KRP tutkii salasanavuotoa, krakkerit ovat Magical Pink Bear & ZeroPoint
Ote salasanalistan riisutusta versiosta, josta on poistettu salasanatiivisteet.
14.10.2007 20:24 Lähes 80 000 suomalaisen käyttäjätunnuksia ja salasanoja koskevan vuodon poliisitutkinta on keskitetty Keskusrikospoliisin tietotekniikkarikosyksikköön, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.
CERT-FI:n mukaan asianosaisten palvelutarjoajien olisi syytä harkita rikosilmoituksen tekemistä paljastuneiden tietojen vuoksi suoraan KRP:lle.
Ensimmäinen CERT-FI:n tietoon tullut salasanatiedostoa jakanut www-sivusto on sulkeutunut sunnuntaina aamuyöstä Suomen aikaa. Tiedosto on nyt sijoitettu sunnuntaipäivän aikana useille uusille www-sivustoille ja vertaisverkkopalveluihin. Tämä osoittaa internetin luonteen: kerran julkaistua tietoa on käytännössä mahdotonta saada pois verkkojakelusta täydellisesti.
CERT-FI on vastaanottanut runsaasti kyselyitä tiedoston sisällöstä, murretuista palvelimista ja toimintamenettelyistä tilanteessa.
CERT-FI:n käsityksen mukaan tiedostossa ei ole pankkipalveluihin liittyviä käyttäjätunnuksia ja salasanoja.
Yksikön Irc-gallerian ylläpidolta saaman tiedon mukaan sen palvelimille ei ole murtauduttu. Joukko tiedostossa listattuja muista verkkopalveluista kaapattuja käyttäjätunnus-salasanapareja on toiminut myös Irc-galleriassa. Näiden listaan täsmäävien Irc-galleria -tunnusten salasanat on nollattu, ja käyttäjiä ohjeistetaan sisäänkirjautumisen yhteydessä hankkimaan uusi salasana.
Bat.org on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi ja palvelu on ajettu huollon ajaksi alas
Kiekkoliiga.net on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi
Rakkausrunot.fi on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi
Battlefield.fi on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi
mesenet-galleria.com on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi
hilavitkutin.com on julkisesti ilmoittanut asiakkaidensa käyttäjätunnustietoja löytyneen julkistetulta listalta
voitta.net on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi
Jotkut listalla mainitut käyttäjätunnukset ovat toimineet myös käyttäjän sähköpostipalvelun tunnuksina. Samaa salasanaa ei ole suositeltavaa käyttää eri palveluissa.
Launataina verkkoon ladattiin 4.5 megatavun tekstitiedosto (passlist.txt). Se sisältää käyttäjänimiä, sähköpostiosoitteita, salasanoja ja md5/sha1-salasanatiivisteitä, ja koskee noin 79 000 suomalaista akäyttäjää. Levittäjiksi ilmoittautui kaksi ihmistä Ruotsista, mutta verkossa epäiltiin, että krakkerit ovat suomalaisia.
Kyseessä on lähinnä keskustelufoorumien tai yhteisöpalvelujen käyttäjätunnuksia sekä käyttäjätunnusten md5 / sha1 -salasanatiivisteitä. Tiedostossa näyttäisi olevan myös joitakin satoja selväkielisiä salasanoja.
CERT-FI selvittää parasta aikaa, mihin palveluihin tunnukset mahdollisesti liittyvät. CERT-FI on myös yhteydessä verkkopalveluntarjoajiin, teleyrityksiin ja poliisiviranomaisiin.
Omat tunnukset voi tarkistaa tiivisteistä vapaasta tiedostosta.
Verkossa oli seuraavanlainen kirjoitus salasanapaljatuksen seurauksista:
"Esimerkiksi meikäläisen kohdalla tietyt "nettitunnukset" avaisivat ongelmalapselle oven kaikkiin koulutöihini, opintosuunnitelmaani, kurssi-ilmoittautumisiini jne. sekä koulun tietokoneverkkoon. Olisi siinä kiva, kun ensin kaikki tentti-ilmoittautumiseni oltaisiin peruttu ja sen jälkeen nimissäni tehty koulun verkossa niin paljon pahaa, että poliisit tulisivat ovelle koputtelemaan. Eikä tuo vielä mitään - sähköpostin kautta saisi avaimet käytännössä kaikkiin käyttämiini maksullisiin ja maksuttomiin verkkopalveluihin nettipankkia lukuunottamatta (avainlukukortti lompakossa)."
Ja tässä krakkreiden sanomiset
"We cracked 78 000 (ok, almost 79 000) accounts around the net and of course we'd like to share them with you, right. Mostly finnish
accounts, so maybe it would be better to have this prologue in finnish too.
Hei,lista pitää sisällään noin 29 800 MD5 hashia, muutamisen sataa SHA1 hashia, 33 000 kappaletta SMF foorumin hasheja ja toki myös muutamisen sataa salasanaa plaintextinä.
Joistakin puuttuu mailit, valitamme. Niitä joko ei ole ollut saatavilla tai ne ovat tarkoituksella jätetty pois. Kysymyksiä varmasti syntyy; "Miten teitte sen?", "Miksi olen listalla?", "Keitä te olette?".
Jos olet listalla, sori hei. Meillä ei ole varmastikaan ollut syytä satuttaa sua... tai sitten oli. Todennäköisesti olet vaan osunut väärään paikkaan väärään aikaan, mutta jokatapauksessa
et olisi asialle mitään mahtanut.
79 000 hashiahan on siis käsittämätön määrä, ja vielä kun ne rajataan yhteen pieneen maahan niin todennäköisyys siihen että netti- tai koulukiusaajasi löytyy listalta on hyvin suuri. Mukaanhan tottahan toki mahtuu myös vaikka minkä yrityksenkin
työntekijöitä ja webmastereita, joten vahinko mitä tällä listalla voi saada aikaan on myöskin suuri.
Me, the Magical Pink Bear & ZeroPoint olemme kahden hengen ruotsalainen hakkeriryhmä. Meihin ei toistaiseksi voi ottaa yhteyttä sähköpostitse tai IRCitse, syy lienee itsestäänselvä."
Jouko Pynnönen käsittelee asiaa Digitodayn Ylivuoto-blogissa.
Kalevi Nikulainen toimitus@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 16:21 Nokia suunnittelee 10 dollarin kännykkää
- 16:12 Suomalaisvanhemmat taitavat netin parhaiten
- 14:50 Planeettametsästäjä sieti vikaa
- 14:28 Lisää natsoja DNA:n johtajalle
- 13:35 Google haastaa Facebookin Gmailin päivityksellä
- 13:08 Näitä et Googlen Street View -palvelussa näe
- 12:44 Harri Koponen: Kaikkien aikojen paras tulos
- 11:45 Vaasan kaupunki päästää työntekijät taas Facebookiin
- 11:44 Kytkykaupan purku halpeni Googlen älypuhelimessa
- 09:41 Google avasi pelätyn Street View -palvelunsa Suomessa
- 09:40 Nettilapset pitävät kuvansa piilossa
- 8.2. Verkon pahikset tunkevat pankkitileille
- 8.2. Tämä mainos maksoi Googlelle viisi miljoonaa dollaria
- 8.2. Obaman terrorisminyrkki varoittaa verkkovakoilusta
- 8.2. Kiina sulki verkkorikollisten koulutussivut
- 8.2. Suomi kiirehtii Kids Online -tutkimukseen
- 8.2. "Tällaisia maanantaiaamuja ei tarvitse enää tulla"
- 8.2. Gmail-käyttäjiä pelotellaan tilien tuhoamisella
- 8.2. SAP:n pääjohtaja erosi alle vuosi nimityksensä jälkeen
- 8.2. Linus Torvalds ihastui Google-kännykkään
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 09:41 Google avasi pelätyn Street View -palvelunsa Suomessa
- 8.2. Tämä mainos maksoi Googlelle viisi miljoonaa dollaria
- 8.2. Verkon pahikset tunkevat pankkitileille
- 16:21 Nokia suunnittelee 10 dollarin kännykkää
- 8.2. Gmail-käyttäjiä pelotellaan tilien tuhoamisella
- 8.2. "Tällaisia maanantaiaamuja ei tarvitse enää tulla"
- 13:08 Näitä et Googlen Street View -palvelussa näe
- 8.2. Linus Torvalds ihastui Google-kännykkään
- 13:35 Google haastaa Facebookin Gmailin päivityksellä
- 8.2. Nokia tarjoaa Salossa vapaaehtoisia eropaketteja
