*
 
AfterDawn: IT-alan uutiset

Suomi24.fi murrettiin, salasanat vaarassa

Kirjoittaja Matti Vähäkainu (Google+) @ 9.4.2010 17:20 Kommentteja (30)

Suomi24.fi murrettiin, salasanat vaarassa Verkkoyhteisö Suomi24.fi:n käyttäjätietokanta on anastettu. Suomen Viestintäviraston alainen tietoturvaviranomainen CERT-FI kertoo, että salasanat olivat palvelussa salattuina. Käyttäjätietojen varastamisen lisäksi murtautujat levittivät haittaohjelmaa Suomi24.fi:ssä.
Suomi24.fi kertoo, että murtautujan muutokset on poistettu sivustosta ja hyväksikäytetty haavoittuvuus on paikattu. Vaikka salasanat olivat salattu ja siten vaikea hyödyntää välittömästi, käyttäjien on syytä muuttaa palvelun salasanaa sekä muissa palveluissa käytettyä samaa salasanaa.

Sivuston tiedotteessa kerrotaan, että kyseessä oli ammattimainen hyökkäys ulkomailta.

Edellinen Seuraava  

30 kommenttia

19.4.2010 17:30

Jopas nyt viikottain jonnekin murtaudutaan...

29.4.2010 17:41
venne
Vahvistamaton

Vaikka salasanat olivat salattu ja siten vaikea hyödyntää "välittömästi" ...just joo! Totta on, että ei voi välittömästi, käyttää noita tunnus/salasana yhdistelmiä, mutta jokainen, joka osaa selaimeen googlen kirjoittaa, niin löytää softat, joilla kryptatut salasanat saa auki.

39.4.2010 18:13

no jotenkin en ihmettele tuatakaa. Tual suomi24 sivustolla on ihan älyttömästi käyttäjiä/sähköpostiosoitteita. Spammereille lisää kohteita. Taas vaihteeksi jotain murretaan :D

49.4.2010 18:25

Onnea vaan purkuyrityksen kanssa jos vähänkin kovempi kryptaus. Jee meni 15 vuotta purkuun ja sain vesa viiksen tunnukset. Hyödyllistä.

59.4.2010 18:29

Eivät sentään tallentaneet salasanoja tekstitiedostoon... :P

69.4.2010 18:49

Siis meinaakos tuo myös suomi24 maili tunnuksia?

79.4.2010 18:50

Lainaus, alkuperäisen viestin kirjoitti jere75:
Onnea vaan purkuyrityksen kanssa jos vähänkin kovempi kryptaus. Jee meni 15 vuotta purkuun ja sain vesa viiksen tunnukset. Hyödyllistä.
Veikkaampa että ei mitkään huippu super kryptaukset ole suomi24:ssä :|

89.4.2010 19:18

Tämmöistä Avast 5 ilmoitti aikaisemmin tänään.



99.4.2010 20:41

Lainaus, alkuperäisen viestin kirjoitti sampe73:
Tämmöistä Avast 5 ilmoitti aikaisemmin tänään.



Sama tuli mulla paripäivää sitten. Otin yhteyttä Suoli24 ylläpitoon ja kirjoitin asiasta tukipalstallekin, mutta aihe poistettiin! Hienoa toimintaa.

109.4.2010 21:14

Toivottavasti AD:ssa on osattu hoitaa nämä asiat paremmin...

119.4.2010 21:36

Kaikkien sivujen pitäisi nyt tehdä parannuksia suojauksiinsa! Ja heti! Ennen kun pahempaa tapahtuu.

129.4.2010 22:04

fAKE sivuilla tulee pitää fAke nimeä sekä fAke salasanaa.
on toi niin "laadukas" sivusto sentään.

139.4.2010 23:00

Lainaus, alkuperäisen viestin kirjoitti Kakkula:
Lainaus, alkuperäisen viestin kirjoitti jere75:
Onnea vaan purkuyrityksen kanssa jos vähänkin kovempi kryptaus. Jee meni 15 vuotta purkuun ja sain vesa viiksen tunnukset. Hyödyllistä.
Veikkaampa että ei mitkään huippu super kryptaukset ole suomi24:ssä :|
Väärin veikkasit. Jos salasanat on kryptattu esim. MD5:llä, joka on varsin yleinen, et sitä kuule kovin helpolla saa murrettua. Itseasiassa MD5:n murtaminen taitaa olla mahdotonta.

