ex-weeaboo here
[/quote]
Aylin | 2018-11-01 13:20:45 UTC | #1
Na necie znajdziecie na ten temat niejeden artykuł czy książkę, jednak z reguły opisują one zdarzenia które nijak się mają do młodszych osób (np. opisują jak gładkim gadaniem włamać się do firmy albo wyłudzić informacje). Ekspertem bezpieczeństwa nie jestem, raczej interesuję się tak dla siebie, z czystej ludzkiej ciekawości. Poniżej opiszę Wam na bardziej przystępnych przykładach, takich bardziej dla szkolnej/uczelnianej rzeczywistości.
Uwaga, podejście do tematu jest dość luźne, głównie ze względu że takie tematy mogą być trudne lub poważne. A z poważnych rzeczy mało co zostaje w głowie.
Socjotechnika to nic innego jak umiejętność manipulacji ludźmi, czy to gadaniem, wkręcaniem kitu lub tworzeniem sztucznego zagrożenia. Celem socjotechniki jest uzyskanie informacji (wykorzystanie Ciebie pośrednio aby przygotować się do ataku właściwego) lub przypuszczenie ataku metodą psychologiczną aby osiągnąć cel. Co może być celem? Hasło do usługi (czy to bank, czy to konto w grze), numer PIN do karty, numer telefonu… Przydatna może być też pośrednia informacja, która ma pomóc w osiągnięciu celu - chociażby potwierdzenie z kimś znajomości i wykorzystanie tego faktu żeby się pod Was podszyć i dotrzeć do tamtej osoby.
Więcej teorii oraz bardziej poważne przykłady znajdziecie tutaj:
https://niebezpiecznik.pl/post/socjotechnika/
https://zaufanatrzeciastrona.pl/post/tag/oszustwo/
Sama od siebie polecam książkę Kevina Mitnicka, który już jako nastolatek był świetnym socjotechnikiem. Czasem crackowanie sprzętu to za dużo roboty, czasem może okazać się że “łamanie” ludzi i wyciąganie od nich informacji da lepsze efekty w krótszym okresie czasu.
Całość piszę ku przestrodze, gdyż jak czyta się takie rzeczy to można łatwo pomyśleć sobie że nas to nie dotyczy, my byśmy przecież tacy głupi i nierozsądni nie byli. A potem widzę kolejny wątek na forum o ukradzeniu konta przez kolegę…
Jak tak piszę na forum, w zgłoszeniach czy na Discord, to niektórym może się wydawać że wiem na temat “koleżeńskiego” okradania się z kont całkiem sporo, ciekawe skąd :>
Albo że przynudzam, bo ile razy można pisać o tym samym.
Jeśli ktoś myśli że byłam (czy jestem) nieomylna i nigdy nikomu nie udało się mnie oszukać, to jesteście w błędzie. Też miałam 14 lat i też myślałam że wszystkie rozumy pozjadałam, że wiem już jak cały świat działa itd. Niejeden błąd popełniłam, za pierwszym razem też nie nauczyłam się wszystkiego. Tych głupich błędów było więcej, ale powoli wyciągnęłam z nich jakieś wnioski i teraz przynudzam ludziom :)
Krótka historyjka. Grałam sobie w pewną grę sieciową. Byłam sobie w gildii, wszyscy się znali dość dobrze, często gadaliśmy na Skype, razem na jakieś tam większe grindy się chodziło. Ludzie wymieniali się passami do kont i nikt nie widział w tym najmniejszego problemu (a powinni, ale większość tam była w podobnym do mnie wieku). Także i ja nie widziałam problemu żeby dostęp do konta dać koledze, głównie ze względu na fakt że miałam dość dobrą postać leczącą, która mogła być przydatna a u mnie zapowiadał się remont i przez tydzień miałam być odcięta od komputera i internetów.
