Имена пользователей и пароли доступа к 100 с лишним электронным почтовым ящикам посольств и правительств различных стран мира опубликованы в Internet независимым консультантом по информационной безопасности Дэном Эгерстадом. По его словам, он проводил некий эксперимент и в процессе случайно "набрел" на информацию об этих учетных записях. По сведениям Computer Sweden, верительные данные по меньшей мере для одного из ящиков являются действительными: Эгерстад переслал в редакцию издания сообщение от работницы Шведского королевского суда, отправленное ею в российское посольство в Швеции, и отправительница подтвердила аутентичность этого письма. Из числа "вскрытых" ящиков 10 принадлежат посольству Казахстана в России и около 40 - узбекским посольствам и консульствам в различных странах мира.
http://www.osp.ru/news/2007/0831/4328847/?rss_feed=news

Та же новость в других источниках
http://www.indianexpress.com/story/213650.html
http://derangedsecurity.com/deranged-gives-you-100-passwords-to-governments-embassies-2/

UZ-CERT уже отправил в МИД соотв. уведомление

UZ-CERT уже отправил в МИД соотв. уведомление

А будет отчет о результатах расследования инциндента?

А будет отчет о результатах расследования инциндента?

расследование CERT не проводит. Возможно МИД у себя и проведет его. Но не думаю, что оно претендует на публикацию.

А будет отчет о результатах расследования инциндента?

UZ-CERT гарантирует неразглашение третьим сторонам персональной информации, которая стала известна в ходе реагирования на инциденты.

Думаю, что Ваш вопрос больше адресован к МИД, чем к Службе UZ-CERT.

Это если источник утечки - головотяпство, то конечно внутреннее расследование... но если технический глюк, который может повториться в других организациях, то наверное над оповестить всех.

UZ-CERT гарантирует неразглашение третьим сторонам персональной информации, которая стала известна в ходе реагирования на инциденты.

Думаю, что Ваш вопрос больше адресован к МИД, чем к Службе UZ-CERT.

А что за почтовик, на котором хостились ящики нашего МИД?

UZ-CERT гарантирует неразглашение третьим сторонам персональной информации, которая стала известна в ходе реагирования на инциденты.

Думаю, что Ваш вопрос больше адресован к МИД, чем к Службе UZ-CERT.
Но я так понимаю, что МИД может заказать в UZ-CERT расследование данного инцидента или хотя бы аудит безопасности своего почтового сервера?

Но я так понимаю, что МИД может заказать в UZ-CERT расследование данного инцидента или хотя бы аудит безопасности своего почтового сервера?

Заказать может, уже исходя из того, что CERT им первым и сообщил о проблеме. Да и вообще можно было бы сделать единую защищенную платформу для всех гос. органов. Было бы желание :)

Наверняка у нах стояла Шарепоинт... :-) Шутка

Заказать может, уже исходя из того, что CERT им первым и сообщил о проблеме. Да и вообще можно было бы сделать единую защищенную платформу для всех гос. органов. Было бы желание :)

Если закажет - просьба повлиять на МИД и опубликовать отчет в формате рекоммендаций по защите почтовых ящиков.

Я почему прошу. Из сообщения в блоге можно сделать следующие выводы:

* Автор сообшения натолкнулся на эти пароли чуть ли не случайно.
* Это может произойти с каждым.
* Пароли получены не простым брутфорсом - они довольно сложны.

Соответственно мне лично очень не хотелось чтобы такое повторилось с моим личным и тем более корпоративным ящиком.

Если закажет - просьба повлиять на МИД и опубликовать отчет в формате рекоммендаций по защите почтовых ящиков.

Я почему прошу. Из сообщения в блоге можно сделать следующие выводы:

* Автор сообшения натолкнулся на эти пароли чуть ли не случайно.
* Это может произойти с каждым.
* Пароли получены не простым брутфорсом - они довольно сложны.

Соответственно мне лично очень не хотелось чтобы такое повторилось с моим личным и тем более корпоративным ящиком.


думаю, можно это сделать и без привязки к данному случаю, а обобщить результаты различных инцидентов.

Спасибо за предложение. Дадим вариант.

Если закажет - просьба повлиять на МИД и опубликовать отчет в формате рекоммендаций по защите почтовых ящиков.

Я почему прошу. Из сообщения в блоге можно сделать следующие выводы:

* Автор сообшения натолкнулся на эти пароли чуть ли не случайно.
* Это может произойти с каждым.
* Пароли получены не простым брутфорсом - они довольно сложны.

Соответственно мне лично очень не хотелось чтобы такое повторилось с моим личным и тем более корпоративным ящиком.

Общие рекомендации по защите почтовых ящиков и почтовых серверов будут опубликованы на сайте церта (http://www.cert.uz) в ближайшее время.

Но я так понимаю, что МИД может заказать в UZ-CERT расследование данного инцидента или хотя бы аудит безопасности своего почтового сервера?

Расследование думаю будет внутренним. Экспертизу проведем в том случае, если МИД к нам обратится.

За такие дела Ильф и Петров предлагали наказание по статье "головотяпство со взломом". Хотя серьёзно, это не смешно, если Ваша конфедициальность нарушена. По большому счёту просто так, ничего оставлять просто нельзя. Как говаривал Генри Форд, что если в Вашей конторе при разборе ЧП, Вы не находите виновных, то смело можете закрывать лавочку.

Наверняка у нах стояла Шарепоинт... :-) Шутка
Точно стоял GroupWise... что потом не в курсе

За такие дела Ильф и Петров предлагали наказание по статье "головотяпство со взломом". Хотя серьёзно, это не смешно, если Ваша конфедициальность нарушена. По большому счёту просто так, ничего оставлять просто нельзя. Как говаривал Генри Форд, что если в Вашей конторе при разборе ЧП, Вы не находите виновных, то смело можете закрывать лавочку.

Практически в любой конторе любой менеджер сдаст с потрохами всю информацию за 50 баксов - а остальные будут ему завидовать, что он их опередил. Технический аспект там, где есть человеческий фактор прикидывается ветошью и не отсвечивает. Давно читал об этом - полно материала в Сети.

Практически в любой конторе любой менеджер сдаст с потрохами всю информацию за 50 баксов
Так для предотвращения подобного и должна быть разработана корпоративная политика обеспечения информационной безопасности

Для особо любопытных ссылка (http://derangedsecurity.com/deranged-gives-you-100-passwords-to-governments-embassies-2/) на сайт шведского хакера
Короткий анализ показывает что:
1. МИД Р Уз сидит у провайдера SITA
tiv.mfa.uz (57.66.151.179)
57.0.0.0 - 57.255.255.255
SITA-Societe Internationale de Telecommunications Aeronautiques
112 Avenue Charles de Gaulle
Neuilly, 92522 Cedex,FR
2. В качестве межсетевого экрана используется довольно старый продукт Novell BorderManager 3.8 Support Pack 2.
3. Пароли хоть и имели какую то политику но для таких серьезных вещей необходимо было использовать и дополнительные меры защиты (eTocken, SmartCard...... etc).
4. Скорее всего пароли передавались открытым текстом и были выявлены при "прослушке" сетевого траффика по протоколу POP3

Вывод:
Расследовать особо нечего. Руководство внешнеполитического ведомства и ИТ служба практически неуделяла должного внимания обеспечению безопасности информационных ресурсов.
Вот принять к сведению сделав выводы, разработать целый комплекс мер и внедрить их было бы полезно :)

Вот кому то "ата-та" сделают

А мне кажется что все гораздо тривиальней. В сеть попал троян который собрал и переправил все пароли.

А мне кажется что все гораздо тривиальней. В сеть попал троян который собрал и переправил все пароли.
Не исключено хотя и спорное мнение. Выложено 40 почтовых ящиков, а в случае с трояном их было бы несколько больше и привели бы ящики всего МИДа. Значит были "прослушаны" аккаунты имеющие доступ с "внешней стороны".
Тем более если Вы обратили внимание то там даеются аккаунты именно к POP3 ящикам

Я не понаслышке представляю работу Border Managera как на UnixWare так и на NetWare (когда то был CNE). Другое дело, что он у них стоит в конфигурации по умолчанию (судя по банеру в BM).

Практически в любой конторе любой менеджер сдаст с потрохами всю информацию за 50 баксов
вас послушать - все продажные такие :(
я в своей не очень долгой жизни встречаюсь с людьми наверное так же часто как и вы. в том числе и с Админами и Менеджерами - что то ни разу не встречал готовых за "три серебряника" продать свою контору.
Более того (к чести Админов) среди Админов - как людей обладающих доступом практически к любой инфо в своей сети, действует (как мне показалось, ну или я всегда встречался с такими :)) негласный кодекс чести - и с их стороны уж точно утечки преднамеренной не жди!
То же могу сказать и про манагеров.

вас послушать - все продажные такие :(
я в своей не очень долгой жизни встречаюсь с людьми наверное так же часто как и вы. в том числе и с Админами и Менеджерами - что то ни разу не встречал готовых за "три серебряника" продать свою контору.
Более того (к чести Админов) среди Админов - как людей обладающих доступом практически к любой инфо в своей сети, действует (как мне показалось, ну или я всегда встречался с такими :)) негласный кодекс чести - и с их стороны уж точно утечки преднамеренной не жди!
То же могу сказать и про манагеров.

Я тоже люблю о людях хорошо думать. Давно читал статью о том, что в любом коллективе есть недовольные, обиженные, неоцененные и т.д и т.п. и их доля довольно велика, дело даже не в деньгах, а просто чисто по человечески исподтишка напакостить. В Сети тоже можно поискать - есть материалы о том, что в безопасности главное - человеческий фактор.

Давно читал статью о том, что в любом коллективе есть недовольные, обиженные, неоцененные и т.д и т.п. и их доля довольно велика, дело даже не в деньгах, а просто чисто по человечески исподтишка напакостить.
Хм... чисто по человечески напакостить называется "свинством" :)

В Сети тоже можно поискать - есть материалы о том, что в безопасности главное - человеческий фактор
Это и не в сети есть такие материалы :)

Давно, на http://sysadmins.ru нашёл ссылку какой-то студии, которая проверяет надёжность информационной безопасности предприятия. То есть принимается заказ и максимальная сумма, за которую надо получить информацию. Были описаны примеры работы. Получение нужной информации через администратора (человеческий фактор) применялось всего 2 раза. В первый раз были выяснены предпочтения. Оказалось, что администратор любит латинскую музыку. Был создан сайт, мимо которого он просто не мог пройти и с которого он получал троян. Во второй раз администратору сделали предложение о переходе на другую работу, в которой ему посулили такие условия, что он не задумываясь ушёл. А в контору посадили своего человека.

Гораздо чаще информация утекала от того, что шеф вставлял флэшку с корпоративными документами куда попало или то, что он вёл важную переписку по ICQ

Был создан сайт, мимо которого он просто не мог пройти и с которого он получал троян.
Значит плохой админ, если у него нет ни антивируса ни фаервола. С таким можно без переживаний распрощаться.

Во второй раз администратору сделали предложение о переходе на другую работу, в которой ему посулили такие условия, что он не задумываясь ушёл. А в контору посадили своего человека.
Плохая работа службы собственной и информационной безопасности компании, не проверили history нового админа, не распознали недовольного сотрудника (старого админа).
Если нужен грамотный и лояльный сотрудник (тот же админ) - необходимо создавать ему хорошие условия (как труда, так и отдыха + плюс хорошая компенсация за навыки и достижения в компании).
К тому же никто не отменял соглашения о конфиденциальности и статьи Гражданского кодекса о неразглашении коммерческой информации.

Гораздо чаще информация утекала от того, что шеф вставлял флэшку с корпоративными документами куда попало или то, что он вёл важную переписку по ICQ
Также недочёты СБ и СИБ.

Обеспечения собственной и информационной безопасности компании требует значительных затрат - как на персонал этих подразделений, так и программно-технические средства. Возможно во многих компаниях стоимость потерянной информации значительно ниже зартат на содержание подобных подразделений, вот особо и не озадачены решением подобных вопросов.

Был создан сайт, мимо которого он просто не мог пройти и с которого он получал троян
А это нормально что пользователь (не имеет значение его фамилия, имя, отчество и занимаемая должность) работает под админом или рутом?

