Moja šifrica, moja slobodica

Pouzdanost šifre je za samo nekoliko godina od nevažne teme postala centralni problem. To nije neobično, jer svaki podatak koji napusti vaš kompjuter ulazi u džunglu u kojoj ga vreba gomila grabljivica.

Copy of Tesla

Sve do pre petnaestak godina bilo je lako sa zaštitom podataka: jedna ili dve šifre, koje je činilo tek nekoliko slova, bile su dovoljne za miran san. Danas je stvar ozbiljnija, jer je razbijanje šifara preraslo u nauku kojom se uspešno napada svaka zaštita.

Može se reći da je sa šiframa slično kao sa zaštitom stana. Ne razmišljamo mnogo o tome, jer se uzdamo u bravu. Tek kad neko od nas postane žrtva provale shvata koliko je to iskustvo bolno, jer čak i ako ništa nije ukradeno, on je zauvek izgubio mir i dobar san.

Dobro je ako nikada niste bili meta zlonamerne osobe koja se poslužila vašom šifrom da bi vas diskreditovala, ili čak pokrala. To ipak ne znači da takva nevolja ne može već sutra da vam se dogodi, pa je možda vreme da razmislite o sigurnosti šifara kojima se služite, jer su mala greška ili trenutak opuštenosti u stanju da vam načine nevolje koje teško možete da zamislite. Koje greške najčešće činimo u korišćenju šifara?

Slaba šifra

Uobičajeni propust, koji pravi većina korisnika, jeste korišćenje šifara koje ćemo najbolje opisati ako prosto kažemo da su slabe. To su, prosto rečeno, šifre koje je lako pogoditi. Kao da ste zatvorili ulazna vrata, ali ih niste zaključali. Slaba šifra je neka uobičajena reč iz (engleskog ili srpskog) rečnika, bilo koji značajan datum ili ime (posebno ako pripada vama ili članu porodice), geografska odrednica, registarska oznaka ili tip vašeg automobila, a naročito „sifra“, „abcde“, „qwerty“, „12345“ i tome slično. Programi koji koriste brute force metodu (pokušaj svih mogućih kombinacija slova) započinju tako što najpre isprobavaju ovakve uobičajene i očekivane reči, naročito one koji su se pokazale uspešnim pri prethodnim provalama.

Ovde nije reč o nekim specijalnim uređajima za provalu šifre, mada postoje izuzetno efikasni sistemi koji su posebno projektovani za tu svrhu i koji su nekoliko hiljada puta efikasniji i brži od običnog desktop računara. Provala šifre se najčešće radi običnim računarom, često iz zabave. Ponekad je potrebno samo nekoliko minuta da se ovaj pokušaj završi uspešno.

Kako da sprečimo nekoga da nam provali šifru? Microsoft‑ov sigurnosni centar je objavio uputstva po kojima možemo da napravimo dobru šifru:

  • Počnite od jedne ili dve rečenice
  • Uklonite blankove između reči
  • Pretvorite reči u skraćenice ili kolokvijalne izraze
  • Dodajte brojeve koji vam nešto znače

Evo primera koji ilustruje svaki korak (za nekoga ko, recimo, zna da je hemijska formula za alkohol C2H5OH):

  • Kad voziš ne pij
  • KadVozišNePij
  • KadBrmNePij
  • KadBrmNeC2H5OH

Ovo je primer šifre koju lako možete da zapamtite, mada je izuzetno „jaka“. Ona je dugačka, potpuno neuobičajena, sadrži više brojeve i velikih slova. Postoji puno načina da stvorite jaku šifru, recimo da zamislite dužu rečenicu koju već znate napamet (nešto što ste izgovorili ili čuli u važnom trenutku) i upotrebite početno slovo svake reči. Smislite šemu po kojoj će neka slova biti velika (ali ne nasumično, jer to nećete zapamtiti) i dodajte nekoliko značajnih cifara. Ako imate dovoljno mašte, nećete imati problema u ovome.

Pročitajte i:  Fronteks stiže u Srbiju, parafiran sporazum sa MUP-om

Nova šifra za svaki nalog

Neki od programa koji  „kradu“ šifre mogu da se vide  i u Task Manager-u
Neki od programa koji „kradu“ šifre mogu da se vide i u Task Manager-u

Svakako je lakše zapamtiti samo jednu šifru i koristiti je za sve naloge, ali to značajno umanjuje sigurnost, jer ako neko provali samo jednu, provalio je sve koje imate. Najgore je što će tako kompromitovanje neke nevažna šifra, recimo za pristup nekom blogu, omogućiti pristup vašoj pošti, bankovnom računu ili nekoj drugoj poverljivoj informaciji. Čak i ako šifre koje koristite nisu iste nego slične, napadač će moći da iskoristi onu koju zna kako bi suzio polje pretrage za ostale.

