O autorze
Krzysztof Surgut – były CEO firmy Data Space, rozwijającej systemy bezpieczeństwa IT, m.in. usługę Anty DDoS. Ekspert bezpieczeństwa informacji (ISO 27001), systemów teleinformatycznych (xDSL, DWDM, PON, IPTV, rozsiewczych systemów radiowych, technologii mobilnych oraz sieci IP), współautor strategii technologicznej dla Telefonii Dialog na lata 2000 – 2005, współautor strategii technologicznej dla HAWE S.A. na lata 2007 - 2010 podczas debiutu na GPW oraz główny architekt systemów wykorzystywanych w ogólnopolskiej sieci światłowodowej HAWE (teletransmisja, IP, IPTV, zarządzanie i utrzymanie). Szef zespołów budujących ważne węzły teleinformatyczne oraz data center w Polsce, specjalista od uzgodnień międzyoperatorskich.

Papierowe Państwo

pexels.com
Co jakiś czas słychać, że hakerzy wykradli dane z rządowych systemów. Trudno się temu dziwić, skoro analiza danych z bazy wykradzionych loginów i haseł, z rządowymi adresami e-mail, nie pozostawia złudzień. Hakerzy nie muszą się specjalnie napinać.


Za oknem deszcz, siedzę przy komputerze i w ramach ćwiczeń różnych narzędzi sprawdzam działanie jednego ze skryptów służących do wyciągania informacji z jednej z dużych baz danych.
To dość specyficzna baza danych, ponieważ znajdują się tam loginy i hasła wykradzione z różnych miejsc na całym świecie.
Polska nie jest tutaj żadnym wyjątkiem.


W ramach wprawki wrzucam zapytanie o pokazanie danych, w których użyto adresu emial z domeny ZUS'u.
Odpowiedź przychodzi natychmiast.



Lektura zestawienia rzuca na kolana każdego, kto zajmuje się bezpieczeństwem informacji.

Po takiej odpowiedzi ciśnienie podskoczyło mi bardzo szybko i na tapetę wziąłem pozostałe rządowe domeny.

Pocieszyło mnie, że w bazie nie ma loginów z domen policja.pl, mswia.gov.pl czy nbp.pl.

Jednak włosy stanęły mi dęba, gdy w odpowiedzi dostałem listę z domeny .bbn.gov.pl (Biuro Bezpieczeństwa Narodowego).


To już nie są żarty.
Biuro Bezpieczeństwa Narodowego to jedna z najważniejszych instytucji w Państwie.
Jak to się dzieje, że ludzie tam pracujący używają służbowego konta do kont w jakiś masowych serwisach internetowych (np. w sklepach internetowych, czy portalach randkowych).

Lektura pozostałych instytucji rządowych nie jest pocieszająca.
Najwyższa Izba Kontroli, Krajowa Rada Radiofonii i Telewizji, Najwyższy Sąd Administracyjny, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej, NFZ, Polska Agencja Atomistyki, Służba Więzienna, Straż Graniczna, Trybunał Konstytucyjny, Urząd Lotnictwa Cywilnego, Urząd Regulacji Energetyki, Urząd Transportu Kolejowego, Urząd Zamówień Publicznych, Ministerstwo Kultury i Dziedzictwa Narodowego.
A nawet Prezydent.pl .


To te z najbogatszą listą adresów e-mail, których urzędnicy korzystali ze służbowego maila w cywilnych/społecznych serwisach internetowych.

Samo pojawienie się tych adresów nie jest aż tak kompromitujące, ponieważ urzędnicy muszą czasami zrobić jakieś służbowe zakupy w internetowych sklepach internetowych (choć skala jest zbyt duża, aby dotyczyło to wszystkich osób).

Dramatem jest długość i skomplikowanie haseł, jakie używają Ci ludzie do swoich profili.
Jeżeli dołożymy do tego fakt, że te same osoby używają często tego samego loginu i hasła zarówno do służbowych systemów jak i do prywatnych celów, to przestaje być to już śmieszne.

W takim przypadku, aby uzyskać dostęp do wielu ważnych systemów informatycznych - wystarczy jedna osoba, której dane znajdą się w takiej bazie, a haker może rozpocząć pełną inwigilację systemów informatycznych.

Dramatu dodaje fakt, że w wielu przypadkach występuje ten sam adres e-mail wielokrotnie, często z tym samym hasłem lub hasłem minimalnie zmodyfikowanym (np. 613dom, 613dom2).
A jakby tego było mało to same hasła nie dość, że często bardzo krótkie, to w dodatku banalnie proste.

Poczynając od królujących na całym świecie '123456', przez 'qwert', a dalej mamy takie kwiatki:
duupa,
dupa00,
wakacje13,
pajaczek,
teresa36,
jagoda,
agatka77,
miki40,
kastrat7,
Ziemniaki1,
123qaz,
psychol06,
Melisska,
2ananasy,
krasula,
teresa980s
monika1988
grafit,
aneta,
marcello,
psotka.2,
kubus,02,
noka9300,
12karabin34,
volvo440,
robaczek,
SASZA2013,
uwertura1,
godlen retriever,
pamela,
bucik1,
ewunka,
cichy1,
misiek1,
tigr,
frezja,
ataman,
wolyn1916,



no i najlepsze moim zdaniem hasło:
j23

Wszystko byłoby śmieszne, gdyby nie fakt, że takie mierne hasła ustawiają urzędnicy państwowi.
Tak słabe i mierne hasła świadczą o braku wiedzy i przeszkolenia z podstaw bezpieczeństwa inforamcji.
A te braki stają się największą słabością Państwa, które wykorzystują hakerzy z całego świata.

I po co nam te wszystkie ustawy o cyberbezpieczeństwie Państwa, skoro jedna Pani Basia z jakimś Dareczkiem,użyją swojego służbowego konta w jakimś sklepie internetowym.
A w dodatku wpiszą to samo lub pododbne hasło jakiego używają do swoich służbowych systemów informatycznych.
Potem hakerzy wykradną bazę danych z takiego sklepu i ...

Śmieszne?
Chyba nie, bo mnie przestało to bawić.

Znajdź nas na Znajdź nas na instagramie

Oceń ten artykuł:

Trwa ładowanie komentarzy...
0 0To nie może się udać. Do kraju wkracza hiszpański start-up, który chce robić Polakom pranie
0 0Ten start-up stworzył superpszczoły. Silniejsze, odporniejsze, lepsze
DZIEJE SIĘ 0 0Cyfrowi kryminaliści spuszczają nam spory łomot. "Ale mamy coś, czego nie mają oni"
0 0Geniusz czystego zła. Twórcy "Billions" zrobią serial o niesławnym założycielu Ubera
0 0"Prywatne firmy nie powinny cenzurować polityków". Mark Zuckerberg popiera Twittera
0 0Twój szef cię nienawidzi? Nie musisz się zwalniać. Oto co powinieneś zrobić
0 0Ważny rejestr, o którym mało kto mówi. Jeśli się nie wpiszesz, wlepią ci gigantyczną karę
BIZNES 0 0Wymyślił, że będzie przynosił korpoludkom książki. "Znikają w 5 minut. Ludzie się na nie rzucają"
0 0Oto dziejowa sprawiedliwość. Ofiara naciągnęła na kasę internetowego oszusta