Hackeri získali heslá zrejme k miliónom LinkedIn účtov

DSL.sk, 7.6.2012

Profesionálnu sociálnu sieť LinkedIn postihol podľa zatiaľ dostupných informácií pravdepodobne jeden z doteraz vôbec najväčších bezpečnostných internetových incidentov, keď sa hackerom zrejme podarilo získať hashované heslá a už aj pôvodné heslá k vysokému počtu účtov tejto služby.

Informácie o incidente sa objavili prvýkrát v stredu potom, ako podľa dostupných informácií hackeri publikovali veľký zoznam 6.48 milióna hashovaných hesiel na ruskom fóre s cieľom získať pomoc pri získaní originálnych hesiel. Medzi prvými na incident upozornil NorCERT, Norwegian Computer Emergency Response Team.

Spoločnosť LinkedIn, ktorej službu využíva viac ako 160 miliónov ľudí, následne vo večerných hodinách potvrdila únik časti hesiel, ich počet ale nešpecifikovala.

Zoznam zverejnený hackerom obsahuje nesaltované SHA-1 hash sumy hesiel. Hacker nezverejnil užívateľské mená, dá sa ale samozrejme predpokladať, že nimi disponuje.

Samotné heslá je možné z ich SHA-1 hash súm získať len útokom hrubou silou. Keďže sú ale nesaltované, je možné získať heslá efektívne hromadne.

Podľa Errata Security je zoznam zoznamom unikátnych neopakujúcich sa SHA-1 hash súm, vzhľadom samozrejme na používanie bežnejších hesiel viacerými užívateľmi môže ísť o heslá k výrazne viac ako 6.48 miliónu účtov. Či sú všetky ale heslami k LinkedIn účtom nie je zatiaľ potvrdené.

Navyše až 3.5 milióna hash súm v zozname začína piatimi nulami, ktoré podľa teórie niektorých expertov indikujú už úspešne prelomené heslá. Túto teóriu podporuje fakt, že medzi takýmito upravenými hash sumami je možné nájsť hash sumy mnohých ľahkých a ľahko prelomiteľných hesiel.

LinkedIn podľa svojho oznámenia zablokovala prístup k účtom, ktorých heslá boli kompromitované. Užívateľov so zablokovaným prístupom bude kontaktovať emailom.

Vzhľadom na zatiaľ dostupné informácie a potenciálny rozsah problému je všetkým užívateľom služby odporúčaná preventívna zmena hesla.




Najnovšie články:



Diskusia:

Nesaltovane Od reg.: gandor | Pridané: 7.6.2012 8:26 Krasa. Nesaltovane hash hesla. Asi stvrt roka dozadu som si PRESNE na toto (sha1) len tak zhaluze vytvoril rainbow table. Po dlzku 5 znakov velke/male pismena + cisla. Bezny PC a len PHP. Generovanie trvalo kratku chvilu... Odpovedať Známka: 1.3 Hodnotiť:

Re: Nesaltovane Od: quix_ | Pridané: 7.6.2012 9:15 kazdopadne aspon nieco silnejsie + salt treba pouzit Odpovedať Známka: 6.4 Hodnotiť:

Re: Nesaltovane Od: xvzf | Pridané: 7.6.2012 10:00 Pridat salt a zahashovat. Takto iterovat napr. 1000 krat... Klasicka schema. Clovek by povedal ze taky LinkedIn to bude mat zvladnute a tu ho mas... Odpovedať Známka: 0.9 Hodnotiť:

Re: Nesaltovane Od: xvzf | Pridané: 7.6.2012 10:02 Salt je obranou proti rainbow tables a iteracia zasa proti bruteforce skusaniu. A ako hash je dobre pouzit daco kvalitnejsie, napr. taky SHA-512... Odpovedať Známka: 4.0 Hodnotiť:

Re: Nesaltovane Od: lolo21 | Pridané: 7.6.2012 10:04 buď hacker pozná salt a tým pádom je jedno či hashuješ 1 alebo 1000 krát, alebo salt nepozná a stačí ti raz. Odpovedať Známka: 7.5 Hodnotiť:

Re: Nesaltovane Od: Kveri_ | Pridané: 7.6.2012 12:01 to nie je pravda. Ak hacker pozna hashovane heslo vzdy pozna salt. Ak nepozna salt tak sa to nevola salt. Pointa saltu je to, ze nemozes jednou rainbow tabulkou prelomit viac ako jedno heslo a aj na to jedno si potrebujes vyrobit konkretnu rainbow tabulku, co uz samozrejme potom nema zmysel a radsej bruteforcujes. 1000x hashovat je 1. malo 2. takmer urcite znizi bezpecnost, pretoze sha1 ma kolizie a ked to iterujes 1000x tak mas VYRAZNE viac kolizii a tym padom mensiu bezpecnost, pretoze pocet znakov ostava rovnaky. Idealne je samozrejme saltovat a hashovat niekolko milionov krat a najlepsie roznymi variaciami algoritmov napr podla saltu. Idea za tym je, ze hashovat miliony krat trva aspon par stoviek milisekund, co sice v praxi zbrzi len pouzivatela (nie cely system), kdezto hackera to zbrzdi dost :). Odpovedať Známka: 10.0 Hodnotiť:

