SweClockers drabbas av dataintrång

Det finns olika angrepp som är viktiga att försvara sig mot. Lösenordshanterare eliminerar de idag absolut vanligaste problemen:

1. externa sidor som hackas (vare sig de talar om det eller ens vet det eller ej)

2. externa sidor som är rent utav ohederliga och samlar in användaruppgifter för att utnyttja användardata själva.

(Det förstnämnda är vanligare än det andra, men båda tål att nämnas.)

Ett annat problem är keyloggers. Där beror det lite på ifall en lösenordshanterare förbättrar situationen eller ej. Generellt kan man säga att man är rätt körd om man fått in en keylogger överhuvudtaget. Om man inte har en lösenordshanterare så är det glasklart att varenda inloggning man gör med keyloggern aktiv är förlorad. Med en lösenordshanterare så beror det lite på hur den fungerar. Det finns vissa obfuskeringsmekanismer som kan aktiveras där urklippshanteraren involveras, och de som har insticksprogram direkt i webbläsare går nog inte via tangentbordet.

Ett ytterligare problem relaterat till det förra är "remote desktop"-övertagningar (som ofta är kombinerade med keyloggers). Har man råkat ut för detta så är man återigen på ordentligt djupt vatten, lösenordshanterare eller ej. Inloggningar ryker på löpande band, ransomware ligger nära till hands, etc. Sitter man i denna båt så har man i någon mån redan förlorat.

Lösenordshanterare är ingen gyllene hammare som löser de två sistnämnda problemen på egen hand, men det har många styrkor utanför dessa domäner. En användare kan hålla koll på vilka lösenord som finns, inmatning blir enklare, etc. Den stora poängen är dock det som nämndes först: att eliminera de två allra största attackytorna som finns idag. Datorsäkerhet handlar väldigt sällan/aldrig om "absolut" säkerhet, utan snarare om riskminimering och att hantera konsekvenser.

Att kryptera sin lösenordsdatabas med ett starkt lösenord är en av grundbultarna med lösenordshanterare. Att minnas ett ordentligt starkt lösenord som aldrig behöver lämna den lokala datorn bör vara görbart — vill man vara lustig så kan man hävda att den som har svårt att minnas ett enda starkt lösenord är den som är i störst behov av lösenordshanterare .

Det finns också hårdvarulösningar som nämnts tidigare i tråden i form av minimala USB-nycklar som låser upp liknande valv med ett knapptryck (vissa stöder även trådlös överföring så att det räcker att hålla dem emot exempelvis sin telefon för att verifiera sig). Man kan också lätt kombinera detta till en tvåfaktorslösning ("något du kan" — ett lösenord, "något du har" — en USB-nyckel). Man kan också använda nyckelfiler på externa media för att skydda sig mot keyloggers, men det kan upprepas att om man sitter i situationen där en attackerare har tagit över ens dator så ligger man generellt risigt till. Vill man ha "fullt skydd" mot detta så behöver man gå ett par steg längre och använda engångslösenord med extern verifiering och liknande.

Märkliga lösenordskriterier är en ständig källa till frustration. Det leder också till väldigt dåliga lösenord hos användare, just eftersom det är orimligt att någon ska komma ihåg allt.

Hemskheter jag direkt kan minnas från diverse nätregistreringar:

• Ett företag godkände bara lowercase bokstäver på max 8 tecken.

• En stor webbprogrammeringsinriktad hemsida tillät lösenord på 32 tecken i sitt "Ändra lösenord"-formulär, men bara upp till 25 tecken i inloggningsformuläret, vilket gjorde att en användare lätt kunde byta till ett lösenord som sedan inte gick att logga in med.

• En sida vägrade acceptera 32 slumpade tecken ur alla teckenkategorier för att det enligt deras analysskript var "för svagt". hunter2 var däremot acceptabelt.

• Många sidor kollapsar när lösenord innehåller mellanslag.

Vad gäller lösenordshanterare så är det lätt att generera ett lösenord med olika kriterier — exempeldialog från KeePassX:

Det gör åtminstone att man kan "maxa entropin" på varje respektive sida utan större bekymmer.

Obligatorisk tvåfaktor är nätet definitivt inte redo för, men som tillval kommer det nog dyka upp mer och mer. Ska jag titta i min mer rimliga spåkula så ser jag främst att OAuth/OpenID kommer fortsätta växa ("Logga in med Google/Facebook/Twitter/…"), och att dessa aktörer kommer försöka "fösa" användare mot tvåfaktorsautentisering. Dessa företag har ett stort egenintresse i att användare ska vilja vara inloggade på deras tjänster konstant ändå, så de är bara glada att erbjuda infrastruktur för säker inloggning. Om det dessutom betyder att användare registrerar exempelvis sina mobilnummer så är det win-win (kanske "-lose" för användares integritet, men den brukar stå sig billig gentemot smidighet ).

Om ditt e-postkonto är i riskzonen så se till att byta lösenord på det omedelbart, då det är "nyckeln till kungariket". Om du fortfarande har kontroll över e-postkontot som ditt Ebay-konto är registrerat med så borde det inte vara svårare än att återställa lösenordet och ta kontroll över kontot igen.

För att försöka göra något konstruktivt av liknande situationer så kan det vara ett läge att tänka över sina lösenordsvanor. Inlägg #15524521 innehåller några alternativ.

Ett vanligt tips är att redan innan olyckan är framme att tänka på hur exempelvis man skulle hantera ett inbrott eller en vattenläcka i ett förråd eller liknande, men idag är det också viktigt att tänka på tekniken, med frågor likt:

• Hur illa ligger jag till när min hårddisk kraschar (observera ordval "när" och inte "om")? Hur illa ligger jag till om min hårddisk och min primära backup är onåbara?

• Hur illa ligger jag till om jag glömmer min laptop på tåget?

• Hur illa ligger jag till om jag tappar min telefon?

• Hur illa ligger jag till om jag blir av med mitt e-postkonto?

• Hur illa ligger jag till om mina användaruppgifter på nätkonto X skulle läcka ut?

Finns det känslig information som skulle svida riktigt mycket att bli av med? Föreligger det risk för att hamna i utpressningssituationer? Med lite fantasi så kan man komma på fler hypotetiska frågor som är bra att ha svar på. Det betyder inte att man ska gå runt och vara paranoid — tvärtom: har man redan tänkt över dessa frågor och vidtagit rimliga åtgärder så kan man känna sig tryggare därefter.

Om du hade ett svagt lösenord på ett par ställen så går det inte att utesluta att det kommit i orätta händer någon gång; vare sig sidan i fråga rapporterat (eller ens vet om) att de blivit av med sin användardatabas eller ej.

Ett problem med "jag använder ett dåligt lösenord på alla de sidor som inte är så viktiga"-approachen är att man ju då just har som allra störst attackyta på sitt allra sämsta lösenord, vilket i längden sånär garantererar att det kommer läcka ut. När det händer upptäcker man lätt att de där sidorna inte var riktigt så oviktiga som man tänkte.

Bara senaste veckorna så har det varit flera publicerade (svenska) lösenordsdatabaser som kommit på vift; Hemmakvällattacken nådde ju till och med så långt som dagstidningarnas förstasidor på nätet.

Om du menar att du har en icke-teknisk lösenordshanterare så är den troligen inte "bra", enligt de kriterier som råder. Grundpelaren är att lösenordshanteraren ska komplett eliminera återanvända och svaga lösenord, men du hade ju enligt uppgift båda delar i bruk. Jag menar det inte som en "kritik" (alla får själva välja sin säkerhetsnivå), men du måste se att det finns förbättringspotential här.

Som jag nämnt flera gånger innan i denna tråd så är en av de bästa saker en vettig lösenordspolicy ger en användare just en god nattsömn i vetskapen om att man inte är i riskzonen för angrepp på externa sidor (utöver att behöva byta ett enda lösenord på en enda tjänst), vilket ju är något man ändå inte har någon kontroll över.

• Varje gång du skickar ett e-post, eller någon skickar dig ett e-post, så kommer din adress synas i klartext på minst två servrar som du högst troligen inte äger. Pratar vi icke-krypterade anslutningar (och det går ju inte bestämma hur motparten hanterar sin e-post) så kan den utan vidare studsa mellan 20-tals servrar runt om på nätet som du inte kontrollerar.

• För varje sida du registrerar dig på så lagras sin e-postadress i en databas någonstans — hur skyddad den är går inte att svara på (om det inte är du själv som är administratör på sidan). Databaser läcker exempelvis genom

  • angrepp (återigen: vare sig sidorna vet och rapporterar det själva eller ej)

  • att administratörer på mindre nogräknade sidor själva säljer användaruppgifter på svarta marknaden, eller för den delen själva är de som utför attacker. Kanske inte idag, men kanske i framtiden när sidans ekonomi börjar gå knackigt.

• Varje gång du skickar ett e-postmeddelande till någon annan så lägger du din tillit till att denna person (under obestämd framtid!) inte ska

  • slarva med sin lösenordshantering

  • använda osäkra e-posttjänster

  • drabbas av trojaner/maskar/etc.

  Ansvar för endera punkt ovan läggs så klart även på dig själv — kan du garantera att ditt konto inte utsatts för angrepp?

• Varje gång du är med i ett e-postutskick där avsändaren inte listat ut vad BCC är till för (och detta händer i min erfarenhet ofta!) så tillgängliggörs din e-postadress för alla som tar del av utskicket. Bara denna väg har min egen e-postadress hamnat på säkert tiotusentals för mig okända människors e-postkonton, och vill jag att min adress ska vara "hemlig" så måste jag nu lägga min tillit till att alla dessa människor aldrig drabbas av någon av ovanstående punkter (vilket jag närapå garanterat vet kommer hända/redan har hänt).

En e-postadress är liksom Andreas Dimestam skrev ovan inte en hemlig uppgift. Den kan inte vara det, för första gången den används till minsta användbara sak så kan man direkt säga att den "avslöjats" — men detta är ingen hemlighet för nätsidor, så det är heller inget problem: e-postadressen är ensam inte tillräcklig för att ta över ett konto.

Varför skulle en attackerare vilja återställa dina lösenord utan att ha kontroll över (dvs kunna logga in på) ditt e-postkonto? Vad har en attackerare att tjäna på detta? Varför skulle någon vilja återställa ditt Ebaylösenord bara för att de fått reda på din e-postadress?

Om de lyckats knäcka ditt lösenord via en databasdump så borde deras aktion vara att testa att logga in med dessa uppgifter, men om det misslyckas så är det ju bara att gå vidare till nästa mål i listan. Det är bara negativt för en attackerare att "göra sig känd" genom att generera återställningslänkar som ändå inte går att använda.

Så, om du bara ser till att byta lösenord på de platser där du återanvänt samma lösenord som på SweClockers så tycker jag att du borde kunna känna dig lugn och sova gott på natten. Det finns inget en attackerare kan göra med din e-postadress utöver att kanske få spam att skickas till ditt konto, men spam är ett känt problem som troligen dyker upp vid allt normalt användande av e-post, enligt tidigare resonemang i detta inlägg.

Ja, givetvis är ingen i tråden glad över vad som hänt. Men som jag skrev ovan: försök vända det till något konstruktivt för dig själv. Se över lösenordsrutiner och säkerhetstänkande så att inte nästa läcka du hör talas om blir lika bekymmersam. Om du kan göra något gott av det så kommer situationen säkert inte kännas lika jobbig att hantera.

Titta även gärna seriöst på de frågor jag stolpade upp i slutet av inlägg #15531000 — även om jag vet hur frustrerande svårt det kan vara att få personer att faktiskt tänka över dessa saker så tycker jag att det är väl tillbringad tid att vara någorlunda redo för de nersidor dagens tillit till teknik lätt för med sig.

Ja, jag har genom åren varit med om horribelt dålig lösenordshantering från allt från små lokala svenska websidor till stora Electronic Arts. T ex tillät EA användande av specialtecken vid lösenordsbyte, specialtecken som inte var godkända för användning i lösenord. Detta ledde till timslånga samtal till supporten i EA innan detta reddes ut och de påstod att detta var första gången de varit med om problemet (fan tro't).

Relativt många sidor där jag försökt byta till komplicerade lösenord har jag efteråt råkat ur för att jag inte kunnat logga in efteråt, utan tvingats återställa och sedan använda max 10-15 tecken utan specialtecken. Det finns alltså fortfarande väldigt många sidor som inte har acceptabel lösenordshantering, tyvärr.

Men, ju fler som är medvetna om detta, desto bättre. Alltid unika lösenord är punkt nummer ett och det viktigaste av allt.

Rapport och sammanfattning av undersökningarna

Bakgrund

Datasäkerhet kan tyckas vara något diffust och svårgreppbart. Precis som att det inte går att göra ett bostadshus helt säkert för inbrott går det inte heller att uppnå hundraprocentig datasäkerhet. Istället gäller det att ständigt arbeta för att höja trösklarna och redan från början se till att minimera potentiella skador av ett eventuellt intrång.

Natten mot torsdagen den 9 juli fastställdes att någon stulit SweClockers medlemsdatabas. Omedelbart efter att administratörerna försäkrat sig om att angreppet inte var pågående fattades beslutet att informera alla om det inträffade och uppmana medlemmarna till att byta lösenord. Detta skedde offentligt på webbplatsen och via e-post till berörda användare.

Intrånget upptäcktes vid en undersökning av en omärkt databasdump som återfanns i hackerkretsar. Denna databas består åtminstone delvis av SweClockers medlemsregister med e-postadresser och hashsummor av lösenord. Det bör klargöras att SweClockers inte lagrar några personuppgifter utöver vad som frivilligt anges i den öppna medlemsprofilen.

Analys

Så länge angriparen inte ger sig till känna och informerar om tillvägagångssättet är det inte möjligt att i efterhand ta reda på det exakta händelseförloppet. Istället är administratörerna hänvisade till att analysera det inträffade och dra egna slutsatser. Detta kompliceras av att hårdvaran och mjukvaran som användes vid intrångstillfället inte längre är i bruk utan avvecklades i samband med övergången till SweClockers 6.0.

Först och främst kan det konstateras att den stulna databasen är från i början av mars månad. Eftersom intrånget inte upptäcktes förrän den 9 juli innebär det att angriparna sannolikt haft möjlighet att fortsätta utnyttja samma säkerhetshål fram till lanseringen av SweClockers 6.0, som ägde rum den 12 maj.

Den äldre versionen av webbplatsen baserades på den populära forummjukvaran Vbulletin. I efterforskningarna har administratörerna upptäckt att SweClockers.com under denna period innehöll minst en Vbulletin-relaterad säkerhetsbrist, som sannolikt utnyttjats för att exekvera kod och därigenom stjäla användardatabasen.

Det finns inga tecken på att kodbasen manipulerats eller att administratörskonton tillgripits utan allt tyder på att angriparna stannat vid att stjäla lagrade uppgifter. Även om det inte går att få några garantier sprids databasen (enligt uppgift) inte vind för våg utan förvaras hos en avgränsad grupp hackare.

Eftersom alla lösenord hanteras av en kryptografisk hashfunktion med dynamiskt "salt" per användare är det inte möjligt att snabbt lista ut lösenorden genom att använda så kallade regnbågstabeller. I praktiken innebär det att endast kortare lösenord och lösenord som återfinns i ordlistor löper någon påtaglig risk att hamna i orätta händer.

Åtgärder

Det fina i kråksången är att SweClockers 6.0 helt och hållet är skild från den äldre versionen av webbplatsen (som drabbades av intrånget). Eftersom all mjukvara är utbytt finns inte heller samma säkerhetsbrister kvar. En av huvudanledningarna till beslutet att gå över till en egen plattform var just att bli av med den ofta angripna mjukvaran Vbulletin.

SweClockers 6.0 innehåller mängder av säkerhetsmässiga förbättringar, bland annat en moderniserad hashfunktion enligt konstens alla regler. Om olyckan skulle vara framme är det extremt dyrt även för en mycket resursstark motståndare att försöka knäcka lösenord. Dessutom är det nu enklare att höja styrkan och kompensera för utvecklingen av kraftfullare hårdvara.

Det kan tilläggas att den äldre versionen av webbplatsen inte var någon standardinstallation av Vbulletin utan bland annat innehöll en på eget initiativ förstärkt hashfunktion. SweClockers administratörer är väl bevandrade inom området och arbetar ständigt med att förbättra den tekniska plattformen och de interna säkerhetsrutinerna.

Intrånget är dock en smärtsam påminnelse om att det aldrig går att vara helt säker. Alla, även vanliga användare, behöver tänka på sin personliga datasäkerhet och arbeta förebyggande. I detta fall genom att se till att använda riktiga lösenordsfraser och inte återanvända eller dela samma lösenord mellan flera olika sajter. Att installera en lösenordshanterare är en alldeles utmärkt start!

Det bästa är att förutsätta att hela perioden fram till plattformsbytet i maj påverkats. Byt lösenord så är ditt konto säkert sedan.