contraseñas encriptadas ampliamente accesibles

4

Supongamos que su universidad tiene un servidor ldap centralizado utilizado para autenticar a todos los estudiantes, profesores y personal de todos los servicios prestados por la universidad (correo electrónico, exámenes, impuestos ...) Supongamos que en el laboratorio de computación es posible para cada usuario autenticado para emitir un ldapsearch y obtener todos los datos de todas las personas en la universidad: estudiantes, profesores, técnicos ... Supongamos que los datos también contienen los campos: sambaLMPassword y sambaNTPassword con la contraseña cifrada de cada persona.

Ahora suponga que está un poco preocupado (usted es un profesor y piensa que tal vez los estudiantes podrían descifrar el sistema y robar las contraseñas), por lo que habla con el personal técnico de la universidad y dicen algo en las siguientes líneas:

  • sabemos esto desde hace mucho tiempo, pero los hash de contraseña son necesarios para algún servicio antiguo que debemos mantener;
  • de todos modos, las contraseñas están encriptadas y es ilegal forzarlas;
  • y nuestros estudiantes no son tan inteligentes para comprender que pueden obtenerlos y descifrarlos;
  • sin embargo, por favor, mantenga este secreto.

¿Te tranquilizarán las respuestas? ¿Qué harías a continuación?

    
pregunta S. One 21.02.2017 - 00:23
fuente

3 respuestas

4

A menudo se requiere que las instituciones educativas obtengan y mantengan el cumplimiento y la certificación en numerosos estándares de ciberseguridad . Mantener un conjunto de cifrado débil o un cifrado roto puede dejarlos fuera de cumplimiento, lo que podría descubrirse en su próxima auditoría.

Cuando veo "contraseña de NT", me preocupo mucho: las contraseñas de Windows se pueden descifrar en unos 13.6 segundos . Un sambaNTPassword es solo un hash MD4 , que es un algoritmo de hash que está horriblemente roto y ha estado funcionando durante más de una década.

Dicho esto, estos sistemas deben someterse a auditorías ocasionales y, en la medida de lo posible, serán detectados y atendidos (o habrá que establecer una exención y otras medidas de mitigación, por ejemplo, un segundo factor de autenticación que protege las cuentas de administrador). Entonces, si elige no hacer nada, no significa que no lo arreglarán ... eventualmente.

Si ocultan a propósito esta vulnerabilidad durante las auditorías de cumplimiento, esto no es técnicamente ilegal, pero pueden perder sus diversas certificaciones si son descubiertos y se abren a la responsabilidad civil si son hackeados.

En cuanto a este comentario

  

y nuestros estudiantes no son tan inteligentes para comprender que pueden obtenerlos y descifrarlos

^ Es una afirmación ridícula de alguien que está olvidando que la generación más joven pasa por alto a sus mayores en varios órdenes de magnitud cuando se trata de cosas como esta. ¡Este chico encontró vulnerabilidades en la XBox a la edad cinco ! (Ahora trabaja para la seguridad de Microsoft)

  

sin embargo, por favor, mantenga este secreto.

No estaría de acuerdo con eso, pero sé educado al respecto. Debes tener claro que no estás dispuesto a mentir para cubrir los errores de otra persona.

  

¿Qué harías a continuación?

Personalmente, trataría esto como un "momento de enseñanza" (recuerde que todavía es un estudiante) y exprese que le gustaría aprender más. Vea si puede organizar una reunión con uno de los oficiales de cumplimiento de seguridad cibernética de la universidad. Estas son las personas que firman los formularios que juran y afirman que están cumpliendo con los requisitos y que trabajan regularmente con los auditores. Una vez que se lo comuniques, puedes decir con seguridad que hiciste todo lo que pudiste hacer y será su trabajo tomarlo desde allí.

    
respondido por el John Wu 21.02.2017 - 01:24
fuente
1

Haría lo mismo que tú y crearía una nueva cuenta de stackexchange y no utilizaría mi cuenta normal. ;-)

Creo que es importante saber si las personas con las que habló no están dispuestas a cambiar esto. (Me suena así). Luego verificaría si hay un jefe / gerente de TI, con quien podría hablar, tal vez en un nivel más abstracto.

También puede sugerir contratar a una empresa de seguridad para realizar una pequeña prueba de lápiz. Puede sugerir esto al gerente de TI, sin señalar este problema y luego dejar que la empresa de seguridad encuentre este problema en la prueba de la pluma ... (No hay necesidad de disparar al mensajero)

Esta es una situación difícil y depende completamente de quiénes son las personas con las que puedes hablar y qué agenda tienen.

    
respondido por el cornelinux 21.02.2017 - 00:34
fuente
1

IIRC los atributos sambaLMPassword y sambaNTPassword , aunque están en hash, en realidad son como credenciales de texto simple (secretos compartidos) porque se usan para la autenticación de desafío-respuesta en SMB protocolo (NTLM etc.).

No hay mucho que puedan hacer ustedes con respecto a la TI con respecto a la mera existencia de estos atributos, excepto el cierre de todos los servicios que dependen de esos controladores de dominio Samba.

Lo que pueden hacer es limitar la visibilidad de estos atributos a los clientes LDAP concediendo acceso de lectura solo a los controladores de dominio Samba. P.ej. para OpenLDAP esto se puede hacer fácilmente con ACLs.

    
respondido por el Michael Ströder 17.07.2018 - 13:24
fuente

Lea otras preguntas en las etiquetas