Russisk hacker idømt syv års fængsel for stort angreb på LinkedIn og Dropbox

Illustration: Andrey Khokhlov/Bigstock
En russisk hacker skal mere end syv år i fængsel i USA, efter at han er blevet dømt for et omfattende it-angreb.

Den russiske hacker Yevgeniy Alexandrovich Nikulin er blevet dømt for at stå bag et omfattende it-angreb mod Linkedin, Dropbox og det sociale medie Formspring i 2012, og nu står han til at skulle afsone en fængselsstraf på syv år og fire måneder i USA.

Det skriver Computerworld med henvisning til det amerikanske justitsministerium.

Den 32-årige hacker er dømt for at bryde ind i servere hos de forskellige it-virksomheder og installere malware samt at hente brugerdata og krypterede passwords på millioner af brugere fra de forskellige platforme.

Derudover har han ifølge de amerikanske myndigheder forsøgt at samarbejde med russiske gerningsmænd om at sælge de stjålne data.

Angrebet fandt sted i 2012, og i 2016 blev Yevgeniy Alexandrovich Nikulin anholdt på et hotel i den tjekkiske hovedstad Prag. Dommen i sagen er blevet afsagt i San Francisco, og han skal afsone sin straf i et fængsel i USA.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Asbjørn Thegler

Jeg undrede mig over at der står 'krypterede passwords' - men der står dælme også 'encrypted passwords' i meddelelsen fra USDOJ[1].

Er det mon vitterligt krypterede passwords, eller mener de blot hashede passwords? Hvis ikke, så er det en dårlig sikkerhedspraksis hos LinkedIn, Dropbox og Formspring(?).

[1] https://www.justice.gov/usao-ndca/pr/russian-hacker-sentenced-over-7-yea...

  • 0
  • 0
#3 Asbjørn Thegler

Sagtens!

Med kryptering kan man genskabe det oprindelige password ved at 'dekryptere' det. Det betyder at man kan genskabe dit password hvis man har den rigtige nøgle. Det er en tovejs-transformation.

Ved hashing transformeres dit password til en unik stump data, som ikke kan bruges til at genskabe det oprindelige password. Det er altså en envejs-transformation.

Hvis man er så ubetænksom at gemme sin krypteringsnøgle tæt ved de krypterede data, så kunne man lige så godt have gemt det i cleartext. Det problem har man ikke med hashing.

Rent praktisk, så fungerer login med password ved at man sammenligner det hashede password, så man slipper for at skulle gemme dit oprindelige password.

Der er ingen undskyldning for at gemme passwords så de kan læses igen.

Hvis man gerne vil være endnu mere teknisk, så er nogle relevante nøgleord 'salting' og 'rainbow tables'. Man kan også finde flere relevante resultater ved at Google 'encryption vs hashing'.

  • 7
  • 0
#7 Asbjørn Thegler

Ja, det er matematisk usandsynligt, og rent praktisk umuligt, hvis man vælger en fornuftig hasing algoritme.

Når det kommer til hacking, så er der er en højere chance for at gætte det rigtige password med brute force, end at tilfældigt ramme et password med samme hash.

Så ja, I har ret - men det er ikke en vigtig faktor når det kommer til sikkerhed, så længe man bruger en fornuftig algoritme.

  • 3
  • 0
#9 Ditlev Petersen

Når det kommer til hacking, så er der er en højere chance for at gætte det rigtige password med brute force, end at tilfældigt ramme et password med samme hash.

Er det fordi kryptering giver et hint om længden af password, mens hash har samme længde uanset om password er på 8 tegn eller 54? Hvis man kender algoritmen og evt salt, så må man da kunne brute force sig igennem en masse password. Og sådan med lidt gætteri og meget held ramme noget. Et gætbart password er vel lige gætbart uanset konverteringen?

  • 0
  • 0
#10 Asbjørn Thegler

Men så længe hash'en er længere end passwords, så er der ikke noget problem.

Jep - hvilket absolut også er dét man gør. Se evt denne for eksempler: https://en.wikipedia.org/wiki/Salt_(cryptography)

Er det fordi kryptering giver et hint om længden af password, mens hash har samme længde uanset om password er på 8 tegn eller 54? Hvis man kender algoritmen og evt salt, så må man da kunne brute force sig igennem en masse password. Og sådan med lidt gætteri og meget held ramme noget. Et gætbart password er vel lige gætbart uanset konverteringen?

Det er korrekt at kryptering ikke skjuler længden af det oprindelige password.

Når man forsøger at brute-force et password, så er der vel intet galt i at man også lige tjekker om man rammer et hash collision, istedet for det egentligt password. Chancen for at du gætter det rigtige password er typsik meget større, end at du finder en hash collision, hvis du bruger et par fornuftige paradigmer omkring hvordan passwordet ser ud.

Hvis man bekymrer sig om risikoen for en hash collision i fx SHA-256, så bør man bekymre sig meget mere risikoen for at jorden bliver ramt af en lignende meteor, som for 65 millioner år siden.

  • 3
  • 0
Log ind eller Opret konto for at kommentere