Te hasła miał chronić bezpieczny skrót. Głupi błąd wydał 11 mln z nich crackerom

Wyciek danych z Ashley Madison, randkowego serwisu dla szukających„skoków w bok”, miał wielowymiarowe konsekwencje. Na pewnoobnażył nieuczciwie praktyki jego właścicieli, pobierającychopłaty za niewykonywane usługi i wypełniających go fałszywymikobiecymi kontami. Na pewno obnażył cyberwojny międzywłaścicielami takich serwisów i łatwość zniesławiania osóbpublicznych poprzez powiązywanie ich z takimi wyciekami. Teraz zaśpokazał, że wiara w dodatkowe bezpieczeństwo zapewniane przezprzechowywanie zamiast haseł ich skrótów może być jednak wiarąślepą.

Gdy do Sieci trafiły dane z ponad 36 mln kont serwisu AshleyMadison, wydawało się, że mogło być znacznie gorzej.Przynajmniej zastosowane hasła były zabezpieczone za pomocąbcryptu, funkcjiwyprowadzania kluczy dla haseł, która wykazuje fantastycznąodporność na siłowe ataki, nawet przy rosnącej mocy obliczeniowejkomputerów, dzięki przetwarzaniu jawnego tekstu przez wieleiteracji szyfru Blowfish, z wykorzystaniem wymagającego zestawieniakluczy. W zastosowanej implementacji bcryptu każde hasło byłoprzetwarzane tak w 4096 iteracji (212), i potraktowanekryptograficzną solą. Po pierwszych próbach siłowego atakuoszacowano, że przy wykorzystaniu nawet bardzo wydajnego sprzętu,odtworzenie haseł do jawnej postaci zajęłoby ponad 115 tysięcylat.

Algorytm jak widać świetny, ale co z tego, skoro sam mechanizmuwierzytelniania w serwisie okazał się bzdurny? Grupa crakerówCynoSure Prime przejrzała dostępne w Sieci wyciekłe dane z kodemserwisu, odkrywając, że w tej samej bazie danych, która zawierałaskróty bcrypt, znalazło się ponad 15 mln skrótów do hasełwygenerowanych za pomocą funkcji MD5. Wykorzystywane były onekompletnie bez żadnego przemyślenia w zmiennej $loginkey,wykorzystywanej do generowania tokenów nieznanego zastosowania.Odkrywcy podejrzewają, że służyły one jako alternatywna metodalogowania do serwisu, pozwalająca uniknąć każdorazowegowpisywania hasła.

Do generacji tokenów użyto dwóch niebezpiecznych metod.Pierwsza polegała na konwertowaniu nazwy użytkownika i hasła domałych liter, łączenia ich w ciąg, w którym każde polerozdzielano dwoma dwukropkami, a następnie generowania skrótu przezMD5. Druga składała zapisane małymi literami nazwę użytkownika,adres e-mail, jawne hasło i jakiś „tajny ciąg”, a potem nacałości używała MD5.

Efekt jest łatwy do przewidzenia. Zamiast mordować się zbcryptem, crackerzy wykorzystali dostępne nazwy użytkowników,dodali do nich dwie kropki i wzięli się za zgadywanie haseł,znajdujących się przecież w zmniejszonej w stosunku do oryginałuprzestrzeni (przez brak dużych liter). W momencie wygenerowania nawyjściu takiego samego MD5 jak ten w tokenie, wiadomo było, żetrafiono na hasło, przynajmniej w jego uproszczonej formie. Jeślinawet hasło nie pasowało do hashu bcrypt, wystarczyło prostymskryptem przetestować występowanie dużych liter – dlaośmioznakowego hasła wymagało to zaledwie 28 iteracji. Rzadkojednak było to potrzebne – aż 90% ludzi w swoich hasłachnajwyraźniej nie używało kombinacji dużych i małych liter. \

Ile czasu potrzeba, by złamać 15,2 mln skrótów MD5? Niewiele.MD5 nie ma szans ze zbudowanymi na szybkich GPU klastramicrackerskimi, testującymi miliardy kombinacji na sekundę. W ciąguraptem 10 dni udało się odtworzyć 11 mln haseł. W przyszłymtygodniu CynoSure Prime obiecuje skończyć z pozostałymi. Jedyne,co tutaj pociesza, to fakt, że crackerzy obiecali, że nieudostępnią publicznie tego zbioru haseł. Jak script-kiddie tychhaseł chcą, niech sobie same zainwestują w sprzęt i napisząodpowiedni kod. Jak to zrobić przedstawionojednak krok po kroku.

Pozostaje mieć nadzieję, że ciężka praca crackerów uzmysłowiprojektantom serwisów internetowych, że bezpieczeństwo nie jestczymś, co można zepchnąć na nieprzemyślanie zastosowane funkcjekryptograficzne. To nie słabość bcryptu przecież umożliwiłaatak, ale pewnie wymyślony przez jakiegoś „geniusza” nowysystem logowania z użyciem niebezpiecznych tokenów. Najwyraźniejpojawił się on później, skorzystała z niego mniej niż połowaużytkowników Ashley Madison, ale do czasu wycieku nikomu nieprzyszło do głowy, co się właściwie z hasłami dzieje. Zapewneadministratorzy mieli lepsze zajęcia, takie jak zakładaniefałszywych kobiecych profili, by skusić więcej mężczyzn.