Menadžer šifri (password manager) je program koji nam pomaže da koristimo jake i različite šifre za sve sajtove kojima pristupamo. Kad ga instaliramo, on nam omogućava da sve šifre zamenimo samo jednom, jer se sve ostale generišu automatski. Te šifre se na zaštićen način čuvaju u našem kompjuteru, a u nekim slučajevima i na serveru provajdera, što otvara mogućnost kombinacije dva sistema zaštite. Moguće je dobiti i višestruku zaštitu ako se uključi veći broj izvora, recimo USB memorija ili otisak prsta.

password-binaryTako dobijamo sistem koji je vrlo fleksibilan i omogućava pristup bazi šifara na mobilnim ili stacionarnim računarima koji se nalaze bilo gde na svetu. Ovo je vrlo siguran sistem, ali nije savršen jer ne postoji menadžer šifre koji garantuje potpunu zaštitu. Proizvođači ovih sistema u reklamama uglavnom prećutkuju mane svojih proizvoda, a istina je zapravo da konačni ishod zavisi od veštine napadača i njegovog poznavanja sistema zaštite. Postoji puno različitih menadžera šifre, pa se pre konačnog izbora treba dobro informisati o osobinama i načinu rada onih koje smo stavili u uži izbor. Instalacija besplatnih menadžera ili nekih koji su stigli iz sumnjivih izvora može da bude rizična, pa ako se bavite poslom u kome je sigurnost na vrhu liste prioriteta, treba biti vrlo oprezan. Postoje trojanci koji se ugrađuju u instalere ovakvih menadžera šifre, a jasno je šta može da učini zlonameran program na mestu koje je najosetljivije sa gledišta sigurnosti.

Šifra je samo vaša

Tajna koju znaju dvoje više nije tajna, zato ni pod kakvim uslovima ne dajte drugima svoje šifre. Ako ste u situaciji da to morate da uradite, recimo ako imate gosta koji bi hteo da koristi vašu bežičnu mrežu, neka vam dozvoli da je sami otkucate, a ako to iz nekog razloga nije zgodno, promenite šifru čim on ode. Ovo treba učiniti i ako se logujete sa kompjutera kojima se osim vas služe i druge osobe. Danas se šifre smatraju privatnim i intimnim podacima, što je neizbežno uticalo i na pravila pristojnog ponašanja. Ako nećete da vas drugi smatraju neprilagođenim dobu u kome živite, okrenite glavu na drugu stranu kada neko kuca svoju šifru.

Pročitajte i:  Drugi dan konferencije o VTK-u: Hakeri u Srbiji nisu bezbedni

Budite oprezni i sa zapisivanjem šifara na papiru. Ako je taj papir makar samo teoretski dostupan drugima, onda razmislite o nekom drugom načinu čuvanja. Nekim kompjuterima imaju pristup samo članovi porodice, ali ako šiframa štitite podatke čija važnost prelazi granice vaše porodice, onda morate da preispitate sigurnost čuvanja šifara. To je kao i sa svim drugim tajnama – ma koliko svako bio siguran u to da je njegova tajna sigurna, najčešće se ispostavi da na kraju roditelji doznaju većinu tajni svoje dece, kao što i deca doznaju tajne roditelja.

Uzgred, šta uradite kada vam browser ponudi opciju da zapamti čifru koju ste upravo uneli? Ako odaberete Da, treba da znate da je vaša šifra već na pola puta da bude provaljena. Možda mislite da za neke od manje važnih šifara možete da dozvolite ovaj način memorisanja, ali znajte da to umanjuje i sigurnost ostalih. Recimo da ste dozvolili pamćenje šifre za pristup elektronskoj pošti, jer mislite da u privatnim porukama nema ničega što bi trebalo da krijete, ali znajte da onda svako može da sedne za vaš kompjuter, pokuša pristup nekom od vaših važnih i osetljivih sajtova, klikne na Forgot your password? i odmah promeni kritičnu šifru.

Čak i ako ste sigurni u to da niko nema fizički pristup vašem kompjuteru, znajte da su lokacije na kojima browser memoriše šifre dobro poznate i da je pristup listi šifara rutinska stvar za mnoge trojance.

Kako to rade „loši momci“

Postoji mnogo načina da se dođe do tuđih šifara. Najčešći je već pomenuta brute force metoda, u kojoj neko ilegalno pokušava da se uloguje tako što kuca sve moguće šifre. To, naravno, ne radi čovek, već specijalni programi. Mada je broj kombinacija nezamislivo velik, ovakav pokušaj se često završava uspehom, jer puno ljudi koristi slabe šifre.

