BETA

Προσωπικά δεδομένα & πόσο εύκολα καταλύονται

Εικόνα AndreasV

Στο άρθρο αυτό, θα μπούμε στην θέση του ατόμου πίσω από την γρίλια. Όχι όμως αυτήν με την φυσική υπόσταση, αλλά την εικονική, την virtual: Θα δείξουμε πόσο εύκολο είναι να παρακολουθήσουμε κάποιον (έστω άγνωστο) και να συλλέξουμε με ελάχιστη προσπάθεια σχεδόν όλα του τα προσωπικά στοιχεία. Σε μια εποχή που η ασφάλεια των προσωπικών δεδομένων αρχίζει να  ευαισθητοποιεί ακόμα και τους δημόσιους φορείς, θα παρουσιάσουμε με πόση ευκολία μπορεί κάποιος να αποκτήσει πρόσβαση σε πάρα πολύ προσωπικά στοιχεία κάποιου άλλου, όπως, το επάγγελμα του, την φωτογραφία του, το ονοματεπώνυμο του, την ηλικία του, τα στοιχεία της οικογένειας του, τις προτιμήσεις του (κρυφές και μη! ;-) ), τις πιστωτικές του κάρτες, τους λογαριασμούς του στην τράπεζα, τους οικονομικούς λογαριασμούς του στα διάφορα internet sites (βλέπε PayPal) κλπ. κλπ. Μήπως σκεφτήκατε ότι προχωρήσαμε αρκετά; Δεν έχετε διαβάσει ακόμα τίποτα!

Η ύπαρξη του Internet, εκτός των άλλων, τείνει να μας απαλλάξει από πάρα πολλές κουραστικές, κοπιαστικές, χρονοβόρες και εκνευριστικές διαδικασίες, όπως: Το στήσιμο στην ουρά κάποιου ταμείου για την πληρωμή των λογαριασμών μας, την παρακολούθηση του λογαριασμού μας στην τράπεζα, την αγορά σχεδόν όλων των αγαθών (από βιβλία μέχρι... βιβλιοπωλεία!) από ηλεκτρονικά μαγαζιά, το να πηγαινοερχόμαστε στο ταχυδρομείο για την αλληλογραφία μας και πάρα πολλά άλλα που θα γέμισαν αρκετά Mbytes του δίσκου τούτου…!

Όλα αυτά τα καταπληκτικά μπορούμε να τα κάνουμε ήρεμα και ωραία από την πολυθρόνα του σπιτιού μας. Αλήθεια, δεν είναι πολύ καλύτερα έτσι; Δεν είναι πολύ καλύτερα από το να τρέχουμε στους δρόμους μέσα στο κρύο και στην ζέστη, μέσα στο στριμωξίδι και στην πολυκοσμία; Άσε που έχεις να αντιμετωπίσεις και τα αδιάκριτα βλέμματα του κάθε κουτσομπόλη. Άλλωστε, ποτέ δεν ξέρεις πόσα μάτια σε παρακολουθούν πίσω από κάποιες "γρίλιες"! Το πρόβλημα όμως είναι ότι αυτές οι "γρίλιες" μπορεί να είναι και… ηλεκτρονικές!
Θα δούμε πόσο εύκολα μπορούμε να κλέψουμε την "ταυτότητα" ενός ανθρώπου και να εμφανιζόμαστε στο internet (τουλάχιστον) σαν να είμαστε αυτός ή αυτή! Σας θυμίζει κάτι από… πράκτορα 007; Σας βεβαιώνουμε πως ότι παρουσιάσουμε είναι απόλυτα πραγματικό, μπορεί να συμβεί στον καθένα μας και θα σας το αποδείξουμε. Φυσικά όμως, στο τέλος θα σας δώσουμε και όλα τα απαραίτητα "βοηθήματα - οδηγίες" έτσι ώστε να μην πέσετε ή να είναι πολύ δύσκολο να πέσετε κι εσείς θύμα μιας τέτοιας καθόλου ευχάριστης κατάστασης.

Την ιστορία θα σας την παρουσιάσουμε ακριβώς όπως μας συνέβη, χωρίς σάλτσες ή πρόσθετα. Με αυτόν τον τρόπο θα καταλάβετε πώς κάποιος εξίσου περίεργος με εμάς αλλά καθόλου τίμιος (σε αντίθεση με εμάς!) μπορεί να "εργαστεί".

Ας ξεκινήσουμε λοιπόν. Από πού αλλού: Από το google! Ένα απόγευμα, λοιπόν, είχαμε όρεξη για "ψάξιμο". Για αρχή, δώσαμε στον αγαπητό γούγλη να ψάξει για καταλόγους οι οποίοι περιέχουν το αρχείο classifieds.cgi. Δηλαδή:
intitle:"Index of" classifieds.cgi

Αφού "πήραμε" σαν αποτέλεσμα μια αρκετά μεγάλη λίστα από τοποθεσίες, αρχίσαμε να μπαίνουμε σε κάθε μία, μήπως και βρούμε κάτι ενδιαφέρον, δηλαδή κάτι που θα μας κινούσε τις υποψίες. Μετά από πάρα πολύ λίγο ψάξιμο βρήκαμε ένα κατάλογο με μπόλικους… υποκαταλόγους προσβάσιμους από το Internet. Αυτό δεν και απαραίτητα κακό, αρκεί κάποιος να μην έχει ξεχάσει εκεί σημαντικές πληροφορίες! Για άλλη μια φορά δεν διαψευστήκαμε. Άλλωστε λίγες είναι οι φορές που ψάξαμε σε καταλόγους που "κατά λάθος" επέτρεπαν το λεγόμενο "directory listing" και δεν βρήκαμε τίποτε σημαντικό ή ενδιαφέρον. Κάποιος ξεχασιάρης διαχειριστής (για να μην πούμε τίποτε βαρύτερο – και θα 'πρεπε!) είχε ξεχάσει σε μια σκοτεινή (ομολογουμένος) γωνιά του δίσκου ένα αρχείο με τους κωδικούς, τα passwords τα emails και λοιπά στοιχεία των χρηστών ενός site (εικόνα 1).

Χμ… τι έχουμε λοιπόν? Μια λίστα με κωδικούς passwords κάποιων χρηστών μαζί με τα email τους. Οk, με τον κωδικό και το password μπορούμε να μπούμε στο site ακόμα και σαν admin  μιας και ο Κος διαχειριστής φρόντισε να μην μας λείψει καμιά πληροφορία! Αυτό όμως δεν μας φτάνει. Θέλουμε να δοκιμάσουμε και την θεωρία μας. Θα πείτε (και με το δίκιο σας) "Ποια είναι η θεωρία σας?". Η θεωρία μας είναι (και είναι μυστικό… μην διαρρεύσει ε;) ότι πολλοί χρήστες έχουν το ίδιο password και για το mail τους και για την είσοδο τους σε ένα site. Αυτό συμβαίνει διότι οι περισσότεροι βαριούνται να διατηρούνε και να θυμούνται τόσα passwords όσα είναι και τα sites στα οποία είναι εγγεγραμμένοι. Ok, αυτό κάπου είναι λογικό. Αυτό που δεν είναι λογικό είναι να χρησιμοποιούν το ίδιο password με το βασικό τους email το οποίο είναι και αυτό που δίνουν στο site. Με βάση αυτή την θεωρία μας, λοιπόν, έχουμε διαπιστώσει ότι ένα περίπου 30% των χρηστών ενός site πέφτει σε αυτήν την παγίδα.

Θα δοκιμάσουμε τώρα το εξής: Θα ψάξουμε όλους τους χρήστες με yahoo email και θα δοκιμάσουμε σε έναν-έναν από αυτούς να μπούμε στο λογαριασμό τους, έτσι για να δούμε σε ποιον θα το πετύχουμε. Όλως τυχαίως ο 3ος χρήστης στην σειρά παρουσίασε αυτό το πρωτότυπο “vulnerability” (εικόνα 2)! Σας λέει κάτι αυτό; - μήπως κάτι σε… 33% ;-). Όπως θα δούμε παρακάτω ο χρήστης αυτός δεν είναι τόσο… αυτός, όσο αυτή.

Πρόκειται για την αλληλογραφία της Κας Lynn (εντάξει μην φωνάζετε, το μικρό της όνομα μαρτυρήσαμε μόνο!!). Απ’ ότι βλέπουμε στο MyFolders η Κα Lynn τα έχει όλα προσεγμένα και… νοικοκυρεμένα: Τα προσωπικά της μηνύματα σε ένα folder, τα εργασιακά της σε άλλο, τα forums που είναι γραμμένη σε άλλο κλπ κλπ. Άξιο λόγου είναι και το πλήθος των emails που διατηρεί στο yahoo: ούτε λίγο ούτε πολύ είναι... 13969! Σημαδιακός αριθμός; Ίσως! Είναι πια θέμα χρόνου να βρούμε όλα της τα δεδομένα. Δώστε βάση πόσο εύκολο είναι, αρκεί να ψάξουμε για μερικά βασικά στοιχεία:

Βασικό στοιχείο 1: Ψάχνουμε για mails που να καλωσορίζουν την Lynn σαν νέο μέλος σε κάποιο forum. Σε αυτά τα mails υπάρχουν συνήθως πληροφορίες χρήστη και password. Ένα τέτοιο mail είναι το ακόλουθο:

Μπαίνοντας στο forum με τον κωδικό της μπορούμε να βρούμε ακόμα περισσότερα στοιχεία για την ίδια. Επίσης μπορούμε να απαντήσουμε σε άλλα μέλη σαν να είμαστε η Κα Lynn (βλέπε impersonation). Με λίγα λόγια μπορούμε να υποδυθούμε την Κα Lynn, να κάνουμε ερωτική εξομολόγηση σε κάποιον φίλο της, να απορρίψουμε κάποιον άλλον και γενικά να κάνουμε για λίγο ένα "μπάχαλο" την ζωή της.
Επίσης μέσα στο forum βρήκαμε και ένα μια πολύ ενδιαφέρουσα ομάδα πληροφοριών που έχει τον τίτλο “View Profile”. Πρόκειται για τα προσωπικά στοιχεία της Κας Lynn μαζί με την φωτογραφία της! Στην ίδια θέση βρίσκεται και το βιογραφικό της μαζί με τηλέφωνα, διευθύνσεις και ονόματα φίλων και συγγενών (εικόνα 4).

Με βάση το είδος του forum και τα δεδομένα αυτά μπορούμε να συμπεράνουμε βασικά στοιχεία για τις προτιμήσεις της Κας Lynn και έχοντας το τηλέφωνο της να "ενημερώσουμε " εταιρίες προώθησης προϊόντων για να τις πλασάρουνε είδη (με βάση τις προτιμήσεις της) έχοντας μεγάλη πιθανότητα να τα αγοράσει! Το ίδιο μπορούμε να κάνουμε για τους… οικείους της ;-). Μιας που γνωρίσαμε όλη την οικογένεια, γιατί να μην το εκμεταλλευτούμε;

Αφού που μιλήσαμε για spam και spammers, να μην παραλήψουμε να αναφέρουμε ότι η χαρά του spammer είναι να "βουτάει" σε μια θάλασσα από υπαρκτά emails. Για άλλη μια φορά, έχοντας σαν στόχο το κέρδος, δεν θα τον απογοητεύσουμε, δίνοντας του  μια μικρή λίστα από καμιά 100στή πραγματικά mails που βρήκαμε στο λογαριασμό της δημοφιλής (μα την αλήθεια) Κας Lynn (εικόνα 4b).

Σε ένα άλλο mail βρήκαμε κάτι εξίσου ενδιαφέρον. Πληροφορίες, κωδικούς και passwords για κάποια domains. Χμ… μήπως η Κα Lynn διατηρεί κάποια sites στο Internet; Ε ναι! Μάλιστα μπήκαμε και στον Domain manager της, εκεί που έχει δηλωμένα όλα τα URL που χρησιμοποιεί (εικόνα 5).

Μπορούμε εύκολα να αλλάξουμε το password του domain manager και να μην μπορεί να μπει η ίδια και να αλλάξουμε τους DNS servers ανακατευθύνοντας όλα τα URLs σε μια άλλη διεύθυνση κάνοντας ένα πρώτης τάξεως deface, ή στέλνοντας της σελίδες της στο URL κάποιου άλλου, ενοχοποιώντας τον! Κακία ε;
Αλλά,… ώπα! Εδώ υπάρχει κάτι πιο σοβαρό: μια επιλογή My Wallet που για όσους δεν κατάλαβαν σημαίνει "Το πορτοφόλι μου". Μπαίνοντας εκεί έχουμε τα στοιχεία της πιστωτικής κάρτας της Κας Lynn. Εντάξει δεν είναι όλο το νούμερο της κάρτας αλλά όλα τα άλλα στοιχεία (περιοχή, τηλέφωνο, πόλη κλπ) και δεν είναι καθόλου αμελητέα η πληροφορία (εικόνα 6). Δώστε βάση στο url της εικόνας. Πρόκειται για ασφαλή σύνδεση (https). Όσο ασφαλής, όμως, κι αν είναι μια σύνδεση, πάντα υπάρχει μια πόρτα κοντά ή μακριά η οποία την παρακάμπτει.  
 

