O kradzieży, której nie było, czyli jak naprawdę wyglądał wyciek loginów i haseł

@CREATOR<br /> <br /> Jako osoba zajmująca się przez długi okres bezpieczeństwem i zabezpieczaniem serwerów, zajmująca się bezpieczeństwem zaawansowanych aplikacji internetowych pisanych dla naszych klientów w tym m.in. dla dużych portali oraz banków oraz jako osoba kierująca działem IT w którym istnieje dział wsparcia klientów, nie mówiąc już o tym, że w swojej karierze „przeszedłem” przez supportowanie systemów operacyjnych na co dzień spotykam się z zagrożeniami, trojanami, próbami włamań, ich eliminowaniem jak i zabezpieczeniami. Dodatkowo jako „informatyk” cały czas przeszukuję sieć i jestem na bieżąco z zagrożeniami jakie się w niej pojawiają, jestem także „czujnym” użytkownikiem i potrafię wyciągać wnioski z wydarzeń w sieci. Na ten moment mogę już śmiało napisać, że postawiona przeze mnie teza dotycząca tego jak hasła trafiły do sieci została potwierdzona przez specjalistów z firmy Kaspersky: <a href="http://www.kaspersky.pl/about.html?s=news&newsid=1295" target="_blank" rel="nofollow">http://www.kaspersky.pl/about.html?s=news&newsid=1295</a> .<br /> <br /> Jeśli chodzi o „odszyfrowanie haseł w md5” proszę uważnie czytać artykuł – jasno w nim napisałem, że nie chodzi o odszyfrowywanie a o porównywanie ciągów. Istnieją już potężne bazy danych z hasłami MD5 i ich niezakodowanymi odpowiednikami. Co ciekawe niektóre są dostępne w Internecie dla każdego użytkownika. Mając hasło zakodowane MD5 wystarczy porównać z tym z bazy danych MD5 (o ile w niej istnieje) i w ułamku sekundy otrzymamy niezakodowany ciąg. Oczywiście bazy MD5 nie zawierają zawsze odpowiednika ale są stale uzupełniane więc hasła typu darek666 na 100% w nich się znajdą. Musimy uświadamiać użytkowników, że ważna jest ochrona systemów poprzez instalację oprogramowania antywirusowego, używanie „trudnych” haseł do serwisów, nieużywanie tych samych haseł kilkukrotnie, w tym wypadku jeśli pierwszy z warunków zostałby spełniony upubliczniona baza haseł nie byłaby aż takiego rozmiaru ponieważ źródłem wypływu danych był Trojan.<br />

Myślę, że co najmniej za <strong>nietaktowne</strong> można traktować prośbę o interpretację tej sytuacji przez przedstawiciela IT w firmie która zajmuję się głównie Public Relations.Druga sprawa to forma interpretacji.Nie bądźmy głupcami i nie mówmy o odszyfrowaniu hasła w MD5, poprzez programy które potrzebują 1-2dni na pracę nad jednym hasłem (znikome pozytywny rezultat odszyfrowania) - Panie Malik. 80% polskich internautów nie ma zew. adresu IP - Panie Tryzubiak. Śmiać mi się chce z tych "eksperto-specjalistów".

