Czwartek 29 czerwca 2017 Wydanie nr 3412

Bezpieczeństwo w sieci - warsztaty

14.11.2008 / ebos/serwis Nauka w Polsce Bezpieczeństwo w sieci - warsztaty  

Włamanie "na żywo" na konto pocztowe w popularnym serwisie internetowym, podglądanie prywatnej rozmowy przeprowadzanej z użyciem jednego z komunikatorów internetowych, podłączanie do źle zabezpieczonej sieci komputerowej i nauka poprawnej konfiguracji konta mailowego w programie pocztowym

Tego wszystkiego mogły doświadczyć osoby, które przybyły prezentację i warsztaty, zorganizowane przez studentów i doktorantów Wydziału Elektroniki, Telekomunikacji i Informatyki Politechniki Gdańskiej (PG) w ramach Bałtyckiego Festiwalu Nauki.

Prowadzący imprezę - Wacław Dziewulski, prezes Koła Naukowego Sieci Komputerowych "PING", mgr inż. Tomasz Gierszewski oraz kilku innych studentów, członków "PING-u" - w łatwy i przystępny sposób wyjaśniali gościom skomplikowane zagadnienia z zakresu bezpieczeństwa sieci komputerowych i uczyli prawidłowych zachowań w Internecie. W kilku odrębnych, krótkich prezentacjach każdy z uczestników mógł samodzielnie skonfigurować konto mailowe, "pobawić się" serwerem DNS i obejrzeć, jak łamany jest wymyślony przez niego klucz WEP. Prezentacja została nominowana do konkursu "Popularyzator nauki" organizowanego przez serwis Nauka w Polsce i Ministerstwo Nauki i Szkolnictwa Wyższego.

Prowadzący omawiali też najczęstsze zaniedbania, których dopuszczają się użytkownicy sieci WWW. Ich zdaniem, jednym z najpowszechniejszych błędów popełnianych przez użytkowników popularnych, darmowych serwerów pocztowych, jest lekceważenie instytucji tzw. pytań pomocniczych. Wymyślono je, aby osoba, która zapomni swojego hasła, mogła ustanowić nowe i nadal korzystać z poczty elektronicznej.

"Jeżeli zdarzy nam się taka sytuacja, wystarczy odpowiedzieć na proste pytanie, określane w momencie zakładania konta, a nowe hasło zostanie automatycznie przesłane na podany adres e-mail" - wyjaśnia Dziewulski. Jednak, jak dodaje, niebezpieczeństwo tkwi w tym, że zdecydowana większość z nas jako pytanie pomocnicze wybiera własne imię. To samo imię, które z reguły stanowi główny człon nazwy użytkownika, np. krysia123, marus5 czy magdalenkaxxx.

"Każdy, niedoświadczony nawet haker, może więc z łatwością odpowiedzieć na pytanie pomocnicze i zmienić hasło dostępu do naszego konta. Wówczas nie tylko poznaje zawartość naszej +skrzynki+, ale też odcina na stałe nasz dostęp do niej" - podkreśla prezes "PING".

"Czujemy się bezpiecznie, ustalając trudne hasła złożone z liter, cyfr i innych znaków, a zapominamy, że +pod spodem+ istnieje jeszcze jedna warstwa zabezpieczeń (pytania pomocnicze), którą całkiem zaniedbujemy - podsumowuje Dziewulski. - I ktoś, przy odrobinie złej woli, może to wykorzystać".

Uczestnicy warsztatów mieli też okazję zobaczyć mechanizmy, których używa "intruz", aby włamać się do sieci komputerowej i najczęstsze błędy popełniane podczas zabezpieczania takiej sieci. Na własne oczy zobaczyli przykłady zniszczeń, jakie spowodować może działalność hakera. A co właściwie może on zniszczyć? "Wszystko, co jest źle zabezpieczone - tłumaczyli prowadzący. - Może podsłuchać nasze maile, podejrzeć wiadomości przesyłane na gadu-gadu, odczytać loginy i hasła do różnych kont i serwisów WWW".

Na przykładzie jednego z serwisów społecznościowych młodzi informatycy udowadniali, że w większości portali żadne dane nie są bezpieczne. Okazuje się, że można zdobyć prywatne hasła i loginy (nazwy użytkowników), które przeciętny człowiek uważa za dobrze chronione. "Rozwiązaniem tego problemu mogłoby być korzystanie z protokołu SSL (Secure Socket Layer - przyp. PAP) - mówili. - Ale mało kto w ogóle o nim wie. Tymczasem jedno dodatkowe kliknięcie podczas logowania, może ochronić nas przed kradzieżą danych i przykrymi następstwami".

A czym jest protokół SSL? "To mechanizm umożliwiający szyfrowanie i ochronę danych, które płyną przez sieć - wyjaśniał Dziewulski. - Wykorzystuje się go przy bezpiecznych połączeniach z serwisami internetowymi (np: allegro.pl, nasza klasa.pl), a także pocztą (np.: poczta.onet.pl, poczta.wp.pl, gmail.com). Jednak domyślnie nie jest używany, przez co nasze hasła, loginy i treść maili jest przesyłana bez szyfrowania i łatwa do podsłuchania".

Dlaczego tak się dzieje? "Używanie SSL nie leży w interesie portali. Znacznie obciąża ich serwery, więc nikomu nie zależy, aby informować użytkowników o jego istnieniu" - tłumaczyli studenci PG.

W dalszej części pokazu członkowie Koła Naukowego Sieci Komputerowych skupili się na konfiguracji i podatności na włamania do bezprzewodowych sieci komputerowych. Jak mówili, stają się one coraz popularniejsze, ponieważ coraz więcej osób posiada laptopy. Jednak ich bezpieczeństwo nadal pozostawia wiele do życzenia. Winę za to ponoszą niedostatecznie wyszkoleni lub niedbali administratorzy i opiekunowie sieci.

Gdańscy informatycy wprowadzali więc słuchaczy w tajniki prawidłowych zabezpieczeń. Omawiali proces skanowania i wyszukiwania dostępnych sieci, etapy uwierzytelniania, przyłączania i transmisji danych. Podkreślali konieczność stosowania takich rozwiązań, jak np. ukrywanie SSID (Service Set IDentifier) i podkreślali przewagę klucza WPA (WiFi Protected Access) nad kluczem WEP (Wired Equiwalent Privacy).

Jak dowiedzieli się uczestnicy festiwalu, WEP jest standardem szyfrowania danych, używanym w sieciach bezprzewodowych, który powstał w 1997 roku. Prowadzący warsztaty podkreślali, że to właśnie on jest domyślnie i powszechnie stosowanym protokołem (np. w takich urządzeniach jak LiveBox TP), mimo iż zapewniane przez niego bezpieczeństwo jest złudne. "Czas uzyskania dostępu do tak zabezpieczonej sieci to dla napastnika parę minut" - ostrzegali. Tymczasem dostępne są zdecydowanie skuteczniejsze rozwiązania. Należy do nich WPA, którego mechanizm został wyjaśniony w dokładny lecz przystępny sposób.

"Złamania 5-znakowego klucza WEP to kwestia maksymalnie kilkunastu minut. Dlatego nie stosujmy WEPa, wybierzmy alternatywny WPA, który jest dużo bezpieczniejszy!" - apelował Wacław Dziewulski.

...........................................................................................
Warsztaty "Czy jesteś bezpieczny w sieci?" odbywały się w pomieszczeniach wydziałowego Laboratorium Sieci Komputerowych. Dzięki temu, każdy z uczestników pokazu mógł dotknąć skomplikowanych urządzeń i sprzętów używanych w codziennej pracy informatyków oraz samodzielnie wykonać na nich proste zadania.

PAP - Nauka w Polsce, Katarzyna Czechowicz

Inne artykuły

Korzystanie z telefonu podczas jazdy rowerem (art. 45 ust. 2 pkt 1 pord)

12.06.2017

Wszyscy (?) wiedzą, że nie wolno rozmawiać przez telefon podczas jazdy samochodem (chyba że korzystając z zestawu głośnomówiącego lub słuchawki). Niektórzy jednak pytają — czy dozwolone jest rozmawianie przez telefon na rowerze? Odpowiedź jest...

Skazani na wschodniej granicy

09.06.2017

Służba Więzienna ponownie skieruje skazanych z czterech jednostek penitencjarnych do pracy przy oczyszczaniu i utrzymaniu w porządku pasa przy wschodnim odcinku granicy państwowej. Akcja rozpoczęta w ubiegłym roku przez Okręgowy Inspektorat...

Czy hycel ma prawo do wynagrodzenia za zlecenie odłowienia bezpańskiego psa?

23.06.2017

Obowiązkiem gmin jest wyłapywanie i zapewnienie opieki bezdomnym zwierzętom — zaś obowiązkiem każdego z nas jest powiadomienie o napotkanym bezpańskim psie lub kocie — jak to się ma do interwencji hycla po wezwaniu do agresywnego psa? Czy w takim...

Ojciec zza krat

27.06.2017

Niedawny Dzień Ojca to okazja do przyjrzenia się działaniom Służby Więziennej skierowanym na poprawę relacji rodzinnych osób przebywających za murami. W jednostkach penitencjarnych przebywają więźniowie, którzy próbują na nowo nauczyć się jak być...

Sądowe potworki - rzecz o idotyzmach z ocen kwalifikacyjnych

19.06.2017

Wielu pracowników sądów ma wrażenie, że od pewnego czasu do sądów wprowadzane są zasady przeniesione rodem z korporacji. W efekcie często powstają tyleż samo śmieszne, co tragiczne potworki. „Pro klienckie” nastawienie, „ankiety badania...

Bądź na bieżąco

Subskrybuj nasz newsletter, a będziesz na bieżąco z nowymi ogłoszeniami i komunikatami;
o spadkach, zasiedzeniach nieruchomości, depozytach sądowych, terminach rozpraw, wyrokach.

Podaj swój e-mail i otrzymuj najnowsze ogłoszenia bezpośrednio na swoją skrzynkę pocztową.

Przesyłając swój adres e-mail, zgadzam się na przetwarzanie przez Fundację ProPublika - KRS 0000595424 - podanych przeze mnie danych osobowych (e-mail) w celu otrzymywania zamówionego Newslettera.
Przyjmuję do wiadomości, że podanie danych jest dobrowolne oraz że przysługuje mi prawo dostępu do ich treści oraz ich poprawiania.