Oled tõenäoliselt näinud nimekirja 25 enim kasutatud salasõnast. „Salasõna“ peale mõeldakse ikka, kuid kas oled mõelnud ka oma telefoni PIN-numbrile? Kui unikaalsed on PIN-koodid, mida oma telefonis kasutame, et küberkriminaalid ei pääseks ligi meie telefonile ja meie kõige kallimatele kontodele?
Inimesed lukustavad oma telefonid tavaliselt koodiga, kuid mis siis, kui keegi seda teab või suudab selle välja mõelda? Ehk suudaksid nad PIN-koodi tuletada tihti kasutatud PIN-ide nimekirjale tuginedes? Kas nad oleksid suutelised selle lugema välja teie e-kirjadest, WhatsAppist või isegi Amazoni ostukorvist?
SANS Institute’i poolt hiljuti läbi viidud uurimus tuvastas 20 kõige levinumat mobiiltelefoni PIN-koodi (ja mitte selles järjekorras):
0000
1004
1010
1111
1122
1212
1234
1313
2000
2001
2222
4444
3333
4321
5555
6666
6969
7777
8888
9999
Nad leidsid, et koguni 26% kõigist telefonidest on võimalik neid koode kasutades lahti murda. Esineb tugev tõenäosus, et kui sinu telefon varastatakse või see ära kaob, siis pääsevad kriminaalid esimeste proovimiste jooksul telefoni sisse – seda seejuures sinu teadmata.
Seega, miks inimesed, sh Kanye West, kasutavad ikka lihtsaid koode? Ehk on sellele küsimusele parim vastata küsimusega: „Millal vahetasid viimati PIN-koodi, mida kasutad oma telefoni avamiseks“?
Enamikel inimestel on lukumehhanismiga nutitelefon olnud ligi kümme aastat. Tuleb tunnistada, et aastal 2007, kui esimene Apple’i iPhone turule tuli, siis olime kõige rohkem huvitatud selle omadustest, mitte sellest, kuidas see tegeleb võimalike ründevektoritega.
Aastal 2007 oli veel mitu aastat selleni, et telefonidele lisataks sõrmejäljelugejad, kuid see tähendas seda, et pidime telefoni sisselogimiseks koodi kasutama kuni 50, isegi 100 korda päevas. Arusaadav, miks inimesed tahtsid oma telefonidesse kiiresti ja kergesti pääseda.
Probleem on, et isegi pikemate koodide, Face ID ja Touch ID juurutamise järel vahetavad inimesed harva oma PIN-koode ja selle asemel kasutavad sama koodi igas seadmes. Telefonide avamisel oleme küll tõesti hakanud PINi vähem kasutama.
Veel üks meetod, mida inimesed PIN-koodide meeldejätmiseks kasutavad on see, et PIN-koodiks valitakse numbrid, mis neile midagi tähendavad. Ohuteguriks on aga olukord, kus inimesed mõtlevad, et „minuga ei juhtu midagi“. Mis siis, kui telefoni soovib pääseda keegi, kes sinust natuke teab? Telefonidel, kus on võimalik valida 4-numbriline pääsukood, kasutavad inimesed tihti koodina aastat. Kuuenumbrilise pääsukoodi korral valitakse telefoni avamiseks tihti meeldejääv kuupäev.
See on äärmiselt ohtlik viis kaitsta endale kõige kallimat seadet. Nii on võimalik küberkriminaalil pääseda pisukeste vabavaraliste uurimisoskuste korral allikateni, mis võimaldavad läbi proovida võimalikud koodid telefoni avamiseks.
Miks kontekst oluline on?
Loomaks konteksti selle kohta, kui lihtne on telefoni avada, räägin ühe loo. Hiljuti kutsuti mind loengut pidama, irooniliselt selle kohta, kuidas ettevõttesse sisse häkkida. Alustades arutelu sellest, kuidas küberkriminaalid on suutelised inimestelt küsimise peale salasõnad kätte saama, võttis esireas istunud mees oma telefoni taskust välja ja sisestas sinna oma PINi. Panin tähele, et ta sisestas kuuenumbrilise koodi ja nägin ka seda, et viimased kaks numbrit olid 1 ja 4.
