CERT-FI varoitus 07/2007

13.10.2007
Suomalaisia verkkopalveluiden käyttäjätunnuksia sisältävä tiedosto verkossa

http://www.cert.fi/varoitukset/2007/varoitus-2007-7.html
-----------

omakohtaisia havaintoja vaikutuksista ?

huoh ! ei ollut omia tunnareita listalla, enkä pikavilkaisulla löytänyt tuttujakaan. ei taida olla sellaisten palveluiden juttuja kaivettu joissa minä käpistelen..

Lainaa (pekko5 @ Loka. 13 2007,21:43)
CERT-FI varoitus 07/2007

13.10.2007
Suomalaisia verkkopalveluiden käyttäjätunnuksia sisältävä tiedosto verkossa

http://www.cert.fi/varoitukset/2007/varoitus-2007-7.html
-----------

omakohtaisia havaintoja vaikutuksista ?

Tällainen lista pitäisi ehdottomasti julkaista, jos jollain tällaiseen on pääsy. Olis hyvä tarkistaa, ettei mitään omia tunnuksia löydy tuollaiselta listalta.

Oon kyllä yrittäny pitää kaikki "tärkeet" tunnukset erillään näistä webin yleisistä palsta tunnuksista yms. Kuitenkin, eihän sitä koskaan tiiä ...

-Mikko
Lainaa (mtkoskin @ Loka. 13 2007,21:55)
Tällainen lista pitäisi ehdottomasti julkaista, jos jollain tällaiseen on pääsy. Olis hyvä tarkistaa, ettei mitään omia tunnuksia löydy tuollaiselta listalta.

On se julkaistu : - klik -
Jeps. Useamman tutun tunnukset (passut md5:sena) löyty tuolta. Yhden tutun passu ja tunnus molemmat tekstinä. Tuommoisten tietojen kaappaaminen ei kovin kummallinen homma ole. Proxyista ja cachepalveluista saa pienellä scriptillä vastaavan datan ulos mikäli vaan saa oman koodinsa ujutettua serverille pyörimään. Yhtä kaikki: tuon tehneet kaipaisivat hieman  :loppuuhammaspesut:
Lainaa (Jassu @ Loka. 13 2007,22:08)
Lainaa (mtkoskin @ Loka. 13 2007,21:55)
Tällainen lista pitäisi ehdottomasti julkaista, jos jollain tällaiseen on pääsy. Olis hyvä tarkistaa, ettei mitään omia tunnuksia löydy tuollaiselta listalta.

On se julkaistu : - klik -

Kiitokset tästä listasta! Eipä löytynyt omia ...

-Mikko
muro BBS:ssä kohtuu vilkasta keskustelua aiheesta. tapaus allekirjoittaa sen ettei samaa salasanaa kannata käyttää useammassa palvelussa ja kannattaa tosiaan miettiä käyttääkö edes samaa nickiä... ylipäätään rekisteröityykö edes kaikkialle missä seikkailee..
Eipä tuo muro BBS:n lista auennut!?
Tarttee nyt varmuuden maksimoimiseksi kuitenki muutama salasana vaihtaa.
Lainaa (referee @ Loka. 14 2007,11:55)
Eipä tuo muro BBS:n lista auennut!?
Tarttee nyt varmuuden maksimoimiseksi kuitenki muutama salasana vaihtaa.

puritko sen paketin? sitten pitäis ainkin aueta
Lainaa (Salmon @ Loka. 14 2007,12:01)
puritko sen paketin? sitten pitäis ainkin aueta

Poistettu tuolta linkistä, ei siinä muuta. Nähtävästi latausmäärät olivat aikamoisia ja tuon listan levittäminen muutenkin on hieman niin ja näin.
Täältä voi tarkistaa löytyykö omaa tunnaria listalta.
Hmm, näyttäis siltä että oma Skype-tunnus on kaapattu. Perkele. Voisin keksiä hyvinkin jotain punishmenttiä niille kräkkäreille!  :loppuuhammaspesut:
Eipä ollut omia tunnuksia listalla, mutta taidan varmuuden vuoksi vaihdella salasanoja.
Lainaa (xs2jammu @ Loka. 14 2007,16:34)
Eipä ollut omia tunnuksia listalla, mutta taidan varmuuden vuoksi vaihdella salasanoja.

Sama juttu täällä.
Toi salasanojen vaihdon onnistuminen ei näytä olevankaan ihan helppoa... :(
Ainakin tapausta on osattu taas kommentoida mediassa todella asiantuntevasti. Eilisillasta lähtien vissiin kaikissa YLEn uutislähetyksissä on kehotettu käyttäjiä vaihtamaan salasanansa. Vielä kun kertoisivat mikä salasana pitäisi vaihtaa. :;):

Seuraavan kerran minäkin käsken vaihtamaan intterneetin salasanan kun joku sukulainen tai tuttava kyselee tyhmiä tietokoneisiin liittyen.  :p
muropaketin keskustelua seuranneena tulee sellainen olo että olen jo pudonnut "bittirattailta" ajat sitten. noh samasenväliä kun pysyis Yamahan satulassa edes. kannattaa lukea sitä murohuttua "sopivalla suodattimella" niin ymmärtää mitä teininikkarit osaa ja miksi salasanastolla on väliä.

vesissä on eroja - kuten keskustelupalstojen softissa
En oo vaihtanu, enkä vaihda, tällä perusteella. Huvikseni katoin eikä ollu 'murrettu' :D .
Muuten, olishan se kauheaa jos joku kirjoittelis vaikka orggiin jotain järkevää minun nimikilläni...  :kääk:  :bisseä:
Lainaa (pekko5 @ Loka. 15 2007,22:58)
... vesissä on eroja - kuten keskustelupalstojen softissa

Niin, tai kai lähinnä niiden softien ylläpidossa - tai ylläpitäjissä ylipäätänsä?
Lainaa (Koris @ Loka. 16 2007,01:14)
Lainaa (pekko5 @ Loka. 15 2007,22:58)
... vesissä on eroja - kuten keskustelupalstojen softissa

Niin, tai kai lähinnä niiden softien ylläpidossa - tai ylläpitäjissä ylipäätänsä?

Ei vika ole pelkästään ylläpidossa. Kyllä osa foorumisoftista on ihan onnettoman surkeesti koodattu. Eikä ylläpito voi välttämättä vaikuttaa esim. tietokantaan tallennettavien salasanojen salaustasoon, vaikka haluaisikin, jos softaa ei  ole lupa muokata. Kuten tuolla keskustelussa on mainittu niin pelkkä salasanojen kryptaaminen ei välttämättä auta, vaan ne kannattaa myös "suolata", mikä vahventaa salausta huomattavasti. Suolaus taas vaatii foorumisoftan muokkaamista, jos ja kun softa ei sitä vakiona tee. Siinä vaiheessa nousee varmaan 30% :lla eri foorumeiden ylläpitäjistä kädet pystyyn ja salasanat jää sillensä.

Näillä nettifoorumien salasanoillahan nyt ei ole suurta merkitystä, mutta ongelma on että ihmiset käyttää samoja salasanoja eri paikossa.
Ihmeen pitkään nuo tuolla kuitenkin kannoissa säilyvät :mitähäh: Tosin jos kerran systeemin muutkin ylläpidot (mm. security update) on laiminlyöty, niin eipä siltä pohjalta siivoamisenkaan laiminlyönti juuri enää yllätä :burnis: Tietty tältä pohjalta kuinka moni noista häkätyistä enää sitten ylipäätään toimii - vai ovatko myös käyttäjät sen verran mukavuudenhaluisia (=laiskoja) etteivät tunnareitaan edes säännöllisen epäsäännöllisesti päivittele :dunno:

Ihan suositeltava vinkin poikanen: RoboForm niminen softa ei ainoastaan generoi sulle noita vahvoja salasanoja, mutta myös muistaa ne ja säilyttää yhden master-salasanan takana, omalla koneellasi. Tuosta on myös maksullinen portable-versio (n. 40$), jolla voit tallettaa datan esim. USB-tikullesi ja näin kuljettaa "avaimia" mukanasi. Tikulle tallentuu myös tarvittava RoboFormin osanen jotta voit myös käyttää niitä missä tahansa, varsinaisesti asentamatta koneelle yhtään mitään :peukutpystyyn:

Edit: RoboFormin ilmaisversio on rajoitettu 10 tunnariin ja jos haluat enemmän, pitää ostaa ns. Pro-versio (n. 30$), mutta jo tuolla 10kpl tulee aika hyvin toimeen :)