parole parole

Axiome (pe post de început abrupt):

Orice informație încredințezi unui serviciu online…

– rămîne acolo pentru totdeauna, butonul “Delete” e o iluzie, NIMIC nu se șterge, “Delete” înseamnă în ziua de azi doar că proprietarul de drept nu mai are acces la informația “ștearsă”;

– la ea vor avea acces diverși necunoscuți, nu știm cine – nici măcar administratorii respectivelor servicii nu știu de cele mai multe ori nici dacă, nici cînd, nici cine, nici cum.

Consecință:

– chiar dacă serviciul online unde ai uploadat datele tale, printr-o catastrofă (sau pură + uzuală incompetență a breslei) pierde toate datele, backup va exista sigur la hackeri sau la instituțiile statului.

 

Aproape toată lumea e disperată să existe exhibînd orice se poate spune despre propria persoană pe site-uri de genul Facebook, LinkedIn. Unora nu le pasă ce pun acolo pentru că nu înțeleg ce li se întîmplă în efemera existență. Alții nu au oricum de ce să le pese chiar dacă ar înțelege. Alții înțeleg și își asumă riscul pentru profit, ego sau pur și simplu din plăcerea de a testa o nouă jucărie.

 

LinkedIn este un fel de facebook cu aparențe respectabile. Aici nu pui poze făcute în fustă mega-mini cu un ficus artificial Versace în brațe lîngă scara rulantă din mall, aici pui CV, informații serioase cu caracter profesional. Aceeași Mărie cu altă pălărie, ba poate chiar mai periculos decît facebook pentru că pe fb unii miros caracterul frivol și nu pun prea multe lucruri adevărate pe cînd pe LinkedId scopul te obligă să spui TOTUL despre tine, ba chiar mai mult.

 

Snoava de azi – sunt previzibil – e despre milioanele de HASH-uri de parole furate de la LinkedIn și alte website-uri (parcă era și una pentru întîlniri romantice – eHarmony sau așa ceva), falnice purtătoare de stindard în noua și atît de tredy lume web2.

 

Recent a apărut pe internet o bază de date accesibilă oricui cu HASH-urile a 6.5 milioane de parole de conturi LinkedIn. Ce înseamnă asta? La urma urmelor nu au apărut parolele ci doar HASH-urile lor și nu te poți loga folosind HASH-ul unei parole…

Entități benevolente, dispuse să publice rezultatele cercetărilor, ne informează că în scurt timp au reușit să determine 2 milioane de parole din cele 6.5 milioane de HASH-uri și în fiecare minut probabil alte parole în clar sunt obținute din baza de date publicată.

Că s-au furat atîtea HASH-uri e un lucru foarte rău dar orice accident în materie de securitate e posibil și din cauza asta trebuie să te pregătești pentru el. Că LinkedIn păstra HASH-uri de parole “unsalted” (nesărate :) ) – asta e profund penibil și mie îmi spune cam tot despre calitatea etichetei LinkedIn. Spre comparație (nevrednică – scuze), am dezvoltat și eu un serviciu online foarte mic comparativ cu LinkedIn. Diferența e că de pe la vreo 200 de utilizatori am trecut de la stocare de hash-uri de parole, la stocare de salted-hash. LinkedIn la milioanele multe de utilizatori și milioane multe de dolari cotație de piață, la numerosul personalul specializat în n-șpe zone de competență inclusiv securitate, săptămîna trecută încă foloseau HASH unsalted – acum făcute publice – pentru milioane de parole printre care și a ta. Uite de exemplu domnul Ruslan de la LinkedIn ne spune cu mîndrie despre sistemul lui cel mai perfect, despre 99% pur Java (exprimarea asta nu poate fi decît autoironică…), despre locul de muncă fantastic care este LinkedIn unde Competențaaaaaa – păi domnule Competența PRI-MEA-ZĂ – Apply Now!

Ai cont pe LinkedIn? Ești sigur că ești singurul care s-a logat acolo în ultima vreme? Nu mă refer neapărat la persoane – nu cred că sunt multe persoane dispuse să se logheze manual în 2 milioane de conturi (care tind spre 6.5M) ci la boți care “sug” din LinkedIn tot ce se poate folosind conturile compromise. Toate datele extrase de acolo “private” sau publice, vor fi la dispoziția te miri cui. Mai mult, marea majoritate a noastră (ezitant mă simt obligat să mă includ) folosim aceeași parolă la mai multe conturi pentru diverse servicii. Cine ți-a aflat parola de la LinkedId îți are și inbox-ul de la G-mail, Yahoo sau MSN, de ce nu loguri de Skype, documentele de la Google Docs sau fișierele din Sky Drive ori Dropbox.

Nimic de speriat pînă aici? Sigur – dacă nu ai făcut nimic rău nu ai nimic de ascuns – cine a citit puțin prin cartea de istorie își poate ușor aminti cum se poate implementa practic zicala asta.

Uite de exemplu eu dacă aș fi mai antreprenor decît sînt aș face un bot să ia tot ce se poate din conturile compromise de la eHarmony și aș vinde informațiile pe ebay: o întîlnire romantică a ta cu detalii în format text vîndută nevestei, $0.50. Dacă vrea și imagini cu partenerul pe care graful dezorientat al sorții tale l-a legat de tine la acea întîlnire – $0.99. Aș acorda și discount pentru cantitate. Aș pune și pompon serviciului de dezvăluiri matrimoniale online: dau toate informațiile despre tine gratuit cui îmi dă datele lui de logare pe site (dacă nu le am deja!) pentru a le putea împărtăși oricum ar fi interesat – trebuie să extindem cumva baza de utilizatori, o strategie bună de viitor merită renunțarea la cîțiva dolari azi. Facem așa?

 

Să ne uităm puțin și la hackerii care au pus pe internet cele 6.5 milioane de HASH-uri de parole de la LinkedIn, eharmony etc.

Omul tînăr, romantic și deci naiv condamnă gestul. Dar oare e el cu adevărat malefic? Mie mi se pare că nu în totalitate. Dacă persoana dezinteresată a dat pe gratis lumii întregi ce deținea e clar că nu era chiar malefică ba pare chiar generoasă, un fel de opensource social: cine e destul de interesat poate lua de aici și compila după cum dorește. Ba mie mi se pare că e chiar prietenos găinarul, la urma urmelor a cruțat atîtea soții de detalii nepublicînd alături de hash-ul parolei și username, e-mail și eventual parola în clar.

Cine publică astfel de informație e clar amator binevoitor dezinteresat și entuziast. O entitate cu adevărat malefică, interesată, potentă și determinată nu publică niciodată astfel de informații pentru că le folosește pentru scopuri proprii. Odată publicate informațiile 1) serviciul online află că a fost furat și poate EVENTUAL repara problema de securitate (una din multele) îngreunînd accesul viitor la sevă, 2) toată lumea a aflat că ți-o tragi cu secretara și cu curierul care aduce miercurea corespondența deci cum te-aș mai putea șantaja cu asta?

Ce se poate deduce de aici? Că adevărații profesioniști care fură informație (și deci profesioniști fiind o și folosesc în scop productiv), tac și fac, despre ei nu știm, ei fac bani din asta și clar au mijloacele și determinarea net superioare găinarului binevoitor care a furat și publicat din entuziasm școlăresc doar 6.5 milioane de bucăți. Dacă găinarul entuziast a furat 6.5 milioane doar de la LinkedIn, cîte are la îndemînă hoțul de profesie sau organizația plătită din buget?

Foarte probabil acum dacă ar fi interesate, zeci de entități ți-ar putea intra în orice cont online.

Nu e paranoia – ești chiar urmărit – singura speranță e să nu contezi destul ca să merite deranjul.

2 thoughts on “parole parole”

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *