Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Twitter zhackowany przez Javę?
Amerykański Twitter, czyli jeden z najpopularniejszych obecnie serwisów społecznościowych, stał się w ostatnim czasie ofiarą udanego ataku, w wyniku którego intruzom udało się uzyskać dostęp do prywatnych danych należących do około 250 tysięcy jego użytkowników. Chociaż jest to tylko niewielki odsetek wszystkich zarejestrowanych tam osób, sam atak był bardzo wyrafinowany i powinien zwrócić uwagę każdego internauty. Zobaczmy więc, czego możemy się przy tej okazji nauczyć.
O ataku poinformowała swych użytkowników administracja serwisu, która wykryła całą sprawę na podstawie nietypowych prób dostępu do wewnętrznych danych. Pomimo przerwania ataku w jego trakcie, intruzi uzyskali dostęp do danych skojarzonych z około 250 tysiącami użytkowników, w tym do: nazw użytkowników, adresów e-mail, tokenów uwierzytelnienia sesji oraz skrótów haseł (utworzonych z wykorzystaniem solenia). W tym miejscu warto dodać, że Twitter do wyznaczania skrótów haseł wykorzystuje leciwą, chociaż nadal uważaną za bezpieczną funkcji bcrypt.
W odpowiedzi na atak administracja Twittera nie tylko poinformowała o zagrożeniu użytkowników, ale także zresetowała hasła (odpowiednie instrukcje zostały wysłane do użytkowników mailowo) i unieważniła tokeny uwierzytelnienia sesji dla wszystkich zagrożonych kont. Warto tu jednak każdemu użytkownikowi Twittera zalecić profilaktyczną zmianę hasła w tym serwisie oraz we wszystkich innych, w których użyte zostały hasła identyczne lub bardzo podobne.
Okazuje się więc znowu, że nasze dane (w tym dane uwierzytelniające) są nieustannie narażone na wyciek nawet z baz dużych i dobrze zabezpieczonych serwisów internetowych. Dlatego tak ważne jest, by w każdym serwisie korzystać z innego silnego hasła. Takie podejście wykluczy ewentualność nagłej i równoczesnej utraty kontroli nad wieloma lub nawet wszystkimi naszymi cyfrowymi tożsamościami i usługami internetowymi.
Powyższy przykład pokazuje również, jak ważna jest siła stosowanego hasła. W przypadku skomplikowanego ciągu (co najmniej 10 znaków, kombinacja wielkich i małych liter, cyfr oraz symboli) nie tylko uniemożliwimy intruzowi łatwe odgadnięcie naszego hasła, ale też znacznie utrudnimy jego odzyskanie w przypadku, gdy ktoś wejdzie w posiadanie jego zaszyfrowanego odpowiednika. Proste hasła dzięki najnowszym metodom odzyskiwania haseł z hashy mogą zostać złamane bez większego wysiłku przez intruza dysponującego podstawowymi zasobami.
W tej chwili nie są jeszcze znane żadne szczegóły techniczne dotyczące samego ataku. Co ciekawe, administracja Twittera przy okazji wpisu o ataku zachęca wszystkich do wyłączenia w przeglądarkach internetowych Javy. Czyżby więc cała sprawa była związana z głośnymi ostatnio lukami w Oracle Java Runtime Environment (JRE)? W takim przypadku prawdopodobny scenariusz byłby taki, że intruzom udało się uzyskać dostęp do komputerów pracowników Twittera właśnie przez tę wspomnianą lukę w JRE. A to pozwoliło im następnie na przedostanie się do wewnętrznych systemów i baz danych. Tego typu ataki zdają się być coraz bardziej popularne wśród włamywaczy obierających za cel duże organizacje. Na szczegóły dotyczące tego konkretnego przypadku przyjdzie nam jednak pewnie jeszcze poczekać.
—Wojciech Smol, (wojciech.smol<at>sekurak.pl)