Cineva mi-a furat jurnalul intim…

Să zicem că cineva mi-a furat jurnalul intim, ăla care se scria înainte să apară blogurile anonime. Îmi cere 15.000€ pe el. Ce opțiuni am:

  1. dacă sunt chestii nasoale în el, cu profa de fizică sau de mate, sau mai știu eu ce, și mă jenează destul de mult să apară public, trebuie să plătesc. am uitat sa spun, anul trecut am avut o cifră de afaceri de 62 milioane euro. deci să plătesc cât cere ăla e nimic.
  2. dacă nu e nimic nasol în el, nu plătesc. asta îl pune într-o situație delicată pe ăla care a muncit să mi-l fure, care are de ales, fie o lasă așa, fie se apucă să latre că sunt chestii nasoale și grave acolo.

Cam așa e cu hăcuirea de la Bitdefender. Trebuie să fii extrem de special să crezi că parolele erau stocate în clar. Da, probabil a luat nume și emailuri, dar parolele nu se mai stochează în clar de cel puțin zece ani. Mai ales la oameni care lucrează cu securitatea. Dar nah, e mai ușor să crezi decât să gândești.

(ps: da, știu, bannerul de sus, n-are legătură cu articolul, nu săriți ca cațele)

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 5$

24 comentarii

  1. Ai sa te miri, dar exista antivirusi la care parolele de update semnaturi se pastreaza in clar si undeva la furnizor. De ce ? Pentru ca sa zicem Dorel de la IT a instalat antivirusul pe nshpe statii acum o luna dar a uitat parola, iar acu mai vrea sa mai instaleze pe altele. Daca o schimba parola nu mai merg alea vechi asa ca intreaba la furnizorul antivirusului. Are sens ? Cine draqu se gandea ca se poate hackui un furnizor de antivirus ?

    00
  2. Problema cum o vad eu nu este stocarea parolelor ci lovitura de imagine. Adica, eu marele furnizor de solutii de securitate mi-o fur grav sub centura, si atunci am doua optiuni: fie ascund sub pres incidentul si invat din el, fie dau fuguta la politie si ma plang (degeaba), caz in care probabil pierd clienti care depasesc cu mult „recompensa”. Vorba aia, „ori suntem golani ori nu mai suntem”.

    00
  3. „parolele nu se mai stochează în clar de cel puțin zece ani” te contrazic. Am lucrat recent pe un proiect destul de mare si cunoscut in online-ul romanesc unde parolele erau stocate in clar. Inca mai exista site-uri care mai fac acest lucru. Nu spun ca Bitdefender ar face asta. As vrea sa cred ca nu.

    00
  4. Nu chiar. Am vazut firme cu pretentii care-si tineau parolele in excel-uri intr-un share. Sau angajati care tin parole in excel-uri, chiar daca exista un server securizat.

    00
  5. Parole stocate in clar n-am prea vazut decat la pafaristi.
    Da, parolele nu sunt stocate in clar, dar daca ai acces la sistem pare sa nu mai fie o mare problema.
    Nush, dau si eu cu parerea mea neavizata :)

    00
  6. Uite una proaspata cu parole in text clar (nu la noi, e drept)
    https://www.grahamcluley.com/chess-fide-website-password/

    00
  7. https://plaintextoffenders.com/

    „Parolele nu se mai stochează în clar de cel puțin zece ani”. Yup…

    00
  8. Parca pe cei de la HTC i-au prins cu amprentele stocate necriptate, deci se poate si in 2015 sa dai peste tolomaci, dar nu in industria securitatii informatice, cum ai zis si tu.

    00
  9. Pune la calcul şi faptul că unii utilizatori de interneţi îşi aleg parole foarte complicate gen „1278978971” sau data de naştere a căţelului. Exemple aleatoare.

    Şi dacă nu erau stocate în clar, să spunem, parola în clar e relativ de uşor de găsit pe baza hash-ului, chiar şi cu ajutorul unor soft-uri low-level (gen Hydra sau John the Ripper).

    00
  10. atunci când primesc mailuri de la magazine online cu userul dvs este AI_core, iar parola dvs este AI_core_24_penis_size nu înseamnă că parola e stocată în clar? și am o mulțime de mesaje dintr’astea!

    00
    • Nu neaparat, desi la prima privire pare asa. Poate fi o criptare simetrica chioara, cu o cheie, iar atunci cand tu faci recover password, algoritmul sa faca select in baza sa extraga parola ta criptata din baza, sa o decripteze cu cheia cu care a fost criptata si rezultatul decriptat sa ti-l afiseze.

      00
    • Scuze ca ma apuc sa comentez iar insa am vrut sa dau putin mai multe detalii.

      Desi nu e o metoda foarte ok in a afisa parola in clar in email atunci cand utilizatorul incearca sa recupereze parola, asta nu inseamna ca parola este stocata in clar. Nu e sigura metoda asta pentru ca parola aia poate fi una default folosita la alte conturi si daca cineva o vede pe ecranul calculatorului tau poate sa o foloseasca in logarea in alte conturi (exemplu in email, sau in amazon/ebay), sau nu e sigura metoda pentru ca cineva poate ti-a spart emailul si varianta in a-ti afla parola e sa faca recover password. O varianta mai sigura e ca atunci cand faci recover password sa te puna sa o schimbi folosind vechea parola si/sau sa ceara elemente de sigurata, numele de fata mare, lungimea penisului.

      Variante de criptare mai simple ar fi (si aici ma refer si la cele simetrice, nu cele asimetrice):
      -una clasica MD5 sau base64 de parola ta. Atunci cand incerci sa te loghezi el face MD5 cu ce ai introdus si compara cu ce e in baza, daca sunt egale te lasa, daca nu iti da reject. Insa nu stiu sa poata fi decriptat MD5, deci n-ar putea sa-ti intoarca parola in clar. In general o metoda de a hackui daca deja aveai acces la baza de date, era sa te prinzi daca e MD5 de parola in baza, si sa faci update pe campul de parola pentru userul respectiv, cu MD5-ul tau. Pe scurt la parola de admin faci update cu MD5(penis) si te loghezi cu admin/penis din interfata.
      – O criptare simetrica, se foloseste o singura cheie atat la criptare cat si la decriptare. Practic tu faci register, iti baga parola si cripteaza cu o cheie stocata undeva, faci recover password, decripteaza cu aceeasi cheie si iti intoarce rezultatul in clar. De asta nu vezi un carnat criptat in email ca n-ai avea ce sa faci cu el. Chiar daca faci rost de parola criptata si de cheie, tot nu e de-ajuns pentru ca nu stii exact ce algoritm de criptare foloseste aplicatia atunci cand cripteaza/decripteaza. Poate pe langa cheie mai concateneaza cu lungimea penisului CEO-ului si mai cripteaza odata, sau cu inca un camp din baza. Pe scurt, doar parola criptata si cheia tot nu te ajuta sa spargi, decat daca ai acces la algoritmul de criptare. In cazul in care ai un algoritm standard se poate decripta.Chiar si pentru algoritmi standard cum e AES, 3DES sau Blowfish, nu stiu sa fie foarte usor de decriptat sau sa se fi reusit (nu sunt la curent inca).

      00
  11. Parola nu e stocata in clar, doar ca se stie cheia de criptare din fisierul de config si atunci nu e mult de lucru pentru a le transforma in clear text.

    00
  12. Oho, se stochează în draci parolele în clar. De obicei mai ales atunci când e vorba de o procedura mai sensibila de recovery.
    Să acceptăm totuși că nu stocau nimic în clar și tot avem o problema de imagine destul de urâțică zic eu.
    În rest, dacă am fi fani înrăiți ai teoriilor conspiraționiste am fi observat cum la nici două săptămâni după știrea (reală și confirmată chiar de bitdefender) despre buba lor a apărut știrea aia cu parfum de zvon și greu de verificat cum că Kaspersky ar fi marcat ca malware fișiere „nevinovate” de prin MS/AVG/etc (apărută pe Reuters și preluată repejor-repejor și de site-urile românești de știri cu tot felul de titluri pompoase).
    Noroc că nu ne prea plac teoriile astea, nu ?

    00
  13. Nu vad paralela cu ‘jurnalul intim’ si cazul BD. In cazul BD nu continutul conteaza ci faptul ca s-a furat de la o companie al carei business e protectia si niste adolescenti au plecat din reteaua lor cu ‘bunurile’. 15000 nu e pretul pentru continut in sine ci pentru pierderea increderii clientilor. Cam ca la jaful unei banci.

    Si n-a zis nimeni ca parolele erau efectiv stocate in clar. Aia care le-au luat, le-au obtinut cumva in clar, n-am vazut ca cineva care a raportat stirea pentru publicatii serioase sa pretinda ca aia le tineau in baza de date (sau unde le aveau) in clar. Copilasii au intrat in reteaua lor, se prea poate sa le fi interceptat.

    Si nu, la companii din categoria asta nu se intampla des. La ultimul mare incident la Kasperksy, baietii s-au trezit cu intrusi in retea si i-au trimis la plimbare inainte sa scoata ceva. Deci da, s-a intamplat, de diferenta e ca astia au plecat cu mainile in buzunar.

    00
  14. Nu m-ar mira de la geniile care au facut antivirus care nu reusea sa se updateze si sa dezinfecteze cel mai banal autorunner. Repetat experienta cu nu stiu ce cloud console crap la alt client sunat la ei si nu stiau de unde se descarca produsul vandut de ei

    00
  15. Cand te gandesti ca windows xp e cel mai raspandit OS din romania :))))
    Nici nu vreau sa-mi imaginez ce poti face in romania daca-ti pui mintea la prostii.

    00
  16. @Zoso
    Teoria aia a conspiraţiei nu e chiar a conspiraţiei. Contribuie la ea şi sfînta lăcomie umană. Iar cînd lucrurile se aşează singurele cap la cap începe să pută urît. .Cel mai recent atac reuşit asupra unui producător de antiviruşi, anterior celui de la BitDefender, este cel de la Kaspersky. Interesantă folosirea în atac a unui certificat furat de la Foxconn, acelaşi Foxconn care este integrator pentru majoritatea fabricanţilor de placi de bază. Iar vectorii de atac s-au modificat radical, firmware-ul din HDD-uri, firmware-ul din dispozitivele usb, UEFI , cu observaţia făcută de cei de la Trendmicro, pentru ultimul exemplu, cum că există un exploit similar şi pentru amibios. În trecut, cel puţin după episodul CIH, exista pe plăcile de bază un jumper care împiedica rescrierea flash-ului ce conţinea BIOS-ul, azi dispărut. Astăzi imprimantele îşi update-ază periodic firmware-ul, fără să te întrebe. Actorii s-au schimbat şi ei, la fel sumele investite. De curiozitate, cîţi din cei ce poposesc aici şi folosesc Android, au citit permisiunile pentru serviciile Google Play. Mie mi-a părut o lectura interesantă. De atunci strîng bani şi încerc să-mi iau BQ Aquaris E5 HD . Pare a fi mai sigur.

    00
    • Ihi, deja am pe raft 3 placi de baza, 2 hdd-uri, 2 imprimante laser care servesc automat malware. Si astea doar pe care le-am prins eu din 2014 (primul episod cand m-am prins, cine stie cate am ratat inainte?).

      00
  17. 1) Mănânc din IT de vreo 8 ani, se stochează parole-n clar la greu.
    2) Bit n-a negat breach-ul și nici afirmația că niște usernames și parole au ajuns pe net.
    3) Contrar variantei cea mai des întâlnite „sunt bou și stochez parole-n clar în DB că n-are ce să-se-ntâmple”, la ei au fost un cumul de neglijențe și vulnerabilități care au dus la situație, dar în mod cert nici nu era prea bine gândit sistemul.

    00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.
4. Nu fiți proști, agramați sau agresivi la primele 50 comentarii aici.

Susținere

Susține acest blog cumpărând de la eMAG sau de la Finestore.