Zmień nawyki – nie przechowuj swoich haseł w przeglądarce – stosuj silne hasła!

Być może niewielu z Was zastanawiało się nad aspektem dotyczącym bezpieczeństwa haseł zapisywanych i przechowywanych przez przeglądarki internetowe. Problem ten jest na tyle aktualny i poważny, że warto poświęcić mu kilka słów.

Niektórzy na codzień korzystają z wbudowanych w popularne przeglądarki internetowe mechanizmów, służących do zarządzania hasłami. Jest to wygodne rozwiązanie pozwalające na szybkie zalogowanie się na różnego rodzaju strony WWW takie jak np. konta mailowe, serwisy społecznościowe, fora dyskusyjne, a nawet na strony z bankowością elektroniczną. Większość z Was słyszała również o programach, które są w stanie szpiegować Wasze poczynania (tzw. keyloggery), niestety wciąż mało osób potrafi się przed nimi skutecznie zabezpieczyć oraz w przypadku dopuszczenia do infekcji – zapobiec kradzieży poufnych danych.

Jest to tym bardziej niebezpieczne i krytyczne, gdy uzmysłowimy sobie, iż z roku na rok, zwiększa się odsetek osób korzystających z bankowości elektronicznej (e-banking).

Stwarza to coraz większą możliwość do różnego rodzaju nadużyć, których celem jest niezgodne z obowiązującym prawem i nielegalne pozyskanie czyichś środków finansowych. W tym przypadku głównym problemem jest niedostrzeganie oraz bagatelizowanie potencjalnego zagrożenia i w efekcie – nie stosowanie praktycznie żadnych środków ostrożności. Naturalnie, takie myślenie jest błędem i jak najszybciej powinniśmy je zweryfikować. Mam nadzieję, że ten wpis stanie się swego rodzaju bodźcem ku zmianom w tym kierunku.

Menedżery haseł oferowane przez popularne przeglądarki internetowe, są bardzo wygodną metodą wprowadzania haseł. Zasada ich działania jest prosta – raz zapisujesz login oraz hasło i nie musisz więcej się martwić o to, by za każdym logowaniem “ręcznie” powtarzać tę czynność. Tak naprawdę mało komu (również i mnie), po wejściu na wybraną stronę, chce się po raz n-ty “wklepywać” ciągi znaków o różnej długości, będące loginami i hasłami. Niestety w tym przypadku jest też druga strona medalu – przechowywanie naszych haseł w przeglądarkach internetowych stanowić może poważne zagrożenie bezpieczeństwa w przypadku ich wycieku. Wyciek haseł może być spowodowany poprzez infekcję, którą złapiemy np. odwiedzając shackowaną wcześniej stronę – zaatakowaną metodą np. Cross-site scripting (XSS) lub zainfekowaną określonym exploitem, który w tym wybranym przypadku umożliwia przechwycenie haseł zapisanych w przeglądarce przy wykorzystaniu niezałatanych w niej luk bezpieczeństwa. Tego typu infekcję złapać możemy również pobierając i instalując zainfekowane oprogramowanie/pliki, które zawierają w sobie trojana lub keyloggera.

Dziurawe przeglądarki

Dwa lata temu, Robert Chapin, ekspert do spraw zabezpieczeń, wykrył poważną lukę w menedżerze haseł Firefoxa 2. Pod koniec 2008 roku postanowił on po raz kolejny sprawdzić poziom bezpieczeństwa mechanizmów przechowujących hasła, obecnych w kilku popularnych przeglądarkach internetowych. Tym razem w testach (CIS) udział wzięły m.in. takie przeglądarki jak: FireFox, Opera, Internet Explorer, Safari dla Windows oraz Google Chrome.
Niestety, wyniki okazały się druzgocące: najlepiej spośród testowanych przeglądarek wypadły Opera i FireFox, które przeszły pomyślnie jedynie 7 z 21 testów. Listę zamykają Safari i Google Chrome z zaledwie dwoma zdanymi testami.

Jeśli zaś chodzi o popularną metodę polegającą na ręcznym “wklepywaniu” haseł – ona również do najbezpieczniejszych nie należy. W tym przypadku istnieje niebezpieczeństwo przechwycenia naszych poufnych danych przez programy typu keylogger (software’owy lub hardware’owy) lub screenlogger.  Co prawda istnieje oprogramowanie, które w locie szyfruje wprowadzane manualnie przez nas znaki typu KeyScrambler, jednak nie działa ono w sytuacji gdy mamy zainstalowanego hardware’owego keyloggera.

