Hasła użytkowników Wykop.pl wyciekły

« wszystkie wpisy | reklama: Porównywarka cen

Sobota, 05 września 2009 :: 21:37:29

Hasła użytkowników Wykop.pl wyciekły

Dziś okazało się, że ~~pół roku~~ kilka tygodni temu* (sic!) z Wykopu udało się ściągnąć kompletną bazę danych (w tym hasła użytkowników). Administracja Wykopu nie wspomniała o tym ani słowa, tłumacząc się teraz dość mętnie "dobrem śledztwa". Nie ma się co dziwić, nikt nie lubi się przyznawać do błędów. Szkoda tylko, że administratorzy Wykopu nie ostrzegli kilkudziesięciu tysięcy swoich użytkowników, że ktoś ma ich hasła i należałoby je zmienić, zwłaszcza w innych serwisach, jeśli (nierozsądnie) wszędzie wykorzystują to samo hasło...

Jak doszło do włamania?

Do wycieku bazy doszło poprzez włamanie nie na główny serwer Wykopu, ale na jedną z deweloperskich (służących do testów) maszyn... Prześledźmy zatem, co poszło nie tak, i jakie błędy popełniła załoga Wykopu.

Mam nadzieję, że ten case-study będzie świetną przestrogą dla wszystkich startupów, a także dobrym wyjaśnieniem tego co się stało, dla tych, którzy nie mają zbyt wielkiej wiedzy w temacie bezpieczeństwa komputerowego i czytając komentarze dotyczące włamania na Wykop.pl, nie wiedzą komu ufać i kto mówi prawdę.

Czego Wykop (i wy) nie powiniście robić

1. Nie trzymaj serwerów deweloperskich na publicznych adresach IP. Naprawdę łatwo można poznać ile (i jakich) adresów IP należy do danej organizacji. Wystarczy odpytać bazę Whois.

2. Filtruj dostęp do usług, które nie są wymagane do działania serwisu. Jeśli ktoś pozna adresy IP należące do Wykopu (patrz punkt 1) może je przeskanować za pomocą chociażby nmapa, aby dowiedzieć się jakie usługi są udostępniane, w których wersjach i czy w którejś z nich wykryto jakieś dziury...
Rozumiem, że SSH, czy FTP mogą znacznie ułatwić testowanie/konfigurację webaplikacji, ale nie powinny one być dostępne dla każdego internauty!. Serwery deweloperskie należy trzymać "za firewallem" - dostęp zewnątrz tylko z tzw. białej listy, przez VPN/SSH.

3. Zmieniaj domyślne hasła (i konfigurację serwera). Bo inaczej spotka Cię kara. Wykop postawił na wygodę - żadnego filtrowania - programiści mogli testować serwis z domu, pociągu, kawiarenki internetowej, a nawet iPhone'a siedząc na kibelku ;) Ale Wykop wygodę zrozumiał dość frywolnie, bo oprócz braku restrykcji w dostępie do serwera, nie ustawiono nawet hasła dla konta administratora bazy danych... i to właśnie doprowadziło do włamania.

Nikt nie musiał odpalać żadnych exploitów lub łamać haseł -- ich po prostu nie było!

4. Nie wrzucaj produkcyjnej bazy na testowy serwer. To jest wielkie no-no. Naprawdę warto poświęcić nawet kilka godzin, aby wygenerować testowe dane. To nic w porównaniu z tym, co może się stać, jeśli przeniesie się oryginalną bazę z serwera produkcyjnego na testowy, czyli luźniej skonfigurowany, i przez to łatwiejszy do zaatakowania, bo często z włączonymi komunikatami błędów i nie tak mocną polityką bezpieczeństwa. To posłało na dno jedną z instytucji finansowych (sprawdzających swoją webaplikację na prawdziwych numerach kart kredytowych swoich klientów), a w przypadku Wykopu umożliwiło pobranie haseł użytkowników.

5. "Posól" hasła użytkowników. Na szczęście, Wykop hasła użytkowników trzymał w postaci hashy SHA1 (w przeciwieństwie do innego dużego i bardziej znanego Polakom polskiego portalu, który swoje hasła trzyma w bazie jawnym tekstem...).
Używanie funkcji skrótu przy zapisie haseł pomaga, ale nie eliminuje możliwości poznania hasła! Hashe można "odwrócić" za pomocą ataków brute-force (próba hashowania hasła a, aa, aaa, aab, aac, etc. i porównania wyniku z tym co w bazie) lub tzw. Rainbow Tables (czyli skorzystania z już obliczonego słownika skrótów i porównania ich przechwyconymi). Oba ataki byłyby trudniejsze, gdyby hasła użytkowników były "solone" (do hasła użytkownika, przed hashowaniem, dołączany jest prefiks). W implementacji banalne, a zdecydowanie podnosi bezpieczeństwo hasła.

6. Nie używaj tego samego hasła na różnych serwisach!!! To co prawda nie rada dla Wykopu, ale dla jego użytkowników. Jeśli używali tego samego hasła do konta pocztowego (które również jest w rękach włamywaczy) czy innego serwisu, to mają problem. Niektórym już pojawiły się niechciane przedmioty w "Kupionych" na Allegro...

Naprawdę, to nie jest trudne ułożyć sobie silne, a zarazem łatwe do zapamiętania hasło dla każdego z serwisów. Wystarczy zbudować je wg poniższego schematu:

niebieska 8!8 rekawiczka

Dwa słowa, odzielone liczbą lub znakiem specjalnym. Takie hasło jest niesłownikowe, długie, i łatwe do zapamiętania. To naprawdę najlepszy kompromis pomiędzy bezpieczeństwem a pamięcią potrzebną do przechowania hasła.

Polityka posiadania długich, losowych haseł, które w dodatku trzeba zmieniać co 2 tyg. jest w moim odczuciu głupia. Większośc użytkowników nie jest w stanie zapamiętać takiego hasła, co skutkuje tzw. słonecznikiem — czyli zapisaniem hasła na żółtej karteczce i przyklejeniem jej do monitora...

Druga strona włamania

Oprócz haseł użytkowników, z wyciekniętej bazy można dowiedzieć się innych interesujących rzeczy - chociażby adresu e-mail (prawdziwego?) administratora, który odkrywa demaskuje swój drugi biznes, a także jego hasła - porównajcie hash SHA1 dla "qwerty" wyliczony tutaj z obrazkiem poniżej:

Wyciek haseł to nie jedyny problem, bo jak widać, z bazy można wywnioskować o wiele więcej...

AKTUALIZACJA (7/9/2009)
Właściciel Wykopu opublikował swoje oświadczenie w sprawie włamania na YouTube. Niestety, nie jest ono bogate w nowe informacje.

____
* Przechwycona baza pochodzi sprzed pół roku. Dokładna data włamania nie została określona — ale jeśli wierzyć administratorom Wykopu, było to "kilka tygodni temu".

• Następny post: Zawieś Vistę i Windows 7
• Poprzedni post: Katastrofy lotnicze - jak ich uniknąć?

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

Tagi: ⌘ baza danych ⌘ hacked ⌘ hasła ⌘ wyciek ⌘ wykop ⌘ wykop.pl

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

1. carstein Sobota, 05 września 2009, 21:45:18

Epic fail. No ale tak to jest, jak dzieci robią sobie serwis.

ps. Serwery developerskie/testowe się trzyma w wewnętrznej, wydzielonej sieci wewnątrz firmy - dostęp to może sobie być, ale przez VPN - whitelistowanie IP-ów to kiepski pomysł.

Piotr Konieczny Sobota, 05 września 2009, 21:47:30

Carstein: dostęp z wewnętrznej sieci często odpada (pewnie i tak było w tym przypadku) ze względu na "telepraco-programistów".

Do konfiguracji VPN-a nierzadko trzeba mieć większego skilla - a shh otwarte na świat postawić prawie każdy potrafi... ;-)

mcv Sobota, 05 września 2009, 21:50:41

„ataki byłyby trudniejsze, gdyby hasła użytkowników były saltowane”

Myślę, że słowo „posolone” było by bardziej zrozumiałe. ;-)

A od pamiętania długich losowych haseł są przeglądarki. Użytkownik musi pamiętać jedynie hasło do bazy haseł przeglądarkowych.

Paolo Sobota, 05 września 2009, 21:50:46

Czyli co nieco wyjaśniłeś Piotr. Skoro cała sytuacja miała miejsce pół roku temu, a wtedy jeszcze konta tam nie miałem - niepotrzebnie zacząłem masowo zmieniać hasła, które i tak były najróżniejsze w różnych serwisach.

Niemniej jednak sytuacja co najmniej nie poważna, a w dzisiejszym świecie jak pisał przedmówca po prostu dziecinna.

5. Adriano Sobota, 05 września 2009, 21:52:05

bq. A od pamiętania długich losowych haseł są przeglądarki. Użytkownik musi pamiętać jedynie hasło do bazy haseł przeglądarkowych.

Myślisz, że takie rozwiązania są bezpiecznie? Wątpię.

Piotr Szymczak Sobota, 05 września 2009, 21:52:35

Teraz chyba aktualny slogan to "cała polska zmienia hasła, zmień i TY" :)

mcv Sobota, 05 września 2009, 21:53:27

Jeszcze odnośnie przeglądarek: jeśli ktoś nie ufa przeglądarce (a niektórym nie powinno się ufać), może trzymać hasła w szyfrowanym pliku, tak jak ja. ;-) A na serwisach i tak jestem permanentnie zalogowany, więc wcale nie muszę do niego często sięgać.

mcv Sobota, 05 września 2009, 21:54:02

Adriano: Nie. W gruncie rzeczy nie istnieją rozwiązania bezpieczne.

Piotr Konieczny Sobota, 05 września 2009, 21:54:40

mcv: to prawda, zmieniam. (Arghh... nienawidzę polskich odpowiedników angielskich zwrotów, zwłaszcza w terminologii technicznej).

