Za čo dostala Meta pokutu?

Írska Komisia pre ochranu dát (DPC) udelila 27. septembra prevádzkovateľovi sociálnych sietí Facebook a Instagram pokutu vo výške 91 miliónov eur.

Metu potrestali za to, že vo svojich systémoch ukladala heslá vo forme obyčajného textu. K heslám používateľov v čitateľnej forme sa tak mohli dostať desiatky tisícov zamestnancov Mety. Problém bol objavený v roku 2019, pričom prvé prípady takýchto praktík sa datujú už do roku 2012.

Írsko udelilo Facebooku pokutu 91 miliónov eur

Mohlo by Vás zaujímať Írsko udelilo Facebooku pokutu 91 miliónov eur

Heslo uložené v otvorenom tvare je problém

Dôvod pokuty sa zdá byť možno banálny, v skutočnosti ide o vážny bezpečnostný problém. Ak sa heslo používa ako jediný spôsob overenia používateľa, jeho únik umožní útočníkovi plne legitímne prihlásenie. Bez nutnosti využitia pokročilých metód napríklad pomocou „zero day“ zraniteľností.

A aj keď je „recyklovanie“ jedného hesla pre viaceré služby silne neodporúčanou praktikou, využíva ju až 65 percent ľudí. Trinásť percent používateľov dokonca používa iba jedno heslo na všetky svoje účty. To následky zneužitia hesla uloženého v čitateľnej forme znásobuje.

Hoci Meta tvrdí, že k úniku hesiel nedošlo, vzhľadom na to, že do kontaktu s nimi mohli prísť tisíce zamestnancov, toto riziko sa vylúčiť nedá. Hlavne v kontexte toho, že útoky zvnútra organizácií nepatria medzi zriedkavé.

Ďalším aspektom je fakt, že heslo môže obsahovať citlivé súkromné informácie. Od mena domáceho zvieraťa cez dátum narodenia až po utajenú milenku.

Základným pravidlom dobre zabezpečeného informačného systému preto je, že k heslám používateľov sa nedostanú ani jeho správcovia.

Uložené heslá sa „hešujú“

Heslá v kvalitne chránených informačných systémoch sa neukladajú v rovnakej forme, ako ich zadáva používateľ. Pred uložením prejdú procesom takzvaného „hešu“. Ide o špeciálnu funkciu, ktorej výsledkom je krátky reťazec znakov charakterizujúci zadaný vstup.

Pričom, a to je dôvod, prečo sa takáto funkcia nazýva „jednosmerná“, neexistuje jednoduchý postup, ako zo známeho výstupu odvodiť pôvodný vstup. Pri rovnakom vstupe však vždy vráti rovnaký výsledok.

Ak zadáme do vstupu „hešovacej“ funkcie SHA256 heslo „nbusr123“, dostaneme reťazec znakov: „7751E53856859902F722F43ACC6AF7FD1A55489DAA9A57C6E370DF9372988258“.

Uložíme ho do databázy miesto hesla. Pri prihlasovaní potom stačí vstup používateľa „zahešovať“ rovnakou funkciou a porovnať s uloženou hodnotou. V prípade súhlasu povolíme prihlásenie.

Ak by z informačného systému unikla databáza takto upravených hesiel alebo si ju zamestnanec skopíroval pre vlastné potreby, nedokáže z nej práve pre „jednosmernosť“ použitej funkcie zrekonštruovať pôvodné heslá.

A ešte „posolia“

Táto technika má však jedno zraniteľné miesto. Hoci sa zo „zahešovaného“ reťazca nedá jednoduchou cestou odvodiť heslo, je možné dopredu vygenerovať takzvanú „dúhovú tabuľku“. V nej sa nachádzajú texty využívané často ako heslá aj s príslušným „hešom“. Potom stačí v tabuľke nájsť „hešovanú“ hodnotu a v rovnakom riadku bude aj originál, z ktorého „heš“ vznikol.

Jednou z ciest ako zabrániť využitiu „dúhových tabuliek“, je používanie jedinečných hesiel. Vytváranie takto generovaných tabuliek má totiž svoje limity, dané napríklad veľkosťou súboru alebo rýchlosťou jeho prehľadávania. Preto sa do nich zahŕňajú iba tie najčastejšie heslá.

