Suositulta keskustelufoorumulta vuoti 70.000 käyttäjän tiedot - tarkista oletko joukossa (päivitetty 09:40)
|
|
Viestiketjuun kuuluvat käyttäjäkommentit liittyvät tähän uutiseen:
uutinen julkaistu: 28 marraskuuta, 2011
Suositulta Helistin.fi-sivustolta on vuotanut julkisuuteen yli 70.000 käyttäjän käyttäjätunnukset, sähköpostiosoitteet ja salasanat. Vuodon taustalla vaikuttaa jälleen olevan samat tahot kuin aikaisemminkin, eli Anonymous Finlandiksi itseään kutsuva taho. Tiedot julkistetiin sekä Twitterin että ylilauta.fi-sivuston kautta. "AnonFinland" kuitenkin kiistää olleensa vuodon takana.
Vuodettu ... [ lue koko uutinen ]
Lue uutisartikkeli kokonaisuudessaan ennen kuin kommentoit aihetta.
|
Newbie
|
28. marraskuuta 2011 @ 09:45 |
Linkki tähän viestiin
|
Mielenkiintosta, mihkään noista palveluista en oo rekisteröitynyt, mut silti tuo tarkistuspalvelu löytää mun sähköpostiosoitteen.. :/
|
Zoomst
Junior Member
|
28. marraskuuta 2011 @ 09:56 |
Linkki tähän viestiin
|
|
Admin
9 tuotearviota
|
28. marraskuuta 2011 @ 10:25 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti jotain: Mielenkiintosta, mihkään noista palveluista en oo rekisteröitynyt, mut silti tuo tarkistuspalvelu löytää mun sähköpostiosoitteen.. :/
Tarkistuspalvelu on päivitetty näyttämään erikseen tarkat osumat ja "villin haun osumat". Eli jos osoite etunimi.sukunimi@osoite.fi löytyy listalta, kertoo haku "sukunimi@osoite.fi" että hakutermi löytyi osana pidempää osoitetta ja haku "etunimi.sukunimi@osoite.fi" kertoo että osoite löytyi (sellaisenaan) listalta.
Toivottavasti tämä parannus auttaa varmistamaan, onko oma osoite listalla! Kyseessä on niin suuri määrä osoitteita, että lyhyet osoitteet (esim. oma henk.koht. osoitteeni) löytyy listalta osana pidempiä osoitteita.
|
Newbie
|
28. marraskuuta 2011 @ 10:38 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Ketola: Lainaus, alkuperäisen viestin kirjoitti jotain: Mielenkiintosta, mihkään noista palveluista en oo rekisteröitynyt, mut silti tuo tarkistuspalvelu löytää mun sähköpostiosoitteen.. :/
Tarkistuspalvelu on päivitetty näyttämään erikseen tarkat osumat ja "villin haun osumat". Eli jos osoite etunimi.sukunimi@osoite.fi löytyy listalta, kertoo haku "sukunimi@osoite.fi" että hakutermi löytyi osana pidempää osoitetta ja haku "etunimi.sukunimi@osoite.fi" kertoo että osoite löytyi (sellaisenaan) listalta.
Toivottavasti tämä parannus auttaa varmistamaan, onko oma osoite listalla! Kyseessä on niin suuri määrä osoitteita, että lyhyet osoitteet (esim. oma henk.koht. osoitteeni) löytyy listalta osana pidempiä osoitteita.
Jees, kiitoksia.. :) Eli oli tosiaa osa pitempää osoitetta, en ois vaa ihan heti uskonu et jonkun toisen sähköpostiosoite loppuu tuollain, mut näköjää..
|
bfr
Senior Member
2 tuotearviota
|
28. marraskuuta 2011 @ 11:42 |
Linkki tähän viestiin
|
Käsittämätöntä millaisia salasanoja ihmiset käyttävät. Sanakirjasta löytyviä sanoja, nelinumeroisia lukuja(joista osa on luultavasti vielä automaattikorttien ja puhelimien PIN:ejä), lyhyitä ihmisten nimiä(luultavasti poika- ja tyttöystäviä, lapsia jne.).
Ansaitsevatkin saada pikku näpäytyksen.
|
overdose
Junior Member
|
28. marraskuuta 2011 @ 11:44 |
Linkki tähän viestiin
|
Oliko tämä nyt jo kolmas tietovuoto pienen ajan sisällä? Onko ylläpitäjät lomalla vai missä mättää, kun ei saada sitä tietoturvaa kuntoon. Salaisivat edes ne salasanat.
|
ArskaVi
Junior Member
|
28. marraskuuta 2011 @ 11:49 |
Linkki tähän viestiin
|
"Vuodettu lista..."
VUODETTU?!?
Kyseessä on varkaus.
V-A-R-K-A-U-S
Vrt:
"Pankki vuoti rahansa holvistaan kahdelle vuodon vastaanottaneelle miehelle viime yönä klo 03.00 aikoihin".
|
Senior Member
5 tuotearviota
|
28. marraskuuta 2011 @ 11:51 |
Linkki tähän viestiin
|
Mikäli haluat, niin salasanaa kannatta vaihtaa kerran vuorokaudessa, kuten armeijan laitteilla tehtiin jo 90-luvulla Nokian laitteilla. Salasanan pituus oli 25 merkkiä, ja silloinkin oli laskettu, että sen purkuun menee vain muutama vuorokausi, mutta silloin viestit olivat jo vanhoja.
Niin jos ketään kiinnostaa niin salaajille löytyy aina töitä.
Yleisesti, ei kannata mitään kovin tärkeää asiaa laittaa nettiin. Tosin tuskin kellään on syytä tulla paranoidiksi näissä jutuissa.
Internet, Vapaitten ihmisten tapa elää ilman rajoja tai Rajoituksia, ajatus Joka säilyy..
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2011 @ 11:52
|
Admin
9 tuotearviota
|
28. marraskuuta 2011 @ 11:55 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti ArskaVi: "Vuodettu lista..."
VUODETTU?!?
Kyseessä on varkaus.
V-A-R-K-A-U-S
Vrt:
"Pankki vuoti rahansa holvistaan kahdelle vuodon vastaanottaneelle miehelle viime yönä klo 03.00 aikoihin".
Tässä tapauksessa tietovuoto-termi on sikäli oikeutettu, että tiedot saatiin varastettua ilmeisimmin puutteellisesta tietoturvasta johtuen. Toki kyseessä on joka tapauksessa tietomurto/tietovarkaus, joka todennäköisesti johtaa poliisitutkintaan. Tietovuoto siitä tulee kuitenkin siinä vaiheessa kun varastetut tiedot laitetaan julkiseen levitykseen.
Potilastiedot varastetaan sairaalasta = tietovarkaus
Potilastiedot varastetaan sairaalasta ja julkistetaan = tietovuoto
|
Admin
9 tuotearviota
|
28. marraskuuta 2011 @ 12:00 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti repino: Mikäli haluat, niin salasanaa kannatta vaihtaa kerran vuorokaudessa, kuten armeijan laitteilla tehtiin jo 90-luvulla Nokian laitteilla. Salasanan pituus oli 25 merkkiä, ja silloinkin oli laskettu, että sen purkuun menee vain muutama vuorokausi, mutta silloin viestit olivat jo vanhoja.
Käsittääkseni sanomalaitteen (ja parsan) salausta muutettiin ensisijaisesti siksi, ettei "rakkaan rajanaapurin" kuuntelijat saisi riittävän kattavaa otosta erilaisia viestejä ja kykenisi niiden avulla purkamaan salausalgoritmiä. Tämän vuoksi oli myös kiellettyä samansisältöisten viestien lähettäminen eri avaimilla.
Todennäköisesti salaus on kyllä jo murrettu ja purkulaitteita käytössä niillä, joita viestien kuuntelu kiinnostaa.
|
Senior Member
|
28. marraskuuta 2011 @ 12:03 |
Linkki tähän viestiin
|
tiedä onkos jo kysytty mutta mites AD:n laita, että lähteekö täältäkin tiedot yhtä "helposti" kävelemään vääriin käsiin?
|
Member
|
28. marraskuuta 2011 @ 12:26 |
Linkki tähän viestiin
|
Taitaako muuten nämäkin kaikki olla ala-astelaisten ATK-tunnilla suorittamia SQL-injektioita tai sivujen salasanasuojattomia MySQL-tietokantoja?
Hirveitä skandaalimurtoja julistetaan ja kaikki on varpaillaan, vaikka mitään pelättävää ei oikeasti ole ellei ole rekkaillut itseään kaikkine tietoineen 4 kävijää/vuosi sivustoille.
Itse ainakin käytän eri salasanaa tärkeissä ja sitten yhtä ja samaa kaikissa turhissa palveluissa joissa ei ole mitään menetettävää.
Kyseessä ei ole mikään tietomurto jos sivun plaintext muotoisen salasanalistan tarkistamiseen ei edes vaadita salasanaa.
Miksi helvetti ne nyt ei edes hashaa niitä passuja? Tai simppelisti vain estä tuota SQL-injektiota?
Sitähän nämä ala-astelaiset nimenomaan haluavat kertoa, joidenkin pikkusivujen tietoturva ontuu naurettavan paljon.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2011 @ 12:43
|
I hate titles
35 tuotearviota
|
28. marraskuuta 2011 @ 12:32 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti munkki666: tiedä onkos jo kysytty mutta mites AD:n laita, että lähteekö täältäkin tiedot yhtä "helposti" kävelemään vääriin käsiin?
Tyypillisin tapa murtautua verkkopalveluihin lienee SQL injection -tekniikka. Käytännössä tekniikka tarkoittaa sitä, että joku sivuston yksittäinen sivu on koodattu, niin että sisääntulevista parametreistä ei parsita "vaarallisia" merkkejä pois.
Esimerkkinä siis vaikka joku palautekaavake (esim. palaute.php), joka lähettää HTTP:n yli seuraavalle sivulle (esim. tallenna_palaute.php) kaksi kenttää:
palauteteksti
lahettajannimi
Ja sitten tuo tallenna_palaute.php tallentaa tuon lähetetyn palautteen tietokantaan myöhempää käsittelyä varten:
INSERT INTO feedback(feedbacktext, sentby)
VALUES('kaavakkeelta-tullut-palauteteksti-muuttuja', 'kaavakkeelta-tullut-lahettajannimi-muuttuja')
Okei. Tässä tulee sitten se tietoturva osuus. SQL, speksien ja oletusarvon mukaan, voidaan "katkaista" useampaan eri lausekkeeseen puolipisteellä. Nyt, haxx0rina oletetaan, että käyttäjätaulu on nimeltään 'users' ja halutaan vaikka vain tehdä pahaa ja tuhotaan tuo koko taulu. Silloin SQL on muotoa:
DROP TABLE users
Nyt, hyväksikäytetään sitä, että puolipisteet tarkoittavat uutta komentoa SQL:ssa ja heittomerkki katkaisee stringin. Käytetään tuota palaute.php -kaavaketta ja annetaan sille arvot:
palauteteksti: You have been haxxored!
lahettajannimi: seppo'); DROP TABLE users;
Tällöin tuo tallenna_palaute.php tekee seuraavan rimpsun:
INSERT INTO feedback(feedbacktext, sentby)
VALUES('You have been haxxored!', 'seppo'); DROP TABLE users
Eli tallennetaan annettu palaute oikein, mutta ajetaan sen jälkeen koodi, joka tuhoaa koko käyttäjätiedot sisältävän taulun.
Vastaavilla kuvioilla, hieman soveltaen, voidaan hakea esim. käyttäjätaulun koko sisältö ja saada sivu tulostamaan se sisältö sellaisenaan. Ainoat tavat estää tuontyyppinen kikkailu, ovat:
1) Poistetaan tai escapoidaan _aina_ heittomerkki ja muut vastaavat SQL:n kannalta erikoismerkit kaikista sisääntulevistateksteistä, koodin päässä.
2) Rajataan tietokannan käyttöoikeutta niin, että esim. DROP -komentoa ei voida käyttää sivuston sivujen kautta, vaan ainoastaan tietokannan ylläpidon kautta.
3) Salataan salasanat aina, MD5/SHA1 + salt -yhdistelmällä, jolloin luettavaa salasanadataa ei ole olemassakaan.
...ongelma tulee siitä, että laajemmalla saitilla, on tuhansia eri sivuja, joista jokainen sivu tekee tyypillisesti 2-10kpl SQL -kyselyitä. Kaikkien noiden kymmenien tuhansien SQL-kyselyiden tarkistaminen helppojen ja monimutkaisempien SQL injection -tapojen kannalta on hyvin, hyvin hidasta ja vaivalloista. Usein ainakin yksi, harvoin käytetty template tuppaa unohtumaan tuollaisen testauksen ulkopuolelle. Jolloin ainoa täysin varma tapa estää salasanojen vuoto on huolehtia kohta 3 kuntoon, eli salasanat eivät saa olla koskaan talletettuna luettavassa muodossa.
Eli, teoriassa, käyttäjänimien ja sähköpostiosoitteiden vuotaminen meidänkin palvelusta on mahdollista, vaikkakin olemme 99.999% varmoja siitä, että olemme tilkinneet kaikki mahdolliset SQL injection -aukot sivuiltamme. Lisäksi käymme aika ajoin wanhaakin koodia läpi ja pyrimme etsimään erilaisia "aivopieruja" koodin seasta. Mutta salasanojen vuotaminen taas ei ole mahdollista, koska emme niitä mihinkään luettavassa muodossa tallenna.
|
Admin
9 tuotearviota
|
28. marraskuuta 2011 @ 12:38 |
Linkki tähän viestiin
|
Petteri tuossa yllä vastasikin melko kattavasti koodin puolesta. Tämän lisäksi varsinaiset palvelimet, joilla tiedot (ja niiden varmuuskopiot) sijaitsevat on suojattu monin eri teknisin keinoin. Näitä keinoja ovat mm. palomuurit, vahvat salasanat ja salausavaimet sekä erilaiset aktiiviset torjuntakeinot.
|
Lumikki
Senior Member
|
28. marraskuuta 2011 @ 13:07 |
Linkki tähän viestiin
|
Lainaus: Oliko tämä nyt jo kolmas tietovuoto pienen ajan sisällä? Onko ylläpitäjät lomalla vai missä mättää, kun ei saada sitä tietoturvaa kuntoon. Salaisivat edes ne salasanat.
Ei ne ole lomalla, vaan erillaisten palveluiden tietoturva taso on todellisuudessa ihan perseestä. Siis kysessä on yleinen ongelma joka koskee todennäköisesti suurinta osaa palveluja. Palvelujen rakentajat eivät välitä paskaakaa tai ymmärrä tietoturvan päälle. Halutaan vain palvelu joka toimii ja on helppo laittaa pystyyn, tietoturvan kustannuksella.
Hakkerit vain käyttävät nyt saamaansa julkisuutta hyväkseen tuodakseen ongelma esille, joka on vaivannut suurinta osaa palveluja jo vuosia.
|
I hate titles
35 tuotearviota
|
28. marraskuuta 2011 @ 14:03 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti qwqwqhhjj3: Lainaus: 2) Rajataan tietokannan käyttöoikeutta niin, että esim. DROP -komentoa ei voida käyttää sivuston sivujen kautta, vaan ainoastaan tietokannan ylläpidon kautta.
Tämähän nyt pitäisi olla perusasetus joka tapauksessa. Millekään prosessille ei pitäisi antaa enempää oikeuksia kuin ne tarvitsevat. Ihan siitä huolimatta vaikka sovellus olisikin muuten tietoturvallinen.
Jep, näinhän sen _pitäisi_ mennä, mutta ei mene :-) Aikanaan tein työkseni verkkosivujen kehitystä ja tuli nähtyä jos jonkinlaista infraa käytössä, isoissakin puljuissa. Usein web-koodaajana noista kun valitti, sua ei noteerattu mitenkään. Joten, ainoa tapa varmistaa siinä tapauksessa, että infraan et voi vaikuttaa, on varmistua SQL:n escapoinnista ja siitä, että passuja ei pistetä kantaan muutakuin salattuna/non-reverse-readablena.
Lainaus:
Lainaus: 3) Salataan salasanat aina, MD5/SHA1 + salt -yhdistelmällä, jolloin luettavaa salasanadataa ei ole olemassakaan.
Toikin on asia, jota ei ehkä kannattaisi lähteä keksimään itse uudestaan, vaan kannattaisi käyttää systeemikirjastossa valmiiksi olevaa crypt()-funktiota, joka käyttää salttia, ja uusimmissa versioissa käytetty hash-funktiokin on oletuksena SHA-512.
Toki, mutta tässä esimerkissä nyt lähinnä halusin hahmottaa tuota kokonaiskuvaa. Plus tietty tuoda sen esille, että web-ohjelmoinnissa käytettäviä kieliäkin on satoja, joista osassa nuo funktiot ovat olemassa valmiina, osassa ne pitää tehdä itse.
Lainaus, alkuperäisen viestin kirjoitti asdasdsafcfv: Lainaus: Jolloin ainoa täysin varma tapa estää salasanojen vuoto on huolehtia kohta 3 kuntoon, eli salasanat eivät saa olla koskaan talletettuna luettavassa muodossa.
Eikun noiden kaikkien kohtien tulisi pyrkiä pitämään kunnossa eikä vain pelkkä salasanojen hashaus.
Toki näin, mutta jälleen, realistina.. Kohdat 1 ja 2 ovat sellaisia, että niihin tulee pyrkiä, mutta joista ne aukot löytyvät, jos ovat löytyäkseen. Kohdan 3 laittamalla kuntoon kohdat 1 ja 2 menettävät tavallisen käyttäjän tietoturvan näkökulmasta valtaosan merkityksestään. Toki tämä ei poista kohtien 1 ja 2 tärkeyttä tietoturvan suhteen, mutta ymmärtänet pointin?
|
Senior Member
8 tuotearviota
|
28. marraskuuta 2011 @ 15:38 |
Linkki tähän viestiin
|
Omat tunnukset ei ole viellä ollut yhellekään listalla. Vuotoja on kuitenkin tapahtunut jo aika monta. Sitä hetkeä odotellessa kun omat tiedot löytyy jostain.
Olisi muuten hyvä jos pystyisi etsimään salasanan perusteella että onko oma salasana jonkun muun käytössä. Noin voisi myös löytää sen että onko joku vanha käyttäjä tunnus esimerkiksi tuolla kun aikoinaan käytti samaa salasanaa monessa paikkaa ym.
|
Mainos
|
|
|
AfterDawn Addict
|
28. marraskuuta 2011 @ 19:29 |
Linkki tähän viestiin
|
On kyllä outoa, näin isoja rekistereitä säilytellään ihan plain textinä. Tässä olisi lainsäätäjillä kyllä suomessakin töitä, koska on kyllä outoa, että näistä ei joudu rekisterin pitäjät vastuuseen, vaikka ihan perus tietoturva-asioita on laiminlyöty ihan kunnolla. Sitten kyllä kaikkia mahdollisia lakeja säädetään ties mihin, mutta ihmisten tietojen vuotaminen on kuitenkin ihan laillista, vaikka näissäkin tapauksissa tosiaan hash:aamalla salanat olisi kuitenkin hyvän salasanan valinneet välttyneet tältä ongelmalta. Tai enpä usko, että kukaan jaksaa alkaa bruteforcettamaan auki yksittäistä random salasanaa hasheista, joihin on lisätty vielä "suolaakin".
Nykypäivänä, jos haluaa välttyä näiltä ongelmilta (kun tietoja säilytellään miten sattuu), niin kaikkia palveluita kannattaa käyttää simppelisti siten, että joka ikinen kerta kirjautuessaan nollaa salasanansa ja käyttää jotain random generoitua salasanaa. Toki jos haluaa säästää vähän mailien määrässä, niin laittaa rastin ruutuun "pidä minut kirjautuneena", niillä koneilla, joihin ei ole muilla pääsyä.
Google hoitaa tämän asian kyllä esimerkillisesti, jos ottaa tililleen käyttöön kahden vaiheen varmennuksen. Menee lähelle suomessa toimivien pankkien verkkopalvelujen tasoa.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2011 @ 19:31
|