تشريح كارثة كلمة المرور – عملاق بحجم خطأ أدوبي التشفير

شهر واحد منذ اليوم، كتبنا عن أدوبي خرق البيانات العملاقة .

بقدر ما كان أي شخص يعرف، بما في ذلك أدوبي، فإنه يتأثر حوالي 3،000،000 سجلات العملاء، الأمر الذي جعل الأمر يبدو حق سيئة جدا منذ البداية.

ولكن كان أسوأ في المستقبل، كما آخر التحديثات لهذه القصة صدم عدد من العملاء المتضررين إلى 38،000،000 ضخم .

أخذنا Adobe لمهمة لعدم وجود وضوح في الإعلام الاخلال به.

لدينا شكوى

كان واحدا من شكوانا أن أدوبي قالت انها فقدت كلمات السر المشفرة، عندما كنا نظن يجب على الشركة وقال انها فقدت كلمات المرور المجزأة والمملحة.

كما شرحنا في ذلك الوقت:

ربما كانت [T] انه كلمات المرور غير مشفرة، مما يعني أن أدوبي يمكن فك تشفير لهم، وبالتالي معرفة ما السر كنت قد تم اختياره.

المعايير اليوم لتخزين كلمة المرور استخدام دالة رياضية في اتجاه واحد يسمى التجزئة التي [...] يعتمد فريد على كلمة السر. [...] وهذا يعني أن كنت أبدا فعلا تخزين كلمة المرور في كل شيء، مشفرة أم لا.

[... و] أنت أيضا عادة إضافة بعض الملح: سلسلة العشوائية التي تقوم بتخزين مع معرف المستخدم وكلمة المرور في المزيج عند حساب التجزئة. حتى لو اثنين من المستخدمين اختيار نفس كلمة المرور، سوف أملاحها تكون مختلفة، ولذلك سوف ينتهي مع تجزئات مختلفة، مما يجعل الامور اكثر صعوبة بكثير بالنسبة للمهاجمين.

يبدو أننا حصلت على كل شيء خاطئ، في أكثر من طريقة واحدة.

وهنا كيف، ولماذا.

البيانات خرق

ونشرت تفريغ ضخمة من قاعدة بيانات العملاء المخالف مؤخرا على شبكة الإنترنت، في وزنها 4GB مضغوط، أو مجرد الظل تحت مضغوط 10GB، قائمة ليس فقط 38،000،000 خرق السجلات، ولكن 150،000،000 منهم.

كما تذهب الانتهاكات، قد ترى بشكل جيد للغاية هذا واحد في كتاب غينيس للأرقام القياسية في العام المقبل، والذي من شأنه أن يجعل من المدهش بما فيه الكفاية من تلقاء نفسها.

ولكن هناك أكثر من ذلك.

استخدمنا عينة من 1،000،000 العناصر من تفريغ نشرت لمساعدتك على فهم مدى أكثر من ذلك بكثير.

→ لم يتم اختيار العينة عشوائيا لدينا بدقة. وقد اتخذنا كل سجل العاشرة من 300MB الأول من تفريغ comressed حتى وصلنا 1،000،000 السجلات. نحن نعتقد أن هذا تقديم عينة تمثيلية دون الحاجة لنا لجلب جميع السجلات 150 مليون.

تفريغ يبدو مثل هذا:

عن طريق التفتيش، الحقول هي كما يلي:

أقل من واحد في 10،000 من الإدخالات لديك اسم مستخدم – تلك التي لا تكاد تقتصر على الحسابات في adobe.com وstream.com (شركة تحليلات الويب).

كانت هوية المستخدم، وعناوين البريد الإلكتروني وأسماء المستخدمين لا لزوم لها لغرض لدينا، لذلك نحن تجاهلها، وتبسيط البيانات كما هو موضح أدناه.

كنا نحافظ على تلميحات كلمة السر، لأنهم كانوا مفيد جدا في الواقع، وتحويل البيانات كلمة السر من ترميز Base64 إلى ست عشري على التوالي، وجعل طول كل دخول أكثر وضوحا، مثل هذا:

التشفير مقابل التجزئة

والسؤال الأول هو: "كان أدوبي قول الحقيقة، بعد كل شيء، واصفا كلمات السر المشفرة وليس تجزئته؟"

تذكر أن تجزئات إنتاج كمية ثابتة من الناتج، بغض النظر عن متى الإدخال، لذلك جدول أطوال بيانات كلمة السر تشير بقوة إلى أنها ليست تجزئته:

البيانات كلمة المرور تبدو بالتأكيد المزيف، كما لو أنه قد تم سارعت في بعض الطريق، ومنذ أدوبي قال رسميا أنه كان مشفرة، وليس تجزئته، ونحن الآن تأخذ هذا الادعاء في ظاهرها.

خوارزمية التشفير

والسؤال التالي هو: "ما خوارزمية التشفير؟"

يمكننا أن نستبعد والشفرات تيار مثل RC4 أو الصلصا-20، حيث سلاسل المشفرة هي نفس طول عادي.

وتستخدم عادة في تيار الاصفار بروتوكولات الشبكة بحيث يمكنك تشفير بايت واحد في وقت واحد، دون الحاجة للحفاظ على الحشو طول المدخلات الخاصة بك إلى مضاعفات عدد محدد من وحدات البايت.

مع جميع أطوال بيانات متعددة من ثمانية، ونحن بالتأكيد يبحث في كتلة والشفرات التي تعمل ثمانية بايت (64 بت) في وقت واحد.

وهذا، بدوره، تشير إلى أننا نبحث في DES، أو مشتقاته الحديثة أكثر مرونة، الثلاثي DES، وعادة ما يختصر إلى 3DES.

→ أخرى الاصفار بلوك 64 بت، مثل IDEA كانت، مرة واحدة مشتركة، وسخافة ونحن على وشك أن تكشف بالتأكيد لا يستبعد والشفرات محلية الصنع من استنباط أدوبي الخاصة. لكن DES أو 3DES هي الأكثر احتمالا المشتبه بهم.

استخدام تشفير متماثل هنا، على افتراض أننا على حق، هو خطأ astonshing، لأسباب ليس أقلها أنها على حد سواء لا لزوم لها وخطيرة.

أي شخص يحسب، والتخمينات أو يكتسب مفتاح فك التشفير يحصل على الفور الحصول على جميع كلمات السر في قاعدة البيانات.

من ناحية أخرى، فإن تجزئة التشفير حماية كل كلمة على حدة، مع عدم وجود "مقاس واحد يناسب الجميع" المفتاح الرئيسي الذي يمكن تفكيكها كل كلمة في دفعة واحدة – وهذا هو السبب أنظمة UNIX تم تخزين كلمات السر بهذه الطريقة لنحو 40 عاما بالفعل.

وضع التشفير

الآن نحن بحاجة إلى أن نسأل أنفسنا: "ما كان يستخدم وضع الشفرات؟"

هناك نوعان من وسائط نحن مهتمون في: أساسي في 'كتلة الخام وضع الشفرات' المعروف باسم قانون الكتاب الالكتروني (ECB)، حيث يتم الكشف عن أنماط في نص عادي في النص المشفر، وجميع الآخرين، والتي تخفي أنماط الإدخال حتى عندما يكون يتم تشفير البيانات المدخلة من قبل نفس نفس المفتاح.

السبب في أن البنك المركزي الأوروبي لم تستخدم قط بخلاف ما هو الأساس لطرق التشفير أكثر تعقيدا هو أن نفس كتلة مدخلات تشفير باستخدام المفتاح نفسه دائما يعطي نفس الإخراج.

حتى التكرار التي لا تتماشى مع حجم الكتلة الاحتفاظ أنماط التعرف بشكل مدهش، كما تظهر الصور التالية.

أخذنا صورة RGB للشعار سوفوس، حيث يأخذ كل بكسل (ومعظمها نوعا من الأبيض أو نوعا من اللون الأزرق) ثلاثة بايت، مقسمة إلى كتل 8 بايت، ومشفرة كل واحد باستخدام DES في وضع البنك المركزي الأوروبي.

معالجة ملف الإخراج الناتج كما صورة أخرى RGB لا يسلم تقريبا تمويه:

وسائط الشفرات التي تمويه أنماط عادي تتطلب أكثر من مجرد مفتاح لحملهم التي – انهم في حاجة الى ناقلات initialisation فريدة من نوعها، أو حالية (رقم استخدم مرة واحدة)، لكل عنصر مشفرة.

يتم الجمع بين الرقم الاعتباطي مع المفتاح والغير مشفرة في بعض الطريق، بحيث أن نفس المدخلات يؤدي إلى مخرجات مختلفة في كل مرة.

إذا كان أقصر طول البيانات كلمة السر أعلاه كان، كما يقول، 16 بايت، سوف تخمين جيد أن يكون كل بند من بنود البيانات الواردة كلمة السر لمناسبة حالية 8 بايت ثم كتلة واحدة على الأقل وورث – ثمانية بايت آخر – من البيانات المشفرة.

منذ أقصر النقطة بيانات كلمة السر هو بالضبط واحد طول كتلة، لا يدع مجالا لمناسبة حالية، وهذا هو واضح ليس كيف يعمل.