Zgadnijcie co zastałam tydzień później, jak już zalogowałam się do konta :) Odpowiedź brzmi - pustkę. Moja dobrze wyposażona postać została ogołocona, dodatkowe premki wykorzystane na głupoty, czyli cała postać w sumie mogła pójść do kosza. Nie powiem, wkurzyłam się bo poświęciłam trochę czasu, wiadomo że postacie leczące zawsze dłużej się lvluje, bo jest się zależnym od postaci melee.
Miałam passy do głównego konta pana X, z jego wybajerzoną postacią. Zakładałam że to będzie tak jak na zimnej wojnie - skoro on ma moje passy, a ja jego, to nic złego się nie stanie, prawda? Źle przekalkulowałam to wszystko, nie wzięłam pod uwagę że ten typek będzie chciał “pokazać mi” że gry mmo to nie jest miejsce dla dziewczyn. Zemściłam się w typowo babski sposób - otworzyłam sobie dwie instancje gry, zalogowałam się na jego konto i na swoje, przeniosłam wszystkie wartościowe itemki do siebie, po czym jego wybajerzoną postać z wysokim levelem skasowałam. Ale koleś musiał się zdziwić jak wszedł i zobaczył całkiem puste konto.
To rozwiązanie było głupie, nierozsądne i nie musiałoby wcale do tego dojść gdybym miała trochę oleju w głowie i nikomu nie udostępniała swoich danych do logowania. Owczy pęd, “bo inni coś robią, nic im się nie stało to i ja zrobię” to jedne z głupszych wytłumaczeń. Czy to czegoś mnie nauczyło? I tak, i nie. Zdarzyło mi się jeszcze kilka razy podzielić się passami (bardzo głupie i bardzo żałuję, mimo że po tej jednej sytuacji nic takiego już się nie stało ponownie), jednak za każdym razem zdawałam sobie sprawę co mogę zastać po chwilowej nieobecności. Ten haniebny proceder zaniechałam w momencie kiedy zakończyłam etap grania w gry mmo.
Miałam kiedyś koleżankę, z którą często rozmawiałam na tematy anime (ex-weeaboo here). Jednak pewnego razu jakoś poprztykałyśmy się o jakąś serię, na tyle poważnie że przestałyśmy ze sobą rozmawiać na przerwach i inne koleżanki nie do końca rozumiały powód naszej wzajemnej niechęci. Sama obecnie się zastanawiam co miałam w głowie że obrażałam się na ludzi za taką drobnostkę jak lubienie lub nie lubienie jakiejś postaci fikcyjnej :thinking:
W każdym razie skoro z nią nie rozmawiałam to miałam więcej wolnego czasu po powrocie ze szkoły, a jak miałam wolne to do głowy zaczęły mi przychodzić różne pomysły. Podsumowując, z nudy włamałam się na konto email koleżanki :| Cracker ze mnie żaden (ani wtedy, ani teraz), po prostu z ciekawości wpisywałam różne jej nicki z gier. Oczywiście nie na raz, już wtedy były takie zabezpieczenia jak “spróbuj zalogować się błędnie X razy a będzie blokada na X czasu”. Ale tak codziennie próbowałam po dwa razy i po tygodniu znałam passy koleżanki do maila, konta FB i paru innych. Wszędzie była wykorzystana ta sama kombinacja. To mi dało do myślenia trochę, bo wtedy (o zgrozo) większość moich kont także miała to samo hasło. Pozmieniałam gdzie mogłam hasła, po czym koleżance delikatnie zasugerowałam żeby także dokonała zmian. Jako że dalej była trochę na mnie obrażona to olała mnie, a nastoletnia ja (złośliwe zwierzę) wymyśliła żeby zapostować jakiś nonsensowny status na jej koncie FB. Następnego dnia wszystkie hasła zostały zmienione, a koleżanka dalej się do mnie nie odzywała. Ja więcej nie próbowałam zgadywać jej haseł, uznałam że moja misja jest zakończona.
Takie zabezpieczenie konta w postaci zmiany haseł i tak da się łatwo obejść, jeśli te hasła dalej wpasowują się w jakiś pattern. Ta sama koleżanka ma młodszą siostrę. Młodsza siostra zawsze chciała posiedzieć z nami, starszymi dziewczynami, na domowych posiadówach. Oczywiście starsza siostra wyganiała młodszą (nie zawsze, ale zdarzało się). Ogólnie ze wszystkich moich koleżanek tylko ja jedna nie miałam rodzeństwa i nawet cieszyłam się z tego faktu z jednej prostej przyczyny - rodzeństwo w młodym wieku może Was sprzedać z czystej złośliwości. Tak też było w tym przypadku, po prostu byłam miła dla młodszej siostry, pogadałyśmy chwilę, ja zapytałam się co w obecnej chwili moja koleżanka ogląda… Po czym chwilę później jej zabezpieczony hasłem komputer został przeze mnie odblokowany. Koleżanka miała dziwny zwyczaj wpisywania imienia ulubionej postaci, a że animki tych głównych postaci z reguły nie mają za wiele to i wybór był ograniczony.
Potem nikt nie chciał mnie zostawiać sam na sam ze swoim sprzętem elektronicznym :| A ja robiłam takie eksperymenty z czystej ciekawości czy uda mi się otworzyć coś lub wejść na czyjeś konto dzięki wiedzy o danej osobie. Było to na tyle przerażające że skończyłam, potem skończyli mi się też znajomi (dopóki jest szkoła to i są znajomi).
Z tamtych czasów wystarcza mi okazjonalne wystalkowanie kogoś (czyli zebranie informacji o danej osobie z ich profilów w sieci, słownictwo bardziej czanowe niż profesjonalne), co np. zrobiłam przed jedną ze swoich rozmów o pracę. Ludzie ze świata medycznego są mocno zapóźnieni z technologią, głównie dlatego że to często są ludzie mocno po 40-stce i nie zdają sobie sprawy ile informacji o nich lata sobie po sieci. Ci sami ludzie łapią się na wszelkiego rodzaju akcje phishing’owe i takiego typu sprawy, no bo przecież jak znajomy na FB wysłał link to TRZEBA w niego kliknąć, pomijając fakt że sam link wygląda podejrzanie (np. literówka w linku, co może sugerować podszywanie się pod inny portal). Sama na własne oczy widziałam jak szef w labie otwiera taki podejrzany link. Modliłam się o to żeby z tej strony ściągnęła się jakaś najgorsza zaraza i zaszyfrowało mu dysk, bo wkurzał mnie człowiek który ze śmiechem machał ręką na bezpieczeństwo (hehe, jakie tam wirusy, kto by mnie chciał zhakować - no nie Ciebie tylko komputer w sieci szpitalnej). Tym razem miał szczęście, żaden cracker bitcoinów nie zażądał.
Kiedyś miałam manię zapisywania haseł na kartce, którą to trzymałam w jakimś zeszycie. Potem ten zeszyt pożyczyłam koleżance, nawet nie wiecie jak bardzo się pociłam żeby na szybkiego zmieniać hasła jak już wróciłam do domu i zdałam sobie sprawę z pomyłki :> To był ten moment kiedy zaczęłam szukać jakiegoś lepszego rozwiązania do trzymania haseł.
Pierwszym, “genialnym” rozwiązaniem było stworzenie pliku .txt i tam trzymanie wszystkich haseł. Cudowne rozwiązanie, wiem :) To szybko ugryzło mnie w tyłek jak musiałam w pośpiechu przeinstalować system i okazało się że moja kopia nie była pełna. Oczywiście brakowało pliczku z hasłami.
Potem trzymałam hasła na liście zadań na mailu. Gmail miał (i chyba dalej ma) listę zadań, gdzie można sobie wklejać różne rzeczy. To było przed czasami 2FA, więc obecnie podziwiam swoją odwagę (i głupotę), biorąc pod wzgląd że hasło do mojego maila nie było wtedy zbyt trudne. A dokładniej rzecz ujmując - był to zlepek słów. Wtedy nie wiedziałam o czymś takim jak hasła słownikowe, myślałam że jak wpiszę jakieś dwa dziwne wyrazy i dołączę do tego 123 to hasło od razu robi się bezpieczne. No nie, to tak nie działa.
Jak już udało mi się dotrzeć do etapu KeePass’a to miałam tendencję do nie robienia częstej zewnętrznej kopii tego pliku. Miałam czasem więcej szczęścia niż rozumu i nigdy mi nie wżarło bazy haseł, jednak po jednej czkawce na Win nagle zaczęłam robić kopie zapasowe. Raczej byłoby słabo gdyby zniknął mi plik w czerwcu, a ostatnią kopię mam ze stycznia :>
I na koniec jeszcze jeden błąd - nie zapisywanie haseł. W ten sposób zaszyfrowałam jeden ze swoich cyfrowych pamiętników, nie zapisałam do bazy haseł że dany plik ma hasło. Po jakimś czasie, kopiąc po plikach, dotarłam do swoich pamiętników i niespodzianka - jeden z nich był zabezpieczony hasłem. Ups - co teraz? Raczej nic - potrzymam sobie ten plik, a nuż może uda się go kiedyś odszyfrować :>
Socjotechnikiem może być każdy, kto ma jakiś cel i mniej więcej wie jak go osiągnąć. Może to być kumpel z ławki, który wie że macie VPS i myśli o tym jak byłoby fajnie na jeszcze kogoś innego wysłać ping flooda. Może to być dorosły człowiek, który z chęcią dowie się więcej o tym wyjeździe w Alpy, po którym wracasz z rodziną do gołego mieszkania. W dobie social media to czasem kwestia kilku klików i można dowiedzieć się o danej osobie wiele. Dla Was to taka tam informacja, przecież to nic istotnego pochwalić się zdjęciem ze Starbunia. A kilka dni później nagle ginie Wam telefon. Dziwne, ktoś odbił się o Was jak staliście ze znajomymi po jakiś tam długi, bezsensownie nazwany napój. Pewnie przypadek, a telefon wypadł Wam gdzieś po drodze.
Pomijam już sytuacje gdzie znajomy będzie Was brał “na litość” lub “na pośpiech”, czyli albo próbując tak długo prosić o passy aż im dacie (choćby dla świętego spokoju), albo stwarzając pozór jakiejś nagłej sytuacji (“no wiesz, potrzebuję zrobić coś szybko, moje mi nie działa, ratunku, pomocy, co robić, no poratuj kumpla”).
Oczywiście trzeba zachować zdrowy rozsądek, nie każdy pytający o imię Waszego psa to jakiś złodziej. Ważny jest także kontekst rozmowy, skoro gadacie ze znajomymi od dłuższego czasu o zwierzakach to takie pytanie prędzej czy później padnie i to nie będzie nic złego. Ale jak ktoś nowy po krótkiej “gadce-szmatce” przechodzi do pytania o imię psa albo o Wasz ulubiony kolor to mimo wszystko powinniście się chociaż zastanowić na co komuś takie info (na bank będzie pisał Waszą biografię, po prostu to początkujący pisarz) :>
I ostatni “kawałek rady” - czasem powinniście zachować dozę ostrożności nawet i przy dobrze znanych Wam osobach. Przy znajomych czujecie się bezpieczni i nawet nie spodziewacie się kosy w plecy.
Stała czujność!
Alastor Moody
SP24 | 2018-11-01 13:27:40 UTC | #2
No niestety tak to już teraz jest. Nikt nie nauczy młodych ludzi, że istnieje coś takiego jak bezpieczeństwo w sieci. Gdyby rodzice interesowali się swoimi dziećmi to nie byłoby tematu. No sory taka jest prawda! Ale dobrze, że o tym wspomniałaś, bo może nie rodzice, a społeczność nauczy takich osób jak poruszać się po sieci bezpiecznie.
Aylin | 2018-11-01 14:06:51 UTC | #3
[quote=”SP24, post:2, topic:8767”]
Gdyby rodzice interesowali się swoimi dziećmi to nie byłoby tematu.
