7:34
10/4/2015

Wczoraj informowaliśmy o ciekawym ataku, który swoim zakresem objął 11 kanałów francuskiej telewizji TV5 Monde nadawanej na terenie 200 krajów. Atakujący przejęli nie tylko kontrolę nad anteną stacji, ale włamali się także do wszystkich kont TV5 w sieciach społecznościowych. Czy hasła pozyskali …ze swoich telewizorów? To możliwe.

Reporter TV5Monde "nakręca się" na tle ściany haseł

Reporter TV5Monde “nakręca się” na tle ściany haseł

Wyciek haseł na wizji

We wczorajszym programie 13 Heures, reporter TV5Monde dał się sfilmować na tle pokoju, którego ściany były obwieszone kartkami z loginami i hasłami. Internauci wypatrzyli dane dostępowe do Twittera i Instagramu oraz YouTube’a. Niestety haseł do dwóch pierwszych serwisów nie udało się odczytać, natomiast z YouTube’em nie było problemów. Jak brzmi zaawansowane hasło, które musieli pokonać włamywacze z ISIS?

lemotdepassedeyoutube

…co dokładnie tłumaczy się do “hasło do youtube”. Zachęceni takim wyciekiem internauci ruszyli do archiwalnych nagrań i wyłapali jeszcze jedną ciekawą parę login i hasło, które wydają się być domyślnym redakcyjnym loginem i hasłem “na każdą okazję”.

Kolejne hasło redakcji TV5Monde

Kolejne hasło redakcji TV5Monde

Czy wyciek haseł był wektorem ataku?

Najważniejsze pytanie teraz, to czy atakujący z ISIS byli w posiadaniu tych haseł przed atakiem? Program, z którego odczytano hasło do YouTube został wytransmitowany dopiero po ataku, ale być może już w przeszłości setki nagrywano w tych samych pomieszczeniach? A może któryś ze stażystów “sypnął”?

O ile incydent z ujawnieniem hasła wydaje się zabawny, wątpimy aby to właśnie wyciek haseł przez wizję był kluczowym elementem ataku. Bardziej prawdopodobne jest, że włamywacze przypuścili ataki zgadywania haseł — które jak widać po “skomplikowaniu” haseł, powinny szybko dać pozytywny rezultat przy użyciu standardowych zlokalizowanych słowników.

Z nowych informacji dotyczących TV5 Monde wiadomo, że już na 2 tygodnie przed przejęciem anteny telewizja została poinfromowana przez ANSSI (odpowiednik naszego ABW) o włamaniu na jeden z ich serwerów. Nie wiadomo jednak, czy incydenty te są powiązane.

Nie pierwszy to wyciek na wizji

Przypomnijmy najważniejsze:

  • Hasło premiera Donalda Tuska poznaliśmy dzięki relacji TVN — było to jednak hasło do standardowego laptopa z kancelarii rady ministrów.
    Hasło Donalda Tuska

    Hasło Donalda Tuska

  • Natomiast wiadomości TVP ujawniły hasło do zarządzania flotą śmigłowców Lotniczego Pogotowia Ratunkowego:
    Rescue Track

    Hasło LRP do Rescue Track

  • A kilka miesięcy później w ślad za TVP poszedł Książę Wiliam, którego nadworny fotograf przypadkiem ujawnił wiele haseł do systemów wojskowych, bo sfotografował Księcia na lotniskowcu
    Książe William na tle kartki z hasłami

    Książe William na tle kartki z hasłami (oryginał, bez retuszu)

  • O ile powyższe wpadki nie wiązały się ze stratami finansowymi i były wynikiem pracy osób nietechnicznych, to nie można tego już powiedzieć o miłośniku Bitcoinów, który ujawnił swój klucz prywatny na wizji, dzięki czemu pożegnał się z zawartością bonu podarunkowego.
    Bitcoin na wizji

    Bitcoin na wizji

Ale i tak, jeśli chodzi o zarządzanie hasłami, to nic nie pobije Sony Pictures, które miało na swoich dyskach archiwum o nazwie passwords.zip zabezpieczone hasłem “password”, które zawierało spis wielu haseł do różnych usług.


Przeczytaj także:



32 komentarzy

Dodaj komentarz
  1. Rozumiem, że można przez przypadek pokazać tablicę, na której wśród wielu różnych zapisków jest jakieś hasło. Ale stanąć przed ścianą na której są same hasła? Można tego nie zauważyć?