149.4.2010 23:22
MD5
Vahvistamaton

@EET

Tässä ei tarvitse murtaa välttämättä yhtään mitään. Valtaosa käyttäjistä luo niin huonoja salasanoja, että esim. http://project-rainbowcrack.com/ työkalulla voi luoda ns. rainbow-taulun, jolla on mahdollista avata salasanoja muutamassa sekunnissa. Homma
on tietysti vaikempaa jos Suomi24.fi on suolannut salasanansa.
Mutta aikalailla metsään menee arviosi MD5 algoritmin tasosta.

159.4.2010 23:30

Lainaus, alkuperäisen viestin kirjoitti EET:
Lainaus, alkuperäisen viestin kirjoitti Kakkula:
Lainaus, alkuperäisen viestin kirjoitti jere75:
Onnea vaan purkuyrityksen kanssa jos vähänkin kovempi kryptaus. Jee meni 15 vuotta purkuun ja sain vesa viiksen tunnukset. Hyödyllistä.
Veikkaampa että ei mitkään huippu super kryptaukset ole suomi24:ssä :|
Väärin veikkasit. Jos salasanat on kryptattu esim. MD5:llä, joka on varsin yleinen, et sitä kuule kovin helpolla saa murrettua. Itseasiassa MD5:n murtaminen taitaa olla mahdotonta.

Kaikista paras suoja omien tietojen säilymiselle on käyttää jokaisessa palvelussa omaa salasanaa. Suurin ongelma muodostuu siitä jos käyttäjätunnukset ja salasanat joutuvat vääriin käsiin ja noita tunnuksia käytetään monessa muussa paikassa jolloin noita tunnuksia oikeasti joku voi käyttää.


Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 10.4.2010 @ 11:40

169.4.2010 23:34
Eipou
Inactive

Yhden salasanan murtamiseen menee yhtä pitkä aika kuin tuhannen tai miljoonan. Eli jos murtamiseen menee kaksi viikkoa niin ei paha jos tuloksena on sadat tuhannet salasanat. Ja MD5 murtuu minuuteissa.

179.4.2010 23:40
MD5
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti Pihlis12:
MD5 on teoreettisesti mahdollista purkaa, mutta käytännössä mahdotonta. ... Suurin ongelma muodostuu siitä jos käyttäjätunnukset ja salasanat joutuvat vääriin käsiin ja noita tunnuksia käytetään monessa muussa paikassa jolloin noita tunnuksia oikeasti joku voi käyttää.

Katsopa http://en.wikipedia.org/wiki/MD5

Ja suurin ongelma muodostuu siitä, että valtaosa nettipalveluista säilyttää käyttäjätietoja edelleen leväperäisesti.

189.4.2010 23:48

Eipä tuo silti ole nykyään vaikeaa, helppokäyttöisiä ohjelmia on:

http://passwordnow.com/str.asp

ja valmiiksi löytyy myös ns. distributed rainbowtable passunmurtajia joten pienellä botnetillä murtaa 95% noista salasanoista alle vuorokaudessa helposti, loput murtuu ajan myötä - riippuen erikosmerkkien määrästä ja monimutkaisuudesta.

Tuonne voi syöttää 10 hashia kerralla ja kattoa mitä salasanoja löytyy: http://www.freerainbowtables.com/en/hashcracking/

MD5 on nykypäivänä yleisesti tietoturvapiireissä pidetty (ilman "suolaa") riittämättömänä ja suorastaan turvattomana. Nykyään vaaditaan lisäturvaa monessa muodossa ja salasana hashinä SHA+salt.