Re: Nesaltovane Od: xvzf | Pridané: 7.6.2012 20:33 Suhlasim ze pri algoritmoch ako SHA je lepsie iterovat milion-krat nez 1000x... Ale ako to urobit tak, aby sa zachovala dostatocna entropia? Odpovedať Známka: 10.0 Hodnotiť:

Re: Nesaltovane Od: lolo21 | Pridané: 7.6.2012 10:02 to mi vysvetli na čom je založená myšlienka, že je lepšie hashovať 1000 krát namiesto 1 Odpovedať Známka: 8.7 Hodnotiť:

Re: Nesaltovane Od: suxi | Pridané: 7.6.2012 11:37 asi na tom, ze lepsie hashovat 100000 krat nez 1000 krat Odpovedať Známka: -6.7 Hodnotiť:

Re: Nesaltovane Od: Kveri_ | Pridané: 7.6.2012 12:03 na tom, ze to trva 1000x dlhsie a tym padom bruteforce lamanie tiez. Pri prihlasovani aj tak tych par milisekund nepostrehnes ale hacker postrehne :). Navyse ak sa hackeri nedostali k algoritmu hashovania tak najprv musia trafit ten, co nie je problem pri 1000 hashovaniach (ale pri par milionoch uz moze byt) Odpovedať Známka: 3.3 Hodnotiť:

Re: Nesaltovane Od: suxi | Pridané: 7.6.2012 12:57 tebe asi nic nehovoria kolizie v hashovacich algoritmoch. Odpovedať Známka: 5.0 Hodnotiť:

Re: Nesaltovane Od: zippy | Pridané: 7.6.2012 20:48 Tiez nechapem, preco by malo byt 1000x hashovanie lepsie nez raz. IOW 2x by malo byt lepsie nez raz. cize ak mam heslo a vypocitam x=sha(f(salt,heslo)); y=sha(x); tak si v rainbow najdem x ak viem y; a potom si k x najdem f(salt,heslo) (to, ze neviem co je salt a co heslo teraz nechajme stranou). Inymi slovami len pouzijem rainbow tabulku viackrat. V com je teda vyhoda? btw: tajit kolkokrat je hashovane je security through obscurity co nefunguje :) Odpovedať Hodnotiť:

Re: Nesaltovane Od: erwe | Pridané: 7.6.2012 9:16 A ak toto spraví admin tak veľkej stránky ako je linkedin, mal by podľa mňa súdne dostať zákaz činnosti na 20 rokov! Odpovedať Známka: 2.9 Hodnotiť:

Re: Nesaltovane Od: ssaa | Pridané: 7.6.2012 12:10 a kto urci co je dostatocny sposob ochrany, kto to bude kontrolovat? Je to ich problem ale urcite by som ho za to nesudil. Co s ludmi, co si davaju jednoduche hesla, tiez ch odsudit na 20 rokov? Ziadna ochrana nieje sto percenta? Odpovedať Známka: 3.3 Hodnotiť:

sikulka Od: Robert Kefa | Pridané: 7.6.2012 8:33 no ty si ale sikulka, kup si kvety :) ! Odpovedať Známka: 3.3 Hodnotiť:

........................... Od: ľuboš | Pridané: 7.6.2012 8:46 Ten "útok hrubou silou" ma zaujal... To akože kladivom, či s kropmáčom mlátia do klávesnice? Odpovedať Známka: -5.6 Hodnotiť:

Re: ........................... Od: jozef_s | Pridané: 7.6.2012 8:56 Pohladaj si vo Wikipedii heslo Brute-force attack Odpovedať Známka: 3.3 Hodnotiť:

Re: ........................... Od: ľuboš | Pridané: 7.6.2012 8:58 :)), ale aj tak je to zaujímavá výhovorka, resp. definícia. Odpovedať Známka: -4.4 Hodnotiť:

Re: ........................... Od: Misiak22 | Pridané: 7.6.2012 8:58 Vzdelaj sa. Odpovedať Známka: 5.8 Hodnotiť:

vypredaju sa nadupane grafiky a ARMy ;) Od: Koumak | Pridané: 7.6.2012 9:33 Mnoo aby sa teraz nevypredali RISCove cpucka a nadupane grafiky, bo tie su na lamanie hesiel priam stvorene ;) Odpovedať Známka: -3.3 Hodnotiť:

