Dlaczego antywirus nie jest lekiem na całe komputerowe zło?

9 minut

Mam Avasta / Nortona / Eseta / Pandę / Bitdefendera / [tu wstaw nazwę dowolnego antywirusa], a więc mój komputer jest bezpieczny i nie mam się czego obawiać. Nic więcej nie jest mi potrzebne.

Czy aby na pewno?🤔

A co jeśli Twój program antywirusowy nie będzie wiedział czy dany plik jest szkodliwy dla Twojego komputera?

Tym razem postaram się Ci przedstawić dwa zasadnicze problemy jakie są związane z wirusami i antywirusami.

Dobra, to na początek dwa pytania, na które spróbujemy sobie odpowiedzieć w tym wpisie:

  • Jakie działają antywirusy?
  • Czy antywirusy chronią przed wszystkimi zagrożeniami?

Wzorem innych wpisów, będą dwa rodzaje odpowiedzi:

  • krótkie i bezpośrednie
  • dłuższe dla nerd-… *ekhem* bardziej zainteresowanych. Te standardowo będą oznaczone symbolem 🤓 

Baza wirusów programu Avast została zaktualizowana…

Pamiętasz ten tekst, który można było słyszeć, gdy korzysta się właśnie z programu Avast? Zastanawiałeś się kiedyś czym jest baza wirusów i dlaczego została zaktualizowana? To jest właśnie jeden z dwóch sposobów działania programów antywirusowych, który opiera się na korzystaniu z bazy sygnatur stworzonych dla wirusów, które krążą sobie po internetach. 

Wtedy, antywirus skanuje pliki na Twoim komputerze i porównuje je ze swoją bazą. Dzięki temu sprawdza, czy plik jest wirusem i trzeba go zablokować, czy jest tylko zwykłym, niegroźnym plikiem, który można zignorować.

Co jakiś czas antywirus łączy się ze swoim serwerem i sprawdza, czy baza wirusów, którą posiada, jest taka sama, jak baza wirusów znajdująca się na serwerze. Innymi słowy, jeśli pomiędzy ostatnim takim zapytaniem pojawiły się nowe sygnatury wirusów, to żeby antywirus mógł je wykryć na Twoim komputerze, musi się o nich w jakiś sposób dowiedzieć – zaktualizować swoję bazę wirusów.

PS To, że antywirus aktualizuje bazę wirusów, nie oznacza, że przechowuje te wszystkie wirusy na Twoim komputerze. 😉

## 🤓Ok, dobra, ale co to jest ta cała baza wirusów? Czym są sygnatury? Jak to działa? ##

Twórcy programów antywirusowych zajmują się wykrywaniem wirusów jakie krążą w sieci (lub jakie mogą krążyć, ale o tym więcej kiedy indziej), a następnie korzystają z funkcji skrótu aby utworzyć hash takiego pliku, który jest wirusem. Pamiętasz czym jest hash? Jeśli nie, to szerszą definicję znajdziesz w Cybersłowniku, o tu → Hash / funkcja skrótu

W skrócie (he he, widzisz to? w skrócie o funkcji skrótu he he), jeśli jakiś plik jest złośliwym oprogramowaniem, to twórcy antywirusa tworzą skrót takiego pliku i dodają go do bazy wirusów. To właśnie sygnatura wirusa.

Jaki to ma związek ze skanowaniem przez antywirusa Twojego komputera? Otóż taki, że w trakcie skanowania, program antywirusowy porównuje hash każdego z plików znajdujących się na Twoim komputerze, z wbudowaną listą hash’y wirusów. Dzięki temu, może bardzo szybko wykryć jakiekolwiek zagrożenie, jakie znajduje się na Twoim komputerze. W trakcie skanowania antywirus nie musi zatem otwierać i zamykać każdego pliku na Twoim komputerze, bo jeśli by tak zrobił, to prawdopodobnie nie mógłbyś używać swojego komputera ze względu na zużycie zasobów (chociaż nie do końca, bo o tym za chwilę).

## Koniec części technicznej🤓 ##

W ten sposób działa większość współczesnych programów antywirusowych, a w szczególności tych bezpłatnych. Z jednej strony, mamy szybkość działania, a z drugiej strony pewien poziom ochrony.

Pamiętasz pewnie (a jeśli nie, to ponownie odsyłam do Cybersłownika i sekcji o funkcji skrótu), że podstawową cechą funkcji skrótu jest to, że dla TAKICH samych danych wejściowych, kreuje indywidualny ciąg znaków. Co oznacza, że najdorobniejsza zmiana w danych wejściowych, spowoduje zmianę hash’a. Ok, ale jaki to ma związek z wirusami? Odpowiedzi są logiczne, spójrz:

  • jeśli jako twórca wirusa minimalnie zmienię to, w jaki on działa, to wtedy antywirus opierający się na bazie wirusów go nie wychwyci podczas skanu, bo będzie miał inną sygnaturę
  • jeśli wirus nie będzie plikiem, to antywirus nie będzie w stanie porównać jego skrótu.

Dlatego, jeśli masz zainstalowanego antywirusa, który korzysta z bazy sygnatur, to super-ekstra istotne jest żeby ta baza była cały czas aktualizowana. Najlepiej jak najczęściej, dlatego że twórcy wirusów nie śpią.

I tutaj przechodzimy do drugiego typu antywirusów, czyli…

Powiedz mi co robisz, a powiem Ci jakie masz intencje…

Drugi rodzaj antywirusów opiera się na bieżącej analizie jak działa jakiś program i ocenie, czy jest on złośliwy czy nie. As simple as that. Innymi słowy, tego rodzaju antywirusy “uruchamiają” każdy z plików / programów na Twoim komputerze w odseparowanym środowisku i sprawdzają jak on działa. Następnie korzystając ze sztucznej inteligencji – a ściślej, z uczenia maszynowego – oceniają czy jest to zagrożenie dla komputera. 

W ten sposób, antywirus jest w stanie nie tylko ustalić czy jakiś program ma złośliwy charakter, ale także będzie “pamiętał”, że to, co robi ten program jest niebezpieczne. Jeśli zatem w przyszłości pojawi się inny program, który częściowo chociażby będzie podobnie zbudowany, to antywirus go wykryje i zablokuje. Sprytnie prawda? 

Taki sposób ochrony komputera przed wirusami jest niestety wolniejszy ze względu na to, że analizuje każdy z plików i sprawdza jego działanie. Mamy zatem większy poziom ochrony, ale mniejszą przepustowość.

Jakie jest zatem idealne rozwiązanie? Nie ma. Serio, nie ma idealnego rozwiązania na walkę z wirusami. Są po prostu mniej lub bardziej efektywne, mniej lub bardziej zasobożerne. Jednak powiem tak – jeśli masz możliwość żeby Twój program antywirusowy działał w obu trybach, które tutaj opisałem to… JUST DO IT. Wtedy ochrona będzie o wiele wydajniejsza i pełniejsza niż tylko, gdy będziesz korzystał z jednego trybu.

Jest jeszcze jedna, drobna, mała, tyci-tyci rzecz, która jednak powoduje, że ANTYWIRUSY SĄ BEZUŻYTECZNE……. Wspomniałem to dyskretnie trochę wcześniej. A mianowicie jeśli wirus nie jest wirusem. 

Złap mnie jeśli potrafisz!

Otóż to, a co jeśli zagrożenie dla komputera nie jest wirusem? Co jeśli zagrożenie podszywa się pod istniejący program? Co jeśli niebezpieczny plik, nie jest plikiem?

I tooooo jest temat rzeka, któremu będę chciał poświęcić inny artykuł (albo pewnie nawet więcej niż jeden), ale tutaj spróbuję chociaż zarysować problem.

Wirusy komputerowe, są trochę jak wirusy w ciele człowieka (czy innego organizmu). Są pewnym tworem, który ma określone zadanie – przeżyć. Wirus komputerowy też ma przeżyć, ale przede wszystkim ma zrobić coś jeszcze. Czasami będzie to kradzież danych, czasami zaszyfrowanie danych, czasami ich usunięcie, a jeszcze innym razem wyświetlanie Tobie większej ilości reklam żeby ich twórca mógł na tym zarabiać.

Jaka jest jeszcze cecha podobna pomiędzy wirusem komputerowym a wirusem w organizmie? Jedno i drugie mutuje, adaptuje się z czasem do środowiska w którym żyje. Co prawda “klasyczny” wirus komputerowy tego nie robi sam z siebie, bo robi to twórca tego wirusa ulepszając go co jakiś czas.

Dobrze, ale czym w takim razie jest “klasyczny” wirus? 

Jest niczym innym jak programem (kodem, instrukcją dla komputera co zrobić) tak jak program do pisania czy odczytywania dokumentów, tak jak program do słuchania muzyki, tak jak program do przeglądania internetów. To oznacza, że jest on względnie “stały” dopóki go się nie zaktualizuje, tak jak każdego innego programu.

I tutaj właśnie wchodzi ta kwestia, którą zarysowałem na początku tej sekcji – co jeśli wirus nie będzie “klasycznym” wirusem? Co jeśli będzie sam “mutował”? Co jeśli zagrożeniem nie jest w ogóle wirus?

Są bowiem takie wirusy, które nazywają się wirusami polimorficznymi, które posiadają zdolność samoczynnego “przepisywania” swojego kodu.

🦝 Ciekawostka od Szopa! 🦝

ChatGPT był w stanie ostatnio napisać wirusa polimorficznego. Sztuczna Inteligencja pisze swoje własne wirusy!*

*Oczywiście nie napisał tego “sam” z siebie, tylko nakłonili go do tego programiści.

Innymi słowy, nadal będzie robił “to samo”, czyli infekował Twój komputer, ale będzie robił to za każdym razem inaczej. I tutaj pojawia się problem antywirusów bazujących na sygnaturach – jeśli bowiem wirus zmienia swój kod, to zmienia swoją sygnaturę, a więc… Antywirus go nie wykryje.

Dodatkową cechą wirusów polimorficznych jest to, że często ich kod jest zaciemniony lub nawet zaszyfrowany. Uuu, zaciemniony. 💀💀💀 Brzmi tajemniczo, prawda? 

Zaciemniony, to nic innego jak zmiana semantyki kodu, przy jednoczesnym pozostawieniu jego sensu. Nie jest to potrzebne do zrozumienia jego sposobu działania, ale jeśli Cię to interesuje, odsyłam do tego artykułu na Wikipedii.

Wirusy, te żywe, też mutują. Wszyscy jeszcze pamiętamy mutację SARS-CoV-2, który każdego miesiąca miał nowe odmiany. Te komputerowe też tak robią, nie są wyjątkiem.

Poza tym, mamy też zagrożenia, które nie są ściśle związane z wirusami, tylko z innymi formami zainfekowania naszego urządzenia, np. konie trojańskie (czyli programy, które “podłączają” się pod prawdziwy program i kradną dane. Patrzę na Ciebie RemoteAccess Troian). Chociaż z tymi akurat wszystkie antywirusy sobie radzą nawet-nawet.

Mamy też rootkit’y, czyli programy, które zagnieżdżają się głęboko w naszym komputerze i są praktycznie niewykrywalne przez antywirusy, bo ich zakres działania tam nie sięga. 

Mamy też takie zagrożenia jak… phishing. Większość antywirusów nie wykryje maila, który spróbuje wyłudzić od Ciebie dane. 

Jak widzisz, tych zagrożeń jest wiele. Ale właśnie od tego jest ten blog, żebyś mógł znaleźć podstawowe informacje na ich temat i dowiedzieć się na co zwracać uwagę.

Jakie leki zatem powinniśmy brać żeby chronić się przed tymi innymi zagrożeniami? Tymi innymi wirusami? 

Odpowiedzi jest wiele i będziesz je stopniowo znajdować na tym blogu, ale w tym miejscu, skoro jest to wpis o antywirusach to na pewno lekiem jest:

korzystanie z antywirusa

Ale jakiego? – zapytasz

Adekwatnego. – odpowiem.

A tak na serio, już jakikolwiek antywirus jest wartością dodaną. Najlepiej jednak korzystać z takiego, który jest kombinacją klasycznego antywirusa bazującego na sygnaturach, ale także potrafiącego analizować kod w czasie rzeczywistym. Takie antywirusy o wielu funkcjach najczęściej nazywane są “antywirusami następnej generacji” (z ang. next-gen antivirus).

Czy czegoś jeszcze powinniśmy zatem używać? – ponownie zapytasz.

Tak. – ponownie odpowiem.

Dla bezpieczeństwa warto korzystać z wtyczek do przeglądarek blokujących reklamy (bo one mogą prowadzić do stron pobierających wirusy). Przy czym – z punktu widzenia prywatności tego typu wtyczki są wątpliwe, dlatego że gdy z niej korzystasz, to dajesz jej (a właściwie jej twórcy) dostęp do odczytywania stron (WSZYSTKICH STRON) na które wchodzisz. I to jest miejsce w którym trzeba sobie zadać pytanie: prywatność, czy bezpieczeństwo? (Psst, będzie osobny wpis o wtyczkach. Kiedyś…Jeszcze nie wiem kiedy… Ale będzie!).

Do tego, żeby być bezpieczniejszym można dodać pewne strony do zablokowanych z poziomu protokołu DNS (o tym, czym jest DNS, możesz przeczytać w moim Cybersłowniku o TUUUU).

Dodatkowo, powinniśmy instalować programy TYLKO z legalnych i pewnych źródeł, najlepiej prosto od producenta. Aczkolwiek z tym jest ostatnio problem i pojawia się masa ataków podszywających się pod twórców różnych programów i np. jeśli chcesz znaleźć konkretny program w wyszukiwarce to… najpierw mogą wyświetlić Ci się podstawione reklamy, a nie te prawdziwe. Przerażające, prawda? Możesz o tym poczytać na Sekurak’u tutaj i tutaj.

To tylko część sposobów na to, jak zachować kontrolę nad swoimi danymi i chronić się przed zagrożeniami. W miarę rozwoju tej strony, będziesz mógł znaleźć dużo więcej porad i sugestii. Postaram się też żeby w każdym przypadku poinformować Cię jaki wpływ na Twoją prywatność ma korzystanie z danego narzędzia.

PS Pamiętaj, że smartfon / tablet to taki mniejszy komputer, wiesz co to oznacza, prawda? Tak, to oznacza, że warto na nim również mieć antywirusa.

