Salasanat vs. turvallisuus

[ooo]

Ubuntun kelkkaan jokin aika sitten hypänneenä täytyy viimein kysyä tällaisia turvallisuusteen liittyviä asioita, jotka on askarruttaneet pitkän aikaa. Aluksi tietysti oletetaan, että koneessa on Ubuntu ja kone laajakaistalla verkossa kiinni. Lisäksi oletetaan, että niissä kohdissa kuin oletetaan etäkäytön olevan mahdollistettu niin sen yhteydessä vaaditaan sentään vahva salasana.


1) Kuinka paljon käyttäjätilin salasanan pituudella ja monimutkaisuudella on oikeasti väliä? Tarkoitan siis, että jos salasanani on esim. lyhyt selväkielinen sana kuten "mopo", niin onko koneeni turvallisuus uhattuna? Oletetaan, että koneella ei ole ssh serveriä tai etäkäyttöä mahdollistettu. Oletetaan lisäksi, että en ole huolissaan fyysisestä koneellepääsystä, vaan vain netin kautta tulevista hyökkäyksistä. Eli voiko siis joku brute force hyökkäys juuri mitenkään päästä sisään, jos Ubuntuun ei ole asennettu ssh serveriä tai etäkäyttöä?


2) Sama kysymys kuin kohdassa 1, mutta oletetaankin nyt, että ssh serveri on asennettu tai etäkäyttö mahdollistettu. Tilanne lienee paljon vaarallisempi juuri salasanan heikkouden takia?


3) Entäpä automaattinen sisäänkirjautuminen sitten. Jos koneella ei ole ssh serveriä tai etäkäyttömahdollisuutta aktivoitu, niin onko automaattinen sisäänkirjautuminen vaarallista jos salasana on heikko?


4) Sama kysymys kuin kohdassa 3, mutta oletetaankin nyt, että ssh serveri on asennettu tai etäkäyttö mahdollistettu. Miten on turvallisuuden laita jos salasana on heikko?


5) Mistä voisin nähdä jotain lokia millaisia matoja ja hyökkäyksiä tai niiden yrityksiä koneelleni saapuu?

[Asmo Koskinen]

1)
2)
3)
4)
5)

Lue lisää.

--
Salasanoista:

"John the Ripper is a fast password cracker"

http://www.openwall.com/john/

--
Ssh-yhteyksistä ilman salasanaa:

"As one of its main appeals, RSA and DSA authentication promise the capability of establishing connections to remote systems without supplying a password."

http://www.ibm.com/developerworks/library/l-keyc.html

--
Logeista:

"PTables log analizer (TODO : find a nice name for it) displays Linux 2.4/2.6 iptables logs (rejected, acepted, masqueraded packets...)"

http://iptablelog.sourceforge.net/

Ystävällisin terveisin Asmo Koskinen.

[ooo]

Mikäli lukemani olen oikein ymmärtänyt, niin olen käsittänyt nyt näin:


1) & 2):
Ubuntu ei jätä asennuksen jälkeen oletusarvoisesti mitään portteja auki. Näin ollen salasanana voi olla hyvinkin heikko ja yksinkertainen sana, koska ei _pitäisi_ olla vaaraa sisääntunkeilusta nettipiuhaa pitkin. Vaikka etäkäyttö olisi mahdollistettu (ja suojattu salasanalla) niin se ei vaikuta edelliseen. Sen sijaan openssh serverin asentaminen avaa portin hyökkäyksille ja siksi salasanan pitäisi olla vahva.


3)
Vaikka salasana olisi heikko, niin ei turvallisuuden ei _pitäisi_ olla uhattuna.


4)
Ei aavistustakaan vieläkään. Jos kyseessä on heikko salasana ja openssh server on asennettu ja automaattinen sisäänkirjautuminen käytössä, niin kirjataanko kaikki koneeseen ssh:lla yhteyttä ottavat botit suoraan järjestelmään sisään? Ei kait sentään? Entäs automaattinen sisäänkirjautuminen, openssh serveri ja vahva salasana?


5)
/var/log/auth.log



Voisikos siis tietävämmät vielä korjata jos ja kun yllä on puutteita? Kiitos.

