Rozhodně nejdiskutovanějším tématem minulých dnů je nabourání portálu Ashley Madison, který sloužil jednotlivcům k podvádění svých drahých poloviček. Nevěnoval jsem tomu příliš pozornosti, protože v podstatě šlo v tu chvíli o hack jednoho webu, což se denně děje tisícům dalším serverům, ale útočníci, kteří si říkají „The Impact Team“, nyní přišli s něčím opravdu zajímavým. Po prvotních 10GB komprimovaných dat (uživatelská jména, emailové adresy, čísla kreditních karet, PayPal účtů, …), zveřejnili 20 GB interních dat (zdrojový kód webu, interní komunikace, hesla k databázím) a celý mailbox CEO Ashley Madison Noela Bidermana (podle posledních informací je balík částečně poškozený).
Už tou dobou se v balíku informací (čítajícím 33–36 milionů účtů!) dostali reportéři k osobnostem britské a americké vlády, Bílého domu, hvězdám televizních pořadů, které veřejně hlásí nezbytnost rodinných hodnot (Josh Duggar), zaměstnanci Vatikánu a samozřejmě vysoce postaveným manažerům mezinárodních společností.
Hledání však znesnadňuje fakt, že ne všichni byli tak hloupí, aby používali svoje pravé jméno nebo svůj běžný email, takže se nedá vždy identifikovat, komu účet patří. Nyní však útočníci zveřejnili celý balík dat. 300 GB dat navíc obsahuje i soukromé chaty uživatelů, nahrané privátní fotografie a celou historii účtů, takže teď již bude jednodušší identifikovat uživatele, či z nich pod přívalem nepřímých důkazů dostat přiznání nevěry.
Jedná se o velký balík privátních dat, která mohou některé jedince značně poškodit a během příštích dnů a týdnů se myslím může bulvár plnit pouze informacemi z tohoto zdroje. Rozvodoví právníci to nazývají “Vánoce v létě”.
Podrobnosti o hacku serverů společnosti Avid Life Media si můžete přečíst z komunikace The Impact Teamu s redaktorem Josephem Coxem.
Naše postřehy
Překvapení! Lidé si podle analýzy volí jednoduchá hesla pro odemčení Android telefonu. Snad na ni nešly desítky milionů eur z dotací EU, jak tomu bývá (vtip). Podle výsledků analýzy 3400 PINů si lidé volí v zásadě pouze čtyři vzory/tahy, pouze s jiným počátečním umístěním. Pro zajímavost 77 % PINů začíná v jednom ze čtyř rohů. Nechtějte po lidech vymýšlet či používat jakákoliv hesla. Pokud máte iPhone, nastavte si raději Touch ID používající otisk prstu, a to nejen pro odemčení, ale i např. bankovní aplikace, což je rozhodně bezpečnější než nějaký PIN. Přečtěte si, prosím, nejdřív, jak jsou otisky prstů u Apple chráněny, než začnete diskutovat pod článkem.
Podle výsledků GitHubu je trojicí nejpoužívanějších programovacích jazyků open-source projektů hostovaných na jejich serverech JavaScript, Java a Ruby. Trend Javy mě upřímně překvapil (negativně).
Bcachefs byl měl být souborový systém s rychlostí a spolehlivostí EXT4 a XFS a s pokročilými funkcemi ZFS či Btrfs. Jeho autorem je bývalý inženýr Googlu Kent Overstreet a prvotní testy prý vypadají v pořádku. Kód však ještě není připraven k používání či zahrnutí do jádra Linuxu.
Jeb Bush (kandidát na prezidenta USA) je proti šifrování, protože to prý „znesnadňuje práci vlády“. Proč rovnou nenahradí „práci“ za šmírování? Přestane pak používat šifrování i vláda? Asi ne, kdo ale pak bude „hlídat hlídače“? A opravdu si myslí že ho teroristi poslechnou? Je to asi tak bystrý a inteligentní jedinec, jako šéfka bezpečnosti Oraclu (Mary Ann Davidson), která přikazuje, aby lidé nedělali reverzní inženýrství a hledali tak chyby v produktech Oraclu, jinak je zažaluje. U politika bych ještě pochopil, že ani netuší co to šifrování je, ale druhý výrok je od CSO (Chief Security Officer). Nicméně je pravdou, že na vysoké pozice mezinárodních korporací je často člověk dosazován z jiných důvodů než zkušenosti a schopnosti.
Byla objevena chyba v sandboxu MDM (mobile device management) na iOS, opravená ve verzi 8.4.1, umožňující dostat se k registračním údajům zařízení či aplikace do korporátní MDM. Podle detailů to určitý nedostatek je, ale nepřijde mi jednoduše zneužitelný. Nicméně určitě aktualizujte na poslední verzi.
Webhostingová společnost Web.com byla napadena a unikly ta údaje o 93 tisících kreditních karet. Nic nového pod sluncem řeknete si, ale něco na zamyšlení. Proč vůbec někdo, kdo neumí, nebo nechce splňovat standardy jako PCI DSS, neoutsourcuje zpracování těchto dat třetím společnostem (PayPal například) a místo toho vystavuje v nebezpečí své klienty? Jedna připomínka: PCI DSS není všelék a určitě vás jednoznačně neochrání před nabouráním, jen to útočníkům značně zkomplikuje a drtivou většinu odradí, když je správně nasazen. Nutno dodat, že postavit PCI DSS vyhovující prostředí je velice drahá záležitost (hlavně kvůli nárokům na šifrování a 2FA). Navíc si tento standard občas protiřečí a některé pojmy nejsou vysvětlené, takže záleží spíš na výkladu standardu a zkušenostech auditora, jestli dostanete PCI DSS certifikát nebo ne.
Ve zkratce
Pro pobavení
Původně jsem chtěl použít něco jiného, ale tohle je aktuálnější. Hádejte co za reklamu na mě vyskočilo při hledání detailů o Ashley Madison :)
100% Bezpečné a Diskrétně!
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
