Nettifoorumien salasanojen paljastamisuutinen

Hesari uutisoi, että ruotsalaiset kräkkerit ovat ottaneet selville ja julkaisseet netissä noin 79 000 käyttäjätunnusta ja salasanaa, jotka kuuluvat pääasiassa suomalaisille harrastusaiheisten nettifoorumien käyttäjille. Turha pelästyä: tarkistin asian, ja Kontu ei ole niiden joukossa. Lisäksi vain rakkausrunot.fi on ollut niin huonosti suojattu, että salasanat näkyvät suoraan. Muissa, joihin kuuluvat nopean googletuksen perusteella mm. mesenet, voitta.net, rate.ee ja motot.net, salasanat ovat hash-muodossa, eli suojattuja, ja niiden avaamiseen tarvitaan erillinen ohjelma. Tällöinkin kunnolliset salasanat, joissa on pieniä ja isoja kirjaimia, numeroita, välimerkkejä jne. ovat käytännössä turvassa, koska niiden avaaminen veisi ikuisuuksia, ja ehdit vaihtaa helposti salasanasi ennen kuin vaara uhkaa. Sen sijaan jos salasanasi on <i>salasana</i> tms, on helppoa saada se selville.

Tällä kertaa Kontuun ei osunut. Mutta:

The Magical Pink Bear & ZeroPoint sanoi:

We hope you all enjoyed. You'll hear more about us sooner than you
think. So don't worry, if you weren't on the list, wait for the
next release.

Click to expand...

Kysymys kuuluukin: pelottaako?

Tässä vielä kyseisten "sankareiden" esipuhe kokonaisuudessaan. On otettava huomioon, että hirveä boostailu 79 000 käyttäjätunnuksesta on aivan katteetonta, sillä se kattaa vain muutaman foorumin.

We cracked 78 000 (ok, almost 79 000) accounts around the net and
of course we'd like to share them with you, right. Mostly finnish
accounts, so maybe it would be better to have this prologue in
finnish too.


Hei,

Lista pitää sisällään noin 29 800 MD5 hashia, muutamisen sataa
SHA1 hashia, 33 000 kappaletta epäkivoja SMF foorumin hasheja ja
toki myös muutamisen sataa salasanaa plaintextinä.

Joistakin puuttuu mailit, valitamme. Niitä joko ei ole ollut
saatavilla tai ne ovat tarkoituksella jätetty pois. Kysymyksiä
varmasti syntyy; "Miten teitte sen?", "Miksi olen listalla?",
"Antakaa kamaa runessa", "Keitä te olette?".

Jos olet listalla, sori hei. Meillä ei ole varmastikaan ollut
syytä satuttaa sua... tai sitten oli. Todennäköisesti olet vaan
osunut väärään paikkaan väärään aikaan, mutta jokatapauksessa
et olisi asialle mitään mahtanut.

79 000 hashiahan on siis käsittämätön määrä, ja vielä kun ne
rajataan yhteen pieneen maahan niin todennäköisyys siihen
että netti- tai koulukiusaajasi löytyy listalta on hyvin suuri.
Mukaanhan tottahan toki mahtuu myös vaikka minkä yrityksenkin
työntekijöitä ja webmastereita, joten vahinko mitä tällä listalla
voi saada aikaan on myöskin suuri.

Me, the Magical Pink Bear & ZeroPoint olemme kahden hengen ruotsalainen
hakkeriryhmä. Meihin ei toistaiseksi voi ottaa yhteyttä sähköpostitse
tai IRCitse, syy lienee itsestäänselvä.
(suomentajana toimi Hönde)

Vielä tälle suomen script kiddie skenelle... Ei helvetti jätkät,
lopettakaa se botnettien kasaus ja RATtaus muiden softilla. Se
on oikeesti lamea. No jaa, kaipa itekkin tuemme tätä pientä skeneä
meidän julkaisuilla. Scriptskiddojen lisäksi on myös eräs toinen
stereotypia joille tekisi mieli - eh - haistattaa vitut; nimittäin
Wannabe Whitehatit, juuri ne joiden mielestä kaikki hakkerit ovat
script kiddieitä riippumatta heidän osaamisistaan. Paitsi tietenki
itseään he pitävät muita parempina hakkereina, vaikkakin joutuvat
jättämään mahtavat taitonsa näyttämättä valkohattujensa takia.
Eli siis, mikäli tunnet suomalaisen tähän stereotypiaan sopivan
ihmisen, tee toki palvelus; etsi hänet listasta ja ole ensimmäinen
joka hänen salasanansa murtaa.

Mirrorointi olis ihan arvostettava ele. Hei joku pliis?

Click to expand...

En mitenkään hirveästi pelkää omien tärkeiden salasanojeni puolesta, sillä en ole enää vuosiin harrastanut saman salasanan käyttöä useammassa palvelussa ja 98% kaikista salasanoistani on riittävän monimutkaisia (joihinkin kertarekkauspakkoihin tulee tehtyä vielä "plaah"-passuja, mutta niillä nyt ei ole väliäkään). Taisivat nuo listan salasanat olla etupäässä sellaisia "lemmikin nimi"-tyylisiä. Find-toiminnolla kyllä katselin sen omien tunnusten varalta, enkä mitään löytänyt - yhden tutun rakkausrunot-tunnus siellä kyllä oli, mutta siellä on sysadmin vaihtanut kaikkien salasanat tämän tapauksen tultua julkisuuteen. Ihan oikeista salasanoista tuossa siis kuitenkin on kyse, joten kehotan vakaasti tarkistamaan oman tilanteen ja vaikka tarvetta ei tuntuisi olevankaan niin vaihtamaan tärkeimpien juttujen, kuten spostin salasanat.

Suurin ongelma salasanojen kanssa on tietysti se, että niiden pitäisi olla vaikeita ratkottaviksi, mutta helppoja muistaa. Asiaa auttaa huomattavasti, jos omalla koneella on jokin apuohjelma (kuten vaikkapa Mac OS Xään kuuluva Keychain) joka tallettaa kaikki salasanat pyynnöstä yhden masterpassun taakse ja muistaa ne puolestasi (monet selaimetkin voivat olla tässä apuna). Näitä ei tietysti parane julkisilla koneilla käyttää!
Mutta entäs sitten kun salasana olisi oikeasti pakko muistaa? Itse harrastan usein seuraavanlaista kaavaa: valitsen vaikkapa jonkin biisin joka sillä hetkellä soi päässäni (tai sen kertosäkeen) tai juuri lukemani kirjan tms. Tänään sitkein biisi on ollut "A Hundred Challenging Things A Boy Can Do", mikä on tietysti helpommin salasanaistettavissa kuin vaikkapa "Waking the Monster". Noh, päätän että vokaalit ovat pieniä ja konsonantit isoja, ja napsimalla alkukirjaimet erilleen saan helposti muistettavan, riittävän pitkän ja monimutkaisen salasanan jota ei löydy sanakirjasta ja joka sisältää isoja ja pieniä kirjaimia sekä numeroita: a100CTaBCD. Toinen tapa jolla pääsee samaan tulokseen jota käytän jos helposti muistettavassa lauseessa/virkkeessä/sanoituksessa ei ole valmiiksi numeroita on "leetittää" se. Tässä tavassa tietyt ymmärrettävät kirjaimet vaihdetaan niitä muistuttaviksi numeroiksi, esim. E=3, A=4, T=7 jne. Esimerkkinä vaikkapa 77jpvv50 joka on tietenkin (!) koodattu versio Aragornia kuvaavasta säkeestä "Tuli tuhkasta jälleen pilkahtaa, valo varjoista syttyvä on;" Siihen voi sitten tietysti kehittää jonkin lisämuistisäännön isoja kirjaimia varten, vaikkapa että kaikki mitä ei ole muutettu numeroiksi on isoilla paitsi viimeinen joka on pienellä tms. Yleensä mitä erikoisempi muistisääntö, sitä helpommin sen muistaa.

Mitäs vinkkejä muilla on hyviä salasanoja varten?

Laittakaapas joku esille se lista selvitetyistä salasanoista. Vaikka en omien salasanojeni puolesta pelkääkään, niin olisihan se kiva silti tarkistaa.

Lista, jossa ei ole salasanoja vaan pelkät tunnarit löytyy täältä:

http://www.pelulamu.net/vuoto/passlist-safe.txt

Tai ainakin tällä hetkellä tuo toimii..

:/

Pelkäänkö? En oikeastaan. Olenko listalla? Hyvin mahdollista.. Minulla on aika helppoja salasanoja ollut käytössä useissa foorumeissa, mutta kaikkialla tärkeässä paikoissa on vähintään 9 merkin salasana, joka sisältää sekä numeroita että kirjaimia. Tietenkin vielä tärkeämmissä paikoissa on 15 merkkinen sisältäen isoja ja pieniä kirjaimia sekä numeroita. En siis ole kovin huolissani noiden kaatamisesta.

Tämä pistää kyllä miettimään netin tietoturvaa sekä miksi joku foorumi/yhteisö pitää blankinä salasanoja - sehän on pahin munaus koko tietoturvamaailmassa. Tietääkseni suurimmassa osassa foorumeita pitäisi nykyään olla automaattisesti mukana koodaus salasanoille, koska systeemi aina sanoo, että ei voi palauttaa salasanaa, mutta voi generoida uuden oikeaan sähköpostiin.

En tajua, että miksi ihmisten pitää tehdä tälläistä. Miksi pitää tuhota muiden hupia ja elämää?

Katselin tuota listaa, ja siellä oli yksi whitewolf. Minulla on pienellä kirjoitettuna tuo ainoastaan Voimahalilla, joten ellei sitä ole voitettu niin olen turvassa. Siellä luultavasti on kryptattuna kaikki salasanatkin, joten niiden kääntämiseen menee hetkonen. Muita käyttämiäni tunnuksia ei siellä näkynytkään enkä usko tuon yhden ww:n edes olevan minun.

Ei hätiä, mitään tunnuksistani en löytänyt listasta. Mutta koska olen
huonomuistinen, käytän selainta apunani muistamaan salasanani.
Tosin on paikkoja joiden salasanaa en edes tallenna vaan pidän ne
ainoastaan päässäni. Useimmat salasanoista sisältää ainakin kirjaimia
ja numeroita, usein sekä isoja että pieniä. Ja Nerwon mainitsemaa
leetittämistäkin tulee harrastettua verrattain paljon.

Taidan varmuuden vuoksi harrastaa salasanojen vaihtoa nyt kun
asiasta tuli puhetta.

Tänään ehti joku jo kirjautua Käärmeeseen jonkun toisen tunnuksella, käyttäen tiedostossa ollutta salasanaa ja lähettää Tauluseinälle erittäin mauttoman kuvan.

VÄLTÄ KÄYTTÄMÄSTÄ SAMAA SALASANAA KAIKKIALLA

Käärmeen tunnuksia ei siis ole napattu, mutta voi vain kuvitella millaista tuhoa saadaan aikaan jos on käyttänyt samaa salasanaa monissa paikoissa ja on nyt listalla mukana.

Nerwen sanoi:

Suurin ongelma salasanojen kanssa on tietysti se, että niiden pitäisi olla vaikeita ratkottaviksi, mutta helppoja muistaa. Asiaa auttaa huomattavasti, jos omalla koneella on jokin apuohjelma (kuten vaikkapa Mac OS Xään kuuluva Keychain) joka tallettaa kaikki salasanat pyynnöstä yhden masterpassun taakse ja muistaa ne puolestasi (monet selaimetkin voivat olla tässä apuna).

Click to expand...

Tämä ei ole mikään ratkaisu. Paremminkin se kiertää ongelmaa ja johtaa siihen, että salasanat sitäkin varmemmin unohtuvat. Muistisäännötkään eivät auta kun yleensä ongelmat alkavat jo siitä, että ei muista mikä salasana on missäkin paikassa. Käytännössä vaihtoehdot ovat kaikkien salasanojen kirjoittaminen muistiin lapulle (mikä on myös jonkin verran ongelmallinen lähestymistapa) tai ainakin jossain määrin samojen salasanojen käyttäminen useissa paikoissa. Itse puntaroin juuri kumpaa vaihtoehtoa kohden alan kallistua.
Jatkuvasti käytettävät salasanat eivät tietenkään ole suuri ongelma, silloin muistaa minkä tahansa merkkijonon vaivatta. Tosin kun niitä tulee tarpeeksi niin pieniä muistamisongelmia voi alkaa esiintyä. Onneksi useimmat tärkeät salasanat ovat tällaisia.

