Dnes už len málokto nepoužíva služby najväčšej internetovej spoločnosti na svete, Google. Väčšinou sú to len ľudia považovaní za paranoikov. Sám sa k tejto skupine radím, nedávno som o tom písal článok “Čo všetko o vás Google vie? (doplnené o video)“. Ak ste používateľom služby Gmail, pravdepodobne ste aj vy pocítili potrebu zálohovať svoju korešpondenciu. Túto úlohu prebral šikovný programček s názvom G-Archiver.
Program po zadaní mena a hesla stiahne všetky vaše emaily na váš HDD čím vás chráni pred prípadnou stratou často nepostrádateľných informácií. G-Archiver funguje výborne a plní svoju úlohu. Medzi osobami hľadajúcimi podobné riešenie bol aj Dustin Brooks. Ten si program stiahol a keďže je softvérový inžinier, prekvapilo ho čudné správanie aplikácie a tak sa jej pozrel “na čreva”. Po pár minútach skúmania ho čakal šok. Autor programu medzi iným posielal citlivé údaje používateľov, meno a heslo zadané pre prihlásenie k účtu a následné stiahnutie pošty, na svoju emailovú adresu. Brooks našiel 1,777 emailov obsahujúcich prístupy rôznych užívateľov (môžete vidieť napravo v screenshote).
Tento prípad vyvolal niekoľko otázok a rozpútal množstvo vášnivých diskusií. Tou prvou otázkou je, ako moc dokážu ľudia slepo dôverovať aplikáciam, webom a aj samotným ľudom, ktorí od nich pýtajú citlivé informácie. Tou druhou je, či je správne, ak jediná ochrana pozostávajúca z mena a hesla umožňuje pracovať so všetkými službami na Google.
Prvá otázka je dnes celkom bežná. Stretávame sa s ňou prakticky každý denne. Phishing, vishing a iné techniky sú len špičkou ľadovca, ktorý sa dnes označuje ako sociálne inžinierstvo (social engineering).
Druhá otázka je však dosť závažná. Google sa k objavenému malwaru doteraz nevyjadril a pravdepodobne tak ani neurobí. No je v podstate na jeho zodpovednosti dokázať ochrániť svojich užívateľov. Ja služby Google využívam len pre testy a pokusy, no množstvo iných ľudí ich využíva na osobnú, či dokonca firemnú komunikáciu, ukladajú dokumenty, fotky, atď. ku ktorým sa útočník dostane úplne jednoduchým spôsobom. Stačí mu poznať meno a heslo obete, a je prakticky všade (na pár výnimiek).
Google sa podarilo implementovať nezávislú formu overovania totožnosti SecureID, ktorá je však dostupná iba pre Google Apps.
Google Apps integrates with standard web SSO systems using the SAML 2.0 standard. This allows integration with custom sign-on and/or advanced authentication (SecureID). Solutions can be custom made or Google Partner supplied.
Zdroj: Google Help
Možno aj takéto incidenty pritlačia Google ku stene a bude nútený pristupiť k podobným opatreniam pre všetkých užívateľov vo všetkých jeho službách. Bohužiaľ však užívatelia nemajú pre podobné praktiky pochopenie. Im väčšinou záleží na pohodlí a nie na vlastnej bezpečnosti. Dôležité je však pochopiť, že bezpečnosť sa na prístupnosť, jednoduchosť a ľahkú manipulovateľnosť nepozerá. Bezpečnosť sa neprispôsobuje, ale naopak. Všetko sa prispôsobuje zvyšovaniu bezpečnosti, čo poväčšine vedie k znižovaniu jednoduchosti a prístupnosti aplikácií.
Podvodu G-Archiver sa od začiatku venuje Jeff Atwood na svojom blogu.
Tak toto je gol, autor programu si celkom zgustol. V tomto smere na OSS velku vyhodu. V kapitalistickom zriadeni je tazko takuto vec osetrovat, nakolko propiertarny SW vo vacsine. Ludia budu musiet skutocne svoju bezpecnost a identitu v IT svete vazne riesit, lebo takyto podvodnici (po novom male deti) nas pripravia o posledny gros. Som zvedavy co pride s dobou RFID cipov.
Zaujimave,
jedine co celkom nepochopim je, ze naco chcel pouzivat Dustin Brooks ten G-Archiver ked tu funkciu poskytuje uz priamo google so zdarma pop3 pristupom k mailu. Ako softverovy inzinier pravepodobne nema problem s nastavenim emailoveho klientu. Ale autorovi programu sa takto podarilo zblbnut minimalne 1777 ludi. Bohuzial pri lepsej reklame svojho “produktu” by toto cislo mohlo byt este alarmujucejsie.
Smutne je ze vacsinu ludi ich vlastna IT bezpecnost vobec nezaujima, a tak dobrovolne davaju pristup k svojim loginom kazdej sluzbe, napr. socialnym sietam kvoli zjednoduseniu hladania priatelov a uplne ignoruju rizika. Ucenie na vlastnych chybach je bohuzial jedine co tu pomaha.
addam az tak jednoduche by som to nevidel. ani, gmail umoznuje pop3 a tusim ze uz aj imap. no napriek tomu neurobis backup jednym stlacenim, co moze byt zaujimave (nie sice pre mna, ale pre niekoho ano). nuz, vidis, aj on si to chcel skusit. a mozno nechcel, chcel sa pozriet na tu app rovno. to ja neviem. kazdopadne na to prisiel a je to clekom gol
a plne s tebou suhlasim, ludia rozdavaju hesla na pockanie a to doslova
..no tak toto ma dostalo.S tymi heslami dostal pristup urcite aj do mnohych inych sluzieb, kedze ludia maju tendenciu davat si rovnake hesla takmer vsade.Este ze ja som trocha paranoik a mam takmer vsade ine heslo :D,kedze mnohym neverim.
John Terry je meno typka co spiskal ten gArchiver, nie meno autora tamtoho blogu
dakujeme, opravene.
fassaaa
ale mna by celkom zaujimalo, ako sa dostal autor blogu k pristupuvym udajom autora aplikacie…
ne/legalne??
dufam, ze nemyslis tohoto autora blogu :)
pouzil RE a ano, je to ilegalne. no obcas to trafi aj takuto kauzicku :)