Sophos fustiga Adobe, errori stupidi che hanno fatto perdere milioni di password

Sophos pubblica un lungo documento che analizza la stupidità con cui Adobe ha gestito le password dei propri utenti.

Anche Sophos cita Randall Munroe, il vulcanico creatore del webcomic XKCD, nel proprio reportage dedicato al caso del leak di Adobe, e lo fa a ragione. Il fumettaro rincara la dose, dicendo che gli unici che hanno fatto una bella figura in questa tremenda débâcle della sicurezza sono quelli che hanno piratato Photoshop.

Sophos, creatori di un famoso antivirus e esperti di sicurezza, hanno letteralmente messo in croce Adobe per le pessime pratiche di sicurezza impiegate per proteggere i propri utenti. Le spiegazioni di Sophos sono lunghe e articolate, ma semplici. Adobe ha sbagliato, è stata negligente e tutta la responsabilità ricade sulle sue spalle.

Neppure le misure di base


Inizialmente, ci dice Sophos, si pensava che Adobe avesse perso delle password rese irriconoscibili da hash e salt. Al giorno d’oggi tutti archiviano le password con questo metodo: l’hash è una funzione matematica a senso unico che dipende dalla password stessa, il salt è invece una stringa di numeri casuali che è assegnata all’ID utente. Hash e salt vengono mescolate per confondere i tentativi di risalire alla password in chiaro, e assicurano che se anche due utenti scelgono la stessa password, la sequenza immagazzinata sarà comunque diversa.

Un dump di 150 milioni di password risultanti da questo leak è stato pubblicato online. Di questi dati, in alcuni casi la mail era in chiaro (dipendeva dal tipo di account) e nella loro totalità la domanda di sicurezza (o suggerimento per la password) era leggibile.

Anche di fronte a un’analisi molto superficiale è evidente che i dati delle password sono codificati in base 64, ma niente hash: sono di lunghezze differenti, sarebbero di lunghezza uguale se sottoposte ad hash.

Secondo Sophos le password sono crittografate usando un metodo chiamato 3DES, una cosiddetta cifratura a blocchi simmetrica. Senza hash questo vuol dire che chiunque mettesse le mani sulla chiave di lettura potrebbe decrittare tutte le password archiviate sul sistema.

Cosa ancora peggiore, le password uguali appaiono con la stessa crittografia, come appare dolorosamente evidente dal loro suggerimento:

Ci sono altri problemi e altri errori evidenziati da Sophos, e vi spingo a leggere il loro rapporto. Siccome Adobe chiede il vostro numero di carta di credito e dati bancari per farsi pagare profumatamente, vi esorto a ripensare i vostri rapporti di tipo economico con un’azienda che non ha molto rispetto per la sicurezza dei propri clienti.

Via | Naked Security by Sophos

  • shares
  • +1
  • Mail