>:/

Merri sanoi:

VÄLTÄ KÄYTTÄMÄSTÄ SAMAA SALASANAA KAIKKIALLA

Click to expand...

Tämä on ihan hyvä sääntö, mutta jos pitäisi joka paikkaan olla erilainen salasana niin minulla olisi ainakin erittäin pitkä lista jossain laatikossa, koska paikkoja on kuitenkin niin monia missä olen mukana. Tosin kaikissahan ei aivan sama salasana edes ole tunnuksesta puhumattakaan, mutta kuitenkin.. Sehän useilla onkin ongelmana, että jos on monia kymmeniä eri paikkoja niin silloin pitäisi olla myös todella paljon muistettavaa.

Siksi muoto on vältä käyttämästä eikä älä käytä. On minullakin muutama sama salasana, mutta ne on paikkojen kesken joilla ei ole merkitystä. Tärkeyden mukaan mennään.

Tosin, eipähän salasanaani edes ollut nyt tuolla listalla, vaikka siellä pari Merriä olikin.

Itselläni on muutamiakin vaihtoehtoja, joita käytän eri versioina eri paikoissa. Vieläpä eri kirjautumisnimien yhteydessä, joten yhden salasanan selvittäminen tuskin aukaisisi pääsyä kovinkaan moneen paikkaan. Varsinkin kun salasanani ovat yleensä kohtalaisen kryptisiä. Saatan viedä tuon Nerwon ja Incan mainitseman leetittämisen vielä astetta pidemmälle, kun saatan muuttaa numerot vielä niitä vastaaviksi erikoismerkeiksi numeronäppäimien mukaan. Esimerkiksi Nerwon mainitsema A Hundred Challenging Things A Boy Can Do voisi olla "a!==CTaBCD" tai ehkä jopa "a!==C/aBCD". Muutama satunnaista salasanaa lukuunottamatta, kaikki salasanani sisältävät isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.

Sikäli en ole huolissani tuosta, en ainakaan omalla kohdallani. Omaa nimimerkkiä tai nimeä en tuolta listalta löytänyt, saatoin toki missata mutta findilla tsekkasin. Onhan tuo tavallaan sikäli herättävää, että ihmiset oikeasti tajuavat sen salasanan merkityksen. En kuitenkaan pidä hirveän hyvänä tapana herättää ihmisiä keksimään hankalampia salasanoja... Tosin onhan tuo tehokasta varmasti. Enemmän mietityttää, miksi juuri suomalaisia foorumeita? Noh, ehkä taustalla on jotain, jota en tiedä enkä ymmärrä

Tsekkasin listan enkä löytänyt mitään tunnuksiani sieltä. Olenkin juuri sellainen huono esimerkki salasanojen käyttämisestä, mulla on joka paikkaan sama salasana. Jos pitää laittaa numeroita niin sitten on eri.
Mä olen käyttänyt samaa salasanaa vuosikaudet, enkä kyllä ole koskaan ajatellut, että siitä olis jotain haittaa. Nyt alkoi ärsyttää - en mä JAKSA vaihtaa joka puolelle salasanoja, koska en mitenkään muistais niitä ja jos kirjoitan listan, se hukkuu kumminkin.

Tyhmiä syitä joo. Mut ehkä mä opin sitte ku joku oikeesti hakkeroi mun salasanan..

Charlie, en ymmärrä miksi salasanat muistava ohjelma ei sinun mielestäsi ole ratkaisu, viitsitkö tarkentaa? Siellähän ne ovat kaikki hyvässä tallessa ja muutettavissa koska tahansa itselle näkyviksi jos niitä tarvitsee. Ohjelmaan sisältyvällä nopealla haulla tärppää yleensä heti oikea salasana, kun kirjoittaa hakusanaksi esim. osan foorumin osoitetta. Suurin ongelma Keychainin käyttöön liittyen on minulla ollut se, että sinne kertyy vanhoja salasanoja turhan helposti vaihtojen ja muutosten yhteydessä, ja niitä täytyy sitten manuaalisesti poistaa ja ylipäätään tallennuspäivämääristä katsoa että mikäs se on tuorein tallettettu tähän palveluun.

Nerwen sanoi:

Charlie, en ymmärrä miksi salasanat muistava ohjelma ei sinun mielestäsi ole ratkaisu, viitsitkö tarkentaa? Siellähän ne ovat kaikki hyvässä tallessa ja muutettavissa koska tahansa itselle näkyviksi jos niitä tarvitsee.

Click to expand...

Viittasit itsekin jo yhteen syyhyn. Mitä jos salasana pitääkin muistaa muualla kuin omalla koneella? Toinen riski liittyy tietojen katoamiseen syystä tai toisesta. Tämä on tietenkin ratkaistavissa huolellisella varmuuskopioinnilla.
Lisäksi tässä joutuu luottamaan salasanoja säilövään ohjelmaan. Jos tiedostot tavalla tai toisella joutuvat vääriin käsiin niin suojauksen pitäisi olla sellainen, että salasanoja ei mitenkään saa esiin. Ja selainten muistamistoiminnon ovat sikäli kelvottomia, että niistä ei saa tallennettua salasanaa näkyviin.

On minullakin (ollut) käytössä hiukan vastaava ratkaisu eli olen säilyttänyt joitain vähemmän tärkeitä salasanoja salatussa tiedostossa. Mutta tällaisen tiedon säilyttämisessä koneella on riskinsä. Tosin esimerkiksi PGP:llä salatun tiedoston avaaminen käyttämälläni salasanalla pitäisi olla nykyisen tiedon mukaan käytännössä mahdotonta.

Tuo on kyllä totta, että salasanaohjelmasta ei ole hyötyä oikeastaan kuin kotikoneella, eikä minulla ole kokemusta muista kuin tuosta mainitsemastani Keychainista. Sen kanssa ei ole kyllä ollut mitään ongelmia tietojen katoamisen tms. suhteen, olen siirrellyt sen sisältöä (yksi tiedosto) helposti myös koneesta toiseen rautaa vaihtaessani ongelmitta. En myöskään jaksa uskoa sen olevan kovin iso tietoturvariski, koska sen sisältämä informaatio on saman admin-salasanan takana kuin kaikki muukin koneellani, ja valitettavasti olen niin tyhmä, että uskon vakaasti Omppuni tietoturvallisuuteen.

Jep, on totta että selainten muistamistoiminnoissa on tuo ongelma, että salasanaa ei saa itse näkyville (onneksi useimmat nettipalvelut osaavat nykyään lähettää uuden spostiin), mutta tähänkään ongelmaan en yleensä törmää, koska pääselaimeni on Safari joka toimii yhteistyössä Keychainin kanssa ja pääsen näkemään nettisalasanat sitä kautta.

Kyllä ainakin Firefoxin asetuksista pääsee tutkimaan tallennettuja salasanoja ja ne saa ihan näkyvillekin.

En, en pelännyt kun ensimmäisen kerran kuulin aiheesta, mutta päätin käydä tarkistamassa asian kun tarpeeksi nostettiin uutisenjuurta tuostakin. Ja eihän siellä mitään ollut. Tosin minä en löytänyt nick-listaa, vaan itse listan, jota jaellaan yllättävän monessa paikassa.

Minä käytän yleensä viittä-kuutta salasanaa, jotka ovat variaatioita toisistaan. Osa on helposti arvattavia, mutta pari on kirjain-numeroyhdistelmiä, joista muuttelen vielä kirjaimia isojen ja pienten välillä. Ja luulen olevani turvassa. Eihän sitä tietysti tiedä, ennen kuin ensimmäisen kerran kosahtaa. Mutta sitä ennen selaan huolettomin mielin.

Nerwen sanoi:

Sen kanssa ei ole kyllä ollut mitään ongelmia tietojen katoamisen tms. suhteen, olen siirrellyt sen sisältöä (yksi tiedosto) helposti myös koneesta toiseen rautaa vaihtaessani ongelmitta. En myöskään jaksa uskoa sen olevan kovin iso tietoturvariski, koska sen sisältämä informaatio on saman admin-salasanan takana kuin kaikki muukin koneellani, ja valitettavasti olen niin tyhmä, että uskon vakaasti Omppuni tietoturvallisuuteen.

Click to expand...

Tietojen katoaminen tarkoittaa todennäköisimmin esimerkiksi kiintolevyn hajoamista. Toki jos vaivautuu huolehtimaan salasanoistaan niin ehkä varmuuskopiotkin ovat sitten kunnossa.
Periaatteellinen riski on myös se, että tuollaisia ohjelmia käyttäessä joutuu luottamaan niihin. Periaatteessahan ohjelma voisi lähettää salasanasi suoraan ohjelman tekijälle. Todennäköisempi riski on salasanat sisältävän tiedoston päätyminen vääriin käsiin ja sen avaaminen jotain ohjelman tietoturva-aukkoa hyödyntäen. Nämä ovat toki melko epätodennäköisiä riskejä, suurin ongelma on tuo, etteivät salasanat ole käytettävissä kuin kyseisellä koneella. Mutta vähemmän tärkeiden salasanojen säilömiseen ne kyllä sopivat.

(onneksi useimmat nettipalvelut osaavat nykyään lähettää uuden spostiin)

Click to expand...

Minulle on tässä käynyt muutaman kerran hullusti kun rekisteröityessä on käyttänyt ilmaista sähköpostia joka onkin sitten lopettanut toimintansa eikä uutta salasanaa ole saanut mitenkään.

charlie sanoi:

Periaatteessahan ohjelma voisi lähettää salasanasi suoraan ohjelman tekijälle.
...
Mutta vähemmän tärkeiden salasanojen säilömiseen ne kyllä sopivat.

Click to expand...

Ilmeisesti en tehnyt vielä selväksi sitä, että Keychain on osa Applen omaa käyttistä? Sinä päivänä kun minun koneeltani lähtee haluamattani henkilökohtaista informaatiota Steve Jobsin työpöydälle niin minä hyppään suohon ja lakkaan käyttämästä tietokoneita ollenkaan. Myönnän kyllä edelleen, että Keychainistä on hyötyä vain henkilökohtaisella tietokoneella (tosin .mac-tunnuksen avulla sen voi käsittääkseni synkata muille käyttämilleen maceille ja kopion voi tietysti ottaa mukaansa, mutta en tiedä onko tuossa mitään standardia jonka avulla se toimisi muissa kuin maceissa). Mutta olen eri mieltä siitä etteivätkö sen säilömät salasanat olisi tärkeitä: itselläni siellä on ihan kaikki mitä päivittäin tarvitsen tallessa: kaikkien eri sähköpostieni (sekä erillisten softien kautta käyttämieni että www-pohjaisten) salasanat, kasa ftp-tunnuksia, kaikkien IM- ja irccitunnusteni passut, useiden netin kanssa tekemisissä olevien softien (livejournal, last.fm, iCal jne) ja lukemattomien foorumeiden ja nettipalveluiden tunnukset ja salasanat. Sitä kautta voi hallita myös sertifikaatteja ja luoda secure noteseja joihin voi tallettaa varmaan paikkaan vaikkapa luottokorttinumeroitaan tai muita tietoja jotka haluaa pitää salassa.

Mulla on käynyt tän asian tiimoilta hiukan hassusti. Nimittäin Irc-Galleria tuossa "pani lukkoon" mun tunnukseni ja lähetytti minulle salaiseen sähköpostiin uuden salasanan. No, eihän tämä muuten mitään, mutta salaisena mailinani olikin jo pari vuotta sitten vanhentunut lukion mailiosote, joten en koskaan mokomaa viestiä saanut. Tänään sitten pääsin jälleen kirjautumaan vanhalla salasanallani, liekö joku oli huomannut gallerian päässä, että nämä viestit eivät mene perille