Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wiecie dlaczego wysyłanie pocztą waszego hasła w plaintext jest OK? Bo otwieranie cudzej korespondencji jest nielegalnie :P Tak przynajmniej twierdzi pewna znana firma
Klasyka: resetujesz hasło i otrzymujesz je mailem w formie jawnej. Oznacza to dwie rzeczy – hasło jest przechowywane po stronie serwerowej w formie odwracalnej (nie w formie np. bezpiecznego hasha), często po prostu w formie jawnej. Samo też hasło przesłane w tej formie należy uznać za wycieknięte.
Jaką odpowiedź na zgłoszenie takiego zachowania systemu otrzymał jeden z klientów @virginmedia?
Takie zachowanie jest bezpieczne, bo otwieranie cudzej korespondencji jest nielegalne
(Posting it to you is secure, as it’s illegal to open someone else’s mail.)
Ciekawe czy pracownicy wspomnianej firmy nie zamykają np. swoich mieszkań – przecież włamywanie się do mieszkań jest nielegalne!
Update: warto podkreślić (zgodnie z uwagą jednego z komentujących) – wspomniana osoba dostała swoje stare hasło (nie jakieś wygenerowane losowo) „mailem” – w tym przypadku to był „klasyczny” mail – czyli poczta tradycyjna! :) Nie zmienia to cały czas faktu, że system przechowuje hasła w formie odwracalnej, co jest zdecydowanie niedobrą praktyką.
–ms
W mojej firmie jest podobnie – „nie ma potrzeby wprowadzać zabezpieczeń, bo próba uzyskania dostępu do tych danych byłaby złamaniem regulaminu” :(
wyslanie w momencie wygenerowania nowego nie oznacza przechowywania hasla w formie odwracalnej
Ale to nie ten case: „I finally get the password reset request actioned, phone representative tells me password will be posted to me.. ok weird but I accept. Today the post arrives and I shit you not it’s my old password!!!! (I remembered it on sight) So they store the password and just posted me it!!”
Oj tez tego nie zauważyłem.
Wydaje się to głupie, zwłaszcza ze nie znamy szczegółów, ale jest w tym coś istotnego.
Pomińmy ze cokolwiek by nie dostał czy link, czy hasło to i tak jego obowiązkiem jest chyba zresetowanie natychmiast hasła. Pomińmy że jeśli nie działa, to hasło lub link został przechwycony to jego email nie był bezpieczny.
Problem jest inny i nie chodzi o niezaszyfrowane hasło.
Mając dostęp do poczty email:
1. Możemy namierzyć jeśli nie wszystkie to dużo serwisów korzystających z tej poczty
( po reklamach, po typowych odpowiedziach / ostrzeżeniach w skrzynce, po kontaktach )
lub próbując zresetować hasło w dowolnym serwisie.
Wiem, to naturalne jeśli zależy nam na posiadaniu historii.
2. Można zresetować hasło, zresetować lub usunąć konto.
W części serwisów nie da się po prostu zresetować hasła, ponieważ trzeba podać dodatkowa odpowiedz lub hasło udzielane przy rejestracji konta. I to jest dobre. :D
Już nie wspominając ze musisz je natychmiast.
( -> Może także problem w tym ze często nie ma takiego wymogu lub nikt nie pisze ze to naszym obowiązkiem jest natychmiastowe zresetowanie hasła )
A przecież w przypadku zgubienia wszystkich danych musimy mieć prawo do usunięcia konta lub jego całkowitego zresetowania które będzie całkowicie tylko nowym kontem.
Niestety do niedawna była lub jest to duża mniejszość. :(
W przypadku zresetowania lub usunięcia konta także moglibyśmy się zabezpieczyć. Ale o takich procedurach nie słyszałem.
3. Same nowe procedury są problemem dla ludzi.
– Lenistwo. Jak się coś stanie, to się poprawi.
