Carl Haglund ja WordPress

Helsingin sanomat kirjoittaa:

Puolustusministeri Carl Haglundin (r) henkilökohtaiselta verkkosivulta on löytynyt tietojen varastamiseen tarkoitettu haittaohjelma. Virus on naamioitunut yhteydenottoihin tarkoitetulle alasivulle ja ollut siellä tammikuun 23. päivästä alkaen.

Jutussa mainitaan, että ko. haittaohjelma iskee usein WordPress-alustan verkkopalveluihin. Sitä ei sanota, että Haglundin sivut on tehty WordPressillä. Tämä kuitenkin selviää Googlen cachesta ja samoin se, että WordPress-versio on ainakin viimeisen tiedon mukaan viimeisimmässä versiossa.

Erillisessä jutussa Haglund epäilee:

“Tämän päivän tapahtumien valossa näyttää, että se ei ole sattumaa. Tämä vaikuttaa järjestelmälliseltä”, Haglund sanoo.

Virustorjuntayritys F-Securen mukaan viruksen alkuperä viittaa Pietariin.

Haglund uskoo valikoituneensa iskujen kohteeksi, koska vastaa hallituksessa kyberturvallisuusasioista.

Oikein konfiguroiduille ja ylläpidetyille sivuille ei noin vain murtauduta. Todennäköisempää on, että yksi tai useampi seuraavista on totta:

  • Palvelimen käyttöjärjestelmä palvelinohjelmistoineen on jäänyt pahasti ajastaan jälkeen
  • WordPress tai jokin laajennus on jäänyt päivittämättä jossain vaiheessa
  • WordPressin (pää)käyttäjätunnuksen salasana on heikko tai on käytössä jossain muussa salasanat vuotaneessa verkkopalvelussa
  • Ensimmäisen murtautumisen jälkeinen siivoustyö on jäänyt puutteelliseksi

Jos mikään näistä ei ole totta, voidaan vasta sitten epäillä, että kyseessä on jokin muu kuin täysin tai puoliautomatisoitu hyökkäys, joka kohdistuu kerralla tuhansiin verkkopalveluihin. Tällaiset kun muodostavat aivan ylivoimaisen valtaosan kaikista hyökkäyksistä.

Tietysti antaa sekä paremman viestin omasta ammattitaidosta että hivelee enemmän omaa egoa, kun murtautumisen syyksi pannaan henkilön asemaan kohdistuva vihanpito eikä oma heikko tietoturvasta huolehtiminen.

Siivous on annettu teleoperaattorin tehtäväksi, mikä herättää ainakin minussa vähän epäluuloja. Oikeasti työ pitäisi antaa ammattilaisille, jotka tuntevat niin WordPressin kuin verkkosivujenkin tietoturvan. Muuten sivut ovat taas pian täynnä viruksia. Mutta mihinkään isoihin, Haglundin viittaamiin investointeihin ei tarvitse ryhtyä.

Jokaisen verkkosivuja ylläpitävän velvollisuus on huolehtia sivujensa tietoturvasta. Selitykseksi ei kelpaa se, että sivuilla ei ole suurta merkitystä tai että niillä ei ole salaiseksi luokiteltavaa tietoa. Murretut sivut kun aiheuttavat haittaa muillekin kuin verkkosivujen haltijalle.

SuperGenPass is not that secure

Update 2 (2014-08-02): The developer of SuperGenPass, Chris Zarate, sent me an email detailing the solutions for the vulnerability described below explaining how the master password is never exposed to the master web page no more. I have not taken the time to review the solution, but the idea seems legit and the attack described below does no longer work.

Update: SuperGenPass vulnerability demo for people who don’t believe me.

I know, I have recommended that you use SuperGenPass for several times. It took a long time, but I finally realized there is a serious security flaw in the root of the implementation.

The SuperGenPass UI is rendered within the DOM of the current page when you click the bookmarklet. The UI is where you enter your master password. And because the UI is part of the current page, any script running in the page can read your master password. Remember that script can be external too, as in advertisements or widgets of some kind.

It is safe to say that using SuperGenPass is not that different from using the same password for every site. It just has a little bit different issues.

If you use the same password everywhere: When a site gets compromised in a way that the attacker can read the user account information, your account in every site can be compromised – depending on how the site stores their passwords.

If you use SuperGenPass on a site that is compromised: Your master password can get stolen and thus, your account in every site is compromised.

The difference is in the way site gets compromised. Something as common as a cross-site scripting attack will get your master password in jeopardy.

Fortunately, there is a safe way to use SuperGenPass. Just visit a page you absolutely trust not to have any unauthorized script running. Generate your password within that page by manually entering the domain name that you are trying to log in to. Then copy & paste it into the login form. Cumbersome, but it works.

At this point, I would not recommend SGP to anyone but security experts.

Salasanat ja vaihtamisen tuska

Ruutukaappaus 1Passwordista: Logins: 179“Vaihda salasanasi säännöllisesti”, sanotaan. Miten ihmeessä kukaan voi kuvitella, että salasanan vaihtaminen säännöllisesti vajaaseen kahteen sataan palveluun olisi käytännössä mitenkään mahdollista säännöllisesti?

Onneksi minulla ei ole mitään erityistä pakkoa vaihtaa salasanojani, onhan jokainen salasanani sivustokohtaisesti uniikki ja turvallinen 16 merkin mittainen. Silti, haluaisin noudattaa kaikkia hyviä salasanakäytäntöjä ja salasanan säännöllinen vaihtaminen on niistä yksi.

(Vai onko SuperGenPass turvallinen sittenkään?)

Vai onko se relevantti toimenpide? En pikagooglauksella löytänyt kunnollisia perusteita.

Joo, jos salasanan tiiviste (hash) päätyy krakkerien käsiin ja sen murtaminen salasanaksi kestää 7 kuukautta, vaihtamalla salasanan puolen vuoden välein olen turvassa. Mutta en omista yksiäkään tunnuksia joiden murtamiseen kukaan käyttäisi muutamaa minuuttia pidempään prosessoriaikaa.

Pankkitunnukseni salasanan haluaisin valita “hiukan” turvallisemmaksi nykyistä nelinumeroisesta. Toki avainlukulista estää tehokkaasti tilisiirrot ja muutkin väärinkäytökset, mutta en silti halua, että tilisaldojani ja lainasummiani pääsee ihan vahingossa katselmaan. Näin nimittäin oikeasti käy jatkuvasti Suomessa.

SuperGenPass: A Free Bookmarklet Password Generator

Update 2009-7-16: SuperGenPass is not that secure

Muistutuksena:

SuperGenPass allows you to remember just one password (your “master password”), which is used to generate unique, complex passwords for the Web sites you visit. SuperGenPass is a bookmarklet, so there’s no software to install. It works right from your Web browser and integrates with login forms. SuperGenPass never stores or transmits your passwords, so it’s easy and safe to use on multiple computers—even while traveling. It’s also completely free.

Pääsin tällä bookmarkletilla pysyvästi eroon huonojen ja sivustojen välillä toistuvien salasanojen ongelmasta. Toimii myös iPhonessa.

www.supergenpass.com/… →