włamania

W lipcu dowiedzieliśmy się, że Amazon zdalnie wykasował "elektroniczne książki" z urządzeń konsumentów. Jest ciąg dalszy tej sprawy. Kiedy Amazon kasował zdalnie z urządzeń Kindle elektroniczne książki, to przy okazji usunął z jednego z urządzeń notatki związane z książką Orwella. Student (o polskobrzmiącym nazwisku Justin Gawronski), który zrobił sobie te notatki, postanowił zwrócić się do sądu, domagając się odszkodowania. Z ostatnich doniesień wynika, że Amazon zawarł ze studentem (i innymi stronami sporu) ugodę: zapłaci m.in. 150 tys dolarów, które pełnomocnicy powoda przeznaczą na cele dobroczynne.

Sytuacja robi się coraz bardziej interesująca. Serwis Nasza-klasa.pl (prowadzony przez spółkę Nasza Klasa Sp. z o.o.) postanowił zmienić (zresetować) niektórym użytkownikom hasło dostępu do swoich usług. Stało się to - jak wynika z maila rozesłanego do tych użytkowników - na podstawie danych udostępnionych Naszej-klasie przez spółkę Wykop sp. z o.o., co zaś nastąpiło w wyniku "porozumienia" między tymi dwoma podmiotami... Rozumiem, że na tak małym rynku wszyscy prowadzący serwisy internetowe znają się i lubią, ale zastanawiam się, jak do tej sytuacji odniesie się Generalny Inspektor Ochrony Danych Osobowych, który został o sprawie poinformowany przez Wykop. Warto dowiedzieć się od strażnika danych osobowych, jak ocenia tego typu praktyki.

Policja zatrzymała ludzi, którzy - jej zdaniem - są odpowiedzialni za wydobycie danych użytkowników serwisu Wykop.pl (por. Warto mieć różne hasła w różnych serwisach (społecznościowych) czyli wyciek danych z Wykop.pl). Policja twierdzi również, że "odzyskano wszystkie skradzione kopie bazy danych". W opisie działań sprawcy komunikat policji wspomina o "pokonaniu zabezpieczeń".
Aktualizacja: dodałem komentarz p. Michała Białka z serwisu Wykop.pl, którego zapytałem o kilka spraw.

We Francji od 1 lipca urzęduje nowy minister Kultury i Komunikacji - Frederic Mitterrand. Usiłuje on przeforsować projekt ustawy HADOPI 2, chociaż wcześniejszy projekt ustawy, pozwalający odcinać internautów od Sieci, został poddany ocenie konstytucyjnej, a po uznaniu części przepisów za niezgodne z konstytucją pozostawiono "wydmuszkę". Administracja prezydenta Sarkozego jest wyraźnie zdeterminowana, by przepisy pozwalające na odcinanie internautów od Sieci jednak przyjąć. Wczoraj nowa ustawa została przegłosowana przez Zgromadzenie Narodowe (co jeszcze nie kończy procesu legislacyjnego), ale opozycja znów przygotowuje się do batalii konstytucyjnej.

Jurii zadał dobre pytania: "A co będzie jeżeli ktoś przy pomocy haseł zdobytych na bazie wykopu zrobi np. zakupy na Allegro, obrazi znajomych via e-mail itd? Wykop poniesie odpowiedzialność? Zapłaci za mercedesy?". Generalnie chodzi o to, że było włamanie i baza danych użytkowników serwisu wykop.pl wyciekła. Dziś, już po ujawnieniu wycieku, spółka rozesłała do użytkowników maile z prośba o zmianę haseł (mail wygląda trochę jak próba phishingu). W oficjalnym komunikacie poinformowano, że administracja wykop.pl jest w stałym kontakcie z Allegro. Dlaczego? Dlatego, że potencjalnie internauci mają takie same dane w różnych serwisach. Przy wykorzystaniu danych z bazy wykop.pl (adresy mailowe, hasła, które - co prawda - były hashowane, ale da się je wydobyć) ktoś potencjalnie będzie mógł przejmować konta w innych serwisach internetowych... Zmieńcie hasła.
Aktualizacja w górę osi czasu: Dalszy ciąg wycieku danych z Wykop.pl - Policja ustaliła sprwaców...

W 2007 roku odnotowałem wejście w życie w Wielkiej Brytanii części przepisów The Regulation of Investigatory Powers Act (RIPA), na mocy których osoba stosująca technologie szyfrujące powinna, na żądanie władz, udostępnić sposób deszyfracji (por. Szyfrujesz? Ujawnij klucz, albo więzienie.). Okazuje się, że już dwie osoby zostały skazane na Wyspach w związku z nieujawnieniem stosowanych przez siebie haseł.

Warto to odnotować, chociaż minęło już kilka dni: Amazon postanowił usunąć z używanych przez konsumentów urządzeń Kindle kilka książek. Ludzie z Amazon zrobili to zdalnie, za pomocą specjalnego back-doora... Kindle to takie elektroniczne czytniki, które umożliwiają przechowywanie "elektronicznych książek"; pisałem wcześniej o pewnym zamieszaniu z tymi urządzeniami, a konkretnie o tym, że organizacja The Authors Guild podniosła, iż wbudowany tam procesor Text-to-Speech prowadzi do naruszenia praw autorskich, bo to albo inne pole eksploatacji, albo powstaje utwór zależny... No, ale tym razem pojawił się inny problem...

Jest taki dowcip rysunkowy, który dotyczy szkoły, a który do tej pory nie był zbytnio aktualny w Polsce. Śmieszny był głównie w środowisku adminów, bazodanowców... Dzwonią ze szkoły, że są kłopoty komputerowe, matka pyta, czy jej syn coś spsocił, a w odpowiedzi słyszy pytanie: Czy rzeczywiście państwa syn ma na imię "Robert'); DROP TABLE Students; --"? Otóż teraz ten dowcip będzie śmieszny również poza hermetycznym środowiskiem ludzi znających się trochę na bazach danych. Chodzi o to, że Minister edukacji znowelizowała rozporządzenie ws. dokumentacji prowadzonej przez placówki oświatowe. Teraz dzienniki szkolne będą mogły być prowadzone również w wersji elektronicznej, a nawet tylko w wersji elektronicznej.

Poseł Krzysztof Brejza zwrócił się w lutym z interpelacją do ministra sprawiedliwości, a swojej interpelacji pytał o postępowanie z dowodami elektronicznymi. Odpowiedzi udzielił sekretarz stanu w Ministerstwie Sprawiedliwości Krzysztof Kwiatkowski.

Strony internetowe Wyższej Szkoły Policji w Szczytnie stały się olbrzymią farmą SEO, ale jednocześnie - jak się wydaje - maszynką do pozyskiwania kolejnych komputerów do botnetu. W chwili obecnej, po przekazaniu policjantom informacji o sytuacji, witryna Szkoły jest już poprawiona. Skala penetracji witryny robi(ła) duże wrażenie. Nawet nie chodzi o to, że to witryna Policji. Celem ataku stał się prawdopodobnie niezabezpieczony serwis postawiony na systemie Joomla, a w jego wyniku zainstalowano na serwerze policyjnym zaawansowany mechanizm siejący pożywkę dla wyszukiwarek, zliczający kliknięcia, przekierowujący na strony z niebezpiecznym oprogramowaniem (np. podszywającym się pod "optymalizację" systemu Windows: registryoptimizer.exe)... Właściwie, to nie wiem, czy ktoś włamał się najpierw na Joomlę, czy też może na któryś ze skryptów dodatkowych, z których Policja korzysta dla zwiększenia atrakcyjności swojej witryny (takich np. jak Coppermine Photo Gallery), ale jak już mieli dostęp do bazy danych, to potrafili to wykorzystać... Grubo.