Nära en halv miljon Svenska lösenord har läckt ut på internet

Transkript

1 Truesec Stockholm 11 nov 2013 version 1.1 Nära en halv miljon Svenska lösenord har läckt ut på internet Executive Summary I listan över de cirka 129 miljoner konton som stulits under datorintrånget mot Adobe återfinns nära en halv miljon svenska konton, varav många tillhör svenska partiledare, toppolitiker, kändisar och företagsledare m.m. Adobes skydd av lösenorden har haft svagheter som innebär att ett stort antal av lösenorden med enkelhet har kunnat identifieras. Vidare finns tydliga indikationer och statistik som pekar på att flertalet av lösenorden återanvänts i andra system vilket lämnar stora möjligheter för en potentiell angripare att logga in och ta kontroll över politiker, företagsledare, kändisar och andras e-postkonton, konton till sociala media osv. Förbehåll Denna rapport baserar sig på en ingående analys av kontodatabasen som stals i samband med dataintrånget hos Adobe och som nu tillgängliggjorts på internet. Av de cirka svenska e- postadresser som identifierar innehavaren av kontot återfinns representanter från ett mycket stort antal svenska företag och verksamheter. Viktigt att belysa är att de som drabbats är individer som haft ett konto hos Adobe vilket inte är att förväxla med att företagen de representerar skulle ha drabbats. Dock föreligger risker för att verksamheter drabbats eller kommer att drabbas indirekt utifall lösenord återanvänts och går att återanvända dessa direkt på arbetsplatsen eller på annat sätt som exponerar verksamheten eller information tillhörande denna. I exemplen nedan har konton tillhörande en politiker använts då de av pedagogiska skäl är lätta att förstå vikten av. Detta innebär inte på något sätt att politiker har drabbats hårdare än någon annan, andra exempel på individer från börsnoterade bolag, mediabolag såsom press och TV, Banker, myndigheter och många andra sektorer är minst lika drabbade. Även analysbolaget Truesec har återfunnit egna konton i databasen. Då kontodatabasen är publicerad på internet är informationen om vilka e-postadresser som utsatts redan publikt. Med bakgrund av detta har Truesec valt att kommentera vissa drabbade organisationer som exempel till rapporten. Truesec har dock valt att inte offentligt peka ut individuella konton och eller tillhörande lösenord i syfte att skydda individerna som är innehavare av kontona.

2 Inledning En lista med över 129 miljoner användarkonton har läckt ut ifrån ett dataintrång hos Adobe. Över av dessa tillhör svenska e-postadresser, somliga med väldigt svaga lösenord visar det sig vid en närmare analys Truesec har gjort. Det finns också en överhängande risk för att krypteringsnyckeln blir känd i framtiden. Konsekvensen av det skulle bli att samtliga av de 129 miljoner användarkonton som har tillhörande krypterat lösenord kan komma att publiceras i klartext på internet. Vad har hänt It-företaget Adobe blev för ett tag sedan utsatt för ett dataintrång där miljoner användares e- postadresser, krypterade lösenord och lösenord-hint blev stulna. Antalet användare beskrevs i början som ett par miljoner, nu visar det sig att det är cirka 129 miljoner. Detta är en av de i särklass största kända läckta användardatabaserna någonsin. Den tekniska lösningen Adobe har använt för att lagra lösenorden är en typ av kryptering som bland annat gör det möjligt att se vilka användare som har samma lösenord och i vissa fall även dra slutsatser om det faktiska lösenordet. Det är i dagsläget inte möjligt att dekryptera lösenorden men vad som är väldigt enkelt är att se vilka som har samma lösenord, och vilka lösenord-hints dessa har. Med denna information kan ett stort antal lösenord identifieras.

3 Hur detta påverkar Sverige Vid sökning på ett par ledande politiker, företagsledare, kändisar och andra har Truesec funnit att vissa lösenord har delats med väldigt många andra. Dels betyder detta att man kan se vilka som har samma lösenord som en själv. Det betyder också att den samlade mängden av lösenord-hints (minnesledtråd) leder till samma lösenord. Det innebär att om en användare är oförsiktig med sitt lösenord-hint, kanske t.o.m. skriver lösenordet i klartext och därmed berättar vilket lösenord alla andra med samma krypterade lösenord har. Ett exempel Exemplet nedan innehåller fiktiv identitet för att skydda personen som i detta fall är en ledande svensk politiker. En sökning bland de 129 miljoner användarkontona på politikern Nisse Nilsson gav följande resultat: Epost Krypterat lösenord Lösenords-hint nisse.nilsson@viktigorganisation.se o+3bg7xsskekxvyyadxdig== I sig självt säger detta inte så mycket, men en sökning på det krypterade lösenordet o+3bg7xsskekxvyyadxdig== i databasen gav 166 träffar, vilket betyder att så många personer har samma lösenord som politikern. Några av dessa personers lösenords-hintar var: Frukt Banan Vad halkar man på fruktmedskal mums bananens yta Med enkelhet kan man dra slutsatsen av vilket lösenord som har använts, och med denna teknik kan ett mycket stort antal lösenord översättas till klartext. I ett värsta tänkbara fall har den här politikern återanvänt lösenordet på andra ställen som t ex för att läsa sin e-post. Statistik Drygt av de läckta adresserna i den svenska toppdomänen.se. Ett av Sveriges större företag hade över 1000 registrerade konton i databasen. Ett axplock av lösenords-hintar ifrån olika lösenord till folk i denna miljö är: wife name förkortning på efternamn What has humps arbetsplats gula huset my main password daughter name fotbollsspelare Daughter Statistik visar att mellan 50%-75% av alla människor återanvänder lösenord i olika system. Variationen visar på spannet av olika resultat från olika undersökningar, men belyser samtidigt hur vanligt förekommande problemet är. Lågt räknat innebär detta att 65 miljoner återanvändbara lösenord nu är på drift varav över 200,000 stycken tillhörande svenska konton. Som ett exempel återfanns lösenords-hinten riksdagslosen vilket skulle kunna tyda på personen har samma lösenord på Adobe som på sin arbetsplats. Återigen med förbehåll för att detta inte på något sätt i praktiken innebär att kunskap om detta lösenord skulle vara tillräckligt för att komma åt data eller system tillhörande denna organisation. Ett ytterligare exempel som stärker detta är att flera hundra användare med e-postadresser i.se domänen hade en lösenordshint i stil med Vanligt, Vanliga, det vanliga och liknande