Hasło do telefonu, do banku, do Fejsbuka, do Instagrama, do poczty – ile tego?! Czyli jak je wszystkie spamiętać

7 minut

Pamiętasz jak w poprzednim artykule dotyczącym haseł pisałem o tym, że do każdego z serwisów, absolutnie wszędzie, trzeba mieć różne hasła? Pisałem też, że wyjaśnię dlaczego potrzebne są te wszystkie hasła (i to w dodatku różne!) oraz jak je wszystkie spamiętać. No więc (nie zaczyna się zdania od “no więc”)… 

Myślę, że warto rozpocząć od dwóch pytań, na które postaram się odpowiedzieć w tym artykule:

❓Czy muszę mieć różne hasła do różnych serwisów? 

❓Jak zapamiętać te wszystkie hasła?

Wzorem poprzedniego wpisu z serii, będą dwa rodzaje odpowiedzi:

  • krótkie i bezpośrednie
  • dłuższe dla nerdów *ekhem* bardziej zainteresowanych. ← te standardowo będą oznaczone symbolem 🤓

Tysiąc haseł? A na co to komu…

Otóż to, po co różne hasła do każdego serwisu? I to jeszcze w dodatku, każde musi być skomplikowane (o tym, jak sobie ułatwić życie i tworzyć proste do zapamiętania hasła odsyłam do poprzedniego artykułu). Po co mi inne hasło do Facebook’a, inne do banku, inne do jednego e-maila, jeszcze inne do drugiego, inne do Instagrama, inne do YouTube’a itd…?

Odpowiedź na to pytanie jest bardzo prosta – jeżeli będziesz posiadał/a jedno to samo (lub takie samo) hasło wszędzie, to wystarczy, że wycieknie ono raz i tym samym utracisz dostęp do wszystkich swoich serwisów.

To trochę tak, jakby do domu, samochodu, garażu czy sejfu mieć jeden i ten sam zamek, który można otworzyć jednym kluczem. O fizycznych zabezpieczeniach naszego domu myślimy automatycznie, prawda? Dlaczego więc nie potraktować naszych kont w portalach społecznościowych, w banku, czy na poczcie tak samo? 

Pamiętaj, że możesz mieć najbardziej skomplikowane hasło na świecie, ale dojdzie do sytuacji, w której dobrowolnie je komuś przekażesz (o tym, jak można od każdego wyciągnąć dane – przeczytasz w innym artykule na temat inżynierii społecznej, jak już ten artykuł powstanie) albo co gorsza, nie przechowujesz swojego hasła w odpowiedni, bezpieczny sposób. Niestety do wycieków czy ataków na dane do logowania (w żargonie security/privacy mówimy na nie “kredki”, od ang. credentials) dochodzi coraz częściej, co więcej, ich liczba będzie tylko rosnąć. Dlatego właśnie, nawet jedno super-ekstra-skomplikowane hasło nie wystarczy żeby chronić swoje dane i utrzymać je w poufności, w prywatności. Twoje dane mają ogromną wartość, nie tylko dla przestępców, ale też (a może i przede wszystkim?) dla reklamodawców, czy wreszcie – państw.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Tutaj sprawa nie jest jakoś wielce skomplikowana. Jeżeli Twoje hasło wycieknie, to zostanie ono dodane do jednej z wielu baz w Internecie, które można kupić lub po prostu znaleźć. W zależności od tego, kto skorzysta z tej bazy, działania mogą być różne. Jednak pewne jest to, że przestępcy, korzystając z programów komputerowych mogą próbować logować się do różnych serwisów używając Twoich danych do logowania. I to, w zależności od tego, gdzie próbują się zalogować i jakie mają intencje, może mieć różny wymiar. Może to być wysyłanie spamu z Twojej poczty, może to być rozprzestrzenianie złośliwego oprogramowania (z ang. malware), ale wreszcie, może to być również kradzież tożsamości prowadząca do narobienia Tobie ogromnej ilości problemów (np. wyłudzenia pożyczek czy uczestnictwo w przestępstwach).

## Koniec części technicznej 🤓 ##

Potraktuj każde ze swoich kont, gdzie wpisujesz login i hasło, jako taką niezłą patodeweloperkę. W każdym z tych mikroapartamentów spędzasz trochę czasu, a jak go wyłączysz lub minimalizujesz, to go zamykaj na klucz – czyli korzystaj z różnych haseł.

Ale jak to wszystko spamiętać?!

I to jest bardzo dobre pytanie. Pewnie zauważyłeś/aś, że lubię obrazować niektóre kwestie memami, o tu jest kolejny:

Tak. Menadżer haseł (z ang. password manager). Pewnie słyszałeś/aś to już ode mnie nie raz, nie dwa, jak namawiałem Cię do tego żeby z niego skorzystać. Dlaczego?

Wersja krótka:

👉Nie musisz znać wszystkich swoich haseł.

👉Menadżer haseł przechowuje Twoje hasła w bezpiecznym “skarbcu”, który jest zaszyfrowany.

👉Wystarczy, że pamiętasz “tylko” o haśle do skarbca.

👉Menadżer haseł może generować skomplikowane, trudne do złamania hasła.

