počítači, protože si je pronajímá od někoho jiného, aby ušetřil. Majitelé menších služeb, aby ušetřili ještě víc, často využívají systému, kdy jejich služby běží na jednom počítači spolu s desítkami až stovkami služeb jiných majitelů. Každá zůčastněná entita může mít zaměstnance, či spolupracov­níky, kteří mají různou míru přístupu ke službě.

Nic z toho jako uživatel nevidíte a do detailu vidět nemůžete (a nejspíš ani nechcete).

Z pohledu klientské části, tedy programů, které jsou vykonávané ve vašem prohlížeči, čelíte většinou útokům jiných uživatelů téže služby. Uživatelé mají u některých služeb možnost ovlivnit zobrazovaný obsah (přidávat komentáře, posílat zprávy, vytvářet inzeráty, …). Vzhledem k tomu jak funguje webový prohlížeč, pokud si nedá majitel webu velmi dobrý pozor, může nedopatřením umožnit uživatelům libovolně modifikovat nejen obsah, ale i programový kód svého webu, čímž jím dá možnost ovládat účty jiných uživatelů a krást jejich data. Způsobů jak toho docílit je nepřeberné množství.

Podobný problém existuje i v serverové části. Kvůli chybám programátora se stává, že program služby interpretuje uživatelem zaslané informace jako programový kód, a vykoná je s pravomocemi, které by uživatel vůbec neměl mít. Tímto způsobem může pak libovolný uživatel získat pravomoce na úrovni majitele služby. Nejenom takto pak dochází ke krádežím dat.

Krádeže dat jsou běžné. Na stránce HIBP si můžete zadat svůj e-mail a dohledat z jakých služeb unikly vaše přihlašovací údaje v minulosti. Za poslední léta unikla nejméně půl miliarda přihlašova­cích údajů.

Souhrnně řečeno, používáním služby dáváte důvěru nejen majiteli webu a jeho ochotě si připlatit za zabezpečení svých stránek, ale často i neznámé množině administrátorů a majitelů nesouvisejí­cích služeb, běží-li na sdíleném počítači. Dále věříte schopnostem administrátorů poskytovatele serverové infrastruk­tury, že jsou schopni rozparcelovat prostředky sdíleného počítače, aby si provozovatelé služeb nemohli lézt vzájemně do zelí.

Rozumně v to samozřejmě důvěřovat nejde a musíte tedy počítat s tím, že vaše přihlašovací údaje jednou budou [skoro-]veřejnou informací a velmi pravděpodobně už jsou nyní.

Nelze se spolehnout na majitele webových služeb, že se vaše přihlašovací údaje nedostanou do špatných rukou. Je to příliš velké očekávání po většině služeb, vyjma těch, které bezpečnost zdůrazňují, nebo je to jejich produkt. Ale i tak platí: očekávat se dá, předcházet se musí.

Odlišné přihlašovací údaje pro každou službu

Já řeším výše uvedené problémy tak, že pro každou službu mám náhodně vygenerovaný email i heslo. Chce-li služba vyplnit odpovědi na „bezpečnsotní“ otázky, pak i tyto zadám jako náhodně vygenerované řetězce. Otázky jsou totiž často formulovány tak, že odpovědi je možné dohledat online, či uhodnout a stávají se největší slabinou zabezpečení účtu (proto ty uvozovky). Pokud používáte správce hesel, pak jsou i zbytečné, protože o své heslo nikdy nepřijdete a nepotřebujete tedy alternativní způsob jak se do účtu dostat bez hesla.

Tento přístup obchází problém důvěry ve webové služby a celou tu mašinerii s nimi spojenou. Není už tolik potřeba. Zároveň brání útočníkům využívat ukradené přihlašovací údaje ve snaze přihlásit se do dalších internetových služeb, či identifikovat jaké služby používám.

Je nezbytné mít nějaký systém pro snadnou tvorbu e-mailových adres (aliasů či e-mailových účtů) a správce hesel.

Problémy, které to neřeší

Používáním online služby se nutně spoléháte na ochotné lidi dělající podporu, že nebudou vstřícní vůči lidem, vůči kterým by vstřícní být neměli.

Ochota podpory je dvousečná zbraň. Může se hodit jak vám, tak útočníkovi. Podporu služeb si můžete otestovat sami. Stačí, když jí zkusíte přesvědčit, že už nemáte přístup ke svému starému e-mailu a potřebujete změnit registrační emailovou adresu.

Toto je nejslabší článek zabezpečení jakékoliv online služby.

Pro některé klíčové služby se můžete pokusit zavolat na podporu proaktivně a požádat jí, aby si do „složky“ k vašemu účtu poznamenali, že si nepřejete jakékoliv změny ve službě skrze podporu. Ale není to záruka ničeho a nemáte jakékoliv páky v případě, že nějaký vykuk i tak podporu přesvědčí k něčemu co nechcete.

Riziko je to reálné. Podle toho na koho narzíte a jak moc se snažíte, můžete dosáhnout spousty zajímavých věcí. Výpověď smlouvy, která není napsaná na vás. Získání přístupu do administrace telefonního účtu jen na základě znalosti tel. čísla. Získání PINu k simce i když voláte z jiného tel čísla. Změna registračního e-mailu k službě na e-mail i bez kontroly nad původním e-mailem. Atd. atd.

Systém je dosti benevolentní a lidé si problém ještě zhoršují tím, že na sebe všechno vyžvaní na soc. sítích, což útočníkům jen nahrává.

Historie změn

15.7.2018 18:17První sestavení webu