[/quote]
Moja mama zawsze aż za bardzo interesowała się gdzie i z kim wychodzę, więc nie mogę odmówić jej braku zainteresowania. To zainteresowanie kończyło się przy komputerze, dopóki nie był on zepsuty, a ja dalej miałam piątki w szkole to wszystko było dla niej w porządku. Jak raz dość emocjonalnie podchodziłam do jakiejś sytuacji w gildii to uznała że “zajmuję się głupotami zamiast nauką”. Nie miała (i dalej nie ma) zielonego pojęcia o bezpieczeństwie w sieci, nie będę winić rodzicielki za ignorację w temacie który ją nie interesuje. Równie dobrze mógłby mi ignorację wytykać jakiś architekt czy inżynier odnośnie bezpieczeństwa mostów.
Problem zaczyna się w momencie kiedy rodzice są nieświadomi lub są totalnymi laikami (hehe, znam się na internetach, przecież mam non stop zakładkę otwartą z fejsbuczkiem), dają dzieciom dostęp do internetu i… No i ich rola się w sumie kończy, dzieciak jest cicho i sobie coś tam klika a oni mają święty spokój. Wszyscy tłumaczą jak zachować się w normalnym świecie: “nie bierz cukierków od nieznajomych” lub “ale z nieznajomym panem to byś do auta nie wsiadł, prawda?”, mało kto myśli o tym co dzieje się w tym wirtualnym. Rodzic może nałożyć na tablet jakąś tam ochronę rodzicielską, może z dzieckiem oglądać coś na YT, ale potem dzieciaki dorastają, rodzicielska bańka ochronna znika, a rodzice dalej już nie tłumaczą czego unikać, bo w sumie sami nie wiedzą.
bopke | 2018-11-01 16:28:39 UTC | #4
[quote=”Aylin, post:1, topic:8767”]
ex-weeaboo here
[/quote]
Lempik | 2018-11-01 19:16:04 UTC | #5
[quote=”Aylin, post:1, topic:8767”]
Cracker ze mnie żaden (ani wtedy, ani teraz), po prostu z ciekawości wpisywałam różne jej nicki z gier. Oczywiście nie na raz, już wtedy były takie zabezpieczenia jak “spróbuj zalogować się błędnie X razy a będzie blokada na X czasu”. Ale tak codziennie próbowałam po dwa razy i po tygodniu znałam passy koleżanki do maila, konta FB i paru innych. Wszędzie była wykorzystana ta sama kombinacja.
[/quote]
Kevin Mitnick jest OK. Niektórzy mogą nawet powiedzieć, że w korporacyjnym świecie pracują głupki.
Ale polecam jeszcze książkę “Pan raczy żartować, panie Feynman”, mianowicie rozdział, jak fizyk i późniejszy noblista Richard Feynman podczas drugiej wojny światowej pracował na skonstruowaniu bomby atomowej i jak zgadywał szyfry (hasła) do sejfów różnych najlepszych fizyków i wojskowych w najściślej strzeżonym programie. Bo czasami wystarczyło sobie trochę zastanowić się, jaki szyfr mogła sobie ustawić dana osoba (ofiara).
LinGruby | 2018-11-01 23:34:31 UTC | #6
@Aylin przyznaję bez bicia po 2/3 poległem ;-)
Acz fakt jest jeden nawet jak gdzieś komuś daję hasło to jak zrobi ( lub ) skorzysta z czegoś to jak się się rozłączy to zmieniam hasło…
Ale crakowanie ludzi jest nie jednokrotnie łatwiejsze jak sprzętu i tu się muszę zgodzić…
Osobiście bym dorzucił jeszcze serial Mr.Robot ( fakt to tylko serial ) ale sporo jest tam zawarte jakby z życia, serial ciężki nie każdemu może pod pasować ale polecam go obejrzeć…
Polecam jeszcze do tego Who Am I. Możesz być kim chcesz - też jest tam sporo rzeczy zawartych nie odbiegających od tematu…