Suosittu yhteistyötyökalu Slack (jota ei pidä sekoittaa maailman pisimpään pyörineen Linux-distro Slackwaren lempinimeen) on juuri omistanut kyberturvallisuuden SNAFU:n.
Otsikon uutiskirjeen mukaan Huomautus Slackin salasanan nollauksista, yritys myönsi, että se oli vahingossa jakanut liikaa henkilötietoja "kun käyttäjät loivat tai peruuttivat jaetun kutsulinkin työtilalleen."
Slack sanoi, että 2022-04-17 - 2022-07-17 (oletamme molemmat päivämäärät mukaan lukien) tällaisten kutsujen vastaanottajille lähetetyt tiedot sisälsivät…
…odota sitä…
... The lähettäjän hajautettu salasana.
Mikä meni pieleen?
Slackin tietoturvatiedote ei selitä rikkomusta kovin selkeästi, vaan sanoo vain sen "[t]hänen hajautettua salasanaa ei näkynyt Slack-asiakkaille; sen löytäminen vaati Slackin palvelimilta tulevan salatun verkkoliikenteen aktiivista seurantaa.
Oletamme, että tämä käännetään seuraavasti:
"Useimmat vastaanottajat eivät olisi huomanneet, että heidän saamansa tiedot sisälsivät tiivistettyjä salasanatietoja, koska vaikka ne sisältyivätkin lähetettyihin verkkopaketteihin, niitä ei koskaan näytetty heille tarkoituksella. Ja koska tiedot lähetettiin TLS-yhteyden kautta, salakuuntelijat eivät olisi voineet haistaa niitä matkan varrella, koska niiden salaus ei purettu ennen kuin se saavutti yhteyden toisen pään.
Se on hyvä uutinen.
Mutta verkkopaketit sisältävät usein dataa, jota vastaanottajat eivät koskaan normaalisti käytä tai näe.
HTTP-otsikot ovat hyvä esimerkki tästä, koska ne on tarkoitettu ohjeiksi selaimellesi, ei dataksi, joka näytetään tarkastelemallasi verkkosivulla.
Ja käyttäjille merkityksettömät tai näkymätön tiedot päätyvät usein joka tapauksessa lokeihin, erityisesti palomuurin lokeihin, joissa niitä voidaan säilyttää loputtomiin.
Siinäpä huonot uutiset.
Suolaa, hasista ja venytystä…
Slackin mukaan vuotaneet tiedot eivät olleet pelkästään hajautettu, Vaan suolattu myös, mikä tarkoittaa, että jokaisen käyttäjän salasana sekoitettiin ensin yhteen satunnaisten tietojen kanssa, jotka ovat yksilöllisiä kyseiselle käyttäjälle ennen hash-toiminnon käyttämistä.
Hashit ovat pohjimmiltaan "ei-palautuvia" matemaattisia funktioita, jotka on helppo laskea yhteen suuntaan, mutta ei toiseen.
Esimerkiksi on helppo laskea seuraava:
SHA256("DUCK") = 7FB376..DEAD4B3AF008
Mutta ainoa tapa työskennellä "taaksepäin". 7FB376..DEAD4B3AF008 että DUCK on tehdä töitä eteenpäin sanakirjan kaikista mahdollisista sanoista ja katso, tuleeko jollain niistä arvoa, jota yrität löytää:
SHA256("AARDVARK") = 5A9394..467731D0526A [X] SHA256("AARON") = C4DDDE..12E4CFE7B4FD [X] SHA256("ABACUS") = BEDDD8..1FE4DEX]AD.25 . . 7 3400 ohitettu SHA256("BABBLE") = 70E837..CEAD4B1FA777 [X] SHA256("BADGER") = 946D0D..7B3073C1C094 [X] SHA256("BABBLE") = 359DBE FC.193X] . . O . . 111 ohitettu SHA3200("DAB") = BBCC256E..E78B4CAB85 [X] SHA02967565("DAFFODIL") = 256D..D118AB9A22 [X] SHA3269("VAARA") = 7 32BD256..5BC530. . . 5 ohitettu SHA26("ANKA") = 7FB376..DEAD4B3AF008 [LÖYTETTY!]
Ja lisäämällä käyttäjäkohtaisen suolan, jonka ei tarvitse olla salainen, joka on vain yksilöllinen jokaiselle käyttäjälle, varmistat, että vaikka kaksi käyttäjää valitsisivat saman salasanan, he eivät päädy samaan salasanan hajautukseen.
Voit nähdä suolauksen vaikutuksen tästä, kun tiivistetään sana DUCK kolmella eri etuliitteellä:
SHA256("RANDOM1-DUCK") = E355DB..349E669BB9A2 SHA256("RANDOM2-DUCK") = 13D538..FEA0DC6DBB5C <-- Vain yhden syöttötavun muuttaminen tuottaa hurjasti erilaisen tiivisteen SHACH256 = 3 DUCK"52BB92A544208" .19449AXNUMX
Tämä tarkoittaa myös sitä, että hyökkääjät eivät voi luoda ennalta laskettua luetteloa todennäköisistä tiivisteistä tai luoda osittaisista hajautuslaskelmista taulukkoa, joka tunnetaan nimellä sateenkaari pöytä, joka voi nopeuttaa hash-tarkistusta. (He tarvitsisivat upouuden hashlistin tai ainutlaatuisen sateenkaaripöytien sarjan jokaista mahdollista suolaa varten.)
Toisin sanoen tiivistettyjä salasanoja ei voida murtautua triviaalisti alkuperäisen syötteen palauttamiseksi, varsinkin jos alkuperäinen salasana oli monimutkainen ja satunnaisesti valittu.
Mitä Slack ei sanonut, oliko he venytetty myös salasanan hajautus, ja jos on, miten.
Venyttely on jargon termi, joka tarkoittaa salasanan hajautusprosessin toistamista yhä uudelleen ja uudelleen, esimerkiksi 100,000 XNUMX kertaa, jotta pidennetään aikaa, joka tarvitaan sanaston sanojen testaamiseen tunnettuja salasanatiivisteitä vastaan.
Jos 100,000 6 sanakirjasanan saattaminen tavallisen suola- ja tiivistysprosessin läpi kestäisi yhden sekunnin, salasanasi hajautusprosessissa tietävät hyökkääjät voisivat kokeilla kuutta miljoonaa eri sanakirjasanaa ja johdannaista joka minuutti tai tehdä yli miljardi arvausta kolmen tunnin välein. .
Toisaalta, jos suolan ja tiivisteen laskentaa venytettäisiin ottamaan yksi sekunti, ylimääräinen yhden sekunnin viive, kun yritit kirjautua sisään, aiheuttaisi sinulle vain vähän tai ei ollenkaan harmia…
…mutta se vähentäisi hyökkääjän yritystä vain 3600 XNUMX:aan tunnissa, mikä tekisi paljon vähemmän todennäköisemmäksi, että heillä olisi tarpeeksi aikaa arvata kaikkea muuta kuin ilmeisimpiä salasanoja.
Tunnetaan useita hyvin arvostettuja suola-hash-and-stretch-algoritmeja, erityisesti PBKDF2, bcrypt, scrypt ja Argon2, joita kaikkia voidaan säätää lisäämään aikaa, joka tarvitaan yksittäisten salasanan arvausten kokeilemiseen vähentää elinkelpoisuutta niin sanotuista sanakirja- ja raa'an voiman hyökkäyksistä.
A sanakirjahyökkäys tarkoittaa, että yrität vain todennäköisiä salasanoja, kuten jokaista sanaa, josta tulet mieleen aardvark että zymurgyja sitten luovuttaa. A raa'an voiman hyökkäys tarkoittaa kaikkien mahdollisten syötteiden kokeilemista, jopa outoja ja ääntämättömiä AAA..AAAA että ZZZ..ZZZZ (tai alkaen 0000..000000 että FFFF..FFFFFF jos ajattelet heksadesimaalilukua tavu kerrallaan).
Mitä tehdä?
Slack sanoo noin 1/200 sen käyttäjistä (0.5 %, oletettavasti perustuen tietueisiin siitä, kuinka monta jaettua kutsulinkkiä vaaran aikana luotiin), ja että se pakottaa nämä käyttäjät nollaamaan salasanansa.
Muutamia lisäohjeita:
- Jos olet Slackin käyttäjä, voit yhtä hyvin nollata salasanasi, vaikka yritys ei olisi ilmoittanut sinulle niin. Kun yritys myöntää, että se on toiminut huolimattomasti salasanatietokantansa kanssa vuotamalla tiivisteitä, voit yhtä hyvin olettaa, että se vaikutti sinun tietokantaasi, vaikka yritys luulisikin, ettei näin ollut. Heti kun vaihdat salasanasi, teet vanhasta hashista hyödyttömän hyökkääjille.
- Jos et käytä salasananhallintaohjelmaa, harkitse sellaisen hankkimista. Salasanojen hallinta auttaa valita oikeat salasanat, mikä varmistaa, että salasanasi päätyy hyvin, hyvin pitkälle niiden salasanojen luettelossa, jotka saattavat murtua tällaisessa tapahtumassa. Hyökkääjät eivät yleensä pysty tekemään todellista brute force -hyökkäystä, koska mahdollisia salasanoja on liian monta kokeiltavaksi. Joten he kokeilevat ensin todennäköisimpiä salasanoja, kuten sanoja tai ilmeisiä sana- ja numeroyhdistelmiä, jotka pitenevät ja monimutkaistuvat hyökkäyksen edetessä. Salasanojen hallintaohjelma muistaa satunnaisen, 20-merkkisen salasanan yhtä helposti kuin muistat kissasi nimen.
- Ota 2FA käyttöön, jos voit. 2FA tai kaksitasoinen todentaminen, tarkoittaa, että et tarvitse vain salasanasi kirjautumiseen, vaan myös kertaluonteisen koodin, joka muuttuu joka kerta. Nämä koodit lähetetään yleensä matkapuhelimeesi (tai ne luodaan) ja ne ovat voimassa vain muutaman minuutin. Tämä tarkoittaa, että vaikka verkkohuijarit murtaisivat salasanasi, se ei yksinään riitä, että he ottavat tilisi haltuunsa.
- Valitse hyvämaineinen suola-hash-and-stretch-algoritmi, kun käsittelet salasanoja itse.. Jos salasanatietokantasi rikotaan, voit antaa asiakkaillesi tarkat tiedot käyttämistäsi algoritmeista ja suojausasetuksista. Tämä auttaa hyvin perillä olevia käyttäjiä arvioimaan itse, kuinka todennäköistä on, että heidän varastetut tiivisteensä on saatettu murtautua hyökkääjien tähän mennessä käytettävissä olevan ajan kuluessa.
- blockchain
- raaka voima
- coingenius
- crack
- cryptocurrency-lompakot
- cryptoexchange
- kryptografia
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- tietojen menetys
- sisäisen turvallisuuden osasto
- sanakirjahyökkäys
- digitaaliset lompakot
- palomuuri
- hajautusta
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- Salasana
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- suolaa
- löysä
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
