Mozilla lagde database med 44.000 kodeord ud til frit skue

En database med 44.000 brugernavne og kodeord blev ved et uheld gjort frit tilgængelige på Mozillas server. Kodeordene var krypteret med den forældede MD5-algoritme, som Mozilla nu er gået væk fra.

En database med brugernavne og adgangskoder for brugere af Mozillas tjeneste til download af udvidelser til blandt andet Firefox-browseren blev ved et uheld lagt ud på en server, hvor enhver havde adgang til at downloade filen. Det oplyser Mozilla.

Mozilla blev gjort opmærksom på fejlen, da en sikkerhedsekspert gjorde opmærksom på, at der var fri adgang til databasen. Ifølge Mozilla viser logfilerne, at ingen andre end sikkerhedseksperten har downloadet datanbasefilen.

Databasen omfatter 44.000 brugernavne og adgangskoder til addons.mozilla.org, som er krypteret med MD5-algoritmen. Den gik Mozilla bort fra at anvende i april 2009, fordi algoritmen har vist sig at være sårbar over for brute force-angreb.

I dag anvender Mozilla i stedet SHA-512 med unikke salt-værdier for hver bruger, hvilket regnes for at være betydelig mere sikkert end MD5.

Mozilla har nu slettet alle 44.000 MD5-krypterede kodeord, hvormed de tilknyttede brugerkontoer er blevet deaktiveret. Samtidig har Mozilla også orienteret brugerne af addons.mozilla.org om sikkerhedsbruddet via e-mail.

Mozilla har ikke oplyst, hvordan databasen blev gjort offentligt tilgængelig, udover at det er sket ved en fejl.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Stig Jørgensen

Databasen omfatter 44.000 brugernavne og adgangskoder til addons.mozilla.org, som er krypteret med MD5-algoritmen. Den gik Mozilla bort fra at anvende i april 2009, fordi algoritmen har vist sig at være sårbar over for brute force-angreb.

MD5 er en hash-funktion - ikke en krypteringsalgoritme.

Selvfølgelig er den sårbar overfor brute-force - det er alt! Til gengæld (eller derudover) er MD5 meget sårbart overfor kollisionsangreb, som bruges til at finde frem til alternative data med samme MD5-sum. Dette kan være et stort problem hvis man benytter MD5 til unik identifikation - f.eks. af public keys. Se her:

MD5 considered harmful: http://www.win.tue.nl/hashclash/rogue-ca/

MD5 bruges generelt ikke længere til identifikation af public keys i PKI-regi.

Mht. artiklen er det i øvrigt hel-dumt at kryptere med hash-funktioner, da nøglen er offentligt kendt!

  • 0
  • 0
Morten Jensen

@Henrik Stig Jørgensen

Mht. artiklen er det i øvrigt hel-dumt at kryptere med hash-funktioner, da nøglen er offentligt kendt!

Den må jeg bede dig uddybe. Jeg forstår ikke hvad du mener. Mener du at salten til hashen er offentligt kendt, eller?

krypteret med MD5-algoritmen. Den gik Mozilla bort fra at anvende i april 2009, fordi algoritmen har vist sig at være sårbar over for brute force-angreb.

Er der sket noget i april 2009, der har sat skub i skiftet fra MD5 til SHA-512? Sådan læser jeg nemlig artiklen. Jeg er nemlig ikke selv bekendt med nogen event, der kunne have triggered det. MD5 er IMHO blevet forældet med årene, fordi desktophardware er blevet meget hurtigt. Det tager efterhånden ikke lang tid at cracke en MD5-hashet streng.

  • 0
  • 0
Dennis Krøger

MD5 er en hash-funktion - ikke en krypteringsalgoritme.

Det er lidt ordkløveri i dette tilfælde. Hash funktionen bruges til at kunne checke om passwords er korrekte uden at skulle have dem liggende i cleartext. Det er ikke uden grund at de kaldes cryptographic hashes.

Med hensyn til kollisioner er problematikken her lidt omvendt: Det farlige er ikke så meget kollisioner, men om brugernes cleartext passwords kan findes ud fra hashen. For dette betyder det ikke ret meget om det er MD5 eller SHA, men om der er brugt en salt så diverse teknikker til at finde kodeordene (f.eks. rainbow tables) ikke er praktisk anvendelige.

Der er godt nok en preimage svaghed i MD5, der i teorien kunne gøre det nemmere, men den er stadig meget teoretisk.

  • 0
  • 0
Per Sikker Hansen

@Dennis

Den del af problematikken du beskriver har jeg et stykke tid haft svært ved at se kan løses med saltværdier, unikke eller ej.

Et rainbow table er vel ligeglad med om strengen er jupiter3 eller x7y1ms01jupiter3ll130x, for nu at tage et eksempel.

Langt de fleste passwords derude er forholdsvis letlæselige, så en dude der kigger igennem matches på et rainbowtable burde vel være fuldt ud i stand til at skelne salt fra snot, så at sige. Er der et lag i løsningen jeg overser? Det eneste umiddelbare jeg kan komme på er at processen at generere tabellen vil tage længere tid jo længere strengene potentielt er, men det er der vel ikke andet end kilowatttimer i vejen for?

  • 0
  • 0
Morten Jensen

@Per Sikker Hansen

Du har ret i at de fleste passwords er letlæselige. Derfor salter man dem, for at forhindre dictionary attacks. Derfor har du ret i din konklusion, "det vil bare tage længere tid", da du ikke effektivt kan dictionary angribe hashes, men må ty til brute force.

Det er bare en måde at forstærke passwords på. Hvis du bruger den samme salt (f.eks. 'salt') vil du bare starte med at prøve 'salt0', 'salt1', 'salt2' ... osv.

Hvis hver bruger har sin egen salt, kan du ikke genbruge så meget af regnearbejdet, og kravet til størrelsen af dit rainbowtable stiger eksplosivt med antallet af unikke salts - vi snakker lynhurtigt terabytes for passwords større end 10 tegn.

Læs evt. mere her: http://en.wikipedia.org/wiki/Rainbow_table#Defense_against_rainbow_tables

Det eneste umiddelbare jeg kan komme på er at processen at generere tabellen vil tage længere tid jo længere strengene potentielt er, men det er der vel ikke andet end kilowatttimer i vejen for?

Du rammer hovedet på sømmet. Kilowatttimer er en reel barriere for de fleste angribere. På samme måde som kwh er en virkelig barriere for forskning i klima, kræft, astronomi osv.

  • 0
  • 0
Log ind eller Opret konto for at kommentere