Co do przeglądarek, to trochę boli, jak się pliki przeglądarki posypią... :> Ale polecam managera haseł w Operze - sam korzystam. Korzystam też z pliku tekstowego, w którym zapisuje hasła, szyfruje symetrycznie via GPG, i umieszczam w kilku miejscach.

10.

Piotr Konieczny Sobota, 05 września 2009, 21:55:34

mvc: permanentne zalogowanie, to takie nadstawianie pupy na CSRF-owego klapsa ;-)

11.

mcv Sobota, 05 września 2009, 21:57:09

Akurat w przypadku wykopu czy innych podobnych wcale mnie ten CSRF nie przeraża. :þ Ważniejsze serwisy same uniemożliwiają dłuższe zalogowanie. :-)

12. Wampiryczny blog Sobota, 05 września 2009, 21:58:20

I chciałoby się powiedzieć: a nie mówiłem?!

Chodzi oczywiście o wyciek danych z Wykop.pl. Piotrek Konieczny już napisał kilka słów na ten temat, więc ja trochę inaczej: a nie mówiłem?!

I dlatego warto mieć jedno hasło...,
O przechowywaniu haseł,

Napiszę to jeszcze raz: uż[...]

13. carstein Sobota, 05 września 2009, 22:09:10

Piko:
Ja wszystko rozumiem, że to trudne postawić vpn'a, że programiści muszą mieć dostęp z zewnątrz itp.

Ale każdy epic fail to konsekwencja małych wpadek, często jednostkowo wręcz śmiesznych (zresztą tak samo jest w przypadku wypadków lotniczych).
Maszyna developerska z dostępem zewnętrznym, brak hasła, baza produkcyjna, brak salta. Żadna z tych rzeczy sama w sobie nie jest krytyczna (no może poza brakiem hasła).

Każdy z nas popełnia błędy - ale popełnić ich tyle to amatorszczyzna.

14.

wzs Sobota, 05 września 2009, 22:10:31

Tyle razy na wykopie śmiano się z innych, a tu proszę - wszystko co dało się zrobić źle to chyba zrobiono (może poza plaintextem...)

BTW: z tym adminem to akurat bullshit, to jakiś zwykły, zbanowany na dodatek user.

15.

Piotr Konieczny Sobota, 05 września 2009, 22:13:59

Carstein: Ja ich nie tłumaczę, żeby nie było ;-) Należy im się jak nikomu innemu (vide komentarz wzs).

A na marginesie ostatnio zastanawiałem się, który portal musiałby takiego epic-faila przeżyć, żeby trafić do jak największej ilości osób nieświadomych z informacją, co grozi za to samo hasło w każdym miejscu. I teraz dochodzę do wniosku, że Wykop jest jak znalazł -- myślę, że tysiące "młodzieży" dzięki tej wpadce choć trochę zostanie uświadomiona w temacie polityki haseł.

wzs: wyjaśnij proszę drugą część swojej wypowiedzi - konto admin nie należy/należało do admina Wykopu?

16.

WZS Sobota, 05 września 2009, 22:21:12

tak, na stronie profilu nawet jest "użytkownik zbanowany"

17. wampir Sobota, 05 września 2009, 22:21:23

Ja się trochę przyczepię do fragmentu o generowaniu danych testowych. Wygenerowanie odpowiednich danych testowych nie jest zadaniem trywialnym, osoby zajmujące się testami QA mogłyby wiele na ten temat powiedzieć. Wykorzystanie rzeczywistych, choć nieaktualnych, danych jest dość powszechną praktyką. Tu trzeba jednak wyważyć dwie potrzeby, z jednej strony skuteczność testów QA, z drugiej bezpieczeństwo danych. Jednym z możliwych rozwiązań tego problemu jest "odpersonalizowanie" danych przed użyciem ich w środowisku testowym.

18.

Piotr Konieczny Sobota, 05 września 2009, 22:27:11

Wampir: 100% racji. Generowanie danych testowych najłatwiej zacząć od anonimizowania realnej próbki. Ale i z tym często bywają problemy (patrz wyciek logów wyszukiwarki AOL - tak zanonimizowany, ze udało się namierzyć całkiem sporą rzeszę internautów)

Stąd, nie wiem, czy nie lepszym/bezpieczniejszym wyjściem jest jednak generowanie wszystkiego od zera...

Na marginesie, z PR-owego punktu widzenia, jakby ktoś odkrył, że na jakimś dziwnym IP, jest sobie klon wykopu, gdzie sa wypowiedzi 1:1 skopiowane, a np. nicki inne - też musieliby się gęsto tłumaczyć... dzienni^Wamatorzy taniej sensacji nie popuściliby, a połowa użytkowników by im zawtórowała, używając jakichś czczych argumentów :-)

19. Sharpek Sobota, 05 września 2009, 22:35:23

"4. Nie wrzucaj produkcyjnej bazy na testowy serwer."

Ciężko tak, zwłaszcza jeśli chce się pracować nad serwisem który wymaga ciągłej optymalizacji, etc, etc.

Wystarczyło tylko wykonać jedno zapytanie które zmienia wszystkie hasła i maile. Wtedy taka baza danych nie jest już tak groźna.

20. carstein Sobota, 05 września 2009, 22:47:21

@Sharpek:
Nie wrzucaj produkcyjnej bazy na serwer o niższym poziomie zabezpieczeń niż serwer, z którego dane skopiowałeś.
(tutaj był długi wywiad o modelach dostępu, zasadach itp, ale zamiast tego proponuje przeczytać 7 i 8 rozdział z Security Enginering).

21.

Zal Sobota, 05 września 2009, 22:47:52

Jak dzieje się coś głośnego w polskim I-necie to można mieć pewność, że zaraz gdzieś tam odezwą się ludzie z Joggera - jako twórcy, wybawcy itp. Wszystkie drogi prowadzą do Joggera ;D

Swoją drogą, nie wiem, jak to Flaker robi, ale strasznie zamula wyświetlanie stron z jego JS-em pod Firefoksem ;p

22. Sharpek Sobota, 05 września 2009, 22:50:36

@carstei:
Zabezpieczenia to wiadomo, domyślnie root w mysql to brak hasła.

Chodziło mi raczej o by nigdy nie wrzucać tych danych na serwer testowy. Nieważne, nie zrozumiałeś mnie :)

23.

Piechuła Sobota, 05 września 2009, 22:53:30

Przy logowaniu na konto admina na wykopie, pojawia się komunikat: "użytkownik zbanowany, Powód: "
;)

24. Gynvael Coldwind Sobota, 05 września 2009, 23:31:35

Pół roku od włamania do informacji. Profesjonalnie, nie ma co ;>

25.

zammer Sobota, 05 września 2009, 23:47:38

Ponoć do wycieku wcale NIE doszło pół roku temu, tylko baza wzięta do testów była SPRZED pół roku...

Taka mała uwaga.

26. Paweł Sobota, 05 września 2009, 23:48:13

A co to za duży serwis, trzymający hasła jako zwykły tekst, o którym piszesz? ;)

27.

Piotr Konieczny Sobota, 05 września 2009, 23:49:43

Paweł: A... nie powiem Ci :P Lepiej zmień hasła wszędzie :)

Zammer: dopisałem *. Niestety, brakuje wiarygodnej informacji kiedy dokładnie nastąpiło włamanie...

28. Jurgi Sobota, 05 września 2009, 23:54:40

Erofotki.pl, roześmiałem się w głos…

29.

zammer Niedziela, 06 września 2009, 00:02:18

Piotr: cała sprawa kręci się wokół "pewnego serwisu chanowego", gdzie wewnętrzne rozgrywki między (nie bójmy się tak tego nazwać) trollami prowadzą do takich właśnie akcji. Szpanują, jacy to z nich "hakierzy", a cała zabawa sprowadza się głównie do korzystania z LOIC pod Windows Vista. Nie szukając daleko - owi spryciarze rzucili się na joggera z tymże programikiem (a potem jeden z nich tłumaczył, że myślał, że to czyjś wordpress prywatny jest). Gdybyś przebrnął chociaż przez część komentarzy na wykopie oraz pogrzebał na tym serwisie "chanowym", zauważyłbyś kilka ciekawych faktów: 1) baza wyciekła całkiem niedawno 2) była to w zdecydowanej większości wina administracji wykopu, a nie kwestia ich zdolności 3) padały oskarżenia, że screeny, na których widać potwierdzenia zakupów na allegro nie mają żadnego związku z tym wyciekiem bazy, a po prostu są efektem "raidu" osoby, która wcześniej aktywnie działała na "pewnym serwisie chanowym", a obecnie z nimi poszła na noże i dodała ten wykop.

Sam sprawę śledziłem dziś w wolnych chwilach, ale... Tylko śledziłem. Ręce już opadają, a Lem się w grobie przewraca. Bo okazuje się, że na świecie jest jeszcze więcej idiotów.

30. Mekk Niedziela, 06 września 2009, 00:09:52

Włamanie było nie więcej niż miesiąc temu, w transkrypcie

http://www.wykop.pl/ramka/232212/wyciekla-baza-danych-wykopu

jest wymieniana data 27 lipca (data poprawki w mod_deflate), musiało to być później.

