21.2.2007 | 13:16
Lyklar á glámbekk
Ég átti nú aldrei von á því að lykilorðið mitt inn á Moggabloggið yrði neitt öruggt. Það er það ekki í íslensku samfélagi, netsiðferðið hérlendis er ekkert til að hrópa húrra út af, það er ekki langt Fréttablaðið birti einkatölvupósta sem framhaldsefni hjá sér og það var víst fáum sem fannst neitt athugavert við það. En ég átti nú ekki von á því að það yrðu svona lúmskar aðferðir notaðar til að nappa lykilorðunum af þjóðinni... að birta lykilorðin neðst á bloggsíðum. Nú hef ég fengið í tölvupósti þessa orðsendingu:
Fyrir mistök í uppfærslu hugbúnaðar nú í morgun birtust neðst á bloggsíðum upplýsingar um eiganda viðkomandi síðu, þar á meðal lykilorð þeirra. Þessar upplýsingar voru faldar í forritskóða mjög neðarlega á síðunni og ólíklegt að gestir á síðuna hafi kynnt sér þær. Til að koma í veg fyrir misnotkun var lykilorðum allra notenda blog.is breytt í kjölfarið og þau send þeim í tölvupósti.
Ég vona svo sannarlega að þetta sé sannleikur sem stendur í þessari orðsendingu en það er engin ástæða til annars en vera á varðbergi við að þetta geti verið vísvitandi gjörð einhverra sem vilja komast yfir lykilorð. Ekki lykilorð inn á moggabloggið heldur lykilorð inn á önnur netrými því fólk hefur tilhneigingu til að nota sama lykilorðið á mörgum stöðum.
Það er ástæða til að aðvara fólk um að hafa einhverja reglu í lykilorðum og notendanöfnum þegar það skráir sig inn í ókeypis netþjónustur. Að nota einhver sérstök lykilorð inn á staði þar sem mjög miklu ríður á að aðrir komist ekki í gögnin og nota alls ekki þau sömu lykilorð inn á staði eins og moggabloggið eða aðrar ókeypis netþjónustur.
Ég vann einu sinni í stórri byggingu þar sem mörg fyrirtæki voru. Ég fékk lykil að húsinu en fékk að vita að ef ég týndi lyklinum þá yrði ég að borga tugi þúsunda því það þýddi að það þyrfti að skipta um lykla hjá öllu starfsfólkinu í húsinu. Því miður held ég að það sé sams konar aðstæður núna, þegar Moggabloggið týndi lyklunum hjá bloggurum. Þeir sem hafa notað sama lykilorð á einhver önnur netrými og á moggabloggið ættu strax skipta um lykilorð alls staðar.
Flokkur: Tölvur og tækni | Facebook
Athugasemdir
Ég er strax orðinn meirri háttar paranojd!
Sigurður Þór Guðjónsson, 21.2.2007 kl. 13:35
"En ég átti nú ekki von á því að það yrðu svona lúmskar aðferðir notaðar til að nappa lykilorðunum af þjóðinni... að birta lykilorðin neðst á bloggsíðum."
Hvað áttu við? Lykilorðið þitt inn á bloggið hjá Morgunblaðinu er geymt í gagnagrunninum fyrir bloggið, þeir sem vinna við forritun vefsins geta auðveldlega flett því upp eða gert hvað sem er í gagnagrunninum -- þarf alls ekki að birta það fyrir alþjóð til að "nappa" því, eins og þú kemst að orði.
"Ég vona svo sannarlega að þetta sé sannleikur sem stendur í þessari orðsendingu en það er engin ástæða til annars en vera á varðbergi við að þetta geti verið vísvitandi gjörð einhverra sem vilja komast yfir lykilorð."
Aftur vísa ég til þess sem ég sagði áðan, til hvers ættu þeir sem vinna við mbl.is að birta þessar upplýsingar alþjóð til þess að stela þeim?
Þetta voru alvarleg og slæm mistök, en mér finnast getgátur þínar jaðra við ofsóknaræði.
Steinn E. Sigurðarson, 21.2.2007 kl. 13:38
Steinn, fyrir nokkrum árum þá var Blogger.com vefsvæðið fyrir árás tölvuþrjóta þannig að lykilorðum var öllum breytt, ég held að það hafi verið sett inn sama lykilorðið alls staðar. Það var ekki blogger fyrirtækið sem stóð að því. Fyrir nokkrum mánuðum var second life gögnum um alla notendur stolið, það var ekki secondlife reksturinn sem stóð að því. Þetta var hvort tveggja gert með því að nýta sér veilur í kerfunum.
Ef einhver vildi stela upplýs. um Íslendinga á moggabloggi þá geri ég ekki ráð fyrir að það séu þeir sem þegar hafa þessar upplýsingar, það væri dáldið langsótt. Ég geri ráð fyrir að ef svo væri þá væri það aðgerð einhverra annarra sem ekki hafa þann aðgang en sem búa yfir nægri kunnáttu og/eða aðgangi til að láta breyta kerfum - í þessu tilviki ekki til að allir hafi sama lykilorð eins og í blogger um árið heldur til að láta lykilorðin birtast. Með öðrum orðum er ég að gefa í skyn að það verði líka að skoða þann möguleika að þetta sé hakkaraárás. Ég er ekki paranoid frekar en fyrirtæki sem skiptir um alla lykla ef einn týnir lykli, það er ekki sjálfgefið að upplýsingar á mbl. vefnum séu réttar þ.e. þetta klúður við uppfærslu. Það verður líka að gera ráð fyrir öðrum möguleikum.
Einn möguleiki er að einhver sé að æfa sig áður en lagt er til stærri atlögu og á öðrum vettvangi. Það er hægt að gera mikinn usla í samfélagi í dag með að ryðjast inn í netsamfélög og það er engin ástæða til að gera ekki ráð fyrir þeim möguleika. Það merkir ekki að ég haldi að það sé líklegasta skýringin. Alveg eins og þegar þú týnir lykli þá er líklegast að þú hafir týnt lyklinum og enginn geti notað hann ef hann finnst en það verður samt að skipta um skrár vegna þess að það getur verið að einhver hafi stolið af þér lyklinum.
Salvör Kristjana Gissurardóttir, 21.2.2007 kl. 14:22
Sæl vertu Salvör.
Þér er óhætt að trúa því að þetta voru klár mistök, ekki æfing fyrir lykilorðastuld. Frekari skýringu má lesa á kerfisblogginu.
Árni Matthíasson , 21.2.2007 kl. 14:38
Salvör, þú minnist á þá árás sem gerð var á Blogger (nú í eigu Google) árið 2002. Þá var öllum lykilorðum notenda *breytt* í "hacx0redbyme" af einhverjum húmorista og netföngum stolið, engum lykilorðum var þó stolið. Taldi mikilvægt að þetta kæmist á hreint hérna. Einn af tugum gagnagrunna hjá Second Life voru crackaðir árið 2006 og var notendanöfnum og heimilisföngum stolið þaðan.
Það er ástæða fyrir því að okkur er sagt að hafa mörg lykilorð í gangi og rótera reglulega lykilorðum..svo er fólk að pirra sig yfir því að bankarnir séu að rúlla út Auðkennislykli en það er augljóslega þörf á því þar sem meirihluti virðist hunsa allar ráðleggingar sérfræðinga og hafa sama lykilorð á fríþjónustu á einum stað og bankaþjónustu á öðrum stað.
Ég held að viðbrögð stjórnenda blog.is hafi verið eðlileg, það er nú líka mun auðveldara að skipta út lykilorði á vefsíðu en lyklum hjá starfsmönnum marga fyrirtækja.
Ómar Kjartan Yasin, 22.2.2007 kl. 00:38
Salvör: Frábært, þú kemur með dæmi um árásir á blogger.com og 2nd Life, sem réttlætingu á því að þú sakir Morgunblaðið um lygar -- þ.e.a.s. heldur því fram að "það er ekki sjálfgefið að upplýsingar á mbl. vefnum séu réttar þ.e. þetta klúður við uppfærslu".
Mér finnst þetta vera mjög alvarleg ásökun af þinni hendi, og þar sem ég vann hjá Morgunblaðinu, og veit nákvæmlega bæði hvernig öryggi þessa kerfis er háttað og hvað liggur að baki mistökum gærdagins, veit ég (eins og líklega flest vel gefið fólk) að þú hefur mjög rangt fyrir þér.
Þakkaðu bara fyrir að þú, eins og flestir notendur blog.is, ert ekki nógu merkileg til að verða fyrir barðinu á tölvuþrjótum sem vita hvað þeir eru að gera.
Steinn E. Sigurðarson, 22.2.2007 kl. 10:01
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.