Оказалось, что администратор любит латинскую музыку.
Латиноамериканскую наверное. Странный админ. Обычно ну как минимум что-то типа HMR. На английском. А пьет наверное какое нить амаретто или бейлис. И зовут его как нить Сергей Зверев? ;)

Не успел Пентагон (http://www.securitylab.ru/news/%CF%E5%ED%F2%E0%E3%EE%ED/) обвинить китайских военных в "вешании" 1500 своих компьютеров, как появилась информация о новой атаке. Вчера Пентагон сообщил, что благодаря успешной атаке неизвестным хакерам удалось получить доступ к несекретной e-mail системе Министерства обороны США. Эта система уже была жертвой атаки хакеров весной текущего года, когда для ее полного восстановления потребовалось около трех недель. По словам представителя Пентагона, секретной системе обмена электронной почты никогда ничто не угрожало. Сама атака была оперативной раскрыта, а ее последствия устранены, поэтому работа e-mail сервиса была лишь кратковременно приостановлена. Как Пентагон неоднократно сообщал, его компьютерная сеть ежедневно подвергается тысячам проверок на прочность хакерами со всего мира. Особо активными специалистами, приникающими в сеть Пентагона, занимается контрразведка и судебные органы, хотя представитель Пентагона отметил, что часто бывает трудно определить местонахождение источников атак. Неизвестно, удалось ли на этот раз выяснить происхождение хакеров.




http://www.securitylab.ru/news/302214.php

Взломать дипломатическую почту помог анонимайзер Tor

http://webplanet.ru/news/security/2007/09/12/tor.html

Интересно, этот Tor сотрудники наших посольств использовали как средство защиты от сканирования своего трафика?

Новость в тему

Взлом года или Full-Disclosure по-шведски
Дата: 17.11.2007

22-летний консультант по информационной безопасности Дэн Егерстад (Dan Egerstad) был арестован в своей квартире во время полицейского рейда. Компьютеры, жесткие диски и другие носители были изъяты, а сам Егерстад был допрошен полицией с участием национального департамента криминальных расследований.

После двухчасового допроса Егерстад был отпущен. Егерстад сообщил после допроса: «Мне сказали, что осуществлялось определенное давление со стороны других стран, и есть некоторые страны, которые мне не следует посещать». «Они упомянули Гон Конг и некоторые другие страны, со стороны которых наблюдалась чрезмерная активность».

В августе 2007 года Егерстад установил 5 Tor серверов в различных датацентрах по всему миру и начал мониторинг трафика, проходящего через эти сервера. Хакеру удалось, за относительно короткий промежуток времени, получить доступ к 1000 учетных почтовых записей, принадлежащих крупным компаниям и государственным ведомствам различных стран.

Егерстад опубликовал на своем сайте детали о 100 учетных записях, принадлежащих посольствам и государственным структурам, среди которых департамент иностранных дел Ирана, а также посольства России и Индии в Стокгольме.

Максимальное наказание по шведским законам, которое может грозить Егерстаду за неавторизованный доступ к компьютерам – штраф или два года тюремного заключения.

Источник: Securitylab.ru (http://www.crime-research.ru/news/17.11.2007/4006/)

В августе 2007 года Егерстад установил 5 Tor серверов в различных датацентрах по всему миру и начал мониторинг трафика, проходящего через эти сервера. Хакеру удалось, за относительно короткий промежуток времени, получить доступ к 1000 учетных почтовых записей, принадлежащих крупным компаниям и государственным ведомствам различных стран.

А мне лично нравится, что он сделал. Точнее - эффект от такого эксперимента. Доказал, что анонимным сетям доверять не нужно. Точнее, всегда нужно очень внимательно относится к вопросам безопасности, выбирая поставщика или технологию. Хороший урок всем.

Егерстад - молодец. Фантазия у парня работает.

Точнее, всегда нужно очень внимательно относится к вопросам безопасности, выбирая поставщика или технологию.
Это точно, но
Хороший урок всем.
у кого есть финансирование, точнее установленный бюджет на развитие ИТ. В государственных организациях вообще нет понятия "бюджета".

