Wyciek CV z terazpraca.pl

Może już wielu z Was słyszało o dzisiejszym wycieku kilkunastu tysięcy curriculum vitae ze strony terazpraca.pl? Jeśli nie to już tłumaczę co się stało.

Otóż dane nie były w żaden sposób zabezpieczone. Były to ponumerowane po kolei pliki pod adresem http://terazpraca.pl/data/pliki - aż kusi by napisać do tego automat, który by je pobrał (byleby nie skończyć jak pewien Łotysz). Okazało się jednak, że wszystkie pliki są już zabezpieczone przed odczytem. Czy aby jednak na pewno?

Uwaga: Disclaimer: poniższa część wpisu nie nakłania do wykonywania opisywanych w niej czynności, mają one jedynie charakter edukacyjny.

Skoro znamy lokalizację plików, możemy domyśleć się ich rozszerzenia (skoro to CV to najprawdopodobniej *.doc lub *.pdf), to aż prosi się o wykorzystanie tzw. Google Hackingu. Wykorzystując bardzo proste zapytanie site:terazpraca.pl/data/pliki/ filetype:doc/pdf/costam_jeszcze możemy poznać listę CV zaindeksowanych przez wujka Google. Nie ma ich bardzo dużo, ale zawsze.

Zastanawiacie się może jak je odczytać, skoro, jak już napisałem, pliki są zabezpieczone przed odczytem? Tutaj z pomocą przychodzi nam oferowana przez Google funkcja Quick View (Szybki podgląd?). Wyświetlane przez tą funkcję pliki pochodzą z cache Google, przez co możemy je bez problemu zobaczyć. (Kliknij na obrazek, aby powiększyć)

Google hacking terazpraca.pl

Całą sprawą zajmuje się już GIODO.

Iron 1.2.1 i trochę informacji o nim

Wydałem lekko poprawioną wersję Irona. Nowa wersja usuwa przede wszystkim błędy bezpieczeństwa (za wyłapanie kilku z nich serdecznie dziękuję DeXTeD'owi z forumweb.pl :)), ale poprawia też np. nieaktualizowany od prawie pół roku, skrypt sprawdzania aktualizacji dla skryptu. Zarówno ten wbudowany jak i jego wersję online, dla osób których serwery nie pozwalają na otwieranie zewnętrznych plików funkcją file_get_contents.

Ponadto postanowiłem w końcu ogarnąć jakiekolwiek strony informacyjne, download etc dla Irona. Znajdują się one w nowym podmenu w menu "Projekty" na górze strony. Będzie toto stopniowo rozbudowywane.

Pozdrawiam :)

Menadżery haseł

O bezpieczeństwie haseł powiedziano już bardzo wiele, było, że powinny być skomplikowane i trudne do złamania, było też słynne porównanie haseł do majtek (na polski: "Hasła są jak majtki. Nie zostawiaj na widoku, zmieniaj często i nie pożyczaj obcym.").

Jest też jedna z mądrości na ten temat mówiąca, że najbezpieczniejsze hasło, to takie którego nie pamiętamy. Wiadomo: nie podamy go niezaufanym ludziom i nie zapiszemy na karteczce przyklejonej do monitora. Ale jak używać hasła, którego nie pamiętamy? Tutaj z pomocą przychodzą nam managery haseł. W tym wpisie skupię się na jednym z nich - KeePass Password Safe.

Jest to swego rodzaju sejf na hasła (jak zresztą widać w nazwie). Cała istota tego rozwiązania polega na tym, że wymyślamy tylko jedno super bezpieczne hasło, którym zabezpieczamy bazę programu, a reszty haseł nie musimy pamiętać, co ma też takie plusy, że do każdego serwisu możemy mieć inne hasło i nie martwić się o to, czy ktoś nie trzyma ich w plaintexcie (czysty tekst, bez szyfrowania*).

