Tärkein syy siihen, miksi salasanoja ei saisi uudelleenkäyttää, on hyökkäys josta nyt opimme.

Tietovuodoissa vuotaneiden käyttäjätunnus-salasanaparien kokeilu eri palveluihin on saanut nimen "credential stuffing", en edes yritä keksiä sille suomenkielistä vastinetta. "Tunnusten mättäminen"?

Palvelussa A on tietovuoto ja nettiin päätyy kaikkien sen käyttäjien sähköpostit ja salasanat.

Palvelussa B ei ole tietovuotoa, mutta moni palvelun A käyttäjä käyttää myös palvelua B.

Hyökkääjä kokeilee kaikkia palvelun A tunnuksia palveluun B.

Kaikkien tilit, jotka käyttivät samaa salasanaa palvelussa A kaapataan.

Tehtäväsi harjoituskohteessa on murtautua ainaki kymmenelle eri tilille DefaceBookissa. Saat harjoituksen etusivulta ladattua tiedoston jossa on toisesta palvelusta vuotaneita käyttäjätunnuksia. Aloita kopioimalla linkin osoite, jotta voit sitten wget-komennolla ladata tiedoston hyökkääjän terminaalissa.

Käytämme tälläkin kertaa THC Hydraa hyökkäyksen tekemiseen. Jos et vielä tehnyt edellistä moduulia, teethän sen ensin, sillä siinä käymme läpi hydran perusteet.

Katsotaan ensin head-komennolla, minkä muotoinen tietovuodosta tullut "dumppi" on.

Muoto on "käyttäjätunnus:salasana". Hyvä, hydra tukee tätä muotoa suoraan. Tällä kertaa emme käytä -l/-L (käyttäjätunnus/käyttäjätunnuslista) emmekä -p/-P (salasana/salasanalista), vaan käytämme -C (credentials) joka tarkoittaa että käytetään tiedostoa, jossa käyttäjätunnus- ja salasanaparit ovat yksi per rivi, erotettuna kaksoispisteellä.

Askeleet ovat muuten samat kuin edellisessä moduulissa.

Tällaisilta hyökkäyksiltä on helppo suojata itsensä, ei tarvitse kuin käyttää salasananhallintaohjelmaa. Lisäksi kannattaa tilata Have I Been Pwned -palvelun ilmoitukset kun sinun tunnuksesi vuotaa jossain tietovuodossa. Voit tilata ne täältä: 

Palvelun suojaaminen onkin sitten haastavampi juttu. Käytännössä tilanne johon koitetaan varautua on se, että hyökkääjällä on palvelun käyttäjäjän tunnus ja salasana tiedossa.

Yksi tärkeä asia on kehottaa käyttäjiä ottamaan monivaiheinen tunnistautuminen käyttöön, ja varoittaa salasanan uudelleenkäytön riskeistä.

Käyttäjältä kannattaa myös pyytää lisätietoja, esimerkiksi sitä kaksivaiheista tunnistautumista, aina kun kirjautumisyritys tapahtuu epätavalliselta alueelta, uudelta laitteelta, tai muuten epäilyttävissä olosuhteissa.

) sisältävät toimintoja joilla voidaan automaattisesti havaita tietovuodossa vaarantuneita salasanoja. Voit myös toteuttaa tällaisen toiminnon itse 

Suojautuminen Credential Stuffing -Hyökkäyksiltä

Etusivulla on lista vuotaineista käyttäjätunnus-salasanapareista joita voit kokeilla.

Tässä labrassa pääset kokeilemaan miten rikolliset hyödyntävät tietovuodoista kasattuja käyttäjätunnus-salasanapareja ja kokeilevat niitä eri palveluihin.

Vuotaneiden Salasanojen Hyödyntäminen (Credential Stuffing)

## Älä uudelleenkäytä salasanoja!

Tärkein syy siihen, miksi salasanoja ei saisi uudelleenkäyttää, on hyökkäys josta nyt opimme.

Tietovuodoissa vuotaneiden käyttäjätunnus-salasanaparien kokeilu eri palveluihin on saanut nimen "credential stuffing", en edes yritä keksiä sille suomenkielistä vastinetta. "Tunnusten mättäminen"?

---

## Hyökkäyksen kulku 

- Palvelussa A on tietovuoto ja nettiin päätyy kaikkien sen käyttäjien sähköpostit ja salasanat.
- Palvelussa B ei ole tietovuotoa, mutta moni palvelun A käyttäjä käyttää myös palvelua B.
- Hyökkääjä kokeilee kaikkia palvelun A tunnuksia palveluun B.
- Kaikkien tilit, jotka käyttivät samaa salasanaa palvelussa A kaapataan.

---

## Harjoitus

Tehtäväsi harjoituskohteessa on murtautua ainaki kymmenelle eri tilille DefaceBookissa. Saat harjoituksen etusivulta ladattua tiedoston jossa on toisesta palvelusta vuotaneita käyttäjätunnuksia. Aloita kopioimalla linkin osoite, jotta voit sitten wget-komennolla ladata tiedoston hyökkääjän terminaalissa.

![](sanity:image-50765aa6f80b7f248090b05628420f673e4719a2-880x753-png)

![](sanity:image-529aa643825002653fa3a4798c06417fd9ab3387-962x275-png)

---

## Hydran konfigurointi

Käytämme tälläkin kertaa THC Hydraa hyökkäyksen tekemiseen. Jos et vielä tehnyt edellistä moduulia, teethän sen ensin, sillä siinä käymme läpi hydran perusteet.

Katsotaan ensin head-komennolla, minkä muotoinen tietovuodosta tullut "dumppi" on.

![](sanity:image-f2582c9ed01fe208741e7b2e0afbf8eaee8855d9-493x197-png)

Muoto on "käyttäjätunnus:salasana". Hyvä, hydra tukee tätä muotoa suoraan. Tällä kertaa emme käytä -l/-L (käyttäjätunnus/käyttäjätunnuslista) emmekä -p/-P (salasana/salasanalista), vaan käytämme -C (credentials) joka tarkoittaa että käytetään tiedostoa, jossa käyttäjätunnus- ja salasanaparit ovat yksi per rivi, erotettuna kaksoispisteellä.

Askeleet ovat muuten samat kuin edellisessä moduulissa.

---

## Hyökkäys

```sh
hydra -t4 -C breach.txt www-6uxmwrlrqe.ha-target.com https-post-form "/login:email=^USER^&password=^PASS^:F=Invalid"
```

![](sanity:image-9454c4944ded1449d465ee3d29381a6f178fc9fb-1229x322-png)

@embed 9fe81ccbc536

@exercise 6860e8dfbe72


Tällaisilta hyökkäyksiltä on helppo suojata itsensä, ei tarvitse kuin käyttää salasananhallintaohjelmaa. Lisäksi kannattaa tilata Have I Been Pwned -palvelun ilmoitukset kun sinun tunnuksesi vuotaa jossain tietovuodossa. Voit tilata ne täältä: [https://haveibeenpwned.com/NotifyMe](https://haveibeenpwned.com/NotifyMe)

Palvelun suojaaminen onkin sitten haastavampi juttu. Käytännössä tilanne johon koitetaan varautua on se, että hyökkääjällä on palvelun käyttäjäjän tunnus ja salasana tiedossa.

Yksi tärkeä asia on kehottaa käyttäjiä ottamaan monivaiheinen tunnistautuminen käyttöön, ja varoittaa salasanan uudelleenkäytön riskeistä.

Käyttäjältä kannattaa myös pyytää lisätietoja, esimerkiksi sitä kaksivaiheista tunnistautumista, aina kun kirjautumisyritys tapahtuu epätavalliselta alueelta, uudelta laitteelta, tai muuten epäilyttävissä olosuhteissa.

Jotkut tunnistuspalvelut (esim. [Auth0](https://auth0.com/)) sisältävät toimintoja joilla voidaan automaattisesti havaita tietovuodossa vaarantuneita salasanoja. Voit myös toteuttaa tällaisen toiminnon itse [HaveI Been Pwned](https://haveibeenpwned.com/) -rajapinnalla.

Tietomurroissa Vuotaneiden Tunnusten Hyväksikäyttö (Credential Stuffing) -hyökkäykset

Salasanat ovat hirvittävän epäturvallisia aivan hirvittävän monesta syystä, mutta silti välttämättömiä. Vaarallinen kombinaatio!

Salasanat ovat hivittävän epäturvallisia aivan hirvittävän monesta syystä, mutta silti välttämättömiä. Vaarallinen kombinaatio!

Tietomurroissa Vuotaneiden Tunnusten Hyväksikäyttö (Credential Stuffing) -hyökkäykset

Älä uudelleenkäytä salasanoja!

Hakkeroinnin oppiminen alkaa tästä