» »

Gesla iz vdora v Ashley Madison zaradi hude malomarnosti že zlomljena

Gesla iz vdora v Ashley Madison zaradi hude malomarnosti že zlomljena

Ars Technica - Vdor v Ashley Madison je že tako ali tako imel precej resne posledice za vse vpletene, sedaj pa se seznamu njihovih težav pridružujejo še razkrita gesla. Ker so upravljavci strani shranjevali zgoščene vrednosti gesel (hash) po algoritmu bcrypt, smo spočetka napak predpostavili, da jih ne bo mogoče zlomiti. A pisci strani so zagrešili dve ogromni napaki, ki sta v nekaj tednih omogočili razbitje 90 odstotkov od 15 milijonov prizadetih gesel.

V pobeglem arhivu je bila namreč tudi datoteka, ki je vsebovala spremenljivko z imenom $loginkey za 15 milijonov uporabnikov. Izkazalo se je, da gre za zgoščeno vrednost iz uporabniškega imena in gesla, ki je verjetno služila hitrejši večkratni prijavi, da ni bilo treba vsakokrat vpisovati gesla. Spremenljivko so tvorili tako, da so združili uporabniško ime in geslo, oboje pretvorjeno v male tiskane črke in ločeno z dvema dvopičjema. Ta niz so potem shranili v zgoščeni vrednosti MD5. Algoritem MD5 odlikuje visoka hitrost in ni namenjen shranjevanju gesel, saj lahko pri razbijanju preizkušamo milijarde nizov na sekundo. Krajša gesla lahko zlomimo kar s surovo silo, daljša pa s pametnejšimi slovarskimi napadi. Nekatere vrednosti spremenljivke $loginkey so tvorili nekoliko drugače, a z isto varnostno luknjo.

Za analizo gesel imamo torej pred seboj sorazmerno enostaven problem, ki je rešljiv vsaj milijonkrat hitreje, kot bi bil neposredni napad na bcrypt. Uporabniško ime preberemo iz baze, algoritem za tvorjenje niza tudi poznamo (ime::plaintextgeslo), tako da lahko enostavno z izčrpavanje možnosti ugotovimo del $loginkey, ki predstavlja geslo z malimi tiskanimi črkami. Dostikrat je konec že tu, saj 90 odstotkov gesel ne vsebuje velikih tiskanih črk. V preostalih primerih je treba ugotoviti še pravilno razporeditev velikih in malih črk, kar izvedejo s primerjanjem z zgoščeno vrednostjo bcrypt, kar je obvladljiv problem.

Ni jasno, kako so si pri Ashley Madison mogli privoščili tako resno varnostno napako. Kaže tudi, da so se je očitno zavedli, saj so za novejša gesla pravilno poskrbeli - torej so v MD5 poslali združeni niz uporabniškega imena in bcrypt vrednosti gesla (namesto plaintext). Zakaj tega niso storili za vsa gesla, ostaja neznanka.

10 komentarjev

Blazz ::

koderju se je mudilo na pivo, thats why... :)

stara mama ::

Ne, mudilo se mu je v postlo z ljubico :)

Hitch-Hiker ::

Ne z ljubico, z botom. ;)
Pomagajmo Microsoftu v boju proti piratstvu - namestimo Linux!!

HPME ::

Največje vprašanje je, kako so lahko obratovali če skoraj nobeden ni dobil zmenka s te strani?

Zgodovina sprememb…

  • spremenilo: HPME ()

echo ::

Poganjalo jih je upanje.

Ribič ::

Ima kdo kak link do teh razbitih gesl?

repson ::

Ars pravi, da CynoSure Prime gesel ne bodo jih objavili.

To protect end users, the team members aren't releasing the plaintext passwords. The team members are, however, disclosing all the details others need to replicate the passcode recovery.

dronyx ::

Top uporabljena gesla:

lickmyballsallnightyoubitch
123456
password
12345
2345678
qwerty

Ribič ::

Tudi če je oni ne bodo objavili, se bo pa našel nekdo drug, ki jih bo. Ponavadi je tako.
En seznam gesel s strani Ashley Madison sicer že imam, samo je žal ta kratka verzija.

Blinder ::

Hja inzenir CS ze nebi delal takih napak. Ce dajo opravit delo programerckom pride pol lahko do takih scenarijov.
99.991% of over-25 population has tried kissing.
If you're one of the 0.009% who hasn't, copy & paste this in your Signature.
Intel i3-12100f gtx 3050 Pismo smo stari v bozjo mater. Recesija generacija


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kakšna gesla so pred 40 leti imeli Unixovi pionirji?

Oddelek: Novice / Varnost
187189 (4897) jype
»

Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )

Oddelek: Novice / Zasebnost
5919523 (13332) MrStein
»

Odstop izvršnega direktorja in druge posledice vdora v Ashley Madison

Oddelek: Novice / Kriptovalute
107746 (5261) roko granata
»

Na internetu arhiv z domnevnimi podatki s strani Ashley Madison

Oddelek: Novice / Varnost
3524043 (16624) SeMiNeSanja
»

Vdor v Kickstarter odnesel osebne podatke

Oddelek: Novice / Varnost
64909 (3549) Tody

Več podobnih tem