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 09:41 Google avasi pelätyn Street View -palvelunsa Suomessa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 09:41 Google avasi pelätyn Street View -palvelunsa Suomessa
- 16:21 Nokia suunnittelee 10 dollarin kännykkää
- 8.2. "Tällaisia maanantaiaamuja ei tarvitse enää tulla"
- 8.2. Tämä mainos maksoi Googlelle viisi miljoonaa dollaria
- 8.2. Nokia tarjoaa Salossa vapaaehtoisia eropaketteja
- 8.2. Linus Torvalds ihastui Google-kännykkään
- 13:08 Näitä et Googlen Street View -palvelussa näe
- 8.2. Alkuperäinen Xbox tiputetaan Livestä
- 13:35 Google haastaa Facebookin Gmailin päivityksellä
- 8.2. Verkon pahikset tunkevat pankkitileille
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Suomalaisvanhemmat taitavat netin parhaiten 16:12
- Google avasi pelätyn Street View -palvelunsa Suomessa 09:41
- Nettilapset pitävät kuvansa piilossa 09:40
- Verkon pahikset tunkevat pankkitileille 16:39
- Obaman terrorisminyrkki varoittaa verkkovakoilusta 16:01
- Kiina sulki verkkorikollisten koulutussivut 15:50
- Suomi kiirehtii Kids Online -tutkimukseen 15:14
- Gmail-käyttäjiä pelotellaan tilien tuhoamisella 12:25
- Lisää
-
266 e
Acer Aspire 5810T (Core 2 Solo SU3500, 4 Gt, 15,6", Win Vista Home Premium), kannettava tietokone
-
231 e
Sony Vaio VGN-CS31S (Core 2 Duo T6500, 4 Gt, 14,1", Win Vista Home Premium), kannettava tietokone
-
120 e
-
106 e
Lenovo Thinkpad W500 (Core 2 Duo T9600, 2 Gt, 15,4", Win 7 Professional), kannettava tietokone
-
103 e
Apple MacBook Pro (Core 2 Duo 2,66 GHz, 4 Gt, 17", OS X), kannettava tietokone
Kommentit (24)
Ne kun lisää vaivaa ja kustannuksia. Tietoturvasta kun yleensä ei ole kukaan pätkän vertaa kiinnostunut.
Ja toisekseen minkään koulun tunnuksia nettiin ei ole tietääkseni vuotanut, joten tuo lainaus mahdollisista seurauksista ei oikein liity asiaan. Toki jos käyttää samaa heikkoa salasanaa koulun palveluihin kuin epämääräisllä php-foorumeilla, tuo on mahdollista, mutta silloin saa kyllä syyttää ihan itseään. Tärkeisiin palveluihin pitää olla vahvat salasanat erikseen.
Esim. muotoa ::: EiKuuluTeille@gmail.com ::: tuosta kun ei selviä henkilöllisyys sitten millään...
Kyseessä ollee ollut jonkinlainen kysely, johon on pitänyt antaa käyttäjätunnus, salasana ja sähköpostiosoite.
Ehdottaisinkin seuraavaa: Etsikää listalta nimenne (taikka se väärä tieto, jonka annoitte; jos muistatte mitä annoitte) ja sitten laittakaa tälle foorumille tieto siitä palvelusta, jonne olette tietojanne kyseisessä muodossa antaneet. Tällä tavalla saadaan kartoitettua se pahan alku ja juuri ja tätä kautta varmasti saadaan selville myös se tietokone jossa kysely on ollut. Epäilen kyseessä olleen esim. Kirjaston yleiset, kaikkien käytössä olleet, päätteet taikka muut yleisöpäätteet / nettikahvilatietokoneet / taikka vastaavat.
Kertokaa siis missä ja millä webbisivulla vieraillessanne olette tiedot antaneet, älkää siis antako tietoa itsestänne vaan palvelusta ja käyttämästänne tietokoneesta. Esim. muotoa :
---
Annoin tiedot : Bassen Bistrossa, nettikahvilakoneelta
Päivänmäärä : 15.10.2007
Kellonaika : 15:00
Netti-Palvelu, jota käytin : Juttukanava
Webbiosoite : www.juttukanava12345.fi
---
Eiköhän siis kyse ole juurikin noista listatuista palveluista, eikä mistään yksittäisestä kyselystä tai tietokoneesta.
Lohdullista etten itseäni löytänyt :P