Jednak, by zalogować się do jakiegoś serwisu musimy mieć program przy sobie. Twórcy pomyśleli też i o tym. Program jest portable, tj. nie instaluje się w systemie przez co możemy go nosić na pendrive'ie. Aplikacja jest też dostępna w języku polskim oraz powstały jej wersje m. in. na systemy Windows, Linux i Mac OS.

Oczywiście bardzo dużą wagę przyłożono do bezpieczeństwa danych trzymanych w programie. Program korzysta z mocnych i bezpiecznych algorytmów szyfrujących takich jak AES i Twofish oraz haszujących SHA-256. Dodatkowo KeePass nawet po uruchomieniu i otworzeniu bazy danych, hasła trzyma zaszyfrowane w swoim procesie w pamięci, chroniąc je przed wykradnięciem.

Skoro nie musimy pamiętać ustawianych haseł, program został wyposażony także w generator losowych haseł (możemy ustawić znaki które maja się w nich znaleźć [litery, cyfry, znaki specjalne itd]).  Przy wpisywaniu hasła w programie, podaje on siłę hasła w bitach i pokazuje obrazkowo.

KeePass został też wyposażony w różne funkcje zwiększajace bezpieczeństwo już po otwarciu bazy z hasłami (nie tylko szyfrowanie danych w pamięci, wspomniane powyżej).  To m. in. możliwość ustawienia po jakim czasie ma się blokować obszar roboczy programu. Możemy też nakazać blokować się mu na przykład po przełaczeniu użytkownika lub nawet po zminimalizowaniu okna. Aby go odblokować musimy podać nasze hasło główne. Możemy też ustawić czas po jakim schowek systemowy ma być czyszczony z hasła skopiowanego z programu (domyślnie 12 sek.).

Ponadto w opcjach mamy dostępna zakładkę "Polityka", w której możemy ustalić co możemy robić po otworzeniu bazy haseł. Można np. zabronić uruchamiania wtyczek do programu lub zmiany klucza głównego. Dostępne jest kilkanaście opcji.

Biorąc pod uwagę te wszystkie zalety uważam, że ten zajmujący zaledwie 3.5MB pakiet powinien zagościć na pendrive'ach i dyskach wielu osób. Program KeePass Password Safe można pobrać stad.

  • wiem, powinienem napisać hashowania zamiast szyfrowania, ale użyłem tego terminu jako bardziej zrozumiałego dla osób niezaawansowanych.

Refleksja na temat wszechobecnego szpiegowania

Nad napisaniem tego wpisu zastanawiałem się już dłuższy czas. Dzisiaj ostatecznie przekonał mnie apel Free Software Fundation o zaprzestanie używania Windowsa m. in. z powodu właśnie szpiegowania. Moim zdaniem szpiegowanie można podzielić na dwie kategorie.

I. Przez serwisy społecznościowe
Tutaj trzeba uznać jedną prawdę. Jedyne straszne, przerażające i jakże tajemnicze informacje, które zdobywają o nas portale społecznościowe, to te, które podamy im sami.

Po prostu dwa razy zastanówmy się zanim wstawimy kompromitujące zdjęcie, albo podamy numer telefonu.

II. Inne Tutaj już nie mamy takiej możliwości zabezpieczania. Oczywiście - można stosować rozmaite programy, ale nie popadajmy w paranoję. Najczęściej wartość takich informacji jest znikoma… pod warunkiem, że przez komputer nie przepuszczamy super tajnych rzeczy. Narzekasz na zagrożenia związane z przeszukiwaniem dysku przez M$? Po prostu nie zostawiaj na nim numeru karty kredytowej.

Jeśli zaś chodzi o zbieranie informacji np przez Google, to bądźmy szczerzy, że ich wartość nie jest zbyt wielka (no chyba, że szukamy porno dziesięć razy dziennie). Słyszeliście kiedyś żeby ktoś kto pozyskał te informacje od Google np. szantażował kogoś?