So me pwnali?

Kot da izsiljevalski virusi ne bi bili dovolj ... Napad zlonamernega programa WannaCry se ni še niti dobro končal, pa se lahko že sekiramo zaradi nove grožnje. Spletni varnostni center MacKeeper je namreč sporočil, da se je na internetu pojavila velikanska baza podatkov s kar 560 milijoni ukradenih gesel. Čeprav gre za gesla, zbrana z vseh koncev in krajev, med katerimi so nekatera stara tudi več let, je njihova dostopnost razlog za skrb, a tudi za ukrepanje. Izraz varnost na spletu zadnje čase postaja pravi oksimoron (spomnimo se osnovnošolske slovnice: besedna figura dveh izključujočih se pojmov), a še vedno obstajajo načini, kako se lahko zaščitimo.

Mimogrede, izraz »pwnali« oziroma »pwned« iz naslova je otrok interneta in gre za sopomenko za premagan, poražen, osramočen, nastal pa je iz zatipkanega »owned«.

Varnostni ukrepi

Za začetek lahko izboljšamo svoja gesla. Tudi najvarnejše geslo na svetu ni vredno nič, če ga ukradejo hekerji, je pa zanje precej manj uporabno, če istega gesla ne uporabljamo za vse svoje spletne račune in profile. Drugače povedano: za vsak račun uporabljajmo drugo geslo. Ker pa si je dobra gesla, ki vsebujejo male in velike črke, številke in simbole ali pa kar cele fraze, težko zapomniti, zna priti prav kak upravitelj gesel (password manager), kot so LastPass, DashLane ali KeePass, če omenimo le nekaj najbolj znanih. Upravitelj gesel je program, ki generira, ureja in hrani edinstvena gesla za vse naše spletne strani in storitve, jih sinhronizira na vseh naših napravah (to je po navadi za plačilo, brezplačne različice so malce bolj omejene, a še vedno zelo uporabne).

Treba si je zapomniti le eno čim bolj zaguljeno geslo, da odklenemo upravitelja gesel. Hej, bo kdo rekel, ali ni pametoval o tem, da ne smemo uporabljati enega samega gesla? Da, a to geslo ni dosegljivo nikomur, saj ga ne poznajo niti administratorji upravitelja gesel, poleg tega je tako zakodirano, da si tudi hekerji z njim ne morejo pomagati. To se je pokazalo, ko so pokradli nekaj podatkov s strežnika LastPass, a jih niso mogli dešifrirati. No, pri LastPassu so hitro pozvali vse uporabnike, naj spremenijo glavno geslo, priporočajo pa tudi t. i. dvostopenjsko avtentikacijo: ko se uporabnik prijavi v sistem, mu ta, denimo, pošlje sporočilo na telefon, s katerim nato potrdi svojo identiteto.

Ali so me pwnali?

Če bi radi preverili, ali so nas pwnali, se pravi, ali smo v kateri od ukradenih zbirk podatkov, lahko to preverimo na spletni strani Have I Been Pwned (https:// haveibeenpwned.com), kjer preprosto vnesemo svoj e-poštni naslov in kliknemo na gumb »pwned?«. Če je naš e-poštni naslov na seznamu ukradenih podatkov, nam spletni portal to tudi pove. No, eden od mojih naslovov se je znašel med žrtvami vdora v glasbeni portal Last.fm leta 2012, za katerega pa se je razvedelo šele štiri leta pozneje.

Portal Have I Been Pwned ponuja tudi vpogled, katere spletne strani ali storitve so bile največje tarče hekerjev. Med najbolj znanimi – in za nas relevantnimi – so družabno omrežje MySpace (ogroženih 359 milijonov uporabniških računov), poslovno omrežje LinkedIn (164 milijonov), razvijalec grafičnih programov Adobe (152 milijonov), oblačni servis Dropbox (68 milijonov), glasbeni portal Last.fm (37 milijonov), družabno omrežje Snapchat (4,6 milijona) pa morda še Yahoo! (453.427) in brezplačni protivirusni program Avast (422.959 računov).

Poleg menjave gesla, kar priporočajo že na portalu Have I Been Pwned, je dobra rešitev tudi izbris kakega starega računa. Čeprav ga že dolgo ne uporabljamo več, so v profilu še vedno shranjeni naši osebni podatki, da ne govorimo o fotografijah ali drugih medijskih datotekah. Tudi tukaj še kako pride prav upravitelj gesel, saj v njem hitro pregledamo seznam vseh shranjenih računov. Na koncu pa je treba deaktivirati ali izbrisati vsak račun posebej, pri čemer nam lahko pomaga spletna stran justdelete.me na naslovu http://backgroundchecks.org/justdeleteme/, kjer najdemo povezave do navodil, kako se izbrisati, pa tudi oceno, kako zahteven je postopek.