» »

Vdor v Adobe razkril veliko površnost

Vdor v Adobe razkril veliko površnost

Sophos - Adobe je oktobra priznal vdor v svoje strežnike, ki naj bi mu odnesel izvorno kodo nekatere programske opreme in 2,9 milijona šifriranih gesel, uporabniških imen in elektronskih naslovov strank. Izkazalo se je, da je Adobe zelo podcenil resnost vdora. Sophos Security ugotavlja, da so nepridipravi uspeli ukrasti 153 milijonov kosov uporabniških podatkov, s čimer se vdor uvršča med največje v zgodovini.

Prve ocene so bile sicer 38 milijonov gesel, a je številka potem zrasla na 153 milijonov. Adobe vztraja pri oceni 38 milijonov in dodaja, da so napadalci dobili podatke z veliko zastarelih, neaktivnih in testnih računov, a to niti ni pomembno. Na internetu se je namreč znašla 10 GB velika datoteka, ki ima 153 milijonov vnosov.

V njej je precej zanimivih podatkov. Poleg šifriranih gesel so pri nekaterih vnosih tudi uporabniška imena, elektronski naslovi in namigi za geslo. Ti niso šifrirani in v večini primerov so si uporabniki nastavili takšen namig, da lahko iz njega kdorkoli ugotovi geslo. To je izredno nevarno; namig mora biti vedno tak, da ima smisel le za uporabnika. Nadaljnja analiza je pokazala, da je Adobe gesla najverjetneje šifriral z metodo DES ali pa novejšo verzijo 3DES. To je problematično, ker gre za simetrično šifriranje, kar pomeni, da kdorkoli ugane, pridobi ali kako drugače ugotovi ključ, dobi dostop do vseh gesel.

Adobe je bil tudi skrajno površen pri izvedbi šifriranja, saj očitno niso uporabljali nonce (number used once). Nonce je dodatni vhodni parameter pri šifriranju poleg gesla, ki poskrbi, da imajo ista gesla različno šifrirano vrednost. Analiza šifriranih gesel odkrije ponavljajoče se vzorce, kar se nikakor ne bi smelo zgoditi, četudi se gesla ponavljajo. Adobe je torej najverjetneje vzel geslo in ga dopolnil z ničelnimi bajti (NUL) do večkratnika števila osem brez nonce.

Na XKCD so takoj objavili parodijo na Adobovo napako, ki lepo kaže, kaj vse je Adobe razkril hekerjem. Ben Falconer je dejansko namig vzel resno in sestavil resnično križanko, ki je sestavljena iz najpogostejših gesel in namigov, ki so jih imeli ljudje zapisane ob teh gesli.

19 komentarjev

Furbo ::

Trapaste firme tako zelo rade zbirajo maile in podatke uporabnikov, poskrbeti za zaščito le teh, je pa že prevelik napor.
Lp,f

eee ::

Link do datoteke? :)

Brane22 ::

To je pa tako, ko industrija sama odloča o faktorjih, ki so povprečnemu userju nevidni, kot je recimo varnost podatkov.

stb ::

eee je izjavil:

Link do datoteke? :)

users.tar.gz (nepreverjeno)
ldap.tar.gz (nepreverjeno)
Najpopularnejših 100 gesel
Iskanje po podatkih

Zgodovina sprememb…

  • spremenil: stb ()

BaToCarx ::

ldap.tar.gz je dalo dol od tam, na http://archive.is/bJewP so pa hashi še za taveliko, če se komu da gledat če je njihov email noter.

stb ::

BaToCarx je izjavil:

ldap.tar.gz je dalo dol od tam, na http://archive.is/bJewP so pa hashi še za taveliko, če se komu da gledat če je njihov email noter.


Iskanje (npr po "ime.priimek@", da ne izdaš celotnega naslova) je mogoče na http://www.lucb1e.com/credgrep/

kriko1 ::

A sedaj bodo končno dodali opcijo brisanja Adobe ID?
Eni nismo želeli biti več del njihovega ekosistema, pa enostavno ni bilo opcije (in še vedno ni?) za izbrisat njihov račun.

Nummy ::

No tole je bilo pa res trapasto od njih... :8)
Na srečo moj mail je na seznamu ampak ni ne hinta za geslo ne ostalih podatkov. Bog ne daj, da bi šli ven podatki o kartici...

Na ta račun znajo izgubiti marikatero stranko, ki bo šla raje na ilegalo spet, ker jim ne bo zaupala svojih podatkov in kartice...

Senitel ::

Nummy je izjavil:

Na srečo moj mail je na seznamu ampak ni ne hinta za geslo ne ostalih podatkov. Bog ne daj, da bi šli ven podatki o kartici...

In geslo je unikatno med vsemi 153 milijoni? Hec je, da ima lahko nekdo drug isto geslo => isti hash => različna varnostna vprašanja.

