Чуть позднее стали выяснятся интересные подробности, свидетельствующие о том, что отправной точкой для атаки на TV5Monde могло стать интервью с репортером Дэвидом Делосом, где невольно засветили по крайней мере один пароль компании в социальных сетях. Дело в том, что он был снят на фоне стола сотрудника бюро, который буквально утопал в стикерах с паролями к учетным записям канала в популярных социалках.Нападение на ресурсы TV5 Monde анонимные взломщики начали в среду вечером около 22:00 по Парижу(/23:00 мск), вскрыв защиту официального сайта телеканала и его страниц в социальных сетях. Ближе к полуночи было прервано и телевещание — канал пропал из эфира, вместо изображения на несколько часов на частотах TV5 Monde был черный экран без звука, изредка переключавшийся на заставку с логотипом канала.
Некоторое время в аккаунте TV5 Monde в Facebook можно было наблюдать фотографии людей в черной одежде и арабских платках с подписью «Киберхалифат» и «Я — ИГ». Среди сообщений были опубликованы угрозы в адрес французских военнослужащих, участвующих в операциях против исламистов в Африке и на Ближнем Востоке.
Как признал генеральный директор компании Ив Биго, в течение нескольких часов специалисты были «не в состоянии передавать сигнал ни по одному из каналов». «Постепенно мы начинаем восстанавливать вещание в ряде регионов, — сообщил он агентству France-Presse. — Наши системы крайне серьезно пострадали, речь идет об атаке невиданной мощности. На полное восстановление уйдут многие часы, если не дни». ТАСС
В сюжет попали имена пользователя и пароли для официальных аккаунтов Twitter и Instagram телеканала, но их было слишком трудно разобрать на записи в официальном архиве передач. Однако, на YouTube качество видео оказалось лучше, что, судя по всему, и позволило злоумышленникам подобрать верный пароль. Пользователь Twitter pent0thal подтвердил, что выведенный на экран пароль учетной записи был «lemotdepassedeyoutube», который можно перевести с французского как «пароль от YouTube».
Комментарии (104)
DarkVedmakl
11.04.2015 10:24+18С начала пытался ругать, когда сотрудники пароли хранили где то на стикерах, потом сделал проще — пусть хранят, но «шифруют» их там для себя. Метод шифрования подходил, если я не мог подобрать пароль имея стикер)
Pilat
11.04.2015 11:21+37Стикеры надо хранить под клавиатурой, мы всегда так делаем.
Mixim333
11.04.2015 13:45-27Серьезно? Блин, я один, видимо, такой, кто за пару минут может запомнить пароль, состоящий из «кракозябр», длинной в 7-10 символов? До сей поры помню свой логин\пароль от дуалапа, которым последний раз пользовался более 10 лет назад, помню логин\пароль от ADSL, которым последний раз пользовался лет 6-7 назад!
Думаю, что скорее всего «логины\пароли на доске, которые попали в интервью» — это «утка», с современными вычислительными мощностями ПК забрутфорсить пароль не так сложно, но все же тренируйте память и тогда не придется хранить стикеры под клавиатурой.Pilat
11.04.2015 15:57+6И сколькл паролей Вы вообще помните? Несколько сотен таких запомните?
DmitryAnatolich
11.04.2015 23:54+2На а какие проблемы-то?
ПарольОтГмэйла — GfhjkmJnUv'qkf[a@o]# modprobe petrosyan
ИпатьСложныйПарольОтХабраХабра — BgfnmCkj;ysqGfhjkmJn{f,hf{f,hf
Ну1ДалееВТакомЖеДухе — Ye1LfkttDNfrjv:tLe[t
Areso
12.04.2015 10:28+8Без клавиатуры с кириллицей набор такого пароля (с тач-смартфона) превращается в пытку…
GrigoryPerepechko
12.04.2015 11:16-1Угу, с телефона например.
hungry_ewok
14.04.2015 12:58А для телефона и прочих планшетов крайне рекомендую сразу же ставить Hacker's keyboard с 4pda. Именно на такой случай, у нее есть мод с двуязычной раскладкой.
A1lfeG
12.04.2015 11:55+2Мне мама сломала мозг придумав пароль от вайфая, как номер моего телефона наоборот. Для меня ввести его оказывается крайне сложно, а ей легко запоминается.
amarao
12.04.2015 12:27Интересно, а чем отличается пароль на стикере от пароля на аппаратном токене?
Кстати, хорошая идея. Keepass с аппаратной реализацией.
