Slo-Tech - Pred štirimi desetletji so Ken Thompson in ostali velikani računalništva ustvarjali operacijski sistem BSD, izpeljanko Unixa, ki so imeli tudi vsak svoje uporabniško ime in geslo. Pred petimi leti je Leah Neukirchen v izvorni kodi BSD verzije 3 odkrila datoteko /etc/passwd, v kateri so bile zgoščene vrednosti gesel več kot deset razvijalcev BSD-ja. Pet let pozneje je računske moči dovolj, da so uspeli zlomiti skoraj vse. Sedaj vemo, kakšna gesla so imeli ustvarjalci pred štirimi desetletji.

Odgovor je - ne preveč varna po modernih smernicah. V omenjeni datoteki so bile zapisane zgoščene vrednosti gesel po algoritmu crypt(3), ki nikoli ni veljal za preveč varnega. Dolžina gesel je bila omejena na osem, shranjena pa so bila zgolj z 12 dodatnimi biti entropije. To je dovolj majhen konfiguracijski prostor, da ga je moč preiskati z vsemi kombinacijami. Leah Neukirchen je uspela zlomiti večino gesel. Ostalo jih je šest, izmed katerih je bilo pet zlomljenih ta mesec. Neznanka je le...

Slo-Tech - River City Media (RCM) se sicer predstavlja kot oglaševalsko podjetje, a je v resnici eden največjih pošiljateljev spama na svetu. Organizacijo vodita zloglasna spamerja Alvin Slocombe in Matt Ferris, odgovorna pa je za milijarde poslanih neželenih elektronskih sporočil dnevno. Kot vsaka vestna organizacija imajo varnostne kopije, ki pa jih je nekdo letos izvedel zelo malomarno. Rsync so imeli od januarja nastavljen tako, da so bile vse varnostne kopije na internetu vidne brez gesla. Slocombe je februarja pozval svoje zaposlene, naj zamenjajo vsa gesla, saj naj bi jim bil nekdo vdrl. V resnici je RCM vse podatke ponudil na pladnju.

Chris Vickery iz MacKeeperja je to ugotovil in skupaj s CSOOnline in Spamhausom raziskal, kaj se dogaja. Najdba je...

Ars Technica - Vdor v Ashley Madison je že tako ali tako imel precej resne posledice za vse vpletene, sedaj pa se seznamu njihovih težav pridružujejo še razkrita gesla. Ker so upravljavci strani shranjevali zgoščene vrednosti gesel (hash) po algoritmu bcrypt, smo spočetka napak predpostavili, da jih ne bo mogoče zlomiti. A pisci strani so zagrešili dve ogromni napaki, ki sta v nekaj tednih omogočili razbitje 90 odstotkov od 15 milijonov prizadetih gesel.

V pobeglem arhivu je bila namreč tudi datoteka, ki je vsebovala spremenljivko z imenom $loginkey za 15 milijonov uporabnikov. Izkazalo se je, da gre za zgoščeno vrednost iz uporabniškega imena in...

Krebs On Security - Pravzaprav je bilo le vprašanje, kdaj bo mamljiva baza podatkov pricurljala na internet. Točno mesec dni po vdoru v spletno stran Ashley Madison se je na internetu znašel 10 gigabajtov težak arhiv, ki domnevno vsebuje informacije o uporabnikih strani. Prve analize kažejo, da bi bil arhiv lahko pristen, podatki pa resnični.

Ashley Madison je kanadska spletna stran, ki jo ljudje uporabljajo, da laže diskretno varajo svoje partnerje. Oglašuje se s sloganom Življenje je kratko, privoščite si afero, in je kljub kritikam nekaterih skupin zelo priljubljena stran. Nezaželeno publiciteto je stran doživela 15. julija, ko so neznani napadalci ob vdoru na stran ukradli vse podatke o uporabnikih, kar je glede na namen...

LastPass - Ponudnik priljubljene brskalniške razširitve za upravljanje z gesli LastPass je včeraj priznal, da so bili tarča vdora. Kot pravijo, so še neznani storilci uspeli pridobiti delni dostop do njihove podatkovne baze in odtujiti nekatere ("osnovne") podatke o njihovih uporabnikih.

Konkretno; odtujili naj bi podatke o vseh uporabniških računih - e-poštni naslov, opomnik za primer pozabljenega gesla ter močno zgoščeno obliko glavnega (master) gesla za zavarovanje gesel na drugih straneh. Naj pa ne bi bilo nobenih dokazov, da so se napadalci uspeli priti tudi do tistega dela podatkovne baze, kjer se hrani gesla za druge strani ("vault").

Ekipa pojasnjuje, da zgolj z navedenimi podatki praviloma ne bi smelo biti mogoče priti do izvrine (cleartext) oblike glavnega gesla in torej tudi ne do gesel za ostale strani. Za zgoščevanja gesla namreč uporabljajo...

Slo-Tech - Letošnje računalniške vdore je sicer zasenčil internetni napad na Sony Pictures, a primerov je seveda cel kup. Sedaj smo izvedeli, da je bila tarča hekerjev tudi Nvidia, od koder so v začetku meseca odnesli vsaj uporabniška imena in gesla zaposlenih.

Zaposleni so 17. decembra prejeli elektronsko sporočilo informacijske službe, da je bila Nvidia v prvem tednu decembra tarča napada, ki se je končal z nepooblaščenim dostopom do internega omrežja. Nepridipravi so dobili dostop velikega števila uporabniških imen in gesel, točne številke pa Nvidia ni razkrila. V podjetju je sicer malo manj kot 9000 zaposlenih, zagotovo pa je prizadetih vsaj 500. Vse zaposlene so zato pozvali, naj zamenjajo uporabniška imena in gesla, še posebej če jih v enaki obliki uporabljajo tudi...

Slo-Tech - Naslednji spletni strani, ki sta se znašli na seznamu vdorov, sta Spotify in Avast. Spotify je sporočil, da so zaznali nepooblaščen dostop do podatkovne baze z uporabniškimi podatki. Preiskava je za zdaj pokazala, da naj bi bil prizadet en sam uporabniški račun, o katerem so napadalci uspeli pridobiti osebne podatke, ne pa gesla ali finančnih podatkov. Večje nevarnosti za uporabnike naj ne bi bilo, so pa vseeno napovedali nadgradnjo aplikacije Spotify za Android (ostale verzije ostajajo nespremenjene), ki bo poskrbela za dodatno varnost.

Precej boljši izplen pa so imeli hekerji pri napadu na forume proizvajalca varnostnih rešitev Avast, so sporočili iz podjetja. Tu naj bi bilo...

ZDNet - Vdor v Snapchat ni bil potegavščina, kot se je sprva špekuliralo, ampak je šlo za res. Neznani napadalci so pridobili uporabniška imena in telefonske številke 4,6 milijona uporabnikov Snapchata in jih (z zakritima zadnjima števkama) objavili na spletni strani SnapchatDB.info. Ali sta neka uporabniško ime in številka javno objavljena, je mogoče preveriti na strani Gibson Security, ki z vdorom ni povezana.

Snapchat je priljubljena aplikacija za pametne telefone, ki omogoča pošiljanje sporočil in slik, ki po 1-10 sekundah izpuhtijo s prejemnikovega telefona in Snapchatovih strežnikov. A aplikacija ni brez varnostnih lukenj. Raziskovalci iz Gibson Securityja so Snapchat več mesecev opozarjali, da ima njihova aplikacija ranljivosti, a se ni zgodilo nič. Ker ni preostalo drugega, so na...

Krebs On Security - Na internetu se je znašla datoteka z zbranimi uporabniškimi imeni, elektronskimi naslovi, rojstni datumi in gesla, ki pripada spletni strani za internetne zmenke Cupid Media. Napad se je zgodil že januarja letos, a o njem niso obvestili medijev. Dodatno težavo povzroča dejstvo, da so bila gesla shranjena v nezaščiteni obliki (plain-text).

Datoteko z 42 milijoni vnosov so našli na istih strežnikih, kamor se hekerji priobčili tudi pridobljene podatke v napadu na Adobe. Strokovnjak za varnost Brian Krebs, ki je v začetku novembra stopil v stik s prizadeto avstralsko stranjo, da bi izvedel...

Sophos - Adobe je oktobra priznal vdor v svoje strežnike, ki naj bi mu odnesel izvorno kodo nekatere programske opreme in 2,9 milijona šifriranih gesel, uporabniških imen in elektronskih naslovov strank. Izkazalo se je, da je Adobe zelo podcenil resnost vdora. Sophos Security ugotavlja, da so nepridipravi uspeli ukrasti 153 milijonov kosov uporabniških podatkov, s čimer se vdor uvršča med največje v zgodovini.

Prve ocene so bile sicer 38 milijonov gesel, a je številka potem zrasla na 153 milijonov. Adobe vztraja pri oceni 38 milijonov in dodaja, da so napadalci dobili podatke z veliko zastarelih, neaktivnih in testnih računov, a to niti ni pomembno. Na internetu se je namreč znašla 10 GB velika datoteka, ki ima 153 milijonov vnosov.

V njej...

Yahoo News - Če imate pogosto kombinacijo imena in priimka, ste gotovo že naleteli na težave pri izbiri elektronskega naslova. Vse pametne permutacije so običajno že zasedene, tako da se je treba na koncu zadovoljiti s kakšnim neestetskim uporabniškim imenom janez.novak231. Situacija je čedalje slabša, saj se število uporabnikov spletnih ponudnikov e-pošte povečuje, kar zmanjšuje število prostih naslovov. Zato je nujno recikliranje, pravi Yahoo.

Če se v svoj račun niste prijavili že nekaj časa, ker ste ga ustvarili le za spam in mogoče sploh ne poznate več gesla zanj, potem nima smisla, da ta sploh še obstaja. Tako razmišlja Yahoo, ki začenja veliko reciklažo. Ko so to najavili, so sprožili burne polemike. Rok je bil 14....

Slo-Tech - Naslednja velika žrtev hekerskih napadov so forumi Ubuntuja (Ubuntuforums.org), ki so zaradi nepooblaščenega dostopa nedostopni. Obiskovalce danes pričaka obvestilo, da so strani nedostopne zaradi vdora, ki so ga zaznali včeraj zvečer.

Kot lahko preberemo, je neznani napadalec z nadimkom Sput1nk_ uspel pridobiti nadzor nad stranjo. Poleg klasične spremembe strani (defacement) je uspel pridobiti vsa uporabniška imena, gesla in elektronske naslove uporabnikov. Gesla so bila sicer shranjena v zgoščeni obliki in ne kot golo besedilo (plain text), a vseeno vsem uporabnikom svetujejo pazljivost. Kdor uporablja isto geslo za forume Ubuntu in še katero drugo stran, naj brž zamenja geslo na ostalih...

Ars Technica - V sredo zvečer je spletna stran Drupal objavila, da so bili žrtev hekerskega napada, ki je prizadel milijon uporabnikov, saj so napadalci pridobili nekatere njihove osebne podatke. Sedaj je znanega več. Zaradi ranljivosti v tretjem programu, ki je bil nameščen na strežniku Drupal.org, so napadalci lahko pridobili naslednje podatke: uporabniška imena, elektronske naslove, državo bivanja in zgoščena vrednost (hash) gesla. Vsa gesla so bila shranjena zgoščeni (hashed) obliki z dodanimi naključnimi biti (salted), tako da neposredne nevarnosti za razbitje gesel ni. Samo nekaj starejših gesel na podstraneh je bilo le zgoščenih, a brez naključnih bitov.

Napadalci so dostop pridobili prek podstrani association.drupal.org, ki jo...

SecurityWeek - S spletne strani LivingSocial, ki ponuja kupone za ugodne nakupe in deluje podobno kot Groupon, so sporočili, da so bili včeraj žrtve obsežnega hekerskega napada. Neznani napadalci so pridobili dostop do osebnih informacij več kot 50 milijonov uporabnikov, med drugim imena, elektronske naslove, rojstne podatke in podatke o geslih. Slednja so bila shranjena v zgoščeni (hash) obliki z različnimi vrednostmi salt. To bo razbijanje gesel precej otežilo, a ga ne more v celoti zavreti. Zaradi tega so na strani uporabnike že pozvali k zamenjavi prijavnih podatkov ter zamenjavo gesel na ostalih straneh, če slučajno uporabljajo isto geslo kot za LivingSocial. Bančni podatki oziroma številke...

Reuters - Apple je včeraj zvečer javno priznal, da so bili tudi oni tarče napadov, ki so, kot kaže, delo izpod rok istih ljudi kot napadi na Facebook (ni pa jasno, ali so tudi napadalci na Twitter in ameriške časnike isti ter ali so napadi povezani s kitajsko Enoto 61398) Tudi v tem primeru je bil vektor napada isti, in sicer so napadalci izkoristili ranljivost v Javi, če so zaposleni obiskali okuženo spletno stran. Šlo je za spletno stran, navidezno namenjeno razvijalcem mobilnih aplikacij. Na tak način so pridobili nepooblaščen dostop do nekaj računalnikov zaposlenih, a večje škode po Applovem zatrjevanju niso povzročili. Prav tako naj ne bi bili ukradli nobenih podatkov, saj so vdor pravočasno zaznali.

Apple je zato že včeraj...

Twitter - Twitter je včeraj zvečer objavil, da so bili v preteklem tednu žrtev hekerskih napadov, ki so jim odnesli "omejene osebne informacije" 250.000 uporabnikov. V tem tednu so odkrili nenavaden vzorec dostopa do njihovih storitev, za katerega se je po pregledu izkazalo, da gre za nepooblaščen dostop ozira vdor. Napad so takoj po odkritju uspeli preprečiti, a so hekerji v vmesnem času vseeno pridobili nekatere podatke.

Twitter ima 140 milijonov uporabnikov, od katerih jih je prizadetih 250.000. Napadalci so uspeli pridobiti uporabniška imena, elektronske naslove, žetone za sejo in šifrirana gesla. Zaradi tega je Twitter ponastavil gesla za vse prizadete uporabnike in jim preklical vse piškotke. Ti bodo na svoj elektronski naslov prejeli povezavo, kjer si bodo izbrali novo geslo in se ponovno prijavili. Stara gesla ne delujejo več. Kdor je...

Betabeat - Hekerji iz skupine z imenom GhostShell so včeraj objavili rezultate Projekta WestWind, kakor so poimenovali vdor v več kot sto univerz po svetu in javno priobčitev zbranih osebnih podatkov. Skupina ni neznana.

Že avgusta so pritegnili pozornost internetnega občestva, saj so v sklopu Projekta HellFire objavili več kot milijon podatkov o uporabniških računih z najrazličnejših spletnih strani. Sedaj so se lotili tudi univerz in prizadete so tudi tako elitne, kot so Harvard, Stanford, Princeton in Cambridge. Tarča so bile univerze s celega sveta, tako da med žrtvami najdemo tudi züriško, berlinsko, osaško in še številne druge. Slovenskih univerz na seznamu ni - bržkone niso dovolj zanimive, ne pa tako neprebojno zaščitene. Javno so objavili 120.000 osebnih podatkov, med njimi uporabniška imena, gesla in podatke o študentih.

V izjavi za javnost so hekerji svoje...

IEEE Log - Spletne strani organizacije IEEE (Institute of Electrical and Electronics Engineers), ki skrbi za standardizacijo številnih standardov, so bile vsaj en mesec hudo ranljive, poroča Radu Dragusin na svojem blogu. Iz neznanih razlogov so uporabniške podatke (uporabniška imena in gesla) hranili v tekstovni obliki (plain text), datoteka s podatki več kot 100.000 oseb pa je bila prosto dosegljiva na njihovem FTP-strežniku, dokler ni Dragusin 18. septembra IEEE na to opozoril. Še več, dosegljive so bile tudi dnevniške datoteke z informaciji, kaj je posameznik v tem mesecu storil. IEEE je strežnike za silo zakrpal, Dragusin pa je objavil analizo zbranih podatkov.

Dnevniške datoteke vsebujejo podatke, s katerimi je mogoče identificirati uporabnike, zato ne bi smele biti nikoli...

Slashdot - Blizzardov šefe Michael Mormaine je sinoči potrdil, da so tekom tega tedna zaznali vdor v njihovo interno omrežje, ter da so napadalci odnesli e-poštne naslove vseh Battle.net uporabnikov izvzemši Kitajske (ki ima po tamkajšnjem zakonu povsem ločene strežnike) in njihova zgoščena gesla; za severno- oz. južnoameriške, avstralske in novozelandske uporabnike pa še varnostno vprašanje in mobilno številko, če so ju imeli vpisani. Pravijo, da še ne vejo za točni čas vdora, kdo ga je izvedel, niti ali je napadalec dobil še kaj tretjega, vendar naj bi bili vsi plačilni podatki po vsej verjetnosti na varnem.

Za gesla posebej poudarjajo, da so bila varno zgoščena, tako da bi se morali napadalci lotiti vsakega posebej, pa še to da bi bilo težko (po vsej verjetnosti so...

Forbes - Pet mesecev po februarskem napadu na nemško stran Gamigo so na splet priromali uplenjeni podatki. Neznan napadalec z vzdevkom 8in4ry_Munch3r je konec februarja uspešno kompromitiral strežnike tega nemškega založnika masivno-večigralsko spletnih iger domišljijskih vlog (MMORPG), zaradi česar so v začetku marca svojim strankam poslali obvestilo, naj zamenjajo svoja gesla na njihovi strani in drugod, če so slučajno uporabljali ista. Zgodba je počasi potihnila, saj se nekaj mesecev ni zgodilo nič niti ni kazalo, da bi bili zbrani podatki zlorabljeni.

V začetku julija pa so hekerji pokazali sadove svojega dela, piše Forbes. Na forumu InsidePro so objavili pol gigabajta težko zbirko več kot...

ZDNet - V zadnjih dneh so bili hekerjev očitno nadpovprečno aktivni, saj se poročila o vdorih na spletne stran in odtujitvah uporabniških podatkov kar vrstijo. Po uspešnem napadu na Yahoo! Voices sta novi žrtvi Android Forums in Nvidia.

Phandroid je potrdil, da so neznanci napadalci kompromitirali njihove strani Android Forums, pri čemer so pridobili uporabniška imena, elektronske naslove, IP-naslove in zgoščene vrednosti (hashed) gesel. Forum je imel dober milijon članov, ogroženi pa so vsi. Administratorji so že zagotovili, da je bila ranljivost, ki so jo napadalci izkoristili (varnostna luknja v forumu vBulletin), zakrpana in da so uvedli še nekaj dodatnih varnostnih ukrepov za vsak primer. Verjamejo, da so napadalci v prvi vrsti želeli pridobiti čim več elektronskih naslovov, ki jih preprodajo...

ZDNet - Hekerska skupina z vzdevkom D33ds Company je napadla Yahoojevo storitev Yahoo! Voices in pridobila uporabniška imena in gesla več kot 450.000 uporabnikov. Svoje besede so podkrepili tudi z dejanji, in sicer so pridobljene podatke javno priobčili. V tekstovni obliki so objavljena tudi gesla, kar pomeni, da jih Yahoo ni hranil šifrirano. Napadalci so zapisali, da so Yahoo želeli le opozoriti na malomarno varnost in da ne gre za grožnjo. Ali ste med prizadetimi, lahko preverite na posebej v ta namen postavljenih straneh.

Yahoo je potrdil, da se je vdor zgodil, a poizkušajo škodo prikazati kot minimalno. V izjavi za javnost so zapisali, da datoteka z ukradenimi podatki izvira s starega sistema Yahoo! Contributor Network, ki ga je Yahoo dobil s prevzemom Associated Content. Trdijo, da je med...

Sophos - Za zdaj še neznani napadalci so vdrli v strežnik strani YouPorn in pridobili vsaj 6400 uporabniških imen in pripadajočih gesel, ki so jih nato javno objavili na spletu. Odgovornost za vdor to pot večidel leži na YouPornovih plečih, saj so napadalci zlorabili veliko varnostno pomanjkljivost. YouPorn je 93. najbolj priljubljena spletna stran na internetu (v absolutni kategoriji) in najbolj priljubljena pornografska stran. Dostopna je brezplačno, na njej je več videoposnetkov po vzorcu YouTuba, uporabniki pa se lahko za uporabo dodatne funkcionalnosti in nalaganje lastnih vsebin brezplačno registrirajo.

Sodeč po trenutno dostopnih podatkih je pisec strani oziroma njenega dela že...

Slashdot - Pretekli vikend so imeli hekerji spet polne roke dela, saj so bili znova na udaru pogodbeni izvajalci za vojsko. Vdrli so v dve ameriški podjetji in iz njih pridobili cel kup elektronskih naslovov in nekaterih drugih podatkov zaposlenih v ameriški vojski.

Najprej so v petek iz skupine AntiSec sporočili, da so vdrli v strežnike podjetja IRC Federal, ki dela za ameriški Zvezni preiskovalni urad FBI, mornarico, pehoto, NASO, pravosodje itn. V sporočilu na Pastebinu so se pohvalili, da so izkoristili ranljivosti sistema Windows in odtujili nekaj podatkovnih baz, elektronskih naslovov in predrugačili njihovo spletno stran. Našli so tudi različne načrte, predloge in poročila, kopije pogodbe in biometričnih podatkov itd. Celotni paket ukradenih podatkov...

Slashdot - Na spletnih straneh LastPass, kjer ponujajo shranjevanje gesel za dostop do različnih strani na enem mestu z enim glavnim geslom, so objavili opozorilo svojim uporabnikom, da naj zaradi suma vdora v LastPass in odtujitve gesel takoj zamenjajo svoje glavno geslo. V torek so opazili anomalijo v omrežnem prometu, zaradi katere so začeli preiskavo. Ta je odkrila, da obstoji možnost, da je bilo nekaj uporabniških podatkov iz oblaka odtujenih. Ker obseg anomalij oziroma suma napada ni znan, predvidevajo najhuje.

LastPass nudi storitev, za uporabo katere je potrebno namestiti vtičnik LastPass Password Manager, dosegljiv za vse priljubljene brskalnike. Ta omogoča lokalno shranitev vseh gesel,...

Slashdot - Na Slashdotu so prek BBC-ja objavili vest, da je nov zakon v Franciji prepovedal shranjevanje gesel na spletnih straneh in spletnih servisih v zgoščeni vrednosti (hash value), namesto česar morajo upravljalci storitev, npr. spletne elektronske pošte, ponudniki glasbe in videa, spletne trgovine, itd., v svojih bazah shranjevati gesla v obliki običajnega besedila (plain-text). Poleg neposredno zapisanega gesla naj bi pri vsakemu uporabniku imeli napisan še ime in priimek, naslov prebivališča in telefonske številke, vse te podatke pa bi v primeru sprejetja zakona morali posredovati oblastem, če bodo te to zahtevale. Podatke lahko zahteva policija, davčni in socialni urad, carina in urad za boj proti...