👉Współczesne menedżery haseł są proste i intuicyjne w użytku.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Menadżer haseł to program, który:

🔐służy do przechowywania określonych danych (najczęściej danych do logowania) w bezpiecznej, zaszyfrowanej formie;

🔐 służy do generowania losowych, skomplikowanych haseł.

Menadżer haseł przechowuje Twoje dane w tzw. sejfie, który korzysta z silnego szyfrowania takiego jak Blowfish, AES lub przechowuje hasła w formie skrótu / hasha (funkcja haszująca / funkcja skrótu = matematyczna, jednostronna funkcja mająca na celu przekształcenie jednego ciągu znaków w inny; każdy ciąg znaków ma swój unikatowy skrót. Więcej na temat funkcji skrótu znajdziesz tutaj ). Obecnie, uważanym za najbezpieczniejszy do przechowywania haseł jest algorytm Argon2id.

Aby dostać się do takiego sejfu, najpierw konieczne jest utworzenie tzw. “master-password”, czyli nadrzędnego hasła, które będzie nie tylko umożliwiało Tobie dostęp do bazy haseł, ale także utrudni hakerom wykradzenie Twoich danych.

Taki sposób przechowywania oznacza, że hasła nie są dostępne od razu i są chronione przez silne środki zabezpieczeń, które zasadniczo raczej nie są obecnie możliwe do złamania. Oczywiście nie dotyczy to jednak sytuacji, kiedy menadżer haseł jest źle skonfigurowany i korzysta ze zbyt słabej kryptografii. Wtedy dochodzi do takich sytuacji, jak w przypadku tego menadżera – LastPass. Pod tym linkiem znajdziesz artykuł na Sekurak’u gdzie opisana jest właśnie sytuacja, gdy menadżer haseł był źle skonfigurowany, co finalnie doprowadziło do uzyskania przez hakerów dostępu do baz haseł użytkowników.

Większość menedżerów haseł posiada również funkcję tworzenia skomplikowanych, losowych haseł, więc wtedy nie musisz się już martwić wymyślaniem ich. Program robi to za Ciebie.

## Ok, a jak to wygląda z technicznego punktu widzenia?🤓 ##

Zatem korzystanie z menedżera haseł ogranicza konieczność pamiętania miliona haseł do wszystkich portali, stron, kont itd. Wystarczy, że utworzymy jedno, super-ekstra silne hasło do sejfu, a reszta jest tworzona i przechowywana za nas. 

Plusy dodatnie i plusy ujemne korzystania z menadżerów haseł

Brzmi ekstra prawda? Można się pozbyć całego problemu z tworzeniem i zapamiętywaniem haseł, bo program będzie to robił za nas!… Jednak nie do końca jest to takie super, bo takie rozwiązanie ma kilka wad:

  1. jeśli jest to menedżer haseł w chmurze (taki jak np. Norton Password Manager, LastPass, 1Pass, Bitwarden itd.), to oznacza to, że “dajesz” właścicielom tych programów potencjalny dostęp do wszystkich Twoich danych. Niezbyt to prywatne, prawda?
  2. jeśli zapomnisz nadrzędnego hasła, to może się okazać, że nie masz dostępu do żadnego ze swoich serwisów, kont itd.
  3. ze względu na swój charakter, bazy danych i bazy haseł są łakomym kąskiem dla tych złych hakerów, więc takie ataki na menedżery haseł będą coraz częstsze (patrzę na Ciebie Nortonie i LastPassie).

Czy to oznacza, że nie powinniśmy z nich korzystać? 

Współczesne rozwiązania technologiczne w dużej mierze opierają się na “zaufaniu”, że ten, kto zapewnia jakieś rozwiązanie, mówi prawdę i nie wykorzysta tego w innym celu niż zadeklarował. Odpowiedź na to pytanie pozostawiam więc każdemu z Was. Ja osobiście uważam, że jest to taki kompromis, na który warto pójść. Przykładowo pierwszą z trzech wątpliwości można wyeliminować korzystając z menedżerów haseł offline (jak np. KeePassXC). Zatem, ja bardzo serdecznie zachęcam do eksperymentowania z różnymi rozwiązaniami. Nie musisz od razu wpisywać wszystkich swoich haseł do jednego menedżera, wypróbuj różne rozwiązania.

🍏 🍏🍏 Dla wielbicieli urządzeń z jabłuszkiem np. mogę zdecydowanie polecić korzystanie z wbudowanego Pęku Kluczy, który dodatkowo jest zsynchronizowany z naszym kontem Apple, więc możemy z haseł korzystać na Mac’u, iPadzie, iPhonie itd. Dodatkowo, Apple nie przechowuje naszego klucza prywatnego (czegoś jak master-password o którym pisałem wcześniej, ale wyjaśnię w innym wpisie o co chodzi z kluczami publicznymi i prywatnymi) na swoich serwerach, a tylko lokalnie, na urządzeniach użytkowników. 🍏🍏🍏

Jak widzisz, menedżer haseł daje bardzo dużo możliwości i możemy na niego przenieść dużą część zmartwień dotyczących bezpieczeństwa i prywatności naszych danych. Niestety jest to okupione różnymi minusami jak m.in. przekazanie wszystkich swoich dostępów jednemu podmiotowi (no chyba, że jesteś paranoikiem, wtedy możesz korzystać z 3 różnych menedżerów, jak ja 🙃). 

