Η online εταιρεία ασφαλείας LastPass δημοσίευσε μια ανακοίνωση χθες στο blog της που ανέφερε ότι οι τεχνικοί της εντόπισαν και μπλόκαραν ύποπτες δραστηριότητες στο δίκτυο της εταιρείας.
Σύμφωνα με τις πληροφορίες που δημοσιεύονται στο blog, η εταιρεία δεν κατάφερε να βρει στοιχεία που αποδεικνύουν ότι οι hackers απέκτησαν πρόσβαση σε λογαριασμούς χρηστών της υπηρεσίας ή ότι απέκτησαν δεδομένα χρηστών που έχουν αποθηκευτεί.
Η εταιρεία δεν ανέφερε πότε εντόπισε για πρώτη φορά την παραβίαση, αλλά μερικοί χρήστες ανέφεραν από τις 8 Ιουνίου, ότι άρχισαν να λαμβάνουν spam σε διευθύνσεις ηλεκτρονικού ταχυδρομείου που χρησιμοποιούσαν αποκλειστικά στον password manager της υπηρεσίας.
Αργότερα οι ερευνητές της LastPass επιβεβαίωσαν ότι “διευθύνσεις ηλεκτρονικού ταχυδρομείου, υπενθυμίσεις κωδικών πρόσβασης (password reminders), user salts και authentication hashes είχαν διαρρεύσει.
Για όσους δεν γνωρίζουν η LastPass είναι μια εταιρεία που φέρεται να αναλαμβάνει την ευθύνη για την ασφαλή φύλαξη όλων των κωδικών πρόσβασης που χρησιμοποιείτε.
Βασικά το να αναλαμβάνεις μια τέτοια ευθύνη στο διαδίκτυο του 2015 δεν είναι και τόσο εύκολο. Μόνο τις τελευταίες μέρες έχουμε ακούσει αρκετά παραδείγματα που απομυθοποιούν τους “ειδικούς” ασφαλείας.
Το hack στην Kaspersky Labs, η δημοσίευση της New York Times που θέλει τους Κινέζους hackers να παρακάμπτουν όλα τα γνωστά πρότυπα ασφαλείας και τόσα άλλα που διαβάζουμε καθημερινά,δεν αφήνουν περιθώρια σε ειδικούς και ειδήμονες.
Το λογικό “ότι κλειδώνει, ξεκλειδώνει” ισχύει απόλυτα και θα συνεχίσει να ισχύει. Το να αναλαμβάνεις την ευθύνη του ειδικού φύλαξης ή του ξερόλα που μπορεί να προστατέψει αδαείς αλλά και εμπειρογνώμονες, ίσως είναι αρκετά χαζό, αφού συμπεριλαμβάνει την υπόσχεση ότι “είμαστε αρκετά έξυπνοι και πολύ τεχνικά καταρτισμένοι για να το κάνουμε.”
Στο διαδίκτυο του 2015 τίποτα από όλα αυτά δεν μπορεί να ισχύει. Ίσως σε μια περασμένη εποχή, όταν υπήρχαν dialup συνδέσεις και ειδικός ήταν αυτός που μπορούσε να κάνει format στον υπολογιστή, κάτι τέτοιο να ίσχυε.
Σήμερα format μπορούν να κάνουν 6χρονοι, και τα hacking tools κυκλοφορούν παντού στο διαδίκτυο. Η ταχύτητα του διαδικτύου και η υπολογιστική ισχύς των επεξεργαστών επιτρέπει αναλύσεις και σπάσιμο haches σε χρόνους που ούτε καν μπορούσαν να φανταστούν οι hackers του ’80.
Όμως το να “πουλάς” ευφυΐα και καινοτόμες λύσεις προστασίας σου δίνει την άνεση να κερδίζεις χρήματα, από ευκολόπιστους που μπορούν ακόμα να τρώνε το παραμύθι του ασφαλούς διαδικτύου, και των χαρισματικών ερευνητών ασφαλείας.
Η αλήθεια όμως έρχεται με τα νέα παραβιάσεων κάθε τρεις και λίγο να ταράξει τα νερά. Όσο έξυπνοι και αν είναι οι κύριοι, κύριοι ειδικοί, πάντα θα υπάρχουν εξυπνότεροι.
Εξάλλου έχουμε δει και το φαινόμενο της τύχης. Υπηρεσίες δεκάδων εκατομμυρίων έπεσαν γιατί κάποιος 15χρονος ανακάλυψε τυχαία, χωρίς και ο ίδιος να γνωρίζει τι κάνει κάποια ευπάθεια που κανείς δεν είχε φανταστεί.
Τι κάνουμε;
Όταν η LastPass είχε παραβιαστεί ξανά το 2011, αποφάσισα να χρησιμοποιήσω KeePass για την αποθήκευση των κωδικών που χρησιμοποιώ. Η εφαρμογή αποθηκεύει τους κωδικούς σε μια κρυπτογραφημένη (AES και Twofish) βάση δεδομένων που βρίσκεται στον υπολογιστή σας.
Οι Online υπηρεσίες αποθήκευσης κωδικών πρόσβασης είναι από τους πιο περιζήτητους στόχους από τους hackers, καθώς εκεί αποθηκεύονται λογαριασμοί εκατομμυρίων χρηστών.
Δεν υπερεκτιμούμε τις δυνάμεις και τις γνώσεις μας, αν έχουμε και δεν υποτιμούμε του αντίπαλο.
Η πλήρης υιοθέτηση της άποψης ότι δεν υπάρχουν ειδικοί, και η αναγνώριση του ότι δεν υπάρχει ασφάλεια, φαίνεται να λειτουργεί, καθώς θα σας βάλει σε σκέψεις και σίγουρα θα προσέχετε περισσότερο από αυτούς που πιστεύουν το αντίθετο.
Καλό θα είναι να θυμόμαστε ότι με την απομυθοποίηση και την αμφισβήτηση έχουν γίνει οι μεγαλύτερες αποκαλύψεις….