Kilka dni temu FBI zrobiło nalot na oddział DigitalOne w Virginii, szwajcarskiej firmy hostingowej. Celem miał być serwer zajmujący się dystrybucją m.in. malware’u, scareware’u i tym podobnych śmieci. FBI oprócz tego sprzętu, na który miał nakaz, również zaopatrzył się w kilka innych, do których nie miał żadnych praw. W sumie wypatroszyli trzy racki, czyli prawdopodobnie kilkadziesiąt fizycznych komputerów oraz ich osprzęt.
Sprawa jest o tyle interesująca, że wśród zabranego sprzętu, znajdował się backupowy serwer do Instapaper. Odpowiadał za prędkość działania całego serwisu i jego utrata nie odbiła się negatywnie na samych usługach. Jako, że nie był wymieniony na liście sprzętu, na który FBI miało nakaz, twórca Instapaper, Marco Arment, potraktował to jak zwykłą kradzież. Tak na prawdę do dzisiaj nie wiadomo czy FBI go rzeczywiście zabrało, ale komputer nie odpowiada od momentu ich akcji, a DigitalOne nie ma, rzekomo, dostępu do niego. Serwer był leasingowany, więc największą stratą dla Macro był poświęcony czas i część miesięcznych opłat, płatnych z góry.
Niestety, wraz z serwerem, FBI ma dostęp do pełnej bazy użytkowników serwisu Instapaper wraz z loginami, zaszyfrowanymi hasłami i nieskasowanymi bookmarkami. Wszystko co było umieszczone w liście ulubionych, zarchiwizowanych czy innych, własnych katalogach jest dostępne dla stróżów prawa najbardziej demokratycznego państwa na świecie. Z samymi hasłami nie jest źle — na serwerze były przetrzymywane tylko hashe SHA-1, ale adresy pocztowe nie były szyfrowane. Marco również stracił kod odpowiedzialny za stronę WWW … Najgorzej jednak mają użytkownicy Pinboarda, który przetrzymuje hasła jako tekst.
Pełny wywód Marco Armenta możecie przeczytać tutaj.
Stopień zmartwienia powyższą kradzieżą będzie zależał tylko i wyłącznie od tego jak bardzo ufamy FBI — osobiście naoglądałem się za dużo filmów, aby podchodzić do tematu bez stresu. Fakt, że nie korzystam z Pinboard, więc moje hasło jest bezpieczne, ale nie zmienia to faktu, że wszystko zaczyna się robić mocno kłopotliwe i coraz częściej zastanawiam się jak będzie wyglądała przyszłość jakiegokolwiek bezpieczeństwa w internecie. W tym roku mieliśmy już kilkanaście włamań do Sony, przy okazji było kilka afer z Citi, który stracił na rzecz inteligentniejszych kilkaset tysięcy numerów kart kredytowych, Segą i paroma innymi korporacjami. Sam mam system czterech poziomów haseł — te najważniejsze, do banków, itp. mam wyłącznie w głowie. Kolejne są ciągniem ciut mniej skomplikowanym, który jednak trzymam już w 1Password oraz dwa kolejne, coraz prostsze hasła, które wykorzystuję na różnych forach i stronach, do których nie mam za grosza zaufania. Jak tak dalej pójdzie to trzeba będzie porobić backupowe adresy emailowe oraz do każdej strony i każdego serwisu stosować unikalne hasło, najlepiej generowane przez automat.
Ta cała logistyka zaczyna powoli mnie przerażać …
Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.