Ma már szinte mindennapos, hogy napvilágot látnak olyan tudósítások, melyek különféle internetes szolgáltatásokat érő sikeres támadásokról szólnak, amikor is a behatolók megszerzik a felhasználók ilyen-olyan adatait. A bűnözők számára ezek közül a legértékesebbek a bejelentkezési adatok. Egyrészt azért, mert a lopás helyszínén is felhasználhatóak, másrészt azért, mivel nagyon sok ember adja meg ugyanazokat az adatokat több szolgáltatásnál is, így egy automatizált módszer segítségével a tolvajok a megszerzett információkkal más helyen is vissza tudnak élni – vagy még egyszerűbb: nem is maguk teszik ezt meg, hanem eladják a netes feketepiacokon az ellopott adatokat.

Mennyi az annyi?

A legutóbbi ilyen tömeges adatlopásról a Reuters hírügynökség számolt be tegnap kutatók beszámolójára hivatkozva: ezek eszerint egy betörő 273,2 millió felhasználói nevet és jelszót szerzett meg. Ezek jó része az orosz levelezőszolgáltató, a Mail.ru felhasználóihoz tartozik, de a többi több tízmillió a Google, a Microsoft, illetve a Yahoo! rendszerében használt adat – közölte Alex Holden, a Hold Security alapítója és biztonsági főnöke, aki már több hasonló, nagy tömeget érintő biztonsági incidenst fedezett fel.

Ám azóta kiderült, hogy a biztonsági kutató kissé „vetített” – legalábbis a tényeket úgy állította be, hogy az szenzációnak tűnjön, a maga érdemeit emelje ki, és ennek érdekében csúsztatott. Ettől még valóban van hírértéke mindennek, de nem egészen úgy, ahogy a hírnévre pályázó Holden beállította.

Mit is mondott Holden a Reutersnek? Azt, hogy most is egy alvilági fórumon talált rá az ellopott adatokra, melyeket szerinte egy fiatal orosz hacker nyúlt le, aki büszkén számolt be sikeréről, és darabonként egy dollárért árulta is ezeket. A szakember elemzés után úgy találta, hogy közel 57 millió egyedi azonosítóról van szó, melyek a Mail.ru rendszerében érvényesek – ez hatalmas szám, ha azt nézzük, hogy ennek a szolgáltatásnak havi 64 millió aktív felhasználója volt tavaly év végén. A maradék tartozik a Google, a Microsoft, a Yahoo!, valamint német és kínai levelezőszolgáltatókhoz.

Megfontolások

Amikor egy ilyen biztonsági incidens napvilágra kerül, a felfedezők – akik szinte mindig biztonsági cégek szakemberei – marketingokokból igyekeznek a lehető legnagyobb szenzációt kelteni, rémületet okozni, illetve saját felkészültségüket és szakmai munkájukat kiemelni. Holden is ezt csinálta. Már eleve gyanús lehet, hogy az ifjú hacker titán a beszámoló szerint több mint egymilliárd belépési adatot szerzett meg, ám a választott nickneve: The Collector – vagyis ezen információk nagyobbik részét összegyűjtötte már korábbi biztonsági incidensek dokumentációjából. Tovább csökkenti a veszélyérzetet, hogy maga Holden mondja el, hogy az áruba bocsátott 1,17 milliárd adatból csak 273,2 millió volt egyedi azonosító, és ezeken belül „csak” 42 millió olyan volt, mellyel az ő cége még nem találkozott – vagyis annak is fennáll az esélye, hogy akár még ez a 42 millió is olyan, melyek ellopása már nyilvánosságra került, ám Holden nem tudott róla.

A bejelentés megalapozatlanságát az is aláhúzza, hogy a Mail.ru közölte: komolyan vették a bejelentést, ám nem találtak bizonyítékot arra, hogy a Holden által adott listában valid azonosítók/jelszavak szerepelnének. A többi nagy szolgáltató nem is kommentálta a híradást.

Nincs kizárva, hogy a „Collector” talán olyan jelszavakhoz is hozzájutott és próbálta meg eladni őket, melyek veszélyt jelentenek a felhasználók számára, ám az biztos, hogy a biztonsági szakember nem szakmája normái alapján járt el ennek feltárásakor.

Védekezés

Ugyanakkor ez a hír újra felhívja a figyelmet az ezer sebből vérző jelszavas bejelentkezési rendszerrel kapcsolatos óvatosságra. Leginkább arra, hogy milyen módon lehet elérni, hogy egy betöréskor megszerzett azonosító/jelszópáros eltűnése esetén milyen védekezési módja van a felhasználónak.

Legelőször is az elővigyázatosság: soha senki ne használjon azonos bejelentkezési adatokat különböző szolgáltatásoknál, mivel ha az egyik sérül, a hackerek be fognak próbálkozni máshol is.

A második az, hogy a biztonsági incidensről történő értesülés után nem árt pontosan tudni, hogy mit és milyen állapotban loptak el. A legnagyobb – bár egyre kevésbé jellemző – gond az lehet, ha az adott szolgáltató mindenféle védelem, titkosítás nélkül, szövegesen tárolta az adatokat. Ilyenkor nem nagyon van mit tenni: a lehető leghamarabb meg kell változtatni a jelszót, ha még nem késtünk el (mint a bankkártyánál: ha a PIN-kóddal együtt lopták el, vagy letiltjuk időben, vagy ráfáztunk).

Amennyiben a szolgáltató védte az adatainkat, még itt sem lehetünk teljes biztonságban, mivel – főként a legmodernebb hardvereszközöknek köszönhetően – az úgynevezett „gyenge” jelszavakat nagyon könnyű automatizáltan feltörni. A gyenge kb. azt jelenti, hogy: kevés karakterből áll, illetve egyneműek a karakterek – esetlegesen ezeken kívül még a felhasználóhoz is köthetőek.

Az erős jelszavak használata ezért erősen ajánlott. Erre a szakemberek több módszert is ajánlanak, melynek van néhány alapszabálya is, melyek az évek során kristályosodtak ki a fenyegetésekre válaszul. Ilyenek pl.:

• a jelszó minél több karakterből álljon, minimum 12-14
• mindenképp több típust tartalmazzon: számot, szimbólumot, kis- és nagybetűt
• kerüljük az értelmes szavak használatát – legalábbis az olyanokat, melyek egy szótárban szerepelhetnek

Tökéletes megoldás nincs, de több módszerről hallani. Pl.:

• legyen hosszú, értelmes, de szokatlan, ugyanakkor megjegyezhető szöveg, amit néhány váratlan helyen manipulálunk: „Bús düledékeidxx, HUsztnak romvár3 megállék”
• jó megoldás lehet az úgynevezett „leetspeak” használata, bár ezt meg kell tanulni
• talán a legerősebbnek az tűnik, amikor valaki betanul egy durván értelmetlen karaktersort (pl.: BG56}đklo58<#), majd ezt használja úgy, hogy az adott szolgáltatásnál egy adott helyre beszúr egy olyan azonosítót, amiről tudja, hogy melyik szolgáltatásban érvényes
• jelszókezelő használata