Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/11/2013
Adobe, la tempesta després de la tempesta
Després de reconéixer el robatori del codi font de diversos dels seus productes i la informació personal de quasi tres milions d’usuaris i clients, s’han anat fent públics unes quantes anàlisis que posen en dubte el procediment usat per Adobe per a emmagatzemar les credencials.
Les dades extretes arriben quasi als 10 Gb. Uns 130 milions de credencials que Adobe ha anat emmagatzemant al llarg de diversos anys. Entre els comptes robats poden observar-se alguns que pertanyen a agències del govern nord-americà com ara l’FBI.
El problema hauria sigut “menor” si estes credencials hagueren estat emmagatzemades en forma de hash usant una funció sòlida (sense problemes coneguts de seguretat) i aplicant bones pràctiques. Este tipus de funcions són teòricament irreversibles, és a dir, una vegada emmagatzemat el hash, hauria de ser impossible conéixer quina cadena (la contrasenya) el va originar. És el que es coneix com a criptografia asimètrica.
Adobe, no obstant això, no va optar per emmagatzemar els hashes de les credencials. En lloc d’això, les contrasenyes eren xifrades amb un algoritme denominat TripleDES. Este algoritme simètric va sorgir a causa d’un problema de seguretat en l’algoritme DES relacionat amb la longitud de la clau (56 bits).
TripleDES és el resultat d’encadenar tres vegades l’algoritme DES en cada bloc de dades. Un mètode simple de prolongar la longitud de la clau (168 bits) per a reusar el DES i no invertir en el disseny d’un nou algoritme. Però, com sol ser habitual en seguretat, era qüestió de temps que sorgiren atacs sobre TripleDES, com ara "Meet-in-the-middle", o a través del xifrat aïllat de porcions conegudes de text clar que se sospiten incloses dins del text xifrat. Tots estos atacs tendixen a reduir l’efectivitat de la longitud de la clau.
Llegiu la notícia completa en Hispasec.