Inne metody zarządzania hasłami

Bardzo podobnie wygląda sytuacja w przypadku haseł przechowywanych w zaszyfrowanym i spakowanym pliku na dysku, jak to poniektórzy mają w zwyczaju robić. W sytuacji, gdy korzystamy z tej metody – niech to będzie przykładowo plik tekstowy systemowego notatnika (notepad.exe) – moje_hasła.txt.  Po jego uprzednim rozszyfrowaniu, rozpakowaniu z postaci archiwum i otworzeniu – kopiując z niego nasze dane przy użyciu klawiatury (za pomocą klawiszy: CTRL+C/CTRL+V) lub przy użyciu prawego przycisku myszy (Kopiuj/Wklej), również istnieje pewne ryzyko przechwycenia tych danych przez programy typu Clipboard Logger, które potrafią odczytywać zawartość schowka systemowego (clipboard).

Kolejną metodą wprowadzania haseł jest metoda wykorzystująca klawiaturę ekranową. Mam tu na myśli nie tylko klawiaturę ekranową wbudowaną w systemy Windows (On-Screen Keyboard) ale również takie, które zostały zaimplementowane w niektórych serwisach (np. na stronach bankowych lub w popularnych serwisach aukcyjnych) na stronie logowania.
Jeżeli chodzi o poziom bezpieczeństwa wbudowanej w system klawiatury ekranowej Windows – niestety, ale nie gwarantuje ona pełnej ochrony i w przypadku keyloggerów działających w oparciu o określone metody sczytywania znaków tj. GetAsyncKeyState, GetKeyboardState, DirectX, LowLevel Keyboard Hook oraz GetRawInputData – ekranowa klawiatura Windows najzwyczajniej zawodzi.
Znacznie lepiej pod tym względem wypadają klawiatury ekranowe zaimplementowane na stronach bankowych i w serwisach aukcyjnych, są one odporne na powyższe metody przechwytywania znaków, ale niestety, mają również swój słaby punkt. Ten sam słaby punkt posiada, także ekranowa klawiatura systemu Windows. Mówię o sytuacji, gdy w naszym systemie zainstalowany jest screenlogger lub specjalnie napisany trojan, którego celem jest wykonywanie tzw. screen’ów naszego obszaru roboczego (pulpitu) i przesyłanie ich na wcześniej zdefiniowany serwer FTP lub serwer mailowy. Tego typu programy mogą wykonywać screeny z dowolną częstotliwością – od robienia ich co kilka sekund, poprzez wykonywanie ich raz na jakiś czas, aż po robienie screen’ów za każdym razem, gdy wciśnięty zostanie klawisz myszy (tzw. wyzwalacz). W takiej sytuacji, nie trudno sobie wyobrazić, co dzieje się w momencie, gdy wykonujemy logowanie np. do banku za pomocą jakiejkolwiek ekranowej czy wirtualnej (dostępnej z poziomu WWW) klawiatury.
Czy w związku z tym, naprawdę nie ma bezpieczniejszej metody na wprowadzanie naszych loginów i haseł?

Jest na szczęście jeszcze inna metoda pozwalająca na zarządzanie naszymi hasłami. Metoda znacznie skuteczniejsza, wygodniejsza i co najważniejsze – bezpieczniejsza, od tych wymienionych powyżej. Jej działanie opiera się na przechowywaniu zaszyfrowanej bazy danych i/lub specjalnego klucza (pliku bez którego otworzenie bazy z hasłami nie będzie możliwe nawet po podaniu hasła do tejże bazy). Mam tutaj na myśli programy typu KeePass lub RoboForm, czyli tzw. menedżery haseł, które poza funkcją ich przechowywania i wprowadzania oferują nam, również funkcję tworzenia haseł na podstawie domyślnych ustawień programu lub wcześniej zdefiniowanych przez nas reguł. Mamy zatem do wyboru takie ustawienia jak m.in. siłę hasła, z ilu znaków ma się ono składać oraz jakie znaki mają zostać uwzględnione przy losowym generowaniu nowego hasła przez program.
Mając uprzednio wprowadzone i zapisane hasła w takim menedżerze, gdy odwiedzamy jakąś stronę na której mamy zamiar się zalogować, poprostu wciskamy wybraną kombinację klawiszy lub naciskamy odpowiedni przycisk z pozycji toolbar (RoboForm), który automatycznie wprowadzi za nas wymagane dane… et voila! – jesteśmy zalogowani. W przypadku programu KeePass, dzieje się to za pomocą funkcji “Global Auto-type” i przy wykorzystaniu opcji Two-Channel Auto-Type Obfuscation (TCATO). Bardzo ważne jest tutaj podkreślenie istnienia w/w opcji w KeePass’ie, ponieważ, domyślnie jest ona wyłączona co sprawia, że keyloggery wykorzystujące metodę LowLevel Keyboard Hook, mogą bez problemu przechwycić nasz login jak i hasło – włączenie tej funkcji rozwiązuje problem.