Pamiętajmy jednak, że całą bazę szlag trafi, jeśli nasze master-password będzie brzmiało np. tak: MenadzerHasel2023! Tutaj już trzeba skorzystać z jakiegoś rozwiązania do stworzenia skomplikowanego hasła, o których wspominałem w poprzednim wpisie. Można do tego wykorzystać np. techniki mnemoniczne. Zatem, bądźcie prywatni i bezpieczni! Cheers! ✌️


(Dla wytrwałych) bardzo przydatna lista menadżerów haseł z opisem i odnośnikami jest np. tutaj 👉 https://www.privacyguides.org/passwords/

Duże, małe litery, cyfry, korzeń mandragory i szczypta soli, czyli przepis na silne hasło!

7 minut

Pewnie każdy z nas pomyślał kiedyś:

    • nikt nie odgadnie mojego hasła, bo stworzyłem je w oparciu o bardzo osobistą dla mnie informację!
    • moje hasło jest krótkie, ale za to jest bardzo skomplikowane!
    • moje dane nie mają wartości, nikomu nie jest potrzebny dostęp do mojego konta na Facebook’u.
    • To prawda, używam jednego hasła wszędzie, ale jest ono takie, że nikt go nie odgadnie!

❓ Dlaczego akurat każda z tych czterech myśli jest błędna lub niewłaściwa? 

❓ Czy rzeczywiście Twoje hasło musi mieć 8 znaków, dużą, małą literę, cyfrę i znak specjalny? 

❓ Czy musisz je zmieniać co miesiąc? 

❓ Czy musisz mieć inne hasło do różnych serwisów? ← Akurat na to pytanie odpowiem od razu – TAK, a dlaczego tak jest dowiesz się we wpisie Hasło do telefonu, do banku, do Fejsbuka, do Instagrama, do poczty – ile tego?! Czyli jak je wszystkie spamiętać

Na pozostałe pytania, udzielę Ci odpowiedzi w tym artykule. Będzie zarówno prosto, jak i trochę technicznie. Techniczna sekcja będzie oznaczona takim symbolem 🤓.

Kiedy długość (hasła) ma znaczenie

Dobra, ale zacznijmy od tego, czym jest hasło?

Hasło to przede wszystkim:

    • pierwsza linia obrony przed dostępem osób trzecich do Twoich danych
    • ciąg znaków będący sposobem na umożliwienie Tobie dostępu do danych zapisanych w jakimś systemie, czyli inaczej uwierzytelnienia.

Bardzo upraszczając na przykładzie logowania do poczty e-mail, kiedy wpisujesz swój adres e-mail oraz hasło komunikacja wygląda tak:

Twój komputer >> hej, chcę uzyskać dostęp do tej poczty imienazwisko@twojapoczta.pl

Serwer poczty >> Ok, podaj najpierw hasło

Twój komputer >> tutaj jest hasło dostępu: BardzoTrudneHaslo1!

Serwer poczty >> Ok, to co wpisałeś zgadza się z moją bazą haseł, udzielam Ci dostępu.

Dzieje się magia i Twój komputer uzyskuje dostęp do skrzynki odbiorczej.

Widzisz już zatem, że jeśli nie byłoby hasła, to każdy mógłby mieć dostęp do wszystkiego (ahhh czasy starego internetu…), a tak przynajmniej na tym etapie mamy już pierwszego “ochroniarza”, który mówi “dowodzik poproszę”. 

Ok, po krótkim wstępie przejdźmy do istoty problemu, czyli dlaczego długość (hasła) ma znaczenie. Odpowiedź na to pytanie jest prosta i logiczna, bo… matematyczna. 

Wersja krótka:

Im więcej symboli ma dany ciąg znaków, tym trudniej odgadnąć jest jego rzeczywistą treść, bo musimy wypróbować wszystkie możliwe kombinacje. Innymi słowy, żeby dojść do słowa Haslo123! musimy wypróbować wszystkie możliwe kombinacje zaczynając od a, aa, aaa, aaaa, aaaaa, aaaaaa… i tak dalej. A każda taka operacja wymaga zasobów komputera atakującego.

## Wersja trochę bardziej techniczna (dla nerdów) 🤓 ##

Na pewno słyszałeś/aś kiedyś o rachunku prawdopodobieństwa i algebrze, prawda? No właśnie, to na tym między innymi polega określanie siły hasła. Okay, sprawdźmy to na przykładzie:

Załóżmy, że to jest nasze hasło: Haslo123! Atakujący oczywiście nie widzi naszego hasła, ani nawet jak długie ono jest, musi więc odgadnąć każdy znak.

I teraz spójrz:

    • w łacińskim alfabecie mamy 26 liter, 

co oznacza, że mamy 1 na 26 szans aby odgadnąć co kryje się pod każdym ze znaków. Ale! To prawdopodobieństwo nie widzi różnicy między wielką a małą literą. Zatem, jeśli weźmiemy pod uwagę dużą i małą literę, to prawdopodobieństwo zmienia się i atakujący ma 1 na 52 szans aby odgadnąć co kryje się pod każdym ze znaków

    • mamy 10 cyfr

co oznacza, że atakujący ma 1 na 10 szan aby odgadnąć co kryje się pod każdym z tych znaków

    • znaków specjalnych mamy 33 (w zależności od konfiguracji administratora, ale załóżmy wersję 33)

co oznacza, że atakujący ma 1 na 33 szans aby odgadnąć co kryje się pod każdym z tych znaków.

Te rachunki prawdopodobieństwa oczywiście się sumują, co oznacza, że w powyższym scenariuszu atakujący ma 1 na 95 szans, że odgadnie każdy ze znaków. I tutaj dzieje się właśnie magia, bo:

      • jeśli hasło ma 2 znaki, to atakujący ma 1 na 9025 szans (95×95) aby je odgadnąć
      • jeśli hasło ma 3 znaki, to atakujący ma 1 na 857 375 (95x95x95) szans aby je odgadnąć
      • a jeśli hasło ma 9 znaków (jak w naszym przypadku), to atakujący ma 1 na… 630 249 409 724 609 375 szans! Dużo prawda?

Niestety nie jest to dużo dla współczesnych komputerów, które mogą tyle kombinacji sprawdzić niemal natychmiast. 

## Koniec części technicznej 🤓 ##

I teraz zdradzę Ci tajemnicę, ale musimy być bałdzo, bałdzo cicho…… Atakujący nie odgadują Twoich haseł wpisując każdą kombinację ręcznie!!! 😲😲 Korzystają z komputerów i programów, które robią to w sposób zautomatyzowany. To właśnie te programy sprawdzają miliony milionów haseł niemal natychmiast próbując wszystkich możliwych kombinacji liter i znaków. I to nazywa się atakiem siłowym (z ang. brute force). Więcej o tym (jak mi się napisze) przeczytasz tutaj.
Bardzo ciekawą grafikę, na której widać mniej-więcej ile czasu potrzeba na złamanie hasła metodą brute force jest ta tabela od HiveSystems:

Hasło kociołkiem Panoramixa

Ok, skoro zatem wiesz już, że im dłuższe hasło, tym lepiej, to co powinno ono zawierać? Czy musi posiadać duże i małe litery, znaki specjalne i cyfry?

Odpowiedzią na to jest TAK… ale też nie… [Tu wstaw mem – Well yes, but actually no.]

Pozwól, że wyjaśnię. 

Jak już wiesz, im dłuższe hasło, tym prawdopodobieństwo jego odgadnięcia jest mniejsze. Oznacza to, że jeśli użyjesz hasła zbudowanego wyłącznie z liter, ale będzie ono miało np. 14 znaków, to będzie o wiele trudniejsze do złamania aniżeli 8 znakowe, ale bardzo skomplikowane.

Pewnie zatem zachodzisz w głowę jak stworzyć tak długie hasła?!🤔

I tutaj wchodzę ja, cały na biało 👨‍⚕️,  z odpowiedzią – fraza zabezpieczająca (po angielsku brzmi to fajniej passphrase). Czyli coś jak hasło, ale oparte na całych zdaniach lub wielu losowych słowach, a nie pojedynczych wyrazach. Brzmi zagadkowo? 

Spójrz: 84rd20Trvdn3H45l0& ← to jest potencjalnie trudne, skomplikowane hasło zbudowane z cyfr, liter i znaków specjalnych. Ok, jest trudne do “odgadnięcia”, ale jest też trudne do zapamiętania.

Łatwiejsze do zapamiętania jest na przykład to: HejPieskuPieskuWracajJuzDoLasuHejPieskuPieskuSzkodaTwegoCzasu

Chodzi o to aby zamiast jednego słowa lub przypadkowej zbitki znaków skorzystać z całego zdania, które nam będzie łatwo zapamiętać. Zamiast zdania, możesz też skorzystać z innych metod wykorzystujących różne słowa, jak np. 2., 1., 3. i 7. wyraz kolejnych wierszy piosenki, która siedzi Ci ostatnio w głowie. 

Chodzi zatem o to aby stworzyć swój własny algorytm doboru słów do hasła. Wtedy nie tylko będzie ono bezpieczniejsze w przypadku ataku siłowego, ale także w przypadku ataku słownikowego! Twoje hasło nie zawsze musi być zatem złożone z różnych rzeczy, jak napój studenta – kociołek Panoramixa.

🚫🚫🚫

Nie korzystaj jednak WPROST z tekstów piosenek czy cytatów z filmów, gier, książek. Dlaczego? Dlatego że są one popularne i łatwo wyszukiwalne. Możesz wziąć wers swojej ulubionej piosenki i zmienić w nim kilka słów tak aby dla Ciebie nadal było ono łatwe do zapamiętania, ale nie będzie łatwe do znalezienia czy powiązania w Internetach.

Atak słownikowy to taka próba odgadnięcia haseł, która polega na skorzystaniu z jakiejś bazy haseł lub słów zamiast podstawiania wszystkich możliwych kombinacji liter. Może to być np baza 100.000 najpopularniejszych haseł lub baza haseł które ostatnio wyciekły do sieci. Więcej o tym ataku (jak już się napisze) przeczytasz tutaj.

Jak często je zmieniać?

Przejdźmy zatem do odpowiedzi na ostatnie pytanie – czy muszę zmieniać hasło co 30/60/90/120/x dni?

Wersja krótsza

Odpowiedź: NIE, jeśli masz długie hasło (14+ znaków)

## Wersja trochę bardziej techniczna (dla nerdów) 🤓 ##

Odpowiedź: To zależy. I to zależy od wielu czynników:

1) Czy jest to super skomplikowane hasło;

Im dłuższe hasło, tym rzadziej musisz je zmieniać, bo jak już przeczytałeś/aś w poprzednim rozdziale, niemal nieskończoność zajmie odgadnięcie 14 znakowego hasła metodą siłową.

2) Jak ważny jest dostęp do tego systemu

Do bardziej krytycznych systemów (jak konta bankowe, czy tzw. master-hasło do menedżera haseł, lub inne ważne systemy w pracy) warto regularnie zmieniać hasła aby zmniejszyć atakującym szansę i skrócić czas w trakcie którego mogą przełamać lub odgadnąć Twoje hasło.

3) Czy jesteś paranoikiem (jak ja) i wolisz dmuchać na zimne;

Tego chyba nie muszę tłumaczyć. :v

## Koniec części technicznej 🤓 ##

The end…?

Na zakończenie, podsumowanie najważniejszych zasad:

❗️ stosuj długie hasła – min. 14 znaków;

❗️nie używaj jako haseł słów, które można z Tobą powiązać;

❗️nie używaj jako haseł nazw serwisów;

❗️nie używaj jako haseł słów powszechnie znanych;

❗️nie używaj takich samych ani podobnych haseł (nawet w ramach jednego serwisu);

❗️nie podawaj nigdy, nikomu swojego hasła do jakiegokolwiek serwisu;

❗️korzystaj z generatorów losowych haseł lub jeszcze lepiej, fraz zabezpieczających;

❗️nie idź na łatwiznę w tworzeniu haseł!

Posłowie

Siłę haseł jednak szlag trafi, gdy na szerszą skalę będą wykorzystywane komputery kwantowe. 🙃🙃🙃🙃🙃 Ale o tym w innym odcinku…

*usuń aplikację* + *usuń moje dane*

1 minuta

Google wprowadza nową politykę, zgodnie z którą wszystkie aplikacje w sklepie (Google Play) będą musiały posiadać funkcję usunięcia danych użytkownika. Do 7 grudnia 2023 deweloperzy będą musieli udostępnić informację jak można usunąć dane. Jeśli nie prześlą tych informacji, nie będą mogli publikować swoich aplikacji w sklepie Google. A jeśli nie zrobią tego do 31 maja 2024 r., to ich aplikacja wylatuje ze sklepu. Co istotne, usunięcie danych MUSI być możliwe bez konieczności ponownej instalacji aplikacji.

Innymi słowy usuwając aplikację z naszego szmartfona (z Androidem) będziemy mieli możliwość łatwiejszego egzekwowania praw takich jak prawo do bycia zapomnianym, czy prawo sprzeciwu wobec przetwarzania.

Duuuży

za ten ruch!

Avast biedniejszy o 13,7 mln euro

1 minuta

Pamiętacie, jak kiedyś wyszło, że Avast (tak, ten od antywirusów) sprzedawał reklamodawcom (m.in. Google, Microsoft, Sephora, Home Depot…) dane swoich użytkowników? Nie? Tutaj możecie o tym poczytać. 

Otóż zainteresował się tym hiszpański organ nadzorczy (odpowiednik polskiego Prezesa Urzędu Ochrony Danych), ale przetransferował sprawę do czeskiego organu. No i ten przeanalizował sprawę (zajęło mu to ponad dwa latai stwierdził, że Avast niedostatecznie informował użytkowników w momencie uzyskania od nich danych:

  • w jakich celach je zbiera
  • na jakiej podstawie je zbiera.

A jakie dane Avast zbierał? A różne: 🗺 dane o lokalizacji, 🎞obejrzane filmy na Youtube, 🪪 profile które przeglądaliśmy na LinkedIn, 🌐 strony w internetach jakie przeglądaliśmy i wiele, wiele innych. Wniosek?

💸💸💸

13,7 mln euro kary za naruszenie RODO

💸💸💸

Więcej info na stronie hiszpańskiego NGO, który jako pierwszy poinformował hiszpański organ nadzorczy o tej sprawie.