sunnuntai 13. marraskuuta 2011

Onko vuodettu salasanalista aito?

klo 7:30, muokattu 13:30

Väitettyyn 500 000 sähköpostiosoitteen vuotoon liittyen on julkaistu TOP100-lista yleisimmistä salasanoista sekä kirjaimilla a, o ja n alkavat salasanat. Näiden pitäisi todistaa, että murtajilla on hallussaan myös osoitteisiin liittyvät salasanat tai ainakin niiden tiivisteiden (hash) tietokanta, jota parhaillaan murretaan auki.

Temppu vaikuttaa edelleen pilalta mm. seuraavista syistä:

- Listan tunnukset on kerätty eri nettipalveluista ja yrityksistä, joten niiden salasanat on suojattu erilaisilla tiivisteillä ja suola-arvoilla. Yksittäinen murtoprosessi ei pystyisi paljastamaan eri lähteistä kerättyjä salasanoja.

- Osa listan salasanoista ei muutoinkaan vaikuta sellaisilta, että ne voitaisiin murtaa tiivisteiden kautta tai brute-force-menetelmällä.

- Osa listan sähköpostiosoitteista on hyvinkin vanhoja, joten murron olisi pitänyt tapahtua kauan sitten. Kuka olisi säästänyt salasanat ja vuotaisi ne vasta nyt?

- Pitäisikö uskoa, että mm. eduskunnan, ministeriöiden ja yritysten sähköpostipalvelimille olisi kaikille murtauduttu onnistuneesti ja kenenkään huomaamatta? Se olisi vuosisadan hakkerointi.

Tällä hetkellä todennäköisin selitys on pilailu. On mahdollista, että listalla on oikeasti murrettujen nettipalveluiden tunnuksia (vrt. taannoinen Älypää-murto) tai että tunnuksia on kaapattu jollain haittaohjelmalla.

Nimettömyyden suojiin piiloutunut hakkeri voi todistaa salasanojen aitouden julkaisemalla vaikka täsmälleen joka 500. tunnuksen salasanoineen tai paljastamalla esim. Jyrki J. Kasvin eduskunta.fi-loppuisen salasanan. Osoite ei ole enää käytössä, joten Jyrki varmaan kertoo mikäli salasana on oikea. Jyrki vastasi Twitterissä, että haaste on hänen puolestaan OK.

Todennäköisesti kansanedustajien sähköpostiosoitteet on haravoitu www-sivuilta, eikä niihin liity mitään salasanoja. Samasta syystä listalla on osoitteita kuten uutiset@iltasanomat.fi, aamu-tv@yle.fi ja kuvat@iltasanomat.fi. Toisaalta MikroPC:n uutisen mukaan joukossa on myös oikeasti murrettuja salasanoja, ilmeisesti vanhaa Phpbb2-keskustelusoftaa käyttäneeltä nettifoorumilta kaapattuina.

30 kommenttia:

Kaino Kivi kirjoitti...

Oma "kertakäyttöinen" osoitteeni löytyi listalta, joten mitä ilmeisemmin lista on haettu tuon keskustelupalstan käyttäjätiedoista. Palstalla sähköpostiosoite ei ole julkinen.

jaska kirjoitti...

"- Listan tunnukset on kerätty eri nettipalveluista ja yrityksistä, joten niiden salasanat on suojattu erilaisilla tiivisteillä ja suola-arvoilla. Yksittäinen murtoprosessi ei pystyisi paljastamaan eri lähteistä kerättyjä salasanoja."

Periaatteessa olisi mahdollista, että listat olisivat oikeasti murron tulosta jostain palvelusta, jossa käyttäjätunnukseksi täytyy antaa joku oma sähköpostinsa (siksi siis eri nettipalveluiden tajoamia osoitteita) ja salasanalista voisi olla aito tämän palvelun salasana.

Löytyykö sellaista palvelua jolla olisi 500 000 käyttäjää?

Tässä tapauksessa siis salasanalla ei pääsisi sähköposteihin vaan ainoastaan siihen palveluun, jossa tätä sähköpostiosoitette on käytetty tunnuksena ja josta se on murrettu. Toki monet käyttävät samoja salasanoja useassa paikassa.

Uskoisin, että kyseessä on pila.

Petteri Järvinen kirjoitti...

>Tässä tapauksessa siis
>salasanalla ei pääsisi
>sähköposteihin vaan ainoastaan
>siihen palveluun,

Tämä on hyvin uskottava selitys. Mutta mikä voisi olla palvelu, johon on rekisteröitynyt ihmisiä eduskunnasta, ministeriöistä ja yrityksistä? Tuskin löytyy mitään yhtä palvelua, joka kattaisi nämä kaikki tahot.

@Kaino: mitä keskustelupalstaa tarkoitat?

Maija Haavisto kirjoitti...

Jos nyt ryhdytään miettimään hämäyksiä, kaksoishämäyksiä, kaksois-kaksoishämäyksiä jne, IMO sinänsä ei olisi ihme, vaikka jotain tällaista tehtäisiin tarkoituksella niin, että se alkaisi vaikuttaa pilalta (tai olisikin). Siitähän vasta lulzit saataisiin, jos media leimaisi Suomen Anonymouksen 13-vuotiaiden finninaamaisten teinipoikien läpäksi/huonoksi pelotteluksi ja sitten jossain vaiheessa tulee _oikeasti_ kovan luokan murto.

Näin villinä spekulaationa...

Kaino Kivi kirjoitti...

kts twitteristäsi

Petteri Järvinen kirjoitti...

Tämän tempauksen tekijänä ei ole anonymous-ryhmä vaan yksittäinen nörtti.

Petteri Järvinen kirjoitti...

@Kaino: Mitä tarkoitat "ultimatevw@jxxxxxxx.net" -tyyppisillä osoitteilla?

Kaino Kivi kirjoitti...

Jo vuodesta 199x alkaen olen itse käyttänyt rekisteröitymisissä sähköpostiosoitetta "sivustonimi@domain.omani". Näin syntyy kertakäyttöisiä osoitteita ja ei jää epäilystä sen osalta kuka osoitteeni on spämmilistalle vuotanut :)

"ultimatevw@jxxxxxxx.net" osoitteet viittaavat siihen, että en todennäköisesti ole ainut, joka noin toimii.

Tapsa kirjoitti...

Kannattaa huomioida myös se, että listassa on myös etunimi.sukunimi@ -osoitteita eli olisiko mahdollista, että lista on saatu keräämällä tietoja yritysten/yhdistysten kotisivuilta tai jonkun hakukoneen kautta?

Kaino Kivi kirjoitti...

Nettisivuilta keruu ei tunnu todennäköiseltä. Tsekasin useammankin pienehkön tutun yrityksen sivut ja vain osa sähköpostiosoitteista on listoilla, vaikka nettisivuilla on useammat osoitteet.

Kyllä tiedoista suurin osa on saatu murtautumalla johonkin muuhun palveluun, esim. joidenkin tilaisuuksien järjestäjien tietokantaan.

Petteri Järvinen kirjoitti...

Osoitteita ei ole hankittu pelkästään nettisivuilta, sen huomaa siitäkin että kun googlaa listalla olevia osoitteita, vain osa niistä löytyy netistä.

Toisaalta osa listan nimistä on vanhoja, mukana ainakin yksi 9 vuotta sitten toimintansa lopettanut yritys. Keräys on saatettu tehdä vuosia sitten. Todennäköisempää kuitenkin on, että osoitelista on varastettu useammasta nettipalvelusta ja muusta lähteestä.

Petteri Järvinen kirjoitti...

Listalla näyttää olevan myös aamu-tv@yle.fi, joka tuskin on omalla nimellään rekisteröitynyt mihinkään palveluun, samoin toimitus@demari.fi, toimitus@digitoday.fi, il.kuva@iltalehti.fi, il.tampere@iltalehti.fi ja il.toimitus@iltalehti.fi. Nämä on selvästi skannattu www-sivuilta koneellisesti.

Myös huijaus@palaute.fi kuulostaa mielenkiintoiselta osoitteelta.

Hannu Tanskanen kirjoitti...

Jos ei muuta, nämä tapaukset ainakin todistavat sen,ettei nettiaikakaudella sellaista kuin salassa pysyvää tietoa olekaan. Viralliset rekisterit vuotavat, jopa USA:n hallinnon salaiset viestit.

Onneksi (ainakaan ymmärrykseni mukaan) pankkitilien kertakäyttöiset salasanat estävät niille pääsyn,vai estävätkö, jossainhan nekin ovat tallessa?

Onko rahatkin laitettava "venäläiseen kassakaappiin" eli maahan haudattuun kurkkupurkkiin takapihalle? Euron kaatumistakin odotellessa tuo voi olla järkevintä,kun ensin vaihtaa eurot Ruotsin kruunuiksi, Sveitsin frangeiksi, Etelä-Afrikan krugereiksi tms. Korkoahan raha ei enää pankissa kasva.

(Ja takapihalle on tietenkin hankittava iso koira, tappajaluontoinen sellainen;)

Anonyymi kirjoitti...

Tätäkään ei olisi tapahtunut, jos sen 16000-listan kanssa olisi toimittu fiksummin. On päivänselvää, että kaikenlaiset vannapii-kräkkerit innostuvat kantamaan oman kortensa kekoon ja näitä vedätyksiä ja mahdollisesti oikeitakin murtoja saadaan runsaasti lähiaikoina.

Kiitos Hyppönen, Järvinen ja media!

Anonyymi kirjoitti...

Listalla on myös sähköpostiosoitteeni, joka on vain 11 kk vanha. Se on yritystoimintani vuoksi julkinen. Se oli myös edellisellä tietovuotolistalla.

Kaino Kivi kirjoitti...

Tsekkasin tuon oman osoitteeni. Osoitetta ei siis ole missään julkisessa paikassa (ellei teleoperaattorin hallinnoimaa osoitteen aliasrekisteriä tulkita sellaiseksi).

Osoite on rekisteröity 7.1.2007 klo 16:11, otettu käyttöön yhdellä keskustelufoorumilla 2.6.2007 12:11. Ensimmäinen roskaposti ja yleensäkin muu posti on saapunut 3.4.2011 klo 13:14. Osoite on siis todennäköisesti saatu murtamalla palvelu.

Muista listan osoitteista päättelisin, että osoitteita on kerätty todella pitkällä ajalla ja lukuisista lähteistä. Tällaisen listan saa kasaan helposti kuka tahansa, vaikkapa keräämällä spämmiviestien osoitteet. Se ei muuta sitä tosiasiaa, että joku tai useat ovat saaneet listan osoitteet alunperin haltuun murtautumalla.

Minä lupaan tarvittaessa kasata 100.000 - 200.000 osoitetta ihan noista spämmiposteista ja muista "sopivista" lähteistä.

Anonyymi kirjoitti...

Tästä vuodetusta listasta jää taas sellainen "taasko" maku. Monissa luki 500 000 suomalainen sähköposti vuodettiin. No itse uutisessa tarkennetaan se 500 000 suomalaiseksi sähköpostiksi. Vai miksi? Eivät kaikki välttämättä ole suomalaisia.

Yliuutisointia tämä on. Mitä ihmettä jos löytyy niin monta @eduskunta.fi osoitetta, ne voi katsoa itse googlella. Samoin monien muidenkin. Varmasti mukana on myös keskustelufoorumeilta saatuja sanoja, mutta ei tietenkään kaikkia. Tietämällä salasanat voi tehdä tietysti kiusaa; se ei vain ole pahinta.

Tulee mieleeni tuttu poliisi, joka halusi varjella tietoa, että on poliisi. Niin hän oli tehnyt pienen vahingon. Tieto löytyi neljäntenä tietona google-hausta, epävirallinen osoite oli sitten vasta viidentenä. Kerran kun osoiteesi laitat, niin se on mennyttä. Varjeli osoitettaan hyvin tarkasti, mutta harvinaisen sukunimen perusteellä löytyy kyllä helposti.

Yksityisestä henkilöstä löytyy verotietoja, luottotietoja, ulosottotietoja, omistamasi maat ja kiinteistöt, yritykset joissa olet mukana, osoitteet, puhelinnumerot, talosi piirustukset, autojesi tiedot, perhesuhteesi mitä vielä.. kai tätä voisi jatkaa loputtomiin.
Osan voit kieltää, mutta osaa et.

Niin, ilmakuvasta voit katsoa talosi, ja varmuuden vuoksi on Google vielä kuvannut ehkä näkymän taloosi.

Niin, eläköön suomalainen tietoturva eikö niin?

Petteri Järvinen kirjoitti...

Sähköpostiosoitteita ei voi "vuotaa", koska kyse on julkisista tiedoista. Sitten on ihan eri tilanne, jos vuodetaan myös osoitteisiin liittyvät salasanat.

Suurin osa ihmisen tiedoista on julkisia, ne löytyvät virallisista rekistereistä tai googlaamalla. Salaisiksi tarkoitettuja on vain vähän, mm. terveyteen, raha-asioihin ja salasanoihin liittyvät tiedot.

Joka vuosi valtio "vuotaa" kansalaistensa ansiot, joita media sitten repostelee monta päivää. Sen jälkeen valtion on paha puhua tietosuojan merkityksestä -- olkoonkin, että ansiotietojen julkisuus on monella tavoin myös hyvä asia.

Anonyymi kirjoitti...

Petteri, ota nyt äkkiä kantaa vielä suomalaisten vuotaneisiin luottokorttien pin-koodeihin. Taivas varjele mitä sieltä tulee!

http://pastebin.com/FExpcnXD

Tuohonkin on muutama hölmö jo langennut.

Petteri Järvinen kirjoitti...

Jep, tulee ihan mieleen tämä uutinen: http://www.iltasanomat.fi/kotimaa/uskomaton-moka---tunnusluku-painettiin-pankkikorttiin/art-1288336720253.html

Anonyymi kirjoitti...

"Sähköpostiosoitteita ei voi "vuotaa", koska kyse on julkisista tiedoista"

Ei kaikki sähköpostiosoitteet ole julkisia, kuten ei kaikki puhelinnumerotkaan.

Petteri Järvinen kirjoitti...

Käytännössä ne ovat kaikki julkisia. Ei ole mitään rekisteriä, mihin kiellon voisi ilmoittaa, eikä mitään tapaa jolla oman osoitteen voisi piilottaa vastaanottajalta. Puhelintekniikka on näissä suhteissa erilaista.

Ainoa tapa pitää sähköpostiosoite piilossa on olla käyttämättä sitä.

Kaino Kivi kirjoitti...

Kaikki aiemman 16000 listan sähköpostiosoitteet löytyvät myös 500000 listan osoitteista. Ainoastaan muutama osoite puuttuu (n. 180 kpl).

Mitä ilmeisimmin näidenkin salasanat on murettu.

"osoitteen salaisuudesta": tekstiviesteissä ja wap liikenteessä näkyy puhelimen numero.

Anonyymi kirjoitti...

Tulee joskus mieleen se, että ainoa keino "piiloutua" on vain muuttaa pois Suomesta. Anonyymi ei vain jotenkin kuulu Suomeen. Ihmettelen, että meillä on tietosuojeluvaltuutettu ja mitä niitä on. Eiväthän he tee oikeastaan mitään.

Hain kerran passia, koska minulla oli silloin vielä pahvinen versio ei se kelvannut. Minulle tehtiin
nk. henkilökysely (niin minulle ilmoitettiin), piti tietää missä asun, vanhempieni nimet, missä he asuvat. Todella vaikeita tietoja hankkia.

Vaikka tiedot olisivat kuinka suojassa tahansa tulee aina inhimillisiä virheitä, joista tiedot vuotavat. Toivottavasti ei nyt seuraavaksi tiedoja vuoda suoraan viranomaisrekistereistä, mutta kuka tietää.

Anonyymi kirjoitti...

"Petteri, ota nyt äkkiä kantaa vielä suomalaisten vuotaneisiin luottokorttien pin-koodeihin. Taivas varjele mitä sieltä tulee!

http://pastebin.com/FExpcnXD

Tuohonkin on muutama hölmö jo langennut."

Apua, mun pin-koodi oli tuolla sivulla. Pitääkö mun nyt lähettää luottokorttini numero, voimassaoloaika ja turvakoodi sähköpostitse osoitteeseen poliisi@gmail.com niinkuin pyydettiin? :p

Petteri Järvinen kirjoitti...

>"osoitteen salaisuudesta":
>tekstiviesteissä ja wap
>liikenteessä näkyy puhelimen
>numero.

Vain, jos puhelimen wap-asetuksista on valittu käyttöön surffaus wap-yhdyskäytävän kautta. Yleensä käytetään internet-yhdyskäytävää, jolloin numero ei liiku http-headereissa.

JarMom kirjoitti...

Lista perustuu suurelta osin joitakin vuosia sitten DC-hubeilta ladatuista tiedoista. Tuolloin hubeilta sai ladattua eri tiedostoina useiden oppilaitosten, yritysten ym. käyttäjätunnuksia, salasanoja ja hetuja.
Näitä on helppo yhdistellä "kimppaan" ja levittää jakoon tietomurron aikaansaannoksina.

Petteri Järvinen kirjoitti...

Tuo olisi aika hyvä selitys tähän asti nähdylle. Ilmeisesti joukossa on myös oikean tietomurron tietoja. Osa vuodetuista salasanoista on sellaisia, että niiden on oltava eri lähteestä eivätkä ne voi olla hash-koodeista murrettuja.

JarMom kirjoitti...

...Ilmeisesti joukossa on myös oikean tietomurron tietoja....

Jep. Tietomurtojen kautta nuo aikoinaan ilmaantuivat hubien levitykseen. Jos nyt oikein muistelen niin ainakin 4 oppilaitoksen tiedot löytyivät, mutta muistini mukaan näistä vain kahdessa olivat hetut mukana. Yritysten, kerhojen, harrastepiirien ja vastaavien sähköpostiosoitteita, salasanoja ja tunnuksia (joskus hetuja) löytyi sitten huomattaviakin määriä. Varmaankin toista sataa parin vuoden aikana, jotka vahingossa lipsahtivat käyttäjiltä jakoon.

Kaino Kivi kirjoitti...

Ultimatevw.com sivustolta on vuoto tapahtunut ennen ajankohtaa 16.9.2011, todennäköisesti ja varmuudella ainakin kerran jo ennen huhtikuuta 2011.

Julkaistut sähköpostiosoitteet on siis mitä ilmeisemmin poimittu vain jostakin roskapostien joukosta.

Website Security Test