4 Potentiella risker Truesec anser att det finns en stor risk för att enskilda politiker, företagsledare och kändisar som förekommer i den läckta databasen och har svaga lösenord, blir utsatta för riktade attacker. Ett tillvägagångssätt är att med ovan beskrivna metoder få kännedom om lösenordet för en person och sedan utnyttja det för att komma åt andra tjänster än Adobe där personen använt samma lösenord. T ex e-post, intranät, Twitter, Facebook mm. Truesec anser också att det finns stor risk för att hela företag blir mål för angrepp. Ett tillvägagångsätt är att gå igenom samtliga anställda för ett givet företag som finns med i databasen tills man hittar en som har ett svagt lösenord och använder detsamma på någon av företagets tjänster, så som epost eller intranät tillgängliga över internet. Rekommendationer Truesec rekommenderar generellt att aldrig använda samma lösenord på känsliga arbetsrelaterade tjänster som på externa kommersiella webbsiter på. Med tanke på läckans omfattning och art rekommenderar Truesec alla som har för vana att använda samma lösenord på flera webbsiter att genast ändra alla sina lösenord på känsliga tjänster mot internet. Truesec anser att risken är stor att den här läckan kommer kunna användas en lång tid framöver med förödande konsekvenser och samtidigt med liten risk för att upptäckas. Det tekniska problemet Den här problematiken hade relativt enkelt gå undvika. Truesec vill beskriva lite kort hur det kunde gå så här fel: Det finns etablerade metoder för att lagra lösenord så att de inte går dekryptera, endast verifiera att de är korrekta. Detta har inte används i detta fall. Skulle krypteringsnyckeln komma ut så kommer samtliga användarnamn och lösenord sannolikt publiceras på internet. Lösenord skall inte lagras så att det blir uppenbart vilka användare som har samma lösenord. Då även lösenords-hinten i detta fall är känslig information skulle även den ha krypterats.

5 Analysdata (Ett axplock) Antal rader i kontodatabasen som är populerade: Antal rader som är populerade men ej innehåller något lösenord: Antal rader som tillhör konton i.se domänen (Svenska) : Antal rader i.se domänen som saknar lösenord: Att notera: Svenska kontoinnehavare förekommer även i andra epostdomäner utöver.se, exempel på det är alla live.com, hotmail.com och gmail.com konton Detta kan härledas genom statistik över svenskars användande av externa eposttjänster, men även genom analys av databasen efter svenskklingande namn, lösenords-hints som använder det svenska språket etc. Exempel på domändata från vissa epostdomäner: gmail.com har konton i databasen hotmail.com har konton i databasen live.com har konton i databasen Med bakgrund av detta uppskattar vi att ungefär en halv miljon krypterade lösenord tillhörande Svenskar förekommer i databasen. Förbehåll dock för att detta är ett antagande. Siffran kan vara både högre och lägre. Vi har även sammanställt analyser av svenska börsbolag etc. Dock innefattas denna information i dagsläget ej i rapporten. För mer detaljerade data, alternativt skräddarsydda analyser, kontakta Truesec. Om rapporten Denna rapport är framtagen av Linus Kvarnhammar, Executive Security Consultant på Truesec i samarbete med Marcus Murray, Cyber Security Manager Truesec. Analysen är utförd av Linus Kvarnhammar tillsammans med kollegor på Truesecs Malmökontor. Om Truesec TrueSec är ett svenskt spetskompetensföretag inom IT-säkerhet, avancerad infrastruktur och säker utveckling. Bolaget har en unik sammansättning expertkonsulter som utför kvalificerade uppdrag åt Svenska och internationella företag, myndigheter och organisationer med högt säkerhetsfokus. Bolaget har kontor i Stockholm, Malmö och Seattle Inom TrueSec återfinns ett antal världsledande experter som genom forskning, föreläsningar och utbildning är med och påverkar utvecklingen inom IT-säkerhet och avancerad infrastruktur. Kontakt för mer information För frågor och presskontakt rörande denna rapport Presskontakt Stockholm: Marcus Murray Telefon:

6 Truesec AB, Oxtorgsgränd 2, Stockholm Presskontakt Malmö Linus Kvarnhammar Telefon: Truesec AB, Drottninggatan 38, (vån 5) Malmö.