RedDrake ::

Sem si ogledal datoteko, in naredil par query-ev po njej, da sem nasel svoje accounte (temporaryinbox in stari ter novi mail), ter accounte od zaposlenih v nasem podjetju (iz povsem pragmaticnih varnostnih razlogov == ali so lahko potencialen vzrok za vdor, ker imamo VPN, ipd ...).
Osebno sem zadovoljen, od vseh ljudi ki delajo pri nas nima nihce enakega hasha kot katerikoli drug vnos v tej datoteki.
Moram pohvalit sodelavce :)

stb ::

RedDrake je izjavil:

Osebno sem zadovoljen, od vseh ljudi ki delajo pri nas nima nihce enakega hasha kot katerikoli drug vnos v tej datoteki.
Moram pohvalit sodelavce :)

Mogoče vsi za geslo uporabljajo kar svoj email :)

ScumbagSteve ::

Zakaj še ni kazni za slabo zaščito sistemov? Če se že zapira tiste ki šetajo po tujih mašinah se naj še zapira tudi lastnike, ki svoje duri puščajo odprte potem pa kot stare babe pizdijo, da treba obiskovalce pozapret. Jaz tudi od zavarovalnice ne dobim drugo kot middle finger, če pustim avto odklenjen sred parkirišča in mi ga ukradejo.
Scumbag Štefko

bluefish ::

kriko1 je izjavil:

A sedaj bodo končno dodali opcijo brisanja Adobe ID?
Eni nismo želeli biti več del njihovega ekosistema, pa enostavno ni bilo opcije (in še vedno ni?) za izbrisat njihov račun.
Opcije ni, ti pa izbrišejo račun, če to zahtevaš od podpore.

PaX_MaN ::

ScumbagSteve je izjavil:

Zakaj še ni kazni za slabo zaščito sistemov? Če se že zapira tiste ki šetajo po tujih mašinah se naj še zapira tudi lastnike, ki svoje duri puščajo odprte potem pa kot stare babe pizdijo, da treba obiskovalce pozapret. Jaz tudi od zavarovalnice ne dobim drugo kot middle finger, če pustim avto odklenjen sred parkirišča in mi ga ukradejo.

No dej TRR da se ti zaseže kazen za tale slab sistem.

Blisk ::

Že nekajletno opozarjanje o sesiupanju flash playerja ni pomagal, kako bi potem še kaj bolj resnega popravili?

ScumbagSteve ::

PaX_MaN je izjavil:

ScumbagSteve je izjavil:

Zakaj še ni kazni za slabo zaščito sistemov? Če se že zapira tiste ki šetajo po tujih mašinah se naj še zapira tudi lastnike, ki svoje duri puščajo odprte potem pa kot stare babe pizdijo, da treba obiskovalce pozapret. Jaz tudi od zavarovalnice ne dobim drugo kot middle finger, če pustim avto odklenjen sred parkirišča in mi ga ukradejo.

No dej TRR da se ti zaseže kazen za tale slab sistem.


Imaš tudi ti na viške odprta okna in vrata?
Scumbag Štefko

Jst ::

Ne da bi kritiziral pisca novice... ampak to je staro 2 tedna!
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

LitralSM ::

PaX_MaN je izjavil:

ScumbagSteve je izjavil:

Zakaj še ni kazni za slabo zaščito sistemov? Če se že zapira tiste ki šetajo po tujih mašinah se naj še zapira tudi lastnike, ki svoje duri puščajo odprte potem pa kot stare babe pizdijo, da treba obiskovalce pozapret. Jaz tudi od zavarovalnice ne dobim drugo kot middle finger, če pustim avto odklenjen sred parkirišča in mi ga ukradejo.

No dej TRR da se ti zaseže kazen za tale slab sistem.

Smešno je to, da se dragocene podatke uporabljajo napravo, ki so povezane v isti splet, kot kopica drugih. Menda bi bilo pametno razmisliti o ločenem spletu.

b4d ::

Jst je izjavil:

Ne da bi kritiziral pisca novice... ampak to je staro 2 tedna!


+1, sem upal vsaj na podrobnosti raznih clankov, ki so bili naknadno objavljeni, pa ni blo ne :(
b4d.sablun.org


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na prodaj gesla uporabnikov VKontakte

Oddelek: Novice / Kriptovalute
53270 (2339) SeMiNeSanja
»

Tumblr šele sedaj odkril vdor iz leta 2013

Oddelek: Novice / Varnost
94187 (2997) Phantomeye
»

Objavljen arhiv Ashley Madison pristen

Oddelek: Novice / Zasebnost
198445 (3643) Pithlit
»

Vdor v Adobe prizadel tri milijone uporabnikov, odtujena tudi izvorna koda izdelkov

Oddelek: Novice / Varnost
218816 (5742) LightBit
»

Twitter napaden, ukradenih 250.000 gesel

Oddelek: Novice / Varnost
104478 (2851) stb

Več podobnih tem