Come posso dimostrare che questo sito ha un enorme punto debole di sicurezza?

Il formato della password nell'attributo userpassword è simile al formato standard utilizzato da vari servizi unix, come il servizio password di sistema predefinito che memorizza le password con hash in /etc/shadow . Il formato è fondamentalmente:

$ type $ salt $ hash

Nel tuo esempio, il tipo è 1, che designa un hash MD5. Esistono altri tipi ben noti, come varie dimensioni delle funzioni hash della famiglia sha.

Rompere un hash MD5 è quasi banale oggi, anche quando è salato, perché MD5 è così veloce. Non è una funzione di hash che è sicura da usare per le password di hashing; hashcat e altri password cracker possono letteralmente hash milioni o addirittura miliardi di password per candidati al secondo.

Quindi questo servizio di archiviazione dati non è solo orribile perché invia indietro gli hash delle password degli utenti, è ancora più orribile perché utilizza effettivamente gli hash md5 per memorizzare le password.

Per dimostrare al tuo capo che questo non è sicuro, puoi scaricare hashcat e alcuni elenchi di password (puoi trovarli facilmente online), quindi eseguire hashcat su un computer con una GPU molto potente su tutte le password ottieni dal servizio. Prendi nota di quante password possono craccare hashcat (senza guardare le password stesse - potrebbero rivelare informazioni private sulle persone che le hanno scelte, e non vuoi conoscere realmente le loro password), e informare le persone le cui password sono state compromesso che hanno bisogno di scegliere una nuova password. Probabilmente avrai bisogno di ottenere il permesso di fare tutto questo prima, perché a seconda di dove vivi e lavori, questo potrebbe effettivamente essere considerato un attacco dannoso o addirittura illegale.

A parte : se ti fossi fermato a utilizzare questo servizio anche dopo aver espresso i tuoi dubbi, ti suggerirei di impostare un cracker automatico delle password che funzioni senza intervento umano e informa le persone (inviando loro un e-mail) quando riesce a decifrare la propria password sarebbe un modo per proteggere i propri utenti da questo tipo di cattiva progettazione. Sarebbe utile eliminare le password deboli e aumentare la quantità di tempo necessaria a un vero aggressore per violare le password.

Modifica : Zach ha sottolineato che la parte non è una pratica comune e non dovrebbe essere tentata da qualcuno che non è in grado di valutare i rischi. Sono pienamente d'accordo con questo. Per lo meno, se hai fatto qualcosa del genere, dovresti avere la gestione okay.

Tuttavia, NON farlo non rende il sistema risultante più sicuro. È l'equivalente di infilare la testa nella sabbia per timore che se effettivamente si facesse qualcosa per migliorare la sicurezza della password, potrebbe ritorcersi contro di te. sappiamo che le persone scelgono password sbagliate e sappiamo che md5 non è un buon modo per accedere alle password hash. Se non possiamo cambiare questi due fatti, e noi siamo in grado di eliminare le password deboli, allora dovremmo probabilmente farlo per rendere i nostri utenti più sicuri.

Un motivo importante per cui questo non è visto molto, o anche considerato molto, è che di solito non siamo in grado di implementarlo. I buoni sistemi non utilizzano le funzioni hash veloci per le password hash e di solito non si accede all'intero database delle password con hash.

Questo hash della password sembra utilizzare il formato crypt() (che, nonostante il suo nome e quello che dicono alcune documentazioni, inclusa quella stessa pagina man, non ha assolutamente nulla a che fare con la crittografia: è hashing ). Quando inizia con $1$ , significa che è una funzione di hashing della password basata su MD5. La sua specifica esatta è "qualunque cosa gli faccia". Uno sguardo a codice sorgente mostra alcuni passaggi illuminanti:

 201   /* The original implementation now does something weird: for every 1
 202      bit in the key the first 0 is added to the buffer, for every 0
 203      bit the first character of the key.  This does not seem to be
 204      what was intended but we have to follow this to be compatible.  */
 205   for (cnt = key_len; cnt > 0; cnt >>= 1)
 206     md5_process_bytes ((cnt & 1) != 0
 207                        ? (const void *) alt_result : (const void *) key, 1,
 208                        &ctx, nss_ctx);
 209 
 210   /* Create intermediate result.  */
 211   md5_finish_ctx (&ctx, nss_ctx, alt_result);
 212 
 213   /* Now comes another weirdness.  In fear of password crackers here
 214      comes a quite long loop which just processes the output of the
 215      previous round again.  We cannot ignore this here.  */
 216   for (cnt = 0; cnt < 1000; ++cnt)
 217     {

Da ciò possiamo concludere che questa funzione di hashing non è molto ben documentata.

In ogni caso , poiché le funzioni di hashing della password vanno, non è molto buona. Utilizza un sale , ed è buono, perché dovrebbe impedire l'uso da parte di aggressori di tabelle precalcolate (incluse le tabelle arcobaleno). Include anche un ciclo con molte (1000) iterazioni, come tentativo di rendere più lento l'hashing delle password, rendendo così più difficile per gli attaccanti provare molte potenziali password fino a quando non viene trovata una corrispondenza (un processo noto come "forza bruta" o "attacco dizionario") ").

Sfortunatamente, non è neanche molto buono. MD5 è veloce e un migliaio di MD5 annidato, pur essendo ancora 1000x più lento, è ancora veloce. Un PC off-the-shelf con una GPU basica orientata al gaming può calcolare milioni di hash al secondo; una password utente media non durerà a lungo; e con questo intendo che un attaccante che spende un minuto di calcolo per ogni hash password ne creerà comunque la metà.

Oltre alla password con hash, rivelare semplicemente gli indirizzi e-mail degli utenti è già un'offesa piuttosto dannata, intendo legalmente parlando. Ad esempio, in Canada, questo è noto come "informazioni personali" e tutti gli utenti avrebbero il diritto di denunciarvi.

Stop. Non andare oltre Non fare più test, dimostrazioni, ecc. Fino a quando non ti è stato chiesto esplicitamente di farlo per iscritto, e anche in questo caso supplica e suggerisci che ci sono molte più persone qualificate di te per fare un audit / pentest / etc .

Conosco 2 persone che hanno fatto lo stesso con meno informazioni (nessuna password, solo dettagli a cui non avevano bisogno di accedere e non avrebbero avuto accesso) solo pochi mesi fa e stanno ancora attraversando il processo di trattare con le accuse di crimine .

Questo formato sembra un hash della password in stile unix standard. I campi sono separati da segni di dollaro, prima è l'algoritmo, quindi il sale, quindi l'hash effettivo. Supponendo che sia un sistema Linux, $ 1 $ indica l'algoritmo della password md5 (che è un po 'più complesso del puro md5). Le lunghezze dei campi sono anche coerenti con l'algoritmo di hashing della password MD5.

Ci sono molti strumenti là fuori per attaccare gli hash delle password di Linux. Se hai successo con questi strumenti dipenderà in gran parte dalla forza delle password.

Ho anche notato che il tuo sale contiene molti zeri. Se hai un intervallo di sali statico o relativamente piccolo (rispetto al numero di utenti), questo potrebbe aprire opzioni per gli attacchi precomputi.

Infine vorrei sottolineare che attaccare le password reali può portare a problemi legali.

Tutte queste informazioni sono disponibili per un utente admin su un tipico sistema Linux in /etc/passwd (leggibile da chiunque) e /etc/shadow (leggibile da root). È difficile con Linux standard impedire a un utente root di accedere a /etc/shadow . Poiché la query richiede privilegi di amministratore, non sembra che esponga molto dato che un account amministratore è stato compromesso. Come hanno già detto altre risposte, se il sistema utilizza realmente gli hash md5, questo è un problema, ma non correlato alla domanda.