Και τώρα ερχόμαστε στο πιο κακό κομμάτι της αναζήτησης. Το yahoo-mail έχει ένα πολύ χρησιμο button που ονομάζετε "Αναζήτηση". Πατώντας το, μπορούμε να αναζητήσουμε μια σειρά χαρακτήρων (π.χ. κάποιες λέξεις) που να εμφανίζεται σε ένα η περισσότερα emails. Μπορούμε να ψάξουμε για όποια λέξη θέλουμε. Εμείς επιλέξαμε εντελώς τυχαία… την λέξη "PayPal". Για όσους δεν… θυμούνται!! PayPal είναι μια υπηρεσία στο internet που την συνδέεις με τον τραπεζικό σου λογαριασμό ή με την πιστωτική σου κάρτα και με την οποία μπορείς να κάνεις αγορές δίνοντας μόνο τον κωδικό PayPal και όχι τον ίδιο τον αριθμό της κάρτας σου. Να πούμε ότι βρήκαμε πολλά email PayPal Account, αλλά πουθενά δεν βρήκαμε το password του PayPal της Κας Lynn. Χμ… δεν χρειάζετε. Αυτό που μπορούμε να κάνουμε είναι να πάμε στο PayPal, να δώσουμε το email της Lynn και να τους πούμε ότι… ξεχάσαμε το password (εικόνα 7)!!

Αμέσως το PayPal θα στείλει στο mail της Lynn ένα νέο password θεωρώντας ότι μόνο η πραγματική Lynn έχει πρόσβαση στο mail της. Αυτό ήταν! Μπορούμε να κάνουμε πια αγορές με την πιστωτική ή τραπεζική κάρτα της Lynn μέσω Paypal.

Μπορούμε να κάνουμε πολλά πράγματα ακόμα αλλά ας σταματήσουμε εδώ. Αρκετά "παίξαμε" με την Κα Lynn. Ας δοκιμάσουμε και κανένα άλλο yahoo mail που βρήκαμε στην λίστα μας… Λέτε να φανούμε το ίδιο τυχεροί (εικόνα 8);

Γειά σας κύριε Craig! Είμαστε έτοιμοι να γνωρίζουμε τα μυστικά σας! Η ιστορία επαναλαμβάνεται.

Συμπεράσματα και τρόποι προστασίας
Παρουσιάσαμε ένα πάρα απλό τρόπο που μπορεί κάποιος να παραβιάσει την ιδιωτική ζωή (και την οικονομική επίσης) ενός άλλου ανθρώπου χωρίς αυτός να καταλάβει το παραμικρό. Παραβιάσαμε ένα σωρό σελίδες και ασφαλείς συνδέσεις μόνο και μόνο επειδή κάποιος χαζός admin αποφάσισε να αφήσει τα στοιχεία των χρηστών του σε κάποιο κατάλογο προσβάσιμο από το web. Θα αναρωτηθείτε και με το δίκιο σας: "Μα καλά! Όλη η ιδιωτική μου ζωή είναι στα χέρια ενός χαζού admin;". Χμ… η απάντηση είναι "Δυστυχώς ναι, αν δεν τηρείτε κάποιους βασικούς κανόνες ασφάλειας". Αν έχετε το ίδιο password στο forum της γειτονιάς σας με αυτό που έχετε για να μπείτε στην τράπεζα σας, κανείς δεν σας φταίει αν ξαφνικά δείτε ένα λογαριασμό 2000+ euro για το ταξίδι που κλείσατε στις… Σεϋχέλλες!

Δώστε λοιπόν βάση σε μερικούς μικρούς αλλά χρυσούς κανόνες για να μην βρεθείτε προ δυσάρεστων εκπλήξεων:
1.    Μην "ντρέπεστε" να χρησιμοποιήσετε πολλά passwords! Αν δεν τα θυμάστε κατεβάστε έναν Password Manager (κυκλοφορούνε πολλοί και δωρεάν). Π.χ. μπορείτε να δοκιμάσετε το KeePass (http://keepass.info/), το οποίο είναι δωρεάν, χρησιμοποιεί ισχυρή κρυπτογράφηση (AES, Twofish) και μπορεί να λειτουργήσει τόσο από Linux όσο και από Windows.
2.    Οπωσδήποτε να έχετε, άλλο email για τα Public sites και άλλο email με τους προσωπικούς σας λογ/μούς, τα PayPal accounts κλπ.
3.    Να επιλέγετε passwords μεγαλύτερα από 10 χαρακτήρες (εντάξει και μικρότερα από 40) που να περιέχουν πεζά, κεφαλαία, αριθμούς και ειδικούς χαρακτήρες. Ειδικοί χαρακτήρες είναι αυτοί που στα παλιά Κόμικς τους βάζανε αντί "μπινελικίων", όταν ο ήρωας ήτανε εκνευρισμένος και άρχισε να "κατεβάζει"… διάφορα. Π.χ. "@!!~~--//_\\".
4.    Διαγράφετε πάντα τα emails που αναφέρουν κωδικούς και passwords. Προσέξτε να τα διαγράψετε και από τα… διαγραμμένα!

