password crittografate ampiamente accessibili

4

Supponiamo che la tua università abbia un server ldap centralizzato utilizzato per autenticare tutti gli studenti, insegnanti e personale per tutti i servizi forniti dall'università (e-mail, esami, tasse ...) Supponiamo che nel laboratorio informatico sia possibile per ogni utente autenticato emettere un ldapsearch e ottenere tutti i dati di tutte le persone nell'università: studenti, insegnanti, tecnici ... Supponiamo che i dati contengano anche i campi: sambaLMPassword e sambaNTPassword con la password crittografata di ogni persona.

Supponiamo che tu sia un po 'preoccupato (sei un insegnante e pensi che forse gli studenti potrebbero rompere il sistema e rubare le password) così parli con lo staff tecnico dell'università e loro dicono qualcosa seguendo le seguenti linee:

  • lo sappiamo da molto tempo, ma gli hash delle password sono necessari per alcuni vecchi servizi che dobbiamo mantenere;
  • in ogni caso le password sono criptate ed è illegale forzarle brutemente;
  • e i nostri studenti non sono così intelligenti da capire che possono ottenerli e decodificarli;
  • tuttavia, tieni questo segreto.

Saresti rassicurato dalle risposte? Cosa faresti dopo?

    
posta S. One 21.02.2017 - 00:23
fonte

3 risposte

4

Spesso le istituzioni educative devono ottenere e mantenere la conformità e la certificazione in numerosi standard di sicurezza informatica . Mantenere una suite di crittografia debole o la crittografia non corretta potrebbe metterli fuori norma, che potrebbero essere scoperti al loro prossimo audit.

Quando vedo "password NT" mi preoccupo molto-- Le password di Windows possono essere violate in circa 13,6 secondi . Un sambaNTPassword è solo un hash MD4 , che è un algoritmo di hashing che è orribilmente rotto ed è stato per oltre un decennio.

Detto questo, questi sistemi dovrebbero essere sottoposti a audit occasionali e alla fine verranno scoperti e indirizzati se possibile (o sarà necessario implementare una deroga e altre misure di mitigazione, ad esempio un secondo fattore di autenticazione che protegge gli account degli amministratori). Quindi se scegli di non fare nulla, non significa che non lo risolveranno ... alla fine.

Se nascondono intenzionalmente questa vulnerabilità durante gli audit di conformità, questo non è tecnicamente illegale, ma possono perdere le varie certificazioni se vengono scoperti e aprirsi alla responsabilità civile se vengono violati.

Per quanto riguarda questo commento

and our students are not so smart to understand that they can obtain and decrypt them

^ È una dichiarazione ridicola di qualcuno che sta dimenticando che la generazione più giovane aggira i loro anziani di diversi ordini di grandezza quando si tratta di cose come questa. Questo ragazzo ha rilevato vulnerabilità nell'XBox a età di cinque anni !!!! (Ora lavora per la sicurezza Microsoft)

however, please, keep this secret.

Non sarei d'accordo, ma sii educato al riguardo. Dovresti essere chiaro che non sei disposto a mentire per coprire gli errori di qualcun altro.

What would you do next?

Personalmente, considererei questo come un "momento insegnabile" (ricorda che sei ancora uno studente) ed esprimi che vorresti saperne di più. Vedi se riesci ad organizzare un incontro con uno degli addetti alla conformità alla cybersecurity dell'università-- questi sono i signori che firmano i moduli che giurano e affermano che stanno rispettando la conformità e che lavorano regolarmente con i revisori dei conti. Una volta che l'hai portato alla sua attenzione, puoi tranquillamente dire che hai fatto tutto ciò che potevi fare, e che sarà il loro lavoro portarlo da lì.

    
risposta data 21.02.2017 - 01:24
fonte
1

Vorrei fare lo stesso come te e creare un nuovo account stackexchange e non usare quello normale. ; -)

Penso che sia importante scoprirlo, se le persone con cui hai parlato non sono disposte a cambiarlo. (Mi sembra così). Poi controllerei se c'è un capo / capo IT, con cui potrei parlare, magari a un livello più astratto.

Potresti anche suggerire di assumere un'azienda di sicurezza per eseguire un piccolo test con penna. Può suggerire questo al responsabile IT, senza fare riferimento a questo problema e quindi lasciare che l'azienda di sicurezza trovi questo problema nel pen test ... (Non è necessario sparare al messenger)

Questa è una situazione difficile e dipende completamente da chi sono le persone con cui puoi parlare e quale agenda hanno.

    
risposta data 21.02.2017 - 00:34
fonte
1

IIRC gli attributi sambaLMPassword e sambaNTPassword , anche se sottoposti a hash, sono in realtà solo credenziali di testo non crittografato (segreti condivisi) perché vengono utilizzati per l'autenticazione challenge-response in SMB protocollo (NTLM ecc.).

Non ci sono molte cose che i tuoi IT possono fare sulla semplice esistenza di questi attributi eccetto per chiudere tutti i servizi che si affidano a quei controller di dominio Samba.

Ciò che possono fare è limitare la visibilità di questi attributi ai client LDAP concedendo l'accesso in lettura solo ai controller di dominio Samba. Per esempio. per OpenLDAP questo può essere fatto facilmente con ACL.

    
risposta data 17.07.2018 - 13:24
fonte

Leggi altre domande sui tag