Niewidzialny w sieci.

Niewidzialny w sieci.

Autorzy: Kevin Mitnick

Wydawnictwo: Pascal

Kategorie: Biznes

Typ: e-book

Formaty: MOBI EPUB

Cena książki papierowej: 44.90 zł

cena od: 31.42 zł

Każdy twój ruch w sieci jest monitorowany i zapisywany, a twoja prywatność nieustannie zagrożona. Potężne korporacje, rządy oraz cyberprzestępcy chcą wiedzieć, co robisz, i odpowiednio to wykorzystać. Kontrolują cię, by sprzedawać twoje dane w celach reklamowych czy wpływać na podejmowane decyzje. Chcą infiltrować twoje życie osobiste, a nawet cię okraść. Kevin Mitnick uczy sztuki bycia niewidzialnym w sieci, dzięki której będziesz mógł chronić siebie i swoją rodzinę.

- Stwórz odporne na złamanie hasło

- Dowiedz się, czego nie należy robić na firmowym komputerze czy drukarce

- Naucz się rozpoznawać zainfekowane e-maile i ataki phishingowe

- Zabezpiecz swoje konto bankowe przed atakami hakerskimi

- Ochroń swoje dzieci przed niebezpiecznymi działaniami cyberprzestępców

- Skorzystaj z zaawansowanych technik umożliwiających zachowanie maksymalnej anonimowości w sieci.

Ty­tuł ory­gi­nal­ny: The Art of In­vi­si­bi­li­ty. The world’s most fa­mo­us hac­ker te­aches you how to be safe in the age of big bro­ther and big data

Au­to­rzy: Ke­vin Mit­nick i Ro­bert Va­mo­si

Tłu­ma­cze­nie: Re­gi­na Mo­ścic­ka

Re­dak­cja: Ewa Bier­nac­ka

Ko­rek­ta: Mał­go­rza­ta Ja­siń­ska

Skład: Ma­rek Stry­pling

Opra­co­wa­nie tech­nicz­ne okład­ki: Mar­ta Krze­mień-Ojak

Przygotowanie eBooka: Jarosław Jabłoński

Re­dak­tor pro­wa­dzą­ca: Bar­ba­ra Wa­lus

Re­dak­tor na­czel­na: Agniesz­ka Het­nał

Co­py­ri­ght for the Po­lish edi­tion © Wy­daw­nic­two Pas­cal

This edi­tion pu­bli­shed by ar­ran­ge­ment with Lit­tle, Brown and Com­pa­ny, New York, New York, USA. All ri­ghts re­se­rved.

Wszel­kie pra­wa za­strze­żo­ne. Żad­na część tej książ­ki nie może być po­wie­la­na lub prze­ka­zy­wa­na w ja­kiej­kol­wiek for­mie bez pi­sem­nej zgo­dy wy­daw­cy, za wy­jąt­kiem re­cen­zen­tów, któ­rzy mogą przy­to­czyć krót­kie frag­men­ty tek­stu.

Biel­sko-Bia­ła 2017

Wy­daw­nic­two Pas­cal sp. z o.o.

ul. Za­po­ra 25

43-382 Biel­sko-Bia­ła

tel. 338282828, fax 338282829

pas­cal@pas­cal.pl

www.pas­cal.pl

ISBN 978-83-8103-140-0

Mo­jej ko­cha­nej ma­mie Shel­ly Jaf­fe

oraz bab­ci Re­bie Var­ta­nian

Przedmowa

Mikko Hypponen

Kil­ka mie­się­cy temu spo­tka­łem ko­le­gę z li­ceum, któ­re­go nie wi­dzia­łem od tam­tych cza­sów. Po­szli­śmy na kawę, żeby po­roz­ma­wiać o tym, czym zaj­mo­wa­li­śmy się przez mi­nio­ne lata. Do­wie­dzia­łem się, że mój zna­jo­my zaj­mu­je się sprze­da­żą i ser­wi­so­wa­niem no­wo­cze­snej apa­ra­tu­ry me­dycz­nej. Ja z ko­lei opo­wie­dzia­łem mu o swo­jej pra­cy, w któ­rej od po­nad dwu­dzie­stu pię­ciu lat zaj­mu­ję się bez­pie­czeń­stwem i pry­wat­no­ścią w sie­ci. Na „pry­wat­ność w in­ter­ne­cie” par­sk­nął śmie­chem. „To pięk­nie brzmi — stwier­dził — ale nie­wie­le mnie ob­cho­dzi. Prze­cież nie je­stem prze­stęp­cą i nie ro­bię ni­cze­go złe­go. Dla­cze­go miał­bym się przej­mo­wać, że ktoś mnie śle­dzi w in­ter­ne­cie?”.

To wy­tłu­ma­cze­nie mnie za­smu­ci­ło. Nie pierw­szy raz sły­sza­łem po­dob­ne ar­gu­men­ty od osób, któ­re są­dzą, że nie mają ni­cze­go do ukry­cia, że tyl­ko prze­stęp­cy po­win­ni się mar­twić o swo­je bez­pie­czeń­stwo, a szy­fro­wa­niem da­nych zaj­mu­ją się wy­łącz­nie ter­ro­ry­ści. Wie­lu z nas uwa­ża, że nie ma po­trze­by bro­nić swo­ich praw. Tym­cza­sem wręcz na­le­ży to ro­bić. Pry­wat­ność to jed­no z pod­sta­wo­wych praw czło­wie­ka, któ­re za­pi­sa­ne jest w po­wszech­nej de­kla­ra­cji praw czło­wie­ka ONZ z 1948 roku.

Sko­ro po­trze­bę po­sza­no­wa­nia pra­wa do pry­wat­no­ści za­uwa­żo­no już pra­wie sie­dem­dzie­siąt lat temu, tym bar­dziej trze­ba je chro­nić dzi­siaj, w cza­sach pierw­sze­go po­ko­le­nia w hi­sto­rii ludz­ko­ści, któ­re­go każ­dy krok moż­na śle­dzić. Prak­tycz­nie na prze­strze­ni ca­łe­go ży­cia je­ste­śmy mo­ni­to­ro­wa­ni, a na­sza ko­mu­ni­ka­cja pod­glą­da­na, i to na róż­ne spo­so­by. Sta­ło się fak­tem, że nie­ustan­nie no­si­my przy so­bie urzą­dze­nia po­zwa­la­ją­ce śle­dzić każ­dy nasz ruch. I nie są to lo­ka­li­za­to­ry, lecz smart­fo­ny.

Dzię­ki mo­ni­to­rin­go­wi w sie­ci wia­do­mo, ja­kie książ­ki ku­pu­jesz i ja­kie czy­tasz ar­ty­ku­ły, a na­wet, któ­re frag­men­ty lek­tu­ry naj­bar­dziej cię za­in­te­re­so­wa­ły. Wia­do­mo, do­kąd i z kim po­dró­żu­jesz. Czy je­steś cho­ry, smut­ny czy może my­ślisz o sek­sie. Dane te są zbie­ra­ne dziś głów­nie w ce­lach re­kla­mo­wych. Fir­my ofe­ru­ją­ce dar­mo­we usłu­gi w rze­czy­wi­sto­ści za­ra­bia­ją na nich mi­liar­dy. To naj­le­piej świad­czy o tym, na jak ogrom­ną ska­lę two­rzo­ne są pro­fi­le użyt­kow­ni­ków in­ter­ne­tu. Ist­nie­je jed­nak jesz­cze inny, bar­dziej wy­spe­cja­li­zo­wa­ny ro­dzaj mo­ni­to­rin­gu w sie­ci — ten agen­cji rzą­do­wych, kra­jo­wych i za­gra­nicz­nych.

Wpraw­dzie ko­mu­ni­ka­cja cy­fro­wa umoż­li­wia rzą­dom ma­so­we gro­ma­dze­nie da­nych i in­wi­gi­la­cję, ale jed­no­cze­śnie po­zwa­la nam le­piej za­dbać o swo­je bez­pie­czeń­stwo. Mo­że­my w tym celu uży­wać na­rzę­dzi do szy­fro­wa­nia da­nych, bez­piecz­nie je prze­cho­wy­wać, a tak­że sto­so­wać pod­sta­wo­we za­sa­dy bez­pie­czeń­stwa ope­ra­cyj­ne­go (OPSEC). Trze­ba tyl­ko wie­dzieć, jak się do tego mą­drze za­brać.

Wła­śnie w tym ma po­móc ta książ­ka. Bar­dzo mnie cie­szy, że Ke­vin zna­lazł czas na po­dzie­le­nie się swo­ją wie­dzą na te­mat sztu­ki by­cia nie­wi­dzial­nym w sie­ci. Kto jak kto, ale on na­praw­dę ma na ten te­mat nie­jed­no do po­wie­dze­nia. Za­chę­cam do wy­ko­rzy­sta­nia cen­nych rad i wska­zó­wek Ke­vi­na na te­mat ochro­ny pry­wat­no­ści.

Wra­ca­jąc do mo­je­go spo­tka­nia z daw­nym ko­le­gą — do­pi­li­śmy kawę, po­że­gna­li­śmy się i każ­dy z nas po­szedł w swo­ją stro­nę. Że­gna­jąc się z nim, ży­czy­łem mu wszel­kiej po­myśl­no­ści, choć na­dal sły­sza­łem jego sło­wa: „Dla­cze­go miał­bym się przej­mo­wać, że ktoś mnie śle­dzi w in­ter­ne­cie?”. Może i nie masz ni­cze­go do ukry­cia, przy­ja­cie­lu, ale masz mnó­stwo rze­czy, któ­re wy­ma­ga­ją ochro­ny.

Mik­ko Hyp­po­nen pra­cu­je jako głów­ny spe­cja­li­sta ds. bez­pie­czeń­stwa w fir­mie F-Se­cu­re. Wy­stę­po­wał mię­dzy in­ny­mi na kon­fe­ren­cjach DEF­CON [co­rocz­ny zlot ha­ke­rów w Las Ve­gas] i TED [Tech­no­lo­gy, En­ter­ta­in­ment and De­sign — Tech­no­lo­gia, Roz­ryw­ka i De­sign].

WSTĘP

Czas zniknąć

Pra­wie dwa lata po tym, jak Edward Jo­seph Snow­den, pra­cow­nik fir­my Booz Al­len Ha­mil­ton, ujaw­nił pa­kiet taj­nych ma­te­ria­łów ame­ry­kań­skiej Agen­cji Bez­pie­czeń­stwa Na­ro­do­we­go (NSA), bry­tyj­ski ko­mik John Oli­ver, gwiaz­da te­le­wi­zji HBO, prze­pro­wa­dził na no­wo­jor­skim Ti­mes Squ­are son­dę ulicz­ną dla po­trzeb swo­je­go pro­gra­mu, któ­ry do­ty­czył za­gad­nień pry­wat­no­ści i in­wi­gi­la­cji w sie­ci. Za­dał przy­pad­ko­wym prze­chod­niom dwa pro­ste py­ta­nia: kim jest Edward Snow­den i z cze­go jest zna­ny1.

Z wy­emi­to­wa­nych przez Oli­ve­ra ma­te­ria­łów wy­ni­ka­ło, że nikt z an­kie­to­wa­nych nie po­tra­fił udzie­lić po­praw­nej od­po­wie­dzi. Kil­ka osób przy­zna­ło, że na­zwi­sko to jest im zna­ne, ale z ni­czym im się nie ko­ja­rzy­ło. Nikt nie pa­mię­tał, że Edward Snow­den jako pra­cow­nik kon­trak­to­wy NSA sko­pio­wał ty­sią­ce ści­śle taj­nych i po­uf­nych do­ku­men­tów, któ­re na­stęp­nie prze­ka­zał dzien­ni­ka­rzom do upu­blicz­nie­nia. Oli­ver mógł za­koń­czyć swo­ją część pro­gra­mu na te­mat ma­so­wej in­wi­gi­la­cji spo­łe­czeń­stwa pe­sy­mi­stycz­ną kon­klu­zją. Z jego son­dy wy­ni­ka­ło, że choć tę spra­wę przez dłuż­szy czas na­gła­śnia­no w me­diach, Ame­ry­ka­nie tak na­praw­dę nie przy­wią­zu­ją więk­szej wagi do tego, że ich rząd szpie­gu­je oby­wa­te­li. Jed­nak pre­zen­ter zde­cy­do­wał się na inne roz­wią­za­nie. Wy­brał się do Ro­sji, gdzie Snow­den otrzy­mał azyl tym­cza­so­wy, by prze­pro­wa­dzić z nim wy­wiad2.

Pierw­sze py­ta­nie, ja­kie dzien­ni­karz za­dał mu w Mo­skwie, brzmia­ło: „Co za­mie­rza­łeś osią­gnąć, upu­blicz­nia­jąc owe taj­ne ma­te­ria­ły?”. Snow­den od­po­wie­dział, że przede wszyst­kim chciał po­wia­do­mić cały świat o prak­ty­kach NSA, o gro­ma­dze­niu da­nych nie­mal o każ­dym ame­ry­kań­skim oby­wa­te­lu. Kie­dy Oli­ver po­ka­zał mu wy­ni­ki son­dy prze­pro­wa­dzo­nej na Ti­mes Squ­are, z któ­rej wy­ni­ka­ło, że nikt z prze­chod­niów go nie zna, Snow­den od­parł: „Cóż, wszyst­kich nie da się po­in­for­mo­wać”.

Dla­cze­go nie je­ste­śmy dziś bar­dziej zo­rien­to­wa­ni w kwe­stiach ochro­ny pry­wat­no­ści, któ­re po­ru­szał Snow­den i o po­dob­nych prze­ko­na­niach? Jak to moż­li­we, że nie ob­cho­dzi nas, że agen­cja rzą­do­wa pod­słu­chu­je pry­wat­ne roz­mo­wy te­le­fo­nicz­ne i ma wgląd w na­sze e-ma­ile i SMS-y? Po­wo­dem naj­praw­do­po­dob­niej jest to, że NSA nie ma bez­po­śred­nie­go wpły­wu na ży­cie więk­szo­ści z nas. Krót­ko mó­wiąc, nie po­strze­ga­my pro­wa­dzo­nej przez nią in­wi­gi­la­cji jako bez­po­śred­niej in­ge­ren­cji w na­szą pry­wat­ność.

Z ba­da­nia prze­pro­wa­dzo­ne­go na Ti­mes Squ­are wy­ni­ka, że Ame­ry­ka­nie trosz­czą się o swo­ją pry­wat­ność, ale do­pie­ro wte­dy, gdy od­czu­wa­ją jej na­ru­sze­nie na wła­snej skó­rze. Oprócz py­tań o Snow­de­na, Oli­ver chciał też na przy­kład po­znać opi­nię prze­chod­niów na te­mat taj­ne­go (w rze­czy­wi­sto­ści fik­cyj­ne­go) pro­gra­mu rzą­do­we­go, zaj­mu­ją­ce­go się gro­ma­dze­niem na­gich zdjęć oby­wa­te­li wy­sy­ła­nych przez in­ter­net. W tej kwe­stii wszy­scy an­kie­to­wa­ni no­wo­jor­czy­cy byli zgod­ni — uzna­li to za nie­do­pusz­czal­ne. Jed­na z osób wy­ja­wi­ła, że sama nie­daw­no wy­sy­ła­ła ko­muś swo­ją ro­ze­bra­ną fot­kę.

Wszy­scy prze­chod­nie prze­py­ty­wa­ni na Ti­mes Squ­are jed­no­gło­śnie twier­dzi­li, że ame­ry­kań­scy oby­wa­te­le po­win­ni mieć pra­wo do swo­bod­nej wy­mia­ny in­for­ma­cji w sie­ci, na­wet na­gich zdjęć, z po­sza­no­wa­niem ich pry­wat­no­ści.

Do­kład­nie to chciał nam uświa­do­mić Snow­den.

Po­mysł z nie­ist­nie­ją­cym pro­gra­mem rzą­do­wym, gro­ma­dzą­cym na­gie zdję­cia Ame­ry­ka­nów, by­naj­mniej nie jest aż tak nie­praw­do­po­dob­ny, jak mo­gło­by się wy­da­wać. Jak wy­ja­śnił Snow­den w wy­wia­dzie udzie­lo­nym Oli­ve­ro­wi, w du­żej mie­rze przy­czy­nia­ją się do tego fir­my, ta­kie jak Go­ogle. Ich ser­we­ry roz­sia­ne są po ca­łym świe­cie, i z tego po­wo­du zwy­kła ko­re­spon­den­cja e-ma­ilo­wa (za­łóż­my, że z za­łą­czo­nym na­gim zdję­ciem) mię­dzy mę­żem a żoną w ob­rę­bie tego sa­me­go mia­sta musi przejść przez za­gra­nicz­ny ser­wer. Po­nie­waż dane te opusz­cza­ją gra­ni­ce Sta­nów Zjed­no­czo­nych (choć­by na uła­mek se­kun­dy), NSA może na mocy usta­wy Pa­triot Act gro­ma­dzić i ar­chi­wi­zo­wać ta­kie SMS-y czy e-ma­ile (wraz z za­łą­czo­ny­mi do nich ro­ze­bra­ny­mi zdję­cia­mi), po­nie­waż, z tech­nicz­ne­go punk­tu wi­dze­nia, po­cho­dzą one z za­gra­nicz­ne­go źró­dła. Zda­niem Snow­de­na to do­wód na to, iż prze­cięt­ni Ame­ry­ka­nie są uwi­kła­ni w sieć glo­bal­nej in­wi­gi­la­cji, sta­no­wią­cą po­kło­sie ata­ków ter­ro­ry­stycz­nych z 11 wrze­śnia 2001 roku. Pier­wot­nie mia­ła ona prze­ciw­dzia­łać ter­ro­ry­zmo­wi, obec­nie zaś po­le­ga na szpie­go­wa­niu prak­tycz­nie wszyst­kich oby­wa­te­li, nie­ja­ko na wszel­ki wy­pa­dek.

Bio­rąc pod uwa­gę po­ja­wia­ją­ce się nie­ustan­nie w me­diach do­nie­sie­nia na te­mat wy­cie­ków da­nych i rzą­do­wych kam­pa­nii in­wi­gi­la­cyj­nych, moż­na by po­my­śleć, że kwe­stie te wzbu­dza­ją po­wszech­ne obu­rze­nie spo­łecz­ne. Zwa­żyw­szy na dy­na­mi­kę tego zja­wi­ska, sku­mu­lo­wa­ne­go na prze­strze­ni kil­ku ostat­nich lat, oby­wa­te­le po­win­ni być wstrzą­śnię­ci i prze­ra­że­ni, a na­wet or­ga­ni­zo­wać pro­te­sty ulicz­ne. Tym­cza­sem jest wprost prze­ciw­nie. Więk­szość z nas, w tym pew­nie wie­lu czy­tel­ni­ków tej książ­ki, ak­cep­tu­je, przy­naj­mniej do pew­ne­go stop­nia, fakt, że cała na­sza ko­mu­ni­ka­cja (roz­mo­wy te­le­fo­nicz­ne, SMS-y, e-ma­ile, wpi­sy na por­ta­lach spo­łecz­no­ścio­wych) może być mo­ni­to­ro­wa­na przez oso­by po­stron­ne.

I to fru­stru­je.

Na­wet je­śli nie zła­ma­łeś ni­g­dy żad­ne­go prze­pi­su, są­dzisz, że pro­wa­dzisz spo­koj­ne, prze­cięt­ne ży­cie i czu­jesz się ano­ni­mo­wy wśród użyt­kow­ni­ków sie­ci, wierz mi — nie je­steś nie­wi­dzial­ny.

Przy­naj­mniej na ra­zie.

Chciał­bym tu wy­znać, że za­wsze fa­scy­no­wa­ła mnie ma­gia. To pew­nie nic dziw­ne­go, bo ha­ke­rom przy­da­ją się zręcz­ne dło­nie. Jed­na z naj­po­pu­lar­niej­szych ma­gicz­nych sztu­czek po­le­ga na zni­ka­niu przed­mio­tów. Cały se­kret opie­ra się na tym, że one wca­le fi­zycz­nie nie zni­ka­ją ani nie sta­ją się nie­wi­dzial­ne, ale po­zo­sta­ją ukry­te — za za­sło­ną, w rę­ka­wie czy w kie­sze­ni. Krót­ko mó­wiąc, znaj­du­ją się gdzieś w tle, gdzie nie mo­że­my ich do­strzec.

To samo do­ty­czy da­nych oso­bo­wych każ­de­go z nas, któ­re w dzi­siej­szych cza­sach są gro­ma­dzo­ne i prze­cho­wy­wa­ne, czę­sto w spo­sób dla nas nie­wi­dzial­ny. Więk­szość nie ma po­ję­cia, jak ła­two do nich do­trzeć. Po­nie­waż sami ich nie wi­dzi­my, ule­ga­my złu­dze­niu, że je­ste­śmy nie­wi­docz­ni dla by­łych part­ne­rów, ro­dzi­ców, szkół, sze­fów czy pra­cow­ni­ków agen­cji rzą­do­wych.

Tym­cza­sem wy­star­czy, że ktoś wie, gdzie szu­kać, a wszel­kie tego typu in­for­ma­cje sta­ją się do­stęp­ne pra­wie dla każ­de­go.

Za każ­dym ra­zem, gdy wy­stę­pu­ję przed więk­szym au­dy­to­rium, wśród słu­cha­czy znaj­dzie się co naj­mniej jed­na oso­ba na­sta­wio­na do tego scep­tycz­nie. Jak pew­na kry­tycz­nie od­no­szą­ca się do mo­ich idei dzien­ni­kar­ka.

Sie­dzie­li­śmy w ho­te­lo­wym ba­rze w jed­nym z więk­szych ame­ry­kań­skich miast. Oznaj­mi­ła mi, że ni­g­dy w ży­ciu nie pa­dła ofia­rą kra­dzie­ży swo­ich da­nych oso­bo­wych. Stwier­dzi­ła, że jest na tyle mło­da, że nie zdą­ży­ła się jesz­cze ni­cze­go więk­sze­go do­ro­bić, więc jej dane nie zna­la­zły się w na­zbyt wie­lu miej­scach w sie­ci. Ni­g­dy nie ujaw­nia­ła in­for­ma­cji o ży­ciu pry­wat­nym w ar­ty­ku­łach czy w me­diach spo­łecz­no­ścio­wych, uży­wa­nych przez nią je­dy­nie do ce­lów za­wo­do­wych. Z tych wszyst­kich po­wo­dów uwa­ża­ła się za nie­wi­dzial­ną w sie­ci. Po­pro­si­łem, by po­zwo­li­ła mi wy­szu­kać w in­ter­ne­cie jej nu­mer ubez­pie­cze­nia oraz inne dane oso­bo­we. Nie­chęt­nie na to przy­sta­ła.

Sie­dząc obok, za­lo­go­wa­łem się na stro­nę prze­zna­czo­ną dla pry­wat­nych de­tek­ty­wów. Za­li­czam się do nich z po­wo­du pra­cy, któ­ra po­le­ga na wy­ja­śnia­niu przy­pad­ków wła­mań ha­ker­skich na świe­cie. Zna­łem na­zwi­sko dzien­ni­kar­ki. Po­pro­si­łem ją o ad­res za­miesz­ka­nia. Ale na­wet gdy­by mi go nie po­da­ła, mo­głem sam bez pro­ble­mu wy­szu­kać go w sie­ci.

W cią­gu paru mi­nut zna­łem nie tyl­ko jej nu­mer ubez­pie­cze­nia, ale i miej­sce uro­dze­nia, a na­wet pa­nień­skie na­zwi­sko jej mat­ki. Od­na­la­złem wszyst­kie ad­re­sy, pod któ­ry­mi kie­dy­kol­wiek miesz­ka­ła, oraz wszyst­kie jej daw­ne nu­me­ry te­le­fo­nów. Wpa­tru­jąc się w ekran kom­pu­te­ra, za­sko­czo­na dzien­ni­kar­ka po­twier­dzi­ła wia­ry­god­ność wszyst­kich tych in­for­ma­cji.

Stro­na, któ­rą się po­słu­ży­łem, do­stęp­na jest za nie­wiel­ką mie­sięcz­ną opła­tą abo­na­men­to­wą dla upraw­nio­nych do ko­rzy­sta­nia z niej firm oraz dla in­dy­wi­du­al­nych użyt­kow­ni­ków. Wszyst­kie wy­szu­ki­wa­ne za jej po­śred­nic­twem in­for­ma­cje są do­dat­ko­wo płat­ne, po­nad­to co ja­kiś czas we­ry­fi­ko­wa­ne jest pra­wo użyt­kow­ni­ka do gro­ma­dze­nia tego typu da­nych. Ale po­dob­ne in­for­ma­cje na te­mat każ­de­go z nas moż­na wy­szu­kać w sie­ci za na­praw­dę sym­bo­licz­ną opła­tą, do tego zgod­nie z pra­wem.

Czy zda­rzy­ło ci się wy­peł­nić an­kie­tę in­ter­ne­to­wą lub po­dać swo­je dane szko­le czy or­ga­ni­za­cji, któ­ra na­stęp­nie pu­bli­ku­je je w sie­ci? A może masz do­stęp przez in­ter­net do swo­jej spra­wy są­do­wej? Je­śli tak, to do­bro­wol­nie prze­ka­za­łeś swo­je dane oso­bo­we stro­nie trze­ciej, któ­ra może z nimi zro­bić, co ze­chce. Jest wiel­ce praw­do­po­dob­ne, że część z nich, o ile nie wszyst­kie, przej­mą fir­my gro­ma­dzą­ce dane w ce­lach ko­mer­cyj­nych. Zda­niem or­ga­ni­za­cji Ri­ghts Cle­arin­gho­use już po­nad 130 tego typu firm zaj­mu­je się wy­szu­ki­wa­niem in­for­ma­cji, praw­dzi­wych bądź fał­szy­wych, o użyt­kow­ni­kach in­ter­ne­tu3.

Dru­ga ka­te­go­ria to dane, któ­rych nie ujaw­nia­my w sie­ci do­bro­wol­nie, a mimo to są gro­ma­dzo­ne za­rów­no przez kor­po­ra­cje, jak i agen­cje rzą­do­we. Wie­dzą, do kogo dzwo­ni­my, wy­sy­ła­my e-ma­ile i SMS-y, cze­go szu­ka­my w in­ter­ne­cie, co ku­pu­je­my w skle­pach sta­cjo­nar­nych i in­ter­ne­to­wych, do­kąd po­dró­żu­je­my. Pa­kiet da­nych na te­mat każ­de­go z nas z każ­dym dniem się roz­ra­sta.

W pierw­szej chwi­li mo­żesz dojść do wnio­sku, że nie war­to się tym przej­mo­wać. Wierz mi: to nie­praw­da. Mam na­dzie­ję, że po prze­czy­ta­niu tej książ­ki, ma­jąc znacz­nie więk­szą wie­dzę na ten te­mat, sam zde­cy­du­jesz, że pora w koń­cu coś z tym zro­bić.

Tak na­praw­dę, od do­brych kil­ku­dzie­się­ciu lat wszy­scy ule­ga­my ilu­zji, że ist­nie­je coś ta­kie­go jak pry­wat­ność.

Być może na­dej­dzie chwi­la, gdy za­nie­po­koi nas ska­la do­stę­pu do na­sze­go ży­cia oso­bi­ste­go, rzą­dów, pra­co­daw­ców, prze­ło­żo­nych, na­uczy­cie­li czy ro­dzi­ców. Ale po­nie­waż uzy­ski­wa­no go stop­nio­wo — w mia­rę jak ocho­czo przyj­mo­wa­li­śmy każ­de cy­fro­we udo­god­nie­nie w na­szym ży­ciu, nie za­sta­na­wia­jąc się, jak wpły­wa na na­szą pry­wat­ność — co­raz trud­niej bę­dzie się nam wy­rwać z tej pu­łap­ki. Poza tym, kto do­bro­wol­nie zre­zy­gno­wał­by z ulu­bio­nych ga­dże­tów?

Naj­więk­szym nie­bez­pie­czeń­stwem w pań­stwie sto­su­ją­cym cy­fro­wą in­wi­gi­la­cję oby­wa­te­li nie jest to, że są gro­ma­dzo­ne na­sze dane (na to, nie­ste­ty, nie mamy wpły­wu), ale to, jak się je wy­ko­rzy­stu­je.

Wy­obraź so­bie jak nad­gor­li­wy pro­ku­ra­tor mógł­by wy­ko­rzy­stać uzy­ska­ne w sie­ci przy­pad­ko­we dane na twój te­mat, być może po­cho­dzą­ce na­wet sprzed kil­ku lat. W dzi­siej­szym świe­cie in­for­ma­cje, czę­sto po­zba­wio­ne re­al­ne­go kon­tek­stu, żyją wła­snym ży­ciem prak­tycz­nie bez koń­ca. Na­wet sam sę­dzia Sądu Naj­wyż­sze­go Sta­nów Zjed­no­czo­nych Ste­phen Brey­er twier­dzi, że „trud­no dziś prze­wi­dzieć, czy na­sze wy­po­wie­dzi w sie­ci nie zo­sta­ną w przy­szło­ści uzna­ne przez pro­ku­ra­to­ra za istot­ne dla pro­wa­dzo­ne­go przez nie­go śledz­twa”4. Mó­wiąc krót­ko, udo­stęp­nio­na przez ko­goś na Fa­ce­bo­oku fot­ka, na któ­rej wy­raź­nie wi­dać, że je­steś pi­ja­ny, to naj­mniej­sze z two­ich zmar­twień.