Τέλος, μην ξεχνάτε ποτέ τον γενικό κανόνα ασφάλειας στην πληροφορική:
"Η αλυσίδα είναι τόσο δυνατή όσο ο ασθενέστερος κρίκος της"

 

  • Σχόλια

6 Comments:

  1. Εικόνα DarkGoth
    DarkGothΦεβ 21, 2016 19:23 ΜΜ

    πλακα κανεις!... δηλαδη προφανως οχι, αλλα η φραση το λεει... υπαρχουν ακομα μπετοβλακες που αποθηκευουν βασεις δεδομενων χρηστων, ετσι θρασυτατα σε plain text, χωρις κρυπτογραφηση, χωρις καμια προστασια, ετσι χυμα? ειχα την εντυπωση οτι ολοι πλεον χρησιμοποιουν mdhashes που αποθηκευονται, ξεχωριστα, (και κρυπτογραφημενα), και χωρις επικοινωνια με τον «εξω κοσμο». τουλαχιστον σε μεγαλους παροχους, κλπ, το θεωρουσα δεδομενο πλεον οτι χρησιμοποιουν mdhashes και κρυπτογραφηση, για τις βασεις των χρηστων τους.

  2. Εικόνα AndreasV
    AndreasVΦεβ 21, 2016 23:33 ΜΜ

    Δυστυχώς συμβαίνει συχνά να υπάρχουν backups από βάσεις δεδομένων (και όχι μόνο) προσβάσιμες από το Web.
    Τώρα το αν θα είναι hashed ή όχι, πλέον μικρή αξία έχει παρά μόνο εάν το password είναι ιδιαίτερα πολύπλοκο, διαφορετικά,... με την χρήση τόσο rainbow tables όσο και απλών λεξικών, ένα μεγάλο ποσοστό από passes είναι θέμα χρόνου να σπάσουν...

  3. Εικόνα DarkGoth
    DarkGothΦεβ 22, 2016 00:37 ΠΜ

    και εγω για περιπλοκους κωδικους εννοουσα. για ηλιθιους κωδικους δεν αναφερθηκα γιατι απλα δεν αξιζει αναφορα. οταν ο αλλος ειναι τοσο αμοιβαδα που βαζει π.χ. την (δημοσιευμενη στο ρουφιανοβιβλιο) ημερομηνια γεννησης του για κωδικο, απλα τα θελει να τα παθει. την επομενη φορα ας προσεχει περισσοτερο.

  4. Εικόνα AndreasV
    AndreasVΦεβ 22, 2016 14:34 ΜΜ

    Δυστυχώς φίλε μου, εδώ η πράξη απέχει κάποια... έτη φωτός, από την θεωρία!
    Πάνω από το 60% των απλών χρηστών δεν θεωρεί οτι μπορεί να κινδυνέψει ή δεν καταλαβαίνει πόσο πρόβλημα είναι ένα εύκολο password.
    Από την άλλη "μεριά" στις νέες απαιτήσεις για authentication, ένα απλό username/password δεν είναι αρκετό (call me, two factor authentication).
    Επίσης γίνονται προσπάθειες (σε ερευνητικό επίπεδο) να καταργηθεί η χρήση του username/password ως basic access authentication mechanism.

  5. Εικόνα akounadis
    akounadisΦεβ 22, 2016 12:12 ΜΜ

    Ευχαριστούμε για την πληροφόρηση.

    Για επιπλέον ασφάλεια... (αν και δε χρειάζεται, θεωρώ υπερβολή δική μου)
    έχω "πετάξει" το kdbx (keepass database) μέσα στο cryptkeeper.
    Τέλος, το cryptkeeper στο λαγούμι με το κόκκαλο του σκύλου μου. :p (αστειεύομαι)

  6. Εικόνα AndreasV
    AndreasVΦεβ 22, 2016 14:25 ΜΜ

    :)
    Καλό είναι η ασφάλεια να είναι ακριβώς όση χρειάζεται... Όχι περισσότερη, ούτε λιγότερη.
    Το ποιο είναι το σημείο ισορροπίας, κρίνεται από το αποτέλεσμα... ;)

Scroll to Top