Drugi način je da neko podmetne trojanca u „naš“ kompjuter, sa koga pristupamo sajtovima, ili u neki od servera na kome se sajtovi hostuju. Najbolji načini zaštite od ovoga je dobar antivirusni program, kao i izbegavanje pristupa sumnjivim sajtovima i uzdržavanje od instalisanja programa iz nesigurnih izvora. Jedan od vrlo efikasnih metoda napada instalacija takozvanog keylogger‑a. To je hardverski uređaj koji se uključuje između tastature i računara, ili softver koji se diskretno instališe i tajno prati i beleži svaki pritisnut taster. Pritom se kreira log fajl, dobro sakriven za svakoga, osim za korisnika koji ga je instalirao. Ovaj rezidentni program može da bude nevidljiv čak i u listi procesa, pa i u registry bazi.

Neki keylogger programi, osim evidencije teksta kucanog na tastaturi, beleže i pokrete miša, kao i svaki pristup Internetu, sve što se prikazuje na monitoru, a ako imate priključenu kameru sa mikrofonom, može i da tajno pravi video i audio zapise. Log fajlovi se prate preko Interneta ili se automatski upućuju na određenu adresu.

Pročitajte i:  Kako modernizovati data centar Hitachi hibrid-fleš infrastrukturom

Šta da učinimo da se zaštitimo? Od samog keylogger‑a, ako je već instalisan, nema zaštite. Jedino što može da nam pomogne jeste neki od dobrih (što obično znači plaćenih) programa za zaštitu, kao što je malwarebytes ili spybot. U slučaju da vam je neko podmetnuo keylogger koji nije instalisan kao nevidljiv, lako ćete ga ugledati u Task Manager‑u, kao na slici.

Ima još načina provaljivanja šifre, a za neke se može reći da su vrlo domišljati. Na prošlogodišnjem hakerskom kongresu CCC (Chaos Communication Congress) u Hamburgu, demonstriran je zanimljiv način da vidite koju šifru je otkucao neko na tastaturi elektronske brave, kakva se već rutinski koristi na ulazima u zaštićene prostorije u savremenim firmama. Treba samo snimiti tastaturu termalnom kamerom, naravno što pre nakon kucanja šifre. Na slici će se odmah pokazati tasteri koji su pritisnuti, jer ih je dodir prsta sasvim malo zagrejao. Možda se neće odmah dobiti redosled pritisnutih tastera (mada će poslednji koji je pritisnut biti najtopliji), ali će napadač imati dobru osnovu za pokušaj.

Projekat za sledeći mesec

U sledećem broju časopisa „PC“ ponudićemo vam samogradnju projekta hardverskog menadžera šifre. To je jednostavan sklop sa mikrokontrolerom, koji se priključuje na USB port, a ugrađen je u malo kućište, otprilike veličine i oblika običnog memorijskog USB stick‑a.

Kada se priključi na računar, prijavljuje se kao standardna tastatura (HID interface) i na pritisak jednog od četiri minijaturna tastera kuca jednu od šifara, kao što bi to uradila i tastatura. Postoje još dva mala tastera, od kojih je jedan za generisanje nove šifre (u čemu učestvuje True Random Number Generator, koji radi na principu termičkog šuma), a drugi je za proširenje broja raspoloživih šifara na sedam, kao i kucanje dugog niza slučajnih brojeva u decimalnom ili heksadecimalnom obliku. Ako je otvoren neki od tekst editora, dobiće se tekst fajl sa slučajnim brojevima, kao da su kucani tastaturom. Pritom je i normalna PS2 ili USB tastatura uključena, jer ove dve tastature mogu da rade istovremeno.

Planirani uređaj ne zahteva nikakvu softversku instalaciju, sve šifre pamti samo u internoj flash memoriji ugrađenog mikrokontrolera, može da se koristi na bilo kom kompjuteru (bez obzira na operativni sistem) koji ima USB port, a posebna je prednost to što ne koristi pseudoslučajni niz za generisanje novih šifara, nego prave slučajne brojeve (o ovome je bilo puno reči u prošlom broju). Ove osobine ga čine potpuno imunim na sve pokušaje razbijanja šifre, izuzev na keylogger‑a. Evo primera nekoliko šifara koje je generisao funkcionalni prototip ovog uređaja:

  1. n5TPD1TxmodKVe7m, p98fRVGw900CHUD6lPFl,
  2. w6s7XULfHffPiikMFLa, KbKPsAc5fwZs4Wy,
  3. L5AuMkfS8PuTw3eqwh,
  4. Ll3f5XHsqtNeEL4S4,
  5. m63SbIj7rlGNkFS8G4

Voja Antonić

Ilustracija: Bob Živković

(Objavljeno u Časopisu PC#222)

Facebook komentari: