Společnost Hacking Team byla sama hacknuta, šmírovací software má i Policie ČR
8.7.2015, Milan Šurkala, aktualita
Společnost Hacking Team nabízela šmírovací software vládám, ale patrně i různým represivním režimům. Tato firma byla ale sama díky nedostatečné bezpečnosti hacknuta a mnoha dat bylo vyzrazeno. Vypadá to, že mezi klienty byla i Policie ČR.
Zprávy o hacknutí různých organizací jsou dnes v podstatě běžné. Měli jsme tu několik pojišťoven, velký útok na americkou vládu, podstatně zajímavější jsou ale útoky na společnosti, které se samy zabývají bezpečností. To potkalo v minulém roce např. společnost Avast (tam šlo jen o diskuzní fórum) nebo v nedávné době manažera hesel LastPass. Nyní byla hacknuta italská společnost Hacking Team, která stojí za tvorbou softwaru Da Vinci a postupně se vyvinula z malého projektu šmírovacího softwaru Ettercap z roku 2001. Od prvních zákazníků v podobě milánské policie se společnost rozrůstala a vznikl ve výsledku velký projekt, který za miliony korun používá celý svět. Da Vinci umožňuje policejním složkám monitorovat telefonní hovory, e-maily, hovory Skype, údajně umí zapnout i mikrofon nebo webkameru.
O to větší ostuda je, že tato společnost se 40 zaměstnanci byla sama napadnuta hackery a navíc se ukázalo, že sami zaměstnanci měli tak učebnicově slabá hesla, že je to pro ně až vyloženě trapné (např. "Passw0rd"). Bezpečnostní inženýr Christian Pozzi měl mít takto slabá hesla dokonce uložená v textovém souboru. To ukázala uniklá data, která se objevila na torrentech a hacknutý účet na Twitteru. Celkově šlo o 400 GB dat obsahujících zdrojové kódy, interní data, záznamy komunikace a další. Přestože to společnost popírala, uniklá data (pokud jsou skutečně pravá) naznačují, že mezi klienty firmy nebyly jen policejní složky jednotlivých států, ale také různé represivní režimy (Súdán, Etiopie a další) nebo soukromé organizace používající software pro průmyslovou špionáž.
V seznamu se dokonce objevila i Policie ČR (přesněji řečeno položka UCZ Cezch Police s překlepem(?)). Ta skutečně potvrdila, že používá šmírovací software, nicméně přímo nepotvrdila, že by se jednalo právě o software společnosti Hacking Team. Tento software měla pro české bezpečnostní útvary nakupovat společnost Bull, s.r.o. Společnost Hacking Team (nyní hackery přejmenovaná jako "Hacked Team") doporučila všem svým zákazníkům přestat používat jejich software. Ten totiž obsahuje zadní vrátka (backdoor), která se mohou stát v rukou hackerů hackerů velmi nebezpečným nástrojem. To, že šmírování PC může být překvapivě levnou a snadnou záležitostí, jsme ukázali i v našem cyklu Agentem 007 snadno a rychle.
Zdroj: theverge.com, cnet.com, theguardian.com
O to větší ostuda je, že tato společnost se 40 zaměstnanci byla sama napadnuta hackery a navíc se ukázalo, že sami zaměstnanci měli tak učebnicově slabá hesla, že je to pro ně až vyloženě trapné (např. "Passw0rd"). Bezpečnostní inženýr Christian Pozzi měl mít takto slabá hesla dokonce uložená v textovém souboru. To ukázala uniklá data, která se objevila na torrentech a hacknutý účet na Twitteru. Celkově šlo o 400 GB dat obsahujících zdrojové kódy, interní data, záznamy komunikace a další. Přestože to společnost popírala, uniklá data (pokud jsou skutečně pravá) naznačují, že mezi klienty firmy nebyly jen policejní složky jednotlivých států, ale také různé represivní režimy (Súdán, Etiopie a další) nebo soukromé organizace používající software pro průmyslovou špionáž.
V seznamu se dokonce objevila i Policie ČR (přesněji řečeno položka UCZ Cezch Police s překlepem(?)). Ta skutečně potvrdila, že používá šmírovací software, nicméně přímo nepotvrdila, že by se jednalo právě o software společnosti Hacking Team. Tento software měla pro české bezpečnostní útvary nakupovat společnost Bull, s.r.o. Společnost Hacking Team (nyní hackery přejmenovaná jako "Hacked Team") doporučila všem svým zákazníkům přestat používat jejich software. Ten totiž obsahuje zadní vrátka (backdoor), která se mohou stát v rukou hackerů hackerů velmi nebezpečným nástrojem. To, že šmírování PC může být překvapivě levnou a snadnou záležitostí, jsme ukázali i v našem cyklu Agentem 007 snadno a rychle.
Zdroj: theverge.com, cnet.com, theguardian.com
