Skutki wycieku danych z Morele.net

Jakiś czas temu ze sklepu internetowego Morele.net wyciekły dane. W sieci zaroiło się od reakcji, dość skrajnych. Od psioczenia na słabe zabezpieczenia i „jak tak można było” i „pójdę z tym do sądu” po „nie stało się nic„.

Informacje o wycieku

Z serwisu Morele.net wyciekły maile, imiona, nazwiska, numery telefonów dla 2,2 mln kont. Oraz prawdopodobnie, dodatkowo, jak twierdzi włamywacz, a czemu zaprzeczyły Morele.net, numery PESEL oraz skany dowodów osobistych dla kilkudziesięciu tysięcy kont, a włamywacz ujawniał kolejne szczegóły na Wykopie (konto już usunięte).

Moim zdaniem prawda leży, jak to często bywa, gdzieś pośrodku. Na pewno wyciek jest ważny ze względu na skalę – 2,2 mln rekordów w skali Polski to bardzo dużo[1], w dowolnym aspekcie – czy to do wysyłki spamu, czy do ataków phishingowych przy pomocy SMSów, czy wreszcie jako baza haseł, zarówno do próby bezpośredniego wykorzystania ich w innych serwisach, jak i do analizy i budowy słowników w kolejnych atakach.

W informacjach o wycieku z Morele.net poruszony był aspekt niezłego hashowania haseł. Niestety te niezłe hashe w praktyce niewiele wnoszą – być może nie uda się złamać, w sensownym czasie i sensownym kosztem, najtrudniejszych haseł, ale najsłabsze ok. 20% można złamać na CPU na pojedynczym komputerze w ciągu pojedynczych godzin.

Jeśli informacja o wycieku skanów dowodów jest prawdziwa, to jest to dla ofiar spory problem – możliwości do nadużcia spore, PESEL w zasadzie niezmienialny, a wymiana dowodu kłopotliwa. Przypuszczam, że chodzi tu tylko o kupujących na raty.

Hasła

Pozostałe 2,2 mln niespecjalnie ma powody do zmartwień, jeśli tylko nie stosuje schematycznych haseł oraz ma osobne hasła do różnych serwisów. W tym miejscu gorąco polecam programy do przechowywania haseł w stylu Keepass.

Jeśli hasła są różne w różnych serwisach to nawet ich siła nie ma specjalnego znaczenia, o ile w serwisie są tylko dane z bazy, nie można zrobić zakupu itp. OK, atakujący dostanie się do konta w sklepie internetowym. Co zobaczy, czego jeszcze nie wie? Historię zakupów? Ironizuję, ale zakładam, że nie jest w stanie robić zamówień itp. bez dodatkowego potwierdzenia. Mógł za to usunąć konto, jednym kliknięciem, bez potwierdzania. Cóż, to strata głównie dla sklepu – jeśli ktoś potrzebuje to założy nowe konto…

Maile

Jeśli chodzi o maile, to jest spora szansa, że już wcześniej trafiły do baz spamerów i marketerów. Chyba, że ktoś stosuje oddzielne aliasy do serwisów, ale wtedy zupełnie nie ma problemu – wystarczy usunąć alias. Podobnie z numerami telefonów. A jeśli ktoś chce mieć święty spokój, to przypominam, że usługi GSM tanieją i numer telefonu płatny w formie prepaid można mieć już za 5 zł rocznie i używać go w różnych mniej istotnych miejscach. Oczywiście można to zrobić w nowocześniejszy sposób.

Konta w sklepach internetowych

Tu dochodzimy do sedna: czy do zakupu w każdym sklepie internetowym faktycznie potrzebne jest zakładanie konta? Niektóre sklepy wymuszają założenie konta, ale staram się takich unikać, a z paru zakupów zdarzyło mi się zrezygnować z tego powodu. Jeśli już zakładamy konto, to dobrze by było, żeby wymagane było podawanie jak najmniejszej ilości danych. Zupełnie dobrze by było, gdyby serwisy pozwalały na ustawienie po jakim czasie nieaktywności usunąć konto lub chociaż cyklicznie przypominać mailem o takiej możliwości.

[1] Kolejny duży polski wyciek, który kojarzę to ~700 tys. z Filmweb. Oczywiście polskie konta występują też na wyciekach światowych i będą to porównywalne ilości.

UPDATE: Wpis nieco przeleżał jako szkic i został ostatecznie opublikowany w formie nieco pociętej. Mimo tematu, który pozostał z wersji oryginalnej, celowo pominąłem m. in. spekulacje nt. skutków dla Morele.net i chciałbym, aby tak pozostało, również w komentarzach.

UPDATE2: Jak donosi Zaufana Trzecia Strona, baza sklepu Morele.net została ujawniona przez włamywaczy. Jakieś pięć miesięcy po ataku.

Obciach jest chwilowy, popularność jest wieczna

Pewna rodzina z Poznania (albo okolic) postanowiła wstawić sobie do niemal całego domu kamery, udostępnić w internecie i poszukać sponsorów. Albo rozgłosu. Rodzina składa się z dorosłych, którzy decydowali, oraz dzieci, które głosu zapewne nie miały, a nawet jeśli miały, to raczej nie rozumiały, co się dzieje naprawdę. Zresztą, wiele wskazuje na to, że nie do końca wiedzieli i rodzice…

O całej sprawie można poczytać nieco więcej u Lotty, mnie zdumiały niektóre aspekty. Po pierwsze, wygląda na to, że sąd w ekspresowym tempie nakazał rzecz dość dziwną, mianowicie wyłączenie kamer. I jest to podyktowane rzekomo prawem do prywatności dzieci. Zastanawiam się, gdzie tu miejsce na odwołanie, uprawomocnienie wyroku itp. Zastanawiam się też, gdzie leży granica. Bo jakoś usuwania np. zdjęć dzieci zamieszczonych przez rodziców w internecie nikt usuwać nie każe, a przecież też bez zgody dzieci są publikowane i niekoniecznie z „oficjalnych” okazji. Różnica czy obraz ruchomy czy statyczny? Cóż, obowiązku posiadania firan czy zasłon w oknach w domu też nie ma, ciekawe, czy rodzinami w domach bez zasłoniętych okien też się sąd interesuje?

 

Po drugie, dziwi mnie poruszenie wokół sprawy. Przecież to taki nieudolny, amatorski Big Brother, bez profesjonalnej obsługi, bez napięcia i bez reżyserowania czy selekcji. Podobnie jak w tym programie, uczestnicy sprzedają na chwilę swoją prywatność, w zamian otrzymując pieniądze i zyskując rozgłos. Stąd tytuł. Czy to się opłaca? Patrząc na stronę na Wikipedii poświęconą polskiej edycji Big Brothera – wszystko to już było, te same kontrowersje, te same motywacje. Nie było jedynie dzieci. Czy uczestnikom udało się zdobyć popularność? Z tego co kojarzę, to tak, bo do tej pory potrafi mi w TV mignąć o kimś, że brał udział. Sprawdziłem na ww. stronie – jest ich więcej, choć procentowo mniej, niż się spodziewałem. Cóż, gwarancji sukcesu nie ma.

Po trzecie, kamery (i mikrofony) są wszędzie i mało kto zdaje sobie sprawę z rozmiarów inwigilacji i możliwości podglądu/podsłuchu. Dobra okazja by przypomnieć grafikę z dawnego wpisu:

Cameras are recording your life 24 hours a day. Think about it.Zdjęcie grafiki na murze, IIRC Nowy Sącz.

Coraz więcej urządzeń, które posiadamy, jest wyposażonych w kamerę lub mikrofon oraz dostęp do sieci. Smartfon, tablet, telewizory, komputery… Wbudowany mikrofon posiada też na przykład Banana Pi (komputer, jakby nie patrzeć). Dedykowane kamery IP montowanych samodzielnie w domach czy teoretycznie zamknięte systemy monitoringu są oczywiste. Wszystkie te urządzenia mogą być (i są!) wykorzystywane do podglądu/podsłuchu przez producentów urządzeń i oprogramowania (Facebook!, Google!), służby (to jakby oczywiste i chyba w sumie najlepiej – przynajmniej teoretycznie – obwarowane prawnie)  i… włamywaczy komputerowych. Zresztą część kamer IP jest po prostu wystawiona do sieci, nawet włamywać się nie trzeba. Zabezpieczenia tego typu sprzętu wielowymiarowo leżą. Poczynając od udostępnienia w sieci przez samego użytkownika, przez niezmienione domyślne hasła[1] po… błędy producenta, typu niemożliwe do zmiany hasło „serwisowe”.

 

Stawiam, że 99% (źródło: sufit, chodzi o skalę) ludzi nie zdaje sobie sprawy z tego, co naprawdę potrafi zrobić (i robi!) ich urządzenie. Czy różnica, czy obserwuje/podsłuchuje nas obsługa producenta, czy losowi ludzie jest naprawdę tak wielka? Naiwna wiara, że systemy monitoringu obsługują jacyś inni ludzie, niż losowi? Kto ma świadomość, że kamera w laptopie może pracować bez zapalonej diody? Kto zamontował fizyczne zabezpieczenie na kamerze w laptopie (polecam wpisać laptop camera cover w wyszukiwarkę)? Co z mikrofonem, który „odciąć” znacznie trudniej i który od zawsze jest aktywowany bez choćby próby fizycznego powiadamiania użytkownika?

Warto też pamiętać, że „publiczne” kamery bywają umieszczane w niezupełnie publicznych miejscach. Typu łazienki/toalety w urzędzie. A monitoring osiedlowy może umożliwiać pracownikom zaglądanie do mieszkań. O kamerach w przedszkolach itp. nie wspominam (a bywają, niekoniecznie zabezpieczone).

Ostatnia sprawa to konsekwencje. W znacznej mierze zgadzam się z twierdzeniem, że to społeczeństwo jest chore (nie owa rodzina). No bo czy ktoś normalny będzie gapił się w te kamery i robił „żarty”, ocierające się o stalking? Nawiasem, stawiam, że nawet gdyby rodzina nie podała namiarów na siebie na stronie, to stalkerzy szybko by ją namierzyli… Faktem jest, że wygląda, że rodzice – przy swojej prymitywnej motywacji – niezupełnie zdają sobie sprawę co się dzieje i jakie są konsekwencje ich działań.

Na koniec: nie, nie popieram tego, co robi ta rodzina. Dziwi mnie jedynie, że ludzie, którzy to znaleźli nie wytłumaczyli im po prostu, czemu robią źle, tylko zaczęli zamawiać pizzę itp. I dziwi mnie pójście na noże, sąd, zamiast wizyty kogoś z instytucji zajmującej się prawami dzieci. Tym bardziej, że IHMO akurat prawnie nie sposób zabronić udostępniania takiego „odsłoniętego okna” w postaci kamer.

Natomiast jest to kolejna okazja do przypomnienia ludziom o wszechobecności kamer i mikrofonów. I o konieczności aktualizacji oprogramowania i zabezpieczenia dostępu, szczególnie do kamer IP.

[1] Insecam.org to serwis, który podaje namiary na kamery z niezmienionym hasłem, dostępne w sieci, z podziałem na kraje i kategorie. Aktualnie z Polski jest 95 kamer, w tym pokazujące obraz z wnętrz różnego rodzaju.

Wykopowa afera zbożowa.

Od paru dni w serwisie Wykop.pl dominuje zboże. Przyczyna jest opisana tutaj. Jak nie lubię nadużycia władzy przez administratorów (patrz przypadek Joggera i portu 89), tak nie popieram całej tej akcji. Czemu? Ano dlatego, że w pewnym momencie zaczyna się przegięcie. Każdy ma prawo do błędów (jeden taki znany człowiek palił, ale się nie zaciągał), kto za młodu głupi nie był, ten na starość nie zmądrzeje. Internet drastycznie ułatwia podtrzymywanie wiedzy o tego typu zdarzeniach/wpadkach. Ułatwia też wyszukanie osób. Coraz trudniej „zniknąć” i zacząć nowe życie. A czasem ktoś może mieć taką potrzebę, chęć, życzenie. I w sumie trochę jego prawo.

Zgadzam się, że reakcja na zamieszczanie materiałów była słaba. Nerwowa, impulsywna, nieprzemyślana i niekonsekwentna. Prawdopodobnie lepszym wyjściem byłaby prośba o zaprzestanie, wraz z umotywowaniem[1]. Ale to jeszcze nie powód, by je notorycznie zamieszczać. Tym bardziej, że z prawami autorskimi do materiałów może być kiepsko, a notoryczne powtarzanie podpada pod stalking. Przynajmniej pod definicję z Wikipedii, w KK się nie zagłębiam (od niedawna stalking jest tam ujęty i karalny w Polsce). Akurat Wykop ma na koncie temperowanie małolatów przy pomocy policji („kradzież” bazy). Nie żebym popierał specjalnie, tym bardziej, że racja była dyskusyjna wtedy, ale jakoś sobie wtedy protestów nie przypominam…

Na koniec, parafrazując: jaki portal, takie zaangażowanie i działania. Żeby zrobić coś pożytecznego, to chętnych jakby nie ma. Do flekowania jednej osoby (bo nie chodzi o walkę z systemem uosobionym przez administrację Wykopu, bez złudzeń, zresztą administracja Wykopu wygląda na chętną do ugodowego załatwienia sprawy) chętnych anonów masa. Stawiam, że „społeczność” nie ma nawet tyle siły, żeby się przenieść w inne miejsce (o stworzeniu samodzielnie takowego nie wspominam nawet). Co oczywiście byłoby sytuacją lose-lose. Przynajmniej dla nich i Wykopu, przynajmniej w pierwszej fazie. Bo jest szansa na stworzenie nowego portalu, bardziej popierającego wolność (polecam Flattr, o którym kiedyś pisałem i który w kwestii wolności i wiarygodności idzie znacznie więcej). Tylko jakby nie o wolność tłumowi chodzi.

Co bym zrobił na miejscu Wykopu? Pewnie miesiąc urlopu, albo przeniesienie do innych zadań dobrze by pani administrator zrobił. Nawołujących do zwolnienia (polecam postawienie się w sytuacji administratorki, wnioskuję, że raczej nie pracują i nie mają kredytów itp.) bym nie słuchał. Reakcja może i nerwowa, ale uzasadniona.

PS Mam konto na Wykopie. Nie czuję się częścią społeczności (ale to akurat dość częste u mnie).

[1] Zakładając, że rozmawia się z jednostkami nieodpornymi na wiedzę o niezerowej kulturze i odrobinie empatii. Jakby sądzić po komentarzach w stylu „wykop kurwa!”, a takie widziałem i nawet chyba zdarzyło mi się kasować takowe u siebie, oraz po całej tej sytuacji, to niekoniecznie słuszne założenie.