Προσπάθεια αντιμετώπισης της "επίθεσης" που δέχτηκε το Facebook

[ipo]

τι σοβαρο μπορει να εχει ενας χρηστης στο facebook kai να το εκμεταλλευτει καποιος??

Υπάρχουν άνθρωποι που βάζουν μέχρι και πότε πήγαν WC τελευταία φορά.

Οπότε είσαι υπόλογος στο αφεντικό σου αν έχεις δηλώσει δυσκοίλιος ή αντιθέτως ότι είσαι σπίτι με διάρροια.

Άσε που μετά θα σου έρθουν πόσα spam για να αγοράσεις χαρτί υγείας ή (αντίθετη περίπτωση) για δαμάσκηνα, σύκα και ακτινίδια.

[Antre]

Οπότε είσαι υπόλογος στο αφεντικό σου αν έχεις δηλώσει δυσκοίλιος ή αντιθέτως ότι είσαι σπίτι με διάρροια.

Άσε που μετά θα σου έρθουν πόσα spam για να αγοράσεις χαρτί υγείας ή (αντίθετη περίπτωση) για δαμάσκηνα, σύκα και ακτινίδια.

Πέραν της πλάκας, κάπως έτσι λειτουργούν τα spam, εκνευριστικά pop ups κ.λ.π.

[aiolos.01]

Πράγμα που όμως δεν αποτελεί το κύριο πρόβλημα, έτσι κι αλλιώς φαίνεται ότι πάρα πολλοί χρήστες πρόθυμα δίνουν τον κωδικό τους δεξιά-αριστερά, όπως και στα διάφορα phishing που εκμεταλλεύονται το MSN. Τί να τον κάνουν το δύσκολο κωδικό, αν δεν προσέχουν πέντε στοιχειώδη πράγματα για να προστατευτούν;

Ελα ντε... ωραίοι ειδικοί είναι αυτοί. Τα password τα έκλεψαν με phising, τι σχέση έχει αν είναι ισχυρά η οχι;

[grayden]

Ξεχάσατε να αναφέρετε και το άλλο. Έτσι και μου κλέψουν το pass μπορούν να το συνδυάσουν με λογαριασμούς μου σε άλλα sites (μέσω ενός nickname πχ) και να τρέχω και εκεί μετά ή απλά να μπει σε ένα λεξικό και στα καλά καθούμενα να βρεθώ με μια τρύπα ασφαλείας ναααααα.

[ipo]

Ας κάνουμε μία αναθεώρηση... Μόλις διάβασα την είδηση από την πηγή της στο BBC. Σχετικά με τα αδύναμα passwords γράφει:
"Security experts say part of the problem is that members are using passwords that are just too weak, ones like family or pet names that are often on a person's homepage and so can be easily guessed."

Επομένως έχει νόημα να μιλάμε και για τα αδύναμα passwords. Εκτός λοιπόν του phishing, η υπόθεση εξελίσσεται ως εξής:

1) Ο επίδοξος spammer (ή κάποιος που τον πληρώνει) κοιτάει μερικούς λογαριασμούς facebook. Ας πούμε ότι ελέγχει εκείνους που είναι προσβάσιμοι και από "μη φίλους". Εύκολα βρίσκει την e-mail διεύθυνση (username) στη σελίδα του προφίλ, ενώ με ένα script δοκιμάζει και όλες τις λέξεις που βρίσκει στην ίδια σελίδα (κατοικίδια, όνομα μπατζανάκη κλπ). Αν λοιπόν μερικοί είναι τόσο απονήρευτοι που έχουν βάλει το όνομα της λεοπάρδαλής τους σαν password, ο χακεράς (πλέον δεν χρειάζεται να είσαι master coder και γνώστης δικτύων για να κάνεις hacking, απλά να είσαι λιγότερο αδαής από τους άλλους) βρίσκει κάμποσα ζεύγη username-password. Μερικά ακόμα μπορεί να βρει και με μεθόδους phishing. Έτερον εκάτερον. Με συνδυασμό των δύο τρόπων αποκτά μία καλή αρχική συλλογή από λογαριασμούς e-mail και κωδικούς facebook.

