‚Krádež dat? Když používají hesla jako Passw0rd...‘

Víkendový útok na italskou společnost Hacking Team, která možná prodávala špehovací technologie také české policii, se nejspíš podařil díky nedodržování základních bezpečnostních opatření. Pracovníci firmy například používali běžná hesla a navíc vícekrát, říká odborník na internetovou bezpečnost Michal Špaček pro deník ECHO24.cz.

Kde udělali lidé z Hacking Teamu chybu?

To zatím netušíme. Detailní informace o útoku nejsou známy, ale z těch dostupných dat je patrné, že používali jednoduchá hesla jako například Passw0rd apod. Jedno heslo navíc používali na více místech. Je to tedy jedna z možností. Další možnosti jsou bezpečnostní chyby v jejich programech nebo tzv. spear phishing, tedy e-mail s nějakou zákeřnou přílohou, který se pošle konkrétní osobě pracující v té dané firmě. Snad se brzy dozvíme více.

Nestává se až příliš často, že zašifrovaná data se podaří prolomit díky poměrně triviálním lidským opomenutím, jako jsou právě jednoduchá a nezabezpečená hesla, wifi a podobně?

Ano, to je nejčastější možnost, jak silné šifrování dnes prolomit. Dokud uživatelé budou používat slabá předvídatelná hesla – to jsou v
podstatě všechna hesla, která vymyslí hlavou -, tak se to bude stávat i nadále.

Čtěte také: Firmě na špehovací software ukradli data. Používá jej i policie

Jsou ukradená a vystavená data pravá?

To je dobrá otázka. Vypadají velmi důvěryhodně, ale s jistotou to říci nelze, minimálně ne o všech dostupných datech. Například Policie ČR potvrdila, že používá nějaký špehovací software, ale z pochopitelných důvodů neuvedla, který konkrétně.

Česká policie jako odhalený klient není zrovna v ideální společnosti, produkty firem využívaly státy s autoritářskými režimy. Považujete za etický problém, že využívala služeb této firmy?

Ano, na to se snad ani nedá jinak odpovědět.

Může tento incident přinést nějaký milník v ochraně dat?

Bylo by to hezké. Třeba kdyby uživatelé přestali používat jednoduchá hesla, nepsali si je do souborů na plochu a nepoužívali jedno heslo na více místech a místo toho používali nějaký správce hesel. Ale byl bych blázen, kdybych věřil tomu, že to odteď začnou všichni takto praktikovat. Zabezpečení dat a uživatelů se v poslední době hodně zlepšuje, řekl bych tedy že tento incident spíš jen potvrdí směr, kterým se bezpečnost ubírá. Do spekulací, jestli se něco změní na úrovni policie a států, bych se nerad pouštěl.

Dá se určit, jaký motiv útočníci vlastně sledovali? Může za tím stát konkurence?

Nemyslím si, že to byla konkurence, ani nepředpokládám, že by to byl nějaký stát, kterému se v poslední době často podobné útoky připisují. Možná jen tyto pochybné firmy někomu leží v žaludku. Napovídal by tomu i fakt, že útočník, který se k tomuto incidentu přihlásil, údajně může i za hack firmy Gamma International UK, která vyráběla FinFisher, nástroj podobný tomu od Hacking Teamu.