Vlákno názorů k článku
Únik dat z T-Mobile USA
od peci1 - Nikdy jsem cizi servery s daty nehackoval, tak...
-
peci1Stříbrný podporovatelNikdy jsem cizi servery s daty nehackoval, tak tomu uplne nerozumim, ale cim to je, ze se hackerum malokdy povede ukrast data vsech zakazniku? Preci je jednodussi udelat neco jako "rsync tmobile:/data moje:/data", nez to brat po kouscich, ne? Nebo maji tyhle firmy opravdu tak dobre nastaveny monitoring siti, ze by si toku nekolika stovek MB vsiml a zarazil ho?
-
BobTheBuilderStříbrný podporovatelTřeba v tom jede nějaký insider, který má jen omezený přístup k nějaké podmnožině zákazníků. Kdyby měl větší práva, zkopíroval by víc.
-
BrainLess (neregistrovaný)
Protoze to nebude par zaznamu jako ve skolnim projektu "vypujcka knih" ;-). Nemyslim si ze by to meli tak dobre zabezpeceny. Spis se proste dostali jenom k casti. Nezname, infrastrukturu takze muzeme jenom odhadovat. Napriklad se mohli dostat na nejaky billovaci server a tam byla data jenom zakazniku z aktualniho bill-cycle. Nekteri operatori maji tolik zakazniku, ze jedou kazdej den jeden bill-cycle. Duvodu muze byt milion :-)
-
zpravidla se nikomu nepodaří dostat na primární systémy a databáze, aby si vše pohodlně zkopíroval.
Jak zaznělo od ostastnich, často se někde zapomenou a povalují soubory, často dojde ke kompromitaci účtu konkrétního člověka, který má přístup pouze k části dat (nevím co lidé z úniku měli společného).
Poslední velká díra, o které se moc nemluví, jsou zbytky dat v tempech, ve swapu, nepřepsané operační paměti, heap dump z padlých procesů. Analytici mají běžně přístup k datům v csv/excelech, často se v těchto firmách používá jeden společný server pro ruční práci s daty nebo to dělají na svých stanicích, pokud se tam dostane útočník, hledá fragmenty, pozůstatky a zpravidla se mu to podaří, pak dojde k podobnému úniku. Už i u českých bank jsme takové útoky prezentovali.
-
aaaa (neregistrovaný)
Hackerske kradeze dat su casto neefektivne. Typicky je to blind SQL injection, takze na jeden request vytiahnes najviac jeden bit. Kvoli problemom so sietou je niekedy treba aj viac requestov na bit.
Paralelizovat sa to da, ale ked sa to prezenie, tak bude vela spojeni k DB, to vyradi stranku a toho si niekto vsimne. Aj zvysene mnozstvo spojeni v DB si niekto vsimne, ale nie okamzite.Mozna horna hranica: ak je odpoved na request 10kB a to bude viac, tak aj pri rychlosti proxy 10Mbit ~ 1MB/s to mame 100 pouzitelnych bitov za sekundu. Za hodinu tak vytiahne 100*3600b = 360kb = 45kB. Toto bude zaroven znamenat realne tak 100 simultannych inak nepouzitelnych spojeni na DB, co je tiez napadne.
-
kolemjdoucí (neregistrovaný)
No nejspíše získal jen data z toho jednoho stroje z několika a pro telefonní operátory by to měl bejt i trest , škoda , že se nepoučili. Jinak málokdo něco monitoruje a reaguje do hodiny .. casto to trvá tejden až měsíc než si někdo něčeho všimne a to je dávno sql nebo www dole .
-
Karel (neregistrovaný)
Poměrně častým důvodem je prostý fakt, že se nedostal k serveru s daty zákazníků. Ty bývají slušně zabezpečené nebo alespoň monitorované. Díky tomu se na ně buď nedostane, nebo je záhy odříznut.
Velká část útoků, se kterými jsem já přišel do styku, byly útoky na zálohy, počítače uživatelů atd. To byste nevěřil, co se dá najít v adresářích "Desktop", "Documents" a "Downloads" na počítači uživatelů. Prozradím vám to: bývají plné sestav (reportů), které si uživatelé ze systému stahují. Ale tam nebývají data kompletní. Pokud se objeví útok, kde je "jen několik procent záznamů", chybí hesla ale zato tam jsou jména, adresy a telefonní čísla, pak se velmi pravděpodobně jedná právě o ukradený report z počítače uživatele. Případně omylem vystavený na internetu, odeslaný emailem na špatného příjemce, zapomenutý na disku co jde do opravy/do šrotu atd.
A data nebývají vybrána náhodně, ale odpovídají podmínkám, co zadal uživatel - takže například zákazníci s fakturami po splatnosti, nebo s otevřenými objednávkami, nebo s konkrétním typem tarifu, atd. Pokud se tedy objeví kupříkladu soubor, kde jsou zákazníci a jejich objednávky za posledních 30 dnů, tak jdete na jistotu a hledáte zaměstnance, který takový report spustil (a pustil).
ČLÁNKY DO MAILU