2) Η συνέχεια εξελίσσεται εκθετικά, με άλλα λόγια με τη μορφή χιονοστιβάδας. Με script πάλι στέλνει προσκλήσεις στους φίλους των ατόμων, από τους οποίους πήρε τους κωδικούς, καλώντας τους να εγκαταστήσουν εφαρμογές, να ρίξουν μπάτσες, χιονόμπαλες και άλλα παρεμφερή στα οποία έχουν ήδη συνηθίσει οι χρήστες του facebook. Εκείνοι κάνουν log-in σε fake σελίδες, όπως έχουν συνηθίσει να κάνουν για πολλές εφαρμογές του facebook και μάλιστα με direct links από e-mail. Οπότε η συλλογή e-mail, αλλά και τα υποψήφια επόμενα θύματα αυξάνονται με ρυθμό 300ˣ όπου x o αριθμός των loop που κάνει το script του spammer για συλλογή διευθύνσεων και αποστολή e-mail, ενώ 300 είναι σύμφωνα με ανεπίσημες διαδικτυακές πηγές ο μέσος αριθμός των φίλων κάποιου στο facebook (τώρα νιώθω μειονεκτικά που έχω λιγότερους ). Κλασσική διαδικασία phising λοιπόν, αλλά με εκθετική αύξηση. expPhishing λοιπόν!

Στο παρελθόν είχα εργαστεί σε εταιρεία που παρείχε online υπηρεσίες. Κάποια στιγμή θέλησαν να συνδυάσουν τις υπηρεσίες τους με το facebook, όπως ήδη κάνουν πολλές εταιρείες. Αν και γενικά δεν νιώθω συντηρητικός, ήταν η πρώτη φορά που αρχικά είχα ενδοιασμούς, διότι το facebook έχει ένα εν δυνάμει επικίνδυνο χαρακτηριστικό: Λειτουργεί συστηματικά με τη ροή: e-mail-->click-->log in (unsecure μάλιστα) η οποία είναι ηθικός αντικατοπτρισμός της διαδικασίας του phishing (δηλαδή για καλό σκοπό).

Αν λοιπόν οι συνηθισμένοι χρήστες στην παραπάνω ροή δεχτούν ένα phishing mail, ελάχιστοι θα το υποψιαστούν, ενώ είναι πολύ πιθανό να καταλήξουμε σε φαινόμενα μεγάλων διαστάσεων, όπως στην περίπτωση του νήματος.

Λέμε "όχι" λοιπόν; Εγώ λέω να πούμε "ναι", αλλά να φροντίσουμε να ενημερώνουμε όσους μπορούμε και σίγουρα να είμαστε έτοιμοι ανά πάσα στιγμή για να καλύψουμε το λάθος των χρηστών, αν παρέχουμε τέτοιες υπηρεσίες.

[Rebel Scum]

Το να χακάρεις καποιου το λογαριασμο στοχευμένα δεν είναι και τίποτα αδύνατο.

Το μαζικό του θέματος είναι το δύσκολο. Για αυτό διάλεξαν και τον συγκεκριμένο τρόπο...βασιζόμενοι στην άγνοια πολλών.

Εδώ στη δουλειά λαμβάνω chain mail από συνεργάτες και πελάτες και μου ρχεται να καρυδώσω κανένα....

[tsigarid]

Αλήθεια, υπάρχει κανένα site που να μπορούμε να βάλουμε τους κωδικούς μας του facebook, ώστε να δούμε αν μας τους έχουν κλέψει; Αν έχει και έλεγχο κωδικών e-banking, ακόμα καλύτερα, για να τα τσεκάρουμε όλα επί τη ευκαιρία.

Spoiler:

Υπάρχει, το οποίο έχει σκοπό να δώσει όλους τους κωδικούς σου στους ηλεκτρονικούς κληρονόμους σου. Δεν κάνω πλάκα:
http://www.cnn.com/2009/TECH/05/18/d...ine/index.html

Spoiler:

Το αν το εμπιστευόμαστε είναι άλλο θέμα

[konenas]

Χρειάζεται εκπαίδευση για να χρησιμοποιείς το διαδίκτυο ή να σου το ρυθμίσει ειδικός.

Η υπερβολική χρήση κοινωνικών δικτύων καταδεικνύει έλλειψη κοινωνικότητας στην πραγματική ζωή. «Μηδέν άγαν»

Θα πρέπει να καταλάβουμε ότι φαινόμενα χακ θα υπάρξουν και στο μέλλον. Το διαδίκτυο δεν είναι 100% ασφαλές.

[Tiven]

Το διαδίκτυο δεν είναι 100% ασφαλές.

Γιατί, υπάρχει κάτι σε αυτόν τον κόσμο που είναι;

[vasim]

Εγώ πάντως έχω facebook το λέω και το κάνω εν γνώση μου. και επίσης έχω και αδυναμότατο password στο facebook. Δε μπαίνω καν στον κόπο να το αλλάξω. Δε με νοιάζει. Ας το ψάρεψαν. χ...κα.

