Több millió jelszót loptak el a Facebook kistestvérétől
2012-06-08
Írta: Lohner Zoltán
Kategória: Üzleti élet, Technológia,
A Facebook kistestvérének is nevezett LinkedIn hivatalosan is megerősítette, hogy hat és félmillió jelszó szivárgott ki. Az elkövető, feltételezhetően egy orosz cracker, egy fórumon jelentette be az eseményt és mintegy megerősítésként közzétette a jelszavak egy részét. Bár a LinkedIn kódolva tárolja a jelszavakat, azok visszafejtése valószínűleg nem lesz nehéz feladat, mivel gyenge titkosítási algoritmust alkalmaztak. Minden LinkedIn felhasználónak erősen javasolt a jelszavának sürgős cseréje. Amennyiben kíváncsi rá, hogy az incidens kapcsán Ön milyen veszélyeknek van kitéve kérem olvasson tovább.
Röviden az adatok tárolásáról
A weboldalakon használt személyes adatainkat és a kapcsolódó információkat a webszerverek adatbázisokban tárolják. A tárolás egyszerű szöveges formában történik, így a szerver feltörésével az adatokat jogosulatlanul megszerző bűnözőknek nem okoz nagy nehézséget az adatok felhasználása. Kivételt képeznek ez alól a jelszavak. A honlapokkal szemben ma már alapvető biztonsági elvárás, hogy a jelszavakat egy titkosítási algoritmus alapján lekódolják és az adatbázisban ilyen formán kerüljenek tárolásra. Ennek ellenére rendszeresen hallunk olyan esetekről még világhírű cégek esetében is (például SONY) hogy, egyszerű szöveges formában tárolt jelszavak szivárognak ki.
A legtöbb honlap esetében az adatok az alábbihoz hasonló formában kerülnek letárolásra:
| id |
email |
password* |
firstname |
lastname |
bank_card |
| 1 |
kovacs.bela@ceg.hu |
d577273ff885c3f84dadb8578bb41399 |
Kovács |
Béla |
12343312-2-43 |
| 2 |
aladar.nagy@pelda.com |
f8df2e15374e3dc37766e59ac494f0fd |
Nagy |
Aladár |
31242344-3-23 |
| 3 |
.... |
|
|
|
|
* A két jelszó az "12345" és az "12346" MD5 titkosított változata. Egy karakter változása titkosításkor teljesen más karaktersort eredményez.
Látható, hogy a jelszavak nincsenek közvetlenül eltárolva az adatbázisban. Ehelyett egy véletlenszerűnek tűnő karaktersorozatot találunk, ami egy egyirányú titkosító algoritmussal készül. Felvetődik a kérdés, hogyha ez a titkosítás egyirányú elvileg nem visszafejthető, akkor hogyan ellenőrzik le, hogy bejelentkezéskor helyes jelszót adtunk-e meg? A válasz viszonylag egyszerű: bejelentkezéskor a begépelt jelszavunkon lefut ugyanaz a titkosító algoritmus amivel korábban az eredeti jelszót letitkosították. Amennyiben ennek a végeredményeként ugyanaz a karaktersorozat jön ki, mint amelyik az adatbázisban eltárolásra került, akkor helyes jelszót adtunk meg. Ez magyarázza meg azt is, hogy a jelszó elfelejtésekor weboldalak miért nem tudják számunkra az eredeti jelszót megküldeni. Egyszerűen nincs meg, csak a titkosított változata, ezért a kellő azonosítási eljárások után csak új jelszó beállítását tudják felkínálni.
Titkosított jelszavak vagy mégsem?
Mint látjuk jelszavunk legtöbb esetben titkosítva került tárolásra. Miért is okoz problémát, ha illetéktelenek kezébe jut?
A jelszavak visszafejtésére többféle módszert is kidolgoztak, ezek közül a nyers erő (brute force) módszere alkalmazható esetünkben. Ennek a lényege, hogy a támadók először beazonosítják, hogy a jelszavak milyen eljárással kerültek letitkosításra, majd egyszerű próbálgatással megpróbálják őket visszafejteni. Ez egy egyszerű módszer, csak kellően nagy számítási kapacitást igényel. Mivel az emberek általában könnyen megjegyezhető, értelmes szavakat szoktak jelszónak választani, ezért első körben egy szótár szókészletén futtatják le az algoritmust. Amennyiben valamelyik szó titkosítás után megegyezik a lopott adatokban lévő karaktersorozatok valamelyikével, már sikerült is visszafejteni valamelyik felhasználó jelszavát. Ezt követően szavak és számok kombinációjával, majd véletlenszerűen összeválogatott karakterekkel próbálkoznak.
A nyers erő módszerével általában a jelszavak 40-60%-át sikerül feltörni. Ebből is látszik, hogy célszerű kis és nagybetűket, számokat és írásjeleket is tartalmazó jelszavakat használnunk. A fenti táblázaton magunk is leellenőrizhetjük az elgondolás működését. Az 12345 kifejezést md5-el titkosítva a táblázatban lévő karaktersorozatot kapjuk vissza.
Egy jelszó több helyen
Miután a támadók jelszavunkat megszerezték, általában nem elégednek meg a feltört weboldal szolgáltatásainak jogosulatlan igénybevételével. A jelszavakat a nevekkel és az e-mail címekkel összekapcsolva további weboldalak, levelező és fájlkiszolgáló, közösségi oldalak felderítésébe kezdenek. Mivel nagyon sok ember több helyen is ugyanazt az e-mail cím/jelszó párost használja, a támadók jó eséllyel jutnak hozzá más szolgáltatásokhoz. Legveszélyesebb esetek közé tartozik a banki, a fájlfeltöltő (például dropbox) és levelező szolgáltatások jogosulatlan igénybevétele. Míg az elsőt nagyon nem kell magyarázni, a másik kettő már nem ennyire egyértelmű. A fájlkiszolgáló oldalakon tárolhatunk olyan dokumentumokat, melyek elvesztése vagy illetéktelen kezébe kerülése érzékenyen érinthet bennünket. A levelező szolgáltatások szintén komoly lehetőségeket rejtenek a támadóknak. Mire feleszmélünk, már több millió spam üzenetet küldenek ki levezőfiókunk felhasználásával, aminek egyenes következménye az, hogy a szolgáltató az email címünket kitiltják a hálózatból. Innentől kezdve egy hosszadalmas procedúra bizonyítani, hogy nem vagyunk spammerek és elérni a cím ismételt engedélyezését.
Megelőzés és tűzoltás
Mint minden területen esetünkben is a megelőzés a legbiztonságosabb. A jelszó helyes megválasztásáról már korábban beszéltünk. A másik fontos terület a több weboldalon használt jelszavak kérdése. Mivel az agykapacitásunk véges, nem várható el, hogy több tucat jelszót jegyezzünk meg, ezért a gyakorlottabb netezők két módszert szoktak használni:
- Kiemelt fontosságú weboldalakhoz (bank, levelező, személyes tárhely stb.) mindenképpen egyedi, weboldalanként különböző jelszót használnak. Minden más "lényegtelen" weboldalnál pedig egy azonos, könnyen megjegyezhető jelszóval regisztrálnak. Ez a megoldás nem nyújt tökéletes biztonságot, de fontos adataink nem kerülnek illetéktelenek kezére, csak azért mert valaki feltört egy olyan weboldalt, ahova három éve regisztráltunk és már el is felejtettük, hogy ott jártunk.
- Amennyiben a weboldal lehetőséget ad rá fel kell használni a nagy szolgáltatók által kínált beépülő azonosítási megoldásokat. Ilyeneket biztosít például a Google, a Facebook és az OpenID is. ezek úgy működnek, hogy a meglátogatott weboldal azonosítás céljából átküld minket az előbb említett szolgáltatók oldalára, majd pozitív válasz esetén elfogadja bejelentkezésünket. VIGYÁZAT!!! Sok esetben, főleg fájcserélő oldalaknál előfordulhat, hogy nem a valódi szolgáltató (például a Google) oldalára irányítanak át bennünket, hanem egy teljesen hasonló kinézetű hamisított oldalra. Amennyiben ezen a hamisított oldalon kitöltjük a bejelentkezési adatokat, már meg is adtuk jelszavunkat a rosszindulatú támadónk.
Mit tehetünk, ha már megtörtént a baj?
Amennyiben felmerül a gyanúja, hogy jelszavunkat megszerezték azonnal lépnünk kell annak érdekében, hogy minimalizáljuk a kárt. Először is gondoljuk át, hogy mely weboldalaknál használtuk az ellopott jelszót. Ebben segítségünkre lehet a böngészőnk is. A Firefox például képes kilistázni a megjegyzett bejelentkezési adatokat, így gyorsan kiszűrhetjük a kérdéses weboldalakat. Mindenképpen nézzük át a banki, céges és levelező szolgáltatásokat és mindenhol állítsunk be kellő bonyolultságú új jelszót. természetesen később célszerű rendszeresen új jelszót beállítani, sok weboldal ezt meg is követeli.
Abban az esetben, ha teljesen biztosak vagyunk abban, hogy melyik weboldalon szivárogtak ki adataink, jelezzük ezt a weboldal üzemeltetőjének és kérjük az eset kivizsgálást.
Ne felejtsük el: az Interneten ugyanazok a veszélyek fennállnak mint a valóságban. Eszünkbe sem jutna ugyanazt a kulcsot használni a postaládánkoz, lakásunkhoz, autónkhoz és munkahelyi irodánkhoz. Az Interneten mégis megtesszük. Egy kis odafigyeléssel, józan paraszti ésszel és az alapvető biztonsági szabályok betartásával az esetek legnagyobb részében elkerülhetjük az adatainkkal való visszaélésből származó kellemetlenségeket.
Lohner Zoltán
Google+ profil
LinkedIn profil