Re: vypredaju sa nadupane grafiky a ARMy ;) Od: Houston | Pridané: 7.6.2012 10:14 To asi nebude treba. Utok hrubou silou je zbytocny. Staci utok jemnou inteligenciou. Je ovela jednoduchsie zacat generovat SHA1 hashe pre vsetky vhodne kombinacie. Staci zacat cislami, potom pridat male pismena, potom velke pismena, nakoniec par znakov - na obycajnom PC to pri SHA1 nebude trvat dlho a pocet prelomenych hesiel sa urcite bude pomaly splhat k smerom hore k 100%. Ked takto jednoducho prelomia vyse 90% hesiel (co je pravdepodobne) naco sa trapit kvoli tomu malemu zvysku nejakou hrubou silou. Odpovedať Známka: 5.0 Hodnotiť:

Re: vypredaju sa nadupane grafiky a ARMy ;) Od: lolo21 | Pridané: 7.6.2012 10:39 veď to čo popisuješ je práve princíp brute-force attacku. okrem toho je také niečo pre SHA-1 dávno hotové a volá sa to rainbow tables. Odpovedať Známka: 1.7 Hodnotiť:

Re: vypredaju sa nadupane grafiky a ARMy ;) Od: Houston | Pridané: 7.6.2012 11:03 Vsak ja som nepisal, ze to nie je brute force attack. Len som povedal, ze nakupovat RISC cpu a GPU je kvoli tomu uplne zbytocne, pretoze urcite netreba prejst vela kombinacii. Co sa tyka Rainbow tables, je jasne, ze su hotove ale pri jednoduchom SHA1 je mi jednoduchsie si urobit vlastne presne na mieru ako ich hladat a stahovat gigabajty tabuliek. Neviem napriklad ci niekde na nete visia rainbow tabulky napriklad s nasimi dlznami a makcenmi. Alebo napriklad s polskym L. Alebo napriklad len s pomlckou. Odpovedať Známka: -0.8 Hodnotiť:

Re: vypredaju sa nadupane grafiky a ARMy ;) Od: suxi | Pridané: 7.6.2012 11:38 nie, praveze si napisal, ze to nie je brute-force... cize si si hodne nasral do huby Odpovedať Známka: -4.5 Hodnotiť:

Re: vypredaju sa nadupane grafiky a ARMy ;) Od: sonfo | Pridané: 7.6.2012 10:56 A este jemnejsou inteigenciou sa pouziju slovnikove utoky s modifikaciou (v slovniku je slovo "heslo" a ono to automaticky skusi aj "Heslo", "H3sl0", "heslo0 az X" atd.. ) Odpovedať Známka: 8.0 Hodnotiť:

Re: vypredaju sa nadupane grafiky a ARMy ;) Od: Houston | Pridané: 7.6.2012 11:08 Vidis, to som zabudol napisat. Hoci je to vlastne iba forma optimalizacie, ak mas pismena aj cisla a urobis rainbow bude aj Heslo aj H3sl0, akurat v spojeni so slovnikom to bude optimalnejsie rozlozene. Na druhu stranu ked hadas jeden hash ma to velky vyznam. Ked ich hadas miliony, budu tam aj kombinacie ako H4sl1 alebo I3tm0 a tam uz treba aj "len" jemnu inteligenciu. Odpovedať Známka: 6.0 Hodnotiť:

Re: vypredaju sa nadupane grafiky a ARMy ;) Od: afcadsfc | Pridané: 7.6.2012 12:45 idealne je spojenie RT do maximum X znakov podla moznosti (a-Z0-9), a dlhsie, alebo special($tefan) slova vyselektovat do slovnika. Samozrejme zalezi od Db, ina uspesnost je v hashoch pokecu a v hashoch dsl.sk :D A tomu celemu sa da predist rozumnym solenim.. Odpovedať Známka: 10.0 Hodnotiť:

LeakedIn Od: .em | Pridané: 7.6.2012 11:55 leakedin.org Odpovedať Známka: 10.0 Hodnotiť:

zase... Od: Forgoten | Pridané: 7.6.2012 12:32 super, tak nech mi povedia aké mám heslo lebo zase som ho zabudol ... Odpovedať Známka: 10.0 Hodnotiť:

Re: zase... Od: ľuboš | Pridané: 7.6.2012 13:55 normálne vidím, že mi lubos 123 úúúplne stačí:)) Odpovedať Hodnotiť:

Re: zase... Od: xvzf | Pridané: 7.6.2012 20:29 alebo ti ho dotycni utocnici uz zmenili :P Odpovedať Hodnotiť:

aj Last.FM Od: .em | Pridané: 7.6.2012 19:57 tak dnes vytiekol aj Last.FM... Odpovedať Hodnotiť:

Pridať komentár