    • Tu nie chodzi o pokazanie, ale o samo to, że można wpaść na pomysł zapisywania (jakichkolwiek) haseł na tablicy, karteczce przyklejonej do monitora czy atykietki umieszczonej pod klawiaturą… litości.

    • A jak można zgubić klucze do mieszkania lub portfel?

    • Chcesz mi powiedzieć, że klucze przyklejasz taśmą do drzwi?

  2. Nigdy nie mogłem zrozumieć po co jakiemukolwiek pracodawcy potencjał intelektualny drzemiący w osobie, która nie jest w stanie zapamiętać kilku haseł. W końcu nie świadczy to zbyt dobrze nie tylko o pamięci czy wyobraźni pracownika, ale o jego (nie)myśleniu w ogóle…

    • Sprawa jest taka, że zgodnie z jakąś polityką hasło może zmieniać się co miesiąc na inne. Jeśli pod opieką masz parę serwisów i ktoś co miesiąc zmienia ci hasło na takie totalnie z czapy to ja im się nie dziwię.

    • Emil: A od czego jest keepass ?? Co to za problem ? Można trzymać i milion haseł bez obaw o sfilmowanie

    • I tutaj mamy brak pomyślunku adminów. Jeżeli jest taka sytuacja, z wieloma serwisami i wieloma hasłami często niezmienianymi to aż się prosi o zastosowanie jakiegoś SSO, logowania Domenowego, czegokolwiek by użytkownik za pomocą jednego silnego hasła uwierzytelniał się tylko w jednym systemie. Ewentualnie na infrastruktury krytycznej uwierzytelnianie dwuskładnikowe (głupi SMS na telefon służbowy z kodem). A co do kaypassa, nie każdy jest obeznany z zagadnieniem bezpieczeństwa, rolą adminów jest użytkowników uświadamiać i im w tym pomagać, a rolą pracodawcy jest zapewnić adminom do tego środki. Tymczasem, polityka bezpieczeństwa często jest fikcją. Jakieś nudne szkolenie z samymi ogólnikami, na którym wszyscy przysypiają, tona wymagań na to by hasło było jak najdziwniejsze, regulamin zmiany haseł najlepiej co miesiąc itd. Nie ma się co dziwić, że ludzie idą na skróty skoro nie rozumieją problemu i ich percepcja jest taka, że tylko głupi admin robi im pod górkę i przeszkadza im w pracy.

  3. Walczyliśmy w firmie z hasłami w zasięgu wzroku, najczęściej przyklejone na monitorze. Wiadomo przepisy zabraniają… w większości biur (obojętnie w jakiej firmie) hasło można znaleźć w zasięgu reki. Jeśli niema go na monitorze to będzie pod klawiaturą, na kalendarzu biurkowym, itp. ciekawe co mówią statystyki gdzie najczęściej “chowane” są hasła.

    • Mam to samo tylko w urzędzie… Wydaje mi się że łatwiej jest uzyskać odpowiedni poziom bezpieczeństwa w firmie niż w urzędzie.

    • urzędy to porażka pod tym względem. nie dbają o odpowiedni poziom bezpieczeństwa, bo jak np. haker wprowadzi z konta urzędu kasę, to nikt nie jest winny ;)

  4. Rasistowski ten post, oj nieładnie.

  5. Pracuję w przedsiębiorstwie informatycznym. Codziennie używam około kilkunastu różnych haseł. Hasła te są okresowo zmieniane. Nikt u mnie w firmie nigdzie nie zapisuje tych haseł. Każdy posiada je w głowie. Można? Można.

    • A te hasła pewnie to “serwis1_” albo innego rodzaju schemat. Więc nie zapamiętujesz hasła jako takiego tylko algorytm tworzenia a to już coś innego.

    • a te hasła to:
      Andrzej1
      Andrzej2
      na zmianę

    • Do pierwszego wylewu…

    • Miałem to pisać do wylewu lub choroby, podobnie jak u mnie pamięci brak uwierz mi i nie jest to mój wybór

    • nieee… hasła nie są słownikowe i posiadają cyfry oraz znaki specjalne

    • A skąd to wiesz? Znasz hasła sowich użytkowników? Jeśli tak, to faktycznie wielki poziom bezpieczeństwa prezentujesz…

    • Że tak powiem: Pierdolicie Hipolicie.

  6. Dobrym i prostym rozwiązaniem, choć trudnym we wdrożeniu(szkolenia ludzi + dyscyplina), jest pendrive z apllikacja zawiarajaca hasla (KeePass Password Safe). Wtedy wystarczyć jedno hasło lub plik do dostepu do wszystkich haseł.

  7. A ja nie wierze w te włamy a to do Obamy a do gdzieś tam.Zawsze jak chcą zrobić szum to jakiś włam albo coś.

  8. @piotr – przy okazji, czego użyć na apple iOS, żeby działało z plikami keepassa?

  9. A ja sądzę że na dzień dzisiejszy najbezpieczniejszy jest notes schowany w biurku zamykanym na klucz. Po pierwsze hasła nie są w wersji elektronicznej więc ani dzisiaj ani w przyszłości nikt do niech się nie włamie/zdobędzie bazując na jakimś nieznanym błędzie aplikacji chroniącej hasła.
    Dostęp do danej szuflady/biura zazwyczaj ma bardzo ograniczona liczba osób jeśli dodatkowo w firmie jest monitoring lub kontrola dostępu to ilość osób drastycznie się zawęża. I ostatnie najważniejsze – ataku brute force nie da się wykonać z dalekiej Azji tylko trzeba ruszyć tyłek i sforsować fizyczne zabezpieczenia.
    Tak więc karteczka na widoku to poważna kucha ale karteczka schowana w szufladzie zapewnia wysoki poziom bezpieczeństwa. A zapamiętywaniem może być kiepsko, właśnie policzyłem moje hasełka, tak na szybko mam ich ok 150 – raczej ciężko byłoby mi je spamiętać nie bazując na jakimś schemacie…

    • Polecam przeczytać autobiografię Kevina Mitnicka w której w łatwy sposób obchodzi kontrolę dostępu i zamknięte drzwi ;)
      Zamki w biurowych szufladach też nie należą do najtrudniejszych zabezpieczeń.

    • A szuflada + własny szyfr podstawieniowy?
      Podstawieniowe szyfry można rozwiązać, ale jak mamy próbkę tekstów ze słowami, a nie dość losowe.
      Można też zastosować zwykłego bruta, kiedy mamy te zakodowane hasła – znamy długość i wiemy, gdzie są te same znaki…
      …chyba że mamy modyfikatory w kodzie (kodowanie zlepków znaków/parę kodów na jeden znak/zamiana znaków/nieczytanie jakichś znaków). Wtedy to raczej brutem nie pójdzie.
      Ktoś ma jakieś zastrzeżenia i pomysły jak to złamać/obejść?

  10. Co do przenoszenia pliku keypassa na pendrivie. Upada, gdy mamy dużo komputerów.
    Pracownik może wykraść taki pendrive. Awaria usb w kompie. Albo co jeśli pendrive miałby funkcje klawiaturki? Haśło do takiego pliku nie może być także mega skomplikowane by szeregowy pracownik nie dostał zawału.

    Trzymanie kartek pod klawiaturą jeśli ma się zaufana osobowy w pomieszczeniu jest lepsze niż wywiwaszanie ich na ścianie :) Aparaty przez klawiatury nie widzą.

    //Oczywiście są jeszcze sprzątaczki.

    Jest dośc problematyczne jak pogodzić bezpieczeństwo & wygodę.

  11. Jak firma wprowadza politykę “bezpieczeństwa” polegającą na tym, że hasło trzeba zmieniać co miesiąc czy co pół roku, to nie można się dziwić, że hasła będą albo słabe, albo gdzieś zapisane.

    Innym przykładem “geniuszu” jest maskowanie haseł podczas logowania, ale ważne, że wygląda bezpieczniej.

    • Niestety to nie wina firm tylko debilnych rozporządzeń:
      Rozporządzenie wykonawcze do ustawy o ochronie danych osobowych w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)

    • W mojej firmie hasła są zmieniane co miesiąc.
      Nowe hasło ustawiam sam.
      Reguła wymaga dużych i małych liter kilku cyfr i znaków specjalnych.
      nowe hasło nie może być zbytnio podobne do poprzedniego a historia haseł sięga kilku lat wstecz. Mam jedno hasło do różnych usług a poziom dostępu do tych usług określają administratorzy. Nie mam problemu z zapamiętaniem jednego skomplikowanego hasła na miesiąc.

  12. A ja w nawiązaniu do artykułu :P

    Co jest zlego w hasle: haslonayoutube ??? Wg mnie jest to na tle innych hasel zayebiscie bezpieczne i zajmujace duzo czasu do sforsowania haselko………

  13. Znam swoje hasła oraz te, które dzielę nie z użytkownikami, a pozostałymi pracownikami firmy.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: