Russisk hacker idømt syv års fængsel for stort angreb på LinkedIn og Dropbox

6. oktober 2020 kl. 10:0010
Russisk hacker idømt syv års fængsel for stort angreb på LinkedIn og Dropbox
Illustration: Andrey Khokhlov/Bigstock.
En russisk hacker skal mere end syv år i fængsel i USA, efter at han er blevet dømt for et omfattende it-angreb.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den russiske hacker Yevgeniy Alexandrovich Nikulin er blevet dømt for at stå bag et omfattende it-angreb mod Linkedin, Dropbox og det sociale medie Formspring i 2012, og nu står han til at skulle afsone en fængselsstraf på syv år og fire måneder i USA.

Det skriver Computerworld med henvisning til det amerikanske justitsministerium.

Den 32-årige hacker er dømt for at bryde ind i servere hos de forskellige it-virksomheder og installere malware samt at hente brugerdata og krypterede passwords på millioner af brugere fra de forskellige platforme.

Derudover har han ifølge de amerikanske myndigheder forsøgt at samarbejde med russiske gerningsmænd om at sælge de stjålne data.

Artiklen fortsætter efter annoncen

Angrebet fandt sted i 2012, og i 2016 blev Yevgeniy Alexandrovich Nikulin anholdt på et hotel i den tjekkiske hovedstad Prag. Dommen i sagen er blevet afsagt i San Francisco, og han skal afsone sin straf i et fængsel i USA.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
6. oktober 2020 kl. 16:20

Men så længe hash'en er længere end passwords, så er der ikke noget problem.

Jep - hvilket absolut også er dét man gør. Se evt denne for eksempler: https://en.wikipedia.org/wiki/Salt_(cryptography)

Er det fordi kryptering giver et hint om længden af password, mens hash har samme længde uanset om password er på 8 tegn eller 54? Hvis man kender algoritmen og evt salt, så må man da kunne brute force sig igennem en masse password. Og sådan med lidt gætteri og meget held ramme noget. Et gætbart password er vel lige gætbart uanset konverteringen?

Det er korrekt at kryptering ikke skjuler længden af det oprindelige password.

Når man forsøger at brute-force et password, så er der vel intet galt i at man også lige tjekker om man rammer et hash collision, istedet for det egentligt password. Chancen for at du gætter det rigtige password er typsik meget større, end at du finder en hash collision, hvis du bruger et par fornuftige paradigmer omkring hvordan passwordet ser ud.

Hvis man bekymrer sig om risikoen for en hash collision i fx SHA-256, så bør man bekymre sig meget mere risikoen for at jorden bliver ramt af en lignende meteor, som for 65 millioner år siden.

9
6. oktober 2020 kl. 15:57

Når det kommer til hacking, så er der er en højere chance for at gætte det rigtige password med brute force, end at tilfældigt ramme et password med samme hash.

Er det fordi kryptering giver et hint om længden af password, mens hash har samme længde uanset om password er på 8 tegn eller 54? Hvis man kender algoritmen og evt salt, så må man da kunne brute force sig igennem en masse password. Og sådan med lidt gætteri og meget held ramme noget. Et gætbart password er vel lige gætbart uanset konverteringen?

8
6. oktober 2020 kl. 15:57

det er matematisk usandsynligt

Du mener vel sandsynligt.

Hvis du tager et passwork med 20 tegn og hasher det til 19, så vil der være 10 passwords som giver det samme hash.

Men så længe hash'en er længere end passwords, så er der ikke noget problem.

7
6. oktober 2020 kl. 15:52

Ja, det er matematisk usandsynligt, og rent praktisk umuligt, hvis man vælger en fornuftig hasing algoritme.

Når det kommer til hacking, så er der er en højere chance for at gætte det rigtige password med brute force, end at tilfældigt ramme et password med samme hash.

Så ja, I har ret - men det er ikke en vigtig faktor når det kommer til sikkerhed, så længe man bruger en fornuftig algoritme.

5
6. oktober 2020 kl. 15:36

Det er rigtig nok - man skal absolut holde sin hash collision rate for øje når man vælger hashing algoritme.

4
6. oktober 2020 kl. 15:35

Ved hashing transformeres dit password til en <strong>næsten</strong> unik stump data

:)

3
6. oktober 2020 kl. 14:39

Sagtens!

Med kryptering kan man genskabe det oprindelige password ved at 'dekryptere' det. Det betyder at man kan genskabe dit password hvis man har den rigtige nøgle. Det er en tovejs-transformation.

Ved hashing transformeres dit password til en unik stump data, som ikke kan bruges til at genskabe det oprindelige password. Det er altså en envejs-transformation.

Hvis man er så ubetænksom at gemme sin krypteringsnøgle tæt ved de krypterede data, så kunne man lige så godt have gemt det i cleartext. Det problem har man ikke med hashing.

Rent praktisk, så fungerer login med password ved at man sammenligner det hashede password, så man slipper for at skulle gemme dit oprindelige password.

Der er ingen undskyldning for at gemme passwords så de kan læses igen.

Hvis man gerne vil være endnu mere teknisk, så er nogle relevante nøgleord 'salting' og 'rainbow tables'. Man kan også finde flere relevante resultater ved at Google 'encryption vs hashing'.

2
6. oktober 2020 kl. 14:21

@Asbjørn Thegler: Kunne du for os ikke nørder, eller vidende, forklare forskellen på de to teknikker og hvorfor den ene efter din vurdering er den rigtige ? (måske almen viden - for nogen).

1
6. oktober 2020 kl. 14:11

Jeg undrede mig over at der står 'krypterede passwords' - men der står dælme også 'encrypted passwords' i meddelelsen fra USDOJ[1].

Er det mon vitterligt krypterede passwords, eller mener de blot hashede passwords? Hvis ikke, så er det en dårlig sikkerhedspraksis hos LinkedIn, Dropbox og Formspring(?).

[1] https://www.justice.gov/usao-ndca/pr/russian-hacker-sentenced-over-7-years-prison-hacking-three-bay-area-tech-companies