Čovek koji je pronašao 1,2 milijarde ukradenih lozinki : Negativan publicitet šteti mom biznisu


15. августа 2014. Facebook Twitter LinkedIn Google+ It Novosti,Zanimljivosti



Aleks Holden

Alex Holden iz Hold Security-a, na ovogodišnjoj Black Hat sigurnosnoj konferenciji u Las Vegasu

Alex Holden, CTO u Milwoki Hold Security-u, izgleda iznenađujuće veseo ili je to samo pokušaj da tako izleda. U stvari je njegov integritet kao istraživača bezbednosti je doveden u pitanje. Prozvan je lažovom i ucenjivačem i do skoro nije hteo da razgovara sa novinarima.

Samo nekoliko sati nakon objave New York Times-ao njegovoj kompaniji koja je došla u posed preko 1,2 milijarde ukradenih username-a i šifra neke od najvećih svetskih biznis kompanija i to uz pomoć samo jedne grupe hakera koji sebe nazivaju CyberVor. Zašto ni jedna od 420 000 ugroženih kompanija nije bila obaveštena o napadima Hold Security-a ? Zašto je očigledno tražio od ljudi da mu uplate po 120$ da on proveri da li su njihovi ukradeni podaci zaista ukradeni od strane CyberVor grupe. Da li je Holden stvarno želeo da profitira od ove velike krađe informacija pretenciozno iznoseći ove podatke na početku Black Hat-a jedne od najvećih svetskih bezbedonosnih konferencija u Las Vegasu, gde mogući kupci šetaju holom Mandalay Bay hotela.

U ekskluzivnom intervjuu za Forbes, Holden koji je Ukrajinskog porekla kaže da je medijski skepticizam o njemu samo škodio njegovom biznisu. “Mi ustvari gubimo novac i negativan publicitet utiče na naše finansijere, ne radimo ništa sumnjivo već samo pokušavamo da ne bankrotiramo” izjavio je Holden.

Međutim skeptičnim posmatračima tarifa od 120$ po čoveku izgledala je ravna reketu. Pa su prema tome logična bila pitanja među ljudima o relevantnosti same ponude da oni koji prihvate ponudu ponovo ukucaju svoje sigurnosne šifre na server Hold Security-a kako bi bili provereni kroz njihovu bazu podataka. Zar to nije u suprotnosti sa osnovama dobre prakse o bezbednosti podataka ?

Konfuzija dalje nastaje u Holden-ovim tvrdnjama da je sama provera pojedinaca da li je neko ugrožen u stvari besplatna. Ljudi mogu da unesu adresu svog e-maila na sajtu Hold Security-a i program dalje proverava da li ima poklapanja sa ugroženima. Korisnici mogu da izaberu da li će dalje proveravati i svoje šifre koje mogu aploudovati na isti sajt koje će biti obrađene kroz algoritam i pretvorene u jednokratni hash koji nije čitljiv ni jednom ljudskom biću u slučaju da ga otkriju. Taj hash se onda upoređuje sa hashevima drugih šifri u bazi i utvrđuje se da li su zaraženi.Tako da ovakva ponuda možda i deluje legitimno, iako svako ko se malo ozbiljnije bavi bezbednosti na internetu će vam reći da se svoja šifra nikad ne predaje nigde i nikom, bez obzira kakvu vam sigurnost obećavaju i mislim da ovakav savet treba praktikovati.

Cena od 120$ uključuje godišnju predplatu na Hold Security ponudu gde će ta kompanija procenjivati da li je došlo do nekih curenja podataka u tom periodu na osnovu već prikupljenih podataka koje su Holden i njegova ekipa prikupili uključujući i zadnju masovnu krađu username-a i šifri svih velikih biznis kompanija.

Holden tvrdi da je kompanija na gubitku i da ove usluge uopšte ne nude zbog profita i da od njih neće ništa zaraditi.

Kako naglašava Holden, “ukradeni podaci na koje je naišao njegov tim sredinom Jula na crnoj berzi možda nisu svi ukradeni, do nekih se verovatno došlo i otkupom a i većina tih podataka je sada netačna i bezvredna jer su mnoge lozinke do sada promenjene. Ovim činom sam samo hteo da ukažem na slabu zaštitu sajtova glavnih manjih biznis kompanija i potrebu da se radi van sigurnosnih lozinki” pravda se Holden.

Nakon sve češćih curenja privatnih podataka firmi kompanija pa i svakog individualnog korisnika interneta nameće se pitanje kako zaštititi sajtove malih kompanija i njihovih klijenata i zašto nam se svima glavni zaštitni model svodi na username i šifru, da li ovakav način zaštite treba menjati ? I kako naterati kompanije da ozbiljnije rukovode podacima svojih korisnika?

Na nesreću Holdena i svih uključenih u ovu priču, ova konferencija je završena sa više pitanja nego odgovora. U svetu gde kompleksnost prestavlja lošu stranu ovakvi podaci su poražavajući.

 

Komentara
  1. obiraf said on 22. августа 2014. 11:24:

    Ima tu i dobrih strana. Samo još nikako da pročitamo da su hakovani nalozi Google, Facebook …