¿Cómo puedo demostrar que este sitio tiene una gran vulnerabilidad de seguridad?

El formato de contraseña en el atributo userpassword se parece al formato estándar usado por varios servicios de Unix, como el servicio de contraseña del sistema predeterminado que almacena las contraseñas con hash en /etc/shadow . El formato es básicamente:

$ type $ salt $ hash

En su ejemplo, el tipo es 1, que designa un hash md5. Existen otros tipos conocidos, como varios tamaños de funciones hash de la familia sha.

Romper un hash md5 es casi trivial hoy, incluso cuando está salado, porque md5 es muy rápido. No es una función hash que sea segura de usar para contraseñas de hash; hashcat y otros crackers de contraseñas pueden, literalmente, hash millones o incluso miles de millones de candidatos de contraseña por segundo.

Por lo tanto, este servicio de almacenamiento de datos no es simplemente horrible porque devuelve los hashes de las contraseñas de los usuarios, es aún más horrible porque en realidad utiliza los hashes md5 para almacenar contraseñas.

Para demostrarle a tu jefe que esto realmente no es seguro, puedes descargar hashcat y algunas listas de contraseñas (puedes encontrarlas fácilmente en línea), y luego ejecutarlas en una computadora con una GPU muy poderosa en todas las contraseñas Usted obtiene del servicio. Tome nota de la cantidad de contraseñas que el hashcat puede descifrar (sin mirar las contraseñas en sí mismas; pueden revelar información privada sobre las personas que las eligieron, y no quiere saber realmente sus contraseñas), e informar a las personas cuyas contraseñas fueron comprometido que necesitan elegir una nueva contraseña. Probablemente necesitará obtener permiso para hacer todo esto primero, porque dependiendo de dónde viva y trabaje, esto podría considerarse un ataque malicioso o incluso ser ilegal.

Aparte : si no pudiera utilizar este servicio incluso después de expresar sus dudas, sugeriría que configure un descifrador de contraseñas automatizado que se ejecuta sin intervención humana e informa a las personas (enviándoles un correo electrónico) cuando logre descifrar su contraseña sería una manera de proteger a sus usuarios de este tipo de mal diseño. Ayudaría eliminar las contraseñas débiles y aumentar la cantidad de tiempo que necesita un atacante real para descifrar las contraseñas.

Editar : Zach señaló que no es una práctica común y que no debe ser intentada por alguien que no pueda evaluar los riesgos. Estoy completamente de acuerdo con eso. Por lo menos, si hiciste algo así, deberías tener la administración bien.

Sin embargo, NO hacer esto no hace que el sistema resultante sea más seguro. Es el equivalente a meter la cabeza en la arena por temor a que, si realmente hiciste algo para mejorar la seguridad de la contraseña, podría ser contraproducente para ti. sabemos que las personas eligen contraseñas malas, y sabemos que md5 no es una buena forma de hash de contraseñas. Si no podemos cambiar estos dos datos y estamos en condiciones de eliminar contraseñas débiles, entonces probablemente deberíamos hacerlo para que nuestros usuarios estén más seguros.

Una razón importante por la que esto no se ve mucho, o incluso se considera mucho, es que generalmente no estamos en condiciones de implementarlo. Los buenos sistemas no usan funciones hash rápidas para las contraseñas de hash, y generalmente no tenemos acceso a toda la base de datos de contraseñas hash.

