Kada įvyko pirmoji kompiuterio slaptažodžio vagystė? Iš šios istorijos verta pasimokyti ir šiandien ()
Pirmas užfiksuotas slaptažodžio panaudojimas, siekiant priėjimo prie kompiuterinės sistemos, įvyko dar 1961 metais. Tačiau šis istorinis įvykis nulėmė ir kitą žymų įvykį – pirmąją kompiuterinio slaptažodžio vagystę. Ir ši istorija turi pamoką, iš kurios galėtume pasimokyti ir šiandien.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Masačiusetso technologijų instituto Suderinama laiko dalijimosi sistema (CTSS) buvo kompiuterių mokslo tyrimų projektų pradininkė. Vadovaujama Fernando Corbato, CTSS komanda sukūrė daug pamatinių kompiuterinių funkcijų, kurias naudojame šiandien įskaitant elektroninį paštą, failų dalijimąsi ir žinučių siuntimą realiuoju laiku. CTSS buvo siekiama suteikti darbinę aplinką daugybei vartotojų vienoje sistemoje. Kadangi kiekvienas vartotojas turėjo savo paieškų sritį ir failus, CTSS turėjo turėti gebėjimą atskirti vartotojus ir suteikti jiems prieigą tik prie tos medžiagos, kuri yra skirta būtent tik jiems.
Paprasčiausias ir mažiausiai apdorojimo reikalaujantis sprendimas buvo toks, kad kiekvienas vartotojas pats galėtų save autentifikuoti – savo slaptažodžiu, kurį CTSS sutikrintų su esančiais pagrindiniame slaptažodžių faile. F.Corbato ir jo komanda nesuprato šio sprendimo būdo naujoviškumo – jie manė, kad tokį būdą jau yra išbandęs kas nors kitas – bet būtent čia ir prasidėjo slaptažodžio apsaugos istorija.
Vienas CTSS mokslininkų buvo doktorantas Allanas Scherras. Jis manė, kad 4 valandos per savaitę, kurias jis gali skirti savo darbui, buvo nepakankamos darbui užbaigti. Todėl jis prisigalvojo sumanių būdų, kaip gauti daugiau laiko – mat vienas jo projektas siekė išgauti tam tikrus matavimų skaičiavimus operacinėje sistemoje, prie kurios jis turėjo priėjimą. Daug metų jis naudojosi šia privilegija, kad suvestų slaptą kodą į sistemą, kuri paslėpdavo laiką, kurį jis praleisdavo naudodamasis šia sistema. Kol jis galėjo naudoti šį kodą, jis galėjo prieiti prie sistemos neribotą laiką.
1966 metais ši A.Scherro tyrimo dalis užsibaigė ir mokslininkas prarado priėjimą prie sistemos. Nebegalėdamas atsukinėti kompiuterio odometro, kad ištrintų duomenis apie sistemos naudojimo laiką, jis ir vėl galėjo naudotis sistema ribotą laiką – 4 valandas per savaitę.
Tačiau A.Scherras buvo gudrus mokslininkas. Jis išsiaiškino, kad įmanoma spausdinti failus pateikiant sistemai paprasčiausią užklausą – ir niekas nedraudė pateikti užklausos pagrindiniam slaptažodžių failo gavimui. Vieną 1966 metų pavasario savaitgalį A.Scherras būtent taip ir padarė, gaudamas visų kitų vartotojų slaptažodžius, tokiu būdu tapdamas pirmuoju kompiuterinių slaptažodžių hakeriu.
Jis pasielgė gudriai ir davė slaptažodžių kopijas dar keliems naudotojams, kad tokius prisijungimus būtų dar sunkiau atsekti ir nustatyti, kieno tiksliai tai darbas. Ir niekas neįtarė, kad tai A.Scherro darbas kol jis neprisipažino per 25-ąsias CTSS metines. Vietoje to mokslininkai slaptažodžio pažeidimus laikė kompiuterinės sistemos klaida. Nuo to laiko A.Scherras šią istoriją pasakojo ne vieną kartą, įskaitant straipsniuose, skirtuose CTSS.
Tuo tarpu F.Cobato mano, kad visa ši istorija rodo ribotą slaptažodžio saugumą. 2014 metais duodamas interviu leidiniui „Wall Street Journal“, slaptažodžius jis pavadino „košmaru“. F.Cobato sakė, kad nemano, jog kas nors gali prisiminti visus reikiamus slaptažodžius. O tai palieka žmones su dviem pasirinkimais: arba užsirašyti slaptažodžius, kas nėra patartina, arba naudoti tam tikrą programą, kaip slaptažodžių valdymo įrankį. Jo manymu, abu variantai sukelia nepatogumų.
F.Cobato komanda niekada nemanė, kad jie įveda aukšto lygio apsaugos priemones – jų slaptažodžio naudojimas tebuvo mechanizmas, skirtas atskirti naudotojų failus. Kaip parodė A.Scherro atvejis, slaptažodžius yra nesunku „nulaužti“, o nuo septintojo dešimtmečio iki pat šiol šioje srityje beveik niekas nepasikeitė. Vartotojams slaptažodžiai sukelia nepatogumus, o užkietėję kompiuteriniai nusikaltėliai nepatiria sunkumų juos „nulaužiant“ ar pavaigant.
Galbūt vieną dieną slaptažodžius pakeis geresnė apsaugos priemonė – tačiau iki tol verslo ir technologijų lyderiai turi išlikti būdrūs. Be reguliaraus bei efektyvaus apmokymo, griežtos bei tinkamos politikos ir tinkamai prižiūrimų kibernetinės apsaugos procesų, slaptažodžiai yra silpna apsaugos forma prieš šiandieninius įsilaužėlius – taip buvo 1961 metais, taip yra ir šiandien.