Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Microsoft Certified Master: Directory Services   RSS
RSS
Ondrej Sevecek's Blog > Posts > Únik hesel z mall.cz
srpen 31
Únik hesel z mall.cz
by  Ondřej Ševeček  on 31.8.2017 8:42
Category: Blog

Pěkně: https://www.lupa.cz/clanky/v-uniku-z-mallu-je-pres-tri-ctvrte-milionu-jmen-hesel-a-telefonnich-cisel-v-citelne-podobe/

Článek se zabývá primárně krádeží hesel, ale vynechal několik podstatných bodů, které je dobré znovu a znovu opakovat až do zblbnutí:

  • řeči o "prolomenosti" MD5 jsou nesmysl. Z MD5 heše se heslo musí stejně pořád krekovat a pořád doba kreku závisí na délce a kvalitě hesla. Možná je to rychleji než dříve, ale pořád brute-force. Takže tahle krádež byla plaintextová.
  • kdo si do citlivých služeb dává stejná hesla, je blázen. Bez ohledu na to jak si to služba ukládá, stejně v nějakém okamžiku vidí heslo v čisté formě (například vyplněné do formuláře). Pokud bude napadena, stejně útočník hesla hostane čistá, když bude chtít.
  • jak víme, že to byl nějaký hacker? Nejspíš to byl inside-job nějakého milého zaměstnance.
  • tady nejde ani tak o krádež nějakých hesel, tady jde o únik osobních údajů. Dnes mají ještě strop 10 000 000 CZK, od května 2018, kdy vstoupí v účinnost nařízení GDPR, budou mít strop na pokutu 10 000 000 EUR a to ještě nepočítám možné soudy s poškozenými a náhrady jejich škod.
  • incidenty se vždycky dějí, nelze jim zabránit, rizika lze pouze minimalizovat. Případně si mohou riziko přenést na někoho jiného. Předpokládám, že začne velký business s pojistkami proti GDPR pokutám :-)
  • a proto taky GDPR zdůrazňuje potřebu anonymizace a pseudonymizace osobních údajů plynoucí z povinnosti zpracovávat osobní údaje jen po opravdu nutnou dobu. Pokud to neděláte, bude pokuta vyšší :-)
Permanent Link to Post | Email Post Link | Number of Comments 4 Comment(s)

Comments

Re: Únik hesel z mall.cz

JLidi na nejsou vubec tak kreativni pri vymysleni hesel, jak si mysli. Obvykle toci jeden z nekolika nejcastejsich patternu, treba Xxxxxx00. Tyhle patterny staci projet bruteforce anebo naplnit rainbowtables. Ze ukradena db mall.cz nemusela mit hesla v plaintexu je uplne stejne pravdepodobne jako ze mela. Unik muze obsahovat jen ty hesla uspesne crackla. Nasel jsem tam i to svoje z roku 2014, v klasickem patternu:)
S tema pojistovnama na GDPR to je dobry postreh, tam budou zne, hlavne po prvni padle pokute...
Petr on 6.9.2017 22:17

Crackování hesel

Ondro, dík za glosu. Zkusil jsem zahashovat a zase cracknout ty hesla a myslím si, že to mohl klidně být únik MD5 hashů, viz můj pokus na https://www.lupa.cz/clanky/jak-jsem-crackoval-hesla-z-uniku-mall-cz/ Zároveň tam píšu o pár dalších útocích, kterými se crackují hesla, "brute force" už dneska moc nefrčí.
Michal Špaček on 14.9.2017 15:56

Re: Únik hesel z mall.cz

pěkný článeček, super! já jsem pod pojmem "brute-force" samozřejmě nemyslel úplný brute-force, cílem bylo vyjádřit fakt, že MD5 není nijak "prolomená", jak se tam namachrovaně psalo, ale že se prostě musí pořád zkoušet možnosti. To že to jde rychleji, to nijak nerozporuji.
ondass on 14.9.2017 16:09

Re: Únik hesel z mall.cz

Díky! Tak to jsme na stejný lodi :-) Jen pod pojmem "brute force" se právě rozumí zkoušení všech možností, tedy aaaa, aaab, aaac atd, viz třeba https://hashcat.net/wiki/doku.php?id=brute_force_attack

Sorry, že jsem tě špatně pochopil, už se to nestane ;-)
Michal Špaček on 14.9.2017 18:25

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments