Un grupo de hackers que se autodenomina Cynosure Prime ha descifrado más de 11 millones de contraseñas hash protegidas con Bcrypt. ¿Cómo?
El ultimo mes, hackers comprometieron el popular sitio web de adulterio Ashley Madison y se filtró en Internet un archivo masivo que contiene datos pertenecientes a 37 millones de usuarios, incluidos los 37 millones de contraseña cifrada.
La nota del dia es es que un grupo de hackers que se autodenomina Cynosure Prime, ha roto más de 11 millones de contraseñas hash de usuarios en los últimos 10 días.
Las contraseñas hash estaban protegidos por el algoritmo criptográfico Bcrypt, el cual implementa "salar" la contraseña (agregar ciertos caracteres aleatorios) para protegerlos contra ataques rainbow table.
"El bcrypt es una función adaptativa:. Con el tiempo, el número de iteraciones se puede aumentar para que sea más lento, por lo que sigue siendo resistente a los ataques de fuerza bruta de búsqueda, incluso con el aumento de potencia de cálculo", explica Wikipedia. La función Bcrypt es el algoritmo hash de la contraseña por defecto para muchos OS, incluyendo BSD y algunas distribuciones de Linux.
¿Cómo consiguieron las contraseñas hash entonces?
El equipo ha analizado el volcado filtrado en Internet por los atacantes y descubrió un fallo de seguridad en los tokens de acceso utilizados por el sitio web.
La falla, que incluyó contraseñas hash de los usuarios, el código fuente de la página web y correos electrónicos ejecutivos, está relacionado con el uso de algoritmos de hash MD5 débiles.
Básicamente, los expertos examinaron el código e identificaron un par de funciones que podrían ser explotadas para acelerar el descifrado de la contraseña hash.
"Identificamos dos funciones de interés y una inspección más cercana, descubrimos que podíamos explotar estas funciones como ayudantes en la aceleración del descifrado de los hashes bcrypt."
La idea detrás del ataque es aplicar fuerza bruta a los tokens de MD5 de Ashley Madison en lugar de intentar descifrar el algoritmo Bcrypt.
A través de los dos métodos inseguros de generación $logkinkey observados en dos funciones diferentes, hemos sido capaces de ganar enormes aumentos de velocidad en descifrar las contraseñas hash bcrypt. En vez de lentamente descifrar bcrypt hashes directamente, que es el tema de moda en el momento, tomamos un enfoque más eficiente y simplemente atacamos el md5 (lc ($ nombre de usuario). "::". Lc ($ pass)) y md5 ( .. lc ($ nombre de usuario) "::" lc ($ pass). ":" lc ($ email). ".: 73 @ ^ bhhs & # @ & ^ @ 8 @ * $") tokens en su lugar. Después de haber roto el token, simplemente luego tuvimos al caso correcto frente a su contraparte bcrypt.
La variable $loginkey parecía ser utilizada para la conexión automática, pero no pasamos mucho tiempo investigando más. Se genera en la creación de cuentas de usuario y se re-genera cuando el usuario modifica los datos de su cuenta incluyendo nombre de usuario, contraseña y dirección de correo electrónico ".
Con la adopción de esta estrategia, el equipo obtuvo 11,2 millones de contraseñas en claro. Según lo explicado por los investigadores, el proceso podría aplicarse sólo para una parte de las cuentas porque el algoritmo hash MD5 se introdujo hasta junio del 2012.
Los expertos estiman que casi 15 millones de cuentas de Ashley Madison podrían verse comprometidos con esta técnica.
El ultimo mes, hackers comprometieron el popular sitio web de adulterio Ashley Madison y se filtró en Internet un archivo masivo que contiene datos pertenecientes a 37 millones de usuarios, incluidos los 37 millones de contraseña cifrada.
La nota del dia es es que un grupo de hackers que se autodenomina Cynosure Prime, ha roto más de 11 millones de contraseñas hash de usuarios en los últimos 10 días.
Las contraseñas hash estaban protegidos por el algoritmo criptográfico Bcrypt, el cual implementa "salar" la contraseña (agregar ciertos caracteres aleatorios) para protegerlos contra ataques rainbow table.
"El bcrypt es una función adaptativa:. Con el tiempo, el número de iteraciones se puede aumentar para que sea más lento, por lo que sigue siendo resistente a los ataques de fuerza bruta de búsqueda, incluso con el aumento de potencia de cálculo", explica Wikipedia. La función Bcrypt es el algoritmo hash de la contraseña por defecto para muchos OS, incluyendo BSD y algunas distribuciones de Linux.
¿Cómo consiguieron las contraseñas hash entonces?
El equipo ha analizado el volcado filtrado en Internet por los atacantes y descubrió un fallo de seguridad en los tokens de acceso utilizados por el sitio web.
La falla, que incluyó contraseñas hash de los usuarios, el código fuente de la página web y correos electrónicos ejecutivos, está relacionado con el uso de algoritmos de hash MD5 débiles.
Básicamente, los expertos examinaron el código e identificaron un par de funciones que podrían ser explotadas para acelerar el descifrado de la contraseña hash.
"Identificamos dos funciones de interés y una inspección más cercana, descubrimos que podíamos explotar estas funciones como ayudantes en la aceleración del descifrado de los hashes bcrypt."
La idea detrás del ataque es aplicar fuerza bruta a los tokens de MD5 de Ashley Madison en lugar de intentar descifrar el algoritmo Bcrypt.
A través de los dos métodos inseguros de generación $logkinkey observados en dos funciones diferentes, hemos sido capaces de ganar enormes aumentos de velocidad en descifrar las contraseñas hash bcrypt. En vez de lentamente descifrar bcrypt hashes directamente, que es el tema de moda en el momento, tomamos un enfoque más eficiente y simplemente atacamos el md5 (lc ($ nombre de usuario). "::". Lc ($ pass)) y md5 ( .. lc ($ nombre de usuario) "::" lc ($ pass). ":" lc ($ email). ".: 73 @ ^ bhhs & # @ & ^ @ 8 @ * $") tokens en su lugar. Después de haber roto el token, simplemente luego tuvimos al caso correcto frente a su contraparte bcrypt.
La variable $loginkey parecía ser utilizada para la conexión automática, pero no pasamos mucho tiempo investigando más. Se genera en la creación de cuentas de usuario y se re-genera cuando el usuario modifica los datos de su cuenta incluyendo nombre de usuario, contraseña y dirección de correo electrónico ".
Con la adopción de esta estrategia, el equipo obtuvo 11,2 millones de contraseñas en claro. Según lo explicado por los investigadores, el proceso podría aplicarse sólo para una parte de las cuentas porque el algoritmo hash MD5 se introdujo hasta junio del 2012.
Los expertos estiman que casi 15 millones de cuentas de Ashley Madison podrían verse comprometidos con esta técnica.
