Talált password-ök osztálya

2011. február 02. 19:35 - Csizmazia Darab István [Rambo]

Van aki pénztárcát talál, más kutyát vagy macskát, ezúttal azonban biztonsági kutatók félmillió elkóborolt email accountot leltek a Waledac botnet cache területén. Az eset kapcsán nem árt megjegyezni, hogy biztonságunk érdekében a naprakész Windows frissítés és a pöccre induló antivírus program használata mellett a megfelelő jelszókezelésre is érdemes alapos gondot fordítani.

Aki korábban is követte az eseményeket, emlékezhet rá, hogy az ESET kutatói már 2009-ben eljátszottak a botnetes Waledac kártevővel, és a forgalom elemzésével méregették többek közt a botnet spamkibocsátási képességeit. Sebastian Bortnik egy blogbejegyzésében a Waledac kártevővel üzemelő botnet méretét akkor még 20 ezer gépre becsülte, teljesítőképességét pedig napi 3 milliárd kiküldhető spamre tette. Az alapos technikai elemzés emellett azt is kimutatta, hogy a Waledac valójában a Storm utódjának tekinthető, és fejlesztésénél figyelembe vették az előd kijavítandó hibáit is, például amíg a Storm csak 64 bites RSA-kódolási algoritmust használt, addig a Waledac már ebben is előrelépett, és egyéb tekintetben is folyamatosan továbbfejlődött.

Később, 2010 májusában aztán a Microsoftnak nagy gyomrost sikerült bevinnie: jogi lépésekkel elérte, hogy a Waledac botnetet irányító szerverek doménneveit, illetve ip-címeit az internetszolgáltatók átadják nekik. Ezzel a komoly fegyverténnyel pedig egyenes út nyílt a zömmel Kínában, hamis személyi adatokkal regisztrált domainek letiltásásra. Bár a Waledac nem a legnagyobb botnet, az akkori méretét így is 50 ezer zombigépre becsülték.

Mai hírünk apropója pedig az, hogy számítógépes kutatók a Waledac forgalmi adatainak elemzése közben rábukkantak százezer ellopott FTP, és mintegy ötszázezer email név-jelszó párosra. A bűnözők ezeket remekül tudják használni, az FTP jelszavakkal weboldalakon keresztül lehet kártevőket terjeszteni, exploitokat becsempészni, de a blackhat SEO módszereket is könnyen be tudják így vetni, mérgezve ezzel a keresési találatokat; míg az email accountokat főleg a spamterjesztés terén tudják jól hasznosítani.

A hírt olvasva felvetődhet - és reméljük fel is vetődik sokakban - hogy ez egy égi jel, és talán ez a megfelelő pillanat egy önként és örömmel végzett jelszócserére, aki esetleg eddig ezt nem tette volna meg.

Ami lehetőleg NE legyen könnyen kitalálható, ne legyen egy bites, és legyen egyedi: magyarul ne ugyanazt használjuk különböző belépési helyeken. És az se baj, ha negyedévente-félévente ohne zsineg, érzékelhető biztonsági incidens nélkül is reflexből rendszeres időközönként cseréljük. Ne könnyítsük meg lustaságunkkal senki dolgát, küzdjenek csak meg a postaládánkban található atomtitkokért ;-)

24 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr622633770

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

amodent 2011.02.02. 22:08:04

Munkahelyemen a domain policy havonkénti jelszóváltozást ír elő, ami miatt mindenki nagyon gyenge jelszavakat használ, kitalálható változásokkal (pl. 123jan, 123feb, stb.). Mindig mondom a rendszergazdáknak, hogy legyen inkább ez fél, esetleg egy év követeljük meg az erős jelszavak használatát, mert szerintem a gyenge jelszavakat kevesebb mint egy hónap alatt lehet törni, az igazán erőseket viszont egy év alatt sem. Tapasztalataik szerint mi a vállalható kompromisszum csereintervallum/erősség vonatkozásban?

Droli · https://soundcloud.com/drolimusic 2011.02.02. 22:21:20

@amodent: ugyanez volt az én régi munkahelyemnél, ott annyi változtatással, hogy a rendszer minden hónap végén követelt egy új, régivel nem egyező jelszót, azt az illető beállította, majd pár óra múlva ment a rendszergazdához, hogy vissza tudná-e állítani a régit, mert az újat elfelejtette :-))))

delvideki 2011.02.02. 22:30:26

Szerintem meg nem jelszó kell, hanem jelmondat :)
Nem kell bele speckó karakter - a hossza kárpótol ezért -, viszont könnyű megjegyezni. Persze ne közmondást vélasszunk, nehogy dictionary alapon törjék :)

randomgenerator 2011.02.02. 23:15:18

Én még a userneveim sem tudom megjegyezni. Ami webes cucc mind a firefoxomban van.
Szép tanácsok, de betarthatatlan. Inkább lenne smartcard a személyi, és akkor használnánk azt mindenhol...

randomgenerator 2011.02.02. 23:17:34

Bocs a dupláért, épp megszámoltam, jelenleg 72 jelszót tárol a firefoxom.

forgodssake 2011.02.02. 23:31:12

en is a mondoka alapon torteno jelszo/jelmondat hive vagyok, de nem hiszem el h van elo ember a rainmen en kivul aki kepes lenne az en esetemben:

6 email
2 blog
paypal, szamla, ugyfelbelepo rendszer
es a szamtalan forum( kapasbol 20 kedvenc van a jobboldalon mentesben
jelszot megjegyezni.

ez igy elsore is (ha a posztolo javaslatat megfogadnam es nincs 2 egyforma jelszo ) 31 db jelszo fejbentartasa es haromhavonta csereje lenne ami nekem megugorhatatlan feladat.

viktor134 2011.02.02. 23:47:17

@Droli:
a haiv változtatás általában a következő jelszó előtagokat jelentette nálunk az usereknél:
januar
februar
marcius
aprilis....

ennyi. :)

S.E.A.T. 2011.02.02. 23:54:08

Szerintem a legjobb egy saját "algoritmus" használata.Nehezen feltörhető jelszavakat eredményez, de bárhol és bármikor vissza tudod fejteni magadnak.
pl.: felhasználónév első 3 karaktere visszafelé, a középső karakter nagybetű + születési év utolsó 3 kakterének értéke + az adott oldal címenek 3., 5. betűje + a hozzátartozó e-mailcím szolgáltatójának első 2 karaktere

felhasználó: Béla
Szül.: 1976
Oldal: antivirus.blog.hu
E-mail: bela@email.hu

Jelszó: lEb22tvem

Amikor változtatni kell, akkor meg átírod a kis logaritmust és ennyi.

S.E.A.T. 2011.02.03. 00:08:32

@S.E.A.T.: illetbe be lehet tolni még egy karaktert a változtatások miatt.
Vagyis a normál: lEb22tvem
a következő hónapban: lEb22tvemX
a következő hónapban: lEb22tvem
a következő hónapban: lEb22tvemX

Tetszés szerint lehet fejleszteni, hozzáadni, levenni adatokat, de így akár évek múlva is emlékezhetsz a jelszavadra.

M. Laci · http://palferi.blog.hu 2011.02.03. 05:21:20

mindenhová más jelszó,
időnként változtatni,
a felem káptalan,
dédapám meg turmixgép és vasaló egyben.

Bikfenc 2011.02.03. 07:51:37

Nem számoltam össze de vagy 86 jelszavam biztos van (10-12 e-mail, 6 honlap, ftp, bank, hírlevelek, stb.)
Kinek mi a tapasztalata a jelszókezelő programokkal?
Melyiket érdemes használni?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.02.03. 08:17:25

A kommentek fényében árnyalnám egy kicsit a képet. Nyilván esete válogatja, melyiknél hogyan érdemes eljárni.

Értelemszerűen mindenhol nem éri meg ez a plusz fáradság. Mondjuk az Egyesült Cziczamicza Művek Babapiskóta és Pálinkás Czumi webshopjában elegendő lehet évente, vagy akár sosem jelszót cserélni. Ha viszont a keresztnevünk James, és a vezetéknevünk ráadásul Bond, vagy esetleg a munkánk révén mások (pl. konkrurencia) számára értékes információk forognak a levelesládában, (lásd mellékelt linket a Propelleres ember incidensénél), akkor szinte szükséges rossz ez. Ha valaki alulbecsüli az erős jelszót, akkor jön a Sarah Palin effektus.

Értékén kell kezelni ezt a dolgot, arányosan a védendő információ értékével. Például ha már bankkártya adat is van egy regisztrációnál a hozzátartozó háromjegyű biztonsági kóddal, ott már biztosan érdemes a negyedéves serénykedés. Ha már ott lapul a net egyik sötét bugyrában az accountunk egy ellopott és eladott csomagban, mire a rosszember eladja a vevőnek, legalább van egy kis minális esély, hogy esetleg felkoppanjon az orcája a változtatás miatt.

Akinek pedig nem szabadon választott, hanem a munkahely által előírt a rendszeres svédtorna a jelszavakkal, ott gyaníthatóan megemelkedik a Postit rendelési kvóta, vagy a kommentekben említett január, február, etc jön a képbe.

Mighty 2011.02.03. 09:21:06

Nálunk bár szintén havi rendszerességgel kell jelszót változtatni, viszont rendkívűl szigorú szabályok vannak: az utolsó 24 jelszóval nem egyezhet, kell benne lennie kis/nagy betűnek, számnak illetve speciális karakternek. A hossza sem lehet ha jól emlékszem 10-nél rövidebb.

TIN modell (törölt) 2011.02.03. 10:12:00

Kizárólag a szerver root, SQL root passokra ügyelek, ezeknél a username is vmi komplex dolog rövidítése (és a kispadlás molyette hátsó sarkában a 200 éves subák alatt is el van rakva, miután egyszer egy hetes kirándulás után gondokat okozott a root jelszó felidézése, s akkor kissé le voltam izzadva ...: D). A többinél 50-80 pass között, pedig már nem fórumozok, az FF ment, mert még úgy is halál van.

Többen írják a fórumot, de az égre, egy fórumjelszón, mondjuk egy indexes fórumra gondolva, Wágner pribékjeivel, ahol a sok elmebeteg moderátor kénye-kedve szerint félnaponta kirootolja a semmibe a fél userkört, oda minek raktok bonyi jelszót?

Szeretnék avatart a hozzászólásaim mellé! 2011.02.03. 11:08:53

@Bikfenc: Password Safe nevű toolt ajánlom. Enterprise környezetben is megállja a helyét. Néhány feature:
- autotype funkció: a legtöbb rendszerbe/weboldalra be tudsz lépni úgy, hogy nincs se copy/paste, se bonyolult jelszó begépelés (te magad sem látod a jelszót)
- tud szólni, ha lejár a jelszó (céges környezetben le szokott járni)
- titkosított adattárolás. Mondjuk ha a mesterjelszavadat elfelejted, akkor vége a dalnak
- tud neked jelszót generálni, az ehhez tartozó szabályokat te adhatod meg
- a jelszavakat csoportokba lehet szervezni (pl. Blogok, munkahely, otthon, stb.)
- gyors, kisméretű tool

Hátránya: ha több gépről dolgozol, akkor mindkettőről el kell érned az adatbázisodat. Én egyelőre paranoiás vagyok ahhoz, hogy az adatbázisomat időnként feltegyem a netre.

Jelenleg majd 200 jelszót tárolok benne s még soha semmi gondom nem volt a használatával.

Elérhető itt: pwsafe.org

Szeretnék avatart a hozzászólásaim mellé! 2011.02.03. 11:29:18

@Mighty: Mondjuk ez a normális.
Nálunk még a minimum password age is be van állítva, azaz egy napon csak egyszer változtathatsz: ezzel elkerülhető a jelszó körberotálása, majd így visszaállítása az eredetire pár perc alatt.

@S.E.A.T.: az algoritmusos módszer sem rossz, de ha megváltoztatod az algoritmust, akkor már azt is fejben kell tartanod, hogy hol milyen algoritmust használsz.

Nekem a Password Safe módszer jött be: sok jelszavamat sohasem láttam, mégis mindenhol különböző és cserélem is őket...

Mighty 2011.02.03. 12:11:48

@Szeretnék avatart a hozzászólásaim mellé!: Ha elég erős mester jelszót választasz, akkor mitől félsz? Én a keepass-os adatbázisomat a dropbox-szal szinkronizálom a gépeim között.
Keepass-ban pl lehet használni a mester jelszó mellett egy keyfile-t is, amit rádobsz egy pendrivre-ra (megfelelő számú backup mellett persze).

Comandante en Jefe · http://local.blog.hu/ 2011.02.03. 12:32:34

@Mighty:

Ilyenkor garantált, hogy az alkalmazott felírja egy postitre, és a monitor szélére ragasztja a jelszót.
(Esetleg a fiókba vagy az asztal lapjára alulról...)

www.nod32-antivirus.hu · http://www.nod32-antivirus.hu 2011.02.03. 13:01:42

a nod32 vírusirtóknál nincs jobb a világon

www.panda-online.hu 2011.02.03. 13:02:38

panda security szoftvert mindenkinek és akkor nem lesz senkinek se gondja !

Sieg 2011.02.03. 13:33:05

Mielőtt tényleg azt hinnénk, hogy az "erős jelszó" majd hűdebiztonságos lesz, nem árt tudni, hogy a jelszavakat túlnyomó többségében keyloggerek lopják. Ezeknek meg tökmindegy, hogy 123456 a jelszavad, 20 karakteres random generált vagy egy kisregény.

Nem a bonyolult jelszótól lesz a rendszered biztonságos, hanem attól, hogy nem hagyod, hogy megfertőződjön.

Szeretnék avatart a hozzászólásaim mellé! 2011.02.03. 22:38:06

@Sieg: a keyloggernek tényleg mindegy, mi a jelszavad, de minden más esetben jó, ha erős.

Na igen, a védelem. Eleinte baromságnak tartottam, hogy a cégem minden munkaállomásra is personal firewallt tetetett fel (nem választható módon természetesen), de manapság már teljesen elfogadom, hogy ez a természetes. A naprakész, rendszeresen scannelő vírusirtó mellett persze.

Szeretnék avatart a hozzászólásaim mellé! 2011.02.03. 22:39:51

@Comandante en Jefe: Kivéve, ha az asztalodat is rendszeresen ellenőrzik és jó alaposan seggbekúrnak, ha bizalmas információt tartasz ott (pl. jelszavakat).
A megoldás: Password Safe (pwsafe.org)

Szeretnék avatart a hozzászólásaim mellé! 2011.02.03. 22:42:34

@Mighty: mint írtam is: paranoiás vagyok. :)
Egyszer talán majd elmúlik...