Wyżej wymienione menedżery haseł, sprawdzają się doskonale (przy właściwym wykorzystaniu potencjału jaki oferują) i nawet w przypadku keyloggera software’owego lub hardware’owego – nasze hasła nie zostaną przechwycone (wyniki z tych testów być może zamieszczę w osobnym, poświęconym temu wpisie).
Nie mniej jednak chciałbym ostrzec i zwócić uwagę, że 100% pewności nigdy mieć nie możemy, dlatego warto oprócz wymienionych środków ostrożności przy wprowadzaniu naszych poufnych danych, mieć również zainstalowany odpowiedni program zabezpieczający, którego ochrona oparta będzie na prewencji, czyli zapobieganiu (w dalszej kolejności – na detekcji).

System operacyjny = przeglądarka internetowa?

Na pierwszy rzut oka, to dość kontrowersyjne stwierdzenie, zaczyna w dzisiejszych czasach stawać się bardzo realne. Przeglądarki internetowe są coraz częściej nieodłącznym elementem naszej codziennej pracy na komputerze. Do tego stopnia, że stają się one same w sobie systemem w systemie. Najlepszym tego przykładem, była niedawna prezentacja firmy Google ich flagowego systemu (open source) operacyjnego Google Chrome OS w wersji Beta, który tak naprawdę sam w sobie jest jedną wielką przeglądarką internetową, a wszystkie dane zapisywane są realtime – na bieżąco (przy aktywnym połączeniu internetowym) w tzw. chmurze (cloud computing). Oznacza to, że wszystko to co w danym momencie robisz na komputerze z zainstalowanym systemem operacyjnym Google Chrome OS na pokładzie – jest automatycznie zapisywane w Twoim specjalnie wydzielonym (poprzez login i hasło, które wymagane jest przy każdym uruchomieniu systemu Chrome OS) miejscu (obszarze) w Internecie na serwerach firmy Google. Nie będę teraz rozpisywał się o aspektach bezpieczeństwa dotyczących tego rodzaju architektury, które pozostawiają wciąż sporo do życzenia (być może zrobię to kiedyś w osobnym, poświęconym temu wpisie).

Masowe wycieki haseł

Bardzo głośno ostatnimi czasy zrobiło się wokół afer związanych z wyciekami haseł do popularnych serwisów online. Wiele osób obwiniało bądź nadal obwinia, za tego typu sytuację serwisy do których hasła tysięcy użytkowników zostały ujawnione i opublikowane w Internecie. Mam tu na myśli m.in. przypadki Hotmail’a, Google’a, czy chociażby ostatnio nagłośnioną przez media sprawę związaną z cyt. “Ogromnym wyciekiem haseł polskich internautów”.
W rzeczywistości w w/w przypadkach winę za zaistniałą sytuację ponosi nie kto inny jak sam użytkownik, którego oprogramowanie zabezpieczające (o ile je w ogóle posiadał), przepuściło infekcję. Wycieki te, były możliwe właśnie dzięki uprzednio zainstalowanym programom szpiegowskim na komputerach ofiar. To właśnie te szkodliwe programy (trojany/keyloggery/etc) oraz specjalnie spreparowane E-mail’e – phishing, umożliwiły tego typu, zmasowany atak i wyciek danych z komputerów tysięcy użytkowników na całym świecie.
Naturalnie może się i tak zdarzyć, że hasła zostaną wykradzione niezależnie od nas – w postaci bazy danych (zawierającej wszystkie loginy, hasła, adresy mailowe oraz inne dane wprowadzone przez nas podczas procesu rejestracji w takim serwisie) z serwera. Dlatego właśnie warto za każdym razem gdy tworzymy hasło, starać się, aby było to silne hasło, którego rozszyfrowanie/odhashowanie zajmie dużo więcej czasu i nie będzie już takie proste jak np. w przypadku hasła o budowie “asdf”, “1234” czy w postaci daty urodzin.

Poniższa tabela przedstawia zestawienie długości hasła z łączną liczbą liter i cyfr w zbiorze z którego może się składać. Czasy potrzebne na złamanie tego typu haseł uwzględniają konfigurację sprzętową w postaci jednostki obliczeniowej będącej standardowym komputerem klasy Desktop PC z roku 2007.

Trochę statystyk związanych z loginami oraz hasłami na podstawie badania Microsoft’u:
* najdłuższy login: 15 znaków
* najdłuższe hasło: 29 znaków
* średnia długość loginu: 6 znaków
* średnia długość hasła: 8 znaków

10 najczęściej stosowanych loginów przy ‘automatycznych atakach’:

Login	Liczba
Administrator	136971
Administrateur	107670
admin	8043
andrew	5570
dave	4569
steve	4569
tsinternetuser	4566
tsinternetusers	4566
paul	4276
adam	3287

i 10 najczęściej stosowanych haseł:

Hasło	Liczba
password	1188
123456	1137
#!comment:	248
changeme	172
F**kyou (cenzura)	170
abc123	155
peter	154
Michael	152
andrew	151
matthew	151

Grunt to dobre nawyki

Oto zbiór kilku reguł, które opracowałem, dotyczących bezpiecznego zarządzania hasłami, o których należy pamiętać:

• nie zezwalaj przeglądarce na zapisywanie haseł i nazw użytkownika,
• korzystaj z oddzielnych, przeznaczonych do tego menedżerów haseł typu KeePass (z włączoną opcją TCATO) lub RoboForm,
• nie przechowuj nazw użytkownika, hasła lub listy haseł jednocześnie w jednym i tym samym miejscu,
• nie przechowuj bazy danych z hasłami i swoich poufnych danych na zewnętrznych serwerach online (np. na serwerze pocztowym czy serwerze FTP),
• stosuj silne hasła,
• stosuj różne hasła (nie używaj tylko jednego hasła, kiedy logujesz się na różnych stronach w myśl zasady: 1 hasło = 1 strona WWW),
• korzystaj z konta z ograniczonym dostępem na systemach Windows – konto “Gość” (LUA) zamiast konta z uprawnieniami administratora – włącz UAC (Vista/7),
• pamiętaj o tym aby mieć zainstalowane i zaktualizowane oprogramowanie zabezpieczające,
• ze wzmożoną czujnością korzystaj z komputerów, do których dostęp mają również inne osoby lub komputerów w miejscach publicznych np. w kafejkach internetowych (unikaj logowania z tego typu komputerów – jeśli w 100% nie jesteś pewien jakie oprogramowanie jest na nich zainstalowane),
• jeśli możesz lub masz taką możliwość upewnij się do czego tak naprawdę jest podłączona klawiatura z której masz zamiar skorzystać, sprawdź czy przypadkiem nie jest ona podłączona do hardware’owego keyloggera,
• jeśli koniecznie musisz zalogować się na stronie bankowej np. z kafejki internetowej – staraj się korzystać z zaimplementowanej przez bank klawiatury ekranowej (o ile jest ona dostępna) – unikaj korzystania z klawiatury ekranowej wbudowanej w systemy Windows,
• zawsze kończąc pracę korzystaj z opcji wylogowania, jeśli to możliwe usuwając również wszystkie pliki cookie oraz pamięć cache (pliki tymczasowe), które podczas Twojego surfowania po Internecie zostały zapisane przez przeglądarkę,
• staraj się nie korzystać w miejscach publicznych z niezabezpieczonych sieci Wi-Fi (tzw. hotspot’ów),
• nie pobieraj na dysk i nie uruchamiaj w systemie programów typu crack, keygen, etc.,
• nigdy nie otwieraj linków, które otrzymujesz poprzez komunikator lub E-mail – taki link może wyglądać normalnie i mieć konstrukcję np. microsoft.com, ale jego odwołanie (href) może przekierować Cię na zupełnie inna, specjalnie spreparowaną lub/i zainfekowaną stronę,
• korzystaj tylko z oryginalnego systemu operacyjnego, pochodzącego z legalnych źródeł (nie z przeróbek typu np. MX w przypadku Windows lub kopii ściągniętych z torrentów) – dodatkowo, jeśli jest to system Windows, dbaj również o to aby zainstalowane były wszystkie poprawki firmy Microsoft,
• staraj się o to, aby programy z których korzystasz zawsze były zaktualizowane do najnowszej dostępnej publicznie stabilnej wersji,
• upewnij się, że w trakcie Twojego logowania, nikt nie zerka Ci przez ramię.

Edytowano: Warto również zapoznać się ze zaktualizowaną, rozszerzoną listą opublikowaną przeze mnie we wpisie dotyczącym bezpieczeństwu bankowości elektronicznej.

—
Peter (Creer)
SecurityEnthusiast’s Blog

Written by Creer

2 grudnia, 2009 @ 08:58

Napisane w Artykuły, Computers and Internet

Tagged with ebanking, exploit, hasła, keylogger, malware, menedżer