Tietoturva ja h4x0r

[Mika]

Myös tästä tykkään.

Pohjois-Korea julkaisi Facebookin kaltaisen yhteisöpalvelun, jonka tietoturva murtui muutamassa tunnissa julkaisusta.

Pohjois-Koreassa julkaistiin perjantaina Facebook-klooni. Palvelu on kaikille avoin, maasta ja hallinnon metodeista riippumatta. Näkyvyyden kääntöpuolena on se nopeus, miten vikkelästi sivusto kerää huomiota. Tässä tapauksessa huomio ei ollut tervetullutta, sillä sen seurauksena Facebook-kopio murrettiin naurettavan nopeasti.

Klooni pohjaa perusmallin phpDolphiniin, jota käytetään nimenomaan Facebook-tyyliseen viestintään, esimerkiksi yhtiöiden sisäisessä kommunikaatiossa. Kuka tahansa kloonin pystyttikään ei kuitenkaan vaihtanut sen käyttäjätunnuksia vaan jätti ne oletusasetuksille.

Näin ollen Pohjois-Korean oma Facebook hakkeroitiin tunneissa käynnistymisen jälkeen, eikä siihen vaadittu kuin käyttäjänimi ”admin” ja salasana ”password”.

Hakkeri on 18-vuotias skotlantilaisopiskelija Andrew McKean, joka huvikseen kokeili menisivätkö tunnukset läpi, ja meniväthän ne.

Hänellä ei ole sivuston suhteen suuria suunnitelmia, mutta Vicen mukaan nuorukainen aikoo ehkä ohjata liikenteen Pohjois-Koreaa kritisoiville sivuille.

Opiskelija kokeili huvikseen – "Password"-salasana mursi Pohjois-Korean Facebookin - T&T
http://www.tekniikkatalous.fi/tekniikka ... in-6555252" onclick="window.open(this.href);return false;

[Mika]

Aika järjestelmällistä toimintaa tämä tuntuisi olevan. Venäjän valtio taatusti tukee tätä, minkä voi havaita siitä, että nimenomaan demokraattien sivuille on tunkeudettu. Venäjällehän olisi eduksi, jos republikaaniehdokas Donald Trump valittaisiin presidentiksi. On se kovaa peliä.

Yhdysvaltain liittovaltion poliisi FBI tutkii amerikkalaisiin mediataloihin tehtyjä verkkohyökkäyksiä, joiden epäillään olevan venäläishakkerien tekosia.

CNN:n mukaan tietomurron kohteeksi on joutunut muun muassa arvostettu New York Times.

FBI:n tietojen mukaan tunkeutumiset kuuluvat osana laajempaan verkkohyökkäysten sarjaan, jonka kohteena ovat olleet muun muassa demokraattien puolue-elimet.

CNN:n mukaan hakkerien tähtäimessä ovat myös Washingtonin lukuisat ajatushautomot, joiden palveluksessa työskentelee usein kansalliseen turvallisuuteen perehtyneitä entisiä hallituksen palkollisia.

Yhdysvalloissa on paljastunut koko joukko tietovuotoja. Jopa maan korkeimman verkkovakoiluyksikön NSA:n koodeja on kadonnut teille tietymättömille.

[Mika]

Nousee laiton lataaminen vähän uudelle tasolle, kun tämä suomalaistaustainen Dotcom pääsee telkkariin puolustamaan itseään.

Uusiseelantilainen tuomari antoi tiistaina Internet-yrittäjä Kim Dotcomille luvan lähettää valituskäsittelystään videokuvaa internetissä. Dotcom on valittanut oikeuden päätöksestä luovuttaa hänet Yhdysvaltoihin, missä häntä syytetään muun muassa verkkopiratismista.

Valituskäsittelystä tulee Uuden-Seelannin ensimmäinen oikeudenkäynti, jota voi seurata verkossa. Dotcomin asianajajan mukaan oikeudenkäyntiä näytetään YouTubessa keskiviikosta alkaen.

Lisätietoa Kim Dotcomista

[Mika]

20 vuoden tuomio istuu oikeustajuuni, kun kyse kuitenkin on tappamisesta innostuneesta ryhmittymästä.

Kosovolaiselle hakkerille Ardit Ferizille, 20, langetettiin ankara vankeustuomio perjantaina, Ars Technica kertoo [lähde].

Feriz myönsi murtautuneensa tietokoneille, joista oli saanut tietoa Yhdysvaltain armeijaan kuuluvista henkilöistä.

Hän toimitti varastetut dokumenttinsa eteenpäin Isis-hakkeri Junaid Hussainille. Dokumentteja voisi käyttää esimerkiksi tappolistana.

[Mika]

Tämä saattaa sitten koskea jo potkulaisiakin...

Yahoo-tietomurto on osoittautunut kuviteltuakin suuremmaksi. Elokuussa ilmi tulleen tietomurron arvioitiin koskettaneen 200 miljoonaa käyttäjää, mutta Yahoo vahvistaa nyt ainakin 500 miljoonan käyttäjän tietojen vuotaneen yhtiön palvelimilta.

lähde

Sitten on kyllä melkoinen sattuma, että juuri tuon jälkeen Yahoo on muuttanut teknologiaansa.

Lehden mukaan useat käyttäjät ovat valittaneet, että sähköpostien ohjaaminen on kytketty pois päältä alkukuusta. Kyseinen ominaisuus on aiemmin löytynyt palvelusta, ja sitä aiemmin käyttäneet käyttäjät ovat edelleen uudelleenohjattuna, mutta skandaalien jälkeen ominaisuutta kaipaavat eivät ominaisuutta pääse käyttämään.

Yahoon tukisivuston mukaan ominaisuus on poistettu käytöstä uudistusten takia. Ajankohta kuitenkin herättää kysymyksiä, jonka lisäksi ominaisuuden parannukset on outo syy, koska se toimii ominaisuuden aiemmin kytkeneille varsin oivallisesti. Lisäksi kyse on niin yksinkertaisesta ominaisuudesta, että sen muuttaminen on vähintäänkin hieman erikoista.

lähde

Jaha, täytyykin vissiin ottat hatkat Yahoosta ihan periaatteestakin...

[Mika]

Parhaillaan on meneillään aika vakava hyökkäys.

A massive distributed denial-of-service attack has taken down the servers of Dyn, a company that provides domain name services that route a request for a domain name to the appropriate server.

Dyn provides routable addresses to major sites and services such as Twitter, Spotify, Etsy, and GitHub, rendering large swaths of the internet inaccessible to web browsers.

[Mika]

Niin tein, eli sinne jäi Yahoo.

Salasanoista opin tänään parilta potkulaiselta ihan uutta. Monet nettisivuthan vaativat, että salasana on esimerkiksi kahdeksan merkkiä pitkä ja sisältää vaikka yhden ison kirjaimen ja yhden erikoismerkin. Nytpä onkin oikeasti niin, että salasanan pituus on se ratkaiseva tekijä, eikä sen tarvitse olla vaikea muistaa. Omalla kohdallani tämä muuttaa kaiken ja sittenkin paljon helpompaan suuntaan. Kiitos, testaaja ja jsv.

[jsv]

Tuo XKCD:n sarjakuva alkaa olla tietysti jo hieman vanhentunut sen suhteen, että nykyään noita salasanoja saa murrettua tehokkailla grafiikkakorteilla paljon nopeammin, kuin mitä vielä vähän aikaa sitten.

Mutta itse noudatan salasanoissa seuraavia periaatteita.

1. Kaikki palvelut käyttää eri salasanoja, ja näitä hallitaan salasanamanagerin avulla. Palveluiden Forget password -sähköpostit menee Gmailiin, jossa on kaksivaiheinen autentikointi päällä (tämä salasana on vain minun päässäni). Eri salasanat siksi, että jos yksi palvelu vuotaa salasanoja, minun ei tarvitse kymmeniin paikkoihin vaihtaa salasanaa.

2. Salasanamanagerissa on yksi master-salasana, joka on pituudeltaan ~20 merkkiä, ja vain minun päässäni. Tällä saa sitten kaikki palvelukohtaiset salasanat esille. Ja tämäkin on kaksivaiheisen autentikoinnin takana.

3. Salasanamanageri luo nuo salasanat tarvittaessa, jolloin itse ei tarvitse keksiä mitään. Jos pituus on tarpeeksi pitkä, niin ei tarvitse änkeä niitä vaikeasti kirjoitettavia erikoismerkkejä edes mukaan, paitsi jos palvelu välttämättä vaatii. Käytännössä turvallinen minimi taitaa olla kymmenen merkin tienoilla nykyään, mutta mielellään 12-15 merkkiä niin voi nukkua turvallisemmin.

4. Työsalasanoja en laita pilveen, paitsi jotain low-priority juttuja. Tosin näitä ei ole montaa, ja voisi olla viisaampaa nämäkin sinne laittaa.

Vainoharhaisuuden mukaan voi valita sopivan salasanamanagerin, itse käytän Lastpassia. Se integroituu kivasti selaimiin ja mobiiliin, niin ei tarvitse palvelukohtaisia salasanoja kirjoitella juuri ikinä, korkeintaan copypasteilla. Vastapainona salasanat on pilvessä salattuina, mutta joku foliohattuihminen näkee tässä tietysti ongelmia. Mutta tässä on kyseessä kompromissi käytettävyyden ja tietoturvan välillä. HC-ratkaisu on pitää nuo salasanat vain omalla koneella ja backupit jonnekin muualle kuin pilveen.

Noihin kaksivaiheisiin autentikointeihin kannattaa konffata myös ne recovery-jutut valmiiksi. Itse jouduin Amazonin asiakaspalveluun soittelemaan yhden kerran, kun puhelin hajosi ja siinä meni autentikaattorikin samalla (kun en ollut valinnut sms-pohjaista tuotetta ).

[Mika]

jsv, kiitos tästä.

[AlexMachine]

Itse käytän salasanana "incorrect", eli kun unohtaa salasanan niin softa muistuttaa... your password is incorrect

No oikeasti en käytä password manageria tms mutta ehkä pitäisi. Alkaa olla sen verran monta muistettavana.

Jaan itse käytettävät salasanat kolmeen eri luokkaan.
1. Low priority, Erilaiset nettipalstat ym joissa tietomurron haitta on aika minimaalinen.
Näissä käytän 3-4 erilaista salasanaa jotka ovat noin 10-12 merkkiä pitkiä ja sisältävät kirjaimia ja numeroita ja ovat ns selkokielisiä.

2. Ja 3. Luokka sitten ovat ne palvelut joissa oikeita henkilötietoja, luottokortin numeroa ym ja työsoftat.
Osassa käytössä kaksivaiheinen kirjautuminen ja näiden salasanat sisältävät erikoismerkkejä, numeroita ja ovat pitkiä.
T@@lt@ostAnk1rjAn1 voisi olla esim Amazon.com salasanani (juuei ole mutta 2. Tason joissa haitta ei ole liian suuri saatan käyttää tuon tyyppisiä muistisääntöjä numeroilla ja erikoismerkeillä korvattua suomea)

[Poista käyttäjä 1747]

Abstraktin etu on notta ne eivät tottele sanakirjahyökkäyksiä. Tämä on sikäli teoreettinen uhka että hyvin hyvin harva ansaitsee henkilönä tai työn kautta moista huomiota. Samaan kategoriaan menee myös omat ja läheisten nimet, merkkipäivät, osoitteet ja niiden yhdistelmät jne.

Mutta vainoharhaisuus on kiva harrastus...varsinkin jos sitä voi sparrata korvienvälistä löytyvän rottamoodin kanssa.



Edit: Itsellä on sen verran hyvä muisti etten tarvitse manageria vaikka kaikki salasanat ovat enemmän tai vähemmän abstrakteja, en käytä samaa missään ja vaihdan niitä aika ajoin. Tarvi edes muistisääntöjä mutta joskus saatan hupsuilla omaksi iloksi käyttämällä marginaalisen äidinkieleni läntisen murteen slangia ja kirjoitan sen vieraalla kielellä.

Käytännössä lopputuote on jo täyttä siansaksaa.

Muuten aikalailla samoilla linjoilla jsv: ja alexmasinan kanssa...

[Totte]

Abstraktin etu on notta ne eivät tottele sanakirjahyökkäyksiä.

Toisaalta, jos noita sanoja edes hiukan muuntelee käyttämällä isoje kirjaimia, sitä sun mainitsemaa slangia ja vaihtaa jonkun tietyn kirjaimen numeroksi, niin ei mene enää tavallisella sanakirjahyökkäyksellä. Noita muunnelmia muistaa jos ne tekee aina saman kaavan mukaan, esim. sanan toinen kirjain aina isolla ja lauseen vika vokaali vaihdetaan aina numeroksi tai erikoismerkiksi. Se, että itse tekee sen aina saman kaavan mukaan ei tee siitä helpommin arvattavan, kunhan se kaava on tarpeeksi randomi alunperinkin.

[jsv]

Onhan noiden salasanojen luominen ja hallinnointi päänsisäisillä kaavoilla ihan mahdollista, kunhan muistaa vaan tuon totuuden pituudesta. Hyväkin kaava muuttuu helposti murrettavaksi, jos lopputuote ei ole tarpeeksi pitkä.

Oman pääni täyttää muut äänet, joten salasanat saa tietokone luoda...

[Uchujin]

Salasanojen säilytykseen paras ilmainen vaihtoehto on selkeästi https://keepassxc.org/. Salatun tietokannan voi synkata usean koneen kesken vaikka Dropboxin tai Google Driven kautta. Joten lämpimät suositukset tälle.

[jsv]

Joo, tuo on hyvä vaihtoehto. Tietoturvamielessä tuossa on enemmän vapausasteita siinä mielessä, että tietokannan paikan voi itse päättää. Jos pelkää Dropboxia, Googlea ja/tai NSA:ta, niin tuon tietokannan voi laittaa muistitikulle. Mutta sitten tietysti muistitikkua ei kannata hävittää, tai ainakin siitä kannattaa ottaa useampi kopio. Jotka ovat sitten epäsynkassa . Plussaa myös siitä, että lähdekoodi on avointa.

Itse otin Lastpassin sen takia, että joku muu pitää tuosta salasanatietokannasta huolta. Oletettavasti marginaalisesti turvattomampi, mutta helpompi. Jos Lastpass ei itse tuhoa bugisella softalla tuota tietokantaa.... Pitäisikin oikeastaan ottaa backupit noista salasanoista vaikka paperiteknologialle....