Nova vs. Seznam - druhé kolo

Případ Nova vs. Seznam momentálně čeří jinak poměrně klidné internetové hladiny u nás. O detailech případu jste se mohli dočíst skoro všude. Jak to tedy pravděpodobně celé bylo a co oznámil Seznam na včerejší mimořádné tiskové konferenci?
Nova vs. Seznam - druhé kolo

Malá rekapitulace

Nejprve rekapitulace celého případu. Mediálně vše začalo v pátek v hlavních večerních zprávách na Nově. Hned první zprávou (archiv TV Nova) Nova upozorňuje v reportáži diváky, že: "Jeden z největších správců elektronické pošty, portál Seznam.cz, se stal terčem počítačového útoku. Dosud neznámý pirát vykradl část jeho databáze a na Internetu zveřejnil uživatelská jména a hesla několika desítek lidí, kteří mají na Seznamu svou schránku."

Vše je doplněno příběhem paní Štěpánky, které se "objevil odkaz" a po načtení stránky pak uviděla seznam, ve kterém figurovalo její uživatelské jméno a heslo ke schránce na Seznamu. Všemu ještě nasadil korunu redaktor Martin Krpač hesly typu "Vaše emailová schránka i s přístupovým heslem volně na Internetu? Žádný problém, tvrdí odborníci".

Nemá smysl danou reportáž dále rozebírat, každý si ji ostatně může prohlédnout sám. V reportáži samotné se o technické podstatě údajného útoku nic nehovoří ani náznakem, pouze jeden "internetový odborník" z reportáže tvrdí, že to dokáže i školák (a ve své podstatě má pravdu, viz dále, i když Nova jeho tvrzení zřejmě zamýšlela ve zcela jiném významu). I ze zveřejněných záběrů, kde je vidět onen výpis adres a hesel, se ale podle IP adres dalo odhadnout, že se pravděpodobně jednalo o klasický případ sniffingu na lokální síti. Něco podobného by s příslušným programem, kterých lze z Internetu stáhnout plno, zvládnul opravdu i školák a v tomto ohledu měl zmiňovaný odborník pravdu. Nijak to ovšem nesouvisí se Seznamem, tím méně se pak jedná o útok na jeho databázi.

Program pro odposlech v lokální síti monitoruje (odposlouchává) provoz a z dat, která takto nashromáždí, je pak možné poměrně snadno odfiltrovat přístupová jména a hesla k libovolným (nešifrovaným) internetovým službám (tedy nejen k Seznamu). Týká se to lokálních sítí, které používají místo switchů levnější huby. Většina pokročilejších uživatelů Internetu, resp. těch, kteří jsou obeznámeni s principy fungování sítí, tohle ví a proto se také doporučuje, pokud to služba umožňuje, využít zabezpečeného šifrovaného SSL připojení, které nabízí i Seznam. Možná je chyba, že jej málo propaguje.

Velmi záhy se na několika blozích a diskusních fórech objevily další přesnější informace o případu a dokonce i fotografie nešťastníka, který se stal díky Nově slavným. Opravdu se jednalo o odposlech na lokální síti jedné školy a uživatel s přezdívkou Modrák pak zveřejnil odchycené údaje svých spolužáků na Internetu. Více se o něm můžete dočíst na tomto blogu, další komentáře pak můžete najít například na blozích zde a zde.

Modrák sám pak o případu celkem otevřeně hovoří na diskusních fórech UPC, svůj čin nijak netají a celou akci provedl již více než před rokem. Opis Modrákova příspěvku z diskusního fóra pak Seznam poskytl novinářům na včerejší tiskové konferenci. Pokud budeme věřit jeho autenticitě a uživatel, který se v diskusi jako Modrák podepsal je skutečně on, vyplývá z textu mimo jiné to, že rozhovor Novy s postiženou uživatelkou Seznamu byl pravděpodobně zfalšován, neboť příslušná skutečná uživatelka (kamarádka Modráka) se s Novou odmítla bavit. Toto už je však spíše spekulace a se samotnou technickou stránkou věci, která nás zajímá nejvíce, příliš nesouvisí.

V páteční reportáži Novy pak zaznělo i podezření, že chtěl někdo získaná hesla zneužít pro přístup k internetovému bankovnictví. Opět se však vnucuje otázka, jak moc je toto podezření pravděpodobné, pokud postiženými uživateli jsou spolužáci Modráka, tj. školáci, kteří dost těžko nějaký účet u banky vůbec mají. Kolegové však přesto ve včerejším článku narazili na zajímavé stopy, které leccos naznačují. I toto jsou však jen spekulace, vzhledem k tomu, že původní obsah stránek se seznamem je již odstraněn, a znovu nutno dodat, že ať už Modrák či kdokoliv jiný se získanými hesly prováděl cokoliv, nic to nemění na podstatě věci a sice že o žádný počítačový útok na Seznam nešlo a databáze vykradena nebyla.

Boj však pokračuje dál. V neděli večer totiž Nova odvysílala další reportáž, ve které informuje jednak o tom, že se Seznam ohradil vůči podezření z vykradení databáze. Zároveň ovšem tvrdí, že se jí ozvalo několik dalších uživatelů, kteří svá jména a hesla na Internetu rovněž našla. V reportáži je pak zmíněno i to, že k získání hesel došlo dle verze Seznamu odposlechem lokální sítě. Nova se však hájí tím, že v pátek tisková mluvčí Seznamu nic podobného neříkala a před uzávěrkou nedělního pořadu nebyla tisková mluvčí Seznamu údajně k zastižení.

Seznam reaguje

Na celou kauzu reagoval Seznam mimo jiné příspěvky na blogu Ivo Lukačoviče (první a druhý) a také rozesláním vysvětlujícího e-mailu všem uživatelům.

Včera pak proběhla narychlo svolaná tisková konference. Průběh byl poměrně očekávatelný, rychlý, přímočarý a s jasným závěrem. Ivo Lukačovič krátce zrekapituloval, co se vlastně přihodilo a proč považuje Seznam celou reportáž za lživou. Skutečný počet výše popsaným způsobem získaných hesel je dle Seznamu jen 8. Nova hovoří o desítkách, v reportáži pak rovněž ukazuje, že seznam je poměrně dlouhý. V seznamu sice skutečně existuje daleko více záznamů, ale z kopie, kterou máme k dispozici plyne, že se jednotlivá jména a hesla opakují. Záznamů tedy možná je několik desítek, unikátních jmen a hesel je však zmiňovaných 8. Během odposlechu sítě zkrátka sniffer zachytil jednotlivá jména a hesla několikrát.

Je však nutno poznamenat, že podobnou věc, kterou učinil Modrák, mohl v jiné škole či firmě udělat i někdo jiný. Takových seznamů pak může existovat více a do Novy mohou volat další a další poškození uživatelé. Tím nechci vzbuzovat další vlnu paniky, ale takových případů může být skutečně více. Nesouvisí však pochopitelně se Seznamem jako takovým ani s tímto konkrétním případem.

Tisková konference pak měla jasný závěr. Seznam žaluje Novu. Přesný právní postup samozřejmě nebyl odkryt a ani případná částka odškodnění nebyla uvedena, protože ji musí určit znalec. Mohou to být desítky až stovky milionů, protože značka Seznam je podle Lukačoviče velmi cenná. Dokud se spor nevyřeší, nebude si také Seznam u Novy platit reklamní spoty.

Na úplný závěr ještě čistě technická informace. Možnost zabezpečení připojení pomocí SSL na Seznamu existuje, nicméně uživatel musí tuto volbu při přihlašování zapnout. Jako řešení případných podobných problému do budoucna se tak nabízí zapnout implicitně šifrování vždy. Tak jednoduché to ovšem není, šifrování poněkud více zatěžuje procesor, takže ne pro všechny uživatele je dle Seznamu tento způsob vhodný. Proto se Seznam rozhodl, že během dnů až týdnů upraví přihlašování tak, aby měl uživatel jednak možnost zapnout SSL pro celou dobu komunikace jako dosud, ale zároveň i původní "obyčejné" přihlášení bude při odesílání jména a hesla šifrováno. Další komunikace už pak ale bude probíhat nešifrovaně.

Celá kauza pravděpodobně zdaleka nekončí a lze očekávat tahanice a nebo možná i další televizní reportáže. O případných dalších zvratech v tomto sporu vás budeme samozřejmě informovat.

Diskuze (124) Další článek: Dnes začíná šestý ročník konference LinuxExpo

Témata článku: Video, Popsaný způsob, Klasický případ, Kamarádka, Pace, Neznámý pirát, Včerejší vlna, Seznam, Lokální síť, Celá síť, Přesná částka, Jasný závěr, Skutečný počet, Přihlašování, Uživatelka, Diskusní pořad, Celý internet, Cenná koruna, Nova, Druh, Kolo, Tisková mluvčí


Určitě si přečtěte

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

** Představte si svobodné Windows. Bláznivá vize? ** Vývojáři je přitom začali psát už před více než dvaceti lety ** Jmenují se ReactOS a spustíte na nich i Total Commander

Jakub Čížek | 52

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

** Loni ajťáky vystrašilo přetečení GPS čítače týdnů ** Nemělo se stát vůbec nic, ale svět opět nebyl připravený ** Za 18 let nás ale čeká ještě něco mnohem většího

Jakub Čížek | 68

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

Proč teď nedává smysl kupovat notebook a kdy přijde ten správný čas

** Během pár týdnů přijdou na trh výkonnější notebooky ** Čím dražší notebook vybíráte, tím víc se vám změní nabídka ** Také lehké notebooky budou téměř herní

Tomáš Holčík | 52

Pojďme programovat elektroniku: Co se skrývá uvnitř běžné SD karty a jak ji oživit

Pojďme programovat elektroniku: Co se skrývá uvnitř běžné SD karty a jak ji oživit

** Máme ji v mobilech a fotoaparátech ** SD karta je dnes už standard ** A proto ji zkusíme připojit i k Arduinu

Jakub Čížek | 20

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 46

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor