Vdor v Adobe razkril veliko površnost
Matej Huš
18. nov 2013 ob 22:32:32
Adobe je oktobra priznal vdor v svoje strežnike, ki naj bi mu odnesel izvorno kodo nekatere programske opreme in 2,9 milijona šifriranih gesel, uporabniških imen in elektronskih naslovov strank. Izkazalo se je, da je Adobe zelo podcenil resnost vdora. Sophos Security ugotavlja, da so nepridipravi uspeli ukrasti 153 milijonov kosov uporabniških podatkov, s čimer se vdor uvršča med največje v zgodovini.
Prve ocene so bile sicer 38 milijonov gesel, a je številka potem zrasla na 153 milijonov. Adobe vztraja pri oceni 38 milijonov in dodaja, da so napadalci dobili podatke z veliko zastarelih, neaktivnih in testnih računov, a to niti ni pomembno. Na internetu se je namreč znašla 10 GB velika datoteka, ki ima 153 milijonov vnosov.
V njej je precej zanimivih podatkov. Poleg šifriranih gesel so pri nekaterih vnosih tudi uporabniška imena, elektronski naslovi in namigi za geslo. Ti niso šifrirani in v večini primerov so si uporabniki nastavili takšen namig, da lahko iz njega kdorkoli ugotovi geslo. To je izredno nevarno; namig mora biti vedno tak, da ima smisel le za uporabnika. Nadaljnja analiza je pokazala, da je Adobe gesla najverjetneje šifriral z metodo DES ali pa novejšo verzijo 3DES. To je problematično, ker gre za simetrično šifriranje, kar pomeni, da kdorkoli ugane, pridobi ali kako drugače ugotovi ključ, dobi dostop do vseh gesel.
Adobe je bil tudi skrajno površen pri izvedbi šifriranja, saj očitno niso uporabljali nonce (number used once). Nonce je dodatni vhodni parameter pri šifriranju poleg gesla, ki poskrbi, da imajo ista gesla različno šifrirano vrednost. Analiza šifriranih gesel odkrije ponavljajoče se vzorce, kar se nikakor ne bi smelo zgoditi, četudi se gesla ponavljajo. Adobe je torej najverjetneje vzel geslo in ga dopolnil z ničelnimi bajti (NUL) do večkratnika števila osem brez nonce.
Na XKCD so takoj objavili parodijo na Adobovo napako, ki lepo kaže, kaj vse je Adobe razkril hekerjem. Ben Falconer je dejansko namig vzel resno in sestavil resnično križanko, ki je sestavljena iz najpogostejših gesel in namigov, ki so jih imeli ljudje zapisane ob teh gesli.