Lopott jelszavak segítik az egyetemi kutatást

A Stratfor Global Intelligence kutató- és elemzőcéggel kapcsolatos biztonsági incidensről az első információk december 24-én láttak napvilágot. Az elkövetők azt állították, hogy a cégtől 200 gigabájtnyi adatra tettek szert. Sok ezer bizalmas adat interneten való közzétételével igyekeztek igazolni azt, hogy valóban hozzáfértek a Stratfor egyes rendszereihez. Az általuk publikált adatok között megtalálhatóak voltak nevek, e-mail címek, hitelkártyaszámok és jelszó hash-ek is.

Az adatlopás elsősorban azon felhasználókat érintette, akik korábban vagy vásároltak a vállalattól, vagy regisztráltak a cég weboldalán. Az eddigi vizsgálatok arra derítettek fényt, hogy a Stratfor megrendelői adatbázisából 75 ezer név, hitelkártyaszám és MD5 hash kerülhetett ki. Mivel azonban a támadás a weboldalon regisztráló felhasználók adatbázisát is érintette, ezért további 860 ezer felhasználónév, e-mail cím valamint MD5 hash juthatott illetéktelen kezekbe, amelyek egy része az interneten is elérhetővé vált.

Kutatók is vizsgálódnak

A történtek felkeltették a Utah Valley Egyetem kutatóinak figyelmét, akik 120 számítógépet állítottak üzembe annak érdekében, hogy a nyilvánosságra került jelszó hash-ek minél nagyobb részét vissza tudják fejteni. Mivel etikus hekkelésről van szó, ezért a szakemberek hangsúlyozták, hogy a konkrét jelszavakat nem fogják publikálni, és a vizsgálataik során szerzett tapasztalataikat kizárólag kutatási, statisztikai célokra használják fel. Elsősorban arra igyekeznek újabb bizonyítékokat találni, hogy a gyenge jelszavak komoly kockázatot hordoznak.

Kevin Young, a Utah Valley professzora szerint a Stratfor incidense során kiszivárgott hitelkártyaszámokból is hasznot húzhat a kiberbűnözés, azonban az igazi veszélyt az illetéktelen kezekbe került e-mail címek és jelszavak jelentik. Ezek felhasználásával ugyanis a támadók célzott akciókat kezdeményezhetnek, és kártékony programokat terjeszthetnek. További veszélyt jelent, hogy a bűnözők a jelszavak visszafejtésével különféle rendszerekhez is hozzáférhetnek, miközben azt is számításba kell venni, hogy sok felhasználó ugyanazon jelszót használja több rendszer esetében is, ami a kockázatokat tovább fokozza.

Eszközök: semmi extra

A Stratfor a különböző adatbázisaiban a jelszavakat MD5-hashek formájában tárolta. Az amerikai egyetemen üzembe állított számítógépek eddig több mint 160 ezer jelszót tudtak visszafejteni. A kutatók alapvetően két alkalmazást használnak a vizsgálataik során. Egyrészt a John the Ripper programot hívták segítségül, másrészt bevetették a grafikus processzorok képességeit kihasználó, és a jelszófejtést jelentősen felgyorsító oclhashcatet is. Elsősorban szótáralapú megoldásokat használnak, amelyekhez korábbi incidensek során nyilvánosságra került, több százezer jelszót tartalmazó listákat is hozzárendeltek. Így többek között a Sony, a Rockyou, a PHPBB és a MySpace rendszereiből korábban kiszivárgott adatok is segítik a kutatók munkáját.

Erős jelszavak kellenek!

Young professzor elmondta, hogy a csapata csekély költségvetéssel rendelkezik, és a számítási kapacitásaik végesek. Ezért most elsősorban azokra a jelszavakra helyezik a hangsúlyt, melyek csak kisbetűket tartalmaznak és nyolc karakternél rövidebbek. Véleményük szerint az elemzések így is számos olyan jelszóhasználati szokásra fognak rávilágítani, amelyek nem felelnek meg napjaink követelményeinek. "A mi 120 számítógépünk össze sem hasonlítható azokkal az erőforrásokkal, amikkel az NSA, Kína vagy például Észak-Korea rendelkezik" - hívta fel a lehetséges veszélyekre a figyelmet Kevin Young. Emellett a kutatók azt tanácsolták, hogy mindenki vegye komolyan az erős jelszavak képzésére vonatkozó alapvető szabályokat, és mindenki megfelelő hosszúságú, kis- és nagybetűket, számokat valamint speciális karaktereket tartalmazó jelszavakat használjon.