Med de behörigheter som PHP-skalet hade fick angriparen tillgång till forumets användardatabas, och dess tillhörande 1,82 miljoner användaruppgifter, inklusive lösenordshashar. Det är många, men inte lika många som läckte när Linkedin blev hackat i juni 2012; då hamnade 6,5 miljoner lösenordshashar på villovägar. Linkedin har inte beskrivit hur intrånget gick till, men troligtvis skedde attacken även där i flera steg.
Högst upp på topplistan
Owasp, samarbetsorganisationen för webbsäkerhet, presenterar regelbundet de mest akuta riskerna inom applikationssäkerhet i en topplista kallad Owasp Top 10. Där ligger injektionsattacker, alltså xss med flera, på plats nummer ett. Eftersom användarinfo i vanliga fall ligger i en databas är det kanske inte heller så konstigt. Andra typiska brister som leder till angrepp är bristande autentisering eller brister i sessionshanteringen.
Hårdvarukeyloggern Keygrabber med wi-fi sändare har ett kompakt format och kan vara svår att upptäcka.
Direktangrepp mot en server är inte nödvändigt för att få tag på lösenord. Ibland räcker det med att rent fysiskt smyga bakom någon och ta sig en titt över axeln, så kallad shoulder surfing.
En annan möjlighet är att spetsa öronen och ”tjuvlyssna” på trafik med hjälp av en nätverkssniffare. Den metoden är helt beroende av vilka som är anslutna till samma nätverk och vilken trafik man kan lura till sitt nätverk. Ibland behöver man inte anstränga sig särskilt mycket – öppna nätverk är skattkistor för någon som vill få tag på lösenordshashar.
Ta en kaffe på caféet nere på hörnet och låtsas jobba lite ute på caféets öppna nätverk. Även om de flesta använder https vid inloggning är det inte alltid fallet. Att skicka användaruppgifter över http är som att skicka ett vykort med information nedskriven på baksidan – vem som helst på vägen till slutdestinationen kan snappa upp det som står.
En annan metod är att skapa en egen så kallad honeypot (honungskruka), ett öppet nätverk för att locka anslutningar. Troligtvis kommer i alla fall någon försöka att ansluta till den – gratis är gott.
I brist på användares lösenordshashar kan lösenorden som skyddar trådlösa nätverk knäckas. Wep och wpa med en psk (pre shared key) innebär att nyckeln (lösenordshashen) ständigt skickas över nätverket. För att utföra själva sniffningen kan verktyget Wireshark användas.
Sniffa är mer krävande
Sniffning av trådade nätverk fungerar också, men kräver ett extra steg. Förr användes ofta hubbar som alltid skickade ut alla data till varje port på hubben, men de förekommer nästan inte i dag. De flesta nätverk använder numera en switch för att styra trafiken internt på nätet – switchen skickar ut paketet till den port som tillhör mottagaren. För att sniffa trafiken krävs, om man inte är nätverksadministratör, att man gör en man-in-the-middle attack, till exempel en så kallad arp-förgiftning.
Innehållsförteckning
Skadlig kod försöker ibland stjäla lösenord som har lagrats i filer. Exempel på mappar som innehåller filer som skulle vara intressanta för den som vill få tag på lösenord på en Windows 7-dator är:
Internet Explorer: %APPDATA%\Microsoft\Credentials\
Chrome: %LOCALAPPDATA%\Google\Chrome\User Data\Default\
Firefox: %APPDATA%\Mozilla\Firefox\Profiles\<profilsträng>.default\
Windows SAM: %SYSTEMROOT%\System32\config\
botnät: Ett antal datorer som infekterats av skadlig kod och fjärrstyrs utan ägarens vetskap.
honeypot: Nätverksnod som är skapad med tydliga brister för att locka hackare. Notera att begreppet också används för wi-fi-hotspots som satts upp av hackare för att locka till sig intet ont anande surfare.
hook (krok på svenska): Typ av tillägg för ett befintligt program. Kallas ibland add-on.
injektionsbaserade attacker, sql-injektion: Ett sätt att utnyttja en säkerhetsbrist i ett webbgränssnitt eller program som arbetar mot en databas. Injektionen innebär att parametrar till en databasfråga skickas in, och då kan data hämtas från en underliggande databas på ett sätt som inte är tänkt.
Keykeriki: Sniffer för trådlösa tangentbord.
keylogger: Hård- eller mjukvara som spårar knapptryckningar.
man-in-the-middle-attack: När en tredje part spionerar på trafik mellan två noder.
phishing, nätfiske: Användning av falska webbsidor och e-post för att lura åt sig lösenord eller andra hemliga uppgifter.
psk, pre shared key: Hemlighet som delats tidigare. Används vanligen för wi-fi-kryptering med wep eller wpa där båda accesspunkten och klienter delar en nyckel, det vill säga wi-fi-lösenordet.
sandlåda (sandbox, sandboxing): En isolerad miljö som förhindrar exekverande program att påverka miljön utanför inneslutningen.
sniffer: Hård- eller mjukvara för att avlyssna datatrafik.
xss, cross site scripting: Sårbarhet i webbgränssnitt som gör det möjligt att injicera skript som körs på klienten, till exempel ett popup-fönster som visas eller en länk som inte finns på originalsidan.
