Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Az Adobe dump magyar vonatkozásai

2013.11.11. 08:00 | buherator | Szólj hozzá!

A CrySys Labor az Ukatemivel közösen elemzést készített az Adobe-tól kiszivárgott dumpban - ez jelenleg a legnagyobb nyilvános, éles rendszerből származó jelszó-adatbázis - található, magyar vonatkozású címekről. A statisztikák sajnos nem támasztják alá a marslakó-elméletet: úgy tűnik, mi is ugyanolyan rossz jelszavakat használunk mint bolygótársaink (illetve a maslakók is ugyanolyan rosszul választanak jelszót mint a földlakók, esetleg csak viszonylag kevés magyar marslakó...). Mivel az Adobe megtette azt a szívességet is a támadóknak, hogy jelszó-emlékeztető szövegeket is bekért a felhasználóktól, a kiszivárgott adatok ennek a kényelmi funkciónak a kockázatait is jól demonstrálják, a CrySys-Ukatemi megállapításai is jelentős mértékben támaszkodnak ezekre az információkra:

  • Sok citromail.hu felhasználó jelszava “citrom” – nem túl kreatív és veszélyes
  • Sok jelszó-tanács nagyon egyszerű ” a van ellentéte” “nem narancs” “A tudom ellentéte”
  • Sok tanács kiad plusz információt “Ugyanaz, mint az xy@z.hu címemen” – ez külön segítség, hogy mit támadhatunk meg még a jelszóval.
    “Mint mindenhol” – ez is egyértelműen gond, nemcsak, hogy ugyanazt a jelszót használja a felhasználó, de még segíti is a támadót, hogy továbbmenjen.
  • Sok felhasználó “nevem” “barátnő neve” “második nevem” szöveget írt, mondván, esetleg az email címéből ez nem következik. Ugyanakkor, a többi azonos jelszót
    használó felhasználónak elég egy szempillantást venni az email címeire, és triviális, hogy ha 20 emberből 10-nek csilla szerepel a címében, akkor a jelszó csilla, vagy annak becézése lesz. És innentől egy vadidegenről azt is tudhatjuk, hogy mi a neve, barátnője neve, második neve stb., ami segítség ún. social engineering támadásokhoz is.

Az elemzés emellett kitér a helyes jelszóválasztási gyakorlat fontosságára is, kiemelve a jelmondatok, illetve hosszú, véletlengenerált jelszavak használatának előnyeit - itt ragadnám meg az alkalmat, hogy egy kicsit elmélyedjek a jelszótörés parktikus szempontjaiban, és megpróbáljam kicsit tisztázni a biztonsági szakemberek sokszor kuszának tűnő tanácsait. A mostani tanács pl. így szól:

a cseresznye151pok[1] sokkalta biztonságosabb, mint a kr1sztinaIloveyou[2]. A legjobb, ha valami generátorral készítünk jelszavakat, ezek sem tudnak csodát tenni, de egy DooYee7goe5EeFa[3] nagyon erős.

Tegyük most félre a jelszóemlékeztetőket (ezekkel általában nagyon könnyű a támadó dolga), és nézzük meg, miért rosszabb a 2. jelszó a társainál!

A legfontosabb érv, hogy a felhasználó családi hátterének, szokásainak ismeretében a 2. jelszó kitalálható. Ez természetesen nem jó, ha nem szeretnénk, ha pl. Krisztina megnézné, kinek és mit üzengetünk a fészen.

Érdemes azonban megjegyezni, hogy egy Adobe-hoz hasonló incidenst követően a támadó nem fog nekiállni találgatni (helyes kriptót, és nem létező jelszóemlékeztetőt feltételezve), hanem szótárakat és nyers erőt használ. Ebben az esetben a 2. jelszó vélhetően hasonlóan jól fog teljesíteni, azonban sajnos a kíváncsi hozzátartozók gyakoribbak, mint a jelszavakat érintő incidensek, ezért érdemes az előbbire is felkészülni.

Egy másik vetülete a problémának, hogy a jelmondatok is lehetnek rosszak: az ómilycsodásteazsúr[4] például gyengébb lehet, mint az 1. jelölt, mégpedig azért, mert a felhasznált szavak nem függetlenek egymástól (eltekintve attól, hogy a jelsóz egyben egy idézet is, ezekre pedig szintén lehet szótárakat készíteni):

A jelszótörők körében rég óta bevett módszer, hogy a lehetséges jelszavakat nem természetes sorrendjükben (pl. ABC sorrendben) próbálgatják, hanem valamiféle használati statisztikára alapozva. Egyszerű jelszavak esetén például feltételezhetjük, hogy a magán- illeve mássalhangzók felváltva követik egymást, hogy a jelszó kimondható és ezzel könnyebben megjegyezhető legyen. Ugyanígy a jelmondatoknál feltehetjük, hogy egy melléknevet jó eséllyel egy főnév fog követni (hú, de rég volt nyelvtan óra!). Ezzel persze a támadó által bejárandó kulcstér azonos méretű marad, azonban a nem véletlenszerűen generált jelszavakat hamarabb megtalálhatja. Elméletileg.

Gyakorlatilag azonban jelmondatok esetén számolni kell egy jó adag bizonytalansági tényezővel a nyelvtől elkezdve a ragokon és kötőszavakon át egyészen a mondat stílusáig (nagyon nem mindegy, hogy Ady-t idézünk, vagy a lulz-nyelvtant követjük). Emiatt az erősség-megjegyezhetőség egyensúlyára való tekintettel egy ilyen jelmondat jó kompromisszum lehet.

Mindemellett persze nem szabad megfeledkeznünk a jelszavak újrafelhasználásából adódó kockátokról, melyeket leginkább egy jól megválasztott (offline) jelszó menedzser alkalmazással minimalizálhatunk. Ezekekkel egy füst alatt a komplex jelszavak problémáját is elintézhetjük.

PS: Észrevettétek, hogy pl. a PayPal Copy-Paste-t letiltó biztonsági rendszere kifejezetten megnehezíti a jelszómenedzserek használatát?

Címkék: jelszó adobe breach crysys ukatemi

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.