@Szymon Szymczak.<br /> <br /> Szymonie - Ty twierdzisz, że to tylko straszenie a ja uważam, że to początek jawnego końca. To jest właśnie początek momentu w którym wolność w internecie zostanie zastąpiona przez jej prawną imitację. <br /> <br /> Na prawdę jeżeli nie chcecie wiązać tego z polityką, to chociaż powiążcie te sprawy z tym co dzieje się właśnie w innych krajach.<br /> <br /> Mówię tu o <a href=\"http://interaktywnie.com/biznes/newsy/prawo/30-tys-brytyjczykow-zaplaci-za-porno-7483\" target=\"_blank\" rel=\"nofollow\">30 tysiącach Brytyjczyków którzy dostaną rachunek za udostępniane porno</a>, <a href=\"http://interaktywnie.com/biznes/newsy/prawo/mininova-wyczyszczona-to-poczatek-konca-torrentow-7474\" target=\"_blank\" rel=\"nofollow\">o mininovie, która została wyczyszczona ze swoich zbiorów - czy aby na pewno w pełni zgodnie z prawem?</a> I o wielu innych przypadkach, które się wydarzyły i które się dzieją. Kosmiczne odszkodowania za ściąganie muzyki by RIAA - miliony dolarów, które każe się płacić za kilkanaście pobranych piosenek. Francuskie HADOPI 2 i ich kontrola. Przecież to wszystko do czegoś zmierza. Narazie rozbijamy się tylko o półśrodki, ta krzywda, która się wydarzyła do tej pory na świecie, zmierza do czegoś większego. Wiem, że to co pisze brzmi jak propaganda - ale w dzisiejszych czasach prawda często jest mylona z propagandą. Dlaczego USA w tajemnicy, za plecami swoich podatników szykuje coś takiego jak ACTA i dlaczego nad tym samym debatuje się w Unii Europejskiej - również za plecami obywateli krajów członkowskich. Dlaczego szwedzcy dziennikarze po wystosowaniu prośby o udostępnienie dokumentów związanych z ACTA dostają coś takiego jak opisał to Piotr Waglowski <a href=\"http://prawo.vagla.pl/node/8773\" target=\"_blank\" rel=\"nofollow\">w tym temacie - zjeździe niżej do komentarzy</a>.<br /> <br /> Jeżeli to wszystko jest propaganda, to ja chyba zastanowię nad tym czy nie popełnić samobójstwa. Przecież dla wielu milionów Polaków, którzy korzystają z takiej naszej klasy a którzy jednocześnie nie mają jakiejś specjalnej wiedzy z dziedziny informatyki i tyle ile potrafią i tyle ile potrzebują jeżeli chodzi o internet - to sprawdzanie poczty, pisanie maili i wrzucanie zdjęć na klasę. Wysadź w TV takim newsem, że skradziono hasła do kont naszej klasy i większość ludzi wpadnie w panikę. Czemu ? Bo dziś już zbyt wiele osób myli rzeczywistość wirtualną z tą która ma miejsce za oknem. Wyobrażasz sobie dziś życie bez komputera ? Ja trochę nie bardzo a wszyscy Ci, którzy mają jeszcze mniejsze pojęcie o internecie ode mnie (np. moja matka) w momencie kiedy zabrać by jej naszą klasę - to ona dostała by jakiegoś emocjonalnego doła.<br /> <br /> Właśnie w taki sposób przyzwyczaja się ludzi na całym świecie do tego co stanie się później - czyli cenzura i full controll w internecie. Najpierw robisz szum w jednym miejscu - nazywasz to \"atak złych hackerów na konta internautów\" później z drugiej strony robi się zasadzkę na fanów muzyki i nazywa się ich \"piratami, którzy co roku pozbawiają pieniędzy artystów\" z kolejnej zaś strony uderza się w nielegalne oprogramowanie nazywając ludzi \"piratami i złodziejami\". Do tego wszystkiego dorzucasz Pana Murdocha, który przekonuje, że Google to jakieś poza ziemskie ZUO. <br /> <br /> I w tym momencie masz temat otwarty do tego by zrobić większy krok. Masz już przygotowanych ludzi, którzy sami między sobą wymieniając się informacjami zaczynają spekulować i popadać w strach, że zabierze się im to jedyne miejsce, które sprawia im przyjemność. I wtedy wysadzą nam przed nos coś takiego jak ACTA i powiedzą \"to wszystko w imieniu dobrych obywateli, którzy się boją internetu bo tyle zła się w nim ostatnio dzieje\". Niby dlaczego ACTA jest negocjowane tak długo ? Dlaczego nie może to wejść najpierw w samych stanach ? Bo gdyby reszta świata najpierw zobaczyła co to faktycznie jest i czym się objawi takie prawo, to nastąpiła by panika i bunt nad którym rządy nie mogły by zapanować. Zupełnie inaczej w momencie kiedy rządy mają wojska, policję itd. i wszystko jest już zatwierdzone i legalne. Mówię Wam, za jakiś czas będziemy legalnie okradani z tych ostatnich rzeczy, które nam pozostały... w sumie to już jesteśmy.<br /> <br /> Skąd taki wywód ? Bo może ktoś kto go przeczyta to zrozumie, że to wszystko to jest farsa i ten ktoś nie podda się głosom swoich znajomych, którzy w panice zaczną zachowywać się dziwnie. Nie dajcie się omamić rządom kiedy zastukają do Waszych drzwi i powiedzą Wam, że jesteście kryminalistami bo słuchacie muzyki i oglądacie filmy. Przecież to jest identyczna zasada jak w przypadku małych dzieci - walisz dzieciaka w łeb, mówisz mu w wieku dorastania że jest idiotą i później kiedy to dziecko ma już 20 kilka lat i ktoś na jego drodze powie mu \"słuchaj wiesz co, jesteś idiotą jakich mało\" to on z przyzwyczajenia odpowie \"no coś Ty, nie jesteś pierwszy który to mówi więc się tak nie przejmuj\". Póki co, jesteśmy na doskonałej drodze do dalszego zniewolenia ludzi... więc otwórzcie może oczy i przestańcie gadać, że te wszystkie sprawy się ze sobą nie łączą i że jest to propaganda!

@Artur Kwiatkowski<br /> <br /> Nie znam dobrze sprawy, ale absolutnie nie wiązałbym jej z polityką. Polecam poczytać na ten temat, tam <a href=\"http://blog.konieczny.be/2009/11/26/atak-ktorego-nie-bylo/#more\">skąd sprawa wypłynęła</a>.<br /> <br /> Z tego wpisu można także wywnioskować skąd w publikacjach prasowych na ten temat powtarzanie w kółko terminów \"Internauta, bezpieczeństwo, pirackie oprogramowanie, niesprawdzone strony internetowe\" - po prostu mainstreamowe media lubią straszyć czytelników sensacyjnymi doniesieniami.

@Piotrek ale to w takim razie chcesz powiedzieć, że wszyscy internauci są winni bo nie zabezpieczyli się (lub zaniedbali sprawę bezpieczeństwa) i to sobie tak ... nagle wyszło ? Nagle X kont i X haseł ? <br /> <br /> Zastanawia mnie czy to aby na pewno nie jest jakiegoś rodzaju prowokacja wykreowana przez ludzi ze sfer politycznych. Wiecie - taki lobbing w internecie. Pokazujemy Polakom, że internet jednak nie jest tak bezpieczny jak im się wydaje a później wprowadzamy różnego rodzaju ustawy, które "mają wnieść do Polskiego internetu porządek i bezpieczeństwo". W końcu jakby nie patrzeć, starsze osoby nie mają jakiejś lotności w poruszaniu się po internecie i wielu rzeczy nie potrafią - więc sprawa wygląda na prostą.<br /> <br /> Nie jestem w stanie zrozumieć tego co się stało - po co ktoś kto ma nieprzeciętne umiejętności informatyczne, miałby teraz robić jakiegoś trojana i upubliczniać takie dane w momencie kiedy ważą się losy czegoś takiego jak ACTA w Polsce. Przecież to jest jak samobójstwo - zwykłe podcinanie gałęzi na której się siedzi. W moim przekonaniu ktoś kto ma nieprzeciętne umiejętności w informatyce (jego IQ też jest ponad przeciętną) nie fundował by sobie takiego samobója w momencie kiedy rząd zaczyna dobierać się do internetu. Nie w ten sposób. Rozumiem spalić trochę serwerów rządowych, przeciążyć ich sieć w jakiś sposób tak by to odczuli... ale dane z kont serwisów internetowych. Teraz to wszystko komentuje się w sposób że to niby Polacy są ułomni i nie potrafią zabezpieczać swoich komputerów. Moje pytanie brzmi: dlaczego coś takiego ma miejsce właśnie teraz ?<br /> <br /> Do tego wszystkiego jeszcze jak mam to rozumieć kiedy czytam wyraźnie, że <blockquote>Internauci muszą pamiętać, że ich bezpieczeństwo w Internecie zaczyna się w ich komputerach. Jeżeli ktoś używa pirackiego oprogramowania, otwiera nieznane wiadomości, odwiedza niesprawdzone strony internetowe, wreszcie klika w podejrzane linki naraża się na atak hakerski. W takiej sytuacji przestępcy mają ułatwione zadanie. Internauta niemalże na własne życzenie przekazuje swoje dane hakerom - podkreśla Tryzubiak.</blockquote><br /> <br /> Kilka kluczy: <strong>Internauta, bezpieczeństwo, pirackie oprogramowanie, niesprawdzone strony internetowe. </strong><br /> <br /> Dla mnie to jest próba wzbudzenia strachu w społeczeństwie, które dopiero nie tak dawno zaczęło się rozwijać pod kątem technologicznym. <br /> <br /> I jeszcze ten komentarz na sam koniec: <br /> <br /> <blockquote>Trzeba pamiętać, że żaden serwis internetowy nie jest w stanie zadbać o bezpieczeństwo naszych komputerów domowych. To tak jakby mieć pretensje, że nasz dom został okradziony, ale zostawiliśmy nieuzbrojony alarm i otwarte na oścież drzwi. Jedyne co możemy robić, to apelować o odpowiedni poziom świadomości w tej kwestii. Użytkownicy muszą korzystać z zasobów sieci w sposób świadomy i ostrożnie - dodaje Tryzubiak.</blockquote><br /> <br /> To mam rozumieć, że w momencie kiedy władza w Polsce ogłosi wszem i wobec, że wprowadzają właśnie cenzurę do internetu i zaostrzają jeszcze bardziej prawo związane z wykroczeniami mającymi miejsce w internecie - to ja mam się ukłonić i podziękować ?<br /> <br /> Może nie jestem na bieżąco ale od kiedy hacker, który łamie zabezpieczenia serwera, strony internetowej, czy też innego medium internetowego nie zostawia swojej wizytówki po dokonaniu czegoś takiego ? Rozumiem, że ten który chciałby coś ukraść by na tym zyskać ale "nieznani hackerzy", którzy postanowili nagle zrobić szum w mediach i wśród prostych internautów... żeby to "po prostu zrobić" i żeby "ludzie mówili" ale nie wiedzieli o kim tak na prawdę ? Coś tu się nie klei.

Jak znam życie to i tak większość użytkowników którym hasła zostały wykradzione uzna że to nie ich wina. Wszystko zgonią na system operacyjny (jaki ten Windows jest niebezpieczny) , stronę internetową (bo jest niezabezpieczona tak jak powinna) itp. Bo przecież każdy z użytkowników ma duże doświadczenie w korzystaniu z sieci.<br /> Ciekaw jestem ile osób z grupy której takie hasło o wykradziono nadrobi zaległości i dokształci się w wiedzy o bezpieczeństwie.

No tak, tak to jest jak się nie ma na kompie zainstalowanego oprogramowania przeciwko trojanom itp. Ci których loginy dostały się w niepowołane ręce winę mogą mieć tylko do siebie.