Mo­żesz twier­dzić, że nie masz nic do ukry­cia, ale czy wiesz to na pew­no? W ar­ty­ku­le w cza­so­pi­śmie „Wi­red” Mo­xie Mar­lin­spi­ke, ce­nio­ny spe­cja­li­sta ds. bez­pie­czeń­stwa, udo­wad­nia, że po­sia­da­nie na­wet cze­goś tak po­spo­li­te­go jak ho­mar, w Sta­nach Zjed­no­czo­nych może zo­stać uzna­ne za prze­stęp­stwo fe­de­ral­ne5. „I nie ma zna­cze­nia, czy ku­pi­łeś go w skle­pie spo­żyw­czym, czy ktoś ci go dał; jest żywy albo mar­twy; zgi­nął z przy­czyn na­tu­ral­nych bądź za­bi­łeś go w sa­mo­obro­nie. Idziesz do wię­zie­nia z po­wo­du głu­pie­go ho­ma­ra i krop­ka”6. A wszyst­ko dla­te­go, że ist­nie­je wie­le dru­go­rzęd­nych mar­twych prze­pi­sów, któ­re ła­mie­my cał­kiem tego nie­świa­do­mi. Te­raz jed­nak po­zo­sta­wia­ne przez nas śla­dy w sie­ci — do­stęp­ne na wy­cią­gnię­cie ręki dla każ­de­go, kto miał­by ocho­tę je wy­ko­rzy­stać — są bra­ne za twar­de do­wo­dy.

Po­ję­cie pry­wat­no­ści dla każ­de­go zna­czy coś in­ne­go. Są po­wo­dy, dla któ­rych de­cy­du­je­my się udo­stęp­niać pew­ne in­for­ma­cje oso­bom po­stron­nym, inne zaś za­cho­wu­je­my wy­łącz­nie dla sie­bie. Trud­no mieć ocho­tę prze­ży­wać lęk przed szpie­go­wa­niem nas przez agen­cję rzą­do­wą, albo na to, by były part­ner czy­tał na­sze wpi­sy w sie­ci, a pra­co­daw­ca wie­dział coś o na­szym ży­ciu ro­dzin­nym.

Dla tak roz­ma­itych sce­na­riu­szy nie ocze­kuj­cie ode mnie po­da­nia jed­nej me­to­dy chro­nie­nia pry­wat­no­ści. Po­nie­waż każ­dy z nas ma w tej kwe­stii inny próg to­le­ran­cji, chciał­bym przede wszyst­kim zwró­cić uwa­gę na coś ogól­ne­go — na to, jak w dzi­siej­szych cza­sach ma­so­wo gro­ma­dzo­ne są dane. Po­tem sam zde­cy­du­jesz, któ­re roz­wią­za­nie jest dla cie­bie naj­lep­sze.

Moja książ­ka ma za za­da­nie przede wszyst­kim za­po­znać cię z me­to­da­mi za­cho­wa­nia pry­wat­no­ści w cy­fro­wym świe­cie oraz za­pre­zen­to­wać nie­zbęd­ne do tego na­rzę­dzia. Po­nie­waż po­ziom pry­wat­no­ści za­le­ży od in­dy­wi­du­al­nych po­trzeb i pre­dys­po­zy­cji, ska­la by­cia nie­wi­docz­nym w sie­ci w przy­pad­ku każ­de­go z nas rów­nież bę­dzie inna.

Chciał­bym ci rów­nież uświa­do­mić, że każ­dy z nas bez wy­jąt­ku jest ob­ser­wo­wa­ny, za­rów­no we wła­snym domu, jak i na uli­cy, w ka­wiar­ni czy na au­to­stra­dzie. Twój kom­pu­ter, te­le­fon, sa­mo­chód, sys­tem alar­mo­wy, a na­wet lo­dów­ka, to urzą­dze­nia, któ­re po­zwa­la­ją uzy­skać do­stęp do two­je­go pry­wat­ne­go ży­cia.

Spo­koj­nie, nie za­mie­rzam cię stra­szyć. Chcę cię tyl­ko na­uczyć, jak sku­tecz­nie prze­ciw­dzia­łać po­stę­pu­ją­cej utra­cie pry­wat­no­ści, któ­ra we współ­cze­snym świe­cie sta­ła się już nie­ste­ty nor­mą.

Z tej książ­ki do­wiesz się mię­dzy in­ny­mi, jak:

za­szy­fro­wać i wy­słać bez­piecz­ny e-mail,

chro­nić swo­je dane od­po­wied­ni­mi ha­sła­mi,

ukryć swój ad­res IP na od­wie­dza­nych stro­nach,

za­bez­pie­czyć kom­pu­ter przed śle­dze­niem w sie­ci,

chro­nić swo­ją ano­ni­mo­wość,

oraz wie­le in­nych przy­dat­nych rze­czy, dzię­ki któ­rym opa­nu­jesz sztu­kę by­cia nie­wi­dzial­nym w sie­ci.

ROZDZIAŁ PIERWSZY

Hasło można złamać!

Jen­ni­fer Law­ren­ce nie cie­szy­ła się dłu­gim week­en­dem we wrze­śniu 2014 roku. Lau­re­at­ka Osca­ra była jed­ną z wie­lu ce­le­bry­tek, któ­rych pry­wat­ne zdję­cia, w tym rów­nież na­gie, zna­la­zły się w in­ter­ne­cie.

Po­trak­tuj to jako prze­stro­gę i po­myśl o fot­kach, któ­re ak­tu­al­nie prze­cho­wu­jesz w swo­im kom­pu­te­rze, ko­mór­ce czy skrzyn­ce pocz­to­wej. Oczy­wi­ście w więk­szo­ści są neu­tral­ne. Pew­nie nic złe­go by się nie sta­ło, gdy­by na­gle cały świat obej­rzał sfo­to­gra­fo­wa­ne przez cie­bie za­cho­dy słoń­ca, ro­dzin­ne im­pre­zy czy na­wet sel­fie z nie­zbyt twa­rzo­wą fry­zu­rą. Ale czy na­praw­dę miał­byś ocho­tę wszyst­kim je po­ka­zy­wać? Jak byś się czuł, gdy­by na­gle sta­ły się po­wszech­nie do­stęp­ne w sie­ci? Pew­nie nie wszyst­kie two­je zdję­cia są rów­nie nie­przy­zwo­ite, jak te gwiazd, ale prze­cież do­ty­czą two­je­go pry­wat­ne­go ży­cia. Każ­dy z nas po­wi­nien sam de­cy­do­wać, czy w ogó­le chce je udo­stęp­niać in­nym, a je­śli tak, to na ja­kich za­sa­dach. Nie­ste­ty, je­śli prze­cho­wu­jesz je w in­for­ma­tycz­nej chmu­rze, de­cy­zja ta nie za­wsze na­le­ży do cie­bie.

Tam­te­go le­ni­we­go i sen­ne­go dłu­gie­go wrze­śnio­we­go week­en­du me­dia zdo­mi­no­wa­ła afe­ra z wy­cie­kiem do sie­ci na­gich zdjęć Jen­ni­fer Law­ren­ce. W ra­mach ak­cji the Fap­pe­ning ujaw­nio­no wów­czas tak­że pry­wat­ne, czę­sto nie­mal cał­kiem ro­ze­bra­ne fot­ki in­nych gwiazd, ta­kich jak Ri­han­na, Kate Upton, Ka­ley Cu­oco, Ad­rian­ne Cur­ry oraz po­nad trzy­stu in­nych osób zna­nych ze świa­ta roz­ryw­ki, w więk­szo­ści ko­biet. Wy­kra­dzio­no je z ich ko­mó­rek, a na­stęp­nie opu­bli­ko­wa­no w sie­ci. Co było do prze­wi­dze­nia, część in­ter­nau­tów z cie­ka­wo­ścią je obej­rza­ła. Jed­nak dla wie­lu osób hi­sto­ria ta sta­ła się smut­ną prze­stro­gą, że coś po­dob­ne­go może się przy­da­rzyć każ­de­mu.

Jak ktoś zdo­był do­stęp do pry­wat­nych fo­tek Jen­ni­fer Law­ren­ce i in­nych gwiazd?

Po­nie­waż wszyst­kie uży­wa­ły iPho­ne’ów, po­cząt­ko­wo za­kła­da­no, że spo­wo­do­wał to atak ha­ker­ski na usłu­gę Ap­ple iC­lo­ud — chmu­rę, prze­zna­czo­ną do prze­cho­wy­wa­nia pli­ków i zdjęć użyt­kow­ni­ków ko­mó­rek. Po wy­czer­pa­niu pa­mię­ci w te­le­fo­nie zdję­cia, nowe pli­ki, mu­zy­ka i gry ła­do­wa­ne są na ser­wer Ap­ple, zwy­kle za nie­wiel­ką mie­sięcz­ną opła­tą sub­skryp­cyj­ną. Go­ogle ofe­ru­je po­dob­ną usłu­gę dla urzą­dzeń mo­bil­nych z sys­te­mem An­dro­id.

Fir­ma Ap­ple, któ­ra pra­wie ni­g­dy nie wy­po­wia­da się w me­diach na te­mat bez­pie­czeń­stwa, stwier­dzi­ła, że nie po­no­si od­po­wie­dzial­no­ści za ten in­cy­dent. W wy­da­nym oświad­cze­niu moż­na było prze­czy­tać, iż „wła­ma­nia na kon­ta mają zwią­zek z ata­ka­mi na­kie­ro­wa­ny­mi na na­zwy użyt­kow­ni­ka, ha­sła i py­ta­nia bez­pie­czeń­stwa”, a „ża­den z ba­da­nych przy­pad­ków nie jest re­zul­ta­tem zła­ma­nia sys­te­mów Ap­ple, ta­kich jak iC­lo­ud czy Find my iPho­ne”1.

Ro­ze­bra­ne zdję­cia gwiazd po raz pierw­szy po­ja­wi­ły się na fo­rum ha­ker­skim zna­nym z pu­bli­ka­cji tego typu kom­pro­mi­tu­ją­cych ma­te­ria­łów2. Pro­wa­dzi się na nim otwar­te dys­ku­sje na te­mat na­rzę­dzi in­for­ma­ty­ki śled­czej, wy­ko­rzy­sty­wa­nych do nie­le­gal­ne­go po­zy­ski­wa­nia in­for­ma­cji. Or­ga­ny ści­ga­nia uży­wa­ją ich do zdo­by­wa­nia do­stę­pu do da­nych na po­trze­by pro­wa­dzo­ne­go śledz­twa, prze­cho­wy­wa­nych na urzą­dze­niach mo­bil­nych lub w chmu­rze. Ale oczy­wi­ście słu­żą one rów­nież do cał­kiem in­nych ce­lów.

Na wspo­mnia­nym fo­rum oma­wia­no mię­dzy in­ny­mi opro­gra­mo­wa­nie prze­zna­czo­ne do użyt­ku przez or­ga­ny ści­ga­nia i agen­cje rzą­do­we, któ­re umoż­li­wia do­stęp do kont w ser­wi­sie iC­lo­ud — El­com­soft Pho­ne Pas­sword Bre­aker (EPPB). To jed­no z tego typu na­rzę­dzi, naj­bar­dziej po­pu­lar­ne wśród ha­ke­rów. EPPB wy­ma­ga od użyt­kow­ni­ka zna­jo­mo­ści lo­gi­nu i ha­sła do kon­ta w iC­lo­ud, ale dla użyt­kow­ni­ków fo­rum nie sta­no­wi­ło to, rzecz ja­sna, żad­ne­go pro­ble­mu. Jak się oka­za­ło, w tam­ten wrze­śnio­wy week­end ktoś wy­słał do po­pu­lar­ne­go ser­wi­su re­po­zy­to­riów ko­dów (Gi­thub) na­rzę­dzie o na­zwie iBru­te, umoż­li­wia­ją­ce ła­ma­nie ha­seł do kont prak­tycz­nie wszyst­kich użyt­kow­ni­ków iC­lo­ud.

Za­sto­so­wa­nie iBru­te w po­łą­cze­niu z EPPB umoż­li­wi­ło wła­my­wa­czo­wi pod­szy­cie się pod da­ne­go użyt­kow­ni­ka ser­wi­su i ścią­gnię­cie peł­nej ko­pii za­pa­so­wej jego iPho­ne’a na inny noś­nik. Usłu­ga ar­chi­wi­za­cji jest bar­dzo przy­dat­na, kie­dy wy­mie­niasz ko­mór­kę na nową, ale za­ra­zem po­zwa­la zdo­być cen­ny łup ha­ke­ro­wi. Dzię­ki niej zy­sku­je on do­stęp do wszyst­kie­go, co kie­dy­kol­wiek się w niej znaj­do­wa­ło. W ten spo­sób do­cie­ra do znacz­nie więk­szej licz­by in­for­ma­cji, niż tyl­ko za po­mo­cą za­lo­go­wa­nia się na kon­to swo­jej ofia­ry w iC­lo­ud.

Jo­na­than Zdziar­ski, kon­sul­tant w dzie­dzi­nie in­for­ma­ty­ki śled­czej i spe­cja­li­sta ds. bez­pie­czeń­stwa, w wy­wia­dzie udzie­lo­nym mie­sięcz­ni­ko­wi „Wi­red” stwier­dził, że przy­pa­dek kra­dzie­ży zdjęć Kate Upton jed­no­znacz­nie wska­zu­je na uży­cie opro­gra­mo­wa­nia iBru­te i EPPB. Zdo­by­wa­jąc do­stęp do ko­pii za­pa­so­wej iPho­ne’a za­pi­sa­nej w chmu­rze, ha­ker uzy­sku­je pry­wat­ne dane i in­for­ma­cje, któ­re może po­tem wy­ko­rzy­stać do szan­ta­żo­wa­nia swo­jej ofia­ry3.

W paź­dzier­ni­ku 2016 roku trzy­dzie­sto­let­nie­go miesz­kań­ca Lan­ca­ster w sta­nie Pen­syl­wa­nia Ry­ana Col­lin­sa ska­za­no na pół­to­ra roku wię­zie­nia za „nie­upraw­nio­ny do­stęp do za­bez­pie­czo­ne­go kom­pu­te­ra w celu po­zy­ska­nia in­for­ma­cji”, umoż­li­wia­ją­cy mu wła­ma­nie się na po­nad 100 kont w iC­lo­ud oraz Go­ogle4.