Ako ochrana proti „dúhovým tabuľkám“ sa pri správe hesiel používa „soľ“. Ide o náhodne vygenerovaný reťazec jedinečný pre každé heslo. V nezašifrovanej forme je uložený v databáze hesiel.

Pri ukladaní hesla sa ešte pred „hešovaním“ k nemu pridá „soľ“. Až takto „posolené“ heslo sa „zahešuje“. Výsledkom tejto techniky je, že aj keď majú dvaja používatelia rovnaké heslo, ich „heše“ uložené v databáze sa budú líšiť.

Je pochopiteľné, že aj počas prihlasovania treba vstup zadaný používateľom najskôr „posoliť“, potom „zahešovať“ a až následne porovnať s hodnotou uloženou v databáze.

Geografická kontrola či limit počtu opakovaní

Pomocnou technikou na zmiernenie dosahu úniku hesiel je geografické obmedzenie. Vtedy sa limituje rozsah krajín, z ktorých je možné prihlásenie do účtu. Pre tých, ktorí sa vyskytujú iba „doma“, to problém nepredstavuje, častých cestovateľov takýto prístup dokáže obmedziť. 

Niektoré systémy si vedia zapamätať aj IP adresu, prípadne inú charakteristiku zariadenia, z ktorého bol používateľ poslednýkrát prihlásený. Pri jej zmene je vlastník účtu varovaný e-mailom alebo iným komunikačným kanálom.

Základným spôsobom, ako zabrániť „uhádnutiu“ hesla opakovanými pokusmi, je obmedzenie ich počtu. Po niekoľkých neúspešných pokusoch tak dochádza k dočasnému či trvalému zablokovaniu účtu.    

Viacfaktorové overenie

Asi najspoľahlivejšou cestou k bezpečnému prihlasovaniu je viacfaktorové overenie. Okrem hesla je na sprístupnenie účtu potrebné zadať ďalší „faktor“.

Môže ísť o niečo, čo súvisí s telesnou charakteristikou používateľa, napríklad odtlačok prstu, snímka alebo črty tváre či obraz dúhovky. Tento spôsob je známy ako biometria.

Ďalším faktorom môže byť aj špeciálne zariadenie nazývané „bezpečnostný token“. Niektoré druhy zobrazujú na displeji jednorazový kód, ktorý je vytváraný kryptografickým algoritmom. Rovnaký kód sa synchrónne vytvorí v počítači, do ktorého sa používateľ prihlasuje, a tak overí jeho identitu.

Bankový bezpečnostný token. Ilustračná snímka. Foto: Nebojsa Rozgic / Alamy / Alamy / Profimedia

Pokročilejšie tokeny sa dokážu pripojiť k počítaču a overenie vykoná vstavaný kryptografický mechanizmus tokenu. Šifrovacie kľúče pritom nikdy zariadenie neopúšťajú. Jedným druhom takýchto identifikačných zariadení je aj „očipovaný“ občiansky preukaz.

Ako bezpečnostný token sa dá využiť aj mobilný telefón. Špeciálna aplikácia ako Google Authenticator alebo FreeOTP dokáže generovať jednorazové, časovo synchronizované kódy určené na prihlásenie.  

Na jednej strane umožňuje viacfaktorové prihlásenie aj pre tých, ktorí žiadny token nevlastnia. Problémom zostáva, že mobilný telefón je vo svojej podstate plnohodnotný počítač s operačným systémom, napadnuteľný cez chyby, ktorým sa v podobných zariadeniach s dynamickým softvérovým vývojom zabrániť nedá.    

Uniknuté dokumenty ukazujú, do ktorých telefónov sa dá „vlúpať“

Mohlo by Vás zaujímať Uniknuté dokumenty ukazujú, do ktorých telefónov sa dá „vlúpať“

SMS už nie sú dostatočne bezpečné

V minulosti sa ako prihlasovací faktor používali aj SMS, dnes sa tento spôsob už nepovažuje za bezpečný. SIM karta sa dá vyklonovať, dokonca aj bez fyzického prístupu k nej. Dôležité je získať takzvané IMSI, ktoré kartu jednoznačne identifikuje. Jednou z techník je jeho „odchytenie“ špeciálnym zariadením nazývaným „IMSI catcher“.

SMS sa dajú prečítať aj pomocou útoku na infraštruktúru poskytovateľov mobilných služieb. Je napríklad možné zneužiť protokol SS7 využívaný na komunikáciu medzi operátormi.