Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Adobe confirma que las contraseñas robadas estaban cifradas, no eran hashes
Tanto investigadores de seguridad como la compañía Adobe confirmaron en una declaración a la agencia CSO que las millones de contraseñas robadas en el ciberataque de octubre no se encontraban guardadas de acuerdo a las mejores prácticas en la industria. Las contraseñas solo se encontraban cifradas, cuando se esperaría que se guardaran hashes de estas, lo que complicaría las cosas a aquellos con intención de obtener las contraseñas en claro.
Las mejores prácticas para la protección y almacenamiento de contraseñas indican el uso de algún algoritmo diseñado para éste propósito, entre los algoritmos disponibles se encuentran bcrypt, scrypt, PBKDF2 o SHA-2. La razón de usar algoritmos de éste tipo es que, una vez implementados, es prácticamente imposible obtener la contraseña a través de un ataque de fuerza bruta. La complejidad incrementa cuando se utiliza un número aleatorio muy grande conocido como sal, el cual es utilizado para obtener una firma hash de la contraseña.
Al no implementar este tipo de algoritmos, los ingenieros de Adobe incurrieron en una falta al elemento A6, Exposición de Datos Sensibles, del Top 10 de OWASP. De acuerdo a Adobe, la implementación de mejores prácticas respecto a la protección y almacenamiento de contraseñas se ha realizado durante más de un año, con la mejora de sus sistemas implementando el algoritmo SHA-256, utilizando sales para las contraseñas. Sin embargo, este sistema mejorado no fue el blanco del ataque.
El portavoz de Adobe, Heather Edell declaro a CSO que:
“Este sistema no fue blanco del ataque que revelamos el 3 de Octubre de 2013. El sistema de autenticación involucrado en el ataque era un sistema de respaldo y estaba destinado a ser dado de baja. El sistema involucrado en el ataque usaba el cifrado Triple DES para proteger toda la información almacenada de las contraseñas”
El uso de Triple DES (3DES) para proteger contraseñas va en contra de las mejores prácticas debido a que, dependiendo de cómo se cifraron las contraseñas, si un atacante puede adivinar las llaves utilizadas, entonces las contraseñas pueden ser recuperadas. A pesar de que atacar directamente 3DES es bastante complicado, los métodos usados por Adobe no suponen que obtener las contraseñas sea una tarea imposible.
