Krypterte passord ble eksponert i Imperva-datainnbruddet

Noen ganger kan en uheldig hendelse presse oss til å lære noe nytt. Tross alt, lærer vi ikke alle av feil? I dag kan vi lære av Impervas feil.

Imperva er et programvareselskap for cybersecurity som er basert i Redwood Shores, California. Dette selskapet gir sine kunder beskyttelse for bedriftsdata. Klienter kjøper Internett-brannmur-tjenester fra Imperva for å forhindre cyberangrep og andre ondsinnede nettaktiviteter.

Dessverre har Imperva kunngjort at de opplevde et datainnbrudd tilbake i august, og dette datainnbruddet har berørt tusenvis av kunder. I følge rapporten ble API-nøkler, e-postadresser, SSL-sertifikater og flere krypterte passord utsatt under dette bruddet.

Det er flere aspekter å diskutere om dette datainnbruddet, spesielt når vi vurderer det faktum at et selskap som handler med cybersikkerhet ble påvirket. Denne gangen skal vi imidlertid gi deg en kort oversikt over problemet og deretter fokusere på krypterte passord som også ble eksponert. Har du noen gang lurt på hva som er et kryptert passord?

Hva skjedde med Imperva?

Som nevnt opplevde Imperva et datainnbrudd som utsatte sine klienters data for hackere. Det ser ut til at hele hendelsen var et resultat av uaktsomhet fordi et internt system var tilgjengelig fra Internett. Systemet som var tilgjengelig fra Internett, lagret en kopi av Impervas AWS API-nøkkel.

Hva er det? AWS refererer til Amazon Web Services, som er et Amazon-datterselskap som spesialiserer seg på å tilby cloud computing-plattformer. En API-nøkkel betyr en API-nøkkel for applikasjonsprogrammeringsgrensesnitt. Det er en unik identifikator som lar systemet autentisere en bruker eller et program som prøver å nå API. I sin tur er API en kommunikasjonsprotokoll mellom en klient og en server. Det kan være et system som er basert på en skyplattform, operativsystem, maskinvare og så videre. Så med API-nøkkelen stjålet, kunne hackere få tilgang til Impervas system fra utsiden.

Cybersecurity-reportere mener at Imperva ikke var klar over datainnbruddet med det første, og at de fikk vite noen måneder senere at hackeren lastet ned en kopi av databasen deres øyeblikksbilde som ble brukt til å evaluere deres relasjonsdatabasetjeneste (RDS) på skyplattformen deres. Hva betyr det? Det betyr at hackeren kunne stjele dataene som var innenfor øyeblikksbildet, og dataene som ble opprettet ETTER stillbildet ble tatt, ble ikke påvirket av bruddet.

Alt i alt sa ikke selskapet eksplisitt hvor mange kunder som var berørt av datainnbruddet. Over 13 000 passord og 13 000 SSL-sertifikater ble imidlertid endret og rotert etter at de berørte kundene ble varslet om det. Derfor er det lett å mer eller mindre fatte omfanget av hendelsen.

Hva er et kryptert passord?

Siden vi er ferdige med den generelle oversikten over bruddet, kan vi se nærmere på en av datatypene som ble eksponert og lekket. Vi snakker om krypterte passord her. Når du hører ordet “kryptere”, tenker du sikkert på det populære online-spillet eller eggerøre, men det er sant at vi også kan kryptere passordene våre.

Passordforveksling er en av måtene å lagre dem trygt og gjøre dem sterkere. For eksempel bruker Cyclonis Password manager også passordskrambling for å lagre kundenes passord i hvelvet. I passordbehandlerens tilfelle bruker den kryptering for å kryptere lagrede passord. Det er imidlertid andre måter å beskytte passord på, og informasjonen om dataovertredelsen av Imperva antyder at de eksponerte krypterte passordene ble hashet og saltet.

Hva i all verden betyr det? Vel, du vet sikkert at du kan dekryptere noe når det er kryptert hvis du har en dekrypteringsnøkkel. Hashing betyr derimot at dataene ikke kan dekodes når de har blitt kryptert. Uansett hva slags datastreng du skal hasj, er lengden på utskriften alltid fast. Det vil si, om du skal krympe om jeg elsker epler eller jeg hater regn, vær så snill, gå bort , lengden på den endelige utdataen vil være den samme (hvis du bruker den samme algoritmen for å hasjere det).

Siden hashing ikke fungerer omvendt, men å kryptere strengen med den samme algoritmen gir samme output, kan den brukes til å sjekke og autentisere tilgang. For eksempel, hvis databasen lagrer hash-passord og noen skriver inn et vanlig tekstpassord for å prøve å komme inn i databasen, må systemet bruke den samme algoritmen for å hash det vanlige tekstpassordet. Hvis hash-verdien samsvarer med den som er lagret i databasen, blir autentiseringen gitt. Det er også veldig vanskelig å knekke et hashet passord, og den eneste måten å gjøre det på er ved å brute-tvinge det.

Det er enda vanskeligere å sprekke det hvis salting blir brukt. I cybersecurity refererer salt til en tilfeldig dataverdi som er lagt til et passord. Brukere ser ikke den verdien, men den er knyttet til passordene deres i datasystemene for å gi bedre sikkerhet. Med andre ord, passordene dine er ikke lagret i ren tekst, fordi det totalt vil føre til forferdelige datainnbrudd.

I systemet genereres saltverdi tilfeldig. Det legges til klartekstpassordet, og deretter hashes hele strengen vanligvis (som beskrevet ovenfor). Å bruke forskjellige saltverdier med de samme passordene resulterer i helt andre hashverdier, så å strø salt (figurativt sett) på passordene dine gjør dem sterkere.

Fra dette kan vi anta at det å stjele krypterte passord bare kan være lukrativt hvis hackeren har midler til å brute-force dem. En slik mulighet eksisterer selvfølgelig alltid, og det er grunnen til at Imperva oppfordret kundene sine til å endre passord. Det er imidlertid også mulig å si at å stjele krypterte passord praktisk talt er det samme som å stjele en safe som ikke har noen nøkkel. Det endrer ikke fakta om datainnbruddet, men det er i det minste litt sølvfor der.