Złe rzeczy się zdarzają. Złe rzeczy związane z bezpieczeństwem w sieci ostatnio zdarzają się częściej. W zasadzie codziennie – nie ma co ukrywać.

DATA BREACH IS THE NEW BLACK!

Każde większe lub mniejsze forum czy serwis internetowy w końcu się podda i jego dane wypłyną. Taka obecnie natura rzeczy.

Problem większy, gdy wyciekną hasła. Ech…, te hasła. Cały czas z nimi problem. Niby wszyscy wiedzą, że trzeba je chronić, ale w końcu jakoś tak zawsze wychodzi… No, różnie wychodzi.

I tak, incydent się zdarza. Do akcji wkraczają techniczni. Sprawdzają, analizują.
Z drugiej strony do akcji wkracza PR! Lub po prostu komunikacja z użytkownikami.

Prawda też jest taka, że czasami nie wkracza nikt i firmy nabierają wody w usta – jakoś to będzie. Przeważnie bywa “jakoś” właśnie, ale prędzej czy później muszą zabrać głos w danej sprawie. Faktom trudno zaprzeczyć.

 

To gdzie ten Wiedźmin?

Taka sytuacja zdarzyła się ostatnio CD Projekt RED, a dokładniej ich forum dla użytkowników.

Wyciekły dane użytkowników (e-mail) i hasła. Liczba użytkowników znacząca – 1.9mln kont. Wylądowali więc na haveIbeenpwned.com

Przy okazji – na webinarze, który ostatnio prowadziłem z ramienia firmy, wspomniałem o HaveIBeenPwned i okazało się, że dla niektórych to nowość.

Dla przypomnienia więc – HaveIBeenPwned to strona prowadzona przez Troya Hunt, gdzie możecie sprawdzić dane z wycieków haseł z różnych witryn. Możecie też poprosić o powiadomienie, gdy wasz e-mail pojawi się w takich danych.

Super sprawa, więc zachęcam!

Wracając do CD Projekt RED. Nie wyglądało to specjalnie. Z kronikarskiego obowiązku odnotowałem to na Twitterze, ale nic więcej. Nie miałem tam konta.

Zapomniałbym o sprawie, gdybym nie zobaczył wpisu rzeczonego Troya:

 

Podążając za nim, zobaczyłem co następuje:

Co uzasadnia reakcję jak poniżej:

 

Usiadłem i zapłakałem.

MD5

Wyjaśnienie dla mniej technicznych – MD5 to nie jest algorytm szyfrowania. MD5 to funkcja skrótu. Wkładamy tekst, przepuszczamy przez funkcje skrótu, po drugiej stronie wychodzi inny tekst. Jego właściwość jest taka, że dla danego wejścia jest zawsze taki sam, ale gdy podamy tylko coś lekko zmienionego – będzie kompletnie inny. Niezależnie od długości tekstu na wejściu – na wyjściu powstaje tekst o takiej samej, stałej długości. Jeden obrazek wart 1000 słów czy coś około tego, więc zobaczmy jak to wygląda w PowerShellu:

Jak widać:

[MD5]”Hello Blog” -> BB-EA-60-21-3A-D6-CB-45-2F-F8-D0-C2-47-7A-72-46

[MD5]”Hello blog” -> 56-AA-0B-32-33-21-A2-3A-AC-53-6E-5C-37-62-3F-3F

Solenie (SALTED) wspomniane we wpisie na forum CD Projekt Red, to dodanie do danej na wejściu dodatkowego, przypadkowego łańcucha znaków (SALT): zamiast MD5(hasło) wykonujemy MD5(Hasło+SALT).

To podejście może, ale nie musi powodować, że dane na wyjściu są trudniejsze do złamania. Jako że inni napisali o tym więcej i mądrzej – zainteresowani mogą poczytać o tym tutaj (jedno z wielu miejsc).

W dużym (nomen omen) skrócie – SALT hasha nie powoduje, że hasło jest nie do złamania. Wszystko zależy od tego, jak ten SALT jest zaimplementowany i użyty.

Dlaczego to jest złe?

Powyżej to technikalia. Moje marudzenie można nazwać czepianiem się. Wytłumaczę więc, dlaczego o tym piszę i dlaczego uważam, że to złe.

Komunikat, jaki wysłał administrator forum CD Projekt RED do swoich użytkowników “Zrelaksujcie się, nic się nie stało, wasze hasła są bezpieczne. Zaszyfrowaliśmy je”.

Ilu z was, zapytanych z biegu, wiedziałoby o tym, jak działa MD5, co to jest SALT i czy pomaga, czy nie w całym procesie? Cytując klasyka dziennikarstwa: “To skąd k..a ci biedni ludzie mają to wiedzieć?”

Użytkownik forum dostał informację, że nic się nie stało. Żyj dalej, a jak masz ochotę, to zmień swoje hasło. Jak nie masz…, to trudno. Teraz już używamy na GOG.COM innego systemu. Komunikat taki wyszedł od firmy, która stworzyła Wiedźmina, więc muszą wiedzieć co piszą. Prawda?

Prawda jest taka, że hasła te mogą być w prosty sposób odzyskane (inaczej – w skończonym czasie), więc mogą zostać użyte do tego, aby przejąć konta użytkowników w innych systemach.

Pytanie – ilu użytkowników na GOG.COM używa tego samego hasła??? Odpowiedzi nie znam ale mógłbym się założyć, że wielu! Ludzie używają tych samych haseł cały czas!

To jest o tyle smutne, że taki komunika wyszedł z firmy technologicznej, która zatrudnia mądrych ludzi (wiem – rozmawiałem z niektórymi: niewiele rozumiałem, nie nadążałem, ale dzielnie rozmawiałem).  Wystarczyło ten komunikat z kimś skonsultować.

Podsumowując – kilka apeli do różnych osób!

Użytkowniku! Jeżeli miałeś konto na forum CD Projekt RED – ZMIEŃ JE. I nie używaj tego samego hasła już nigdzie więcej. Nie używaj tych samych haseł nigdzie – JEST KEEPASS, LASTPASS (to może niezbyt dobry przykład) i inne.

Developerze! Jeżeli już budujesz system do przechowywania haseł, przeczytaj jak należy zrobić to dobrze! Ktoś kiedyś wyciągnie to, co zaprojektujesz i będzie z tego galimatias!

Osobo odpowiedzialna za PR czy ogłoszenia! Skonsultuj merytorycznie to, co wypuszczasz, zanim pójdzie to w świat. Wizerunek ma się tylko jeden!

 

Obrazek główny: Rob Obsidian via VisualHunt / CC BY

About Author

Leave A Reply

Share This

Share This

Share this post with your friends!