Najväčšie bitcoin fórum bolo hacknuté

Dnes ráno mi v mojom poštovom kliente zasvietila správa, že môj účet bol kompromitovaný, pretože BitcoinTalk.org bol hacknutý a ja by som si mal okamžite zmeniť heslo.

Kategória: Bezpečnosť Témy: bezpočnosť bitcointalk hackeri heslo security sha256

Nejde o ojedinelý hack systému, na ktorom beží BitcoinTalk, najväčšie fórum o Bitcoine na svete. V minulosti došlo k niekoľkým prienikom do systému a majiteľ webu bol komunitou už niekoľko-krát vyzvaný, aby starostlivosť o web prenechal niekomu skúsenejšiemu. Naposledy ho vyzvali dnes.

Systém, ktorý sa používa na BitcoinTalku, beží na open source riešení Simple Machines, čo je bezplatné fórum, ktoré je relatívne bezpečné. No, na ukladanie hesiel v databáze používa stále zastaraný sha256 mechanizmus/algoritmus a nie sha512 alebo veľmi populárny blowfish, resp. bcrypt.

V emaile, ktorý mi dorazil, stálo, že heslo bolo zasaltované, čo pre neznalých znamená, že nie je možné použiť tzv. Rainbow tables, ktoré obsahujú sha256 všetkých možných kombinácií od “a” po “asdfasdbfasjkfhjehsada!!582x!” a utočníkovi stačí poznať váš zahashovaný tvar hesla z databázy. Ak neveríte, skúste si zadať na tejto stránke slovo “apple” vyberte algoritmus sha-256 a dostanete niečo takéto “3a7bd3e2360a3d29eea436fcfb7e44c735d117c42d1c1835420b6b9942dd4f1b”. To isté zopakujte na tejto druhej stránke. Áno, bude to presne to isté aj na tej druhej stránke aj zajtra, aj o 10 rokov.

Teraz už chápete, že ak niekto pozná váš hash bez saltu, ktorým môže byť napríklad užívateľské meno alebo nejaký globálny reťazec v konfigurácii systému, ktoré sa prídáva k heslo a robí výsledný zakódovaný reťazec viac unikátny, tak zistiť heslo už nie je veľmi náročné. Rainbow tables, tabuľky obsahujúce slovo a jeho príslušný hash je možné zohnať na internete v rôzne podrobných verziách.

Našťastie, na BitcoinTalku, kde sa používa salt na ešte ďalšie, resp. lepšie zakódovanie hesla v procese hashovania, keď sa registrujete alebo keď sa heslo porovnáva pri prihlasovaní, by toto malo zaručiť, že heslá budú v poriadku.

Ale, kto zaručí, že útočník sa nedostal k saltu?

Nakoniec aj v danom emaile stojí, že k hacknutiu došlo na strane ich poskytovateľa hostingu, čiže cracker sa vydával za niekoho, kým nieje a podarilo sa mu získať prístup k webu. Sociálne inžinierstvo, bruteforce útoky (používanie mnohonásobného opakovania rôznych kombinácií prihalsovacích údajov hrubou/hlúpou silou) a prípadne exploity (používanie známych alebo predpokladaných chýb v spracovaní užívateľských vstupov v scriptoch na strane webu), sú najvyužívanejšími technikami na získanie kontroly nad webom.

Záver, vždy je dobré mať rôzne heslá pre rôzne weby a snažiť sa vyhnúť používaniu rovnakých hesiel dva-krát a viac. Takže, klišé, ale platí. Pridávam na koniec článku ešte email v plnom znení v angličtine.

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256

You are receiving this message because your email address is associated
with an account on bitcointalk.org. I regret to have to inform you that
some information about your account was obtained by an attacker who
successfully compromised the bitcointalk.org server. The following
information about your account was likely leaked:
– Email address
– Password hash
– Last-used IP address and registration IP address
– Secret question and a basic (not brute-force-resistant) hash of your
secret answer
– Various settings

You should immediately change your forum password and delete or change
your secret question. To do this, log into the forum, click “profile”,
and then go to “account related settings”.

If you used the same password on bitcointalk.org as on other sites, then
you should also immediately change your password on those other sites.
Also, if you had a secret question set, then you should assume that the
attacker now knows the answer to your secret question.

Your password was salted and hashed using sha256crypt with 7500 rounds.
This will slow down anyone trying to recover your password, but it will
not completely prevent it unless your password was extremely strong.

While nothing can ever be ruled out in these sorts of situations, I do
not believe that the attacker was able to collect any forum personal
messages.

I apologize for the inconvenience and for any trouble that this may cause.
—–BEGIN PGP SIGNATURE—–

iF4EAREIAAYFAlVhiGIACgkQxlVWk9q1keeUmgEAhGi8pTghxISo1feeXkUMhW3a
uKxLeOOkTQR5Zh7aGKoBAMEvYsGEBGt3hzInIh+k43XJjGYywSiPAal1KI7Arfs0
=bvuI
—–END PGP SIGNATURE—–

Zdroj: email
Ak Vás článok zaujal, podporte autora článku, ďakujeme.
KOMENTÁRE (0)

Pridaj komentár