Na stronie prezydenta transmitowano w czwartek spotkanie Bronisława Komorowskiego z samorządowcami. Postanowiliśmy sprawdzić, czy łatwo byłoby się w taką transmisję włączyć. I pokazać cokolwiek. Na przykład napisać "POMNIK PRZED PAŁACEM POLSKĄ RACJĄ STANU". Albo wyemitować przemówienie Osamy Bin Ladena.
Niestety, poszło nam o wiele łatwiej, niż moglibyśmy się spodziewać. Wejście do panelu administratora transmisji zabezpieczał login "prezydent". Hasło też "prezydent". Pewnie dla niepoznaki.
Najpierw sprawdziliśmy, czy w transmisję da się włączyć obraz z kamery internetowej. Screenshot poniżej: na pierwszym planie Maciej Ostaszewski, z tyłu Dominik Uhlig.
Od razu zadzwoniliśmy do biura prasowego prezydenta informując o luce w zabezpieczeniach. W tym czasie wyemitowaliśmy obraz z napisem "Serdeczne pozdrowienia dla Prezydenta Bronisława Komorowskiego".
Kancelaria: To nie my Odbiera pracownica biura prasowego:
Dominik Uhlig: - Dzień dobry. Czy siedzi pani przy komputerze? Czy może pani teraz włączyć transmisję konferencji? Urzędniczka: - Niestety, nie mam takiej możliwości, mamy tu ograniczenia sprzętowe
Ale gdzieś tam macie państwo komputer, który może odtworzyć transmisję? - Tak, ale mam dużo pracy. Proszę sformułować pytanie. Czy to pytanie do informatyka?
Tak - Proszę poczekać...
(...)
...Czy może pan włączyć transmisję z wystąpienia prezydenta? - Urzędnik: - Tak, a o co chodzi?
(w tym momencie Maciek pokazuje kartkę: "zmienili hasło" )
Chciałbym, żeby pan powiedział, co widać na ekranie - Teraz widać debatę
A u nas widać napis "pozdrowienia dla pana prezydenta". To my go włączyliśmy. Bo login do serwisu brzmiał "prezydent". Hasło też brzmiało "prezydent" - Transmisję obsługuje firma zewnętrzna, zaraz będziemy się z nimi kontaktować. Dziękujemy za sygnał. Zapewniam, że każdą transmisję oglądamy na bieżąco i gdyby coś się działo, możemy w ciągu kilku sekund zareagować.
Firma: to był błąd Dzwonimy więc i my do obsługującej transmisję firmy.
- To był błąd, który został szybko wykryty i od razu naprawiony. Nie powinniśmy zabezpieczać transmisji tak prostym hasłem - przyznaje Michał Kreczmański z firmy Transmisje Online. - Możemy usprawiedliwić się tym, że była to prosta, ogólnodostępna transmisja, bez poufnych danych. Kiedy sesja jest zamknięta, polityka bezpieczeństwa jest bardziej restrykcyjna - dodaje. - Kiedy udało się Wam na chwilę włączyć, nasi realizatorzy od razu zobaczyli, że coś się dzieje w tle, rozłączyli Was i szybko zmienili hasło. Najważniejsze jest jednak to, że najprawdopodobniej waszą chwilową ingerencję w aplikację widzieli tylko nasi pracownicy, bo żeby ją zobaczyć oglądający musiałby dokładnie w tym czasie specjalnie przełączyć transmisję na podmieniony kanał.
Hasło? 1234, qwer, dupa Kolejne przykłady z życia dowodzą, że informatykom brakuje wyobraźni w zabezpieczeniu poufnych danych. Ostatnio
opisywaliśmy przypadek umieszczenia w internecie, bez żadnych zabezpieczeń pliku z danymi blisko 4 tys. marynarzy. Znajdował się na serwerze jednego z samorządów w katalogu "tmp/dupa".
odtwórz