Aby sku­tecz­nie chro­nić swo­je kon­to w iC­lo­ud lub in­nym ser­wi­sie, na­le­ży usta­wić od­po­wied­nio sil­ne ha­sło. Choć wy­da­je się to oczy­wi­ste, to wie­le osób, na­wet tych pia­stu­ją­cych naj­wyż­sze sta­no­wi­ska w po­tęż­nych kor­po­ra­cjach, wy­ka­zu­je się pod tym wzglę­dem ka­ry­god­nym le­ni­stwem. Wiem o tym z do­świad­cze­nia, pra­cu­jąc jako pen­te­ster, czy­li ktoś prze­pro­wa­dza­ją­cy kon­tro­lo­wa­ne wła­ma­nia do sie­ci kom­pu­te­ro­wych w celu wy­szu­ka­nia w nich sła­bych punk­tów. Przy­kła­do­wo, taką nie­fra­so­bli­wo­ścią wy­ka­zał się dy­rek­tor ge­ne­ral­ny Sony En­ter­ta­in­ment Mi­cha­el Lyn­ton, któ­ry jako ha­sło do kon­ta do­me­ny usta­wił: „so­nym­l3”. Nic dziw­ne­go, że do jego skrzyn­ki wła­ma­li się ha­ke­rzy i upu­blicz­ni­li w sie­ci całą znaj­du­ją­cą się w niej ko­re­spon­den­cję, zy­sku­jąc ad­mi­ni­stra­cyj­ny do­stęp prak­tycz­nie do wszyst­kich fir­mo­wych da­nych i do­ku­men­tów.

Oprócz pocz­ty służ­bo­wej, uży­wa­my rów­nież kont pry­wat­nych, tak­że chro­nio­nych ha­słem. Gdy bę­dzie trud­ne do od­gad­nię­cia, nie uchro­ni nas to, co praw­da, przed ata­kiem ha­ke­rów uzbro­jo­nych w ta­kie na­rzę­dzia, jak ocl­Ha­sh­cat (apli­ka­cja wy­ko­rzy­stu­ją­ca kar­ty gra­ficz­ne, żeby przy­spie­szyć ła­ma­nie ha­seł), ale jest duża szan­sa, że znacz­nie wy­dłu­ży ten pro­ces, co znie­chę­ci ata­ku­ją­ce­go i skło­ni go do zmia­ny celu na ła­twiej­szy.

O tym, ja­kie­go ro­dza­ju ha­sła do kont ban­ko­wych czy kom­pu­te­rów fir­mo­wych by­wa­ją w po­wszech­nym uży­ciu, naj­le­piej uświa­do­mił nam atak ha­ker­ski na por­tal rand­ko­wy Ash­ley Ma­di­son z lip­ca 2015 roku. Wśród 11 mi­lio­nów upu­blicz­nio­nych wów­czas ha­seł do kont jego użyt­kow­ni­ków naj­czę­ściej spo­ty­ka­ne to: „123456”, „12345”, „pas­sword” „DE­FAULT”, „123456789”, „qwer­ty”, „12345678”, „ab­c123” oraz „1234567”5. Je­śli wi­dzisz wśród nich swo­je ha­sło, ist­nie­je duże ry­zy­ko, że rów­nież pad­niesz ofia­rą kra­dzie­ży da­nych, bo po­dob­ne cią­gi zna­ków prze­wi­du­je więk­szość do­stęp­nych w sie­ci na­rzę­dzi do ła­ma­nia ha­seł. Za­chę­cam cię, byś od­wie­dził stro­nę www.ha­ve­ibe­en­pw­ned.com i spraw­dził, czy two­je kon­to kie­dy­kol­wiek pa­dło ofia­rą ata­ku ha­ke­rów.

Na mia­rę XXI wie­ku odro­bi­nę się po­sta­raj­my i twórz­my ha­sła zło­żo­ne z dłuż­szych i bar­dziej skom­pli­ko­wa­nych kom­bi­na­cji li­ter i cyfr. Je­śli wy­da­je ci się to trud­ne, nie oba­wiaj się — mam za­miar na­uczyć cię, jak to się robi ręcz­nie i au­to­ma­tycz­nie.

Naj­pro­ściej by­ło­by zre­zy­gno­wać z sa­mo­dziel­ne­go usta­wia­nia ha­sła i prze­rzu­cić się na au­to­ma­tycz­ne ge­ne­ro­wa­nie go. Masz do wy­bo­ru co naj­mniej kil­ka prze­zna­czo­nych do tego apli­ka­cji, tzw. me­na­dże­rów ha­seł. Dzię­ki nim mo­żesz prze­cho­wy­wać wszyst­kie dane lo­go­wań w wir­tu­al­nym „sej­fie”, do któ­re­go do­stęp daje ci jed­no klik­nię­cie, a tak­że two­rzyć nowe sil­ne ha­sła dla każ­dej wi­try­ny, z któ­rej ko­rzy­stasz.

War­to przy tym pa­mię­tać o dwóch po­waż­nych mi­nu­sach tych apli­ka­cji. Pierw­szym jest wy­móg jed­ne­go ha­sła głów­ne­go. Je­śli kom­pu­ter zo­sta­nie za­in­fe­ko­wa­ny zło­śli­wym opro­gra­mo­wa­niem, krad­ną­cym ha­sła na pod­sta­wie za­re­je­stro­wa­nych, wy­bie­ra­nych przez cie­bie kla­wi­szy, wte­dy prze­pa­dłeś. Wła­my­wacz za jed­nym za­ma­chem przej­mie wszyst­kie two­je ha­sła. Pra­cu­jąc jako pen­te­ster, cza­sa­mi za­stę­pu­ję me­na­dże­ra ha­seł wer­sją zmo­dy­fi­ko­wa­ną, któ­ra prze­sy­ła nam ha­sło głów­ne (je­śli me­na­dżer ha­seł jest opro­gra­mo­wa­niem otwar­tym) po uzy­ska­niu do­stę­pu ad­mi­na do sie­ci klien­ta. W na­stęp­nym kro­ku zdo­by­wa­my wszyst­kie ha­sła do kont uprzy­wi­le­jo­wa­nych. Krót­ko mó­wiąc, wy­ko­rzy­stu­je­my me­na­dże­ra ha­seł jako tyl­ne drzwi, przez któ­re zy­sku­je­my do­stęp do klu­czy w ca­łym in­for­ma­tycz­nym kró­le­stwie.

Dru­gi pro­blem jest znacz­nie bar­dziej pro­za­icz­ny. Je­śli za­po­mnisz ha­sła głów­ne­go, stra­cisz wszyst­kie swo­je ha­sła. Nie jest to, oczy­wi­ście, sy­tu­acja bez wyj­ścia, mo­żesz je bo­wiem re­se­to­wać po ko­lei na każ­dej ze stron, ale zwy­kle zaj­mu­je to spo­ro cza­su.

Po­mi­mo tych nie­do­god­no­ści, za­chę­cam do sko­rzy­sta­nia z tego typu apli­ka­cji oraz po­niż­szych wska­zó­wek, dzię­ki któ­rym stwo­rzysz sil­ne, a za­tem bez­piecz­ne ha­sła.

Przede wszyst­kim uży­waj dłu­gich cią­gów zna­ków, co naj­mniej 20—25, nie­za­wie­ra­ją­cych słów. Naj­le­piej, gdy są to przy­pad­ko­we zlep­ki, na przy­kład „ek5iogh#skf&skd”. Po­nie­waż nasz mózg ma pro­blem z za­pa­mię­ty­wa­niem tego typu nic nie­zna­czą­cych kom­bi­na­cji, le­piej sko­rzy­stać z me­na­dże­ra ha­seł. To o wie­le bez­piecz­niej­sza me­to­da niż sa­mo­dziel­ne wy­my­śla­nie go. Oso­bi­ście wolę apli­ka­cje typu open so­ur­ce, ta­kie jak Pas­sword Safe czy Ke­ePass, któ­re prze­cho­wu­ją dane lo­kal­nie na kom­pu­te­rze.

Inna waż­na za­sa­da — nie uży­waj tych sa­mych ha­seł do róż­nych kont. Wiem, że cza­sa­mi trud­no się od tego po­wstrzy­mać, sko­ro dziś uży­wa się ich prak­tycz­nie na każ­dym kro­ku. Dla­te­go le­piej zdać się na apli­ka­cję, któ­ra wy­ge­ne­ru­je za cie­bie ha­sła trud­ne do zła­ma­nia.

Nie­ste­ty, na­wet w przy­pad­ku sil­ne­go ha­sła na­dal ist­nie­je ry­zy­ko, że po­ko­na cię tech­no­lo­gia. W sie­ci moż­na zna­leźć naj­róż­niej­sze pro­gra­my do ła­ma­nia ha­seł, ta­kie jak ogól­no­do­stęp­ny John the Rip­per, któ­ry dzia­ła we­dług pa­ra­me­trów6 skon­fi­gu­ro­wa­nych przez użyt­kow­ni­ka. Może on na przy­kład okre­ślić mak­sy­mal­ną licz­bę zna­ków do prze­te­sto­wa­nia, wy­brać do uży­cia zna­ki spe­cjal­ne, obce sło­wa itp. John the Rip­per i inne „ła­ma­cze ha­seł” nie­zwy­kle sku­tecz­ne w ich od­ga­dy­wa­niu, po­tra­fią spraw­dzać kom­bi­na­cje zna­ków w haś­le za po­mo­cą okre­ślo­nych re­guł. W ten spo­sób, we­dług zde­fi­nio­wa­nych pa­ra­me­trów, te­stu­ją każ­dą moż­li­wą kom­bi­na­cję cyfr, liczb i sym­bo­li, aż w koń­cu tra­fią na tę wła­ści­wą. Na szczę­ście więk­szość z nas nie ma za wro­gów po­tęż­nych im­pe­riów, któ­re dys­po­nu­ją nie­ogra­ni­czo­nym cza­sem i fun­du­sza­mi, a je­dy­nie by­łych part­ne­rów, wro­gich krew­nych czy po pro­stu tych, któ­rzy nas nie lu­bią. Je­śli przyj­dzie im zmie­rzyć się z usta­wio­nym przez cie­bie po­nad­dwu­dzie­sto­zna­ko­wym ha­słem, nie wy­star­czy im cier­pli­wo­ści ani środ­ków, żeby je zła­mać.

Za­łóż­my jed­nak, że chcesz two­rzyć ha­sła tra­dy­cyj­nie i że fak­tycz­nie będą wy­star­cza­ją­co sil­ne. Jak na­le­ży z nimi po­stę­po­wać? Mo­żesz je za­no­to­wać, byle w in­te­li­gent­ny spo­sób. Na pew­no nie pisz: „Bank of Ame­ri­ca: 4the­1st-ti­me­in4e­ver*”, bo to by­ło­by oczy­wi­ste dla każ­de­go. Mo­żesz za­stą­pić na­zwę ban­ku ja­kimś da­le­kim sko­ja­rze­niem (na przy­kład „bie­liź­niar­ka” — kie­dyś po­pu­lar­ne miej­sce trzy­ma­nia oszczęd­no­ści) z do­pi­skiem „4the­1st.” Za­uważ, że nie uży­łem ha­sła w ca­ło­ści. Nie ma ta­kiej po­trze­by — resz­tę mo­żesz mieć w gło­wie. Kie­dy ko­muś wpad­nie w ręce li­sta nie­kom­plet­nych ha­seł, bę­dzie miał pro­blem, przy­naj­mniej na po­cząt­ku.

W tym miej­scu przy­po­mi­na mi się pew­na za­baw­na hi­sto­ryj­ka. Kie­dyś u przy­ja­cie­la, zna­ne­go pra­cow­ni­ka Mi­cro­so­ftu, przy ko­la­cji, z jego żoną i dziec­kiem, roz­ma­wia­li­śmy o kwe­stii bez­pie­czeń­stwa ha­seł. W pew­nym mo­men­cie żona wsta­ła i po­de­szła do lo­dów­ki. Jak się oka­za­ło, wszyst­kie ha­sła bez wy­jąt­ku za­pi­sa­ne były na kart­ce przy­cze­pio­nej ma­gne­sem do drzwi. Przy­ja­ciel po­krę­cił z nie­do­wie­rza­niem gło­wą, a ja nie po­tra­fi­łem ukryć roz­ba­wie­nia.

Za­pi­sy­wa­nie ha­seł może nie jest naj­szczę­śliw­szym roz­wią­za­niem, ale rów­nie dużo pro­ble­mów cze­ka nas, gdy któ­re­goś z nich za­po­mni­my. Nie­któ­re wi­try­ny, na przy­kład ban­ków in­ter­ne­to­wych, blo­ku­ją użyt­kow­ni­kom do­stęp do kont po kil­ku, naj­czę­ściej trzech, nie­uda­nych pró­bach wpi­sa­nia pra­wi­dło­we­go ha­sła. Jed­nak wciąż jesz­cze nie jest to prak­ty­ka po­wszech­na. Ale na­wet taka blo­ka­da nie jest w sta­nie po­wstrzy­mać wła­my­wa­czy po­słu­gu­ją­cych się pro­gra­ma­mi typu John the Rip­per czy ocl­Ha­sh­cat (wy­ko­rzy­stu­ją­cy w pro­ce­sie ła­ma­nia ha­sła kar­ty gra­ficz­ne, co znacz­nie zwięk­sza jego sku­tecz­ność). Poza tym ha­ke­rzy za­zwy­czaj dzia­ła­ją ina­czej i nie te­stu­ją każ­dej moż­li­wej po­sta­ci ha­sła na stro­nie lo­go­wa­nia.

Za­łóż­my te­raz, że do­cho­dzi do kra­dzie­ży pew­nej bazy da­nych, w któ­rej znaj­du­ją się na­zwy użyt­kow­ni­ków oraz ha­sła. Te ostat­nie w tego typu ba­zach naj­czę­ściej prze­cho­wy­wa­ne są w po­sta­ci „za­szy­fro­wa­nej”, a ści­ślej mó­wiąc „za­ha­szo­wa­nej”.

W jaki spo­sób je wy­ko­rzy­stać, żeby wła­mać się na czy­jeś kon­to?

Za każ­dym ra­zem, gdy wpi­su­jesz gdzie­kol­wiek ha­sło — by od­blo­ko­wać lap­top czy za­lo­go­wać się do ser­wi­su in­ter­ne­to­we­go — prze­cho­dzi ono przez jed­no­kie­run­ko­wy al­go­rytm, zwa­ny funk­cją skró­tu (ha­szu­ją­cą). Nie jest to toż­sa­me z szyf­ro­wa­niem, któ­re jest funk­cją dwu­kie­run­ko­wą: moż­li­we jest szy­fro­wa­nie oraz de­szy­fro­wa­nie, je­śli po­sia­da się klucz. Funk­cja skró­tu (hasz) to tzw. od­cisk pal­ca wia­do­mo­ści zło­żo­nej z okre­ślo­ne­go cią­gu zna­ków. Teo­re­tycz­nie w przy­pad­ku al­go­ryt­mów jed­no­kie­run­ko­wych nie da się od­two­rzyć wia­do­mo­ści na pod­sta­wie skró­tu, a przy­naj­mniej nie jest to ła­twe.

Dla­te­go to, co prze­cho­wy­wa­ne jest w ba­zie ha­seł kom­pu­te­ra, ko­mór­ki czy chmu­ry, nie wy­stę­pu­je w po­sta­ci jaw­nej, czy­li na przy­kład „Ma­ry­Ha­dA­Lit­tle­Lam­b123$”, ale jako wy­nik funk­cji skró­tu na ha­śle, sta­no­wią­cy kom­bi­na­cję cyfr i li­ter. Jest to tzw. hasz ha­sła7.

Ha­sła prze­cho­wy­wa­ne w za­bez­pie­czo­nej pa­mię­ci na­szych kom­pu­te­rów wy­stę­pu­ją w for­mie za­ha­szo­wa­nej i to one pa­da­ją łu­pem kra­dzie­ży pod­czas ata­ku na kom­pu­ter. Po uzy­ska­niu ha­szów ha­ke­rzy mają do dys­po­zy­cji po­wszech­nie do­stęp­ne na­rzę­dzia typu John the Rip­per czy ocl­Ha­sh­cat do ła­ma­nia i od­zy­ski­wa­nia ha­seł. Mogą do tego wy­ko­rzy­stać al­go­rytm si­ło­wy (bru­te for­ce), czy­li te­sto­wać każ­dą moż­li­wą kom­bi­na­cję zna­ków, albo po­słu­żyć się ata­kiem słow­ni­ko­wym, czy­li spraw­dzać ha­sła wy­stę­pu­ją­ce w słow­ni­kach. Funk­cje do­stęp­ne w John the Rip­per oraz ocl­Ha­sh­cat po­zwa­la­ją na za­wę­że­nie te­sto­wa­nych słów na pod­sta­wie zde­fi­nio­wa­nych re­guł. Jed­na z nich to leet­spe­ak, w któ­rej po­szcze­gól­ne li­te­ry za­stę­po­wa­ne są cy­fra­mi, np. „k3v1n m17n1ck”. Od­zy­ski­wa­nie ha­seł tą me­to­dą jest znacz­nie bar­dziej efek­tyw­ne niż atak si­ło­wy. Naj­szyb­ciej ła­ma­ne są te naj­prost­sze i naj­po­pu­lar­niej­sze, bar­dziej zło­żo­ne wy­ma­ga­ją nie­co wię­cej za­cho­du. Czas trwa­nia tej ope­ra­cji za­le­ży od kil­ku czyn­ni­ków. Ko­rzy­sta­jąc z wy­żej wspo­mnia­nych apli­ka­cji, ha­ke­rzy, ma­jąc do dys­po­zy­cji twój wy­kra­dzio­ny lo­gin i hasz, mogą wła­mać się na wię­cej niż jed­no z two­ich kont, te­stu­jąc od­zy­ska­ne ha­sło na kil­ku stro­nach po­wią­za­nych z two­im ad­re­sem e-ma­ilo­wym lub in­nym iden­ty­fi­ka­to­rem użyt­kow­ni­ka.

Ogól­nie rzecz uj­mu­jąc, im wię­cej zna­ków w ha­śle, tym wię­cej cza­su po­trze­ba apli­ka­cjom typu John the Rip­per na spraw­dze­nie wszyst­kich moż­li­wych kom­bi­na­cji. Jed­nak co­raz szyb­sze pro­ce­so­ry spra­wia­ją, że od­gad­nię­cie sze­ścio- czy na­wet ośmio­zna­ko­wych ha­seł trwa co­raz kró­cej. Dla­te­go ra­dzę, by dla bez­pie­czeń­stwa sto­so­wać ha­sła zło­żo­ne z co naj­mniej 25 zna­ków.

Je­śli już stwo­rzy­łeś od­po­wied­nio sil­ne ha­sła, pa­mię­taj — ni­ko­mu ich nie zdra­dzaj. Z po­zo­ru wy­da­je się to oczy­wi­ste, jed­nak z son­da­ży prze­pro­wa­dzo­nych w Lon­dy­nie i in­nych wiel­kich mia­stach wy­ni­ka, że ujaw­nia­ne są na­wet w za­mian za ta­kie bła­host­ki, jak dłu­go­pis czy ka­wa­łek cze­ko­la­dy8.

Je­den z mo­ich przy­ja­ciół prze­ka­zał kie­dyś swo­jej dziew­czy­nie ha­sło do kon­ta w Net­flik­sie. Wy­da­wa­ło mu się to wte­dy na­tu­ral­ne — dzię­ki temu mo­gła sama wy­bie­rać dla nich fil­my do wspól­ne­go oglą­da­nia. Oka­za­ło się jed­nak, że jed­no­cze­śnie zy­ska­ła do­stęp do hi­sto­rii fil­mów obej­rza­nych przez nie­go z po­przed­ni­mi dziew­czy­na­mi. Nie­trud­no jej było się tego do­my­ślić po ty­tu­łach — Sto­wa­rzy­sze­nie wę­dru­ją­cych dżin­sów na pew­no nie na­le­ża­ło do po­zy­cji, któ­re wy­brał­by do sa­mot­ne­go oglą­da­nia.

Ow­szem, wszy­scy mamy ja­kąś prze­szłość. By­ło­by wręcz po­dej­rza­ne, gdy­by było ina­czej. Ale chy­ba żad­na dziew­czy­na nie lubi na­ty­kać się na tak ja­skra­we śla­dy swo­ich po­przed­ni­czek.

Po za­bez­pie­cze­niu od­po­wied­ni­mi ha­sła­mi kont in­ter­ne­to­wych, to samo po­wi­nie­neś zro­bić ze swo­imi urzą­dze­nia­mi. Więk­szość z nas uży­wa już tyl­ko lap­to­pów, nie­któ­rzy tak­że kom­pu­te­rów sta­cjo­nar­nych. Na­wet je­śli miesz­kasz sam, po­myśl o go­ściach, któ­rzy przy­cho­dzą do cie­bie w od­wie­dzi­ny. Wy­star­czy je­den ruch mysz­ką, by ktoś po­dej­rzał two­je pli­ki, zdję­cia czy gry. Po co miał­byś ry­zy­ko­wać?

W tym miej­scu przy­po­mi­na mi się ko­lej­na hi­sto­ryj­ka zwią­za­na z Net­flik­sem. Wy­da­rzy­ła się w cza­sach, gdy ser­wis ten pro­wa­dził głów­nie wy­sył­kę płyt DVD do do­mów użyt­kow­ni­ków. Pod­czas im­pre­zy do­mo­wej pew­na zna­na mi para zo­sta­wi­ła włą­czo­ny kom­pu­ter z za­lo­go­wa­nym kon­tem do ser­wi­su i ktoś wy­ko­rzy­stał to do zro­bie­nia im brzyd­kie­go ka­wa­łu. Po ja­kimś cza­sie zo­rien­to­wa­li się, że na li­ście ich za­mó­wień znaj­du­je się mnó­stwo fil­mo­wych gnio­tów. Nie­ste­ty do­pie­ro wte­dy, gdy od­kry­li je w do­star­czo­nej po­czcie.

Jesz­cze istot­niej­sze jest za­bez­pie­cze­nie ha­sła­mi kom­pu­te­rów uży­wa­nych w pra­cy. Przy­po­mnij so­bie, ile razy nie­spo­dzie­wa­nie od­wo­ły­wa­no cię od biur­ka na nie­pla­no­wa­ne spo­tka­nie. W tym cza­sie ktoś mógł­by swo­bod­nie przej­rzeć otwar­ty na two­im kom­pu­te­rze ar­kusz kal­ku­la­cyj­ny bu­dże­tu na na­stęp­ny kwar­tał czy two­je wia­do­mo­ści w skrzyn­ce pocz­to­wej. Albo co gor­sza (je­śli nie masz wy­ga­sza­cza ekra­nu chro­nio­ne­go ha­słem, któ­ry włą­cza się po kil­ku se­kun­dach bra­ku ak­tyw­no­ści), ko­rzy­sta­jąc z two­jej prze­dłu­ża­ją­cej się nie­obec­no­ści, mógł­by usiąść przed nim i, pod­szy­wa­jąc się pod cie­bie, wy­słać wia­do­mość, czy na­wet wpro­wa­dzić zmia­ny w otwar­tym pli­ku z bu­dże­tem.

Mamy dziś do dys­po­zy­cji co naj­mniej kil­ka no­wa­tor­skich na­rzę­dzi po­zwa­la­ją­cych za­po­biec tego typu za­gro­że­niom. Jed­nym z nich jest opro­gra­mo­wa­nie słu­żą­ce do au­to­ma­tycz­ne­go blo­ko­wa­nia ekra­nu. Wy­ko­rzy­stu­je ono mo­duł Blu­eto­oth do spraw­dze­nia, czy je­steś w po­bli­żu kom­pu­te­ra. In­ny­mi sło­wy, kie­dy wyj­dziesz do ła­zien­ki i two­ja ko­mór­ka znaj­dzie się poza za­się­giem Blu­eto­otha kom­pu­te­ra, zo­sta­je on mo­men­tal­nie za­blo­ko­wa­ny. Ist­nie­ją rów­nież wer­sje wy­ko­rzy­stu­ją­ce in­te­li­gent­ne opa­ski czy smart­ze­gar­ki.

Stwo­rze­nie sil­nych ha­seł do kont i ser­wi­sów in­ter­ne­to­wych jest nie­zwy­kle istot­ne. Nie na wie­le się jed­nak przy­da, je­śli ktoś fi­zycz­nie przej­mie na­le­żą­ce do cie­bie urzą­dze­nie, w któ­rym na do­da­tek zo­sta­wi­łeś wszyst­ko otwar­te. Dla­te­go na­le­ży przede wszyst­kim za­bez­pie­czyć urzą­dze­nia mo­bil­ne, bo naj­ła­twiej je zgu­bić i naj­czę­ściej pa­da­ją łu­pem zło­dziei. Mimo to, jak do­no­si ame­ry­kań­ski ser­wis Con­su­mer Re­ports, aż 34 proc. Ame­ry­ka­nów nie sto­su­je w nich żad­nych za­bez­pie­czeń, na­wet tak pro­stych, jak blo­ka­da ekra­nu czte­ro­cy­fro­wym PIN-em9.

W 2014 roku funk­cjo­na­riusz po­li­cji z Mar­ti­nez w Ka­li­for­nii przy­znał się do kra­dzie­ży ro­ze­bra­nych zdjęć z ko­mór­ki ko­bie­ty po­dej­rza­nej o pro­wa­dze­nie sa­mo­cho­du pod wpły­wem al­ko­ho­lu. Sta­no­wi­ło to jaw­ne po­gwał­ce­nie za­pi­sów czwar­tej po­praw­ki do Kon­sty­tu­cji Sta­nów Zjed­no­czo­nych10, któ­ra za­ka­zu­je nie­upraw­nio­nych re­wi­zji i za­trzy­mań bez na­ka­zu są­do­we­go i ade­kwat­ne­go uza­sad­nie­nia — funk­cjo­na­riu­sze po­li­cji mu­szą zło­żyć oświad­cze­nie, dla­cze­go chcą przej­rzeć np. za­war­tość czy­je­goś te­le­fo­nu.

Je­śli do­tąd nie za­bez­pie­czy­łeś ha­słem swo­jej ko­mór­ki, zrób to jak naj­szyb­ciej. Wierz mi, to bar­dzo waż­ne.

Ist­nie­ją trzy po­pu­lar­ne me­to­dy blo­ko­wa­nia te­le­fo­nów, za­rów­no tych z An­dro­idem, jak i iOS czy z ja­kimś in­nym sys­te­mem. Naj­bar­dziej zna­na to kod do­stę­pu — ciąg liczb, któ­re trze­ba wpi­sać w od­po­wied­niej ko­lej­no­ści, by od­blo­ko­wać ko­mór­kę. Nie uży­waj PIN-u do­star­czo­ne­go przez ope­ra­to­ra ko­mór­ko­we­go, przejdź do usta­wień i skon­fi­gu­ruj go sa­mo­dziel­nie, tak by był sil­niej­szy. Mo­żesz do tego użyć na­wet sied­miu cyfr, na przy­kład swo­je­go sta­re­go nu­me­ru te­le­fo­nu z daw­nych lat. W każ­dym ra­zie na pew­no nie zo­sta­waj przy czte­rech.

W nie­któ­rych urzą­dze­niach prze­no­śnych moż­na w ko­dach uży­wać też li­ter. I w tym przy­pad­ku wy­bierz co naj­mniej sie­dem zna­ków. W no­wo­cześ­niej­szych urzą­dze­niach na jed­nym ekra­nie wy­świe­tla­ne są za­rów­no cy­fry, jak i li­te­ry, więc wpi­sy­wa­nie kodu nie wy­ma­ga prze­łą­cza­nia się z jed­ne­go ukła­du kla­wia­tu­ry na dru­gi.

Inna opcja to od­blo­ko­wy­wa­nie ekra­nu we­dług wzo­ru. Od 2008 roku te­le­fo­ny z An­dro­idem wy­po­sa­żo­ne są w tzw. wzór blo­ku­ją­cy (ALP) — na ekra­nie wy­świe­tla się dzie­więć kro­pek, któ­re na­le­ży po­łą­czyć w okre­ślo­nej ko­lej­no­ści. Uzy­ska­ny w ten spo­sób sym­bol funk­cjo­nu­je jako kod do­stę­pu. Na pierw­szy rzut oka jest to roz­wią­za­nie bez­piecz­ne. Ze wzglę­du na licz­bę moż­li­wych kom­bi­na­cji blo­ka­da ta wy­da­je się prak­tycz­nie nie do przej­ścia. Nic bar­dziej myl­ne­go.

Na zor­ga­ni­zo­wa­nej w 2015 roku kon­fe­ren­cji Pas­swords­Con za­pre­zen­to­wa­no ra­port z ba­dań, z któ­re­go wy­ni­ka, że użyt­kow­ni­cy są nie­wia­ry­god­nie prze­wi­dy­wal­ni i wy­bie­ra­ją za­le­d­wie kil­ka z aż 140 704 moż­li­wych kom­bi­na­cji11. Ja­kie to były wzo­ry? Czę­sto pierw­sza li­te­ra wła­sne­go imie­nia. Ba­da­nia te udo­wod­ni­ły rów­nież, że prze­waż­nie wy­bie­ra­ne są krop­ki środ­ko­we, a nie na­roż­ne. War­to uwzględ­nić te wy­ni­ki przy usta­wia­niu blo­ka­dy ekra­nu te­le­fo­nu w for­mie sym­bo­lu.

Trze­cie za­bez­pie­cze­nie to blo­ka­da bio­me­trycz­na. Ap­ple, Sam­sung oraz inne zna­ne mar­ki mają już w ofer­cie te­le­fo­ny z wbu­do­wa­nym czyt­ni­kiem li­nii pa­pi­lar­nych, od­blo­ko­wy­wa­ne za po­mo­cą od­ci­sku pal­ca. Ale na­wet ta me­to­da nie jest nie­za­wod­na. Po wej­ściu na ry­nek czyt­ni­ka To­uch ID na­ukow­cy — naj­wy­raź­niej ocze­ku­jąc od fir­my Ap­ple prze­ło­mo­wej zmia­ny, w po­rów­na­niu z urzą­dze­nia­mi do­stęp­ny­mi do tej pory na ryn­ku — ze zdu­mie­niem od­kry­li, że nie­któ­re sta­re me­to­dy oszu­ki­wa­nia daw­nych czyt­ni­ków na­dal spraw­dza­ją się w iPho­ne’ie. Wy­star­czy „ze­brać” od­cisk pal­ca z czy­stej po­wierzch­ni, uży­wa­jąc za­syp­ki dla nie­mow­ląt i ta­śmy kle­ją­cej.

Na ryn­ku są rów­nież do­stęp­ne te­le­fo­ny z funk­cją roz­poz­na­wa­nia twa­rzy. Ale i tę blo­ka­dę moż­na obejść, wy­ko­rzy­stu­jąc zdję­cie wy­so­kiej roz­dziel­czo­ści twa­rzy wła­ści­cie­la.

Ogól­nie mó­wiąc, sys­te­my iden­ty­fi­ka­cji bio­me­trycz­nej są dość po­dat­ne na ata­ki. Dla­te­go naj­le­piej, gdy nie są je­dy­nym skład­ni­kiem pro­ce­su uwie­rzy­tel­nia­nia. Nie wy­star­czy, że przy­ło­żysz pa­lec do czyt­ni­ka czy uśmiech­niesz się do ka­me­ry; do­dat­ko­wo wpro­wadź kod do­stę­pu lub wzór od­blo­ko­wu­ją­cy ekran. Te dwie me­to­dy za­sto­so­wa­ne łącz­nie po­win­ny sku­tecz­nie za­bez­pie­czyć urzą­dze­nie mo­bil­ne.

A co w sy­tu­acji, gdy usta­wi­łeś od­po­wied­nio sil­ne has­ło, ale ni­g­dzie go nie za­pi­sa­łeś i nie je­steś w sta­nie wejść na rzad­ko uży­wa­ne kon­to? Wy­ba­wie­niem bę­dzie wów­czas funk­cja od­zy­ski­wa­nia ha­sła. Nie­ste­ty, jed­no­cze­śnie sta­no­wi ona uła­twie­nie dla po­ten­cjal­ne­go wła­my­wa­cza. Wy­ko­rzy­stu­jąc zo­sta­wia­ne przez nas śla­dy cy­fro­we i pro­fi­le na por­ta­lach spo­łecz­no­ścio­wych, ha­ke­rzy po­tra­fią do­stać się do na­szych skrzy­nek pocz­to­wych i nie tyl­ko — wy­łącz­nie za po­mo­cą re­se­to­wa­nia chro­nią­cych je ha­seł.

Jed­no z ta­kich oszustw, na­gło­śnio­ne w pra­sie, po­le­ga­ło na zdo­by­ciu czte­rech ostat­nich cyfr kar­ty kre­dy­to­wej ofia­ry i wy­ko­rzy­sta­niu ich do we­ry­fi­ka­cji toż­sa­mo­ści pod­czas kon­tak­tu z do­staw­cą usłu­gi w celu zmia­ny po­da­ne­go przez użyt­kow­ni­ka ad­re­su e-ma­ilo­we­go. W ten spo­sób ha­ker mógł bez jego wie­dzy zre­se­to­wać ha­sło i za­stą­pić je wła­snym.

W 2008 roku stu­dent Uni­wer­sy­te­tu Sta­nu Ten­nes­see Da­vid Ker­nell po­sta­no­wił wła­mać się do skrzyn­ki pocz­to­wej w ser­wi­sie Yahoo, na­le­żą­cej do Sary Pa­lin, ów­cze­snej kan­dy­dat­ki na urząd wi­ce­pre­zy­den­ta Sta­nów Zjed­no­czo­nych12. Ker­nell nie za­mie­rzał sa­mo­dziel­nie od­ga­dy­wać jej ha­sła, oba­wiał się bo­wiem, że po kil­ku nie­uda­nych pró­bach kon­to zo­sta­nie za­blo­ko­wa­ne. Dla­te­go wy­ko­rzy­stał funk­cję jego re­se­to­wa­nia, oce­nia­jąc póź­niej tę me­to­dę jako „bar­dzo łat­wą”13 .

Może zda­rzy­ło ci się otrzy­mać po­dej­rza­ne e-ma­ile od zna­jo­mych czy współ­pra­cow­ni­ków z lin­ka­mi do za­gra­nicz­nych stron por­no­gra­ficz­nych? Za­ło­żę się, że póź­niej do­wie­dzia­łeś się o wła­ma­niu do ich skrzy­nek pocz­to­wych. Tego typu in­cy­den­ty są dość po­wszech­ne, po­nie­waż kon­ta pocz­to­we z re­gu­ły za­bez­pie­czo­ne są zbyt sła­by­mi ha­sła­mi. Ko­muś uda­ło się je po­znać za po­mo­cą kra­dzie­ży da­nych albo z uży­ciem funk­cji re­se­to­wa­nia ha­sła.

Za­kła­da­jąc kon­to pocz­to­we czy ban­ko­we, za­zwy­czaj wy­bie­ra­my — prze­waż­nie trzy — tzw. py­ta­nia bez­pie­czeń­stwa. Czę­sto mają one for­mę roz­wi­ja­nej li­sty i na ogół są dość oczy­wi­ste, na przy­kład: „Gdzie się uro­dzi­łeś?”, „Gdzie cho­dzi­łeś do li­ceum/na stu­dia?”. Wśród nich jest tak­że nie­śmier­tel­ne py­ta­nie o na­zwi­sko pa­nień­skie mat­ki, sto­so­wa­ne do po­twier­dza­nia toż­sa­mo­ści co naj­mniej od 1882 roku14. Jak do­wiesz się w dal­szej czę­ści tej książ­ki, na ryn­ku dzia­ła mnó­stwo firm spe­cja­li­zu­ją­cych się w wy­szu­ki­wa­niu w sie­ci i gro­ma­dze­niu in­for­ma­cji na te­mat każ­de­go z nas. Dzię­ki nim od­po­wiedź na wy­bie­ra­ne przez nas py­ta­nia bez­pie­czeń­stwa sta­je się dzie­cin­nie pro­sta. W za­sa­dzie każ­dy, kto po­szpe­ra kil­ka mi­nut w sie­ci, ma szan­sę zła­mać tego typu za­bez­pie­cze­nie kon­ta da­nej oso­by.

Trze­ba przy­znać, że ostat­nio po­ziom trud­no­ści tych py­tań nie­co się po­pra­wił. Po­ja­wia­ją­ce się kwe­stie typu: „Gdzie uro­dził się twój szwa­gier?” i tak jed­nak nio­są ze sobą pew­ne ry­zy­ko, któ­re opi­su­ję po­ni­żej. Nie­ste­ty, wciąż jesz­cze moż­na się na­tknąć na pod­po­wie­dzi w sty­lu: „W ja­kim mie­ście uro­dził się twój oj­ciec?”.

Pod­su­mo­wu­jąc, ogól­na rada brzmi: usta­na­wia­jąc py­ta­nia bez­pie­czeń­stwa, uni­kaj naj­bar­dziej oczy­wi­stych. A je­śli masz do wy­bo­ru tyl­ko pod­sta­wo­we, rusz gło­wą. Kto po­wie­dział, że od­po­wie­dzi mają być pra­wi­dło­we/praw­dzi­we? Moż­na prze­cież po­trak­to­wać je nie­kon­wen­cjo­nal­nie. Na przy­kład za­kła­da­jąc kon­to na plat­for­mie wi­deo po­daj, że twój ulu­bio­ny ko­lor to tut­ti-frut­ti. Nie do od­gad­nię­cia, praw­da? A prze­cież ma coś wspól­ne­go z ko­lo­rem. Osta­tecz­nie to ty de­cy­du­jesz, co sta­no­wi pra­wi­dło­wą od­po­wiedź na dane py­ta­nie bez­pie­czeń­stwa.

W przy­pad­ku kre­atyw­nych od­po­wie­dzi ko­niecz­nie za­no­tuj so­bie za­rów­no py­ta­nie, jak i od­po­wiedź, i prze­cho­wuj je w bez­piecz­nym miej­scu (albo wy­ko­rzy­staj do tego me­na­dże­ra ha­seł). Na pew­no zda­rzy ci się roz­ma­wiać z ob­słu­gą tech­nicz­ną, któ­ra po­pro­si o od­po­wiedź na któ­reś z nich. Trzy­maj je gdzieś pod ręką, na przy­kład w se­gre­ga­to­rze lub na kar­tecz­ce w port­fe­lu (naj­le­piej na­ucz się ich na pa­mięć i za­wsze uży­waj tych sa­mych). Dzię­ki temu szyb­ko przy­po­mnisz so­bie, że po­praw­na od­po­wiedź na py­ta­nie: „Gdzie się uro­dzi­łeś?” brzmi: „W szpi­ta­lu”. Two­ja po­my­sło­wość może sku­tecz­nie zra­zić wła­my­wa­cza, któ­ry wcze­śniej po­szpe­rał w sie­ci w po­szu­ki­wa­niu in­for­ma­cji na twój te­mat, więc bę­dzie pró­bo­wał udzie­lić znacz­nie bar­dziej rze­czo­wej i zgod­nej z praw­dą od­po­wie­dzi na to py­ta­nie: „Co­lum­bus, Ohio”.

Szcze­re od­po­wie­dzi na py­ta­nia bez­pie­czeń­stwa po­cią­ga­ją za sobą jesz­cze jed­no nie­bez­pie­czeń­stwo — zdra­dzasz w nich do­dat­ko­we in­for­ma­cje na swój te­mat. Na przy­kład po­praw­na od­po­wiedź na py­ta­nie: „Gdzie uro­dził się twój szwa­gier?” może zo­stać sprze­da­na przez ser­wis, a na­stęp­nie po­łą­czo­na z in­ny­mi in­for­ma­cja­mi lub wy­ko­rzy­sta­na do uzu­peł­nie­nia bra­ku­ją­cych da­nych. Z two­jej od­po­wie­dzi moż­na wy­wnio­sko­wać, że je­steś lub by­łeś w związ­ku mał­żeń­skim oraz że twój obec­ny lub były part­ner ma sio­strę, któ­rej mąż uro­dził się we wska­za­nym przez cie­bie miej­scu. Z po­zo­ru pro­sta od­po­wiedź, a tyle do­dat­ko­wych in­for­ma­cji. Z dru­giej stro­ny, je­śli w ogó­le nie masz szwa­gra, mo­żesz udzie­lić zmy­ślo­nej od­po­wie­dzi, na przy­kład: „Pu­er­to Rico”. W ten spo­sób sku­tecz­nie zmy­lisz każ­de­go, kto bę­dzie pró­bo­wał bu­do­wać twój pro­fil oso­bo­wy. Im wię­cej tego typu myl­nych tro­pów, tym mniej cię wi­dać w sie­ci.

Kie­dy od­po­wia­dasz na nie­stan­dar­do­we py­ta­nia bez­pie­czeń­stwa, za­wsze się za­sta­nów, jak waż­na jest dla cie­bie dana stro­na in­ter­ne­to­wa. Znacz­nie bez­piecz­niej po­wie­rzać tego typu in­for­ma­cje oso­bo­we ban­ko­wi niż na przy­kład plat­for­mie wi­deo. Po­nad­to war­to spraw­dzić po­li­ty­kę pry­wat­no­ści da­ne­go ser­wi­su, czy nie ma w niej za­pi­sów (mniej lub bar­dziej jaw­nych) po­zwa­la­ją­cych mu sprze­da­wać gro­ma­dzo­ne dane stro­nie trze­ciej.

Do do­ko­na­nia re­se­tu ha­sła do kon­ta pocz­to­we­go Sary Pa­lin w ser­wi­sie Yahoo po­trzeb­na była data jej uro­dzin, kod pocz­to­wy i od­po­wiedź na py­ta­nie: „Gdzie po­zna­łaś męża?”. Dwie pierw­sze in­for­ma­cje moż­na bez pro­ble­mu zna­leźć w sie­ci (Pa­lin spra­wo­wa­ła wte­dy urząd gu­ber­na­to­ra Ala­ski). Py­ta­nie bez­pie­czeń­stwa wy­da­wa­ło się prze­szko­dą nie­co trud­niej­szą, ale i z nim Ker­nell nie miał kło­po­tu. Wszyst­ko dla­te­go, że Pa­lin w wy­wia­dach wie­lo­krot­nie pod­kre­śla­ła, że mąż jest jej li­ce­al­ną mi­ło­ścią. Co dało się prze­wi­dzieć, pra­wi­dło­wa od­po­wiedź brzmia­ła: „W li­ceum”.

Od­ga­du­jąc od­po­wie­dzi na py­ta­nia bez­pie­czeń­stwa do kon­ta Pa­lin, Ker­nell zre­se­to­wał ha­sło w Yahoo i usta­wił wła­sne. Dzię­ki temu mógł swo­bod­nie prze­glą­dać całą jej pry­wat­ną ko­re­spon­den­cję e-ma­ilo­wą. Na in­ter­ne­to­wej stro­nie ha­ker­skiej umiesz­czo­no zrzut ekra­nu skrzyn­ki od­bior­czej Pa­lin, a ona sama nie mia­ła do niej do­stę­pu do chwi­li sa­mo­dziel­ne­go zre­se­to­wa­nia ha­sła15.

To, co zro­bił Ker­nell, ucho­dzi za prze­stęp­stwo — na­ru­sze­nie usta­wy o oszu­stwach i nad­uży­ciach kom­pu­te­ro­wych. Uka­ra­no go na pod­sta­wie dwóch za­rzu­tów: utrud­nia­nie dzia­ła­nia wy­mia­ru spra­wie­dli­wo­ści po­przez nisz­cze­nie do­ku­men­tów (po­waż­ne prze­stęp­stwo) oraz nie­au­to­ry­zo­wa­ny do­stęp w celu uzy­ska­nia in­for­ma­cji z kom­pu­te­ra (wy­kro­cze­nie). W 2010 roku zo­stał ska­za­ny na rok i je­den dzień wię­zie­nia oraz trzy lata nad­zo­ru są­do­we­go16.

Je­śli two­je kon­to e-ma­ilo­we zo­sta­ło zha­ko­wa­ne, jak kon­to Sary Pa­lin, po pierw­sze po­wi­nie­neś zmie­nić ha­sło na nowe, ko­rzys­ta­jąc z funk­cji re­se­to­wa­nia. Po­sta­raj się tym ra­zem usta­wić ha­sło od­po­wied­nio sil­ne, we­dług mo­ich wcze­śniej­szych wska­zó­wek. Na­stęp­nie sprawdź w fol­de­rze Wy­sła­ne, co do­kład­nie wy­szło z two­jej skrzyn­ki. Znaj­dziesz tam spam ro­ze­sła­ny do wie­lu osób czy na­wet do wszyst­kich fi­gu­ru­ją­cych na li­ście kon­tak­tów. To dla­te­go zda­rza­ło ci się otrzy­my­wać po­dob­ne rze­czy od przy­ja­ciół — po pro­stu im tak­że wła­ma­no się na kon­ta pocz­to­we.

