O autorze
Krzysztof Surgut – były CEO firmy Data Space, rozwijającej systemy bezpieczeństwa IT, m.in. usługę Anty DDoS. Ekspert bezpieczeństwa informacji (ISO 27001), systemów teleinformatycznych (xDSL, DWDM, PON, IPTV, rozsiewczych systemów radiowych, technologii mobilnych oraz sieci IP), współautor strategii technologicznej dla Telefonii Dialog na lata 2000 – 2005, współautor strategii technologicznej dla HAWE S.A. na lata 2007 - 2010 podczas debiutu na GPW oraz główny architekt systemów wykorzystywanych w ogólnopolskiej sieci światłowodowej HAWE (teletransmisja, IP, IPTV, zarządzanie i utrzymanie). Szef zespołów budujących ważne węzły teleinformatyczne oraz data center w Polsce, specjalista od uzgodnień międzyoperatorskich.

Papierowe Państwo

pexels.com
Co jakiś czas słychać, że hakerzy wykradli dane z rządowych systemów. Trudno się temu dziwić, skoro analiza danych z bazy wykradzionych loginów i haseł, z rządowymi adresami e-mail, nie pozostawia złudzień. Hakerzy nie muszą się specjalnie napinać.


Za oknem deszcz, siedzę przy komputerze i w ramach ćwiczeń różnych narzędzi sprawdzam działanie jednego ze skryptów służących do wyciągania informacji z jednej z dużych baz danych.
To dość specyficzna baza danych, ponieważ znajdują się tam loginy i hasła wykradzione z różnych miejsc na całym świecie.
Polska nie jest tutaj żadnym wyjątkiem.


W ramach wprawki wrzucam zapytanie o pokazanie danych, w których użyto adresu emial z domeny ZUS'u.
Odpowiedź przychodzi natychmiast.



Lektura zestawienia rzuca na kolana każdego, kto zajmuje się bezpieczeństwem informacji.

Po takiej odpowiedzi ciśnienie podskoczyło mi bardzo szybko i na tapetę wziąłem pozostałe rządowe domeny.

Pocieszyło mnie, że w bazie nie ma loginów z domen policja.pl, mswia.gov.pl czy nbp.pl.

Jednak włosy stanęły mi dęba, gdy w odpowiedzi dostałem listę z domeny .bbn.gov.pl (Biuro Bezpieczeństwa Narodowego).


To już nie są żarty.
Biuro Bezpieczeństwa Narodowego to jedna z najważniejszych instytucji w Państwie.
Jak to się dzieje, że ludzie tam pracujący używają służbowego konta do kont w jakiś masowych serwisach internetowych (np. w sklepach internetowych, czy portalach randkowych).

Lektura pozostałych instytucji rządowych nie jest pocieszająca.
Najwyższa Izba Kontroli, Krajowa Rada Radiofonii i Telewizji, Najwyższy Sąd Administracyjny, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej, NFZ, Polska Agencja Atomistyki, Służba Więzienna, Straż Graniczna, Trybunał Konstytucyjny, Urząd Lotnictwa Cywilnego, Urząd Regulacji Energetyki, Urząd Transportu Kolejowego, Urząd Zamówień Publicznych, Ministerstwo Kultury i Dziedzictwa Narodowego.
A nawet Prezydent.pl .


To te z najbogatszą listą adresów e-mail, których urzędnicy korzystali ze służbowego maila w cywilnych/społecznych serwisach internetowych.

Samo pojawienie się tych adresów nie jest aż tak kompromitujące, ponieważ urzędnicy muszą czasami zrobić jakieś służbowe zakupy w internetowych sklepach internetowych (choć skala jest zbyt duża, aby dotyczyło to wszystkich osób).

Dramatem jest długość i skomplikowanie haseł, jakie używają Ci ludzie do swoich profili.
Jeżeli dołożymy do tego fakt, że te same osoby używają często tego samego loginu i hasła zarówno do służbowych systemów jak i do prywatnych celów, to przestaje być to już śmieszne.

W takim przypadku, aby uzyskać dostęp do wielu ważnych systemów informatycznych - wystarczy jedna osoba, której dane znajdą się w takiej bazie, a haker może rozpocząć pełną inwigilację systemów informatycznych.

Dramatu dodaje fakt, że w wielu przypadkach występuje ten sam adres e-mail wielokrotnie, często z tym samym hasłem lub hasłem minimalnie zmodyfikowanym (np. 613dom, 613dom2).
A jakby tego było mało to same hasła nie dość, że często bardzo krótkie, to w dodatku banalnie proste.

Poczynając od królujących na całym świecie '123456', przez 'qwert', a dalej mamy takie kwiatki:
duupa,
dupa00,
wakacje13,
pajaczek,
teresa36,
jagoda,
agatka77,
miki40,
kastrat7,
Ziemniaki1,
123qaz,
psychol06,
Melisska,
2ananasy,
krasula,
teresa980s
monika1988
grafit,
aneta,
marcello,
psotka.2,
kubus,02,
noka9300,
12karabin34,
volvo440,
robaczek,
SASZA2013,
uwertura1,
godlen retriever,
pamela,
bucik1,
ewunka,
cichy1,
misiek1,
tigr,
frezja,
ataman,
wolyn1916,



no i najlepsze moim zdaniem hasło:
j23

Wszystko byłoby śmieszne, gdyby nie fakt, że takie mierne hasła ustawiają urzędnicy państwowi.
Tak słabe i mierne hasła świadczą o braku wiedzy i przeszkolenia z podstaw bezpieczeństwa inforamcji.
A te braki stają się największą słabością Państwa, które wykorzystują hakerzy z całego świata.

I po co nam te wszystkie ustawy o cyberbezpieczeństwie Państwa, skoro jedna Pani Basia z jakimś Dareczkiem,użyją swojego służbowego konta w jakimś sklepie internetowym.
A w dodatku wpiszą to samo lub pododbne hasło jakiego używają do swoich służbowych systemów informatycznych.
Potem hakerzy wykradną bazę danych z takiego sklepu i ...

Śmieszne?
Chyba nie, bo mnie przestało to bawić.

Znajdź nas na Znajdź nas na instagramie

Oceń ten artykuł:

Trwa ładowanie komentarzy...

BLOGI

NAJNOWSZE WPISY

Igor IluninIgor Ilunin

Większość ludzi już jest przyzwyczajona do przyswajania danych i multimediów na wielu ekranach. Stąd oczekiwana, że samochody zapewnią podobne możliwości, są naturalne.

Piotr BuckiPiotr Bucki

Czasem na szkoleniach przeprowadzam pewien eksperyment. Proszę uczestników, żeby wskazali lewą i prawą stronę. Nic trudnego. Dla przeważającej większości. To jednak nie koniec eksperymentu.

Tomasz SwiebodaTomasz Swieboda

Polski rynek venture capital z roku na rok staje się coraz dojrzalszy i powoli zaczyna przypominać zachodnie ekosystemy. Tak w ostatnich dwóch latach wyglądała lokalna scena startupowa.