Después del robo del código fuente de varios de sus productos y de la información personal de casi tres millones de usuarios y clientes, se han ido haciendo públicos varios análisis que ponen en cuestión el procedimiento usado por Adobe para almacenar las credenciales.
Los datos extraídos alcanzan casi los 10Gb. Unos 130 millones de credenciales que Adobe ha ido almacenando a lo largo de varios años. Entre las cuentas robadas pueden observarse algunas que pertenecen a agencias del gobierno norteamericano tales como el FBI.
El problema hubiera sido "menor" si estas credenciales hubieran estado almacenadas en forma de hash. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce como criptografía asimétrica.Adobe, sin embargo, no optó por almacenar los hashes de las credenciales. En vez de ello las contraseñas eran cifradas con un algoritmo denominado TripleDES.
Una mala práctica elegir un cifrado simétrico para almacenar contraseñas cifradas y otra peor escoger un algoritmo con problemas conocidos y para terminar de empeorarlo la selección de una configuración débil en la aplicación de la función de cifrado.
¿Por qué Adobe cifró las credenciales con un cifrado simétrico en vez del hash?
- Esto, significa que Adobe tenía la llave para conocer las credenciales de sus usuarios y clientes. Por poner un ejempo es como si cuando compras un coche el anterior propietario se queda con una copia de la llave.
- Por supuesto los ataques contra el cifrado no se han hecho esperar y ya hay una lista con el top 100 de las contraseñas más usadas. http://stricture-group.com/files/adobe-top100.txt
Más información:
Una al día (5/11/2013) http://unaaldia.hispasec.com/2013/11/adobe-la-tormenta-despues-de-la-tormenta.htmlFuente: Hispasec
