Anonymous mají další zářez: potrápili jihoafrickou vládu

  |   We Live Security

Hackerská skupina Anonymous „pozlobila“ vládu Jihoafrické republiky. V rámci své kampaně #OpAfrica pronikla do databáze státního úřadu komunikačních a informačních systémů, kde se zmocnili údajů o více než tisícovce státních zaměstnanců.

1456397599_6857189595_67eb8f5b4b_o.jpg

Útočníci získali jejich jména, telefonní čísla, e-mailové adresy a přístupová hesla. Anonymous využili starého informačního portálu, který už nebyl aktualizován, ale úřad jej ještě zcela nevyřadil z provozu. Jihoafrická vláda na zveřejnění informace o úniku dat reagovala prohlášením, že chybu v systému odhalila a napravila.

Skupina Anonymous chce kampaní #OpAfrica dle svého vyjádření „demontovat korporace a vlády, které umožňují a udržují korupci na africkém kontinentu“. Anonymous upozorňují především na problematiku dětské práce a cenzuru internetu v Africe. „Bojujeme souběžně vedle dalších operací, jako je #OpNigeria a #AnonymousSA, abychom osvobodili kontinent od moru vykořisťování, který se tam vyskytuje po celá staletí,“ nechal se slyšet jeden ze zástupců skupiny Anonymous. Jihoafrický vývojář Evan Knowles se podle webu Infosecurity-magazine.com nechal slyšet, že státní zaměstnanci hackerům usnadnili práci, když použili hashovaná hesla, která nejsou zcela bezpečná.

2000px Hash function long

Hashovací funkce převede heslo do řetězce, který je poté uložený v databázi. Útočník či administrátor posléze v databázi sice na první pohled nevidí hesla uživatelů, avšak hesla se dají z uložených řetězců zjistit.

Podle Knowlese bylo všech 1 471 ukradených hesel z databáze úřadu komunikačních a informačních systémů hashovaných pomocí funkce MD5 bez tzv. kryptografické soli.

Kryptografická sůl je několik náhodných bitů či znaků, které se umístí do hesla. Díky náhodnému umístění těchto znaků, které se říká sůl, může řetězec, který se z uživatelova hesla vytváří a ukládá do databáze, mít různou podobu. Tím se přispívá ke zvýšení zabezpečení uložených hesel.

Zakóduje-li se heslo bez kryptografické soli,  výsledkem je otisk, ze kterého lze stejným algoritmem (hashovací funkcí) dojít zpět k původnímu heslu. Evan Knowles tvrdí, že u 1 116 hesel bylo jejich rozkódování naprosto triviální záležitostí.

„Celkově vzato, z těchto 1 116 hesel bylo jen 549 unikátních,“ upozorňuje. „Například devět hesel tvořilo jenom jedno písmeno a 53,1 procenta hesel selhalo ve standardním, opravdu základním testu. To znamená, že neobsahovali alespoň jedno číslo a při délce nejméně šesti znaků. Celkem 29,8 procenta hesel obsahovalo slovo „heslo“ a 628 hesel bylo ve formátu prostého textu,“ vypočítává Knowles.

O tom, že si jihoafričtí úředníci se zabezpečením svých pracovních počítačů nedělali příliš velkou hlavu, svědčí i fakt, že čtvrtina z nich zvolila za heslo své jméno. Nejméně bezpečná hesla získaná skupinou Anonymous zněla: password1, password01, password02, password2, password123, Admin # 11, Education2015, Password123, password03, a „heslo“. „Není to moc nápadité a dost stereotypní,“ poznamenal Evan Knowles na svém blogu.



Dvojklik