Adobe, la tormenta después de la tormenta


Tras reconocer el robo del código fuente de varios de sus productos y la información personal de casi tres millones de usuarios y clientes, se han ido haciendo públicos varios análisis que ponen en cuestión el procedimiento usado por Adobe para almacenar las credenciales.





Los datos extraídos alcanzan casi los 10Gb. Unos 130 millones de credenciales que Adobe ha ido almacenando a lo largo de varios años. Entre las cuentas robadas pueden observarse algunas que pertenecen a agencias del gobierno norteamericano tales como el FBI.

El problema hubiera sido "menor" si estas credenciales hubieran estado almacenadas en forma de hash usando una función sólida (sin problemas conocidos de seguridad) y aplicando buenas prácticas. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce como criptografía asimétrica.

Adobe, sin embargo, no optó por almacenar los hashes de las credenciales. En vez de ello las contraseñas eran cifradas con un algoritmo denominado TripleDES. Este algoritmo simétrico surgió debido a un problema de seguridad en el algoritmo DES relacionado con la longitud de clave (56 bits).

TripleDES es el resultado de encadenar tres veces el algoritmo DES en cada bloque de datos. Un método simple de prolongar la longitud de clave (168 bits) para reusar el DES y no invertir en el diseño de un nuevo algoritmo. Pero como suele ser habitual en seguridad, era cuestión de tiempo para que surgieran ataques sobre TripleDES, como "Meet-in-the-middle" o a través del cifrado aislado de porciones conocidas de texto claro que se sospechen estén incluidas dentro del texto cifrado. Todos estos ataques tienden a reducir la efectividad de la longitud de clave.

Además, en el caso de Adobe se usó TripleDES con el método ECB (Electronic CodeBook). Esto quiere decir que el texto claro se separa el bloques de idéntico tamaño y es cifrado de manera independiente. El resultado final es que dos porciones o bloques que tengan el mismo texto claro tendrán la misma apariencia cuando sean cifrados. No es necesario decir que esto representa una ventaja enorme para el atacante.

Una mala práctica el escoger un cifrado simétrico para almacenar las contraseñas cifradas y otra peor al escoger un algoritmo con problemas conocidos y para terminar de empeorarlo la selección de una configuración débil en la aplicación de la función de cifrado.

En el lado ético de la cuestión nos queda preguntarnos: ¿Por qué Adobe cifró las credenciales con un cifrado simétrico en vez del hash? Esto, significa que Adobe tenía la llave para conocer las credenciales de sus usuarios y clientes. Algo que por hacer una correspondencia mundana es como si cuando compras una casa el que te la vendió se queda una copia de la llave, por si acaso...

Más información:
http://unaaldia.hispasec.com/2013/11/adobe-la-tormenta-despues-de-la-tormenta.html

Por:
David García
Twitter: @dgn1729



Otras noticias de interés:

Salto de restricciones a través del analizador sintáctico de XML en JRE y JDK 6.x
Se ha encontrado una vulnerabilidad en Sun JRE y JDK que podría ser aprovechada por un atacante para saltarse restricciones de seguridad, permitiéndole el acceso a los recursos URL. ...
Nueva edición TuxInfo Nº 30
Disponible una nueva edición de la revista digital orientada a GNU/Linux y el Software Libre...
El Gran Hermano de los email
Tomemos, por ejemplo, la idea del software que comprueba si alguien ha leído su email. Suena como si fuera una función muy sencilla: usted le envía un email a alguien y luego recibe respuesta, ya sea mediante un mensaje separado o programa, una ve...
Nueva versión del parche experimental para servidores virtuales Linux
Se publica una nueva versión del parche experimental para Linux que permite el particionado del sistema operativo en entidades separadas e independientes, posibilitando la creación de un número ilimitado de servidores virtuales dentro de la mism...
2 parches para Windows 7, incompatibles con VMware
VMware alerta sobre el hecho de que dos parches de seguridad para Windows 7 impiden que el cliente de virtualización desktop VMware View pueda acceder al servidor View Connection Server....
Linux tiene un valor de 612 millones de dólares
Experto en el sistema operativo de código abierto Linux ha calculado que desarrollar Linux desde cero tendría un valor de 612 millones de dólares. La cifra no incluye los componentes adicionales con soporte para Linux....
INDETENIBLE Y DESBORDANTE SERÁ LA ZONA DESCARGA BELMONT 2003
Un circuito con las más excitantes actividades playeras, atracciones interactivas y las principales bandas musicales del momento, serán los ingredientes perfectos para descargar, gozar y vibrar entre amigos, en el evento más esper...
CyberSpy v8.4: Un servidor de Telnet que es un troyano
En un principio, cuando ni siquiera existía la interfaz gráfica amistosa de la World Wide Web que todos conocemos ahora, los ordenadores en la Red se manejaban de una forma similar al MS-DOS, es decir, con líneas de comando....
Vulnerabilidad en Microsoft HTML Help Workshop (.HHP)
Microsoft HTML Help Workshop es una herramienta que permite la creación de archivos de ayuda de Windows y también páginas Web que utilizan controles de navegación....
Kaspersky: ciberguerra podría acabar con el mundo que conocemos
El director y cofundador de la compañía rusa que lleva su nombre aún no se ha recuperado del descubrimiento del superespía Flame, el virus que afectó a computadores de muchos países de Oriente Próximo, básicamente de Irán. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • adobe
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • despues
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • tormenta
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra