User Käyttäjä Salasana  
   
maanantai 23.12.2024 / 13:51
Hae keskustelualueilta:        In English   Suomeksi   På svenska
afterdawn.com > keskustelu > yleinen keskustelu > keskustelua uutisista > suositulta keskustelufoorumulta vuoti 70.000 käyttäjän tiedot - tarkista oletko joukossa (päivitetty 09:40)
Näytä aiheet
 
Keskustelualueet
Keskustelualueet
Suositulta keskustelufoorumulta vuoti 70.000 käyttäjän tiedot - tarkista oletko joukossa (päivitetty 09:40)
  Siirry:
 
Viestiketjuun kuuluvat käyttäjäkommentit liittyvät tähän uutiseen:

Suositulta keskustelufoorumilta vuoti yli 73.000 käyttäjän tiedot - tarkista oletko joukossa

uutinen julkaistu: 28 marraskuuta, 2011

Suositulta Helistin.fi-sivustolta on vuotanut julkisuuteen yli 70.000 käyttäjän käyttäjätunnukset, sähköpostiosoitteet ja salasanat. Vuodon taustalla vaikuttaa jälleen olevan samat tahot kuin aikaisemminkin, eli Anonymous Finlandiksi itseään kutsuva taho. Tiedot julkistetiin sekä Twitterin että ylilauta.fi-sivuston kautta. "AnonFinland" kuitenkin kiistää olleensa vuodon takana. Vuodettu ... [ lue koko uutinen ]

Lue uutisartikkeli kokonaisuudessaan ennen kuin kommentoit aihetta.
Kirjoittaja Viesti
Newbie
_
28. marraskuuta 2011 @ 09:45 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Mielenkiintosta, mihkään noista palveluista en oo rekisteröitynyt, mut silti tuo tarkistuspalvelu löytää mun sähköpostiosoitteen.. :/
Zoomst
Junior Member
_
28. marraskuuta 2011 @ 09:56 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Admin

9 tuotearviota
_
28. marraskuuta 2011 @ 10:25 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti jotain:
Mielenkiintosta, mihkään noista palveluista en oo rekisteröitynyt, mut silti tuo tarkistuspalvelu löytää mun sähköpostiosoitteen.. :/
Tarkistuspalvelu on päivitetty näyttämään erikseen tarkat osumat ja "villin haun osumat". Eli jos osoite etunimi.sukunimi@osoite.fi löytyy listalta, kertoo haku "sukunimi@osoite.fi" että hakutermi löytyi osana pidempää osoitetta ja haku "etunimi.sukunimi@osoite.fi" kertoo että osoite löytyi (sellaisenaan) listalta.

Toivottavasti tämä parannus auttaa varmistamaan, onko oma osoite listalla! Kyseessä on niin suuri määrä osoitteita, että lyhyet osoitteet (esim. oma henk.koht. osoitteeni) löytyy listalta osana pidempiä osoitteita.


Jari Ketola
Administrator
http://www.AfterDawn.com
Newbie
_
28. marraskuuta 2011 @ 10:38 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti Ketola:
Lainaus, alkuperäisen viestin kirjoitti jotain:
Mielenkiintosta, mihkään noista palveluista en oo rekisteröitynyt, mut silti tuo tarkistuspalvelu löytää mun sähköpostiosoitteen.. :/
Tarkistuspalvelu on päivitetty näyttämään erikseen tarkat osumat ja "villin haun osumat". Eli jos osoite etunimi.sukunimi@osoite.fi löytyy listalta, kertoo haku "sukunimi@osoite.fi" että hakutermi löytyi osana pidempää osoitetta ja haku "etunimi.sukunimi@osoite.fi" kertoo että osoite löytyi (sellaisenaan) listalta.

Toivottavasti tämä parannus auttaa varmistamaan, onko oma osoite listalla! Kyseessä on niin suuri määrä osoitteita, että lyhyet osoitteet (esim. oma henk.koht. osoitteeni) löytyy listalta osana pidempiä osoitteita.

Jees, kiitoksia.. :) Eli oli tosiaa osa pitempää osoitetta, en ois vaa ihan heti uskonu et jonkun toisen sähköpostiosoite loppuu tuollain, mut näköjää..
bfr
Senior Member

2 tuotearviota
_
28. marraskuuta 2011 @ 11:42 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Käsittämätöntä millaisia salasanoja ihmiset käyttävät. Sanakirjasta löytyviä sanoja, nelinumeroisia lukuja(joista osa on luultavasti vielä automaattikorttien ja puhelimien PIN:ejä), lyhyitä ihmisten nimiä(luultavasti poika- ja tyttöystäviä, lapsia jne.).

Ansaitsevatkin saada pikku näpäytyksen.
overdose
Junior Member
_
28. marraskuuta 2011 @ 11:44 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Oliko tämä nyt jo kolmas tietovuoto pienen ajan sisällä? Onko ylläpitäjät lomalla vai missä mättää, kun ei saada sitä tietoturvaa kuntoon. Salaisivat edes ne salasanat.
ArskaVi
Junior Member
_
28. marraskuuta 2011 @ 11:49 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
"Vuodettu lista..."

VUODETTU?!?

Kyseessä on varkaus.

V-A-R-K-A-U-S

Vrt:
"Pankki vuoti rahansa holvistaan kahdelle vuodon vastaanottaneelle miehelle viime yönä klo 03.00 aikoihin".
Senior Member

5 tuotearviota
_
28. marraskuuta 2011 @ 11:51 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Mikäli haluat, niin salasanaa kannatta vaihtaa kerran vuorokaudessa, kuten armeijan laitteilla tehtiin jo 90-luvulla Nokian laitteilla. Salasanan pituus oli 25 merkkiä, ja silloinkin oli laskettu, että sen purkuun menee vain muutama vuorokausi, mutta silloin viestit olivat jo vanhoja.
Niin jos ketään kiinnostaa niin salaajille löytyy aina töitä.
Yleisesti, ei kannata mitään kovin tärkeää asiaa laittaa nettiin. Tosin tuskin kellään on syytä tulla paranoidiksi näissä jutuissa.

Internet, Vapaitten ihmisten tapa elää ilman rajoja tai Rajoituksia, ajatus Joka säilyy..

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2011 @ 11:52

Admin

9 tuotearviota
_
28. marraskuuta 2011 @ 11:55 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti ArskaVi:
"Vuodettu lista..."

VUODETTU?!?

Kyseessä on varkaus.

V-A-R-K-A-U-S

Vrt:
"Pankki vuoti rahansa holvistaan kahdelle vuodon vastaanottaneelle miehelle viime yönä klo 03.00 aikoihin".
Tässä tapauksessa tietovuoto-termi on sikäli oikeutettu, että tiedot saatiin varastettua ilmeisimmin puutteellisesta tietoturvasta johtuen. Toki kyseessä on joka tapauksessa tietomurto/tietovarkaus, joka todennäköisesti johtaa poliisitutkintaan. Tietovuoto siitä tulee kuitenkin siinä vaiheessa kun varastetut tiedot laitetaan julkiseen levitykseen.

Potilastiedot varastetaan sairaalasta = tietovarkaus

Potilastiedot varastetaan sairaalasta ja julkistetaan = tietovuoto


Jari Ketola
Administrator
http://www.AfterDawn.com
Admin

9 tuotearviota
_
28. marraskuuta 2011 @ 12:00 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti repino:
Mikäli haluat, niin salasanaa kannatta vaihtaa kerran vuorokaudessa, kuten armeijan laitteilla tehtiin jo 90-luvulla Nokian laitteilla. Salasanan pituus oli 25 merkkiä, ja silloinkin oli laskettu, että sen purkuun menee vain muutama vuorokausi, mutta silloin viestit olivat jo vanhoja.
Käsittääkseni sanomalaitteen (ja parsan) salausta muutettiin ensisijaisesti siksi, ettei "rakkaan rajanaapurin" kuuntelijat saisi riittävän kattavaa otosta erilaisia viestejä ja kykenisi niiden avulla purkamaan salausalgoritmiä. Tämän vuoksi oli myös kiellettyä samansisältöisten viestien lähettäminen eri avaimilla.

Todennäköisesti salaus on kyllä jo murrettu ja purkulaitteita käytössä niillä, joita viestien kuuntelu kiinnostaa.


Jari Ketola
Administrator
http://www.AfterDawn.com
Senior Member
_
28. marraskuuta 2011 @ 12:03 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
tiedä onkos jo kysytty mutta mites AD:n laita, että lähteekö täältäkin tiedot yhtä "helposti" kävelemään vääriin käsiin?
Member
_
28. marraskuuta 2011 @ 12:26 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Taitaako muuten nämäkin kaikki olla ala-astelaisten ATK-tunnilla suorittamia SQL-injektioita tai sivujen salasanasuojattomia MySQL-tietokantoja?
Hirveitä skandaalimurtoja julistetaan ja kaikki on varpaillaan, vaikka mitään pelättävää ei oikeasti ole ellei ole rekkaillut itseään kaikkine tietoineen 4 kävijää/vuosi sivustoille.
Itse ainakin käytän eri salasanaa tärkeissä ja sitten yhtä ja samaa kaikissa turhissa palveluissa joissa ei ole mitään menetettävää.
Kyseessä ei ole mikään tietomurto jos sivun plaintext muotoisen salasanalistan tarkistamiseen ei edes vaadita salasanaa.
Miksi helvetti ne nyt ei edes hashaa niitä passuja? Tai simppelisti vain estä tuota SQL-injektiota?
Sitähän nämä ala-astelaiset nimenomaan haluavat kertoa, joidenkin pikkusivujen tietoturva ontuu naurettavan paljon.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2011 @ 12:43

I hate titles

35 tuotearviota
_
28. marraskuuta 2011 @ 12:32 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti munkki666:
tiedä onkos jo kysytty mutta mites AD:n laita, että lähteekö täältäkin tiedot yhtä "helposti" kävelemään vääriin käsiin?
Tyypillisin tapa murtautua verkkopalveluihin lienee SQL injection -tekniikka. Käytännössä tekniikka tarkoittaa sitä, että joku sivuston yksittäinen sivu on koodattu, niin että sisääntulevista parametreistä ei parsita "vaarallisia" merkkejä pois.

Esimerkkinä siis vaikka joku palautekaavake (esim. palaute.php), joka lähettää HTTP:n yli seuraavalle sivulle (esim. tallenna_palaute.php) kaksi kenttää:

palauteteksti
lahettajannimi

Ja sitten tuo tallenna_palaute.php tallentaa tuon lähetetyn palautteen tietokantaan myöhempää käsittelyä varten:


INSERT INTO feedback(feedbacktext, sentby)

VALUES('kaavakkeelta-tullut-palauteteksti-muuttuja', 'kaavakkeelta-tullut-lahettajannimi-muuttuja')

Okei. Tässä tulee sitten se tietoturva osuus. SQL, speksien ja oletusarvon mukaan, voidaan "katkaista" useampaan eri lausekkeeseen puolipisteellä. Nyt, haxx0rina oletetaan, että käyttäjätaulu on nimeltään 'users' ja halutaan vaikka vain tehdä pahaa ja tuhotaan tuo koko taulu. Silloin SQL on muotoa:


DROP TABLE users

Nyt, hyväksikäytetään sitä, että puolipisteet tarkoittavat uutta komentoa SQL:ssa ja heittomerkki katkaisee stringin. Käytetään tuota palaute.php -kaavaketta ja annetaan sille arvot:

palauteteksti: You have been haxxored!
lahettajannimi: seppo'); DROP TABLE users;

Tällöin tuo tallenna_palaute.php tekee seuraavan rimpsun:


INSERT INTO feedback(feedbacktext, sentby)

VALUES('You have been haxxored!', 'seppo'); DROP TABLE users

Eli tallennetaan annettu palaute oikein, mutta ajetaan sen jälkeen koodi, joka tuhoaa koko käyttäjätiedot sisältävän taulun.

Vastaavilla kuvioilla, hieman soveltaen, voidaan hakea esim. käyttäjätaulun koko sisältö ja saada sivu tulostamaan se sisältö sellaisenaan. Ainoat tavat estää tuontyyppinen kikkailu, ovat:

1) Poistetaan tai escapoidaan _aina_ heittomerkki ja muut vastaavat SQL:n kannalta erikoismerkit kaikista sisääntulevistateksteistä, koodin päässä.

2) Rajataan tietokannan käyttöoikeutta niin, että esim. DROP -komentoa ei voida käyttää sivuston sivujen kautta, vaan ainoastaan tietokannan ylläpidon kautta.

3) Salataan salasanat aina, MD5/SHA1 + salt -yhdistelmällä, jolloin luettavaa salasanadataa ei ole olemassakaan.

...ongelma tulee siitä, että laajemmalla saitilla, on tuhansia eri sivuja, joista jokainen sivu tekee tyypillisesti 2-10kpl SQL -kyselyitä. Kaikkien noiden kymmenien tuhansien SQL-kyselyiden tarkistaminen helppojen ja monimutkaisempien SQL injection -tapojen kannalta on hyvin, hyvin hidasta ja vaivalloista. Usein ainakin yksi, harvoin käytetty template tuppaa unohtumaan tuollaisen testauksen ulkopuolelle. Jolloin ainoa täysin varma tapa estää salasanojen vuoto on huolehtia kohta 3 kuntoon, eli salasanat eivät saa olla koskaan talletettuna luettavassa muodossa.

Eli, teoriassa, käyttäjänimien ja sähköpostiosoitteiden vuotaminen meidänkin palvelusta on mahdollista, vaikkakin olemme 99.999% varmoja siitä, että olemme tilkinneet kaikki mahdolliset SQL injection -aukot sivuiltamme. Lisäksi käymme aika ajoin wanhaakin koodia läpi ja pyrimme etsimään erilaisia "aivopieruja" koodin seasta. Mutta salasanojen vuotaminen taas ei ole mahdollista, koska emme niitä mihinkään luettavassa muodossa tallenna.

Petteri Pyyny (pyyny@twitter)
Webmaster
https://AfterDawn.com/
Admin

9 tuotearviota
_
28. marraskuuta 2011 @ 12:38 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Petteri tuossa yllä vastasikin melko kattavasti koodin puolesta. Tämän lisäksi varsinaiset palvelimet, joilla tiedot (ja niiden varmuuskopiot) sijaitsevat on suojattu monin eri teknisin keinoin. Näitä keinoja ovat mm. palomuurit, vahvat salasanat ja salausavaimet sekä erilaiset aktiiviset torjuntakeinot.

Jari Ketola
Administrator
http://www.AfterDawn.com
Lumikki
Senior Member
_
28. marraskuuta 2011 @ 13:07 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus:
Oliko tämä nyt jo kolmas tietovuoto pienen ajan sisällä? Onko ylläpitäjät lomalla vai missä mättää, kun ei saada sitä tietoturvaa kuntoon. Salaisivat edes ne salasanat.

Ei ne ole lomalla, vaan erillaisten palveluiden tietoturva taso on todellisuudessa ihan perseestä. Siis kysessä on yleinen ongelma joka koskee todennäköisesti suurinta osaa palveluja. Palvelujen rakentajat eivät välitä paskaakaa tai ymmärrä tietoturvan päälle. Halutaan vain palvelu joka toimii ja on helppo laittaa pystyyn, tietoturvan kustannuksella.

Hakkerit vain käyttävät nyt saamaansa julkisuutta hyväkseen tuodakseen ongelma esille, joka on vaivannut suurinta osaa palveluja jo vuosia.
I hate titles

35 tuotearviota
_
28. marraskuuta 2011 @ 14:03 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Lainaus, alkuperäisen viestin kirjoitti qwqwqhhjj3:
Lainaus:
2) Rajataan tietokannan käyttöoikeutta niin, että esim. DROP -komentoa ei voida käyttää sivuston sivujen kautta, vaan ainoastaan tietokannan ylläpidon kautta.
Tämähän nyt pitäisi olla perusasetus joka tapauksessa. Millekään prosessille ei pitäisi antaa enempää oikeuksia kuin ne tarvitsevat. Ihan siitä huolimatta vaikka sovellus olisikin muuten tietoturvallinen.
Jep, näinhän sen _pitäisi_ mennä, mutta ei mene :-) Aikanaan tein työkseni verkkosivujen kehitystä ja tuli nähtyä jos jonkinlaista infraa käytössä, isoissakin puljuissa. Usein web-koodaajana noista kun valitti, sua ei noteerattu mitenkään. Joten, ainoa tapa varmistaa siinä tapauksessa, että infraan et voi vaikuttaa, on varmistua SQL:n escapoinnista ja siitä, että passuja ei pistetä kantaan muutakuin salattuna/non-reverse-readablena.


Lainaus:
Lainaus:
3) Salataan salasanat aina, MD5/SHA1 + salt -yhdistelmällä, jolloin luettavaa salasanadataa ei ole olemassakaan.
Toikin on asia, jota ei ehkä kannattaisi lähteä keksimään itse uudestaan, vaan kannattaisi käyttää systeemikirjastossa valmiiksi olevaa crypt()-funktiota, joka käyttää salttia, ja uusimmissa versioissa käytetty hash-funktiokin on oletuksena SHA-512.
Toki, mutta tässä esimerkissä nyt lähinnä halusin hahmottaa tuota kokonaiskuvaa. Plus tietty tuoda sen esille, että web-ohjelmoinnissa käytettäviä kieliäkin on satoja, joista osassa nuo funktiot ovat olemassa valmiina, osassa ne pitää tehdä itse.

Lainaus, alkuperäisen viestin kirjoitti asdasdsafcfv:
Lainaus:
Jolloin ainoa täysin varma tapa estää salasanojen vuoto on huolehtia kohta 3 kuntoon, eli salasanat eivät saa olla koskaan talletettuna luettavassa muodossa.
Eikun noiden kaikkien kohtien tulisi pyrkiä pitämään kunnossa eikä vain pelkkä salasanojen hashaus.
Toki näin, mutta jälleen, realistina.. Kohdat 1 ja 2 ovat sellaisia, että niihin tulee pyrkiä, mutta joista ne aukot löytyvät, jos ovat löytyäkseen. Kohdan 3 laittamalla kuntoon kohdat 1 ja 2 menettävät tavallisen käyttäjän tietoturvan näkökulmasta valtaosan merkityksestään. Toki tämä ei poista kohtien 1 ja 2 tärkeyttä tietoturvan suhteen, mutta ymmärtänet pointin?

Petteri Pyyny (pyyny@twitter)
Webmaster
https://AfterDawn.com/
Senior Member

8 tuotearviota
_
28. marraskuuta 2011 @ 15:38 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
Omat tunnukset ei ole viellä ollut yhellekään listalla. Vuotoja on kuitenkin tapahtunut jo aika monta. Sitä hetkeä odotellessa kun omat tiedot löytyy jostain.

Olisi muuten hyvä jos pystyisi etsimään salasanan perusteella että onko oma salasana jonkun muun käytössä. Noin voisi myös löytää sen että onko joku vanha käyttäjä tunnus esimerkiksi tuolla kun aikoinaan käytti samaa salasanaa monessa paikkaa ym.
Mainos
_
__
 
_
AfterDawn Addict
_
28. marraskuuta 2011 @ 19:29 _ Linkki tähän viestiin    Lähetä käyttäjälle yksityisviesti   
On kyllä outoa, näin isoja rekistereitä säilytellään ihan plain textinä. Tässä olisi lainsäätäjillä kyllä suomessakin töitä, koska on kyllä outoa, että näistä ei joudu rekisterin pitäjät vastuuseen, vaikka ihan perus tietoturva-asioita on laiminlyöty ihan kunnolla. Sitten kyllä kaikkia mahdollisia lakeja säädetään ties mihin, mutta ihmisten tietojen vuotaminen on kuitenkin ihan laillista, vaikka näissäkin tapauksissa tosiaan hash:aamalla salanat olisi kuitenkin hyvän salasanan valinneet välttyneet tältä ongelmalta. Tai enpä usko, että kukaan jaksaa alkaa bruteforcettamaan auki yksittäistä random salasanaa hasheista, joihin on lisätty vielä "suolaakin".

Nykypäivänä, jos haluaa välttyä näiltä ongelmilta (kun tietoja säilytellään miten sattuu), niin kaikkia palveluita kannattaa käyttää simppelisti siten, että joka ikinen kerta kirjautuessaan nollaa salasanansa ja käyttää jotain random generoitua salasanaa. Toki jos haluaa säästää vähän mailien määrässä, niin laittaa rastin ruutuun "pidä minut kirjautuneena", niillä koneilla, joihin ei ole muilla pääsyä.

Google hoitaa tämän asian kyllä esimerkillisesti, jos ottaa tililleen käyttöön kahden vaiheen varmennuksen. Menee lähelle suomessa toimivien pankkien verkkopalvelujen tasoa.

Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 28. marraskuuta 2011 @ 19:31

afterdawn.com > keskustelu > yleinen keskustelu > keskustelua uutisista > suositulta keskustelufoorumulta vuoti 70.000 käyttäjän tiedot - tarkista oletko joukossa (päivitetty 09:40)
 

Apua ongelmiin: AfterDawnin keskustelualueet | AfterDawnin Vastaukset
Uutiset: IT-alan uutiset | Uutisia puhelimista
Musiikkia: MP3Lizard.com
Tuotearviot: Laitevertailu | Vertaa puhelimia | Vertaa kännykkäliittymiä
Pelit: Pelitiedostot, pelidemot ja trailerit
Ohjelmat: download.fi | AfterDawnin ohjelma-alueet
International: AfterDawn in English | Software downloads | Free, legal MP3s | AfterDawn på svenska
RSS -syötteet: AfterDawnin uutiset | Uusimmat ohjelmapäivitykset | Keskustelualueiden viestit
Tietoja: Tietoa AfterDawn Oy:stä | Mainosta sivuillamme | Sivuston käyttöehdot ja tietoja yksityisyydensuojasta
Ota yhteyttä: Lähetä palautetta | Ota yhteyttä mainosmyyntiimme
 
  © 1999-2024 AfterDawn Oy