Forbes és Kickstarter incidens - jelszócsere kell

2014. február 17. 14:37 - Csizmazia Darab István [Rambo]

Folytatódik a korábbi Adobe, Target, Snapchat, és hasonló cégek által évek óta zajló sorozat, megint újabb áldozatokat hekkeltek meg. Ezúttal a Forbes és Kickstarter szenvedett el hasonló betörést, és fértek hozzá illetéktelenek az adatbázisokhoz, jelszavakhoz, címekhez. És mit tanultak ezekből a felhasználók az évek során: sajnos nagyon úgy tűnik, semmit sem.


A Kickstarter esetében a támadók nemcsak belépési adatokhoz - név és jelszó - fértek hozzá, de a felhasználók további elérhetőségei, postacím, telefonszám is kiszivárogtak egyúttal. Itt szerencse a szerencsétlenségben, hogy szakszerűen titkosítva voltak a jelszavak - SHA1 és a beszámolók szerint volt benne SALT is, és bár elvben visszafejthetők megfelelő számítástechnikai kapacitás birtokában, azért aggódniuk leginkább azoknak kell, akik vagy nagyon gyenge, rövid - értsd bruteforce vagy szótáralapú támadással percek alatt törhető - jelszót választottak, vagy pedig elkövették azt az alaphibát, hogy több helyen is azonos jelszót használnak.

A Kickstarter ki is küldött minderről egy biztonsági figyelmeztetést, amelyben elismerik a feltörés tényét, ebben azt állították, ezzel semmilyen hitelkártya adat nem került veszélybe. A bejelentést nem siették el túlzottan, hiszen csak szombaton közölték azt, pedig még szerdán történt maga az incidens. És természetesen ahogy ilyenkor szokás, azonnali jelszócserére buzdítják a felhasználókat. A cserénél érdemes valamilyen erős jelszót választani, erről már annyit beszéltünk, hogy nem ezúttal nem is térünk már ki rá részletesebben.

Azt zárójelben azért érdemes megjegyezni, ha a név, korábbi jelszó hash, levelezési cím és telefonszám kikerül, könnyen elképzelhető egy további olyan testre szabott és kifinomult célzott social engineering támadás is, amellyel éppen a mostani károsultakat igyekeznek majd megtéveszteni. Remélhetőleg nem leszünk tanúi olyannak, mint az Adobe-nál, ahol először 3 millió ellopott jelszót vallottak be, aztán jött 38 millió, végül beismerték, hogy forráskódok is a támadók kezére jutottak.

Ugrunk is a másik esetre, ami a Forbes-nál történt, ahol szintén vétlen felhasználók adatai kerültek ismeretlenek kezébe. Apró érdekesség, hogy Eddy Willems szerint a Syrian Electronic Army (SEA) mindössze egyetlen emberből áll, ám ezek szerint vagy nagyon hiperaktív az illető, vagy esetleg mégis többen lehetnek. Mindenesetre itt is késedelmeskedés volt az incidens bejelentésnél, emiatt aztán nyilvánosságra is hozták az ellopott jelszavakat, 1 millió meg is jelent egy kiszivárogtatott listán. A Kickstarterhez képest itt PHPass Portable segítségével készültek a jelszó hashek, és bár az eredetileg publikált weboldalról már nem érhető el, de torrentrről viszont letölthető a 66 megás állomány, ennek birtokában el is kezdődtek már a visszafejtések.

Nyilván itt is jön a szokásos remedy: azonnali jelszócsere, főleg ha korábban rövid és/vagy gyenge volt, illetve ha több helyen is ez szolgált a belépésre, de különben is. Ám mindezeken túl azt is érdemes felmérni egy pillantással, vajon tanultak-e valamit a júzerek az utóbbi években, változott-e érdemben a jelszóválasztás biztonsága. Ha csak a 2013-as adatokat nézzük, sajnos nem igazán kerültünk a siralmas besorolásnál feljebb, ami változás mégis történt, azt is leginkább csak a "password" és az "123456" helycseréje okozta az előző esztendő adataihoz képest. De ha a korábbi Adobe incidens kikerült elmés jelszavait vizsgáljuk: "adobeadobe" vagy "adobe1", sajnos itt is előjönnek a hasonló jelszóválasztási primitívségek, mint például az analóg "forbesforbes" illetve "forbes1".

Mivel mással is zárhatnánk, mint hogy a jelszó érték, vigyázzunk rá. Cseréljünk időnként magunktól is, ha pedig a szolgáltató belegyalogol ilyen betöréses pofonba, akkor pedig mindenképpen és azonnal végezzük el az igényesen.

6 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

álfirkász · http://narancsosliba.blog.hu/ 2014.02.18. 01:20:44

m.blog.hu/an/antivirus/image/201402/kic6.jpg
Ezt nem tudom értelmezni.
Például a gmail oszlopában lévő 1qaz2wsx az honnan került elő, mint a leggyakoribbak egyike?
Ez jelent valamit geekül? :)
Egyáltalán a címsorban felsorolt szolgáltatóknak mi közük a forbes-hez? Ilyen mail címmel regisztráltak, az alattuk lévő jelszavakat használták leggyakrabban?
Vagyhogyvanez?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.18. 06:36:35

Az oszlopokban a könnyen kitalálható, visszafejthető jelszavak láthatóak. Az "1qazwsx" is egy jelszó, amolyen "qwerty" féle, ha megnézed, fentről lefelé húzza valaki az ujját kétszer, akkor lesz ez :-) Az, hogy a "forbes" több helyen szerepel, az pedig arra bizonyíték, még mindig sokan vannak olyanok, akik egyetlen jelszót választanak, és azt használják több helyen is, vagy ami még rosszabb, mindenütt.

Ugye itt a lényeg az lenne, ne válasszunk közös jelszót, és ne válasszunk túl rövid, gyenge jelszót sem. Például kikerülnek az ilyen támadások után a jelszó hashek, és elkezdjük próbálgatni most éppen a Forbes listánál - MD5-öt épeszű helyen már régen nem használnak - az alap buta jelszavak hashét legenerálni: abc, abc123, password, stb. a PHPass Portable-tal, majd megnézzük, hogy a keletkezett stringek szerepelnek-e a nagy listában. Ha egyezik, meg is van a jelszó, és aki nem cserélte a jelszavát, oda máris be tudnak lépni a támadók.

A jelszóválasztásnál még az is alaphiba szokott lenni, hogy egy cég dolgozói a saját cégük nevét is beleveszik a jelszóba, esetleg éppen csak megsorszámozzák, de ez messze van az erős jelszótól.

Nemzeti Dohányos 2014.02.18. 07:10:02

Ilyen helyekre minek erős jelszó? Gmail, facebook, bank esetén alap az erős jelszó, de egy forbes esetén, mit is csinálok vele? Kommentelek? Miattam aztán feltörhetik, inkább használok az ilyen helyekre egy egységes, ratyi jelszót, és a fontosakat megjegyzem, mint hogy mindet vezetnem kelljen valahol, gépen vagy papíron.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.18. 07:30:49

Van igazság abban, amit mondasz, de én ezt másképp látom: valaki a nevedben bekommentel oda egy pedofil linket, egy rasszista megjegyzést, egy felhívást bombamerényletre, vagy valami hasonlót, akkor a munkahelyed szépen elköszön tőled, és sok erőfeszítés, ha nem éppen lehetetlen azt bizonygatni, nem te voltál. De ha sikerül is, eladhatod a házad az ügyvédi költségek miatt, és lesz egy hendikeppes "kabátlopási" ügy a múltadban.

Nemzeti Dohányos 2014.02.18. 07:44:35

@Csizmazia István [Rambo]: No ebben is van igazság :) Azért ehhez az kellene, hogy valaki hozzáértő célzottan engem támadjon, csak ezért lelopjon egy adatbázist, és a kommentet egy hihető ip-címről írja. Vagy valamit nem jól látok?

Amúgy a három havi jelszócserével is ez a bajom. Van a fejemben néhány elég jó, sok karakteres random alfanumerikus jelszó. Szerintem kisebb kockázat ezt nem változtatni és sehova sem felírni, mint három havonta lecserélni, mert azt fel kellene jegyezni - legalább átmenetileg. Ezt sokkal nagyobb veszélynek látom, mégis sok rendszergazda rá van gyógyulva a gyakori jelszócserére.

álfirkász · http://narancsosliba.blog.hu/ 2014.02.18. 10:55:04

@Csizmazia István [Rambo]: a billentyűzet kissé meglepett, de igazad van. :)
Viszont az oszlopok kapcsán a fejléc az, amit nem értek.
süti beállítások módosítása