Reklama.
Reklama.
Reklama.
Papierowe Państwo
Co jakiś czas słychać, że hakerzy wykradli dane z rządowych systemów. Trudno się temu dziwić, skoro analiza danych z bazy wykradzionych loginów i haseł, z rządowymi adresami e-mail, nie pozostawia złudzień. Hakerzy nie muszą się specjalnie napinać.
Reklama.
Za oknem deszcz, siedzę przy komputerze i w ramach ćwiczeń różnych narzędzi sprawdzam działanie jednego ze skryptów służących do wyciągania informacji z jednej z dużych baz danych.
To dość specyficzna baza danych, ponieważ znajdują się tam loginy i hasła wykradzione z różnych miejsc na całym świecie.
Polska nie jest tutaj żadnym wyjątkiem.
To dość specyficzna baza danych, ponieważ znajdują się tam loginy i hasła wykradzione z różnych miejsc na całym świecie.
Polska nie jest tutaj żadnym wyjątkiem.
W ramach wprawki wrzucam zapytanie o pokazanie danych, w których użyto adresu emial z domeny ZUS'u.
Odpowiedź przychodzi natychmiast.
Odpowiedź przychodzi natychmiast.
Lektura zestawienia rzuca na kolana każdego, kto zajmuje się bezpieczeństwem informacji.
Po takiej odpowiedzi ciśnienie podskoczyło mi bardzo szybko i na tapetę wziąłem pozostałe rządowe domeny.
Pocieszyło mnie, że w bazie nie ma loginów z domen policja.pl, mswia.gov.pl czy nbp.pl.
Jednak włosy stanęły mi dęba, gdy w odpowiedzi dostałem listę z domeny .bbn.gov.pl (Biuro Bezpieczeństwa Narodowego).
To już nie są żarty.
Biuro Bezpieczeństwa Narodowego to jedna z najważniejszych instytucji w Państwie.
Jak to się dzieje, że ludzie tam pracujący używają służbowego konta do kont w jakiś masowych serwisach internetowych (np. w sklepach internetowych, czy portalach randkowych).
Biuro Bezpieczeństwa Narodowego to jedna z najważniejszych instytucji w Państwie.
Jak to się dzieje, że ludzie tam pracujący używają służbowego konta do kont w jakiś masowych serwisach internetowych (np. w sklepach internetowych, czy portalach randkowych).
Lektura pozostałych instytucji rządowych nie jest pocieszająca.
Najwyższa Izba Kontroli, Krajowa Rada Radiofonii i Telewizji, Najwyższy Sąd Administracyjny, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej, NFZ, Polska Agencja Atomistyki, Służba Więzienna, Straż Graniczna, Trybunał Konstytucyjny, Urząd Lotnictwa Cywilnego, Urząd Regulacji Energetyki, Urząd Transportu Kolejowego, Urząd Zamówień Publicznych, Ministerstwo Kultury i Dziedzictwa Narodowego.
A nawet Prezydent.pl .
Najwyższa Izba Kontroli, Krajowa Rada Radiofonii i Telewizji, Najwyższy Sąd Administracyjny, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej, NFZ, Polska Agencja Atomistyki, Służba Więzienna, Straż Graniczna, Trybunał Konstytucyjny, Urząd Lotnictwa Cywilnego, Urząd Regulacji Energetyki, Urząd Transportu Kolejowego, Urząd Zamówień Publicznych, Ministerstwo Kultury i Dziedzictwa Narodowego.
A nawet Prezydent.pl .
To te z najbogatszą listą adresów e-mail, których urzędnicy korzystali ze służbowego maila w cywilnych/społecznych serwisach internetowych.
Samo pojawienie się tych adresów nie jest aż tak kompromitujące, ponieważ urzędnicy muszą czasami zrobić jakieś służbowe zakupy w internetowych sklepach internetowych (choć skala jest zbyt duża, aby dotyczyło to wszystkich osób).
Dramatem jest długość i skomplikowanie haseł, jakie używają Ci ludzie do swoich profili.
Jeżeli dołożymy do tego fakt, że te same osoby używają często tego samego loginu i hasła zarówno do służbowych systemów jak i do prywatnych celów, to przestaje być to już śmieszne.
Jeżeli dołożymy do tego fakt, że te same osoby używają często tego samego loginu i hasła zarówno do służbowych systemów jak i do prywatnych celów, to przestaje być to już śmieszne.
W takim przypadku, aby uzyskać dostęp do wielu ważnych systemów informatycznych - wystarczy jedna osoba, której dane znajdą się w takiej bazie, a haker może rozpocząć pełną inwigilację systemów informatycznych.
Dramatu dodaje fakt, że w wielu przypadkach występuje ten sam adres e-mail wielokrotnie, często z tym samym hasłem lub hasłem minimalnie zmodyfikowanym (np. 613dom, 613dom2).
A jakby tego było mało to same hasła nie dość, że często bardzo krótkie, to w dodatku banalnie proste.
A jakby tego było mało to same hasła nie dość, że często bardzo krótkie, to w dodatku banalnie proste.
Poczynając od królujących na całym świecie '123456', przez 'qwert', a dalej mamy takie kwiatki:
duupa,
dupa00,
wakacje13,
pajaczek,
teresa36,
jagoda,
agatka77,
miki40,
kastrat7,
Ziemniaki1,
123qaz,
psychol06,
Melisska,
2ananasy,
krasula,
teresa980s
monika1988
grafit,
aneta,
marcello,
psotka.2,
kubus,02,
noka9300,
12karabin34,
volvo440,
robaczek,
SASZA2013,
uwertura1,
godlen retriever,
pamela,
bucik1,
ewunka,
cichy1,
misiek1,
tigr,
frezja,
ataman,
wolyn1916,
duupa,
dupa00,
wakacje13,
pajaczek,
teresa36,
jagoda,
agatka77,
miki40,
kastrat7,
Ziemniaki1,
123qaz,
psychol06,
Melisska,
2ananasy,
krasula,
teresa980s
monika1988
grafit,
aneta,
marcello,
psotka.2,
kubus,02,
noka9300,
12karabin34,
volvo440,
robaczek,
SASZA2013,
uwertura1,
godlen retriever,
pamela,
bucik1,
ewunka,
cichy1,
misiek1,
tigr,
frezja,
ataman,
wolyn1916,
no i najlepsze moim zdaniem hasło:
j23
Wszystko byłoby śmieszne, gdyby nie fakt, że takie mierne hasła ustawiają urzędnicy państwowi.
Tak słabe i mierne hasła świadczą o braku wiedzy i przeszkolenia z podstaw bezpieczeństwa inforamcji.
A te braki stają się największą słabością Państwa, które wykorzystują hakerzy z całego świata.
Tak słabe i mierne hasła świadczą o braku wiedzy i przeszkolenia z podstaw bezpieczeństwa inforamcji.
A te braki stają się największą słabością Państwa, które wykorzystują hakerzy z całego świata.
I po co nam te wszystkie ustawy o cyberbezpieczeństwie Państwa, skoro jedna Pani Basia z jakimś Dareczkiem,użyją swojego służbowego konta w jakimś sklepie internetowym.
A w dodatku wpiszą to samo lub pododbne hasło jakiego używają do swoich służbowych systemów informatycznych.
Potem hakerzy wykradną bazę danych z takiego sklepu i ...
A w dodatku wpiszą to samo lub pododbne hasło jakiego używają do swoich służbowych systemów informatycznych.
Potem hakerzy wykradną bazę danych z takiego sklepu i ...
Śmieszne?
Chyba nie, bo mnie przestało to bawić.
Chyba nie, bo mnie przestało to bawić.
Reklama.