Advarer mot passordlekkasjer

Advarer mot passordlekkasjer

Passordskandale har rammet blogg-Sverige. Per Thorsheim tror det samme kan skje i Norge.

- Det som har skjedd av passordlekkasjer i Sverige kan fort skje i Norge også, advarer Per Thorsheim, sikkerhetsekspert hos EDB Ergogroup og passordforsker.

En voksende passordskandale har rystet Sverige de siste dagene, og tok helt av i gårsdagens svenske nyhetsbilde. Hackere har stukket av med brukernavn og passord fra svært mange populære svenske blogg-tjenester, som også har brukere fra journalistisk og politisk hold.

Det begynte med bloggtoppen.se, der brukerdatabasen med 93.000 lett krypterte passord plutselig viste seg å ligge lett tilgjengelig på internett. Så ble det avslørt ytterligere 57 tjenester som var hacket på samme vis, trolig med en mye brukt teknikk som kalles SQL-injeksjon. Alt fra nettsiden til Eslövs kommune til slektsforskningsnettstedet genealogi.se. Totalt var det offentliggjort minst 180.000 linjer med brukernavn og lett krypterte passord.

Så viste deg seg senere på dagen at også Gratisbio.se er hacket på tilsvarende vis, og at ytterligere 211.000 konti var fritt vilt.

Politiker Twitter-kuppet

Passordene har stort sett vært kryptert via såkalt hashing, der passordene konverteres til det ugjenkjennelige via en algoritme. Problemet med hashing er at algoritmen alltid vil generere det samme resultatet på samme passord, så ved å generere en hel haug hasher selv kan man sammenligne sine hasher mot tjenestens hash og på denne måten finne passordet om det er i listen. Dette kalles et rainbow-angrep.

Et annet problem er at folk flest bruker samme passord over alt. Så om hackere får tak i passord ved å rainbow-angripe den lekkede databasen til eksempelvis Gratisbio.se, har de som regel også implisitt skaffet seg adgang til den samme brukerens Facebook, Twitter, Gmail, Paypal og jobbepost.

Dette kom seg til syne i Sverige, da riksdags-politiker William Petzälls Twitter-konto plutselig spredte passord-hasher tilhørende svenske journalisters epostkonto.

Petzälls nektet bekjentskap til det hele, og hans konto viste seg også å være hacket - høyst trolig via samme rekke allerede nevnte angrep mot blogg-tjenester og småforum.

Svensk ordliste

Flere av disse lekkasjene skal ha skjedd for flere måneder siden, men det er først nå hackerne har begynt å misbruke informasjonen som har ligget tilgjengelig.

- Fyren som lakk passordene la ut tre meldinger om det på Twitter, den første er fra 15. august. Disse meldingene inneholdt fire lenker totalt, deriblant en ordliste med svenske setninger med riktig oppbygning. Så han er nok svensk, og det er nok også han som står bak selve hackingen, sier Per Thorsheim til Computerworld.

Når det gjelder Bloggtoppen.se var hashingen i MD5-format. Og den algoritmen er altså barnemat å knekke via rainbow-angrep, med mindre den tekniske løsningen har lagt til såkalt salt, som fiffig nok kan sees på som et slags krydder for å forvirre angriperne og vanskeliggjøre angrep.

- MD5 i seg selv uten salt er en veldig, veldig vanlig løsning i forumer brukt på nettet. Og sikkerhetsmessig nesten den dårligste løsningen du kan bruke utenom klartekst, sier Thorsheim.

Kan fort ramme Norge

Hvis folk har gode passord, er rainbow-angrep mer vanskelig. Men folk flest har ikke gode passord. Passord som 123456 eller 123abc og lignende varianter er stadig verdens mest brukte passord. Er det noe skurkene har hasher klare for å sammenligne med, så er det de. Når tjenestene heller ikke har hatt passordpolicy som har forhindret slike svake passord, er det ikke vanskelig å se trøbbel i horisonten.

Thorsheim ber oss nordmenn stramme inn passordrutinene. Han mener det bare er et tidsspørsmål før det samme rammer norske bloggtjenester og forum, om det ikke allerede har skjedd.

- Norske stortingspolitikere bruker jo også tjenester som blogger, Facebook og Twitter. Hvis en norsk bloggtjeneste blir kompromittert er det rimelig høy sannsynlighet for at det samme antatt dårlige passordet også brukes på andre tjenester, og kanskje til og med på jobbmailen på Stortinget. Da risikerer man at uvedkommende får tilgang til informasjon de ikke bør se, sier han.

Samme scenario gjelder selvfølgelig også forretningsfolk, journalister, leger og Ola Nordmann generelt, om han bruker samme passord på jobbmail som på eventuelle bloggtjenester og ulike nettforum.

- Dette kan selvfølgelig også skje i Norge - om det ikke alt har skjedd, sier Thorsheim, med referanse til at de tidligste bruddene i Sverige må ha skjedd før medio august, samtidig som konsekvensene ikke kom til syne før denne uka.

Uansvarlige hobbyprosjekt

Problemet er at svært mange forum og blogger rundt om på nettet kjøres som hobbyprosjekter, slik som Bloggtoppen.se er. Da er kanskje ikke fokuset på passordkryptering og patching tilstrekkelig.

- Tjenesteeierne tar ikke høyde for at passordet lekket fra dem kan misbrukes til å for eksempel misbruke en Paypal-konto. Det er ikke en juridisk feil tankegang, men det er moralsk feil.

Problemet må sees i kombinasjon med at folk bruker dårlige passord.

- Noen tjenesteleverandører sier bare at dumme brukere bør vite bedre. Jeg mener det er viktigere å ha søkelys på at tjenesteleverandører som tillater brukerne å ha dårlige passord. Hvis tjenesten tillater passord som 123456 må brukeren gå ut fra at tjenesteleverandøren mener passordet er ok, og brukeren har heller ingen kompetanse til å påstå noe annet, sier Thorsheim.

Han ber tjenesteeiere være sitt moralske ansvar bevisst.

- Jeg tviler på at folk flest sjekker om tjenesten har god sikkerhet. Folk flest går etter et sted det er mange bloggere og fin layout.

Bloggtoppen.se er inntil videre stengt, og alle blogger som var på tjenesten er altså ikke lenger tilgjengelig.

"Bloggtoppen er stengt inntil videre for systemvedlikehold på grunn av antatt sikkerhetsbrudd. Ukjente angripere kan ha kommet over brukerdatabasen med brukernavn, epostadresser samt hashede passord, som betyr at om du som bruker har brukt samme innloggingsdetaljer på andre tjenester på nettet risikerer disse kontoene å bli kapret. Vi anbefaler alle brukere å umiddelbart bytte passord på alle konto som bruker samme innloggingsdetaljer som her.", står det nå på å lese på Bloggtoppen.se.

Følger oppdateringsløp

Thomas Moen er mannen bak den norske tjenesten Ipublish.no, som er basert på den populære Wordpress-plattformen. Plattformen oppdaterer de når det kommer oppdateringer, ifølge Moen.

- Vi er flinke til å ivareta sikkerhet, og følger oppdateringene som kommer. Så jeg føler meg komfortabel med vår sikkerhet. Wordpress har såpass mange millioner brukere over hele verden at det plukkes kjapt opp om det dukker opp sikkerhetsproblemer, sier han.

Wordpress har også innebygget funksjon som ikke godkjenner visse typer ekstremt dårlige passord.

- Kan et slikt sikkerhetsbrudd hende hos dere?

- Det er jo noe som heter at det eneste som er sikkert, er at ingenting er sikkert. Så jeg kan ikke garantere at det ikke vil skje, men vi har tatt alle forholdsregler og det er veldig viktig for oss at brukerne føler seg trygge. Fordi vi har valgt Wordpress føler via t vi har tatt gode steg for å være sikre, sier Moen.

Daglig leder i den veldig populære tjenesten blogg.no, Rafiq Charania, var ikke tilgjengelig for kommentar da Computerworld ringte med spørsmål om hvordan sikkerhetsregime de kjører.