Hlavní navigace

Postřehy z bezpečnosti: 300 GB milostných podvodů

Martin Čmelík 24. 8. 2015

V tomto díle Postřehů se spolu s celým světem podíváme na sexuální aférky 33 milionů lidí alias hack seznamovacího portálu Ashley Madison, nabourání dalšího serveru a zcizení čísel kreditních karet, objevenou chybu v MDM sandboxu iOS, na to jak si lidé na mobilech volí špatná hesla a spoustu dalšího.

Rozhodně nejdiskutovanějším tématem minulých dnů je nabourání portálu Ashley Madison, který sloužil jednotlivcům k podvádění svých drahých poloviček. Nevěnoval jsem tomu příliš pozornosti, protože v podstatě šlo v tu chvíli o hack jednoho webu, což se denně děje tisícům dalším serverům, ale útočníci, kteří si říkají „The Impact Team“, nyní přišli s něčím opravdu zajímavým. Po prvotních 10GB komprimovaných dat (uživatelská jména, emailové adresy, čísla kreditních karet, PayPal účtů, …), zveřejnili 20 GB interních dat (zdrojový kód webu, interní komunikace, hesla k databázím) a celý mailbox CEO Ashley Madison Noela Bidermana (podle posledních informací je balík částečně poškozený).

Už tou dobou se v balíku informací (čítajícím 33–36 milionů účtů!) dostali reportéři k osobnostem britské a americké vlády, Bílého domu, hvězdám televizních pořadů, které veřejně hlásí nezbytnost rodinných hodnot (Josh Duggar), zaměstnanci Vatikánu a samozřejmě vysoce postaveným manažerům mezinárodních společností.

Hledání však znesnadňuje fakt, že ne všichni byli tak hloupí, aby používali svoje pravé jméno nebo svůj běžný email, takže se nedá vždy identifikovat, komu účet patří. Nyní však útočníci zveřejnili celý balík dat. 300 GB dat navíc obsahuje i soukromé chaty uživatelů, nahrané privátní fotografie a celou historii účtů, takže teď již bude jednodušší identifikovat uživatele, či z nich pod přívalem nepřímých důkazů dostat přiznání nevěry.

Jedná se o velký balík privátních dat, která mohou některé jedince značně poškodit a během příštích dnů a týdnů se myslím může bulvár plnit pouze informacemi z tohoto zdroje. Rozvodoví právníci to nazývají “Vánoce v létě”.

Podrobnosti o hacku serverů společnosti Avid Life Media si můžete přečíst z komunikace The Impact Teamu s redaktorem Josephem Coxem.

Naše postřehy

Překvapení! Lidé si podle analýzy volí jednoduchá hesla pro odemčení Android telefonu. Snad na ni nešly desítky milionů eur z dotací EU, jak tomu bývá (vtip). Podle výsledků analýzy 3400 PINů si lidé volí v zásadě pouze čtyři vzory/tahy, pouze s jiným počátečním umístěním. Pro zajímavost 77 % PINů začíná v jednom ze čtyř rohů. Nechtějte po lidech vymýšlet či používat jakákoliv hesla. Pokud máte iPhone, nastavte si raději Touch ID používající otisk prstu, a to nejen pro odemčení, ale i např. bankovní aplikace, což je rozhodně bezpečnější než nějaký PIN. Přečtěte si, prosím, nejdřív, jak jsou otisky prstů u Apple chráněny, než začnete diskutovat pod článkem.

Podle výsledků GitHubu je trojicí nejpoužívanějších programovacích jazyků open-source projektů hostovaných na jejich serverech JavaScript, Java a Ruby. Trend Javy mě upřímně překvapil (negativně).

Bcachefs byl měl být souborový systém s rychlostí a spolehlivostí EXT4 a XFS a s pokročilými funkcemi ZFS či Btrfs. Jeho autorem je bývalý inženýr Googlu Kent Overstreet a prvotní testy prý vypadají v pořádku. Kód však ještě není připraven k používání či zahrnutí do jádra Linuxu.

Jeb Bush (kandidát na prezidenta USA) je proti šifrování, protože to prý „znesnadňuje práci vlády“. Proč rovnou nenahradí „práci“ za šmírování? Přestane pak používat šifrování i vláda? Asi ne, kdo ale pak bude „hlídat hlídače“? A opravdu si myslí že ho teroristi poslechnou? Je to asi tak bystrý a inteligentní jedinec, jako šéfka bezpečnosti Oraclu (Mary Ann Davidson), která přikazuje, aby lidé nedělali reverzní inženýrství a hledali tak chyby v produktech Oraclu, jinak je zažaluje. U politika bych ještě pochopil, že ani netuší co to šifrování je, ale druhý výrok je od CSO (Chief Security Officer). Nicméně je pravdou, že na vysoké pozice mezinárodních korporací je často člověk dosazován z jiných důvodů než zkušenosti a schopnosti.

Byla objevena chyba v sandboxu MDM (mobile device management) na iOS, opravená ve verzi 8.4.1, umožňující dostat se k registračním údajům zařízení či aplikace do korporátní MDM. Podle detailů to určitý nedostatek je, ale nepřijde mi jednoduše zneužitelný. Nicméně určitě aktualizujte na poslední verzi.

Webhostingová společnost Web.com byla napadena a unikly ta údaje o 93 tisících kreditních karet. Nic nového pod sluncem řeknete si, ale něco na zamyšlení. Proč vůbec někdo, kdo neumí, nebo nechce splňovat standardy jako PCI DSS, neoutsourcuje zpracování těchto dat třetím společnostem (PayPal například) a místo toho vystavuje v nebezpečí své klienty? Jedna připomínka: PCI DSS není všelék a určitě vás jednoznačně neochrání před nabouráním, jen to útočníkům značně zkomplikuje a drtivou většinu odradí, když je správně nasazen. Nutno dodat, že postavit PCI DSS vyhovující prostředí je velice drahá záležitost (hlavně kvůli nárokům na šifrování a 2FA). Navíc si tento standard občas protiřečí a některé pojmy nejsou vysvětlené, takže záleží spíš na výkladu standardu a zkušenostech auditora, jestli dostanete PCI DSS certifikát nebo ne.

Ve zkratce

Pro pobavení

Původně jsem chtěl použít něco jiného, ale tohle je aktuálnější. Hádejte co za reklamu na mě vyskočilo při hledání detailů o Ashley Madison :)

Diskrétně a bezpečně :)

100% Bezpečné a Diskrétně!

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

25. 8. 2015 17:02

Lael Ophir (neregistrovaný)

Nevěrníci dělají to co dělají lidé odjakživa, a zaslouží nejvýš morální odsouzení. Samozřejmě ale na prvním místě mají právo na ochranu osobních údajů, jako kdokoliv jiný. Provozovatelé Ashley Madison jen plní poptávku, nevidím v tom problém. Pánové z The Impact Team se dopustili několika trestných činů, a patří za mříže.

25. 8. 2015 15:38

Lael Ophir (neregistrovaný)

Aha. Takže ta samá komunita umí jak bojovat za ochranu soukromí, tak z důvodů nějakého falešného moralismu vpadat lidem do soukromí a zveřejňovat podrobnosti z jejich intimního života. Jaké soukromí? Vždyť kdo nedělá nic špatného, nemá se čeho obávat :D

Pánové by si měli všimnout, že cca polovina mužů a třetina žen měla minimálně jednu epizodu nevěry. A bagatelizovat vpád do něčího soukromí tím že dělal něco co já podle svých měřítek považuji za nemorální je naprosto nesmyslné.

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET