Ett dårlig passord er nok! Per Thorsheim Sikkerhetsrådgiver God Praksis
Selvskryt
The KGB, The Computer, and me http://www.youtube.com/watch?v=eckxaq1ftac
Og når du først skal se film: WarGames (1983) Sneakers (1992)
Sett fra den andre siden: «23» http://www.imdb.com/title/tt0126765/plotsummary?ref_=tt_ov_pl
Historien starter sommeren 1986 Lawrence Berkeley Lab, California $2387 for regnekraft forrige måned 2 separate systemer for regnskap Ett avvik på $0.75, aldri skjedd tidligere Cliff Stoll, astronom, sommerjobb på IT-avd, settes på saken:
Regnskapssystemene: Var egenutviklet Ulike språk: Assembler, Fortran & Cobol Hadde ingen dokumentasjon «IKKE RØR!» policy (det virker)
En synder funnet: «Hunter»
Rotårsak?
Abuse melding fra NSA (!!!) «Sventek»
IDS 1984-style Hackerens responstid (Ping) = ca 3000ms!
Gnu-Emacs «Local Privilege Escalation» Ble brukt for å bytte ut systemets atrun med «trojaner» Ga seg selv root aksess Richard Stallman Foto: Anders Brenna Gnu-Emacs installert uten noen kontroll eller godkjenning
Kjent situasjon for noen?
Standard brukernavn / passord ANONYMOUS : GUEST root : root guest : guest uucp : uucp <- Hadde full systemtilgang! o På den kraftigste 32bits superdatamaskinen!
Hackerne laget nye kontoer Hunter Hedges Jaeger Benson
Kontoadministrasjon Mennesker reiser på ferie, blir syke, slutter, flytter internt Vi ber stadig om nye tilganger, o Men vi bestiller aldri fjerning av tilganger (Konsekvensen over tid er vel åpenbar?) Vi har sjelden EN 1 - autoritativ kilde for «hvem skal ha tilgang her?» Kryss-plattform «vask» gjøres. ALDRI!
Dårlige passord 32,5 Millioner klartekst passord lekket på nett 3.4% av 14.344.391 unike fra Rockyou «gode nok» i pwdqc* Straff: USD 250,000 i bot (April 2012) * http://openwall.com/passwdqc/
NSA: Robert «Bob» Morris The three golden rules to ensure computer security are: 1. Do not own a computer; 2. Do not power it on; 3. And do not use it. Never underestimate the attention, risk, money and time that an opponent will put into reading traffic.
Robert Tappan Morris Laget «Morris» ormen i 1998 Spredning startet 2. november ved MIT Formål: «måle størrelsen på Internett» Spredning: Sendmail, Finger, rsh/rexec, «trusted hosts» og svake passord Feil: «skulle ha testet i simulator først» Konsekvens: 10% av maskiner på Internett infisert & DoS
Dårlige passord? KONSEKVENSER
@AP
@AP - Konsekvens http://arstechnica.com/security/2013/04/hacked-ap-twitter-feed-rocks-market-after-sending-false-news-flash/
@AP Mulig Konsekvens / Gevinst http://qz.com/77423/someone-could-have-just-made-a-ton-of-money-hacking-the-aps-twitter-account/
Lagring av passord: Historikk Klartekst (60 til tidlig 70-tall) Obfuskert (tidlig 70-tall) Kryptert (reverserbart) Usaltet Enveis hash (mid-70 tall) Hashet med salt (slutten av 70-tallet) o «Knekk passordene» konkurranser dukker opp i 82-83 Adaptive funksjoner (tidlig 90-tall) o PBKDF2, bcrypt, scrypt Konkurranse: https://password-hashing.net
Gjenbruk av passord 33% Unike 67% Gjenbruk http://www.troyhunt.com/2011/06/brief-sony-password-analysis.html
PIN pads (Et ubetydelig sted) London Stansted airport
Defensiv profilering: Linkedin
Fargebruk i Linkedin passord
Linkedin - Aksjekurs
Operasjon «Trynefaktor» Unik mulighet 5000+ «headshots» Passord og annen informasjon tilgjengelig Analyser!
Kategorisering Kjønn Briller (Y/N) Hårfarge Ansiktshår
Og resultatet? Kvinner foretrekker lengde. Menn foretrekker variasjon (entropi). «Unix gurus» har dårlige passord.
Tiltak iverksatt MER TEKNOLOGI TAKK!
Hvor går vi? 2-faktor autentisering
Hva kan vi lære av dette? OPPSUMMERING
Beklager, men ingen fasit: Menneskene er problemet, ikke teknologien Teknologi i seg selv løser ingen problemer Vi må bruke teknologien riktig o Noe vi stadig feiler på Vi må bli bedre på: o Samarbeid o Hendelseshåndtering o Kontroll & trening
Spørsmål?
Takk for meg! Per Thorsheim securitynirvana.blogspot.com @thorsheim /GodPraksis /user/thorsheim per.thorsheim +47 90 99 92 59