Co roku dostaję sporo życzeń urodzinowych, mniej lub bardziej szczerych, ale wiele z nich ma jedną cechę wspólną – niewłaściwą datę. Dlaczego? Bo nie we wszystkich serwisach podaję tę prawdziwą, o której wiedzą tylko bliscy znajomi i rodzina.
Data urodzenia jest dość ważną informacją. Jest istotnym składnikiem numeru PESEL, jest podawana w każdym ważnym dokumencie urzędowym, jest wymagana w wielu serwisach przy resecie hasła. Z drugiej strony ludzie udostępniają informacje o sobie bez zastanowienia. Nie zdają sobie sprawy z tego, że ktoś może z tych danych skorzystać na przykład do przejęcia internetowej tożsamości.
Warto zadać sobie takie oto pytania:

  • Jak wygląda ekran resetu hasła w serwisie, z którego korzystasz?
  • Jakie dane podajesz?
  • Ile z tych informacji da się uzyskać z Facebooka? Z innych serwisów?
  • Ile da się znaleźć w wyszukiwarce?
  • Ile o tobie mówi znacznik EXIF w zdjęciach (podpowiedź: obejrzyj fotki z imprezy urodzinowej w przeglądarce z dodatkiem FxIF).

zrzut

Dwa światy
Niekiedy tożsamość internetowa przeplata się z tą ze świata rzeczywistego. W niektórych krajach (np. w Irlandii) przez pewien czas były luki w procedurach, które umożliwiły badaczom uzyskać prawdziwy dokument – na przykład cudzy paszport – z własnym zdjęciem. Opis podobnego ataku, który łączył świat elektroniczny (formularze internetowe) z rzeczywistym (dokumenty państwowe, takie jak paszport) widziałem podczas niemal każdej konferencji RSA, w której zdarzyło mi się uczestniczyć. Kluczowym elementem było pozyskanie przez napastnika informacji o prawdziwej dacie urodzin, znalezienie informacji w sieciach społecznościowych oraz odpowiednie użycie socjotechniki. Oczywiście nie każdy włamywacz to potrafi, ryzyko nadal jest niewielkie, ale ostrożności nigdy za wiele.

Jak zatem ominąć ten problem?

Trzeba przygotować sobie założenia alternatywnej tożsamości w Internecie i korzystać z niej z żelazną konsekwencją. Rik Ferguson żartuje, że obchodzi urodziny prawdziwe oraz te związane z jego kontem do komunikatora Skype. Ja takie różne „urodziny” obchodzę kilka razy do roku, bo posiadam kilka różnych „tożsamości” w różnych serwisach. A zatem wszystkie życzenia „urodzinowe” związane z moimi urodzinami, ale datowanymi na 11 listopada, mogę z czystym sumieniem wyrzucić do kosza. To nie są moje urodziny.