Wtorek, 19 marca 2024
Dziennik wyroków i ogłoszeń sądowych
Rej Pr. 2512 | Wydanie nr 5867
Wtorek, 19 marca 2024
2008-06-10

Czy jesteś bezpieczny w sieci ?

Włamanie "na żywo" na konto pocztowe w popularnym serwisie internetowym, podglądanie prywatnej rozmowy przeprowadzanej z użyciem jednego z komunikatorów internetowych, podłączanie do źle zabezpieczonej sieci komputerowej i nauka poprawnej konfiguracji konta mailowego w programie pocztowym - tego wszystkiego mogły doświadczyć osoby, które przybyły prezentację i warsztaty, zorganizowane przez studentów i doktorantów Wydziału Elektroniki, Telekomunikacji i Informatyki Politechniki Gdańskiej (PG) w ramach Bałtyckiego Festiwalu Nauki. Prowadzący imprezę - Wacław Dziewulski, prezes Koła Naukowego Sieci Komputerowych "PING", mgr inż. Tomasz Gierszewski oraz kilku innych studentów, członków "PING-u" - w łatwy i przystępny sposób wyjaśniali gościom skomplikowane zagadnienia z zakresu bezpieczeństwa sieci komputerowych i uczyli prawidłowych zachowań w Internecie. W kilku odrębnych, krótkich prezentacjach każdy z uczestników mógł samodzielnie skonfigurować konto mailowe, "pobawić się" serwerem DNS i obejrzeć, jak łamany jest wymyślony przez niego klucz WEP.

Prowadzący omawiali też najczęstsze zaniedbania, których dopuszczają się użytkownicy sieci WWW. Ich zdaniem, jednym z najpowszechniejszych błędów popełnianych przez użytkowników popularnych, darmowych serwerów pocztowych, jest lekceważenie instytucji tzw. pytań pomocniczych. Wymyślono je, aby osoba, która zapomni swojego hasła, mogła ustanowić nowe i nadal korzystać z poczty elektronicznej.

"Jeżeli zdarzy nam się taka sytuacja, wystarczy odpowiedzieć na proste pytanie, określane w momencie zakładania konta, a nowe hasło zostanie automatycznie przesłane na podany adres e-mail" - wyjaśnia Dziewulski. Jednak, jak dodaje, niebezpieczeństwo tkwi w tym, że zdecydowana większość z nas jako pytanie pomocnicze wybiera własne imię. To samo imię, które z reguły stanowi główny człon nazwy użytkownika, np. krysia123, marus5 czy magdalenkaxxx.

"Każdy, niedoświadczony nawet haker, może więc z łatwością odpowiedzieć na pytanie pomocnicze i zmienić hasło dostępu do naszego konta. Wówczas nie tylko poznaje zawartość naszej +skrzynki+, ale też odcina na stałe nasz dostęp do niej" - podkreśla prezes "PING".

"Czujemy się bezpiecznie, ustalając trudne hasła złożone z liter, cyfr i innych znaków, a zapominamy, że +pod spodem+ istnieje jeszcze jedna warstwa zabezpieczeń (pytania pomocnicze), którą całkiem zaniedbujemy - podsumowuje Dziewulski. - I ktoś, przy odrobinie złej woli, może to wykorzystać".

Uczestnicy warsztatów mieli też okazję zobaczyć mechanizmy, których używa "intruz", aby włamać się do sieci komputerowej i najczęstsze błędy popełniane podczas zabezpieczania takiej sieci. Na własne oczy zobaczyli przykłady zniszczeń, jakie spowodować może działalność hakera. A co właściwie może on zniszczyć? "Wszystko, co jest źle zabezpieczone - tłumaczyli prowadzący. - Może podsłuchać nasze maile, podejrzeć wiadomości przesyłane na gadu-gadu, odczytać loginy i hasła do różnych kont i serwisów WWW".

Na przykładzie jednego z serwisów społecznościowych młodzi informatycy udowadniali, że w większości portali żadne dane nie są bezpieczne. Okazuje się, że można zdobyć prywatne hasła i loginy (nazwy użytkowników), które przeciętny człowiek uważa za dobrze chronione. "Rozwiązaniem tego problemu mogłoby być korzystanie z protokołu SSL (Secure Socket Layer - przyp. PAP) - mówili. - Ale mało kto w ogóle o nim wie. Tymczasem jedno dodatkowe kliknięcie podczas logowania, może ochronić nas przed kradzieżą danych i przykrymi następstwami".

A czym jest protokół SSL? "To mechanizm umożliwiający szyfrowanie i ochronę danych, które płyną przez sieć - wyjaśniał Dziewulski. - Wykorzystuje się go przy bezpiecznych połączeniach z serwisami internetowymi (np: allegro.pl, nasza klasa.pl), a także pocztą (np.: poczta.onet.pl, poczta.wp.pl, gmail.com). Jednak domyślnie nie jest używany, przez co nasze hasła, loginy i treść maili jest przesyłana bez szyfrowania i łatwa do podsłuchania".

Dlaczego tak się dzieje? "Używanie SSL nie leży w interesie portali. Znacznie obciąża ich serwery, więc nikomu nie zależy, aby informować użytkowników o jego istnieniu" - tłumaczyli studenci PG.

W dalszej części pokazu członkowie Koła Naukowego Sieci Komputerowych skupili się na konfiguracji i podatności na włamania do bezprzewodowych sieci komputerowych. Jak mówili, stają się one coraz popularniejsze, ponieważ coraz więcej osób posiada laptopy. Jednak ich bezpieczeństwo nadal pozostawia wiele do życzenia. Winę za to ponoszą niedostatecznie wyszkoleni lub niedbali administratorzy i opiekunowie sieci.

Gdańscy informatycy wprowadzali więc słuchaczy w tajniki prawidłowych zabezpieczeń. Omawiali proces skanowania i wyszukiwania dostępnych sieci, etapy uwierzytelniania, przyłączania i transmisji danych. Podkreślali konieczność stosowania takich rozwiązań, jak np. ukrywanie SSID (Service Set IDentifier) i podkreślali przewagę klucza WPA (WiFi Protected Access) nad kluczem WEP (Wired Equiwalent Privacy).

Jak dowiedzieli się uczestnicy festiwalu, WEP jest standardem szyfrowania danych, używanym w sieciach bezprzewodowych, który powstał w 1997 roku. Prowadzący warsztaty podkreślali, że to właśnie on jest domyślnie i powszechnie stosowanym protokołem (np. w takich urządzeniach jak LiveBox TP), mimo iż zapewniane przez niego bezpieczeństwo jest złudne. "Czas uzyskania dostępu do tak zabezpieczonej sieci to dla napastnika parę minut" - ostrzegali. Tymczasem dostępne są zdecydowanie skuteczniejsze rozwiązania. Należy do nich WPA, którego mechanizm został wyjaśniony w dokładny lecz przystępny sposób.

"Złamania 5-znakowego klucza WEP to kwestia maksymalnie kilkunastu minut. Dlatego nie stosujmy WEPa, wybierzmy alternatywny WPA, który jest dużo bezpieczniejszy!" - apelował Wacław Dziewulski.

***

Warsztaty "Czy jesteś bezpieczny w sieci?" odbywały się w pomieszczeniach wydziałowego Laboratorium Sieci Komputerowych. Dzięki temu, każdy z uczestników pokazu mógł dotknąć skomplikowanych urządzeń i sprzętów używanych w codziennej pracy informatyków oraz samodzielnie wykonać na nich proste zadania.