PM - koliko su stvarno privatne poruke na forumima

Kako su se pre nekog vremena javile sumnje da privatne poruke nisu privatne, a kako je moj posao i donekle vezan za sigurnost podataka želeo sam da podelim sa svima na forumu trenutno činjenično stanje po tom pitanju. Skoro sam se zainteresovao za ovu oblast nakon predavanja jednog od mojih kolega koji je inače i profesor na fakultetu bezbednosti. Želeo bih da ovo svi shvatite samo i jedino kao dobronamernu poruku. Takođe, ne optužujem Edarda ni za šta, ovo je samo ono što sam uspeo da saznam baveći se ovom temom do sad. Nadam se da bi neko mogao da mi ukaže ako grešim negde. Smatram da bi ovo svaki korisnik interneta trebao da zna, i žao mi je što se ranije nisam interesovao za ovakve stvari.

Dakle, ovaj forum na kojem se mi nalazimo rađen je u open source programu phpBB 2. Inače poznato je da PM (private massage) nije toliko privatna na bilo kom forumu. Evo zašto:

1. Poruka se ne kriptuje na forumima (ako je slučaj da se poruke kriptuju - bravo Edi ako si to ubacio) - zbog toga čist tekst ostaje u bazi i moguće je doći do njega, tj do sadržaja poruke. Ovo može samo da radi gazda (owner) ili admin koji ima ista prava, a ja verujem da Edard to ne zloupotrebljava. Mnoge su polemike vezano za ovo, ali u principu tako nešto je neophodno jer postoje ljudi koji mogu da vređaju preko PM ili spamuju i td. Postoji čak i MOD/hak za phpBB koji se zove phpBB Private Message Moderation, koji owner može instalirati i koji omogućava lagodnije baratanje privatnim porukama. Takođe, admin sa punim pravima kao owner, može isto da radi.

2. Drugi vid uvida u PM je da admin promeni vašu lozinku (ako mu je kojim slučajem to dozvoljeno), i pogleda vaše poruke. Ovo je već teža zloupotreba, ali se lako može provaliti, jer vam u ovom slučaju mora biti javljeno da vam lozinka nije važeća, i da morate ponovo da je pravite. Meni se ovako nešto desilo na SBB mail serveru, sreća pa taj mail nisam koristio.

Dakle kao što vidite poruke nisu baš privatne, kako im ime kaže, i pošto sam to saznao želim da to podelim sa vama. Imajte na umu ovo kada šaljete bilo kakve PM na bilo kom forumu. Isto imajte to na umu i kad šaljete e-mailove, ako e-mail nije kriptovan i digitalno potpisdan, ista ova mogućnost postoji. Naravno ima još drugih načina dolaska do vaših poruka i podataka, ali to je već hakerisanje.

Na forumima, smatram i ja to, vlasnik ima puno pravo da, ako želi, ima uvid u vaše privatne poruke. Jedino što se mora jasno reći svim korisnicima da poruke nisu privatne već lične, kako nam i stiže na e-mail. Tamo piše Pristigla vam je lična poruka.

Ovde na forumu ako napunite Inbox poruke se same brišu, međutim ja sam npr. jedno vreme Inbox redovno čistio kako bi sačuvao neke poruke. Znam da Ubica tvrdi da ne mogu da se čitaju PM, ali očigledno do sad nije znao za sve ovo. I verujem da on i Vičer to ne mogu. Verujem da to može samo Edard, ali ne verujem da ga to interesuje, osim ako mu neko ne prijavi zloupotrebu ili vređanje u PM.

Edarde izvini ako sam ti napravio neku frku zbog ovoga. Bilo bi lepo da znamo ove stvari. I da se i privatne poruke preimenuju u lične poruke, i da se zna ko može da ih vidi, ako nisi ubacio neku kriptografiju sa digitalnim potpisom koja rešava sve ovo. U tom slučaju si car, kralj, prvak u skoku u dalj

Živi bili! Svako dobro!

Lozinka (Password) - kako napraviti dobru lozinku

Postoje mnogi načini da vam neko sazna lozinku. Ovde ću pomenuti tri:

1. Phishing - ili podmetanje. Vezano je uglavnom za socijalne mreže, sajtove kao što je e-bay i slično. Često se dešava da vam ljudi koji na ovaj način žele uzeti šifru pošalju preko e-maila zahtev da dođete na neki sajt (npr. fejsbuk ili neki drugi sajt na kom možda imate nalog). Međutim link koji su vam poslali vodi vas na lažnu stranicu čija početna strana zgleda potpuno isto kao prava. Kada ukucate svoje korisničko ime i šifru, vaš nalog više nije bezbedan.

2. Zadnja vrata administracije. Ovo je malo teže uraditi, jer je potrebno da neko hakuje ceo sajt, tj. da uđe na sajt i pokupi vaše lozinke i korisnička imena.

3. Brut-force algoritmi pretraživanja po rečniku. Kako kompjuteri postaju sve performantniji ovi algoritmi su u stanju da veoma brzo nađu reči iz običnog govora. Nemaju problema ni sa rečima napisanim u nazad, kao ni sa nekim standardnim tehnikama prikrivanja šifara. Kako bi se zaštitili od ovakvih napada, najbolje je da konstruišemo lozinku koju je teško provaliti ovakvim algoritmima.

Konstrukcija lozinke

Šta ne treba uzimati za lozinku?

Lično ime: vaše, vaše porodice, vašeg ljubimca... Za brojeve nikako godinu rođenja, broj telefona, i slične stvari koje neko može da sazna. Zapravo ne treba uzimati reč, jer brut-force algoritmi koriste rečnike.

Kakva je strategija?

Uzeti prva slova neke fraze koja vama nešto znači, a zatim na kreativan način promeniti par znakova.
Na primer uzmimo frazu: Over the hills and far away, he swears he will return one day
Ako pokupimo prva slova dobijamo: othafahshwrod

Naša lozinka ima 13 znakova, i već sad je jaka jer nijedna reč nije iz rečnika.
Sada ćemo je pojačati tako što ćemo kombinovati mala i velika slova i brojeve tamo gde možemo: O+HafAhShWR1d

Velika slova su tamo gde je broj znakova u reči veći od 3. Umesto t stavili smo +, umesto S ide 5 i umesto one je 1. Sada imamo jaku šifru.

Imamo 13 znakova među kojima i slova i brojeve i specijalne znakove. Treba izbegavati da se slova zamenjuju standardnim znakovima npr. I se često menja sa 1, slovo O sa nulom. Mi smo to uradili ovde kad smo t prebacili u + i kada smo S prebacili u 5, ali smo bili kreativni što se tiče one jedinice, gde smo reč zamenili brojem. Dakle ono što brut-force algoritam ne može da provali je vaša kreativnost, budite kraetivni na vaš način i zapamtićete lozinku.

Postoji i drugi način a to su npr. četri nasumično izabrane reči iz rečnika koje ćete isto tako lao zapamtiti.
Npr. Usisava drvo baterija gleda . Ovo se takođe smatra dobrom lozinkom, a vi je možete zapamtiti. Samo zamislite drvo sa usisivačem i bateriju sa očima koja to gleda, to će vam uvek ostati u glavi baš tako kako je, besmisleno