Juu, tiedostan, että mikään OS ei ole 100% turvallinen vaikka periaatteessa kaikki aukot olisi tukittu, mutta haenkin tässä sellaista "järkevää" turvallisuuden tasoa, enkä mitään valtionsalaisuuksia ole suojaamassa 

[Vapaan koodin kananmuna]

Mikäli lukemani olen oikein ymmärtänyt, niin olen käsittänyt nyt näin:


1) & 2):
Ubuntu ei jätä asennuksen jälkeen oletusarvoisesti mitään portteja auki. Näin ollen salasanana voi olla hyvinkin heikko ja yksinkertainen sana, koska ei _pitäisi_ olla vaaraa sisääntunkeilusta nettipiuhaa pitkin. Vaikka etäkäyttö olisi mahdollistettu (ja suojattu salasanalla) niin se ei vaikuta edelliseen. Sen sijaan openssh serverin asentaminen avaa portin hyökkäyksille ja siksi salasanan pitäisi olla vahva.


3)
Vaikka salasana olisi heikko, niin ei turvallisuuden ei _pitäisi_ olla uhattuna.

Jos hypoteettisesti oletetaan, että mahdollinen hyökkääjä tulee koneeseen, jonkun ylläpitäjän avaaman palvelun välityksellä, niin silloin näin. Kuitenkin, jos esim. satut joskus avaamaan vaikkapa pahantahtoisen sähköpostiliitteen ja hyökkääjä pystyy suorittamaan koodia etänä on hyökkääjä heikolla salasanalla askeleen lähempänä rootin oikeuksia. Kyllähän koneen roottaaminen ammatti-ihmiseltä onnistuu, mutta salasanan on tarkoitus olla niin vahva, että murtautuminen muita metodeja käyttäen tulee helpommaksi vaihtoehdoksi.

Juu, tiedostan, että mikään OS ei ole 100% turvallinen vaikka periaatteessa kaikki aukot olisi tukittu, mutta haenkin tässä sellaista "järkevää" turvallisuuden tasoa, enkä mitään valtionsalaisuuksia ole suojaamassa 

Kahdeksan merkin salasanaa voi pitää vielä jonkin aikaa hyvänä kompromissina turvallisuuden ja helppokäyttöisyyden väliltä.

[Tomin]

Juu, tiedostan, että mikään OS ei ole 100% turvallinen vaikka periaatteessa kaikki aukot olisi tukittu, mutta haenkin tässä sellaista "järkevää" turvallisuuden tasoa, enkä mitään valtionsalaisuuksia ole suojaamassa 

Kahdeksan merkin salasanaa voi pitää vielä jonkin aikaa hyvänä kompromissina turvallisuuden ja helppokäyttöisyyden väliltä.

No, minä taidan sitten olla turvallisuuden kannalla kun melkein kaikki salasanani (koneellani, netissä, yms.) 10-15 merkkiä.

[Asmo Koskinen]

No, minä taidan sitten olla turvallisuuden kannalla kun melkein kaikki salasanani (koneellani, netissä, yms.) 10-15 merkkiä.

Joskus Linux.fi-tapaamisissa oli juttua näistä salasanoista. Silloin laitoin korvan taakse tämä nyrkkisäännön:

Kaksi isoa kirjainta
Kaksi pientä kirjainta
Kaksi numeroa
Kaksi erikoismerkkiä

Kun salasanaan sisällyttää vielä ä- tai ö-kirjaimen, niin ainakin arvaamalla ja kokeilemalla menee tovi.

Salasana kannattaa vielä muodostaa tuolla periaatteella jostain lauseen tapaisesta, jotta sen itsekin muistaisi. Vaikka näin: "The Beatles, yellow submarine, 67, Shift-67"

TBys67&/

Ystävällisin terveisin Asmo Koskinen.

[Tomin]

No, minä taidan sitten olla turvallisuuden kannalla kun melkein kaikki salasanani (koneellani, netissä, yms.) 10-15 merkkiä.

Joskus Linux.fi-tapaamisissa oli juttua näistä salasanoista. Silloin laitoin korvan taakse tämä nyrkkisäännön:

Kaksi isoa kirjainta
Kaksi pientä kirjainta
Kaksi numeroa
Kaksi erikoismerkkiä

Kun salasanaan sisällyttää vielä ä- tai ö-kirjaimen, niin ainakin arvaamalla ja kokeilemalla menee tovi.

Huh. Noita kriteereitä en kyllä aina täytä...

Salasana kannattaa vielä muodostaa tuolla periaatteella jostain lauseen tapaisesta, jotta sen itsekin muistaisi. Vaikka näin: "The Beatles, yellow submarine, 67, Shift-67"

TBys67&/

Mistässä ton keksit ettei olis sulla salasanana. Vitsi vitsi

[jemaku]

Kun salasanaan sisällyttää vielä ä- tai ö-kirjaimen, niin ainakin arvaamalla ja kokeilemalla menee tovi.

Ääkköset voi olla kyllä ongelmallisiakin jossain tapauksissa. Itse en käytä.
Vaikka koti-ubuntussa varmaan voisi ihan hyvin käyttääkin.

[ilkkak]

No, minä taidan sitten olla turvallisuuden kannalla kun melkein kaikki salasanani (koneellani, netissä, yms.) 10-15 merkkiä.

Joskus Linux.fi-tapaamisissa oli juttua näistä salasanoista. Silloin laitoin korvan taakse tämä nyrkkisäännön:

Kaksi isoa kirjainta
Kaksi pientä kirjainta
Kaksi numeroa
Kaksi erikoismerkkiä

Kun salasanaan sisällyttää vielä ä- tai ö-kirjaimen, niin ainakin arvaamalla ja kokeilemalla menee tovi.

Salasana kannattaa vielä muodostaa tuolla periaatteella jostain lauseen tapaisesta, jotta sen itsekin muistaisi. Vaikka näin: "The Beatles, yellow submarine, 67, Shift-67"

TBys67&/

Ystävällisin terveisin Asmo Koskinen.

Nyt taisi tulla Asmonkin salasana selville

Saako shadow passwd:t listattua jollain konstilla (vrt NIS: ypcat passwd.byname)?

[Asmo Koskinen]

Nyt taisi tulla Asmonkin salasana selville

Hyllyssä on The New Rolling Stone Record Guide vuodelta vuodelta 1983. Dave Marsh ja kumppanit ovat listanneet yli 12 000 bändiä Abbasta ZZ Toppiin. Vaihtoehtoja riittää 

Ystävällisin terveisin Asmo Koskinen.

[jemaku]

Hyllyssä on The New Rolling Stone Record Guide vuodelta vuodelta 1983. Dave Marsh ja kumppanit ovat listanneet yli 12 000 bändiä Abbasta ZZ Toppiin. Vaihtoehtoja riittää 

Saakos tuota kirjaa mistään sähköisessä muodossa - ei millään viitsisi lainata kirjastosta ja ruveta skannaamaan. Mitä muuten teet levyille joissa on väärä määrä sanoja?   Vai tuleeko sitten vain yli 8-merkkisiä.

12 000 bändiä kertaa ehkä 5 levyä keskimäärin? Tekee luokkaa 60 000 vaihtoehtoa, onkos tuossa brute forcella paljon vai vähän tekemistä?

[Asmo Koskinen]

brute force

Tuossa ylempänä viittaan John the Ripperiin. Sitä ei käytetä musta hattu päässä, vaan valkoinen: tarkistetaan omat salasanat tai omalla vastuulla olevan järjestelmän salasanat.

http://en.wikipedia.org/wiki/White_hat
http://en.wikipedia.org/wiki/Black_hat

Jos löytyy heikkoja salasanoja, niin ystävällisesti pakotetaan vaihtamaan salasanat riittävän vahvoihin.

Asenna John ja kokeile miten kauan menee esimerkiksi omien salasanojesi kräkkäämiseen.

1. sudo apt-get install john

2. asmok@ubuntu:~$ sudo cp shadow /home/asmok/shadow

3. asmok@ubuntu:~$ sudo chown asmok:asmok shadow

4. asmok@ubuntu:~$ john -show shadow

Ja tätähän ei sitten tehdä muille shadow-tiedostoille kuin omille!

Koneella ei myöskään kannata tehdä muuta sinä aikana kun John the Ripper jauhaa salasanoja, CPU on 100% sen ajan.

Onko oiken, että kerron tällaisia? On, jos se saa käyttämään tarpeeksi vahvoja salasanoja.

PS.

Kaikki teknologia on eettisesti neutraalia - vai onko? - ihmiset tekevät eettisiä valintoja.

Muistamme kuitenkin luddiitit ja vaikkapa tämän aamun uutiset Greenpeacen tempauksesta.

http://fi.wikipedia.org/wiki/Luddiitit
http://www.greenpeace.org/finland/fi/mediakeskus/lehdistotiedotteet/greenpeacen-aktivistit-kiipesi

Ystävällisin terveisin Asmo Koskinen.

[Ville Pöntinen]

Onko oiken, että kerron tällaisia? On, jos se saa käyttämään tarpeeksi vahvoja salasanoja.

Ehdottomasti on. Itse olen ihmetellyt miksi tällaisista asioista puhutaan niin vähän... Eihän sitä kehtaa kysyä "Miten koneeseen voi murtautua?", mutta kun ei "Miten serveriniäni suojaisin?" - kysymyksiin meinaa saada suoria vastauksia...

[Asmo Koskinen]

Ja tätähän ei sitten tehdä muille shadow-tiedostoille kuin omille!

Tuore uutinen aiheesta:

"Oikeudessa ei täysin kirkastunut, miten mies oli saanut käyttöönsä vaimonsa salasanan."

http://www.hs.fi/tulosta/1135227602284

Ja oman salasanan saa vaihdettua kohdasta Järjestelmä | Asetukset | Tietoa itsestä | Vaihda salasana...

Ystävällisin terveisin Asmo Koskinen.

[Ravenis]

Saako ubuntuun (8.04) tehtyä sellaista että se automaattisesti pyytäisi vaihtamaan salasanaa esim. 30päiv. jälkeen?

[Ville Pöntinen]

Itse en ole näillä leikkinyt, mutta itse tieto piilee tiedostossa /etc/shadow ja asiaan voi vaikuttaa myös komennolla chage.

Lue:

Koodia: [Valitse]

man /etx/shadow
man chage
Ehkä tähän on jokin graafinen kikkare jossain...

[Bysmyyr]

Saako ubuntuun (8.04) tehtyä sellaista että se automaattisesti pyytäisi vaihtamaan salasanaa esim. 30päiv. jälkeen?

ainakin KDE:n puolella tommonen on käyttäjähallinnassa.

Pitäiskö toi asmon ohjeet toimia suoraan. Mulla ainakaan ei löydy mitää shadowia valmiina.

[janne]

Pitäiskö toi asmon ohjeet toimia suoraan. Mulla ainakaan ei löydy mitää shadowia valmiina.

se toimii jos olet oikeassa hakemistossa. shadow-tiedosto ja sen pari passwd löytyvät hakemistosta /etc/ ja tosiaan vain pääkäyttäjällä on oikeus lukea tiedostoa shadow, sattuneesta syystä.

[janne]

niin, sanotaan nyt vielä ihan alkuperäiseen aiheeseen, että olen itse yrittänyt pitää salasanat vähintään 8 merkin pituisina. kotikoneiden nykytehoilla se on jo aika hyvä pituus jos salasanassa on erikoismerkkejäkin. silti, tehot kasvavat ja ajat muuttuvat.

avoimina palveluina olen käyttänyt ainoastaan http-serveriä ja ssh:ta. webbiserverin kautta kukaan ei toivottavasti ole tulossa sisään ja ssh:n kanssakin olen vainoharhaisesti käyttänyt juurikin public key authenticationia, joka on ollut ainoa tapa kirjautua sisään. kirjoittelin siitä jotain epämääräistä ohjettakin joskus.

tuo kanssa paikallisen salasanan vahvuudella ei ole niin kamalasti väliä, ellei joku oikeasti pääse koneelle asti. siinä tapauksessa se alkaakin taas merkitä.

Itse olen ihmetellyt miksi tällaisista asioista puhutaan niin vähän... Eihän sitä kehtaa kysyä "Miten koneeseen voi murtautua?", mutta kun ei "Miten serveriniäni suojaisin?" - kysymyksiin meinaa saada suoria vastauksia...

syy miksi ainakin minä välttelen vastaamasta noin ylimalkaisiin kysymyksiin on se, että yleensä siihen ei ole yksinkertaista ja yksiselitteistä vastausta. jos käyttäjä ei osaa ylläpitää palveluita, hän ei osaa ylläpitää palveluita. lyhyt ohje "tee näin ja näin" ei välttämättä kata kaikkia tilanteita ja saattaa hyvinkin luoda valheellisen turvallisuudentunteen.