[takisch]

Off Topic

Μια και μιλάμε για ασφάλεια πόσο ασφαλές είναι να φυλάμε τους κωδικούς στην αποθήκευση του firefox.
Μπορεί να κλαπεί αυτό το αρχείο και πως;

[konenas]

Γιατί, υπάρχει κάτι σε αυτόν τον κόσμο που είναι;

Όλοι νομίζουν πως το διαδίκτυο είναι και βάζουν εκεί ότι έχουν και δεν έχουν ...

Και πολλοί ετοιμάζονται για το διαδίκτυο #2 ...

[ipo]

Εγώ πάντως έχω facebook το λέω και το κάνω εν γνώση μου. και επίσης έχω και αδυναμότατο password στο facebook. Δε μπαίνω καν στον κόπο να το αλλάξω. Δε με νοιάζει. Ας το ψάρεψαν. χ...κα.

Σε αυτή την αδιαφορία των χρηστών βασίζονται εν μέρει τα spam. Πατάνε forward σε ό,τι τους έρθει κι ας έχουν ακούσει για τα spam και πώς να τα αντιμετωπίζουν. Αντιστοίχως, άτομα σαν κι εσένα με αδύναμα password στο facebook έγιναν αιτία για να εξελίχθεί ραγδαία το φαινόμενο για το οποίο γίνεται λόγος στο νήμα. Αδιαφορώντας λοιπόν όπως λες, επηρεάζεις αρνητικά τους φίλους σου και αρκετούς άλλους ακόμα. Ελπίζω τουλάχιστον να σε νοιάζει αυτό.

Οι περισσότερες σύγχρονες διαδικτυακές επιθέσεις βασίζονται στην αδιαφορία και την άγνοια των χρηστών, σχετικά με την ασφάλεια του υπολογιστή τους. Αν δεν υπήρχαν οι αδιάφοροι/αδαής, ούτε botnets για μαζικές επιθέσεις θα είχαμε, ούτε τόσα spam.

[vasim]

Σε αυτή την αδιαφορία των χρηστών βασίζονται εν μέρει τα spam. Πατάνε forward σε ό,τι τους έρθει κι ας έχουν ακούσει για τα spam και πώς να τα αντιμετωπίζουν. Αντιστοίχως, άτομα σαν κι εσένα με αδύναμα password στο facebook έγιναν αιτία για να εξελίχθεί ραγδαία το φαινόμενο για το οποίο γίνεται λόγος στο νήμα. Αδιαφορώντας λοιπόν όπως λες, επηρεάζεις αρνητικά τους φίλους σου και αρκετούς άλλους ακόμα. Ελπίζω τουλάχιστον να σε νοιάζει αυτό.

Οι περισσότερες σύγχρονες διαδικτυακές επιθέσεις βασίζονται στην αδιαφορία και την άγνοια των χρηστών, σχετικά με την ασφάλεια του υπολογιστή τους. Αν δεν υπήρχαν οι αδιάφοροι/αδαής, ούτε botnets για μαζικές επιθέσεις θα είχαμε, ούτε τόσα spam.

Τα σοβαρά passwords στα σοβαρά sites, προγράμματα κλπ. Στα σκουπίδια (στο οποίο ξαναλέω συμμετέχω αν όχι ενεργά αλλά επειδή με έβαλαν) ποσώς με νοιάζει αν θα μου βρουν το password. Οι άλλοι που ασχολούνται, μωρά δεν είναι, έχουν κρίση να βάλουν 128bit encrypted password για να μπάινουν. Άλλωστε δεν πρότεινα ΠΟΤΕ σε κανέναν να μπει στο φεις μπουκ.

[ipo]

Τα σοβαρά passwords στα σοβαρά sites, προγράμματα κλπ. Στα σκουπίδια (στο οποίο ξαναλέω συμμετέχω αν όχι ενεργά αλλά επειδή με έβαλαν) ποσώς με νοιάζει αν θα μου βρουν το password. Οι άλλοι που ασχολούνται, μωρά δεν είναι, έχουν κρίση να βάλουν 128bit encrypted password για να μπάινουν. Άλλωστε δεν πρότεινα ΠΟΤΕ σε κανέναν να μπει στο φεις μπουκ.

Αν διαβάσεις τα 2 post μου παραπάνω, θα καταλάβεις ότι η δική σου αδιαφορία σχετικά με την ασφάλεια του λογαριασμού σου, μπορεί να επηρεάσει τους φίλους σου και άλλους πολλούς. Αυτό έθιξα και τίποτε παραπάνω.