phishing

DarkMarket.ws to serwis, który wykorzystywany był do kontaktów pomiędzy osobami sprzedającymi i kupującymi różne dane klientów banków, instytucji finansowych, firm telekomunikacyjnych. Hasła, kody dostępów, numery kart kredytowych, kompletne rekordy pozwalające na dokonywanie przeróżnych przesunięć finansowych "na cudzy rachunek". Na wielu konferencjach dot. bezpieczeństwa informacji serwis ten był pokazywany jako siedlisko wszelkiego zła i straszono nim bankowców, bezpieczników i polityków. No i cóż się okazuje? DarkMarket.ws był założony przez FBI. To nie powinno dziwić. Zastanawiam się jednak nad coraz wyraźniej widocznymi relacjami między "stróżami prawa" a pracownikami przedsiębiorstw o "specjalnym znaczeniu strategicznym".

Przypuszczam, że również w kontekście ostatniego tekstu, tj. "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection, można analizować doniesienie o "wycieku" danych około 17 milionów klientów Deutsche Telekom. Cały czas aktualne jest pytanie o odpowiedzialność twórcy informatycznego systemu za bezpieczeństwo przechowywanych danych. Podobno operator miał poinformować, że "od czasu wykrycia kradzieży znacznie wzmocnił ochronę danych" (więc być może właśnie wcześniejsza słabość systemu była powodem, dla którego dane trafiły do "domeny publicznej"?). Zwracam uwagę, że komunikaty posługują się określeniem "kradzież", chociaż nie wiemy jak dane klientów wydostały się spod "opieki" przedsiębiorstwa...

W roku 2000 uruchomiono pewien łańcuszek mailowy: ktoś rozesłał do ludzi list, w którym podszywając się pod spółkę Ericsson przekazywał informację o rozdawaniu telefonów Ericsson R320 za darmo. Kilka lat temu włączyłem ten list jako "klasyk" do swoich prezentacji na temat spamu i szerzej - manipulacji informacją (m.in. na temat phishingu). Dziś - ku mojemu zdziwieniu - otrzymałem list (byłem tylko jednym z kilkunastu adresatów), z którego ma wynikać, że Ericsson rozdaje... laptopy. Osiem lat. Tyle (wraz z modyfikacjami) może żyć raz puszczona w Sieć informacja... Na razie osiem lat. Nie wiadomo jak długo jeszcze...

Zaczyna się również u nas to, co starałem się uchwycić kiedyś w tekście Czym skorupka za młodu nasiąknie, otóż jeden z uczniów przejął internetowe konta nauczyciela w różnych serwisach, a ściślej mówiąc: podpatrzył, jak nauczyciel logował się w szkole na swoje konta i w ten sposób poznał hasło. Potem je "tylko" wykorzystał logując się i zmieniając je na nowe, a w ten sposób uniemożliwiając zalogowanie się nauczycielowi.

Niektórzy jeszcze pamiętają sprawę opisaną w tekście Boty: Policja w Nowej Zelandii przesłuchiwała nastolatka. Ta historia znalazła swój finał w sądzie i zapadło właśnie rozstrzygnięcie. Dla wielu zaskakujące. Otóż osiemnastoletni mężczyzna, któremu zarzucano wcześniej spowodowanie milionowych strat (te miliony liczone w funtach, dolarach, etc..), ma opłacić koszty procesowe, został ukarany grzywną (?) i ma współpracować z policją w celu tropienia przestępczości komputerowej. Poza tym jest wolny.

"...kiedy zostaną ustalone numery IP tych internautów, którzy wykorzystali błąd informatyków i bezprawnie ściągali na swoje komputery prywatne dane z serwera banku PEKAO SA, osoby te zostaną pociągnięte do odpowiedzialności karnej."

"Polska jako jeden z nielicznych krajów unijnych rozpoczęła w zalecanym terminie i zgodnie z dyrektywą unijną wydawanie paszportów z mikroprocesorem dla wszystkich obywateli polskich" - napisał w swoim czasie Wydział Komunikacji i Promocji MSWiA. W Polsce na razie w dokumentach paszportowych jest cyfrowy owal twarzy, ale zaraz pojawią się odciski palców. W Polsce nie odbywa się pogłębiona dyskusja na temat gromadzenia przez państwo tego typu danych, chociaż na świecie dyskutuje się na ten temat. A zdobycie odcisków palców nie jest niczym trudnym (mam nadzieje, że minister Drożdż się na mnie nie pogniewa).

To pewnie skrót myślowy. Mam na myśli te "fałszywe serwery", które były prawdopodobnie całkiem prawdziwe, ale nie były to serwery banków, a na tych serwerach nie znajdowały się strony internetowe banków, a strony spreparowane w tym celu, by uzyskiwać od klientów tych banków dane pozwalające na uzyskanie dostępu do kont (por. phishing). W każdym razie Policja wraz z "funkcjonariuszami amerykańskiego służb bezpieczeństwa" (czyli z kim?) zablokowali (czyli co zrobili?) serwer. I to zagraniczny. W pół godziny.

Sprawa, w której kluczowym elementem jest ujawnienie luk w mechanizmie obsługującym witrynę internetową, nadal się toczy (por. Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli poufności). Tymczasem internauci śledzą (i wykopują) kolejną historię - tym razem chodzi o ujawnienie sposobu, w jaki można dostać się na internetowe "konta" klientów Netii. Okazało się, że wielu klientów Netii otrzyamło standardowo bardzo łatwe hasło (np. "1234"). Z tą wiedzą każdy może/mógł wejść do serwisu operatora i tam, "na czyjś rachunek", doładować sobie telefon. Zervis, któremu ktoś "nabił" w ten sposób rachunek na 300 złotych postanowił sprawdzić jak to działa. Udało mu się dostać na konta 10 różnych klientów operatora, następnie opisał sprawę w internecie, a równocześnie poinformował o całej sprawie przedsiębiorstwo telekomunikacyjne. Netia zbiera teraz przeciwko niemu dowody i zamierza "przekazać sprawę odpowiednim organom"...

Kilka dni temu pojawiła się informacja, że z Urzędu Miasta Łodzi miały wyciec dane osób, które postanowiły wypełnić internetowy formularz. Ten formularz, to po to, by wymienić stary dowód osobisty na nowy. Można było wypełnić taki formularz, zarezerwować sobie godzinę, wszystko dla dobra naszych petentów. Wyciek, to - tak naprawdę - dostęp do panelu administracyjnego, pozwalającego na przeglądanie interesantów, wyedytowanie tych danych, etc.