– Koszty. Zbudowanie, testowanie, poprawianie, wprowadzenie kosztuje i może powodować problemy, także te z bezpieczeństwem.
W firmach nastawionych głównie na zysk może wyglądać jeszcze gorzej.
– Stach. Podobnie bywa w firmach w których priorytetem jest stabilność.
– Zbytnie zaufanie w siebie i innych. Gość „X” bal się i nie chciał dostać służbowego emaila od przełożonych żeby praca była wydajniejsza i przyjemniejsza. Ale dostał i spadły na niego dodatkowe obowiązki serwisowania tego konta. I teraz część ludzi przykłada się do bezpieczeństwa powierzonych „narzędzi”, nawet część ludzi potrafi wydawać własne pieniądze w firmowe „narzędzia”, a część wierzy ze skoro „narzędzie” działa, to wystarczy.
To prawda, zhakowane konto tez potrafi działać :)
– Brak wiedzy. Niektórzy ludzie nie maja czasu, albo wystarczającej wiedzy lub zdolności by sprostać problemom. Brak motywacji i nadzoru, brak określonych procedur rozwoju także nie sprzyja pogłębianiu wiedzy.
Żeby było śmieszniej, to hasło wysłali klasyczna poczta, nie przez email :)
Ktoś powinien opatentować to we Francji xD
Koleś do Murzyna z nożem: Nie możesz mnie dźgnąć bo to nielegalne !
Niestety, ale z analogicznym podejściem spotkamy się też w innych sytuacjach. Dyskutowałem na ten temat z naszymi najlepszymi, krajowymi prawnikami zajmującymi się ochroną danych osobowych i nie spotkałem się ze zrozumieniem.
O ile w wypadku hasła, będzie to czasami dopuszczalne – w końcu środki dobieramy w drodze analizy ryzyka, a to może być tak małe, że nie uzasadnia wydawania pieniędzy na lepsze zabezpieczenia.
Niestety, moim rozmówcy uważają, że jeżeli dam komuś do przechowania jakiekolwiek dane na jakimkolwiek nośniku, to umowa zabraniająca zapoznania się z treścią danych będzie wystarczającym zabezpieczeniem… To znaczy nie tyle zabezpieczeniem, bo tu dopuściliby analizę ryzyka, ale będą twierdzić, że przechowujący nośnik w ogóle nie przetwarza danych, bo przecież w umowie napisaliśmy, że nie może.
Po co uważać na ulicy przecież producenci samochodów nie zaprojektowali ich do przejeżdżania ludzi.
Niestety biurokracja ma to do siebie, że tworzy na własne potrzeby alternatywną rzeczywistość. Podobny przypadek jak z prawem jazdy, którego brak rzekomo pozbawia możliwości prowadzenia pojazdów.
Myślałem że w tych czasach nikt już jawnie haseł nie trzyma. Myliłem się jednak co do całej procedury. Na co komu wysiłki aby zabezpieczyć poprawnie aplikacje. Wystarczy wszystko ująć w regulaminie.
A tak na poważnie kilka lat temu współpracowałem z pewną firmą pałającą się systemami zabezpieczeń ( RCP, CCTV, KD itp ) posiadali aplikację sklepu zakupioną od firmy XYZ. Po pierwszym zetknięciu z aplikacją uświadomiłem sobie że zalogowanie polega na utworzeniu ciacha accid o wartości równej identyfikatorowi użytkownika ( dodam ze uid tworzone było auto increment ).
Po zgłoszeniu tegoż fatalnego w skutkach błędu firmie XYZ, otrzymałem wiadomość od nie support-u od samego Managera IT tej że firmy że „funkcjonalność” jest im znana i nie widzą błędu. Ponieważ przeciętny użytkownik ich sklepów nie używa żadnych narzędzi mogących przyczynić się do wykrycia i użycia tej „funkcjonalność „. Po tym mailu postanowiłem nie kontynuować dyskusji powiadomić klienta i zrealizować swoje zadanie.