På den för tillfället under behandling satta riksdagsledamoten William Petzälls (sd) Twitterkonto @williampetzall har det lagts ut MD5-hashkoder till lösenord för ett antal journalister. Detta under förespegling att (sd) skulle ha haft tillgång till dessa.
Som de enkla lösenorden visar så har ju inte svenska journalistkåren speciellt hög kunskap inom datasäkerhet (eller?, se nedan), så man har inte grävt något djupare i detta.
Verkligheten är att lösenorden kommer från bloggtoppen.se som blev hackad nyligen, nästan exakt en månad sedan, 2011-09-24. Bloggtoppen.se är vad jag klassar som en noll-säkerhetssajt, som bara erbjuder en liten ikon för att spåra volymen på din bloggs webtrafik, inget av stor vikt. Man erbjuder inte ens krypterad inloggning, vilket innebär att ett lösenord oavsett kan sniffas någonstans på vägen. Och uppenbarligen har man inte heller saltat lösenorden innan de hashats, vilket är väldigt enkelt att göra. T ex kan sajten salta lösenordet till “dettaarettsaltvipsdettaarettsalt” istället för “vips”. Väldigt enkelt, och när sajten skall kontrollera hashat lösenord mot databasen när någon loggar in fyller man på med salt först. Därmed kan inte ett databasintrång ge några lösenordledtrådar. Iaf inte så lätt.
Så lösenord till en sådan sajt måste vara enkla och vara unika för sajten och inte ge några som helst ledtrådar till vad man har för lösenord på en sajt med högre säkerhet. Har man “41sk4rm4mm4” som normalt hårt lösenord så bör man inte använda exempelvis “älskarmamma” eller “motherlover” som lösenord på en sådan sajt, utan t ex “vips”.
“Vips” är alltså ett helt godtagbart lösenord för en sådan sajt, så länge man inte också använder “vips” till något som kräver högre säkerhet. Om man avsiktligt valt ett svagt lösenord för en sådan sajt så behöver man inte skämmas, Rick Falkvinge. Falkvinge till Bonnier/DN: “De har fått tag på ett äldre lösesnord som jag använt på “slarv-sajter” där jag inte behöver någon form av säkerhet. Då skriver jag in detta på ren rutin. Jag har självklart aldrig använt detta lösenordet i Piratpartiet.”
Att gräva reda på varifrån lösenorden kom och ladda ner filen med de MD5-hashade lösenorden krävde bara lite Google-Fu och därefter kunde man bekräfta att hashar och urhashade lösenord var de samma som på @williampetzall. Därmed vet vi
a) MD5-hasharna av lösenorden är autentiska
b) De passar bara hos bloggtoppen.se
c) (sd) hade inte tillgång till dem förrän tidigast för en månad sedan
Så hur går en sådan här attack till. Antagligen har man lyckats få in någon form av SQL-sats via något inmatningsformulär hos bloggtoppen.se , som inte använt relevant säkerhet på inmatningarna utan skickat vidare dessa så att de kunant användas till att köra kommandon i bloggtoppen.se:s databas, och på det viset kunnat fiska fram lösenord och mailaddresser. (sådant kan säkert kallas för en SQL-injection-attack)
VIKTIGT: Den som trott sig blogga anonymt kan via bloggtoppen.se ha fått sin e-postaddress avslöjad och alla som använder samma lösenord på bloggtoppen.se som någon annanstans måste nu byta lösenord. William Petzäll var en av de personer som hade lösenord hos bloggtoppen.se och antagligen använde han sedan samma lösenord på Twitter och blev därmed hackad. Det finns även riksdagsmän med i filen och som har enkla ord som lösen, t ex moderaternas partisekreterare Sofia Arkelsten. Det finns bloggande bankanställda på t ex Swedbank, SEB, SHB mfl (mindre) banker som kanske trodde sig vara anonyma.
Det behöver alltså inte skett någon större skada eller intrång hos journalisters etc mailkonton etc, om nu inte dessa journalister använder samma lösenord överallt. Den som skall SÄPO-anmäla ett intrång är alltså bloggtoppen.se och ingen annan.
Polisens IT-brottsutredare behärskar antagligen Google-Fu och kan på två minuter hitta källan till lösenorden.
En liten lösenordsskola från överlägsna xkcd är på sin plats.
Seriestrip återpublicerad enligt Creative Commons Attribution-NonCommercial 2.5 License.
Så bakläxa till journalistkåren här. Läs på lite. Google-Fu. Finns säkert kurser i det. Snabbkurs: Använd “site:flashback.org” för dina sökningar på Google så fort något skumt är i görningen.
Tillägg: Såg precis innan jag publicerade detta att Aftonbladet redan blivit tipsade om källan. Så det här blogginlägget var onödigt arbete. bloggtoppen.se ligger för övrigt nere just nu, så man kan inte byta sitt lösenord där för tillfället.
27 kommentarer
Kvällstidningarna har spottat fram krigsrubriker en halv dag och så tvingas man nu mer eller mindre till en halvhjärtad pudel.
Då är denna, min favorit, på sin plats:
http://xkcd.com/327/
😉
/ Lowrisk
cornucopia,
Jag såg att du finns i filen. Jag antar att du har bytt lösen?
Nej, används bara där så det innebär inget merarbete för min del. Slasklösen för slasksajt med motivering enligt blogginlägget. Däremot skulle jag gärna nu vilja byta hos Bloggtoppen.se så ingen är lustig åt mig där. Om nu bloggtoppen.se någonsin öppnar igen.
Sofia Arkelstens lösenord är talande.
Lösenordsval kan säga en del om personer.
Kampanj- och drevjournalistik är det normala nuförtiden. Journalistkåren kollar varken fakta, bakgrund eller källor längre i frågor där dom anser ha moraliskt företräde.
Idag detta. Häromveckan gällde det en t-baneväktare som enligt media ansågs ha agerat brutalt och aggressivt mot en tolvåring. Liksom i detta fall blåstes det upp som huvudnyhet i tidningar och tv.
Efter utredning visade det sig att väktaren varken begått tjänstefel än mindre något brott.
Är det någon som är förvånad över att folk inte har något förtroende för journalister längre?
Klart störande att kvällspressen blåser upp en illa underbyggd nonsensstory till breaking news med krigsrubriker.
Vilka tomtar är det som gör nyhetsvärderingar nuförtiden?
Fan nu måste jag byta lösenord på banken. Jag som alltid har haft "correct horse battery staple" Jag får byta till "battery correct horse stable" 😉
skulle älska att kunna använda sådana lösenord.. men varenda site och system envisas med diverse värdelösa krav tex:
"lösenordet måste vara mellan 6 och 9 tecken långt, innehålla stor/lien bokstav och innehålla 7 siffror"
Och vilket är Arkelstens talande lösenord då? Har du sagt A så… Jag har inte tid att leta runt på Flashback eller var det nu gömmer sig någonstans.
Nej, jag lägger inte ut någons lösenord här. Det är ett lösenord som antyder ytlig konsumtionshets och att konsumera sig lycklig. Ett typiskt "blondinlösenord".
Jag ska ta reda på Arkelstens lösen strax, men gissar så länge: shoppaloss, louisvuitton, NKforever, shoppingpinglan?
"Som de enkla lösenorden visar så har ju inte svenska journalistkåren speciellt hög kunskap inom datasäkerhet (eller?…"
Inte om något annat heller för den delen. Största delaen av den svenska journalistkåren är dumma, djupt oärliga, både/och.
17:57, du ligger rätt nära principmässigt vad gäller Arkelstens lösenord.
Sofia Arkelstens lösen kan vara; Stockholmare är smartare än lantisar… inte…
Tveksam till om lösenordet i xkcd är speciellt mycket säkrare om den metoden att hitta lösenord blir vanlig. Det är ju trots allt bara orboksuppslagning^4.
Men det börjar ju bli tydligt att lösenord börar spela ut sin roll.
Det underligaste formen av "säkerhet" är organisationer som tvingar sina användare byta lösenord var tredje månad. Är det någon som förstått vad dom tänkt uppnå?
Efter typ andra gången så lär ju de måttligt roade användarna börja skriva lappar att ha i skrivbordslådan. Eller möjligen hitta på något mindre smart system som "password1", "password2", "password3".
Så underligt att jag funderar på om det ligger nån advokat bakom? För att ducka undan ansvar på något sätt?
/Magnus 6THlx
Problemet är att lösenord som sådana är passé. De som idag ojar sig om dåliga lösenord är samma personer som tyckte att MS DOS hade allt man behövde för 20 år sendan.
Att ha olika lösenord på olika sajter, där vart och ett av lösenorden skall innehålla olika typer av tecken, inte bestå av något ord, inte ha något samband med varandra, bytas ut med jämna mellanrum, inte skrivas ned i någon bok..etc blir ohanterligt. Det är dags för lite biometrilösningar.
"Det är dags för lite biometrilösningar."
Ja, varför inte också ett käckt litet chip att ha under huden? Kanske på högra handen eller i pannan?
Den här kommentaren har tagits bort av bloggadministratören.
Som sagt, aktuella eller ej, så lägger vi inte ut någons lösenord här.
Ja, du är duktig som kan luska fram det. Applåder. Klipp-och-klistra, wow, liksom.
Ingen vänster aktivist kan ha missat att alkisen är på rehab. Det här är förmodligen en SD sympatisör som kör med lite dubbel psykologi.
Typ SD mannen i Malmö som strax före valet ristade in en svastika i pannan och påstod att han blivit överfallen. Polisen avskrev ärendet (efter valet) (host) med motiveringen att han förmodligen hade gjort det själv.
Eller….
Det kanske är trippel psykologi. Någon kommunist viste att jag eller någon annan skulle tänka i två steg men inte tre.
Off-topic:
För den som har 45 minuter över och behöver en dos underhållning blandat med bister verklighet via ämnen som peak-oil bland annat:
The *REAL* truth behind current Middle-Eastern policies
Off-topic: varför länkade du till din blogg (med en enda länk i inlägget) istället för direkt till videon?
Snåljåp.
/Magnus 6THlx
Jag kör med parametriska lösenord som anpassas efter varje site. Dvs de består av en del som alltid är samma, och en som kan härledas utifrån namnet på siten.
För cornubot.se skulle det t.ex. kunna blir "password123COR". Då klarar jag mig även om någon site som sparar lösenord i klartext blir hackad.
Ett sådant lösenord överlever också alla dictionary-attacker, och behöver inte vara överdrivet långa eftersom en ren bruteforce-knäckning enbart ger lösenordet för den siten.
På jobbet, där de kräver lösenordsbyte var tredje månad så kör jag med en standarddel av lösenordet som alltid är densamma och innehåller alla specialtecken som krävs, och resten av lösenordet är tematiskt och varieras. Om vi tänker oss att temat är blommor, så kan lösenordet bli "Password123.ros", och när det är dags för byte blir det "Password123.tulpan" osv.
@Magnus:
"trots allt bara orboksuppslagning^4"? Ta en liten svensk ordlista på 50 000 ord och räkna ut hur många kombinationer det blir. Låt säga att användaren dessutom skriver ett av orden med stor bokstav så blir det inte roliga att knäcka det.
Off-topic:
Ny rapport från BKN idag. Den verkar inte vara släppt ännu (inte upplagt under Nyheter eller länkad på deras hemsida). Kollar man däremot filnamnet på de gamla rapporterna (t.ex. maj) så behöver man inte vara kryptoanalytiker för att lista ut hur man kommer åt oktoberrapporten. Titeln är "Kortsiktiga hushåll i riskzonen". Vore intressant med ett inlägg kring denna (om man får önska sig).
Password hashar är mer än salt, d är viktigt att göra knäckningen långsam. Md5 är gjord för att vara snabb..
http://highperformance.blogg.se/2011/october/bloggtoppen-hackat-party-like-its-2008.html
Jag är dataidiot och undrar alltså, varför uppger man lösenord till Bloggtoppen?