CERT-FI varoitus 07/2007

  • Keskustelun aloittaja Keskustelun aloittaja pekko5
  • Aloituspäivä Aloituspäivä
pekko5

pekko5

varsinainen vesihiihtäjä
CERT-FI varoitus 07/2007

13.10.2007
Suomalaisia verkkopalveluiden käyttäjätunnuksia sisältävä tiedosto verkossa

http://www.cert.fi/varoitukset/2007/varoitus-2007-7.html
-----------

omakohtaisia havaintoja vaikutuksista ?

huoh ! ei ollut omia tunnareita listalla, enkä pikavilkaisulla löytänyt tuttujakaan. ei taida olla sellaisten palveluiden juttuja kaivettu joissa minä käpistelen..
 
(pekko5 @ Loka. 13 2007 sanoi:
CERT-FI varoitus 07/2007

13.10.2007
Suomalaisia verkkopalveluiden käyttäjätunnuksia sisältävä tiedosto verkossa

http://www.cert.fi/varoitukset/2007/varoitus-2007-7.html
-----------

omakohtaisia havaintoja vaikutuksista ?
Napsauta laajentaaksesi...
Tällainen lista pitäisi ehdottomasti julkaista, jos jollain tällaiseen on pääsy. Olis hyvä tarkistaa, ettei mitään omia tunnuksia löydy tuollaiselta listalta.

Oon kyllä yrittäny pitää kaikki "tärkeet" tunnukset erillään näistä webin yleisistä palsta tunnuksista yms. Kuitenkin, eihän sitä koskaan tiiä ...

-Mikko
 
Jeps. Useamman tutun tunnukset (passut md5:sena) löyty tuolta. Yhden tutun passu ja tunnus molemmat tekstinä. Tuommoisten tietojen kaappaaminen ei kovin kummallinen homma ole. Proxyista ja cachepalveluista saa pienellä scriptillä vastaavan datan ulos mikäli vaan saa oman koodinsa ujutettua serverille pyörimään. Yhtä kaikki: tuon tehneet kaipaisivat hieman
kaboom.gif
 
muro BBS:ssä kohtuu vilkasta keskustelua aiheesta. tapaus allekirjoittaa sen ettei samaa salasanaa kannata käyttää useammassa palvelussa ja kannattaa tosiaan miettiä käyttääkö edes samaa nickiä... ylipäätään rekisteröityykö edes kaikkialle missä seikkailee..
 
Eipä tuo muro BBS:n lista auennut!?
Tarttee nyt varmuuden maksimoimiseksi kuitenki muutama salasana vaihtaa.
 
Hmm, näyttäis siltä että oma Skype-tunnus on kaapattu. Perkele. Voisin keksiä hyvinkin jotain punishmenttiä niille kräkkäreille!
kaboom.gif
 
Ainakin tapausta on osattu taas kommentoida mediassa todella asiantuntevasti. Eilisillasta lähtien vissiin kaikissa YLEn uutislähetyksissä on kehotettu käyttäjiä vaihtamaan salasanansa. Vielä kun kertoisivat mikä salasana pitäisi vaihtaa.
wink.gif


Seuraavan kerran minäkin käsken vaihtamaan intterneetin salasanan kun joku sukulainen tai tuttava kyselee tyhmiä tietokoneisiin liittyen.
tounge.gif
 
muropaketin keskustelua seuranneena tulee sellainen olo että olen jo pudonnut "bittirattailta" ajat sitten. noh samasenväliä kun pysyis Yamahan satulassa edes. kannattaa lukea sitä murohuttua "sopivalla suodattimella" niin ymmärtää mitä teininikkarit osaa ja miksi salasanastolla on väliä.

vesissä on eroja - kuten keskustelupalstojen softissa
 
En oo vaihtanu, enkä vaihda, tällä perusteella. Huvikseni katoin eikä ollu 'murrettu'
biggrin.gif
.
Muuten, olishan se kauheaa jos joku kirjoittelis vaikka orggiin jotain järkevää minun nimikilläni...
crazy.gif
033102beer_1_prv.gif
 
(Koris @ Loka. 16 2007 sanoi:
(pekko5 @ Loka. 15 2007 sanoi:
... vesissä on eroja - kuten keskustelupalstojen softissa
Napsauta laajentaaksesi...
Niin, tai kai lähinnä niiden softien ylläpidossa - tai ylläpitäjissä ylipäätänsä?
Napsauta laajentaaksesi...
Ei vika ole pelkästään ylläpidossa. Kyllä osa foorumisoftista on ihan onnettoman surkeesti koodattu. Eikä ylläpito voi välttämättä vaikuttaa esim. tietokantaan tallennettavien salasanojen salaustasoon, vaikka haluaisikin, jos softaa ei ole lupa muokata. Kuten tuolla keskustelussa on mainittu niin pelkkä salasanojen kryptaaminen ei välttämättä auta, vaan ne kannattaa myös "suolata", mikä vahventaa salausta huomattavasti. Suolaus taas vaatii foorumisoftan muokkaamista, jos ja kun softa ei sitä vakiona tee. Siinä vaiheessa nousee varmaan 30% :lla eri foorumeiden ylläpitäjistä kädet pystyyn ja salasanat jää sillensä.

Näillä nettifoorumien salasanoillahan nyt ei ole suurta merkitystä, mutta ongelma on että ihmiset käyttää samoja salasanoja eri paikossa.
 
Ihmeen pitkään nuo tuolla kuitenkin kannoissa säilyvät
eek.gif
Tosin jos kerran systeemin muutkin ylläpidot (mm. security update) on laiminlyöty, niin eipä siltä pohjalta siivoamisenkaan laiminlyönti juuri enää yllätä
shaun.gif
Tietty tältä pohjalta kuinka moni noista häkätyistä enää sitten ylipäätään toimii - vai ovatko myös käyttäjät sen verran mukavuudenhaluisia (=laiskoja) etteivät tunnareitaan edes säännöllisen epäsäännöllisesti päivittele
nixweiss.gif


Ihan suositeltava vinkin poikanen: RoboForm niminen softa ei ainoastaan generoi sulle noita vahvoja salasanoja, mutta myös muistaa ne ja säilyttää yhden master-salasanan takana, omalla koneellasi. Tuosta on myös maksullinen portable-versio (n. 40$), jolla voit tallettaa datan esim. USB-tikullesi ja näin kuljettaa "avaimia" mukanasi. Tikulle tallentuu myös tarvittava RoboFormin osanen jotta voit myös käyttää niitä missä tahansa, varsinaisesti asentamatta koneelle yhtään mitään
thumbs-up.gif


Edit: RoboFormin ilmaisversio on rajoitettu 10 tunnariin ja jos haluat enemmän, pitää ostaa ns. Pro-versio (n. 30$), mutta jo tuolla 10kpl tulee aika hyvin toimeen
smile_org.gif
 
Sinun täytyy kirjautua sisään tai rekisteröityä voidaksesi kirjoittaaksesi täällä.
Back
Ylös