La sfarsitul saptamanii trecute un nou scandal si-a facut locul peste tot, legat de faptul ca Facebook a salvat milioane de parole ale utilizatorilor in mod text curat.

De fapt cei de la Facebook, in urma unui audit intern propriu, au recunoscut ca au gait o bresa de securitate prin faptul ca un numar considerabil de parole au fost salvate in mod text simplu (plain text).

Numarul exact de astfel de parole variaza de la cateva milioane la cateva sute de milioane, insa in lipsa unui comunicat oficial Facebook nu vom cunoaste adevarata amploare a bresei de securitate.

Parolele pot fi salvate si in mod text curat, adica parola ‘test’ va fi salvata exact cum se scrie: test.

Insa oricat de securizata ar fi reteaua pentru accesul din exterior, cei din interior vor putea citi toate aceste parole.

Facebook a recunoscut faptul ca respectivele parole puteau fi citite de catre angajatii proprii ce au acces la intranetul companiei. Si aici au fost foarte imprecisi, lipsind din nou o transparenta totala, nespunand exact daca orice angajat cu acces la un calculator a avut acces la parole sau doar o parte. Insa acest lucru este mai mult pentru a nu pune in pericol arhitectura retelei interne.

Este adevarat, bresa de securitate desi destul de mare ca amploare a avut un impact mai mic, insa se pun doua intrebari: cat de siguri pot fi utilizatorii ca niciun angajat nu a reusit sa copieze baza de date, si cat de siguri putem fi ca prin cine stie ce mijloace de social engineering cineva din exterior nu a putut accesa acele date.

In mod normal parolele trebuiesc hasurate (hashed). Si nu oricum, ci incriptate folosind deobicei criptarea SHA-256.

Ce inseamna acest lucru?

Practic parola test, se poate salva in forma sa direct, insa parola va fi expusa. Daca incriptam parola test cu SHA-256 ea va fi salvata ca 9F86D081884C7D659A2FEAA0C55AD015A3BF4F1B2B0B822CD15D6C15B0F00A08

Deja este complicat. O parola de 12 caractere incriptata cu SHA256 este extrem de dificil de spart. Timpul necesar spargerii unei parole de 12 caractere daca s-ar folosi toata puterea de calcul a tuturor serverelor Google este de aproximativ 50 de ani. Asta in cazul in care timp de 50 de ani nu schimbati parola.

Insa in practica, in afara de incriptarea SHA256 se mai foloseste ceva numit SALT. SALT este un sir de caractere ce se concarteneaza parolei stabilite de tine la inceput, la sfarsit sau la ambele capete. Astfel parola test poate deveni testE1F53135E559C253 care se incripteaza SHA256 ca mai sus si parola salvata va avea forma B0B4DE59D6038806253DD36EB496FB3739FAB1F9C6AEDEE883343914377E640C

Insa daca se foloseste acelasi SALT peste tot, sau este prea mic, acesta poate sa fie gasit. Dupa ce a fost spart un cont, este clar ca e relativ simplu sa se gaseasca si celalalte conturi, folosindu-se in atacuri cheia SALT stiuta.

Insa in practica nu este asa, pentru fiecare cont exista o cheie separata. Cheile SALT trebuiesc salvate in alta baza de date, pe alt server, astfel incat daca cineva sparge si copiaza baza de date cu parole sa nu aibe incluse si cheile SALT.

Prin urmare acum intelegem ce s-a intamplat si cu sutele de milioane de parole expuse pe Internet in ultima perioada: fie nu s-a folisit SALT, fie a fost aceeasi cheie la toate conturile, iar cheia salvata in aceeasi baza de date/server, fie cheile au fost diferite, insa baza de date care face legatura in parola si cheie a fost in aceeasi cu parolele ori pe acelasi server.

GDPR doar a inflamat la maxim o problema cu care se lupta cei din domeniul IT, si anume protejarea datelor personale, dar mai ales a parolelor. Orice astfel de incriptare pe server cere si decriptarea de catre server, ceea ce cere multe resurse financiare in plus, fie prin folosirea de servere cu procesoare mai puternice, fie prin folosirea de aparatura specializata sau amandoua.

Facebook a procedat foarte corect prin auditul intern propriu prin care a gasit o posibila bresa care se pare ca nu a fost folosita pana la descoperirea ei si a putut fi oprita, dand dovada de o implicare proactiva in securizarea aplicatiilor proprii.

Toti utilizatorii afectati de aceasta bresa vor fi anuntati de Facebook sa isi schimbe parola, prin urmare daca nu ai primit si nu primesti nimic in urmatoarele zile, parola ta se afla in siguranta deja.

Este un nou semnal de alarma asupra faptului ca este extrem de important sa avem parole diferite pentru fiecare serviciu in parte. Astfel daca apare o bresa de securitate nu ne trezim cu toate conturile ‘sparte’.

De asemenea trebuie sa se inteleaga ca desi se foloseste tehnologia SALT, aceasta va apara in cazul furtului unei baze de date si nu va apara in fata atacurilor de tipul fortei brute (Brute Force Attack) despre care vom scrie in alt articol.

Vei gasi mereu diferite informatii noi aici, pe pagina noastra Facebook sau Twitter