Postřehy z bezpečnosti: 300 GB milostných podvodů

Martin Čmelík 24. 8. 2015

V tomto díle Postřehů se spolu s celým světem podíváme na sexuální aférky 33 milionů lidí alias hack seznamovacího portálu Ashley Madison, nabourání dalšího serveru a zcizení čísel kreditních karet, objevenou chybu v MDM sandboxu iOS, na to jak si lidé na mobilech volí špatná hesla a spoustu dalšího.

Rozhodně nejdiskutovanějším tématem minulých dnů je nabourání portálu Ashley Madison, který sloužil jednotlivcům k podvádění svých drahých poloviček. Nevěnoval jsem tomu příliš pozornosti, protože v podstatě šlo v tu chvíli o hack jednoho webu, což se denně děje tisícům dalším serverům, ale útočníci, kteří si říkají „The Impact Team“, nyní přišli s něčím opravdu zajímavým. Po prvotních 10GB komprimovaných dat (uživatelská jména, emailové adresy, čísla kreditních karet, PayPal účtů, …), zveřejnili 20 GB interních dat (zdrojový kód webu, interní komunikace, hesla k databázím) a celý mailbox CEO Ashley Madison Noela Bidermana (podle posledních informací je balík částečně poškozený).

Už tou dobou se v balíku informací (čítajícím 33–36 milionů účtů!) dostali reportéři k osobnostem britské a americké vlády, Bílého domu, hvězdám televizních pořadů, které veřejně hlásí nezbytnost rodinných hodnot (Josh Duggar), zaměstnanci Vatikánu a samozřejmě vysoce postaveným manažerům mezinárodních společností.

Hledání však znesnadňuje fakt, že ne všichni byli tak hloupí, aby používali svoje pravé jméno nebo svůj běžný email, takže se nedá vždy identifikovat, komu účet patří. Nyní však útočníci zveřejnili celý balík dat. 300 GB dat navíc obsahuje i soukromé chaty uživatelů, nahrané privátní fotografie a celou historii účtů, takže teď již bude jednodušší identifikovat uživatele, či z nich pod přívalem nepřímých důkazů dostat přiznání nevěry.

Jedná se o velký balík privátních dat, která mohou některé jedince značně poškodit a během příštích dnů a týdnů se myslím může bulvár plnit pouze informacemi z tohoto zdroje. Rozvodoví právníci to nazývají “Vánoce v létě”.

Podrobnosti o hacku serverů společnosti Avid Life Media si můžete přečíst z komunikace The Impact Teamu s redaktorem Josephem Coxem.

Naše postřehy

Překvapení! Lidé si podle analýzy volí jednoduchá hesla pro odemčení Android telefonu. Snad na ni nešly desítky milionů eur z dotací EU, jak tomu bývá (vtip). Podle výsledků analýzy 3400 PINů si lidé volí v zásadě pouze čtyři vzory/tahy, pouze s jiným počátečním umístěním. Pro zajímavost 77 % PINů začíná v jednom ze čtyř rohů. Nechtějte po lidech vymýšlet či používat jakákoliv hesla. Pokud máte iPhone, nastavte si raději Touch ID používající otisk prstu, a to nejen pro odemčení, ale i např. bankovní aplikace, což je rozhodně bezpečnější než nějaký PIN. Přečtěte si, prosím, nejdřív, jak jsou otisky prstů u Apple chráněny, než začnete diskutovat pod článkem.

Podle výsledků GitHubu je trojicí nejpoužívanějších programovacích jazyků open-source projektů hostovaných na jejich serverech JavaScript, Java a Ruby. Trend Javy mě upřímně překvapil (negativně).

Bcachefs byl měl být souborový systém s rychlostí a spolehlivostí EXT4 a XFS a s pokročilými funkcemi ZFS či Btrfs. Jeho autorem je bývalý inženýr Googlu Kent Overstreet a prvotní testy prý vypadají v pořádku. Kód však ještě není připraven k používání či zahrnutí do jádra Linuxu.

Jeb Bush (kandidát na prezidenta USA) je proti šifrování, protože to prý „znesnadňuje práci vlády“. Proč rovnou nenahradí „práci“ za šmírování? Přestane pak používat šifrování i vláda? Asi ne, kdo ale pak bude „hlídat hlídače“? A opravdu si myslí že ho teroristi poslechnou? Je to asi tak bystrý a inteligentní jedinec, jako šéfka bezpečnosti Oraclu (Mary Ann Davidson), která přikazuje, aby lidé nedělali reverzní inženýrství a hledali tak chyby v produktech Oraclu, jinak je zažaluje. U politika bych ještě pochopil, že ani netuší co to šifrování je, ale druhý výrok je od CSO (Chief Security Officer). Nicméně je pravdou, že na vysoké pozice mezinárodních korporací je často člověk dosazován z jiných důvodů než zkušenosti a schopnosti.

Byla objevena chyba v sandboxu MDM (mobile device management) na iOS, opravená ve verzi 8.4.1, umožňující dostat se k registračním údajům zařízení či aplikace do korporátní MDM. Podle detailů to určitý nedostatek je, ale nepřijde mi jednoduše zneužitelný. Nicméně určitě aktualizujte na poslední verzi.

Webhostingová společnost Web.com byla napadena a unikly ta údaje o 93 tisících kreditních karet. Nic nového pod sluncem řeknete si, ale něco na zamyšlení. Proč vůbec někdo, kdo neumí, nebo nechce splňovat standardy jako PCI DSS, neoutsourcuje zpracování těchto dat třetím společnostem (PayPal například) a místo toho vystavuje v nebezpečí své klienty? Jedna připomínka: PCI DSS není všelék a určitě vás jednoznačně neochrání před nabouráním, jen to útočníkům značně zkomplikuje a drtivou většinu odradí, když je správně nasazen. Nutno dodat, že postavit PCI DSS vyhovující prostředí je velice drahá záležitost (hlavně kvůli nárokům na šifrování a 2FA). Navíc si tento standard občas protiřečí a některé pojmy nejsou vysvětlené, takže záleží spíš na výkladu standardu a zkušenostech auditora, jestli dostanete PCI DSS certifikát nebo ne.

Ve zkratce

Pro pobavení

Původně jsem chtěl použít něco jiného, ale tohle je aktuálnější. Hádejte co za reklamu na mě vyskočilo při hledání detailů o Ashley Madison :)

widgety

Diskrétně a bezpečně :)

100% Bezpečné a Diskrétně!

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto