Promena lozinke nije dovoljna za zaštitu hakovanog naloga

Tekstovi o zaštiti, 06.10.2010, 01:21 AM

Nedavno smo vas izvestili o upozorenjima kojima Google obaveštava korisnike Gmail naloga da su njihovi nalozi hakovani i da je neovlašćen pristup nalozima povezan sa IP adresama u Kini. Jedan od hakovanih naloga bio je i onaj koji pripada istaknutom britanskom aktivisti u borbi za pravo na privatnost koji je kritikovao cenzuru interneta koju sprovodi kineska komunistička partija. Tom prilikom portparol kompanije Google je odbio da komentariše pojedinačne napade, ističući važnost politike koju od pre sedam meseci vodi kompanija Google a koja znači obaveštavanje korisnika u slučajevima kada se njihovim nalozima pristupalo sa sumnjivih IP adresa, kao i preporuku kompanije korisnicima da promene lozinke u slučaju hakovanja naloga.

Međutim, samo menjanje lozinke hakovanog naloga ne znači čak ni da ste počeli da popravljate učinjenu štetu, kaže Caleb Sima, ekspert za bezbednost web aplikacija i izvršni direktor kompanije Armorize. U kolumni za Threatpost.com, Sima objašnjava svoj stav i daje smernice šta korisnici treba da učine kako bi zaštitili svoje naloge nakon hakovanja.

Nedavno sam pročitao članak o upozorenjima vezanim za napade kineske vlade na Gmail naloge. U članku je dato jedno rešenje kako popraviti hakovani Gmail nalog: promenom lozinke. To je dobar savet, ali nedovoljan. Svaki iole “pristojan” napadač će obezbediti sebi bar jedan ulaz na zadnja vrata kako bi mogao da povrati kontrolu nad vašim nalogom tako brzo da će vam se od toga zavrteti u glavi.

Ljudi su zbunjeni kada se njihovi Gmail nalozi ponovo hakuju i često ne shvataju kako je to moguće. Zato sam ukazao na još neke najočiglednije stavke koje treba proveriti kako bi ste bili sigurni da je vaš Gmail/Google nalog zaključan.

Imajte na umu filtere

Najbolji način da se napadač ponovo domogne vašeg naloga je da čita vaše email-ove čak i pošto ste promenili lozinku. Dakle, jedan od prikrivenih ulaza u vaš nalog za napadača je podešavanje prosleđivanja email-ova, prema tome, morate ih promeniti kako se ne bi desilo da šaljete napadaču kopiju svojih poruka kada stignu, uključujući i poruke o resetovanju lozinke. Proverite da li ste isključili ovakva prosleđivanja posle bilo kakvog hakovanja.

Proverite podešavanja za Password Recovery

Sledeći najbolji način za ponovno hakovanje vašeg naloga je da napadač ima mogućnost da povrati (recover) ili resetuje vašu lozinku. To nije najlukaviji način ali dobro obavlja posao. Proverite da li je još jedna email adresa dodata vašem nalogu. To bi omogućilo napadaču da dobije link za resetovanje lozinke na svoju email adresu.

Idite na Settings (Podešavanja) --> Accounts and Import (Nalozi i uvoz) --> Google account settings (Podešavanja Google naloga) --> Change password recovery options (Promenite opcije za ponovno dobijanje lozinke) --> Email.

Proverite da li je izmenjen broj telefona na koji se šalje SMS u Google account settings. Pored toga, proverite da li je vaše sigurnosno pitanje zamenjeno pitanjem na koje odgovor zna napadač. Lukavi napadač će ostaviti vaše pitanje nepromenjeno, ali će promeniti odgovor tako da ga samo on zna. Slobodno promenite i sigurnosno pitanje i odgovor.

Čuvajte se malicioznih aplikacija

Gmail nije samo program za email, on je i deo ekosistema web aplikacija. Proverite aplikacije kojima ste sami dali autorizaciju kako biste videli da li je napadač dodao svoje sopstvene, maliciozne aplikacije kojima je odobrio pristup vašem nalogu. Ovo je moj lični favorit. Svi danas dodaju društvene aplikacije i daje dozvolu third party aplikacijama za pristup Facebook/Google nalozima. Većina ljudi i ne gleda kakve dozvole daje third party aplikacijama. U Gmail-u aplikacije mogu da urade mnogo toga što bi napadač želeo da uradi. Čak je i bolje, sa stanovišta napadača to što niko i ne zna gde i kako da opozove ili proveri dozvole date ovim aplikacijama za pristup nalozima - jednom kada daju odobrenje, korisnici zaboravljaju na to. Postoje open source aplikacije koje podržavaju potpun IMAP/SMTP pristup korišćenjem OAUTH. (Na primer, Python skripta iz "Google-mail-xoauth-tools" open source projekta). Kada je Gmail nalog hakovan, napadač može pokrenuti skriptu i obezbediti pristup aplikaciji sa potpunim ovlašćenjima. Čak i ako promenite lozinku više puta, maliciozna aplikacija može nastaviti da čita vaše email-ove i da pristupa vašim ličnim podacima.

Razmišljajte i izvan okvira email-a

Nisu ovo jedini načini koji omogućavaju čitanje vaših email-ova. Napadači imaju nekoliko mogućnosti da se dokopaju vaših podataka, a to je u današnjem svetu lakše nego ikada. Ako imate Google voice, idite u Voice Settings i proverite da li se vaša govorna pošta i tekstualne poruke ne šalju na neku drugu email adresu.

Ako pak imate važne Google dokumente u Google Docs, proverite da napadač nije uključio opciju za deljenje (sharing). Siguran sam da ne želite da neko neočekivano upadne i prisluškuje vaš sledeći sastanak. Ako je tako, postoji nekoliko stavki koje treba proveriti.

U Calendar Settings, skliknite na svoje kalendare za detaljan prikaz i kliknite na “reset private URLs” u delu Private address. To će promeniti adrese koje se mogu koristiti za preuzimanje kalendara događaja. Kao napadač, ka lako mogu iskopirati ovaj URL i nadgledati vaš kalendar. Zatim, kliknite na tabulator “Share this calendar” i proverite da nema email adresa koje su dodate a koje su vam nepoznate.