Archiwa tagu: baza danych

bezpieczne hasło

Jak bezpiecznie przechowywać hasła

Żyjemy w epoce informacji. Mamy łatwy dostęp do najnowszych wiadomości z całego świata, możemy rozwijać swoje hobby i zainteresowania, uczyć się. Możemy też w łatwy sposób dzielić się swoimi opiniami i przemyśleniami na internetowych forach, czy choćby i w formie bloga. Macie konto w banku? Na pewno posiadacie też możliwość jego obsługi przez internet. Lubicie oglądać filmy lub seriale? Żaden problem, wystarczy wejść na odpowiednią stronę i wszystko mamy na pstryknięcie palcem. Jeśli mieszkacie na blokowisku to na pewno zdarza się Wam od czasu do czasu podejrzeć co tam u sąsiadów z naprzeciwka słychać. Tylko po co fatygować się do okna, jeśli można leżeć z laptopem wygodnie w łóżku i robić to samo na Facebooku? W dodatku nie trzeba obawiać się że robimy coś nieprzyzwoitego, bo przecież oni sami chcą żebyśmy podglądali ich prywatne życie.

W epoce informatyzacji wszystkie te często kompletnie różne czynności mają jedną wspólną cechę. Otóż żeby móc z nich swobodnie korzystać najczęściej trzeba posiadać konto na stronie, a co za tym idzie – trzeba mieć jakieś hasło do tego konta. Nie będę tu rozprawiał na temat naszej prywatności, która wraz z biegiem czasu jest sukcesywnie minimalizowana, a nawet rzec by można praktycznie już nie istnieje. Przypomnę tylko o najbardziej podstawowych zasadach bezpieczeństwa, które stosujemy funkcjonując w prawdziwym świecie, a często zapominamy o nich w świecie wirtualnym. Choć mam wrażenie, że granice pomiędzy obydwoma tymi światami zaczynają się coraz bardziej zacierać.

Czysty zdrowy rozsądek i minimalne poczucie zachowania bezpieczeństwa, tak samo jak i najwięksi amerykańscy eksperci od bezpieczeństwa IT podpowiadają, by zakładając konta internetowe używać możliwie różnych haseł do każdego z nich. Teoria banalna, ale w praktyce wcale tak łatwo nie jest. Pierwszym z powodów jest złożoność haseł, drugim ich ilość. Czytaj dalej Jak bezpiecznie przechowywać hasła

Złapano osoby odpowiedzialne za „włamanie” na Wykop.pl

Wielkopolska policja namierzyła i zatrzymała siedmiu „hakerów”, którzy kilka tygodni temu wykradli dane ponad 100 tys. użytkowników popularnego serwisu wykop.pl.
Administratorzy serwisu internetowego wykop.pl 20 sierpnia stwierdzili, że kilka godzin wcześniej poprzez sieć internetową nastąpił atak hakerski na ich serwer. Po pokonaniu zabezpieczeń sprawcom udało się przejąć bazę danych użytkowników serwisu. W bazie znajdowały się loginy i zaszyfrowane hasła do kont internautów.

Sprawą zajęli się policyjni eksperci z Wydziału do walki z Przestępczością Gospodarczą Komendy Wojewódzkiej Policji w Poznaniu.

– Po analizie szczegółowych informacji przekazanych przez administratorów serwisu funkcjonariusze zajmujący się przestępczością komputerową ustalili, w jaki sposób przeprowadzili atak i włamanie na serwer. Ponadto śledczy stwierdzili, że internetowi złodzieje udostępnili skradzione dane kilku innym osobom. Dopuścili się także swoistego szantażu wobec okradzionego serwisu. Grożąc ujawnieniem całej bazy danych oczekiwali od serwisu „ciekawych propozycji” – wyjaśnia Andrzej Borowiak, rzecznik wielkopolskiej policji.

Wytropienie i ustalenie hakerów zajęło policjantom kilkanaście dni. Pomocna była przy tym bliska współpraca z administratorami zaatakowanego serwisu. Okazało się, że wytypowane osoby podejrzewane o kradzież danych pochodzą z różnych miast.

– Główna trójka podejrzanych, odpowiedzialna za włamanie, to osiemnastolatek z Olsztyna i dwóch piętnastolatków z Włocławka i Braniewa. Pozostałe osoby zamieszane w sprawę to mieszkańcy Bielska Białej, Braniewa i Poznania – mówi Borowiak.

Podczas przeszukania mieszkań policjanci zabezpieczyli sprzęt komputerowy. Odzyskali także wszystkie skradzione kopie bazy danych. Nie ma żadnych wiarygodnych informacji, że obecnie dane użytkowników są w jakikolwiek sposób zagrożone, jednak podobno „hakerzy” zdążyli część danych udostępnić osobom trzecim.

Za włamanie i kradzież danych informatycznych oraz zakłócenie działania baz danych zatrzymanym grozi kara do trzech lat więzienia.

Ja nie myślę stawać po stronie kradziejów, jednak myślę, że nie powinni dostawać zbyt wysokiej kary za to co zrobili. Z informacji, które zdążyłem wyłowić wychodzi na to, że winni są głównie sami administratorzy Wykopu, którzy nie zadbali o podstawowe zabezpieczenia na owym serwerze z którego dane skradziono. Może nawet dobrze, że tak się stało, bo dane użytkowników powinny być o wiele lepiej zabezpieczone, na przyszłość powinni o tym pomyśleć.

Źródło

Włamanie na Wykop.pl

Na oficjalnym blogu Wykopu nieco ponad godzinę temu pojawił się wpis z wyjaśnieniem dotyczącym włamania na testowy serwer, mającym miejsce 18 sierpnia.
Na owym serwerze znajdowała się baza użytkowników zarejestrowanych do 31 marca 2009r! Admini testowali tam nową wersję serwisu. Do użytkowników rozesłano mailing z prośbą o zmianę haseł do swoich kont.

Wpis na blogu wygląda tak:

Drodzy Wykopowicze.
Kilka tygodni temu odnotowaliśmy włamanie na jeden z serwerów testowych, na którym przygotowujemy nową wersję serwisu. Lukę naprawiliśmy bardzo szybko, jednak włamywaczom udało się pobrać starą kopię bazy danych, której tam używaliśmy.

W związku z próbami szantażowania Wykopu ze strony hackerów, zgłosiliśmy niezwłocznie zawiadomienie do organów ścigania. Z uwagi na prowadzone dochodzenie, które wykracza poza granice kraju, otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób. Dlatego nie mogliśmy Was o tym wcześniej poinformować. Sprawy potoczyły się jednak za daleko i należą Wam się słowa wyjaśnienia.

Felerna baza zawiera konta użytkowników zarejestrowane do 31 marca 2009 roku! W bazie zapisane były m.in. hasła do Waszych kont na Wykopie. Każde z haseł ze względów bezpieczeństwa, zostało zahashowane, więc nie można go po prostu odczytać. Jedyny sposób, to metoda prób i błędów zwana “brute force”. W celu ochrony przed możliwymi konsekwencjami wycieku danych, wszystkie osoby, które zarejestrowały konto przed 31 marca 2009 roku prosimy o zmianę hasła (im więcej znaków w haśle, tym hasło bezpieczniejsze). Sprawdźcie również, czy nie używaliście tego hasła na innych serwisach.

Cała nasza firma, mimo weekendu, jest w tej chwili postawiona w stan najwyższej gotowości. Jesteśmy w ciągłym kontakcie telefonicznym z organami ścigania, oraz z działami bezpieczeństwa m. in. Allegro.

Bardzo przepraszamy za zaistniałą sytuację. Robimy co w naszej mocy, aby szybko naprawić skutki tego błędu. Będziemy Was na bieżąco informować o całej sytuacji.

Polecam przeczytanie komentarzy do wpisu na oficjalnym blogu. Widać tam wiele krytycznych opinii dotyczących ekipy, która dopuściła się (wg. komentujących) zaniedbania.

Szczegółów dotyczących włamania nie znam, więc może na razie wstrzymam się od skomentowania tego. Na myśl przychodzi jednak, że po prostu administratorzy dali ciała. Przy takich operacjach powinno się szczególnie zwrócić uwagę na kwestię bezpieczeństwa. No cóż…takie coś może się zdarzyć każdemu, choć wiadomo, że nie powinno.

Co się dzieje z WEBD.pl?

Niegdyś firma uważana za lidera polskiego rynku hostingowego, dzisiaj jest w rozsypce.
Użytkownicy coraz częściej skarżą się na wolne ładowanie stron, przerwy w ich działaniu i tym podobne rzeczy. Mimo to webd nadal się ceni.
Wczoraj serwery w ogóle nie działały przez godzinę…Co ciekawe firma nie informuje klientów o planowanych przerwach w działaniu serwerów.

Miesiąc temu serwis Cyber Crime podał następującą informację:

“Otrzymaliśmy informację, że grupa Polish Vodka Team uzyskała dostęp do źle zabezpieczonego serwera jednej z największych firm hostingowych w Polsce: webd.pl (11 miejsce w Polsce wg. top100.pl). W wyniku włamania doszło do wycieku całej bazy danych klientów (loginy i hasła). W związku z tym klienci powinni jak najszybciej zmienić hasło dostępu do swojego konta.”

Poniżej screeny z dwóch stron podmienionych dla uwiarygodnienia informacji oraz kawałek zrzutu z bazy danych klientów (hasła niezakodowane).

Jakim cudem hasła klientów nie są zakodowane?
Czyżby administratorzy webd’a nie wiedzieli co to jest MD5?

Pewnie osoby nie korzystające z usług webd dostaną teraz ataku śmiechu, albo po prostu w to nie uwierzą. Trochę inna reakcja będzie tych, którzy z ich usług korzystają, a wcześniej o włamaniu nie wiedziała. Podane wyżej informacje są zapewne dla wielu wystarczającym argumentem, aby zmienić usługodawcę.
Sam miałem kiedyś u nich konto, ale na szczęście kolejny raz się w to nie wpakowałem…