Det finns många olika tillvägagångssätt för att få tag på lösenord. Man kan till exempel hacka en server och ta en kopia på hela lösenordsdatabasen, sniffa nätverkstrafik eller infektera klientdatorer med skadlig kod.
Inte heller hashade lösenord är oknäckbara, som vi beskrivit närmare i de tidigare delarna i den här artikelserien. Under juni i år blev forumet på Ubuntu Community hackat, vilket resulterade i att 1,82 miljoner lösenord blev stulna. Det intressanta med den händelsen var att Canonical, alltså företaget bakom Ubuntu, till skillnad från de flesta andra som har fallit offer för hackare, valde att göra ett inlägg på sin blogg som informerade användare om händelseförloppet.
Ubuntu Community-forumet körs på en Vbulletin-plattform, och den har vissa kända brister som hackaren valde att utnyttja. Man inledde angreppet med ett konto som tillhör en moderator på forumet – det är inte känt hur angriparen kom över detta. Genom att ha tillgång till moderatorkontot kunde angriparen lägga upp inlägg innehållande html-kod, vilket möjliggör olika typer av angrepp, till exempel xss-angrepp, cross site scripting. Ett sådant angrepp utnyttjar brister i webbgränssnittet genom att injicera ett skript på klientsidan där koden exekveras.
Fångar besökarnas cookies
I det här fallet använde angriparen xss för att fånga sidbesökarnas cookie-data, som binder användarnas session till en redan genomförd inloggning.
När angriparen hade skapat inlägget med cookie-fällan skickades ett privat meddelande ut till alla forumadministratörer för att någon av dem skulle fånga betet och besöka sidan med cookie-fällan.
En kort tid därefter föll en administratör för fällan och angriparen fick tag på administratörens sessions-cookie. Angriparen kunde nu eskalera sina privilegier genom att stjäla administratorns session.
Som administrator utökades angriparens möjligheter till vidare attack med andra funktionaliteter på forumplattformen. Vbulletin har stöd för så kallade hooks, som kan användas för att exekvera PHP-skript när en viss sida hämtas. Angriparen använde hooks för att kartlägga forumet, men även för att ladda upp två olika PHP-skal. På det sättet kunde angriparen öppna ett terminalskal mot servern.
Innehållsförteckning
Skadlig kod försöker ibland stjäla lösenord som har lagrats i filer. Exempel på mappar som innehåller filer som skulle vara intressanta för den som vill få tag på lösenord på en Windows 7-dator är:
Internet Explorer: %APPDATA%\Microsoft\Credentials\
Chrome: %LOCALAPPDATA%\Google\Chrome\User Data\Default\
Firefox: %APPDATA%\Mozilla\Firefox\Profiles\<profilsträng>.default\
Windows SAM: %SYSTEMROOT%\System32\config\
botnät: Ett antal datorer som infekterats av skadlig kod och fjärrstyrs utan ägarens vetskap.
honeypot: Nätverksnod som är skapad med tydliga brister för att locka hackare. Notera att begreppet också används för wi-fi-hotspots som satts upp av hackare för att locka till sig intet ont anande surfare.
hook (krok på svenska): Typ av tillägg för ett befintligt program. Kallas ibland add-on.
injektionsbaserade attacker, sql-injektion: Ett sätt att utnyttja en säkerhetsbrist i ett webbgränssnitt eller program som arbetar mot en databas. Injektionen innebär att parametrar till en databasfråga skickas in, och då kan data hämtas från en underliggande databas på ett sätt som inte är tänkt.
Keykeriki: Sniffer för trådlösa tangentbord.
keylogger: Hård- eller mjukvara som spårar knapptryckningar.
man-in-the-middle-attack: När en tredje part spionerar på trafik mellan två noder.
phishing, nätfiske: Användning av falska webbsidor och e-post för att lura åt sig lösenord eller andra hemliga uppgifter.
psk, pre shared key: Hemlighet som delats tidigare. Används vanligen för wi-fi-kryptering med wep eller wpa där båda accesspunkten och klienter delar en nyckel, det vill säga wi-fi-lösenordet.
sandlåda (sandbox, sandboxing): En isolerad miljö som förhindrar exekverande program att påverka miljön utanför inneslutningen.
sniffer: Hård- eller mjukvara för att avlyssna datatrafik.
xss, cross site scripting: Sårbarhet i webbgränssnitt som gör det möjligt att injicera skript som körs på klienten, till exempel ett popup-fönster som visas eller en länk som inte finns på originalsidan.