Reportage

Twitter og GitHub lagrede ellers hashede kodeord i klartekst. Gør du?

4. maj 2018 kl. 15:0014
Twitter og GitHub lagrede ellers hashede kodeord i klartekst. Gør du?
Illustration: Privatfoto.
Mange andre organisationer gemmer også kodeord i klartekst uden at ane det, vurderer softwareudvikler Poul-Henning Kamp.
person
Jakob Møllerhøj
journalist
Artiklen er ældre end 30 dage
person
Jakob Møllerhøj
journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I denne uge kom det frem, at både Twitter og GitHub har gemt brugeres kodeord i klartekst.

Begge organisationer har godt nok på forsvarlig vis brugt bcrypt-algoritmen til at hashe kodeord med, så disse ikke har ligget i klar tekst.

Men både GitHub og senest Twitter har meddelt, at brugeres kodeord som følge af ikke nærmere definerede bugs alligevel er blevet opbevaret i klartekst i logfiler.

I en mail sendt til brugere af GitHub, fremgår det, at buggen skulle være relativt ny, mens CTO hos Twitter Parag Agrawai i et blog-indlæg ikke umiddelbart kommer nærmere ind på, hvor længe fejlen har eksisteret.

Artiklen fortsætter efter annoncen

Meldingerne fra Twitter og GitHub kommer stort set samtidigt, og fejlen lader overordnet til at være den samme: kodeord i klartekst i logfiler

It-udvikler og Version2-blogger Poul-Henning Kamp, mener dog, der på det tekniske niveau er tale om forskellige bugs.

»Samme overordnede fejl, men utvivlsomt forskellige implementeringer i praksis,« skriver han i en mail.

GDPR

Twitter har stort set samtidig med beskeden om kodeords-bommerten udsendt en besked om opdaterede brugervilkår, der træder i kraft 25. maj. Altså samme dato som den europæiske persondataforordning GDPR træder i kraft.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

En stribe virksomheder har i den senere tid haft travlt med informere brugere om opdaterede vilkår i lyset af GDPR.

På sub-redit’en /r/programming/ mener en bruger, at Twitter har opdaget problemet med kodeord i klartekst i forbindelse med en system revision i anledning af netop den europæiske persondatafordrning.

Poul-Henning Kamp kalder det »en nærliggende teori« at opdagelsen af kodeordene i klartekst hænger sammen med GDPR.

Mange har nok samme problem

Han er derudover helt sikker på, at der er masser af andre organisationer, der har kodeord i klartekst liggende uden at ane det.

»Der er i praksis ingen store organisationer, der har styr på, hvad der faktisk foregår på de nederste tekniske/systemadministrationslag af systemerne,« skriver han og tilføjer:

»I moradset af storage, routere, servere, VM, outsourcing og cloud er der aldrig nogen der har et klart overblik over hvem der i praksis kan gøre XYZ.«

Der kan være mange årsager til, at ellers forsvarligt hashede kodeord ender op i klartekst i en log, påpeger Poul-Henning Kamp. Blandt mulighederne nævner han:

  • Folk der kalder subrutiner, som skriver logfiler, de ikke har hørt om

  • Folk der kalder kode, som efter en opdatering, giver sig til at skrive logfiler, der ikke tidligere eksisterede

  • Folk der glemmer at slette debug-kode inden produktion

  • Folk der regner med at logfilerne er 'sikre'

  • Folk med hemmelige bijob, der går ud på at lave den slags fejl, startende med ‘selvstændige iværksættere’ som Se&Hør kilden hos IBM og sluttende med professionelle ‘plants’ fra FE, PET, CIA, NSA, Mossad etc.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
Kjeld Flarup Christensen
10. maj 2018 kl. 21:57

Det må være nogle stabile og fejlfri systemer, hvor systemadministratorene aldrig har behov for at kikke i loggen. Havde man gjort det, så havde man sikkert også opdaget kodeordene noget før.

Det kan selvfølgelig også være at logs er så fyldte med spam, at man aldrig opdager fejlen.

En løsning kunne være at sætte en scanner til at sammenholde logs med en liste af almindeligt anvendte kodeord. Ligesom scanneren burde kunne genkende CPR numre.

  • more_vert
    • insert_linkKopier link
11
Sune Marcher
7. maj 2018 kl. 15:49

En sansynlig forklaring kunne være nogen har hævet log-niveauet i whatever logging framework de nu end bruger for at debugge et problem uden at tænke over at frameworket så logger hele http-requestet INKLUSIVE indholdet af (authentication)cookies og alle form-felter. Det er i hvert fald en ret let fejl at begå.

Det ville også være mit første bud, før konspirationsteorier.

Eller en søvnig udvikler der er kommet til at have password-feltet med i User-klassens toString metode, der så har været med i noget logning i stil med "User $user (breached in $leak) finally performed password-reset".

  • more_vert
    • insert_linkKopier link
10
Bjarne Nielsen
7. maj 2018 kl. 12:21

Findes der systemer der også hasher på klientsiden før den sendes til serveren?

En alternativ tilgang kunne f.eks. være SRP: https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol.

In layman's terms, during SRP (or any other PAKE protocol) authentication, one party (the "client" or "user") demonstrates to another party (the "server") that they know the password, without sending the password itself, nor any other information from which the password can be broken. The password never leaves the client and is unknown to the server.

  • more_vert
    • insert_linkKopier link
9
Finn Aarup Nielsen
7. maj 2018 kl. 11:22

Findes der systemer der også hasher på klientsiden før den sendes til serveren? Det kunne give en smule ekstra beskyttelse: Kodeordet vil så ikke ligge i klartekst i en fejlagtig konfigureret serverlog og en person med adgang til kodeordsdatabase ville skulle baglæns igennem to hasher.

Problemet er vel at det kræver at Javascript kører på klienten.

  • more_vert
    • insert_linkKopier link
8
Chresten Christensen
5. maj 2018 kl. 12:03

Det mest oplagte er for mig at se #5; da det vil være en lækkerbisken for en efterretningsvæsen, når man tage i betragtning den mænge oplysninger der er hos twitter GitHub og lignende. Husk på at efterretningsvæsen er at indsamle oplysninger i bredt forstand, samt spiongase og kontra spiongase. Det falder også fint i hak, med det meme, politiker kør med Rusland, som den store skruk, og at der er et behov for større kontrol og undersøgelser af personer. Mens den virkelige grund er sandsynligvis nok mere kynisk og mørk; det handler om kontrol og styring af folket… :)

meme = https://en.wikipedia.org/wiki/Meme

  • more_vert
    • insert_linkKopier link
5
Anders Poulsen
5. maj 2018 kl. 08:56

Det er jo nok ikke sket ved at nogen med vilje har skrevet: log.writeLine(request.password)

En sansynlig forklaring kunne være nogen har hævet log-niveauet i whatever logging framework de nu end bruger for at debugge et problem uden at tænke over at frameworket så logger hele http-requestet INKLUSIVE indholdet af (authentication)cookies og alle form-felter. Det er i hvert fald en ret let fejl at begå.

  • more_vert
    • insert_linkKopier link
4
Magnus Jørgensen
5. maj 2018 kl. 07:12

#4:

Hele formålet med at hashe og salte er jo netop at undgå at gemme passwordet på serveren. En programmør der udvikler en authentifikations mekanisme, må jo være specielt opmærksom på det faktum. Hvordan skal det så være en forklaring at vedkommende pludselig synes at en log fil er sikker? Udviklere med mangel på logisk rationalisering er lidt ligesom håndværker uden arme. De får ikke programmeret ret meget og slet ikke authentifikations mekanismer på store tjenester i skyen.

#3

På de autentifikations mekanismer som jeg har udviklet har det aldrig slået mig at logge et kodeord. Ved test af koden har jeg altid blot logget det interessante, som er de tilstande min kode gennemgår. Det kunne feks. være digest ved oprettelse af brugeren og digest ved authentisering. Det kunne være om authentiseringen slår den rigtige bruger op i database og om sammenligning af digest er korrekt. Jeg vil selvfølgelig ikke udelukke at en udvikler kunne være så skødesløs at logge et kodeord. Men vedkommende må da være specielt opmærksom i sådan en sag.

Så jeg synes egentlig at #3 og #4 er mindst oplagt.

  • more_vert
    • insert_linkKopier link
3
David Konrad
5. maj 2018 kl. 00:22

Derudover tror jeg som visse andre der ligger lidt "politik" bag Twitter og GitHub's udmeldinger. Det er jo tilsyneladende interne brølere vi blot informeres overfladisk om, alternativt ligger der mere alvorligt bag der ikke kommunikeres ud. Med mindre man hedder Trump o.lign må bekymringsgraden være ret lille. Chancen for at blive kompromitteret mindre end sandsynligheden for at blive ramt af lynet.

  • more_vert
    • insert_linkKopier link
2
Ditlev Petersen
4. maj 2018 kl. 22:50

var offer for denne type "bug"? Ja, den bug er lærerig.

  • more_vert
    • insert_linkKopier link
1
René Nielsen
4. maj 2018 kl. 15:31

Hvorfor mon Twitter kommer lige nu med denne meddelelse?

Kunne det mon være fordi GDPR træder i kraft om 3 uger?

(Ironi kan forkomme)

  • more_vert
    • insert_linkKopier link