2011-12-29

Cyberkrig och lösenord

Den hackerattack mot Stratfor som jag nämnde i julhelgen sägs vara del i en större kampanj, då gruppen AntiSec nu också säger sig ha hackat sajten SpecialForces.com, men sajten själva säger att det är information från förra året som kommit ut.

Nu finns det en debatt på Pastebin, där vissa personer som säger sig representera Anonymous kritiserar attacken på Stratfor. Även andra kritiserar. Bland annat tar man mycket riktigt upp det som jag skrev i söndags att det gjort mer skada än nytta att försöka skänka pengar till välgörenhet med stulna kreditkortsnummer, då välgörenhetsorganisationerna kommer att drabbas av återbetalningskrav och ibland kanske även straffavgift. Frågan är om betalningarna till välgörenhet är en täckmantel för att dölja att en hel del pengar också slussas undan till hackarna själva. Det är inte helt otänkbart att hackare som råkar ramla på en massa kreditkortsnummer blir giriga, även om de från början hade något "ädelt" syfte. Det var dessutom för det mesta "vanligt folk" som fick sina kreditkortsnummer stulna och lösenord exponerade. Anonymous riskerar därmed att få en massa badwill mot sig.

Sen kan man fråga sig om det finns något slags spricka inom Anonymous. Det verkar så av debatten att döma. Det finns säkert många som har intresse av att splittra en sådan rörelse. Dessutom kan en sådan löst hopsatt rörelse lätt splittra sig själv, och vissa individer kan vara ute efter egna maktspel. Det ska bli intressant att se hur det hela fortskrider, särskilt som Anonymous tydligen har etablerat sig i Sverige och bland annat genomfört en cyberattack mot vårdskandalföretaget Carema.

Hackarattackerna aktualiserar två saker. För det första att använda vettiga lösenord. En snabb titt i Stratfors hackade lösenordslista ger att av 28517 lösenord var 10909 bara sex tecken eller kortare och hela 2825 var fem tecken eller kortare. 664 stycken bestod av fyra siffror och jag kan slå vad om att en hel del av dem var samma som pinkoden till kreditkortet. Vissa populära lösenord återkommer, t.ex. "stratfor" (1218 stycken) "1234" (121 stycken) "changeme" (44 stycken) "password" (104 stycken). Olika namn som "daniel", "andrea" och "charlie" är förstås också populära. Vissa har förstått att lösenord som består av bara små bokstäver är lätthackade och försöker göra dem svårare genom att lägga till siffror, men blir i alla fall hackade. "Password1" är uppenbart enkelt, men även t.ex. "25apple" kom ut i klartext. De 25 sämsta lösenorden återkommer. Det är alltså väl värt att ta en titt på exempelvis PCMags tips för säkrare lösenord.

Den andra lärdomen är för dem som driver sajter, som kan lära av Stratfors misstag.
  • Kryptera all känslig information
  • Använd inte de inbyggda krypteringsalgoritmerna, då det finns stora databaser över exempelvis knäckta MD5-lösenord
  • "Salta" lösenorden
  • Se över säkerheten, då mycket har hänt de senaste åren

8 kommentarer:

  1. En annan filosofi vad gäller säkrare lösenord:
    http://xkcd.com/936/

    Och ett sätt att mäta hur stor höstack man har:
    https://www.grc.com/haystack.htm

    SvaraRadera
  2. Det skulle förvåna mig om "Anonymous" är en enda väl sammanhållen grupp. Men jag har inte följt dem så jag kan inte utesluta det.

    SvaraRadera
  3. Jag tror inte att du menar vad du säger när du skriver "Använd inte de inbyggda krypteringsalgoritmerna". MD5, som du nämner, är inte en krypteringsalgoritm i egentlig mening. Det är en hashfunktion. Det du borde mena är "använd inte en hashfunktion som är gjord för att vara snabb". MD5 kan brute-force:as förhållandevis bra vid det här laget, i synnerhet om lösenordet är svagt. Jag tror konsensus är att man ska använda bcrypt, som är en hashfunktion som är gjord för att vara långsam.

    SvaraRadera
  4. vonschultz: Nej, jag skrev krypteringsalgoritm, eftersom de flesta av mina läsare troligen inte vet vad en hashfunktion är. Trots att MD5 är känd för att vara svag så använder alltså många den för lösenord (exempelvis gjorde Stratfor det).

    SvaraRadera
  5. ".....de flesta av mina läsare troligen inte vet vad en hashfunktion är."

    Att underskatta de flesta är att överskatta sig själv.

    SvaraRadera
  6. Erik Holmberg2011-12-30 16:14

    Måste här anmäla avvikande åsikt angående lösenordshantering. Att hitta på nya starka lösenord till alla siter som kräver lösenord och sedan komma ihåg dem är en omöjlighet. Jag skulle rekommendera någon typ utav mjukvara typ "password safe" för att spara dem och sedan bara komma på relativt säkra lösenord kanske till mailen och facebook eller något liknande. Angående att komma på ett säkert lösenord så måste jag måste jag säga att jag föredrar långa lösenord framför korta komplexa. Om fyra ord väljs slumpmässigt ur en ordlista på 20 000 ord (SAOL 135 000 ord) så är det något man kan komma ihåg. Även om motståndaren känner till vilken ordlista man har valt och försöker med en ordlistaattack så finns det 2,5*10^34 kombinationer (eller runt 70 bit entropi) vilket jag skulle se som ganska betryggande.

    SvaraRadera
  7. Jo, använd för guds skull färdiga inbyggda hash och krypteringsfunktioner. Hitta inte på egna, dem kommer att vara sämre. Det som är viktigt är att skydda nycklar och sett salta med unika salt för varje lösenord, samt att saltet ska vara starkt

    Jämför med kreditkortstransaktioner som är krypterade med unika nycklar för varje transaktion men med standard algoritmer.

    SvaraRadera
  8. Min magkänsla säger mig att Anonymus nu har blivit hårt infiltrerade alt från början var fake. Perfekta upplägget för att kunna strama åt internet.

    SvaraRadera

Kommentarer bör hålla sig till ämnet för den bloggartikel de hör till. Personangrepp, hets mot folkgrupp och andra kränkningar tillåts inte. Kommentarer som bara består av länkar tillåts normalt inte. Kommentarer som bryter mot reglerna kan komma att tas bort.