MiXaiL27
12.04.2015 14:14По мне так лучше на сертификатах с открытым и закрытым ключом работать.
amarao
12.04.2015 15:14Вы знаете, но нет. Если малваря на компьютере, то она спокойно подпишет себе всё, что нужно. В отличие от этого ручной перенос пароля из одного устройства в другое — совершенно неавтоматизируемая процедура и каждый пароль придётся тырить с большим оверхедом. И даже до идиота дойдёт, что если компьютер спрашивает все пароли по-очереди, то тут что-то не так.
А вот выписать себе сертификатов пока пользователь PIN на железке вводит (если там вообще есть PIN, а не просто кнопка «подписать») — как нефиг делать.
QtRoS
11.04.2015 11:43+8Вот она, квинтэссенция современной безопасности!
Это как пароль от почты вроде Xy17Hso938Hdnla, но с секретным вопросом про кошку =\
adic3x
11.04.2015 12:40+5К слову, я обычно делаю ответ на секретный вопрос аналогичный паролю, т. е. rsekt7b6aKYBwveriIA465wKjssdgd54 например (не те же самые символы, что и в пароле, но именно что-то сложное для взлома). Так вот, как-то надо было то-ли на mail.ru зарегистрироваться, или еще где-то в подобном месте, так вот, там было ограничение на ответ на секретный вопрос 10 символов, даже сам пароль мог быть длиннее.
lexore
12.04.2015 20:23+1Аналогично, я ещё и текст самих вопросов пишу в стиле qVdbR1d&#i0sUux0.
Это же секретный вопрос. Если вопрос известен, он перестает быть секретным :)
PapaBubaDiop
11.04.2015 11:46+6Все продвинутые перцы давно уже пишут на стикерах хеши паролей.
blueboar2
11.04.2015 11:53-3Зачем? Их там обычно пишут чтобы не забыть. Ну вот забыли вы пароль, и чего вы с хэшем сделаете?
PapaBubaDiop
11.04.2015 12:52+13Крутые перцы хеши всех своих паролей знают наизусть
MD5 («123456») = e10adc3949ba59abbe56e057f20f883e
MD5 («pupkin») = 5c18188325b1bc0e708c09086e5394c3
MD5 («pupkinpupkin») = c7788fbd3aef87b5893a5ddcf83b758a
blueboar2
11.04.2015 13:56-1Так если перцы хэши паролей знают наизусть, они и пароли очевидно знают наизусть? Зачем в таком случае вообще что-то печатать и считать?
PapaBubaDiop
11.04.2015 14:48+2так забываешь какой пароль к какому ресурсу, а таблицу умножения не забываешь никогда.
k1b0rg
11.04.2015 12:01+15Самый надежный способ бороться с таким непотребством как стикеры с паролям от аккаунтов ввести следующие правила:
1) отправь на мыло начальника пустое письмо со своим именем в теме письма с аккаунта другого сотрудника и получи премию;
2) сотрудник с чьего мыла отправили начальнику письмо с именем другого сотрудника — лишается премии;
Как рукой снимет.IncorrecTSW
11.04.2015 12:28+3Этот способ дурно влияет на отношения в коллективе.
Вышел человек по звонку не залочив комп и юркий сосед уже нагадил.adic3x
11.04.2015 12:42+27А какое он имеет право оставлять комп с рабочей информацией не заблокированным?
IncorrecTSW
11.04.2015 12:44+7Так то оно так. Но какое право сосед имеет лезть в чужой комп а посторонних на закрытой территории не бывает.
adic3x
11.04.2015 12:48+5Пожалуй, в некоторой степени правы и вы, к тому-же на столах могут быть рабочие бумажные документы, их что, тоже постоянно запирать в сейф? В любом случае, вопрос информационной безопасности — тема обширная, и человеческий фактор — один из основных ее разделов. Вариант, описанный выше — просто идея, как с этим можно работать.
Areso
11.04.2015 13:31+4Вы не поверите, но еще Жеглов делал такие приколы.
А есть один банк (с зеленым логотипом), так там норма. Выходишь — документы в сейф. Все в сейф. И блокировка системы. И начальники воруют документы у растяп-подчиненных, а потом имеют их во все возможности за профуканные документы.
k1b0rg
11.04.2015 13:07+7К сожалению бывает. Последняя авиакатастрофа в Альпах тому подтверждение: режимный объект (кабина самолета), два сотрудника, доверяющие друг другу, чем это закончилось всем понятно. Безопасность должна основываться на весьма ограниченном доверии. Насчет бумаг на столе, бумаги вынести сложнее чем флешку. Особо критичные бумаги хранят именно в сейфе.
rg_software
11.04.2015 20:12По-моему, довольно очевидным является соображение, что вся эта порнография с паролями попросту не работает. Когда один сайт требует не менее 10 символов, другой не более 9, третий хочет спецсимволы, четвёртый их не переваривает и так далее, то человеку ничего не остаётся делать, кроме как записывать туда, где никто ему таких ограничений ставить не будет.
У кого-то пароли на стикере, у кого-то три пароля на всё, у кого-то KeePass и куча других неудобств, и я вот, хоть и программист, тоже не могу придумать никакого хорошего решения. Да, давайте палкой бить, может, летать научатся.
Palomnik
12.04.2015 00:33В качестве некоего щадящего режима, можно придумать себе одну, сколь угодно сложную основу, которая по условиям будет подходить на большую часть обычных требований к паролю и добавлять к ней какой-то ваш способ идентификации сайта. Например:
Основа: V3b1n2
Пароль для хабра: habrV3b1n2
Пароль для фейсбука: faceV3b1n2
nochkin
12.04.2015 04:34+1Достаточно пару утекших баз с паролями и можно получить доступ ко всем остальным.
Palomnik
12.04.2015 11:12Для этого надо целенаправленно знать, к кому мы получаем доступ. А для целенаправленной атаки, ясно дело, этот способ не спасает, никто и не спорит. Как я и написал, это щадящий режим — который обеспечивает какую-то приемлемую защиту, но не заставляет пользователя взрывать мозг в попытке запомнить незапоминающееся.
rg_software
12.04.2015 07:04Я понимаю, что вы предлагаете решение для реального мира как он есть, но согласитесь, порочна сама идея того, что надо заставлять человека выдумывать какие-то безумные комбинации с ограничениями, а потом ещё наказывать за то, что не у всех это получается.
Palomnik
12.04.2015 11:11Увы, да. Альтернативы конечно есть, но они все имеют свои изъяны и пока ничего лучше паролей, не придумано. Ну или я (и большая часть народа) про это не знаю :) Но жить-то как-то надо, вот и крутимся
Areso
12.04.2015 10:23А потом внезапно найдется сайт/сервис, которому ваш пароль не понравится, и система начинает рушится как карточный домик.
Пример: ваша основа, ваши пароли для хабра и фейсбука, и тут вы регаетесь, предположим, на гмыле, и там, внезапно, просят спецсимвол. Приплыли. Со временем таких сайтов-исключений становится всё больше. Одному не нравится, что ваш пароль уже был (внезапно), другому, что там есть "(хоть и требуют спецсимвол), третьему еще что-то.Palomnik
12.04.2015 11:09Честно говоря, я этой системой пользуюсь последние пять лет (за исключением сервисов связанных с деньгами) и ни разу мне такого не попадалось.
toxicdream
12.04.2015 12:02Мне вот попадается регулярно.
Забил на запоминание паролей, голова не резиновая все запоминать.
Как забыл, так делаю восстановление с высылкой «инструкции» на почту.Areso
12.04.2015 18:53Обидно, но далеко не везде восстановление пароля — работает. В одном малобюджетном интернет-магазине игр, восстановление пароля оказалось сломано, и на запрос «что делать и когда заработает восстановление пароля» мне не ответили. Прошло около двух месяцев, прежде чем я снова смог залогиниться на том сервисе путем высылки «инструкций» на почту.
lexore
12.04.2015 20:27у кого-то KeePass и куча других неудобств
Неудобства не уменьшают безопасность.
Это из оперы «шашечки или ехать».
xHR
14.04.2015 14:57Особенно глупо выглядят все эти ограничения, когда знаешь, что хранится все равно хеш, длина у которого одинакова, блин.
stansult
13.04.2015 09:32у нас добрее немного :)
никакой премии, конечно, не лишают
но зато если увидел у кого-то открытый комп ? грех не послать приглашение всему зданию приходить за халявными пончиками :)
ну или ещё что-то такое прикольное
MichaelBorisov
11.04.2015 12:42+3А уж какие возможности дают методы Super-resolution! Даже если стикер с паролем так попал в кадр, что ничего разобрать вроде бы невозможно — информацию из нескольких кадров можно особым образом совместить и получить изображение с более высоким разрешением.
barabanus
11.04.2015 20:17Как раз недавно читал, что отношение сигнал-шум при этом увеличивается как корень из количества совмещаемых кадров. Иными словами, снять и совместить текущей матрицей 100 кадров будет аналогично снятию одного кадра с матрицей, имеющей в 10 раз лучшие характеристики.
DancingOnWater
11.04.2015 21:14Это только в том случае, если шум имеет нормальное распределение. В данном случае мы натыкаемся на законы оптики и дискртизации.
danfe
11.04.2015 15:54+5Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:
Одновременно, в один и тот же момент, погасли все экраны TV5, прекратилось вещание, просто черный экран, что называется, все 11 телеканалов выключились. Одновременно был перехвачен контроль злоумышленниками над сайтом TV5, [...] Одновременно был перехвачен контроль над аккаунтами TV5 в Фейсбуке, в Твиттере и в других социальных сетях. Все это произошло в одну секунду, все это потом продолжалось почти сутки.
Если это всё так (а у меня нет причин не верить Сергею), то одними бумажками с паролями от соцсетей тут явно не обошлось; интересны остальные подробности атаки, в частности, как именно злоумышленники получили управление телеэфиром?
Akr0n Автор
11.04.2015 16:02Ну, теоретически в личках социалок могла быть критичная переписка. Да и затроянить внутреннюю сеть компании через их же собственные аккаунты легче — сотрудники ткнут в любую присланную фишинговую ссылку.
teremock
11.04.2015 19:44-7> Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:…
>… Если это всё так (а у меня нет причин не верить Сергею)…
Верить Эйхе Мацы… это мягко говоря признак незрелости или хуже — признак низкого интеллекта…
Пора взрослеть пока не поздно.
spc
11.04.2015 23:07Если бы они (те, кто предполагается захватил эккаунты) получили управление эфиром, на экранах появились бы неприятные бородатые типы в простынях и с калашами. Я за то, что руководство канала запаниковало и на всякий случай повелело отключить трансляцию.
danfe
12.04.2015 10:21Добровольное отключение «на всякий случай» плохо соотносится с этой фразой: Как признал генеральный директор компании Ив Биго, в течение нескольких часов специалисты были «не в состоянии передавать сигнал ни по одному из каналов».
spc
12.04.2015 23:05Но точно так же с трудом верится, что те чуваки упустили бы такой замечательный шанс попасть на ТВ.
mlg
12.04.2015 00:02«A trust is its weakest point,» said Jeff Peters.…
… The only way to break up a trust is from the inside.…
ncix
11.04.2015 17:25Я конечно согласен, что хранить на общедоступных стикерах, да еще и показывать в интервью — это идиотский поступок. Но тем не менее, проблема хранения паролей все еще качественно не решена. Кто-то запоминает, кто-то делает везде одинаковые, кто-то записывает, но все это неудобно. А если в прфессиональных целях регулярно нужны десятки паролей (как в сабже)?
Мне кажется это потенциальная ниша для инноваций.k1b0rg
11.04.2015 17:45+5Уже есть решение — менеджер паролей. Храню пароли в Keepass все пароли не менее 16 символов, ни один не повторяется, запоминать надо всего один стойкий пароль от контейнера с паролями. Недостаток всего 1 без контейнера не залогинишься нигде, т.к. ни один пароль не помню, но это решается через дропбокс на всех устройствах, а телефон всегда со мной.
isden
11.04.2015 19:05У вашей схемы есть еще один недостаток. Вернее два.
1. Потеряется / сломается телефон — и все.
2. Навернется файл в дропбоксе (подобное уже было, дропбокс, к слову, ничего не гарантирует, см. EULA/ToS) / не будет доступа к файлам (по разным причинам) — тоже все.
Я по этой причине храню копии важных данных еще и в AWS S3 и на двух локальных накопителях.DancingOnWater
11.04.2015 20:08lastpass?
isden
11.04.2015 20:13+1Я, конечно, тот еще параноик, но хранить пароли на третьестороннем сервисе, это как-то уж слишком.
Шифрованные базы keepass/1password в дропбоксе (а в идеале еще и в шифрованном контейнере) еще ладно, но вот так…
bubuq
11.04.2015 23:15Расскажите прямо сейчас, чем шифрованная база в дропбоксе отличается от шифрованных паролей в ластпассе, в смысле паранойи.
isden
11.04.2015 23:17+4Да легко. В дропбоксе лежит контейнер, который я сам зашифровал как мне нужно и туда положил. А в ластпассе я хрен его знает как они там хранят базу и кто имеет к ней доступ.
rhamdeew
12.04.2015 00:42+1Зашифрованная БД Keepass хранится в зашифрованном контейнере который синхронизируется с Dropbox. Такой вариант явно надежнее чем сторонний lastpass.
bubuq
12.04.2015 03:06Не вижу разницы. Ластпасс хранит базу, зашифрованную вашим мастер-паролём, который никогда не передаётся. «Как нужно» вам может и правильно, а может и нет. Я вот, к примеру, не считаю себя криптографически более образованным, чем специализированная фирма вроде Ластпасс, и если они говорят AES-256 плюс PBKDF2 это хорошо, то я склонен им верить больше, чем себе, ибо как я бы хотел заниматься тем, чем я хочу заниматься, а не думать о шифровании.
И это не говоря о том, что дропбоксный контейнер явно получше экспонирован пытливому взору, чем ластпассная база, которая в теории доступна только сотрудникам. А дропбокс на вашем диске, а может и не одном хосте ещё.
engine9
11.04.2015 22:49Потеряется телефон — останется на локальной машине(нах).
Idot
12.04.2015 06:54Теперь, я понял историю с anekdot.ru, о том как телефон уронили в дырку общественного сортира…
Idot
12.04.2015 08:36Идея хранения паролей на телефоне, навела меня на мысль, что нужно отдельное устройство хранения, вроде когда-то популярных Электронных Записных Книжек, постоянное находящееся в OFF-Line, что исключило бы вероятность взлома через Wi-Fi, java в браузере телефона и тому подобное — чтобы к устройству было бы физически невозможно подключиться без желания владельца. А на случай крайней надобности можно и USB-порт иметь. Само же электронная записная книжка для паролей, помимо ввода паролей, должно иметь и биометрическую аутентификацию, на случай случайной потери (от преднамеренного похищения записной книжки и отпечатка — конечно это не спасёт, но если случайно потерять...). На случай потери, так же должно иметься отдельное подключаемое напрямую через USB мини-устройство для бэк-апа, которое надлежит хранить отдельно в надёжном сейфе.
Pilat
12.04.2015 10:13>Храню пароли в Keepass все пароли не менее 16 символов
Я так тоже однажды придумал. А потом потребовалось ввести такой пароль с телефона. В таймаут сервиса не уложился.
MiXaiL27
12.04.2015 05:11Вот как-то не ожидаешь на хабре таких формулировок: кто-то воспользовался паролями из открытого источника и это, блин, взлом! Что ломали — пиксели в Youtube? Ладно там на ленте, если так напишут, но здесь-то можно различать такие понятия.
Quber
12.04.2015 08:14+2Помню свой первый пароль в далёком прошлом (да да это была почта на mail.ru). Это казалось каким то таинственным и загадочным. Сразу представил себя агентом спецслужб. Круто, подумал я. Ведь теперь у меня есть свой пароль, который я никому не должен говорить и это должна быть моя тайна, которую я должен хранить. Сейчас это не кажется таким крутым:) Теперь я использую менеджер паролей для запоминая логинов и паролей от сотни сайтов, сервисов и админок с такими цифрами и буквами что запомнить их все для меня невозможно :)
Sqwony
12.04.2015 19:47Сколько было утечек с этими паролями, то человек уволился и забрал все пароли, то чья-нибудь подруга увидела и передала куда не надо. Ну смешно уже. Серьезные компании. А со стороны популярных сервисов twitter, youtube и тд. — ну сделали бы для корпоративных клиентов авторизацию по токену + логин/пароль + одноразовая смс, согласен это не панацея, но хотя бы от таких курьезов избавила бы мир.
chegor
14.04.2015 10:59Не совсем улавливаю каким образом имея пароль к аккам в соц. сетях ( и даже допустим, к оф. сайту) можно было взломать систему трансляций.
Какая-то криворукая система у них там в этом случае.
sigmatik
Пароли на стикерах это как иконки в автомобиле: безопасность конечно не безупречная, но она ведь есть!
TimsTims
Расшифруйте про иконки плз, не понял)
ProRunner
Иконки буквальные
sigmatik
Смысл в том что каким бы сложным и длинным не был бы пароль, он не имеет абсолютно никакого смысла, так как хранится в открытом виде на стикерах. Так же с иконками в автомобиле: существует определенная категория людей, которые считают, что можно обвешать ими весь салон и полностью наплевать как на элементарные правила безопасности ( ремень ) так и на пдд в целом ( скорость и т.п. )
amarao
Надо выпускать специальные иконки для наклейки на ремни безопасности. Икона спасает при аварии только если тесно прижата к телу посредством специальных ремней для крепления иконы к телу.
Вот тогда они начнут спасать жизни.
lamoss
Можно пропустить ремень за спиной и прижаться к нему крепко.
Что говорите? Обязательно к груди? Это маркетинговый ход
и обман чтобы набрать классы.il--ya
Нательный ремень безопасности.
Для патриотов — в цветах георгиевской ленты! Кто не пристегнулся — тот хохол!!!
shock_one
— У нас дыра в безопасности.
— Ну хоть что-то у нас в безопасности.