Tietoturva nyt!

14.10.2007

Salasanatiedostotapauksen tilanne sunnuntai-iltana 14.10

Tässä sunnuntai-illan tilanne salasanatiedostotapauksen osalta:

Ensimmäinen CERT-FI:n tietoon tullut salasanatiedostoa jakanut www-sivusto on sulkeutunut sunnuntaina aamuyöstä Suomen aikaa. Tiedosto on nyt sijoitettu sunnuntaipäivän aikana useille uusille www-sivustoille ja vertaisverkkopalveluihin. Tämä osoittaa internetin luonteen: kerran julkaistua tietoa on käytännössä mahdotonta saada pois verkkojakelusta täydellisesti.

CERT-FI on vastaanottanut runsaasti kyselyitä tiedoston sisällöstä, murretuista palvelimista ja toimintamenettelyistä tilanteessa. Seuraavassa vastauksia kysymyksiin.

• CERT-FI:n käsityksen mukaan tiedostossa ei ole pankkipalveluihin liittyviä käyttäjätunnuksia ja salasanoja.
• Irc-gallerian ylläpidolta saamamme tiedon mukaan Irc-gallerian palvelimille ei ole murtauduttu. Joukko tiedostossa listattuja muista verkkopalveluista kaapattuja käyttäjätunnus-salasanapareja on toiminut myös Irc-galleriassa - näiden listaan täsmäävien Irc-galleria -tunnusten salasanat on nollattu ja käyttäjiä ohjeistetaan sisäänkirjautumisen yhteydessä hankkimaan uusi salasana.
  
• Bat.org on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi ja palvelu on ajettu huollon ajaksi alas
• Kiekkoliiga.net on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi
• Rakkausrunot.fi on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi
• Battlefield.fi on julkisesti ilmoittanut joutuneensa tietomurron kohteeksi
  
• Jotkut listalla mainitut käyttäjätunnukset ovat toimineet myös käyttäjän sähköpostipalvelun tunnuksina. Samaa salasanaa ei ole suositeltavaa käyttää eri palveluissa

Riippumatta siitä, onko oma sähköpostiosoite tai käyttäjätunnus esiintynyt kyseisessä tiedostossa, nyt on todella hyvä tilaisuus vaihtaa salasanat kaikkiin keskeisiin verkkopalveluihin. Ja tehdä vaihdosta vaikkapa jokakuukausinen tapa.

Tänään on keskusteltu paljon hyvän salasanan tunnusmerkeistä. Asia vaatisi ehkäpä oman CERT-FI-ohjeensa - tässä pikavinkit:

• Käytä salasanoja jotka ovat riittävän pitkiä, mutta toisille hankalasti arvattavia.
• Yhden sanan sijasta voit käyttää vaikkapa lyhyitä lauseita - eli salalauseita
  
• Käytä salasanassa/salalauseessa kaikkia seuraavia arvaamista hankaloittavia tekijöitä:
  
• isoja sekä pieniä kirjaimia
• numeroita
• väli- tai erikoismerkkejä
• Pyri käyttämään eri salasanaa työpaikan tietojärjestelmissä, vapaa-aikaan liittyvissä verkkopalveluissa ja sähköpostipalveluissa.
  
• Pyri vaihtamaan ainakin tärkeimpien palveluiden salasanat vähintään kerran kuukaudessa tai parissa.
  

Jos käyttämäsi verkkkopalvelu tukee turvallisempien todentamismenetelmien (esimerkiksi HST-varmenne) käyttöä, pyri siirtymään kyseisen menetelmän käyttäjäksi.

Kuten aikaisemmassa Tietoturva nyt! -artikkelissa mainitsimme, asian rikostutkinta on keskitetty KRP:n tietotekniikkarikosyksikköön. Erityisesti teon kohteeksi joutuneiden palveluntarjoajien tulisi vakavasti harkita rikosilmoituksen tekemistä - suoraan KRP:lle.

Lopuksi vakava kehoitus kaikkien phpBB- ja Wordpress -pohjaisten verkkopalvelujen ylläpitäjälle. Tarkistakaa ohjelmistonne ja käyttöjärjestelmäalustan päivitysten ajantasaisuus ja asetusten turvallisuus. Pelkonamme on että Suomesta löytyy vielä tiedossa olevien tapausten lisäksi joukko vielä paljastumattomia phpBB- ja Wordpress-alustalla toteutettujen palvelujen tietomurtoja. Näille järjestelmille on saatavissa valmiita hyökkäystyökaluja - päivittämätön järjestelmä on vakava turvallisuusriski!

CERT-FI on ollut tänään aktiivisesti näkyvillä medioissa. Tämänpäiväisen tilanteen summaus on mahdollista katsoa Nelosen uutisten videotallenteena allamainitusta linkistä.

Lisätietoa

• www.tietoturvaopas.fi
• http://www.nelonen.fi/uutisvideot/default.asp?video=769&c=1&newpage=0
• CERT-FI -varoitus 07/2007

Sivua päivitetty 14.10.2007

Tulostusversio