Niedziela 19 listopada 2017 Wydanie nr 3555

Bezpieczeństwo w sieci - warsztaty

14.11.2008 / ebos/serwis Nauka w Polsce Bezpieczeństwo w sieci - warsztaty  

Włamanie "na żywo" na konto pocztowe w popularnym serwisie internetowym, podglądanie prywatnej rozmowy przeprowadzanej z użyciem jednego z komunikatorów internetowych, podłączanie do źle zabezpieczonej sieci komputerowej i nauka poprawnej konfiguracji konta mailowego w programie pocztowym

Tego wszystkiego mogły doświadczyć osoby, które przybyły prezentację i warsztaty, zorganizowane przez studentów i doktorantów Wydziału Elektroniki, Telekomunikacji i Informatyki Politechniki Gdańskiej (PG) w ramach Bałtyckiego Festiwalu Nauki.

Prowadzący imprezę - Wacław Dziewulski, prezes Koła Naukowego Sieci Komputerowych "PING", mgr inż. Tomasz Gierszewski oraz kilku innych studentów, członków "PING-u" - w łatwy i przystępny sposób wyjaśniali gościom skomplikowane zagadnienia z zakresu bezpieczeństwa sieci komputerowych i uczyli prawidłowych zachowań w Internecie. W kilku odrębnych, krótkich prezentacjach każdy z uczestników mógł samodzielnie skonfigurować konto mailowe, "pobawić się" serwerem DNS i obejrzeć, jak łamany jest wymyślony przez niego klucz WEP. Prezentacja została nominowana do konkursu "Popularyzator nauki" organizowanego przez serwis Nauka w Polsce i Ministerstwo Nauki i Szkolnictwa Wyższego.

Prowadzący omawiali też najczęstsze zaniedbania, których dopuszczają się użytkownicy sieci WWW. Ich zdaniem, jednym z najpowszechniejszych błędów popełnianych przez użytkowników popularnych, darmowych serwerów pocztowych, jest lekceważenie instytucji tzw. pytań pomocniczych. Wymyślono je, aby osoba, która zapomni swojego hasła, mogła ustanowić nowe i nadal korzystać z poczty elektronicznej.

"Jeżeli zdarzy nam się taka sytuacja, wystarczy odpowiedzieć na proste pytanie, określane w momencie zakładania konta, a nowe hasło zostanie automatycznie przesłane na podany adres e-mail" - wyjaśnia Dziewulski. Jednak, jak dodaje, niebezpieczeństwo tkwi w tym, że zdecydowana większość z nas jako pytanie pomocnicze wybiera własne imię. To samo imię, które z reguły stanowi główny człon nazwy użytkownika, np. krysia123, marus5 czy magdalenkaxxx.

"Każdy, niedoświadczony nawet haker, może więc z łatwością odpowiedzieć na pytanie pomocnicze i zmienić hasło dostępu do naszego konta. Wówczas nie tylko poznaje zawartość naszej +skrzynki+, ale też odcina na stałe nasz dostęp do niej" - podkreśla prezes "PING".

"Czujemy się bezpiecznie, ustalając trudne hasła złożone z liter, cyfr i innych znaków, a zapominamy, że +pod spodem+ istnieje jeszcze jedna warstwa zabezpieczeń (pytania pomocnicze), którą całkiem zaniedbujemy - podsumowuje Dziewulski. - I ktoś, przy odrobinie złej woli, może to wykorzystać".

Uczestnicy warsztatów mieli też okazję zobaczyć mechanizmy, których używa "intruz", aby włamać się do sieci komputerowej i najczęstsze błędy popełniane podczas zabezpieczania takiej sieci. Na własne oczy zobaczyli przykłady zniszczeń, jakie spowodować może działalność hakera. A co właściwie może on zniszczyć? "Wszystko, co jest źle zabezpieczone - tłumaczyli prowadzący. - Może podsłuchać nasze maile, podejrzeć wiadomości przesyłane na gadu-gadu, odczytać loginy i hasła do różnych kont i serwisów WWW".

Na przykładzie jednego z serwisów społecznościowych młodzi informatycy udowadniali, że w większości portali żadne dane nie są bezpieczne. Okazuje się, że można zdobyć prywatne hasła i loginy (nazwy użytkowników), które przeciętny człowiek uważa za dobrze chronione. "Rozwiązaniem tego problemu mogłoby być korzystanie z protokołu SSL (Secure Socket Layer - przyp. PAP) - mówili. - Ale mało kto w ogóle o nim wie. Tymczasem jedno dodatkowe kliknięcie podczas logowania, może ochronić nas przed kradzieżą danych i przykrymi następstwami".

A czym jest protokół SSL? "To mechanizm umożliwiający szyfrowanie i ochronę danych, które płyną przez sieć - wyjaśniał Dziewulski. - Wykorzystuje się go przy bezpiecznych połączeniach z serwisami internetowymi (np: allegro.pl, nasza klasa.pl), a także pocztą (np.: poczta.onet.pl, poczta.wp.pl, gmail.com). Jednak domyślnie nie jest używany, przez co nasze hasła, loginy i treść maili jest przesyłana bez szyfrowania i łatwa do podsłuchania".

Dlaczego tak się dzieje? "Używanie SSL nie leży w interesie portali. Znacznie obciąża ich serwery, więc nikomu nie zależy, aby informować użytkowników o jego istnieniu" - tłumaczyli studenci PG.

W dalszej części pokazu członkowie Koła Naukowego Sieci Komputerowych skupili się na konfiguracji i podatności na włamania do bezprzewodowych sieci komputerowych. Jak mówili, stają się one coraz popularniejsze, ponieważ coraz więcej osób posiada laptopy. Jednak ich bezpieczeństwo nadal pozostawia wiele do życzenia. Winę za to ponoszą niedostatecznie wyszkoleni lub niedbali administratorzy i opiekunowie sieci.

Gdańscy informatycy wprowadzali więc słuchaczy w tajniki prawidłowych zabezpieczeń. Omawiali proces skanowania i wyszukiwania dostępnych sieci, etapy uwierzytelniania, przyłączania i transmisji danych. Podkreślali konieczność stosowania takich rozwiązań, jak np. ukrywanie SSID (Service Set IDentifier) i podkreślali przewagę klucza WPA (WiFi Protected Access) nad kluczem WEP (Wired Equiwalent Privacy).

Jak dowiedzieli się uczestnicy festiwalu, WEP jest standardem szyfrowania danych, używanym w sieciach bezprzewodowych, który powstał w 1997 roku. Prowadzący warsztaty podkreślali, że to właśnie on jest domyślnie i powszechnie stosowanym protokołem (np. w takich urządzeniach jak LiveBox TP), mimo iż zapewniane przez niego bezpieczeństwo jest złudne. "Czas uzyskania dostępu do tak zabezpieczonej sieci to dla napastnika parę minut" - ostrzegali. Tymczasem dostępne są zdecydowanie skuteczniejsze rozwiązania. Należy do nich WPA, którego mechanizm został wyjaśniony w dokładny lecz przystępny sposób.

"Złamania 5-znakowego klucza WEP to kwestia maksymalnie kilkunastu minut. Dlatego nie stosujmy WEPa, wybierzmy alternatywny WPA, który jest dużo bezpieczniejszy!" - apelował Wacław Dziewulski.

...........................................................................................
Warsztaty "Czy jesteś bezpieczny w sieci?" odbywały się w pomieszczeniach wydziałowego Laboratorium Sieci Komputerowych. Dzięki temu, każdy z uczestników pokazu mógł dotknąć skomplikowanych urządzeń i sprzętów używanych w codziennej pracy informatyków oraz samodzielnie wykonać na nich proste zadania.

PAP - Nauka w Polsce, Katarzyna Czechowicz

Inne artykuły

W sprawie tymczasowego aresztowania osób w podeszłym wieku

06.11.2017

Zgodnie ze stanowiskiem Europejskiego Trybunału Praw Człowieka, ani choroba, ani wiek nie stwarzają immunitetu wobec tymczasowego aresztowania. Jeżeli jednak władze decydują się na pozbawienie wolności, muszą sprostać obowiązkowi zapewnienia...

Prawo do grobu nie oznacza prawa do żądania ekshumacji pochowanych osób

31.10.2017

Niezależnie od tego czy prawo do grobu jest czy nie jest dobrem osobistym, spory żyjących dotyczące zmarłych trafiają i trafiać będą do sądów. Dziś zatem kilka akapitów o tym jaki skutek może mieć ustalenie prawa do grobu — czy może oznaczać...

Dać nadzieję na wolność

17.11.2017

Rozsiani po jednostkach penitencjarnych w Polsce, skazani na długie wyroki i dożywocie, sprawcy czynów, o których zwykle głośno w mediach – wielokrotni zabójcy. Nie są ujęci w statystykach, nie wiadomo, ilu ich dokładnie jest. Wiadomo natomiast...

Czy zadatek może stać się zaliczką?

13.11.2017

Czy zadatek z umowy przedwstępnej może stać się zwrotną zaliczką? Kiedy można żądać zwrotu zadatku w podwójnej wysokości (lub zachowania otrzymanego zadatku)? Jaki jest okres przedawnienia roszczeń z umowy przedwstępnej? (wyrok Sądu Apelacyjnego...

Prawo na kliknięcie myszki

27.10.2017

Skomplikowane orzeczenia sądowe czy zawiłe akty prawne już wkrótce mogą być nieco bardziej przyjazne nawet dla laika. Prawnicy i informatycy łączą siły, pracując nad systemem informacji, dzięki któremu każdy z nas łatwo wyszuka np. aktualne...

Bądź na bieżąco

Subskrybuj nasz newsletter, a będziesz na bieżąco z nowymi ogłoszeniami i komunikatami;
o spadkach, zasiedzeniach nieruchomości, depozytach sądowych, terminach rozpraw, wyrokach.

Podaj swój e-mail i otrzymuj najnowsze ogłoszenia bezpośrednio na swoją skrzynkę pocztową.

Przesyłając swój adres e-mail, zgadzam się na przetwarzanie przez Fundację ProPublika - KRS 0000595424 - podanych przeze mnie danych osobowych (e-mail) w celu otrzymywania zamówionego Newslettera.
Przyjmuję do wiadomości, że podanie danych jest dobrowolne oraz że przysługuje mi prawo dostępu do ich treści oraz ich poprawiania.