1910.4.2010 0:09

Lainaus, alkuperäisen viestin kirjoitti raatti:
Eipä tuo silti ole nykyään vaikeaa, helppokäyttöisiä ohjelmia on:

http://passwordnow.com/str.asp

ja valmiiksi löytyy myös ns. distributed rainbowtable passunmurtajia joten pienellä botnetillä murtaa 95% noista salasanoista alle vuorokaudessa helposti, loput murtuu ajan myötä - riippuen erikosmerkkien määrästä ja monimutkaisuudesta.

Tuonne voi syöttää 10 hashia kerralla ja kattoa mitä salasanoja löytyy: http://www.freerainbowtables.com/en/hashcracking/

MD5 on nykypäivänä yleisesti tietoturvapiireissä pidetty (ilman "suolaa") riittämättömänä ja suorastaan turvattomana. Nykyään vaaditaan lisäturvaa monessa muodossa ja salasana hashinä SHA+salt.
Katos joo näemmä tuo purku on aika simppeliä nykyään.

2010.4.2010 0:23

Lainaus, alkuperäisen viestin kirjoitti Ibanez90:
Kaikkien sivujen pitäisi nyt tehdä parannuksia suojauksiinsa! Ja heti! Ennen kun pahempaa tapahtuu.
Eipä se auta. Koodi on ihmisten tekemää, joten siellä on väistämättä aina jossain jokin aukko. Toki "best practices" -ajattelu auttaa jo paljon ettei nyt ihan mitään reikäjuustoa tehdä, mutta aina sitä löytyy se joku perjantai-iltapäivänä nopeasti kasattu pikkusivu, joka piti saada "yhtä juttua" varten, johon on sitten jäänyt sellainen rekanmentävä SQL injection -aukko.

Tärkeintä on kuitenkin huolehtia loppukäyttäjien vahingon minimoimisesta, eli salata salasanat kuten S24 oli tehnytkin.

2110.4.2010 2:59

Lainaus:
tseasiassa MD5:n murtaminen taitaa olla mahdotonta.

LOL ;-)


Suolaamaton MD5 murtuu hetkessä. Suolattu vaatii hieman aikaa, mutta brute-forcella pystyy murtamaan suurimman osan passuissa hyvin nopeasti. Ja se johtuu ihmisten tyhmyydestä. Yleensä salansanat ovat liian lyhyitä ja/tai helppoja.

2210.4.2010 6:44

****************************************************************
*** MD4/MD5/SHA1 GPU Password Recovery v0.62 ***
*** For ATI RV 7X0 cards and nVidia 'CUDA' ones (G80+) ***
*** (c) 2009 Ivan Golubev, http://golubev.com ***
*** see "readme.htm" for more details ***
****************************************************************
*** Any commercial use of this program is strictly forbidden ***
****************************************************************

Found 1 CAL device(s)
Starting brute-force attack, Charset Len = 36, Min passlen = 4, Max passlen = 10

Charset (unicode -> 0) [abcdefghijklmnopqrstuvwxyz0123456789]
Charset in HEX: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 7
6 77 78 79 7a 30 31 32 33 34 35 36 37 38 39
Starting from [aaaa]
Hash type: MD5, Hash: 32269ae63a25306bb46a03d6f38bd2b7
Device #0: [RV7x0] 790.00 Mhz 800 SP
Hardware monitoring enabled, threshold temperature is 90°C.
CURPWD: 23jzmfz DONE: 33.78% ETA: 42s AVRSPD: 1217.8M
Found password: [testmd5], HEX: 74 65 73 74 6d 64 35
Processed 28 714 205 184 passwords in 24s.
Thus, 1 217 374 196 password(s) per second in average.

Jep Eli 1217 Miljoonaa arvausta per sekuntti normi ATI HD4870 näytönohjaimella.... eli 24s kestää murtaa MD5 salasana mis on 7 merkkiä pieniä kirjaimia ja numeroita hehe eli lähes mahdotonta

ja siis pointti on siin et ite en osais murtautuu tollasel sivustolle mut kukatahansa ketä osaa käyttää googlea ni saa noi MD5:t auki

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 10.4.2010 @ 06:50

2310.4.2010 8:07
admins
Inactive

Lainaus, alkuperäisen viestin kirjoitti dRD:


Tärkeintä on kuitenkin huolehtia loppukäyttäjien vahingon minimoimisesta, eli salata salasanat kuten S24 oli tehnytkin.
Taisi käydä Suomi24:lla tuuri. Kun Älypään salasanavuoto tuli julki, muistaakseni jonki ajan päästä taisi Suomi24 olla kiinni.
Ehtivät juuri salata salasanat :)

2410.4.2010 20:21

Lainaus, alkuperäisen viestin kirjoitti VIPI87:
....

