Į sumanaus lietuvio rankas pateko 4 mlrd. nutekintų slaptažodžių, o tai ką su jais padarė, nustebins ne vieną: galite pasitikrinti, ar tarp pavogtų duomenų nėra jūsų informacijos (9)
Apie įsilaužimus į įvairias svetaines ir paslaugas dabar girdime jau beveik kas mėnesį – tiek dažnai, kad dėmesys jau gali net ir atbukti. Bet kaip jaustumėtės, jei į jus kreiptųsi saugumo specialistas, ir praneštų apie milžinišką – dešimčių gigabaitų dydžio – duomenų bazę (DB), kurioje surinkti VISŲ iki šiol buvusių didžiausių įsilaužimų pagrobti duomenys – ir kaip to įrodymą, pasisiūlytų patikrinti, ar toje DB nėra tavo paties slaptažodžių?
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Žinoma, sutikau. Ir likau nemaloniai nustebęs, kai labai greitai atgal gavau du savo tikrai naudotus slaptažodžius – slaptažodžius, kuriuos tegul gal ir senokai, bet iš tiesų esu naudojęs prisijungimuose. Vienas iš slaptažodžių buvo naudojamas tuomet populiariai svetainei myspace.com.
Kitas – dabar net nebepasakyčiau kur, nes jis buvo skirtas akivaizdžiai žemo saugumo lygio prisijungimui.
Pradėjus domėtis giliau, išaiškėjo ir dar vienas įdomus dalykas. Pasirodo, šią milžinišką – 1 400 000 000 įrašų porų – DB sukūrė – ir išplatino – lietuvis. Kodėl jis tai padarė, koks tokio kūrinio tikslas ir kaip į tai reaguoti? Apie tai – ir dar daugiau su saugumu susijusių dalykų – lrytas.lt ir kalbasi su IT saugumo specialistu Tomu Vanagu, paskelbusiu 41 gigabaitų dydžio duomenų bazę su 1,4 mlrd. nutekintų prisijungimo įrašų.
– Pradėkime nuo to – kas esate, ir kaip kilo idėja sukurti bei platinti tokią duomenų bazę?
– Sveiki! Esu Tomas Vanagas, man – 24-eri. Esu Vilniaus universiteto informacinių sistemų ir kibernetinės saugos pirmo kurso studentas. Kompiuteriais rimčiau pradėjau domėtis prieš šiek tiek anksčiau nei metus – kai dėmesį patraukė „Bitcoin“ kriptovaliuta. Vėliau kibernetinės saugos tema mane sudomino serialas „Mr. Robot“ – tuomet pirmą kartą ir įsirašiau operacinę sistemą „Linux“.
šmokęs šiokius tokius pagrindus, pradėjau naršyti po įvairius interneto puslapius – ir kartas nuo karto atrasdavau paviešintus duomenis. Kol galų gale radau didžiulį kažkieno surinktą 530 GB duomenų bazių rinkinį. Pradėjau jį žiūrinėti ir ieškoti savo paties bei draugų slaptažodžių – ir radęs papokštaudamas nusiųsdavau asmeninę žinutę: „Pažiūrėk, radau tavo slaptažodį!“.
Tada ir supratau, kad vienintelis efektyvus būdas priversti žmones pasikeisti slaptažodį yra tik jiems patiems asmeniškai pranešus jų pačių slaptažodį. Kadangi ieškoti tarp šimtų duomenų bazių labai nepatogu, kilo idėja juos surūšiuoti.
Vėliau patikrinau keletą lietuviškų puslapių, apie rastas veikiančias paskyras pranešiau įmonių sistemų administratoriams – tačiau likau nusivylęs, nes jokių prevencinių veiksmų nebuvo imtasi. Tada ir kilo mintis pasidalinti šia duomenų baze su visais – kad visi, kas tik nori, galėtų pasitikrinti.
– Bet ar šiame Jūsų poelgyje negalima įžvelgti įstatymo pažeidimo? Juk sukūrėte turinį, kuriame yra nelegaliai gauti duomenys. Ar nereikėjo tokiu atveju kreiptis į teisėsaugą?
– Nemanau, kad pažeidžiau – šie duomenys ir taip jau buvo išviešinti, tik juos buvo sunkiau peržiūrėti. Problema yra ta, kad nusikaltėliai šiuos duomenis jau turi – o dauguma sistemų administratorių netikrina, ar jų vartotojai pavogtų slaptažodžių dar kartą nepanaudojo svetainėse. Esu įsitikinęs, kad teisėsauga žino apie šiuos duomenis – tačiau prevencinių veiksmų informuojant vartotojus nesiimama.
– Kaip surinkote visus duomenis?
– Duomenys šiai duomenų bazei parsisiunčiau iš torrent tinklo – o parsisiuntimo nuorodą radau tinklapyje reddit.com. Mano šaltinis buvo kažkieno surinkta 530GB dydžio duomenų bazių kolekcija.
– Kur ši duomenų bazė yra dabar? Kas ją gali pasiekti? Ar tam reikia kokių nors specialių žinių?
– Ši duomenų bazė yra torrent tinkle, ją pasiekti gali kiekvienas norintis. Paieškos duomenų bazėje atlikimui užtenka minimalių komandinės eilutės naudojimosi žinių.
– Paaiškėjo, kad mano paties slaptažodžiai, kurie yra tarp pavogtų ir nutekintų duomenų – jau seniai nebenaudojami. Tikėtina, kad taip bus ir nemažai daliai kitų vartotojų. Kodėl tada verta jaudintis?
– Puiku! Tačiau dar yra daugybė žmonių, kurie vis dar naudoja šiuos pavogtus slaptažodžius.
– Kaip manote, ko galima būtų pasimokyti iš visos šitos istorijos?
– Kalbėjau šia tema su savo programavimo dėstytoju – kad pasitaiko duomenų vagysčių, kai darbuotojai duomenis išsineša USB atmintinėse. Taigi, sistemos gali būti techniškai tvarkingos, bet duomenys vis vien gali nutekėti. Kaip antrinę apsaugą reikėtų pakeisti senus slaptažodžių šifravimo algoritmus – pačiais naujausiais, kokie yra. Kaip pavyzdį galiu palyginti „LinkedIn“ ir „Dropbox“ naudotus algoritmus: „LinkedIn“ slaptažodžio iššifravimas mano kompiuteryje vyko 800 MHash/s greičiu, tuo tarpu „Dropbox“ – 400 Hash/s. Kalbant paprasčiau, „Dropbox“ naudojo 2 milijonus kartų efektyvesnį algoritmą, kurį patikrinęs, jo iššifruoti aš net nebesistengiau – nes būčiau užtrukęs daugybę metų. Paskutiniu metu slaptažodžiai suteikia ganėtinai menką saugumo lygį. Vertingiau būtų naudoti patvirtinimą telefonu.
– Kaip manote, kodėl įvyksta įsilaužimai į tokias stambias ir garsias kompanijas, kaip „Yahoo“, „Uber“ ir pan.?
– Tokie įsilaužimai įvyksta dėl programavimo klaidų – įsilaužėliai yra labai sumanūs, ir į sistemą gali įsibrauti per menkiausią programinę skylę. Taip pat gali būti, kad duomenys paprasčiausiai išnešami USB atmintine, ir tą padaro patys kompanijos darbuotojai. Taip pat manau, kad kibernetinis saugumas nesureikšminamas tol, kol nenutinka vagystė – bet tada jau būna per vėlu.
– Kokį vertingiausią su IT saugumu susijusį patarimą galėtumėte duoti paprastam, ne itin patyrusiam vartotojui?
– Svarbiausia, manau, butų nenaudoti to paties slaptažodžio keliose svetainėse – taip pat rekomenduočiau naudoti sudėtingus slaptažodžius.
– Kodėl? Juk paprastesnį lengviau įsiminti?
– Serveriuose slaptažodžiai šifruojami blogesniu ar geresniu šifru – taigi, jei panaudotas slaptažodis buvo sudėtingas, yra tikimybė, kad nusikaltėliai jo neiššifruos. Taip pat – simbolis „:“ viduryje slaptažodžio pergudrautų nepatyrusius įsilaužėlius – nes pavogtose duomenų bazėse elektroninis paštas ir slaptažodis dažniausiai atskirtas būtent šiuo simboliu – tad apdorojančios programos galbūt nukirptų pusę slaptažodžio.
– Na ir pabaikime tuo, kuo pradėjome – kuo IT saugumo specialisto darbas bei veikla skiriasi nuo įsilaužėlio veiklos? Ar tai – tik dvi tos pačios monetos pusės?
– Saugumo specialistas dirba tam, kad užkirstų kelią įsilaužėliui. Bet galima pasakyti ir – taip, tai yra kaip dvi tos pačios monetos pusės. Tik saugumo specialistas nenaudos šių duomenų bei kompiuterio spragų daryti žalai. O įsilaužėlis – atvirkščiai.
Tai – kaip katės ir pelės žaidimas. Juoda ir balta.
T.Vanago surinktą duomenų bazę galima rasti torrentų tinkluose, ir lrytas.lt ją pasiekė. Dėl duomenų jautrumo nuroda į šią DB nesidalinsime, bet pasitikrinti, ar joje yra jūsų nors vienas slaptažodis, randamas pagal elektroninio pašto adresą, galite šioje svetainėje.
Primename, kad aptariamoje duomenų bazėje yra surinkti pagrobti ir nutekinti slaptažodžiai iš tokių svetainių ir paslaugų ar net žaidimų, kaip „LinkedIn“, „Mail.ru“, „Yahoo“, „RuneScape“, „MySpace“, „Twitter“, „LastFM“ ir kt. Lrytas.lt primena – jei šioje duomenų bazėje aptikote savo ar draugų slaptažodį, būtinai pasikeiskite – o dar svarbiau, pabandykite prisiminti, ar to paties slaptažodžio nenaudojote kur nors kitur. Pasitikrinti, ar į kokią nors svetainę (ar tarnybą), kuria kada nors naudojotės ir jūs, nebuvo įsilaužta, galima ir svetainėje haveibeenpwned.com.