Sprawdź też, czy ktoś nie pod­łą­czył się do two­je­go kon­ta, usta­wia­jąc prze­kie­ro­wa­nie ca­łej ko­re­spon­den­cji na swo­ją skrzyn­kę. W ta­kim przy­pad­ku na­dal wi­dzisz ją u sie­bie, ale ma też do niej do­stęp wła­my­wacz. Je­śli tak się sta­ło, od razu usuń obcy ad­res e-ma­ilo­wy, na któ­ry prze­kie­ro­wy­wa­ne są two­je wia­do­mo­ści.

Ha­sła i kody PIN to waż­ne ele­men­ty bez­pie­czeń­stwa, ale, jak wi­dać, nie są nie­za­wod­ne i moż­na je zła­mać. Dla­te­go znacz­nie bez­piecz­niej­sze jest uwie­rzy­tel­nie­nie dwu­skład­ni­ko­we, zwa­ne rów­nież we­ry­fi­ka­cją dwu­eta­po­wą (2FA). Fir­ma Ap­ple wpro­wa­dzi­ła je dla użyt­kow­ni­ków usług iC­lo­ud, w re­ak­cji na kra­dzie­że ro­ze­bra­nych zdjęć z te­le­fo­nu Jen­ni­fer Law­ren­ce oraz in­nych gwiazd.

We­ry­fi­ka­cja 2FA po­le­ga na tym, iż w pro­ce­sie spraw­dza­nia toż­sa­mo­ści użyt­kow­ni­ka stro­ny lub apli­ka­cje wy­ko­rzy­stu­ją dwa lub trzy ele­men­ty. Są to za­zwy­czaj: „coś, co masz” (np. kar­ta kre­dy­to­wa lub de­be­to­wa z pa­skiem ma­gne­tycz­nym lub mi­kro­pro­ce­so­rem), „coś, co wiesz” (np. PIN lub od­po­wiedź na py­ta­nie bez­pie­czeń­stwa) oraz „to, kim je­steś” (me­to­dy bio­me­trycz­ne, np. ana­li­za li­nii pa­pi­lar­nych, roz­po­zna­wa­nie twa­rzy czy gło­su itp.). Im wię­cej ele­men­tów, tym więk­sza pew­ność, że użyt­kow­nik rze­czy­wi­ście jest tym, za kogo się po­da­je.

Mo­gło­by się wy­da­wać, że to sto­sun­ko­wo nowa tech­no­lo­gia, ale wca­le tak nie jest. We­ry­fi­ka­cja typu 2FA to­wa­rzy­szy nam od po­nad 40 lat, choć czę­sto nie je­ste­śmy tego świa­do­mi. Sto­su­je się ją mię­dzy in­ny­mi przy po­bie­ra­niu go­tów­ki z ban­ko­ma­tu. Ko­niecz­na jest wów­czas wy­da­na przez bank kar­ta („coś, co masz”) oraz PIN („coś, co wiesz”). Dzię­ki po­łą­cze­niu tych dwóch skład­ni­ków ulicz­ny ban­ko­mat do­sta­je in­for­ma­cję, że chcesz uzy­skać do­stęp do kon­ta ozna­czo­ne­go na kar­cie. W nie­któ­rych kra­jach dzia­ła­ją już ban­ko­ma­ty z do­dat­ko­wy­mi me­to­da­mi we­ry­fi­ka­cji, np. sys­te­mem roz­po­zna­wa­nia twa­rzy czy żył dło­ni. Mó­wi­my wów­czas o uwie­rzy­tel­nie­niu wie­lo­skład­ni­ko­wym (MFA).

We­ry­fi­ka­cja 2FA sto­so­wa­na jest rów­nież w sie­ci przez wie­le in­sty­tu­cji fi­nan­so­wych, por­ta­li me­dycz­nych, a tak­że ko­mer­cyj­ne ser­wi­sy pocz­to­we i spo­łecz­no­ścio­we. W ich przy­pad­ku łą­czy się ha­sło („coś, co wiesz”) z te­le­fo­nem ko­mór­ko­wym („coś, co masz”). Dzię­ki temu two­ja ko­mór­ka jest po­wią­za­na z uży­wa­nym urzą­dze­niem, a oso­ba nie­upraw­nio­na nie może wejść na tak za­bez­pie­czo­ne kon­ta, nie ma­jąc jej fi­zycz­nie przy so­bie.

Po­służ­my się przy­kła­dem kon­ta w Gma­ilu. Aby włą­czyć w nim funk­cję 2FA, trze­ba po­dać na stro­nie swój nu­mer te­le­fo­nu ko­mór­ko­we­go. W celu we­ry­fi­ka­cji toż­sa­mo­ści, Go­ogle wy­sy­ła na nie­go SMS z sze­ścio­cy­fro­wym ko­dem. Wpi­su­jąc go na stro­nie Gma­ila, po­twier­dzasz, że twój kom­pu­ter jest po­wią­za­ny z tym nu­me­rem ko­mór­ko­wym.

W sy­tu­acji, gdy ktoś bę­dzie pró­bo­wać z in­ne­go kom­pu­te­ra lub urzą­dze­nia mo­bil­ne­go zmie­nić ha­sło do two­je­go kon­ta, na swo­ją ko­mór­kę do­sta­niesz SMS z ko­dem we­ry­fi­ka­cyj­nym, bez któ­re­go nie da się wpro­wa­dzić żad­nych zmian w usta­wie­niach kon­ta.

Nie­ste­ty, na­wet w tej me­to­dzie jest pe­wien ha­czyk. Jak twier­dzą spe­cja­li­ści z fir­my Sy­man­tec, na­wet je­śli ko­rzy­stasz z usłu­gi po­twier­dza­nia toż­sa­mo­ści za po­mo­cą SMS, ktoś, kto zna twój nu­mer te­le­fo­nu, może przy uży­ciu od­po­wied­nich za­bie­gów so­cjo­tech­nicz­nych prze­jąć wy­sy­ła­ny kod, je­śli nie bę­dziesz wy­star­cza­ją­co uważ­ny17.

Po­wiedz­my, że chcę wła­mać się na two­je kon­to pocz­to­we, a nie mam ha­sła. Znam jed­nak nu­mer two­jej ko­mór­ki, bo łat­wo cię na­mie­rzyć w Go­ogle. Wów­czas mogę wejść w opcję zmia­ny ha­sła na two­im kon­cie i je zre­se­to­wać. Po­nie­waż masz usta­wio­ną we­ry­fi­ka­cję dwu­eta­po­wą, sys­tem wy­sy­ła na two­ją ko­mór­kę SMS z ko­dem. My­ślisz, że dzię­ki temu je­steś bez­piecz­ny? Nie był­bym tego taki pe­wien.

Una­ocz­ni­ło to wła­ma­nie do te­le­fo­nu ko­mór­ko­we­go dzia­ła­cza praw oby­wa­tel­skich De­Raya Mckes­so­na. Ten przy­kład do­sko­na­le ilu­stru­je spo­sób, w jaki ha­ke­rzy oszu­ku­ją ope­ra­to­rów ko­mór­ko­wych, by do­ko­nać za­mia­ny kar­ty SIM18. Wszyst­ko po to, by zha­ko­wać ko­mór­kę i prze­jąć przy­cho­dzą­ce na nią SMS-y, na przy­kład z ko­dem we­ry­fi­ka­cyj­nym od Go­ogle, co po­zwo­li­ło zre­se­to­wać ha­sło do kon­ta pocz­to­we­go w Gma­ilu Mckes­so­na, za­bez­pie­czo­ne­go przez 2FA. To znacz­nie bar­dziej praw­do­po­dob­ne, niż skło­nie­nie ko­goś pod­stę­pem do udo­stęp­nie­nia SMS-a z ko­dem. Ale i to tak­że jest moż­li­we.

Po­nie­waż ha­ker nie ma do­stę­pu do kodu we­ry­fi­ka­cyj­ne­go wy­sła­ne­go przez do­staw­cę usłu­gi pocz­to­wej na two­ją ko­mór­kę, musi uda­wać ko­goś in­ne­go, żeby go od cie­bie zdo­być. W tym celu kil­ka se­kund przed tym, jak do­sta­jesz SMS-a z ko­dem od — jak w na­szym przy­kła­dzie — Go­ogle, wy­sy­ła do cie­bie SMS mniej wię­cej ta­kiej tre­ści: „Go­ogle wy­kry­ło po­dej­rza­ną ak­tyw­ność na two­im kon­cie. W celu jej za­blo­ko­wa­nia pro­si­my o ode­sła­nie na ten nu­mer prze­sła­ne­go ci kodu”.

Z po­zo­ru wszyst­ko się zga­dza — wi­dzisz, że fak­tycz­nie otrzy­ma­łeś od Go­ogle SMS z ko­dem we­ry­fi­ka­cyj­nym. Je­śli wia­do­mość od ha­ke­ra nie wyda ci się po­dej­rza­na, prze­ślesz go bez­po­śred­nio do nie­go. Od tego mo­men­tu ma nie­ca­łą mi­nu­tę na po­słu­że­nie się nim — sko­rzy­sta­nie z opcji re­se­to­wa­nia two­je­go ha­sła i po jego zmia­nie zy­ska­nie do­stę­pu do two­je­go kon­ta pocz­to­we­go czy każ­de­go in­ne­go.

Po­nie­waż prze­sy­ła­ne SMS-ami kody nie są szy­fro­wa­ne i moż­na je zdo­być w po­wy­żej opi­sa­ny spo­sób, bez­piecz­niej­szą me­to­dą uwie­rzy­tel­nie­nia dwu­skład­ni­ko­we­go jest in­sta­la­cja Go­ogle Au­then­ti­ca­tor z Go­ogle Play lub iTu­nes (dla użyt­kow­ni­ków iPho­ne’a). Apli­ka­cja ta sa­mo­dziel­nie ge­ne­ru­je uni­ka­to­wy kod do­stę­pu, przy oka­zji każ­dych two­ich od­wie­dzin stro­ny chro­nio­nej przez 2FA, nie ma więc po­trze­by wy­sy­ła­nia go SMS-em. Ge­ne­ro­wa­ny przez nią sze­ścio­cy­fro­wy kod jest zsyn­chro­ni­zo­wa­ny z al­go­ryt­mem we­ry­fi­ka­cji stro­ny, do któ­rej chce­my uzy­skać do­stęp. Je­dy­na nie­do­god­ność po­le­ga na tym, że Go­ogle Au­then­ti­ca­tor prze­cho­wu­je twój wzo­rzec ge­ne­ro­wa­nia ha­seł jed­no­ra­zo­wych w usta­wie­niu: Tyl­ko dla tego urzą­dze­nia. W związ­ku z tym po utwo­rze­niu ko­pii za­pa­so­wej iPho­ne’a i za­in­sta­lo­wa­niu jej na in­nym urzą­dze­niu (je­śli na przy­kład zgu­bi­łeś te­le­fon albo wy­mie­niasz go na now­szy mo­del), kody wy­ge­ne­ro­wa­ne przez Go­ogle Au­then­ti­ca­tor nie zo­sta­ną prze­nie­sio­ne. Dla­te­go ra­dzę wy­dru­ko­wać so­bie ich li­stę na wy­pa­dek zmia­ny w przy­szło­ści ko­mór­ki czy lap­to­pa. Nie bę­dziesz miał tego pro­ble­mu z in­ny­mi tego typu apli­ka­cja­mi, ta­ki­mi jak 1Pas­sword, któ­re umoż­li­wia­ją stwo­rze­nie ko­pii al­go­ryt­mów ha­seł jed­no­ra­zo­wych i za­pi­sa­nie jej na no­wym urzą­dze­niu.

Kie­dy już za­re­je­stro­wa­łeś swo­je urzą­dze­nie, za każ­dym ra­zem, gdy lo­gu­jesz się z nie­go na daną stro­nę, bę­dziesz py­ta­ny o nowy kod do­stę­pu, chy­ba że za­zna­czysz opcję (o ile jest do­stęp­na) za­pa­mię­ta­nia we­ry­fi­ka­cji na tym urzą­dze­niu (przez 30 dni). Inny kom­pu­ter, któ­re­go uży­jesz, na przy­kład two­je­go part­ne­ra czy mał­żon­ka, za­żą­da do­dat­ko­wej we­ry­fi­ka­cji. W przy­pad­ku 2FA oczy­wi­ście po­wi­nie­neś wów­czas mieć pod ręką wła­sną ko­mór­kę.

Po­znaw­szy opi­sa­ne tu środ­ki za­po­bie­gaw­cze, pew­nie za­sta­na­wiasz się, co do­ra­dzał­bym wszyst­kim oso­bom prze­pro­wa­dza­ją­cym w sie­ci roz­ma­ite trans­ak­cje fi­nan­so­we.

Naj­bar­dziej oczy­wi­sta rada to za­kup za mniej wię­cej 100 do­la­rów rocz­nej li­cen­cji pro­gra­mu an­ty­wi­ru­so­we­go oraz fi­re­wal­la na trzy kom­pu­te­ry. Pro­blem z tym jest taki, że prze­glą­da­jąc stro­ny in­ter­ne­to­we, mo­żesz za­ła­do­wać w swo­jej prze­glą­dar­ce ba­ner ze szko­dli­wym opro­gra­mo­wa­niem albo do­stać je w e-ma­ilu. W każ­dym przy­pad­ku, łą­cząc się z in­ter­ne­tem, twój kom­pu­ter jest nie­ustan­nie za­gro­żo­ny wi­ru­sa­mi, a opro­gra­mo­wa­nie an­ty­wi­ru­so­we nie za­wsze je wszyst­kie wy­ła­pie.

Dla­te­go ra­dzę prze­zna­czyć oko­ło 200 do­la­rów na za­kup Chro­me­bo­oka. Oso­bi­ście pre­fe­ru­ję dość dro­gie iPa­dy. Chro­me­book jest pra­wie tak samo funk­cjo­nal­ny, za to znacz­nie tań­szy.

Pro­po­nu­ję ci go jako osob­ne urzą­dze­nie wy­łącz­nie do pro­wa­dze­nia trans­ak­cji fi­nan­so­wych w sie­ci, a w ra­zie po­trze­by rów­nież do za­ła­twia­nia wszyst­kich spraw zwią­za­nych ze zdro­wiem. Na Chro­me­bo­oku nie da się za­in­sta­lo­wać żad­nych apli­ka­cji, je­śli naj­pierw nie za­ło­żysz kon­ta w Gma­ilu. Jego głów­na funk­cjo­nal­ność spro­wa­dza się do prze­glą­da­nia in­ter­ne­tu.

Na­stęp­nie, je­śli jesz­cze tego nie zro­bi­łeś, ustaw na da­nej stro­nie we­ry­fi­ka­cję dwu­eta­po­wą dla two­je­go Chro­me­bo­oka. A kie­dy skoń­czysz za­ła­twiać spra­wy w ban­ku czy por­ta­lu pa­cjen­ta, wy­łącz go i nie uży­waj do ni­cze­go in­ne­go.

Wiem — nie wy­glą­da to za­chę­ca­ją­co. W ten spo­sób tra­cisz do­stęp do swo­je­go ban­ku z in­nych urzą­dzeń. Ale dzię­ki ta­kie­mu roz­wią­za­niu ma­le­je ry­zy­ko wła­ma­nia się do two­je­go kon­ta ban­ko­we­go czy kra­dzie­ży in­for­ma­cji na te­mat two­ich fi­nan­sów czy zdro­wia. Je­śli bę­dziesz wy­ko­rzy­sty­wał Chro­me­bo­oka wy­łącz­nie w ce­lach fi­nan­so­wych i zdro­wot­nych i nie od­wie­dzał na nim żad­nych in­nych stron in­ter­ne­to­wych, poza ban­kiem czy por­ta­lem pa­cjen­ta, masz pra­wie 100 pro­cent pew­no­ści, że nie za­ata­ku­ją go tro­ja­ny czy inne szko­dli­we apli­ka­cje.

Do tej pory do­wie­dzia­łeś się, jak waż­ne jest two­rze­nie i ochro­na sil­nych ha­seł oraz dla­cze­go war­to uży­wać funk­cji 2FA, je­śli jest do­stęp­na. W na­stęp­nych roz­dzia­łach chciał­bym ci uświa­do­mić, że w trak­cie naj­zwy­klej­szych co­dzien­nych czyn­no­ści zo­sta­wia­my po so­bie cy­fro­we śla­dy, a tak­że co mo­że­my zro­bić, żeby sku­tecz­nie chro­nić swo­ją pry­wat­ność.

ROZDZIAŁ DRUGI

Kto poza tobą czyta twoje e-maile?

Je­śli je­steś choć tro­chę po­dob­ny do mnie, rano po wsta­niu z łóż­ka spraw­dzasz pocz­tę e-ma­ilo­wą. I być może, tak jak ja, za­da­jesz so­bie py­ta­nie, kto jesz­cze, oprócz cie­bie, mógł prze­czy­tać two­ją ko­re­spon­den­cję. Wierz mi, to nie ma nic wspól­ne­go z pa­ra­no­ją. Je­śli ko­rzy­stasz z bez­płat­nych kont pocz­to­wych, jak Gma­il czy Outlo­ok 365, od­po­wiedź jest oczy­wi­sta i alar­mu­ją­ca.

Na­wet je­śli ska­su­jesz wia­do­mość po jej prze­czy­ta­niu w kom­pu­te­rze czy te­le­fo­nie, by­naj­mniej nie po­zby­wasz się jej trwa­le, jej ko­pia po­zo­sta­je gdzieś za­pi­sa­na. Po­nie­waż pocz­ta elek­tro­nicz­na dzia­ła na ba­zie chmu­ry, do­stęp do niej w każ­dej chwi­li i z do­wol­ne­go urzą­dze­nia za­pew­nia­ją ko­pie za­pa­so­we. Je­śli ko­rzy­stasz, daj­my na to, z ser­wi­su Gma­il, ko­pia każ­dej wy­sła­nej lub otrzy­ma­nej wia­do­mo­ści za­pi­sy­wa­na jest na ser­we­rach Go­ogle roz­sia­nych po ca­łym świe­cie. Na ta­kiej sa­mej za­sa­dzie dzia­ła­ją inni do­staw­cy pocz­ty: Yahoo, Ap­ple, AT&T, Com­cast czy Mi­cro­soft. Każ­dy wy­sła­ny przez cie­bie e-mail może zo­stać skon­tro­lo­wa­ny przez fir­mę ho­stin­go­wą. Ofi­cjal­nie mo­ni­to­ring pocz­ty słu­ży rze­ko­mo do ochro­ny przed wi­ru­sa­mi, ale w rze­czy­wi­sto­ści jest ina­czej: oso­by z ze­wnątrz mogą i fak­tycz­nie mie­wa­ją do­stęp do na­szej ko­re­spon­den­cji z zu­peł­nie in­nych, cał­kiem nie­al­tru­istycz­nych po­bu­dek.

Więk­szość z nas otwar­cie nie ak­cep­tu­je, by kto­kol­wiek, oprócz ad­re­sa­ta, miał wgląd do wy­sy­ła­nej przez nas pocz­ty. Prze­pi­sy praw­ne chro­nią za­rów­no ko­re­spon­den­cję li­stow­ną, jak elek­tro­nicz­ną. Ale w prak­ty­ce wia­do­mo, że dar­mo­we kon­ta pocz­to­we mają swo­ją ukry­tą cenę. Nie jest ta­jem­ni­cą, że ser­wi­sy typu Yahoo, ofe­ru­ją­ce swo­je usłu­gi bez­płat­nie, uzy­sku­ją więk­szość do­cho­dów z re­klam. Jed­nak nie za­wsze do koń­ca zda­je­my so­bie spra­wę, jak te dwie rze­czy łą­czą się ze sobą i jak to wpły­wa na na­szą pry­wat­ność.

.

.

.

...(fragment)...

Całość dostępna w wersji pełnej

Przypisy

Wszyst­kie po­niż­sze lin­ki były ak­tu­al­ne pod­czas pi­sa­nia ni­niej­szej książ­ki, tj. w lip­cu 2016 roku.

Wstęp:

Czas znik­nąć

https://www.youtu­be.com/watch?t=33&v=XE­Vly­P4_11M.

Snow­den wy­je­chał naj­pierw do Hong­kon­gu, a po­tem tra­fił do Ro­sji, gdzie otrzy­mał pra­wo sta­łe­go po­by­tu. Sta­rał się rów­nież o azyl w Bra­zy­lii i in­nych kra­jach, nie wy­klu­cza­jąc przy tym po­wro­tu do Sta­nów Zjed­no­czo­nych, pod wa­run­kiem że za­gwa­ran­to­wa­no by mu uczci­wy pro­ces.

http://www.reu­ters.com/ar­tic­le/2011/02/24/idU­SN2427826420110224.

https://www.law.cor­nell.edu/supct/html/98-93.ZD.html.

https://www.law.cor­nell.edu/usco­de/text/16/3372.

http://www.wi­red.com/2013/06/why-i-have-no­thing-to-hide-is-the-wrong-way-to-think-abo­ut-su­rve­il­lan­ce/.

Roz­dział 1:

Ha­sło moż­na zła­mać!

https://www.ap­ple.com/pr/li­bra­ry/2014/09/02Ap­ple-Me­dia-Ad­vi­so­ry.html.

http://anon-ib.com/. Uwa­ga: stro­na nie jest bez­piecz­na i może za­wie­rać wstrzą­sa­ją­ce zdję­cia.

http://www.wi­red.com/2014/09/eppb-ic­lo­ud/.

https://www.ju­sti­ce.gov/usao-mdpa/pr/lan­ca­ster-co­un­ty-man-sen­ten­ced-18-mon­ths-fe­de­ral-pri­son-hac­king-ap­ple-and-go­ogle-e-mail.

http://ar­stech­ni­ca.com/se­cu­ri­ty/2015/09/new-stats-show-ash­ley-ma­di­son-pas­swords-are-just-as-weak-as-all-the-rest/.

http://www.open­wall.com/john/.

„Ma­ry­Ha­dA­Lit­tle­Lam­b123$” wy­ge­ne­ro­wa­ne przez http://www.dan­sto­ols.com/md5-hash-ge­ne­ra­tor/.

http://news.bbc.co.uk/2/hi/tech­no­lo­gy/3639679.stm.

http://www.con­su­mer­re­ports.org/cro/news/2014/04/smart-pho­ne-the­fts-rose-to-3-1-mil­lion-last-year/in­dex.htm.

http://www.mer­cu­ry­news.com/ca­li­for­nia/ci_26793089/war­rant-chp-of­fi­cer-says-ste­aling-nude-pho­tos-from.

http://ar­stech­ni­ca.com/se­cu­ri­ty/2015/08/new-data-un­co­vers-the-sur­pri­sing-pre­dic­ta­bi­li­ty-of-an­dro­id-lock-pat­terns/.

http://www.kno­xnews.com/news/lo­cal/of­fi­cial-expla­ins-pla­cing-da­vid-ker­nell-at-ky-fa­ci­li­ty-ep-406501153-358133611.html.

http://www.wi­red.com/2008/09/pa­lin-e-mail-ha/.

http://fu­sion.net/sto­ry/62076/mo­thers-ma­iden-name-se­cu­ri­ty-qu­estion/.

http://web.ar­chi­ve.org/web/20110514200839/http://la­ti­mes­blogs.la­ti­mes.com/we­bsco­ut/2008/09/4chans-half-hac.html.

http://www.com­mer­cia­lap­pe­al.com/news/da­vid-ker­nell-ut-stu­dent-in-pa­lin-ema­il-case-is-re­le­ased-from-su­per­vi­sion-ep-361319081-326647571.html; http://edi­tion.cnn.com/2010/CRI­ME/11/12/ten­nes­see.pa­lin.hac­king.case/.

http://www.sy­man­tec.com/con­nect/blogs/pas­sword-re­co­ve­ry-scam-tricks-users-han­ding-over-ema­il-ac­co­unt-ac­cess.

https://tech­crunch.com/2016/06/10/how-ac­ti­vist-de­ray-mckes­sons-twit­ter-ac­co­unt-was-hac­ked/.

O autorach

Ke­vin Mit­nick, naj­słyn­niej­szy (były) ha­ker świa­ta, obec­nie pra­cu­je jako kon­sul­tant ds. bez­pie­czeń­stwa IT. Jest za­ło­ży­cie­lem i dy­rek­to­rem ge­ne­ral­nym uzna­nej na świe­cie fir­my Mit­nick Se­cu­ri­ties Con­sul­ting, spe­cja­li­zu­ją­cej się w te­stach pe­ne­tra­cyj­nych, oraz głów­nym pen­te­ste­rem w Know­Be4, ofe­ru­ją­cej szko­le­nia w za­kre­sie cy­ber­bez­pie­czeń­stwa. Bo­ha­ter nie­zli­czo­nych do­nie­sień me­dial­nych i ar­ty­ku­łów pra­so­wych, wy­stą­pił w wie­lu pro­gra­mach te­le­wi­zyj­nych i ra­dio­wych jako eks­pert ds. bez­pie­czeń­stwa IT. Ze­zna­wał przez ame­ry­kań­skim Se­na­tem i pu­bli­ko­wał ar­ty­ku­ły w „Ha­rvard Bu­si­ness Re­view”. We współ­pra­cy z Wil­lia­mem L. Si­mo­nem jest au­to­rem be­st­sel­le­rów Sztu­ka pod­stę­pu. Ła­ma­łem lu­dzi, nie ha­sła, Sztu­ka in­fil­tra­cji oraz Duch w sie­ci. Miesz­ka w Las Ve­gas; po­dró­żu­je po świe­cie z od­czy­ta­mi i pre­zen­ta­cja­mi jako świa­to­wej kla­sy spe­cja­li­sta ds. cy­ber­bez­pie­czeń­stwa.

Ro­bert Va­mo­si po­sia­da cer­ty­fi­kat CISSP i jest uzna­nym i na­gra­dza­nym dzien­ni­ka­rzem, au­to­rem When Ga­dgets Be­tray Us: The Dark Side of our In­fa­tu­ation with New Tech­no­lo­gies (Kie­dy ga­dże­ty nas zdra­dza­ją. Ciem­na stro­na fa­scy­na­cji no­wo­cze­sny­mi tech­no­lo­gia­mi). Wy­stą­pił w fil­mie do­ku­men­tal­nym po­świę­co­nym hi­sto­rii ha­ko­wa­nia Co­de­2600. Od po­nad 15 lat zaj­mu­je się te­ma­ty­ką bez­pie­czeń­stwa in­for­ma­cji, pu­bli­ku­jąc ar­ty­ku­ły mię­dzy in­ny­mi na por­ta­lach For­bes.com, ZDNet, CNET, CBS News, PC World oraz Se­cu­ri­ty Led­ger.

Spis treści

Kar­ta ty­tu­ło­wa

Kar­ta re­dak­cyj­na

PRZED­MO­WA

Mik­ko Hyp­po­nen

WSTĘP

Czas znik­nąć

ROZ­DZIAŁ PIERW­SZY

Ha­sło moż­na zła­mać!

ROZ­DZIAŁ DRU­GI

Kto poza tobą czy­ta two­je e-ma­ile?

ROZ­DZIAŁ TRZE­CI

Je­steś na pod­słu­chu?

ROZ­DZIAŁ CZWAR­TY

Bez szy­fru je­steś bez­bron­ny

ROZ­DZIAŁ PIĄ­TY

Kie­dy mnie wi­dać, a kie­dy nie

ROZ­DZIAŁ SZÓ­STY

Kto śle­dzi każ­de two­je klik­nię­cie

ROZ­DZIAŁ SIÓD­MY

Pie­nią­dze albo dane!

ROZ­DZIAŁ ÓSMY

Wierz każ­de­mu, nie ufaj ni­ko­mu

ROZ­DZIAŁ DZIE­WIĄ­TY

Żad­nej pry­wat­no­ści? Po­gódź się z tym!

ROZ­DZIAŁ DZIE­SIĄ­TY

Mo­żesz ucie­kać, ale i tak się nie ukry­jesz

ROZ­DZIAŁ JE­DE­NA­STY

Hej, KITT, nie zdradź im, gdzie je­stem!

ROZ­DZIAŁ DWU­NA­STY

In­ter­net rze­czy a in­wi­gi­la­cja

ROZ­DZIAŁ TRZY­NA­STY

Co ukry­wa przed tobą szef

ROZ­DZIAŁ CZTER­NA­STY

Ano­ni­mo­wość w po­dró­ży

ROZ­DZIAŁ PIĘT­NA­STY

Na ce­low­ni­ku FBI

ROZ­DZIAŁ SZES­NA­STY

Ano­ni­mo­wość w sie­ci w prak­ty­ce

Po­dzię­ko­wa­nia

Przy­pi­sy

O au­to­rach

KSIĄŻKI TEGO AUTORA

Niewidzialny w sieci. Duch w sieci Sztuka podstępu. Łamałem ludzi, nie hasła. Wydanie II 

POLECANE W TEJ KATEGORII

Droga Steve'a Jobsa Niebezpieczne związki. Pieniądze i władza w świecie nowożytnym 1700-2000 Kapitał w XXI wieku