Ihan mielenkiinnosta, kauanko kestäis samanpituinen salasana jossa on sekä isoja että pieniä kirjaimia noiden numeroiden lisäksi.

2510.4.2010 22:20

Lainaus, alkuperäisen viestin kirjoitti keilatus:
Lainaus, alkuperäisen viestin kirjoitti VIPI87:
....

Ihan mielenkiinnosta, kauanko kestäis samanpituinen salasana jossa on sekä isoja että pieniä kirjaimia noiden numeroiden lisäksi.


****************************************************************
*** MD4/MD5/SHA1 GPU Password Recovery v0.62 ***
*** For ATI RV 7X0 cards and nVidia 'CUDA' ones (G80+) ***
*** (c) 2009 Ivan Golubev, http://golubev.com ***
*** see "readme.htm" for more details ***
****************************************************************
*** Any commercial use of this program is strictly forbidden ***
****************************************************************

Found 1 CAL device(s)
Starting brute-force attack, Charset Len = 62, Min passlen = 4, Max passlen = 7
Charset (unicode -> 0) [ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123
456789]
Charset in HEX: 41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 5
6 57 58 59 5a 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76
77 78 79 7a 30 31 32 33 34 35 36 37 38 39
Starting from [AAAA]
Hash type: MD5, Hash: d0be4e0801a176ebdd3bbd861a3e3649
Device #0: [RV7x0] 790.00 Mhz 800 SP
Hardware monitoring enabled, threshold temperature is 90°C.
CURPWD: 6P3FetW DONE: 49.56% ETA: 23m 53s AVRSPD: 1239.0M
Found password: [MD5test], HEX: 4d 44 35 74 65 73 74
Processed 1 803 299 061 760 passwords in 24m 16s.
Thus, 1 238 977 172 password(s) per second in average.

siin on isot, pienet, numerot ja 7merkkiä
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 10.4.2010 @ 22:31

2610.4.2010 23:05

Lainaus, alkuperäisen viestin kirjoitti VIPI87:


Jep Eli 1217 Miljoonaa arvausta per sekuntti normi ATI HD4870 näytönohjaimella.... eli 24s kestää murtaa MD5 salasana mis on 7 merkkiä pieniä kirjaimia ja numeroita hehe eli lähes mahdotonta



aika proota cräkätä näytönohjaimella noita

HIROSHIMA 45
TSHERNOBYL 86
WINDOWS 95

2711.4.2010 1:38
Croft
Inactive

No voi hyvä luoja! O_O Mikä ihme buumi tämä nyt oikein on, kiitos taas joudun vaihtamaan tunnuksia, vasta kun selvisin Älypään tapauksesta (jossa en edes enää ollut pitkään aikaan tunnuksella joka vietiin, olin poistanut aikoja sitten)... -_-'

2812.4.2010 11:33

Vaihdoin siellä salasanaa tuon jälkeen, vaikkei välttämättä olisi tarvinnutkaan.

2912.4.2010 12:25

Lainaus:
Vaihdoin siellä salasanaa tuon jälkeen, vaikkei välttämättä olisi tarvinnutkaan.

Kai pistit saman kuin ad:ssä :)

3012.4.2010 12:32

Lainaus, alkuperäisen viestin kirjoitti LaLLi80:
Lainaus:
Vaihdoin siellä salasanaa tuon jälkeen, vaikkei välttämättä olisi tarvinnutkaan.

Kai pistit saman kuin ad:ssä :)
En laittanut, aiempi oli sama, mutta tunnus oli eri. Mutta nyt siis molemmissa eri salasana. Tuo on kyllä suosituin salasanani, käytän sitä monessa paikassa.

Tämän uutisen kommentointi ei ole enää mahdollista.

Uutisarkisto