Государственные закупки происходят не от решения задачи, а от потребностей того или иного ИТ (около ИТ) менеджера который и определяет технические требования оборудования... зачастую исходя от собственных потребностей (ну на кой администратору ИС видеокарточка размером 512Мб\1Gb, "саунд система хай энд класса"? только приятно проводить время на работе, играя в очень тяжелые игрушки).

Во всем мире производство тех или иных закупок\внедрения новых технологических решений зависит от бюджета.
Никто не хочет купить железку или ПО просто потому что эта железка нужна. Там целый план мероприятий расписанный попунктно на годы и утвержденный руководством.

Другими словами на самом низу пирамиды лежат потребности компании (можно описывать все), выше лежит бюджет в зависимости от бюджета решаются те или иные задачи. И это на каждый год.

Касаемо МИДа - используемые в МИДе технологии (ИС) относятся к прошлому веку потому и возникла ситуация, что пароли и аккаунты проходили по доступным сетям открытым текстом. Но надо отдать должное - служба безопасности вряд ли позволила бы передачу информации (документов) составляющую служебную или иную тайну способом отличным от фелдьегерской службы.

у кого есть финансирование, точнее установленный бюджет на развитие ИТ. В государственных организациях вообще нет понятия "бюджета". Государственные закупки происходят не от решения задачи, а от потребностей того или иного ИТ (около ИТ) менеджера который и определяет технические требования оборудования... зачастую исходя от собственных потребностей

Не думаю, что это относится ко всем.

Не думаю, что это относится ко всем.
Это не ко всем, конечно же, но это существует. Я то с этим встречаюсь чаще Вас (по определеным причинам). И когда начинается разговор самым неудобным вопросом на который чаще всего не получаю ответа является "а какой выделен бюджет?". В 80 случаях из 100 "вы дайте предложение, а мы рассмотрим". По мне лучше сделать не сразу все, а сделать все в рамках той самой суммы на которую есть "одобрям-с" сверху. К примеру:
У компании стоит вопрос о модернизации ИС с учетом внедрения новых технологий. Если делать все сразу то сумма выходит просто астрономическая (по нашим меркам), но если разбить на независимые и не взаимосвязанные этапы, то за каждый этап получается нормальный бюджет в рамках которого можно как и менять состовляющую аппратно-программного обеспечения так и получить возможность использовать последние технологические достижения.

А обычно хотят много и сразу... и проект или не проходит по финансовым проблемам (столько нет) или проект просто заваливается (и дело не сделали и деньги уже потратили).

Не думаю, что это относится ко всем
ДЖ - это есть проблема - и относится ко многим, к сожалению, в особенности к гос структурам, хотя в комерческой сфере тоже хватает.
я например знаю всего 2-4 клиентов у которых есть видение и стратегия облеченные в бумажную форму с рассчитанными бюджетами на 1 год, на 5 лет?
а вы знаете таких?

Если спишь с собаками…

Автор: Киви Берд
Опубликовано в журнале "Компьютерра" №45 от 12 декабря 2007 года


Наделавшая много шума история о том, как молодой шведский хакер Дан Эгерстад (Dan Egerstad) выставил на всеобщее обозрение конфиденциальную переписку множества иностранных посольств, получила продолжение.



Тем, кто-то подзабыл или пропустил этот сюжет двухмесячной давности, напомним его суть.
Эгерстад, работавший независимым консультантом по компьютерной безопасности, решил убедиться, насколько надежна анонимность, предоставляемая известным прокси-сервисом TOR. Для этого он добавил в TOR пять оконечных узлов, объединяющих сеть анонимной пересылки с Интернетом, и оснастил узлы специализированными снифферами пакетов, фильтрующими проходящий через них трафик. Фильтры быстро выловили тучу любопытной информации, начиная от логинов-паролей к почтовым ящикам и серверам дипмиссий нескольких десятков государств, правительственных ведомств и крупных компаний разных стран до собственно документов этих организаций, порой весьма конфиденциального свойства.



Озадаченный Эгерстад поначалу пытался предупредить скомпрометированные стороны об опасности. Однако те, с кем удалось связаться, либо не понимали, о чем идет речь, либо не желали обсуждать подобные вопросы неизвестно с кем. В итоге, чтобы привлечь внимание к проблеме, Эгерстад опубликовал в Сети несколько десятков почтовых паролей-логинов посольств разных стран, чем вызвал немалый переполох.


Для сокрытия реальных IP-адресов пользователей весь TOR-трафик прогоняется через случайный набор узлов. Хотя внутри сети TOR большинством узлов трафик шифруется, на оконечных узлах, отправляющих пакеты непосредственно в пункты назначения Интернета, шифрования нет. Но многие пользователи сервиса, не прибегающие к SSL или другим видам шифрования, похоже, не понимают, что сами выдают важную информацию третьей стороне, владеющей оконечными узлами.



Эгерстад же разом продемонстрировал и то, как много чувствительных к раскрытию данных циркулируют по Интернету, и то, как легко злоумышленники могут перехватывать незашифрованный TOR-трафик.
Поначалу Эгерстад предполагал, что организации и ведомства, чью важную информацию он так легко перехватывал, просто неграмотно использовали TOR, не позаботившись о надлежащем шифровании почтовых сервисов. Но теперь он пришел к выводу, что ситуация далеко не так проста. В недавнем интервью Эгерстад, не желая вдаваться в технические тонкости, лишь подчеркнул, что более внимательное изучение проблемы показало: опростоволосившиеся организации вообще не использовали TOR. А вся их информация, которую насобирали фильтры на оконечных TOR-узлах, в действительности пересылалась какими-то хакерами, которые ранее уже взломали серверы и почтовые аккаунты этих организаций, регулярно воруя оттуда документы и используя TOR в качестве удобного средства для заметания следов.


Случайное это совпадение или нет, неизвестно, но как только Эгерстад поделился с международной прессой своими новыми выводами, на него тут же наехала шведская полиция и спецслужбы. Представители органов власти не стали скрывать, что занялись делом Эгерстада с подачи некой иностранной державы (или держав), однако назвать недовольную сторону не пожелали. Зато недвусмысленно продемонстрировали молодому консультанту, что власть лучше не раздражать.

Его дом подвергли тщательному обыску, буквально перевернув все вверх дном, сломав несколько шкафов и конфисковав для изучения все обнаруженные компьютеры, любые цифровые носители информации, а также заинтересовавшие полицию документы. Самого же Эгерстада отвезли в полицейский участок, где несколько часов допрашивали на предмет "незаконных проникновений в зарубежные компьютеры". Никаких обвинений, правда, ему так и не предъявили, отпустив после допроса домой. Сколько времени понадобится на то, чтобы вернуть конфискованное имущество (и удастся ли это сделать вообще), никто сказать не может.

По глубокому убеждению Эгерстада, то, что так легко проделал он, наверняка делают и многие другие - будь то криминальные структуры или государственные спецслужбы. Эту гипотезу решили проверить исследователи из сетевого хакерского сообщества TeamFurry. И получили весьма интересные результаты.

Члены TeamFurry случайным образом выбирали оконечные узлы сети TOR и анализировали их параметры и конфигурацию. Оказалось, что многие из этих узлов-шлюзов сконфигурированы так, чтобы пропускать только незашифрованные электронные письма и срочные сообщения (вроде протоколов IMAP, AIM, VNC, Yahoo IM и MSN Messenger), отвергая весь остальной трафик, включая шифрованный. Естественно, такая избирательность еще не является доказательством шпионской природы узла.

Однако в условиях сети анонимизации, где шифрование трафика лишь поощряется, те узлы-шлюзы, что полностью блокируют зашифрованные криптографией пакеты, выглядят чрезвычайно подозрительно.

В расследовании TeamFurry ничего не говорится о том, кому могут принадлежать оконечные TOR-узлы, где обрабатываются исключительно незашифрованные данные. Но коль скоро их явно немало, а цель - фильтрация пакетов - достаточно очевидна, можно предполагать, что роют здесь все кому не лень - от мелких хакеров и промышленных шпионов до разведслужб.

Отсюда становится понятным и давление властей на Эгерстада - не столько за то, что он "тоже нюхает", сколько за склонность к обобщениям и излишнюю говорливость. И почему-то тут же вспоминается итальянская пословица: "Если спишь с собаками, то проснешься с блохами".