W dzisiejszym odcinku Wpadki Tygodnia pokażemy, dlaczego trzeba wymuszać zmianę domyślnych haseł oraz jak wszechobecna komputeryzacja zmienia życie w małych amerykańskich miasteczkach. Będzie alarm przed atakiem tornado i dużo fajerwerków w bardzo krótkim czasie!
Jeszcze całkiem niedawno wiele firm dawało swoim klientom domyślne hasła dostępu do zasobów. Dobrym zwyczajem było i nadal jest zmuszanie użytkowników do zmiany domyślnego hasła przy pierwszym logowaniu. Jak może się kończyć brak takiego wymogu?
Powody przyznania nagrody
Kilka dni temu jeden z czytelników poinformował holenderski serwis Webwereld o problemie z hasłami dostępu do panelu klienta biznesowego największej firmy telekomunikacyjnej w Holandii, KPN (w lutym opisywaliśmy włamanie, którego KPN padł ofiarą). Okazało się, że ze 180 tysięcy kont klientów korzystających z biznesowej usługi ADSL, bez większych problemów można było zalogować się na 140 tysięcy.
Jakie błędy popełniła firma? Po pierwsze, nazwa konta utworzona była na podstawie kodu pocztowego i numeru ulicy siedziby firmy. Po drugie, ze względu na zarządzanie adresacją, wszystkich klientów biznesowych można było znaleźć w bazie RIPE. A po trzecie, 120 tysięcy kont miało hasło „welkom1”, „welkom01” lub „welkom001”. Dodatkowo 20 tysięcy klientów miało hasło identyczne jak login. Wśród firm, które nie pofatygowały się zmienić domyślnego hasła nadanego przez dostawcę było np. Sony.
Jakie istniało ryzyko? Dostęp do panelu klienta biznesowego pozwalał zmienić kontaktowy adres email, prędkość połączenia, odłączyć lub zamówić nowe usługi czy zmienić nr konta bankowego. KPN zamknęło dostęp do serwisu, zresetowało hasła i rozesłało swoim abonentom instrukcje, jak ustawić nowe hasło. Lepiej późno, niż wcale.
Konkurencja
W tym tygodniu konkurencja ma formę zbiorową i jest nią wpływ komputeryzacji na życie małych amerykańskich miasteczek. No dobrze, San Diego nie jest takim małym miasteczkiem, skoro stać je było na wydanie 300 tysięcy dolarów na zorganizowanie jednego z największych tegorocznych pokazów sztucznych ogni z okazji Święta Niepodległości. Problem polega jednak na tym, że zamiast trwać zaplanowane 15 minut, pokaz odbył się w ciągu 10 sekund. Błąd komputera spowodował odpalenie naraz wszystkich sztucznych ogni, tworząc spektakularne, choć krótkotrwałe, białe kule ognia. Tak wyglądało to z daleka.
A tak wyglądało z bliska.
Drugim ciekawym przykładem ingerencji komputerów (z małą pomocą ludzi) w życie obywateli są miasteczka Evanston oraz Lemont w stanie Illinois. Jak wiele miasteczek w USA, wyposażone są one w syreny alarmowe, które mają ostrzegać przed nadchodzącym tornado lub wojną nuklearną. W obu tych miasteczkach kilka dni temu syreny zawyły bez wyraźnego powodu. Jedno z miast ciągle prowadzi śledztwo w tej sprawie i odmawia komentarza, przedstawiciele drugiego byli bardziej rozmowni i poinformowali, że 30 minut wycia syren nie było sprawką nikogo z centrali obsługi, a tajemniczy nadawca sygnału musiał użyć odpowiedniego nadajnika i kodu transmisji, by uruchomić system. Cóż, dobrze, że syreny nie były sprzężone z wysłaniem rakiet balistycznych w stronę Rosji.