31.

zammer Niedziela, 06 września 2009, 00:14:08

I jeszcze jedna uwaga co do pewnego komentarza ;) Paolo: "...niepotrzebnie zacząłem masowo zmieniać hasła, które i tak były najróżniejsze w różnych serwisach." - jeśli miałeś różne, to po co zacząłeś zmieniać? Trochę nie rozumiem takiej paniki. Jeśli ukradną Ci klucz od drzwi do piwnicy, to wymieniasz zamki w całym domu? ;)

A na sam koniec już: na wykopowym blogu można przeczytać, że do włamania doszło "kilka tygodni temu", więc nie przesądzałbym tu od razu o półrocznym opóźnieniu. Dziś przecież o tym pisali: http://www.wykop.pl/blog/post/55 i dziś też rozsyłali maile do użytkowników o potrzebnej zmianie hasła. Taki lekki niesmak pozostaje. Aczkolwiek przyszło mi do głowy, że mogło być tak, że policja zapukała do drzwi któregoś z "hakierów" i dlatego też w gorączce całej (i prawdopodobnej kłótni między nimi) pojawił się ów wykop, który wymusił na administracji zajęcie oficjalnego stanowiska.

Zresztą, czort ich wszystkich wie. Ze swojej strony mam nadzieję, że w przypadku wyjaśnienia całej sprawy na joggerze będzie jeszcze o tym głośno :)

32.

carstein Niedziela, 06 września 2009, 00:14:12

@zammer:
Naprawdę z naszego punktu widzenia mało istotne jest kto tam kogo nie lubi, jakich narzędzi używa i jak bardzo posysa.

My się po prostu śmiejemy z epic faila wykopu :)

Wojenki script kiddies były zabawne, ale jak byłem w liceum :P

33.

zammer Niedziela, 06 września 2009, 00:17:03

carstein: gorzej, że te "wojenki" odbijają się czkawką w szerszym gronie. Jak również Jogger cały się przekonał niecały miesiąc temu.

34.

carstein Niedziela, 06 września 2009, 00:18:09

A jeszcze jedno: tłumaczenie się z późnego poinformowania użytkowników jakimiś dochodzeniem policyjnym jest tak słabe, że obalanie tego, to jak kopanie leżącego ;)

35.

Piotr Konieczny Niedziela, 06 września 2009, 00:27:29

zammer: Mnie w sumie rybka, czy włamanie miało miejsce miesiąc, czy 6 miesięcy temu -- to naprawde nie ma znaczenia i nie jest "największym" problemem...

36. PiotrB Niedziela, 06 września 2009, 00:29:11

"(w przeciwieństwie do innego dużego i bardziej znanego Polakom polskiego portalu, który swoje hasła trzyma w bazie otwartym tekstem...). "
To też jest raczej informacja niepotwierdzona, kiedyś robiłem testy na całkiem sporej bazie userów, >70% da się złamać bf wspomaganym słownikowo w krótkim czasie. I można wtedy wysłać info do userów, ale musi być ono odpowiednio przygotowane (na pewno nie przez markotoidów), tak, żeby nie było wątpliwości jak we wspomnianym przypadku.

37. augustus Niedziela, 06 września 2009, 01:02:24

Heh, tak się przymierzałem do przesiadki na KeePass czy coś podobnego, to jest okazja. Z drugiej strony, nawet nigdzie hasła nie zmieniłem, wątpię żeby ktoś miał ochotę przejąć moje konta na paru niszowych forach, gdzie ono zadziała.

38.

groszek Niedziela, 06 września 2009, 01:15:14

Heh heh, ale odkrywczy wpis :> nikt się nie spodziewał że nie powinno się wystawiać bazy na świat w ten sposób.
Swoją drogą, hasło typu "rękawiczka ! cośtam" nie jest wcale takie dobre, gdy się zastosuje "markov generator" przystosowany do danego języka.

39. buraczek Niedziela, 06 września 2009, 06:08:55

Haha admin wykopu to admin Erofotki.pl? OWNED!!! :D

40. Gynvael Coldwind Niedziela, 06 września 2009, 08:27:33

@zammer
Ah, chyba że tak ;>

41. Ettercap Niedziela, 06 września 2009, 09:53:53

Można także stosować 3-4 hasła do większości witryn, powiedzmy wg. gradacji ważności tych stron. Nie jest to najbezpieczniejsze, ale przynajmniej nie trzeba się martwić o pocztę gdy ktoś zrobi dumpa bazy z nk czy innego masowca. Na bubla typu Wykop niestety potrzeba unikalne :).

42. Mekk Niedziela, 06 września 2009, 10:08:47

@jablko http://www.keepassx.org/

A parę najważniejszych haseł (banki itd) - tak, pamiętać.

43.

Voter101 Niedziela, 06 września 2009, 10:37:39

Eee tam. Ja mam swoje hasło w 4 wersjach i żadnego nie ruszy żaden atak słownikowy ( wredna literka w środku wyrazu, czy to cyferka w jakimś miejscu i różny rozmiar litery ). Robię tak od 5 lat i nie mam problemu, a konta na wykopie nie mam. :)

44. Ślubek Niedziela, 06 września 2009, 11:05:14

A ja hasła do Wykopu nie zmienię.

Nie wiem, jakiego rodzaju hasła mają inni, ale mi system ustawił dawno temu losowe dziesięcioznakowe z wielkimi, małymi literami oraz cyframi (korzystam oczywiście z Firefoksa). Jest oczywiście inne niż hasła, których używam do innych serwisów. Zmiana go byłaby w tym wypadku (IMHO) przerostem paranoi.

45. gf Niedziela, 06 września 2009, 11:49:58

@buraczek

Nie, konto 'admin' nie ma nic wspólnego z administracją wykopu. Adminami są t__d i m__b - wystarczy spojrzeć na wykopowy blog.

46. Karol „Zal” Zalewski - Blog Niedziela, 06 września 2009, 13:40:17

Sposób na generowanie haseł

Widzę, że ostatnio wszyscy (patrz groszek, kUtek, Piotr Konieczny) piszą o tym, ja generować hasła do różnych serwisów tak, aby były one bezpieczne, a przy okazji łatwe do zapamiętania, lub wygenerowanie. Oto i mój sposób, o którym ju

47. Corvax Niedziela, 06 września 2009, 13:47:55

Moja rada na hasła: coś kiedyś wygenerowało mi pseudolosowe hasło (małe i duże litery, znaki specjalne i cyfry), które dziwnym trafem zapamiętałem. Do tego hasła dodaję na końcu zafixowaną nazwę serwisu (wg mi znanego wzoru). Dzięki temu mam unikalne, długie i ciężkie do złamania brute forcem hasła.

Przykładowo: DaDx1yif$blobe - DaDx1yif$ to losowy prefiks (który da się zapamiętać;)) "blobe" to sufiks który stanowi 3 pierwsze i 2 ostatnie litery z urla serwisu do którego tworzymy hasło (http://blog.konieczny.be/). Oczywiście sposób tworzenia sufiksu może być bardziej wyuzdany).

Ktoś ma lepszą metodę?

48.

groszek Niedziela, 06 września 2009, 13:49:37

Znając 2 takie twoje hasła mogę wygenerować wszystkie inne jakie używasz w ciągu -nastu minut :) (czyli wszystkie prefixy/suffixy)

49.

Piotr Konieczny Niedziela, 06 września 2009, 13:52:07

Corvax: z Naszej Klasy wycieka Twoje hasło C5$s4NASA -- i o ile na podstawie tego za wiele nie da się zrobić, jeśli nie jest się jasnowidzem, to już przy drugim wycieku, np. z Wykopu (C5$s4WYOP) sporo osób domyśli się jakie jest Twoje hasło na GMail ;)

50.

zammer Niedziela, 06 września 2009, 13:52:23

Hmm... Kiedyś w linuksowym manie była porada: bierzemy wiersz, który pamiętamy. Następnie pierwsze litery jego słów, zamieniamy wg schematu "l33t" i jedziemy. Przy czym jeszcze wymyślamy schemat wielkich/małych liter, a jeśli litera jest duża i wypada za nią cyfra - wstawiamy znak specjalny spod tejże cyfry.

Następnie dodajemy suffix, już wg własnego schematu.

groszek: spróbuj poznać "człon główny", a następnie "metodę tworzenia suffixu". Powodzenia (no chyba że korzystasz z keyloggera jakiegoś)

51.

zammer Niedziela, 06 września 2009, 13:55:20

Piotr: są wymyślniejsze sposoby tworzenia suffixów, a do tego można korzystać z kilku "członów głównych". Pohukiwania "jablka" jak widzę usunąłeś... Ale cała zabawa sprowadza się do tego właśnie, żeby ćwiczyć pamięć ;)

52.

Piotr Konieczny Niedziela, 06 września 2009, 14:05:39

zammer: Tak. Jabłka lubię, ale robaczywe wyrzucam.

53. xterm Niedziela, 06 września 2009, 14:31:37

carstein & PK:

via SSH też można zorganizować VPN, i to min. na 2 sposoby - ordynarny port forwarding lub bardziej klasyczny tunel (openssh & -w).

w ramach gimnasytki intelekualnej, moglbym nawet zaryzykowac teze, ze w niejednym przypadku rozwiazanie bywa czesto bezpieczniejsze niz chocby IPsec (mniej możliwości złego skonfigurowania całości, proste "jak drut" działanie, mały overhead na troubleshooting po stronie serwera, klienta, itd).

PS
wybaczcie małe czepialstwo ;-)

54. xterm Niedziela, 06 września 2009, 14:34:33

"Każdy z nas popełnia błędy - ale popełnić ich tyle to amatorszczyzna."

@carstein: a ja swoja droga mysle, ze w PL sieci tego typu akcje to raczej regula niz wyjatek, tylko malo co kto o tym pisze (a najczesciej to atakowani w ogole nie wiedza o wlamaniu).

55.

Piotr Konieczny Niedziela, 06 września 2009, 14:49:21

xterm: ja dopuszczam SSH jako bezpieczny sposób dostępu do serwera (por pkt. 2, ostatnie zdanie). Co innego, że np. zła konfiguracja tunelowania za pomocą SSH może zrobić niezłe kuku (jeśli ktoś nie zna dokładnie składni :>)

Co się zaś tyczy wykrywania włamań -- poruszyłeś ciekawy wątek. Myślę, że gdyby nie próba szantażu, większość włamań nie byłaby nigdy zauważona...

56. xterm Niedziela, 06 września 2009, 15:08:26

PK: no ja tylko tak się czepiam, ze odpowiednie połaczenie via ssh to się mieści wprost w definicji VPN ;-)

*****

co do wykrywania włamań, to przyczyny są pewnie minimum dwie:
a) chęć tuszuwania włamów
b) w ogóle brak świadomości włamu, jakoś trudno mi sobie wyobrazić, że jak ktoś pozwala na takie "wały" z jednej strony, to z drugiej strony minitoruje bieżąco system na wypadek naruszeń...

ciekawe który z tym przypadków jest częstszy ;)

******

a z praktyki, widziałem nawet trochę ciekawsze kejsy, gdzie niejednokrotnie serwer testowy był w infrastrukturze dostawcy softu (publicznie dostępnej).

więc główny, duży klient był cacy (w jego infrastrukturze wszystko grało, zabezpieczona, monitorowana, itd).
a "wał" był zupełnie gdzieindziej.

******
przy okazji: pozdrawiam ;-D

57. xterm Niedziela, 06 września 2009, 15:09:57

a swoja droga mając taką bazę można by zrobić ciekawy research w temacie najczęściej używanych w PL haseł.

58.

Piotr Konieczny Niedziela, 06 września 2009, 15:11:03

xterm: taki research był zrobiony 3 lata temu na podstawie bazy wyciekniętej z Onetu ;) Wyszło: imięNN, gdzie NN należy do (00..99) z naciskiem na "12", czasem "1!" ;-)

59. Corvax Niedziela, 06 września 2009, 15:41:11

@Piotr Konieczny "Corvax: z Naszej Klasy wycieka Twoje hasło C5$s4NASA -- i o ile na podstawie tego za wiele nie da się zrobić, jeśli nie jest się jasnowidzem, to już przy drugim wycieku, np. z Wykopu (C5$s4WYOP) sporo osób domyśli się jakie jest Twoje hasło na GMail ;)"

Idziesz chyba w stronę jakiejś teorii spiskowej;) Poza tym budowanie sufixu może być mądrzejsze niż to przykładowe. I by ktoś odkrył moje hasło na inne serwisy musi dojść do a) co najmniej 2 wycieków b) muszę mieć do nich te same loginy/e-maile c) ktoś musi poznać metodę tworzenia sufixu d) komuś musi się chcieć włamać akurat na moje konta.

Poza tym każdy chyba segreguje serwisy pod względem "ważności". Także włam na nk i wykop mógłby zaskutkować poznaniem hasła do równie 'wartościowych' serwisów, nie zaś do gmail, etc;)

60. Pomiędzy bitami Niedziela, 06 września 2009, 15:48:00

Jak mieć bezpieczne hasło i nie popaść w paranoję?

p
Jak dla mnie wszystkie te zabawy ze skrótami itp. są nie do przyjęcia. Albo hasło jest takie, że trzeba je b pamiętać b czyli umieć wpisać z głowy , albo można sobie pozwolić na jakiś portfel haseł i wtedy nie ma się co bawi

61. kiero Niedziela, 06 września 2009, 15:52:17

Fajnie, jeszcze gdyby wykop.pl pozwalał mieć w haśle znaki specjalne. Przed włamaniem próbowałem zmienić na hasło ze ! i @ i mi wywalało komunikat, że hasło ma zły format ;/ więc niekiedy nawet jak chcesz to nie można się zabezpieczyć ;/

62. konstanty Niedziela, 06 września 2009, 16:06:33

@kiero - cóż, niektórzy leniwcy stosują najprostszą możliwą metodę zabezpieczenia się przed sql injection

63. czarny_i_zly Niedziela, 06 września 2009, 18:35:28

@kiero - nie dość tego, że znaki wymienione przez Ciebie są niedozwolone na Wykopie, to ich sprawdzanie jest niedorobione. Zobacz, co napisałem tutaj: http://www.wykop.pl/link/232404/oficjalne-oswiadczenie-administracji-wykopu#comment-1471916
Udało mi się zastosować niedozwolone hasło. Ten serwis to jak samochód spawany z "ćwiartek" - właśnie zaczyna się rozpadać.

64. rozie Niedziela, 06 września 2009, 19:18:54

Przestańcie się znęcać nad biednym wykopikiem. Toż tam te hasła i konta dla picu były chyba. I nawet nie ma opcji usuwania konta...

65.

Karol „Zal” Zalewski Niedziela, 06 września 2009, 19:27:52

@rozie: Tak na marginesie to ciekawostka jest - ostatnio próbowałem usunąć konta z wielu serwisów i okazuje się, że w dużej mierze nie da się tego zrobić. Często nie ma nawet informacji o tym, iż można to zrobić ręcznie, po konsultacji z twórcami serwisu. W przypadku My Opera trzy razy odrzucali mojego requesta i do tej pory posiadam tam konto ;>

66. neuvio Niedziela, 06 września 2009, 19:36:51

Panowie, z tymi danymi testowymi to można łatwiej - u nas robi się w ten sposób, bierzemy dane produkcyjne a później je anonimizujemy czyli zapisujemy dane osobowe losowymi ciągami znaków. W ten sposób mamy wiarygodną próbkę danych i nikt nie boi się o wyciek.
To co stało się na Wykopie pokazuje totalny brak umiejętności i wyobraźni ze strony administracji serwisu.
Kiedyś był ukuty termin kidhosting ... w przypadku serwisu Wykop przydałoby się ukuć termin kidsocialing ;-).

67. Makdaam Poniedziałek, 07 września 2009, 07:53:12

Żeby było śmieszniej, wykop nie dopuszczał (nie dopuszcza?) znaków specjalnych w haśle :D

68.

Szymon Poniedziałek, 07 września 2009, 11:19:52

Nie wiem czy ktoś wspominał, ale... kij z hasłami! Patrzcie jaką mają śliczną bazę do spamowania ludzi e-mailami. :P

69. KosciaKowy blog Poniedziałek, 07 września 2009, 14:24:13

SimplePassword.com - dziękuję, postoję. Czyli o bezpiecznych hasłach słów kilka

Po niedawnym wyjściu na jaw informacji o włamaniu na serwer a href http: www.wykop.pl Wykop.pl a i a href http: www.wykop.pl blog post 55 wykradzeniu bazy danych z hasłami użytkowników a wszyscy piszą o bezpieczeństwie i sposobac[...]

70. Bordeux Poniedziałek, 07 września 2009, 16:01:17

Zawsze, przy instalacji cmsa powinien byc losowany unikatowy MD5Key
A później hashowac
md5(MD5Key."cos do hasowania")

71.

Szymon Poniedziałek, 07 września 2009, 17:09:48

MD5 ssie. :P Lepszy jest SHA1 z tzw. saltem. :P

72. DevBlog - kolejny blog o programowaniu Poniedziałek, 07 września 2009, 19:56:27

Bezpieczeństwo, nie tylko w świecie Javy

Myślę, że ostatnio ujawniony wyciek danych z serwisu Wykop.pl uświadomił niektórym, jak niebezpieczne może być używanie tego samego hasła w wielu miejscach, z bankiem i Allegro włącznie. Na temat samej administracji Wykopu wypowiadać si[...]

73. Porażki bezpieczeństwa Poniedziałek, 07 września 2009, 23:02:56

Ujawniona baza danych wykopu

p Wykopem słabo się interesuję, a wszystko co istotne napisał Piotr Konieczny we wpisie pt. a href http: blog.konieczny.be 2009 09 05 hasla-uzytkownikow-wykop-pl-wyciekly Hasła użytkowników Wykop.pl wyciekły a . Kluczowe błędy: p
[...]

74. Łukasz Rodziewicz Poniedziałek, 07 września 2009, 23:43:56

Ja zrobiłem eksperyment i zaraz po dostaniu maila z informacją od wykopu napisał na pomoc maila z prośbą o usunięcie konta. O dziwo zrobili to w ciągu godziny a była 19-ta.

75.

Piotr Konieczny Poniedziałek, 07 września 2009, 23:44:53

Łukasz: a co było przedmiotem eksperymentu?

76. Łukasz Rodziewicz Poniedziałek, 07 września 2009, 23:51:18

To czy konto da się usunąć i jak szybko ;-)
Wykop w tej kwestii zdał egzamin ale ciekawe czy reakcja byłaby tak samo szybko gdyby włam nie miał miejsca.

77. Lachu Wtorek, 08 września 2009, 09:00:32

Trzeba było wygenerować bazę danych z przykładowymi danymi, co i tak wspomnieliście w notce. Ja bym chyba tego błędu nie popełnił ;-) .

78. xterm Wtorek, 08 września 2009, 13:24:41

PK: nice. a czy w temacie tego onetowego eksperymentu z haslami, masz moze jakies dalsze dane ? (np. url-e ;-)

79. Makdaam.eu Sobota, 12 września 2009, 22:08:15

Odpowiedzialność za dane

W Internecie huczy i grzmi z powodu niedawnego wycieku niedawnej publikacji produkcyjnej bazy danych serwisu wykop.pl (np. blog Piotra Koniecznego), zawierającej m.in. dane użytkowników. O ile wyciek danych z profilu, które i tak są publikowan[...]

80. Piotr Konieczny Piątek, 09 października 2009, 20:59:45

Zmiana hasła na Allegro (i inne wymuszenia)

Allegro wysłało wczoraj do użytkowników e-maile z prośbą o zmianę hasła:

Nie był to pierwszy tego typu mailing (por. artkuł w DI). Wczorajszy e-mail jest więc zapewne kontynuacją akcji rozpoczętej miesiąc temu.

Mam kilka uw[...]

Dodaj komentarz:

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy

(kod MINUS175 obniża cenę o 175PLN!)