Enamike inimeste jaoks võivad need kaks numbrit näha välja suvalised, kuid lisades neile numbritele natuke konteksti, on võimalik ka ülejäänud neli tuletada. Otsustasin loengust korraks pausi teha ja küsisin tema nime. Ta nõustus ja sisestasin tema nime Facebooki. Tema profiilil märkasin, et ta on abielus, kuid rohkem infot peale abikaasa nime polnud näha. Vajutasin härra abikaasa profiilile ja uurisin seda.
Seejärel märkasin, et palju tema isiklikust teabest on avalikkusele nähtav, seejuures ka tema abiellumiskuupäev, milleks oli 1. september aastal, nagu arvasite, 2014. Seejärel küsisin härrasmehelt viisakalt, kas tohin tema telefoni hoida ja üritada sinna pääseda. Kuigi ta polnud selle üle rõõmus, siis lubas ta mul seda üritada. Sisestasin tema telefoni koodi „010914“ ja voila, pääsesin telefoni sisse! Olin päriselus näidanud ette, mis võib juhtuda. Sel ajal hakkas pool saali oma telefone näperdama, küsides, milline on telefoni seadetes kõige otsem tee PIN-koodi muutmise juurde.
Kuid Face ID ja Touch ID lahendused? Kas need ei kaitse meid ründajate eest? Lühike vastus on, ei kaitse. Paljud arvavad, et sõrmejäljelugeja või näotuvastuse kasutamisel ei tule neil olla nii pühendunud oma PIN-koodi kaitsele. Pidage aga meeles, et siiski on olemas vaikekood, millega telefoni pääseda. Häkker on suuteline selle koodi murdma palju lihtsamini, kui sõrme mahalõikamise või näo replikeerimisega. (Kõrvalmärkusena: olen kord kasutanud surnud inimese sõrme telefoni pääsemiseks, kuid see jääb teise blogiartikli teemaks!)
Töötades politsei digikohtuekspertiisi meeskonnas, oli meil Apple’i iPhone’idesse pääsemiseks suurepärane tööriist. (See masin on tegevuses siin). Meie koodimurdja võis ilma telefone lukustamata või nende andmeid kustutamata ära proovida kõik 4-numbrilised koodid vahemikus „0000“ kuni „9999“. Ühe ürituse peale kulus 4 sekundit, aja säästmiseks alustasime üritusi numbriga, mis võiks olla PINile kõige lähedasem.
Üldiselt alustasime numbriga „1970“ ja enamikel juhtudel oli telefon avatud enne seda, kui jõudsime numbrini „2010“. Põhjuseks on, et väga paljud inimesed kasutavad oma sünnikuupäeva, pulma-aastat või lapse sündimise aastat telefoni pääsemise koodina, et seda paremini meeles pidada.
Kuidas kaitsta oma turvalisust?
Parim kaitsemeede on telefoni avamisel hakata kasutama pikka unikaalset numbritest ja tähtedest koosnevat koodi. See võib aga olla ajakulukas ja seepärast tuleks telefoni avamise kiirendamiseks kasutada Touch ID ja Face ID lahendusi.
Samuti tuleks mainida, et olge alati ennast ümbritseva kohta teadlik ja pange tähele inimesi, kes võivad teid jälgida. Liiga tihti olen näinud, kuidas inimesed sisestavad ühistranspordis oma PIN-koodi või salasõna, karjuvad telefoni oma krediitkaardiandmeid, sh kaardi tagaküljel oleva kolmekohalise CVV-numbri!
Pärast oma seadme varundamist peaksite lisama veel ühe kaitsekihi, milleks on iOS puhul „Find My iPhone“ ja Androidi puhul „Find My Device“ aktiveerimine. Sel juhul saate telefoni andmetest tühjaks teha,, kui see on varastatud (vargusvastased kaugkustutuslahendused on saadaval ka osana viirustõrjelahendustest). Kuigi te ei pruugi oma seadet enam kunagi näha, ei pääse ka kriminaalid teie seadmesse sisse, et tutvuda teie isiklike andmete ja teabega.
Allikas: Welivesecurity
