Администратор ИБ
0,4
рейтинг
11 апреля 2015 в 06:28

Разработка → Французский телеканал был взломан после интервью сотрудника на фоне стикеров с паролями

Вот уже несколько дней развивается история со взломом внутренней сети и аккаунтов в социальных сетях французского телеканала TV5Monde, работа которого на некоторое время была просто парализована в результате деятельности хакеров, причисляющих себя к сторонникам Исламского государства. Были выведены из строя служебные серверы, отвечающие за обработку электронной почты, видеомонтаж, трансляцию сигнала.
Нападение на ресурсы TV5 Monde анонимные взломщики начали в среду вечером около 22:00 по Парижу(/23:00 мск), вскрыв защиту официального сайта телеканала и его страниц в социальных сетях. Ближе к полуночи было прервано и телевещание — канал пропал из эфира, вместо изображения на несколько часов на частотах TV5 Monde был черный экран без звука, изредка переключавшийся на заставку с логотипом канала.
Некоторое время в аккаунте TV5 Monde в Facebook можно было наблюдать фотографии людей в черной одежде и арабских платках с подписью «Киберхалифат» и «Я — ИГ». Среди сообщений были опубликованы угрозы в адрес французских военнослужащих, участвующих в операциях против исламистов в Африке и на Ближнем Востоке.
Как признал генеральный директор компании Ив Биго, в течение нескольких часов специалисты были «не в состоянии передавать сигнал ни по одному из каналов». «Постепенно мы начинаем восстанавливать вещание в ряде регионов, — сообщил он агентству France-Presse. — Наши системы крайне серьезно пострадали, речь идет об атаке невиданной мощности. На полное восстановление уйдут многие часы, если не дни». ТАСС
Чуть позднее стали выяснятся интересные подробности, свидетельствующие о том, что отправной точкой для атаки на TV5Monde могло стать интервью с репортером Дэвидом Делосом, где невольно засветили по крайней мере один пароль компании в социальных сетях. Дело в том, что он был снят на фоне стола сотрудника бюро, который буквально утопал в стикерах с паролями к учетным записям канала в популярных социалках.



В сюжет попали имена пользователя и пароли для официальных аккаунтов Twitter и Instagram телеканала, но их было слишком трудно разобрать на записи в официальном архиве передач. Однако, на YouTube качество видео оказалось лучше, что, судя по всему, и позволило злоумышленникам подобрать верный пароль. Пользователь Twitter pent0thal подтвердил, что выведенный на экран пароль учетной записи был «lemotdepassedeyoutube», который можно перевести с французского как «пароль от YouTube».
Александр @Akr0n
карма
88,7
рейтинг 0,4
Администратор ИБ
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (104)

  • +38
    Пароли на стикерах это как иконки в автомобиле: безопасность конечно не безупречная, но она ведь есть!
    • +2
      Расшифруйте про иконки плз, не понял)
      • +9
        Иконки буквальные
      • +2
        Смысл в том что каким бы сложным и длинным не был бы пароль, он не имеет абсолютно никакого смысла, так как хранится в открытом виде на стикерах. Так же с иконками в автомобиле: существует определенная категория людей, которые считают, что можно обвешать ими весь салон и полностью наплевать как на элементарные правила безопасности ( ремень ) так и на пдд в целом ( скорость и т.п. )
        • +5
          Надо выпускать специальные иконки для наклейки на ремни безопасности. Икона спасает при аварии только если тесно прижата к телу посредством специальных ремней для крепления иконы к телу.

          Вот тогда они начнут спасать жизни.
          • 0
            Можно пропустить ремень за спиной и прижаться к нему крепко.
            Что говорите? Обязательно к груди? Это маркетинговый ход и обман чтобы набрать классы.
          • +4
            Нательный ремень безопасности.
            Для патриотов — в цветах георгиевской ленты! Кто не пристегнулся — тот хохол!!!
    • +9
      — У нас дыра в безопасности.
      — Ну хоть что-то у нас в безопасности.
  • –38
    Кто бы сломал первый канал и россию и пустил в прайм тайм фильм Срок или что-то подобное
    • +17
      Напуркуа? Кому это проплаченное поделие нужно?
      И вроде бы Хабр был вне политики?
    • 0
      ИГИЛ проникло на хабр?
    • +1
      Пацаны, вы чего, нормально же общались…
  • +1
    До кучи.
  • +18
    С начала пытался ругать, когда сотрудники пароли хранили где то на стикерах, потом сделал проще — пусть хранят, но «шифруют» их там для себя. Метод шифрования подходил, если я не мог подобрать пароль имея стикер)
  • +37
    Стикеры надо хранить под клавиатурой, мы всегда так делаем.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +25
        Да, один.
        • +32
          Да, один пароль.
          • +3
            Когда помнишь такие пароли, то начинаются проблемы запомнить простой логин.
      • +6
        И сколькл паролей Вы вообще помните? Несколько сотен таких запомните?
        • +2
          На а какие проблемы-то?

          [a@o]# modprobe petrosyan
          ПарольОтГмэйла — GfhjkmJnUv'qkf
          ИпатьСложныйПарольОтХабраХабра — BgfnmCkj;ysqGfhjkmJn{f,hf{f,hf
          Ну1ДалееВТакомЖеДухе — Ye1LfkttDNfrjv:tLe[t
          • +8
            Без клавиатуры с кириллицей набор такого пароля (с тач-смартфона) превращается в пытку…
            • –1
              Угу, с телефона например.
              • 0
                А для телефона и прочих планшетов крайне рекомендую сразу же ставить Hacker's keyboard с 4pda. Именно на такой случай, у нее есть мод с двуязычной раскладкой.
            • +2
              Мне мама сломала мозг придумав пароль от вайфая, как номер моего телефона наоборот. Для меня ввести его оказывается крайне сложно, а ей легко запоминается.
      • 0
        Интересно, а чем отличается пароль на стикере от пароля на аппаратном токене?

        Кстати, хорошая идея. Keepass с аппаратной реализацией.
        • 0
          По мне так лучше на сертификатах с открытым и закрытым ключом работать.
          • 0
            Вы знаете, но нет. Если малваря на компьютере, то она спокойно подпишет себе всё, что нужно. В отличие от этого ручной перенос пароля из одного устройства в другое — совершенно неавтоматизируемая процедура и каждый пароль придётся тырить с большим оверхедом. И даже до идиота дойдёт, что если компьютер спрашивает все пароли по-очереди, то тут что-то не так.

            А вот выписать себе сертификатов пока пользователь PIN на железке вводит (если там вообще есть PIN, а не просто кнопка «подписать») — как нефиг делать.
  • +8
    Вот она, квинтэссенция современной безопасности!
    Это как пароль от почты вроде Xy17Hso938Hdnla, но с секретным вопросом про кошку =\
    • +5
      К слову, я обычно делаю ответ на секретный вопрос аналогичный паролю, т. е. rsekt7b6aKYBwveriIA465wKjssdgd54 например (не те же самые символы, что и в пароле, но именно что-то сложное для взлома). Так вот, как-то надо было то-ли на mail.ru зарегистрироваться, или еще где-то в подобном месте, так вот, там было ограничение на ответ на секретный вопрос 10 символов, даже сам пароль мог быть длиннее.
      • +1
        Аналогично, я ещё и текст самих вопросов пишу в стиле qVdbR1d&#i0sUux0.
        Это же секретный вопрос. Если вопрос известен, он перестает быть секретным :)
    • +17
      А че не так с вопросом про кошку, если ее можно назвать emN9vwEh?
      • 0
        А какой тогда секретный вопрос для восстановления имени кошки? Что-то вроде:
        Ответьте на вопрос и имя Вашей кошки снова станет «Барсик»
        • +2
          Последние 8 символов вашего первого в жизни uuid'а (6f540a575fc1).
      • +2
        По статистике эта кличка стоит на втором месте по популярности после «Барсик».
  • +6
    Все продвинутые перцы давно уже пишут на стикерах хеши паролей.
    • –3
      Зачем? Их там обычно пишут чтобы не забыть. Ну вот забыли вы пароль, и чего вы с хэшем сделаете?
      • +13
        Крутые перцы хеши всех своих паролей знают наизусть
        MD5 («123456») = e10adc3949ba59abbe56e057f20f883e
        MD5 («pupkin») = 5c18188325b1bc0e708c09086e5394c3
        MD5 («pupkinpupkin») = c7788fbd3aef87b5893a5ddcf83b758a

        • –1
          Так если перцы хэши паролей знают наизусть, они и пароли очевидно знают наизусть? Зачем в таком случае вообще что-то печатать и считать?
          • +2
            так забываешь какой пароль к какому ресурсу, а таблицу умножения не забываешь никогда.
        • +1
          Зачем засветил все мои пароли?
      • +3
        Do you even joke, brah?
  • +15
    Самый надежный способ бороться с таким непотребством как стикеры с паролям от аккаунтов ввести следующие правила:
    1) отправь на мыло начальника пустое письмо со своим именем в теме письма с аккаунта другого сотрудника и получи премию;
    2) сотрудник с чьего мыла отправили начальнику письмо с именем другого сотрудника — лишается премии;
    Как рукой снимет.
    • +3
      Этот способ дурно влияет на отношения в коллективе.

      Вышел человек по звонку не залочив комп и юркий сосед уже нагадил.
      • +27
        А какое он имеет право оставлять комп с рабочей информацией не заблокированным?
        • +7
          Так то оно так. Но какое право сосед имеет лезть в чужой комп а посторонних на закрытой территории не бывает.
          • +5
            Пожалуй, в некоторой степени правы и вы, к тому-же на столах могут быть рабочие бумажные документы, их что, тоже постоянно запирать в сейф? В любом случае, вопрос информационной безопасности — тема обширная, и человеческий фактор — один из основных ее разделов. Вариант, описанный выше — просто идея, как с этим можно работать.
            • +4
              Вы не поверите, но еще Жеглов делал такие приколы.
              А есть один банк (с зеленым логотипом), так там норма. Выходишь — документы в сейф. Все в сейф. И блокировка системы. И начальники воруют документы у растяп-подчиненных, а потом имеют их во все возможности за профуканные документы.
              • 0
                А что за банк такой? С зелёным логотипом вспомнил только Сбербанк, но он не может быть, там сотрудникам начхать сто раз на безопасность.
                • 0
                  Уральский банк Сбербанка России, Екатеринбург.
          • +7
            К сожалению бывает. Последняя авиакатастрофа в Альпах тому подтверждение: режимный объект (кабина самолета), два сотрудника, доверяющие друг другу, чем это закончилось всем понятно. Безопасность должна основываться на весьма ограниченном доверии. Насчет бумаг на столе, бумаги вынести сложнее чем флешку. Особо критичные бумаги хранят именно в сейфе.
    • 0
      Таки пустое или с именем?)
      • +1
        "… пустое письмо со своим именем в ТЕМЕ письма..."
    • 0
      По-моему, довольно очевидным является соображение, что вся эта порнография с паролями попросту не работает. Когда один сайт требует не менее 10 символов, другой не более 9, третий хочет спецсимволы, четвёртый их не переваривает и так далее, то человеку ничего не остаётся делать, кроме как записывать туда, где никто ему таких ограничений ставить не будет.

      У кого-то пароли на стикере, у кого-то три пароля на всё, у кого-то KeePass и куча других неудобств, и я вот, хоть и программист, тоже не могу придумать никакого хорошего решения. Да, давайте палкой бить, может, летать научатся.
      • 0
        В качестве некоего щадящего режима, можно придумать себе одну, сколь угодно сложную основу, которая по условиям будет подходить на большую часть обычных требований к паролю и добавлять к ней какой-то ваш способ идентификации сайта. Например:
        Основа: V3b1n2
        Пароль для хабра: habrV3b1n2
        Пароль для фейсбука: faceV3b1n2
        • +1
          Достаточно пару утекших баз с паролями и можно получить доступ ко всем остальным.
          • 0
            Для этого надо целенаправленно знать, к кому мы получаем доступ. А для целенаправленной атаки, ясно дело, этот способ не спасает, никто и не спорит. Как я и написал, это щадящий режим — который обеспечивает какую-то приемлемую защиту, но не заставляет пользователя взрывать мозг в попытке запомнить незапоминающееся.
        • 0
          Я понимаю, что вы предлагаете решение для реального мира как он есть, но согласитесь, порочна сама идея того, что надо заставлять человека выдумывать какие-то безумные комбинации с ограничениями, а потом ещё наказывать за то, что не у всех это получается.
          • 0
            Увы, да. Альтернативы конечно есть, но они все имеют свои изъяны и пока ничего лучше паролей, не придумано. Ну или я (и большая часть народа) про это не знаю :) Но жить-то как-то надо, вот и крутимся
        • 0
          А потом внезапно найдется сайт/сервис, которому ваш пароль не понравится, и система начинает рушится как карточный домик.
          Пример: ваша основа, ваши пароли для хабра и фейсбука, и тут вы регаетесь, предположим, на гмыле, и там, внезапно, просят спецсимвол. Приплыли. Со временем таких сайтов-исключений становится всё больше. Одному не нравится, что ваш пароль уже был (внезапно), другому, что там есть "(хоть и требуют спецсимвол), третьему еще что-то.
          • 0
            Честно говоря, я этой системой пользуюсь последние пять лет (за исключением сервисов связанных с деньгами) и ни разу мне такого не попадалось.
            • 0
              Мне вот попадается регулярно.
              Забил на запоминание паролей, голова не резиновая все запоминать.
              Как забыл, так делаю восстановление с высылкой «инструкции» на почту.
              • 0
                Обидно, но далеко не везде восстановление пароля — работает. В одном малобюджетном интернет-магазине игр, восстановление пароля оказалось сломано, и на запрос «что делать и когда заработает восстановление пароля» мне не ответили. Прошло около двух месяцев, прежде чем я снова смог залогиниться на том сервисе путем высылки «инструкций» на почту.
        • 0
      • 0
        у кого-то KeePass и куча других неудобств
        Неудобства не уменьшают безопасность.
        Это из оперы «шашечки или ехать».
      • 0
        Особенно глупо выглядят все эти ограничения, когда знаешь, что хранится все равно хеш, длина у которого одинакова, блин.
    • 0
      у нас добрее немного :)
      никакой премии, конечно, не лишают
      но зато если увидел у кого-то открытый комп − грех не послать приглашение всему зданию приходить за халявными пончиками :)
      ну или ещё что-то такое прикольное
  • 0
    Да ну, постанова какая-то
  • +3
    А уж какие возможности дают методы Super-resolution! Даже если стикер с паролем так попал в кадр, что ничего разобрать вроде бы невозможно — информацию из нескольких кадров можно особым образом совместить и получить изображение с более высоким разрешением.
    • 0
      Как раз недавно читал, что отношение сигнал-шум при этом увеличивается как корень из количества совмещаемых кадров. Иными словами, снять и совместить текущей матрицей 100 кадров будет аналогично снятию одного кадра с матрицей, имеющей в 10 раз лучшие характеристики.
      • 0
        Это только в том случае, если шум имеет нормальное распределение. В данном случае мы натыкаемся на законы оптики и дискртизации.
  • +4
    Вечная проблема прокладки между клавиатурой и стулом.
  • +5
    Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:
    Одновременно, в один и тот же момент, погасли все экраны TV5, прекратилось вещание, просто черный экран, что называется, все 11 телеканалов выключились. Одновременно был перехвачен контроль злоумышленниками над сайтом TV5, [...] Одновременно был перехвачен контроль над аккаунтами TV5 в Фейсбуке, в Твиттере и в других социальных сетях. Все это произошло в одну секунду, все это потом продолжалось почти сутки.
    Если это всё так (а у меня нет причин не верить Сергею), то одними бумажками с паролями от соцсетей тут явно не обошлось; интересны остальные подробности атаки, в частности, как именно злоумышленники получили управление телеэфиром?
    • 0
      Ну, теоретически в личках социалок могла быть критичная переписка. Да и затроянить внутреннюю сеть компании через их же собственные аккаунты легче — сотрудники ткнут в любую присланную фишинговую ссылку.
    • –7
      > Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:…
      >… Если это всё так (а у меня нет причин не верить Сергею)…

      Верить Эйхе Мацы… это мягко говоря признак незрелости или хуже — признак низкого интеллекта…
      Пора взрослеть пока не поздно.
    • 0
      Если бы они (те, кто предполагается захватил эккаунты) получили управление эфиром, на экранах появились бы неприятные бородатые типы в простынях и с калашами. Я за то, что руководство канала запаниковало и на всякий случай повелело отключить трансляцию.
      • 0
        Добровольное отключение «на всякий случай» плохо соотносится с этой фразой: Как признал генеральный директор компании Ив Биго, в течение нескольких часов специалисты были «не в состоянии передавать сигнал ни по одному из каналов».
        • 0
          Но точно так же с трудом верится, что те чуваки упустили бы такой замечательный шанс попасть на ТВ.
    • 0
      «A trust is its weakest point,» said Jeff Peters.…

      … The only way to break up a trust is from the inside.…
  • 0
    Я конечно согласен, что хранить на общедоступных стикерах, да еще и показывать в интервью — это идиотский поступок. Но тем не менее, проблема хранения паролей все еще качественно не решена. Кто-то запоминает, кто-то делает везде одинаковые, кто-то записывает, но все это неудобно. А если в прфессиональных целях регулярно нужны десятки паролей (как в сабже)?

    Мне кажется это потенциальная ниша для инноваций.
    • +5
      Уже есть решение — менеджер паролей. Храню пароли в Keepass все пароли не менее 16 символов, ни один не повторяется, запоминать надо всего один стойкий пароль от контейнера с паролями. Недостаток всего 1 без контейнера не залогинишься нигде, т.к. ни один пароль не помню, но это решается через дропбокс на всех устройствах, а телефон всегда со мной.
      • 0
        У вашей схемы есть еще один недостаток. Вернее два.
        1. Потеряется / сломается телефон — и все.
        2. Навернется файл в дропбоксе (подобное уже было, дропбокс, к слову, ничего не гарантирует, см. EULA/ToS) / не будет доступа к файлам (по разным причинам) — тоже все.

        Я по этой причине храню копии важных данных еще и в AWS S3 и на двух локальных накопителях.
        • +1
          Бэкап — наше все!
        • 0
          lastpass?
          • +1
            Я, конечно, тот еще параноик, но хранить пароли на третьестороннем сервисе, это как-то уж слишком.
            Шифрованные базы keepass/1password в дропбоксе (а в идеале еще и в шифрованном контейнере) еще ладно, но вот так…
            • 0
              Расскажите прямо сейчас, чем шифрованная база в дропбоксе отличается от шифрованных паролей в ластпассе, в смысле паранойи.
              • +4
                Да легко. В дропбоксе лежит контейнер, который я сам зашифровал как мне нужно и туда положил. А в ластпассе я хрен его знает как они там хранят базу и кто имеет к ней доступ.
              • +1
                Зашифрованная БД Keepass хранится в зашифрованном контейнере который синхронизируется с Dropbox. Такой вариант явно надежнее чем сторонний lastpass.
                • 0
                  Не вижу разницы. Ластпасс хранит базу, зашифрованную вашим мастер-паролём, который никогда не передаётся. «Как нужно» вам может и правильно, а может и нет. Я вот, к примеру, не считаю себя криптографически более образованным, чем специализированная фирма вроде Ластпасс, и если они говорят AES-256 плюс PBKDF2 это хорошо, то я склонен им верить больше, чем себе, ибо как я бы хотел заниматься тем, чем я хочу заниматься, а не думать о шифровании.

                  И это не говоря о том, что дропбоксный контейнер явно получше экспонирован пытливому взору, чем ластпассная база, которая в теории доступна только сотрудникам. А дропбокс на вашем диске, а может и не одном хосте ещё.
                  • 0
                    который никогда не передаётся
                    Слабое место.
        • 0
          Потеряется телефон — останется на локальной машине(нах).
          • 0
            Теперь, я понял историю с anekdot.ru, о том как телефон уронили в дырку общественного сортира…
          • 0
            Идея хранения паролей на телефоне, навела меня на мысль, что нужно отдельное устройство хранения, вроде когда-то популярных Электронных Записных Книжек, постоянное находящееся в OFF-Line, что исключило бы вероятность взлома через Wi-Fi, java в браузере телефона и тому подобное — чтобы к устройству было бы физически невозможно подключиться без желания владельца. А на случай крайней надобности можно и USB-порт иметь. Само же электронная записная книжка для паролей, помимо ввода паролей, должно иметь и биометрическую аутентификацию, на случай случайной потери (от преднамеренного похищения записной книжки и отпечатка — конечно это не спасёт, но если случайно потерять...). На случай потери, так же должно иметься отдельное подключаемое напрямую через USB мини-устройство для бэк-апа, которое надлежит хранить отдельно в надёжном сейфе.
      • 0
        А если кейлогер схватите? Мастер пароль улетит, а с ним и все остальные…
      • 0
        >Храню пароли в Keepass все пароли не менее 16 символов

        Я так тоже однажды придумал. А потом потребовалось ввести такой пароль с телефона. В таймаут сервиса не уложился.
        • 0
          Есть же KeePass для телефонов
          • 0
            Ну да, есть. Его самого надо запустить и руками ввести ему сложный пароль.
    • 0
      Про Keepass или Password погуглите.
  • 0
    Вот как-то не ожидаешь на хабре таких формулировок: кто-то воспользовался паролями из открытого источника и это, блин, взлом! Что ломали — пиксели в Youtube? Ладно там на ленте, если так напишут, но здесь-то можно различать такие понятия.
  • +2
    Помню свой первый пароль в далёком прошлом (да да это была почта на mail.ru). Это казалось каким то таинственным и загадочным. Сразу представил себя агентом спецслужб. Круто, подумал я. Ведь теперь у меня есть свой пароль, который я никому не должен говорить и это должна быть моя тайна, которую я должен хранить. Сейчас это не кажется таким крутым:) Теперь я использую менеджер паролей для запоминая логинов и паролей от сотни сайтов, сервисов и админок с такими цифрами и буквами что запомнить их все для меня невозможно :)
  • 0
    Сколько было утечек с этими паролями, то человек уволился и забрал все пароли, то чья-нибудь подруга увидела и передала куда не надо. Ну смешно уже. Серьезные компании. А со стороны популярных сервисов twitter, youtube и тд. — ну сделали бы для корпоративных клиентов авторизацию по токену + логин/пароль + одноразовая смс, согласен это не панацея, но хотя бы от таких курьезов избавила бы мир.
  • 0
    Не совсем улавливаю каким образом имея пароль к аккам в соц. сетях ( и даже допустим, к оф. сайту) можно было взломать систему трансляций.
    Какая-то криворукая система у них там в этом случае.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.