Este hash de contraseña parece utilizar el formato crypt() (que, a pesar de su nombre y lo que dicen algunas documentaciones, incluida esa misma página de manual, no tiene absolutamente nada que ver con el cifrado, es hashing ). Cuando comienza con $1$ , esto significa que es una función de hashing de contraseña basada en MD5. Su especificación exacta es "lo que haga glibc". Un vistazo a la código fuente muestra algunos pasajes ilustrativos:

 201   /* The original implementation now does something weird: for every 1
 202      bit in the key the first 0 is added to the buffer, for every 0
 203      bit the first character of the key.  This does not seem to be
 204      what was intended but we have to follow this to be compatible.  */
 205   for (cnt = key_len; cnt > 0; cnt >>= 1)
 206     md5_process_bytes ((cnt & 1) != 0
 207                        ? (const void *) alt_result : (const void *) key, 1,
 208                        &ctx, nss_ctx);
 209 
 210   /* Create intermediate result.  */
 211   md5_finish_ctx (&ctx, nss_ctx, alt_result);
 212 
 213   /* Now comes another weirdness.  In fear of password crackers here
 214      comes a quite long loop which just processes the output of the
 215      previous round again.  We cannot ignore this here.  */
 216   for (cnt = 0; cnt < 1000; ++cnt)
 217     {

De esto, podemos concluir que esta función de hashing no está muy bien documentada.

De todos modos , como funcionan las funciones de hash de contraseñas, no es muy bueno. Utiliza un salt , y eso es bueno, ya que debería evitar el uso por parte de atacantes de tablas precomputadas (incluidas las tablas de arco iris). También incluye un bucle con muchas (1000) iteraciones, como un intento de hacer que el hashing de contraseñas sea más lento, lo que dificulta que los atacantes intenten muchas contraseñas potenciales hasta que se encuentre una coincidencia (un proceso conocido como "fuerza bruta" o "ataque de diccionario" ").

Lamentablemente, tampoco es muy bueno. MD5 es rápido, y un millar de MD5 anidado, aunque aún 1000 veces más lento, sigue siendo rápido. Una PC disponible con una GPU básica orientada al juego puede calcular millones de tales hashes por segundo; una contraseña de usuario promedio no durará mucho tiempo; y con eso, quiero decir que un atacante que gaste un minuto de cómputo por contraseña de hash seguirá agrietando la mitad.

Aparte de la contraseña con hash, simplemente revelar las direcciones de correo electrónico de los usuarios ya es una ofensa bastante condenable, quiero decir legalmente. Por ejemplo, en Canadá, esto se conoce como "información personal" y todos los usuarios tienen derecho a demandarlo.

Detener. No vayas más lejos. No haga más pruebas, demostraciones, etc. hasta que se le haya pedido explícitamente que lo haga por escrito, e incluso entonces comience y sugiera que hay muchas más personas calificadas que usted para realizar una auditoría / prueba / etc .

Conozco a 2 personas que hicieron algo similar con menos información (sin contraseñas, solo detalles a los que no necesitaban acceso y no deberían haber tenido acceso) hace unos pocos meses y todavía están en proceso. de tratar con delito grave cargos.

Ese formato parece un hash de contraseña de estilo Unix estándar. Los campos están separados por signos de dólar, primero es el algoritmo, luego la sal, luego el hash real. Asumiendo que es un sistema Linux, $ 1 $ indica el algoritmo de contraseña md5 (que es un poco más complejo que el md5 puro). Las longitudes de los campos también son consistentes con el algoritmo de hash de contraseña MD5.

Existen muchas herramientas para atacar los hashes de contraseña de Linux. Si tiene éxito con esas herramientas dependerá en gran medida de qué tan seguras sean las contraseñas.

También tengo en cuenta que su sal tiene muchos ceros. Si tiene una sal estática o un rango de sales relativamente pequeño (en comparación con el número de usuarios), esto puede abrir opciones para ataques precomputados.

Finalmente, me gustaría señalar que atacar contraseñas reales puede traer problemas legales.

Toda esta información está disponible para un usuario admin en un sistema Linux típico en /etc/passwd (legible por cualquier persona) y /etc/shadow (legible por la raíz). En Linux estándar, es difícil evitar que un usuario root acceda a /etc/shadow . Como la consulta requiere privilegios de administrador, no parece que esté exponiendo mucho dado que una cuenta de administrador ha sido comprometida. Como han mencionado otras respuestas, si el sistema realmente utiliza hash md5, eso es un problema, pero no está relacionado con la pregunta.