ربما تستخدم التشفير هوية المستخدم الخاصة لكل إدخال، التي يمكننا أن نفترض هي فريدة من نوعها، باعتبارها مناسبة حالية مكافحة نوع؟

ولكن يمكننا ان نقول بسرعة أن أدوبي لم يفعل ذلك من خلال البحث عن أنماط نص عادي التي تتكرر في النقط مشفرة.

لأن هناك 2 64 – ما يقرب من 20 مليون مليون – ممكن القيم 64 بت لكل كتلة cipertext، ينبغي لنا أن نتوقع أي كتل تتكرر في أي مكان في السجلات 1،000،000 من مجموعة عينة لدينا.

هذا ليس ما نجد، كما تكشف عن التهم التكرار التالية:

تذكر أنه إذا كان وضع البنك المركزي الأوروبي لم تستخدم، كان يتوقع كل كتلة لتظهر مرة واحدة فقط كل 2 64 مرات، لانتشار ضئيلة من حوالي 5 × 10 -18٪.

استعادة كلمة السر

الآن دعونا نعمل خارج، "ما هي كلمة المرور التي بتشفير كما 110edf2294fb8bf4 ويكرر الشائعة الأخرى؟"

إذا كان الماضي، كل الأمور الأخرى متساوية، هو أفضل مؤشر على الحاضر، ونحن قد تبدأ كذلك مع بعض الإحصاءات عن خرق السابقة.

عندما الأخرق وسائل الإعلام حصلت اخترق منذ ثلاث سنوات، على سبيل المثال، أعلى كلمات المرور التي تم استخراجها جاء من التجزئات المسروقة من هذا القبيل:

(وlifehack كلمة هو حالة خاصة هنا – يفهكر كونها واحدة من العلامات التجارية الأخرق – ولكن الآخرين ويسهل كتابتها واختيار عادة، إذا سيئة للغاية، وكلمات السر.)

هذه البيانات السابقة مجتمعة مع تلميحات كلمة تسربت من قبل أدوبي يجعل بناء ورقة السرير سهلة جدا:

لاحظ أن كلمات المرور 8 أحرف 12345678 وكلمة المرور يتم تشفير فعلا في 16 بايت، تدل على أن نص عادي كان لا يقل عن 9 بايت.

وينبغي أن تأتي ليس من المستغرب أن يكتشف أن هذا هو لأن إدخال نص يتألف من: كلمة السر، تليها صفر بايت (NUL ASCII)، وتستخدم للدلالة على نهاية سلسلة في C، تليها سبع بايت NUL إلى لوح الإدخال إلى مضاعفات 8 بايت لمطابقة حجم كتلة التشفير لل.

وبعبارة أخرى، ونحن نعلم الآن أن e2a311ba09ab4707 هو النص المشفر الذي يشير كتلة مدخلات من ثمانية صفر بايت.

تبين أن البيانات تصل في الثانية كتلة النص المشفر في مذهلة تصل إلى 27٪ من جميع كلمات السر، الذي تسرب لنا على الفور أن جميع هذه 27٪ هي أحرف بالضبط ثمانية طويل.

حجم خطأ

مع القليل جدا من الجهد، ونحن قد تعافى بالفعل قدرا هائلا من المعلومات حول كلمات السر خرق، بما في ذلك: تحديد أفضل خمس كلمات المرور على وجه التحديد، بالإضافة إلى 2.75٪ من المستخدمين الذين اختاروا لهم، وتحديد طول كلمة السر بالضبط ما يقرب من ثلث قاعدة بيانات.

لذلك، ونحن الآن قد أظهر لكم كيفية البدء في مثل هذه الحالة، وربما يمكنك تخيل كيف أكثر من ذلك بكثير ينتظر أن تقلص من "أكبر لغز الكلمات المتقاطعة في تاريخ العالم"، كما الساخرة تكنولوجيا المعلومات موقع الكرتون XKCD سماها.

نضع في اعتبارنا أن تجزئات المملحة – النهج البرنامجي الموصى بها هنا – لن يكون أسلم أي من هذه المعلومات – ونقدر لكم حجم خطأ أدوبي.

هناك أكثر إلى القلق نفسك مع.

كما توصف أدوبي بيانات بطاقة الائتمان العملاء وغيرها من PII (معلومات شخصية) التي سرقت في الهجوم نفسه بأنه "مشفرة".

و، كما سأل زميل الكاتب الأمن العاري مارك ستوكلي "، وكان أن البيانات المشفرة مع الرعاية وخبرة مماثلة، هل تعتقد؟

إذا كنت على قائمة أدوبي خرق (وبطانة الفضة هو أن كل كلمات السر تم الآن إعادة تعيين، يجبرك على اختيار واحد جديد)، لماذا لا تحصل على اتصال وطلب توضيح؟