Zgodi se najhujše: vašega prodajalca varnosti ujamejo pri izvajanju dvojno desetletja starih in napačnih algoritmov za zaščito vašega gesla. A če bi skrbniki izbrali dobro geslo, to pravzaprav ni pomembno.
WatchGuard je bil ujet pri početju tega, kar je naredilo veliko začetnikov v nadzoru dostopa – preprosto zgoščevanje gesel kot sredstvo za izvajanje varnosti – toda morda na svetu ni vse tako slabo.
Raziskovalec informacijske varnosti Jérôme Nokin, ki vodi blog o vse zabavne stvari, ki jih lahko počnete prek IP-ja, je ugotovil, da WatchGuardove naprave za požarni zid ubirajo malo bližnjico, ko gre za shranjevanje gesel.
Tipična napaka je spoznanje, da je shranjevanje gesel z navadnim besedilom velik ne-ne, vendar ne gre dlje kot preprosto zgoščevanje gesla. V primeru WatchGuarda je izvajal zgoščevanje gesla NTLM in to je to.
Nekateri morda prepoznajo NTLM kot del Microsoftove stare zbirke varnostnih protokolov, ki danes tudi je ni več priporočljivo Redmond, ker je tako zastarel. Kot je izvedel tudi Nokin, je hash NTLM preprosto geslo, pretvorjeno v Unicode, nato pa se nanj uporabi MD4.
Microsoft ima prav, ko se izogiba NTLM, saj je leta 1995 Hans Dobbertin dokazal, da uporaba procesorja Pentium (ki ima veliko manj procesorske moči, kot jo lahko najdemo v današnjem pametnem telefonu), bi lahko zlomil MD4 v nekaj minutah sekund.
Njegovo papir (PDF) v kriptoanalizo algoritma izjavil: "Kjer je MD4 še v uporabi, bi moral biti zamenjan!" Klicaj je njegov, čeprav je bil v prispevku, predloženem Journal of Kriptografija. Tako močno je čutil to.
Vendar smo tukaj skoraj dve desetletji pozneje in MD4 še vedno visi naokoli kot neprijeten vonj.
Prej sem rekel, da morda to sploh ni tako slabo in za to obstaja dober razlog. Poverilnice, ki jih je Nokin zlomil, dejansko niso za upravljanje same naprave požarnega zidu. Kot direktor varnostne strategije in raziskav WatchGuard Corey Nachreiner izpostavljeno, se uporabljajo za povsem drugačen in neobvezen namen.
»Naše naprave vam ponujajo možnost ustvarjanja pravilnikov glede na uporabnika, ne le glede na naslov IP. Če želite to narediti, morate nastaviti avtentikacijo. V večini primerov se uporabniki odločijo za preverjanje pristnosti s svojim notranjim strežnikom za preverjanje pristnosti Active Directory, LDAP ali Radius, pri čemer v tem primeru ne shranimo nobenih poverilnic. Vendar ponujamo tudi lokalno bazo podatkov FireboxDB za majhne stranke, ki nimajo lastnega strežnika za preverjanje pristnosti."
In datoteka, ki vsebuje te poverilnice, je resnično dostopna le, če ste pridobili dostop do same naprave.
"Konfiguracijska datoteka je običajno shranjena v prenosnem računalniku osebe, ki že tako ali tako že pozna geslo. Najboljša praksa bi zagotovila, da skrbniki sprejmejo zaščitne ukrepe za preprečitev nepooblaščenega dostopa do Računalnik za upravljanje WatchGuard vseeno, vključno z zapletenimi gesli in najnovejšo Microsoftovo avtentikacijo protokoli. Komunikacija med osebnim računalnikom za upravljanje in WatchGuardom je zavarovana s šifriranjem AES, tako da celo zgoščeno geslo se uporablja samo s šifriranjem in ga ni mogoče 'prevohati'," je povedal tiskovni predstavnik WatchGuarda ZDNet.
Nachreiner je tudi trdil, da čeprav NTLM kaže svojo starost, bi morala dovolj močna gesla nuditi razumno zaščito. Močno geslo definira kot tisto, ki je kompleksna kombinacija 12 znakov ali več.
Močno geslo je tukaj ključni dejavnik, saj je decembra lani generalni direktor Stricture Consulting Group in varnostni raziskovalec Jeremi Gosney pokazal, da specializirana naprava za razbijanje zgoščencev (PDF) lahko pretaka skozi 348 milijard zgoščenih vrednosti NTLM na sekundo. Če bi uporabili samo male črke (s čimer bi kršili zahtevo glede zapletenosti), bi lahko geslo z dolžino do 12 znakov trajalo nekaj dni, da bi nasilno uporabili. Res je, da nimajo vsi nastavitve 25 GPE kot Gosney, vendar Nokin trdi, da mu je uspelo pregnati 12,7 milijarde zgoščenih vrednosti na sekundo na lastni nastavitvi z dvojno GPE. Slabo sestavljeno geslo, dovzetno za slovarski napad, bo zlahka zlomljivo.
Da, uporaba NTLM je bila precej neumna poteza, toda na srečo WatchGuarda trdim, da se raven zaščite ujema s tveganjem. Nachreiner je to najbolje izrazil, ko je rekel: "Če ima napadalec že dovolj dostopa do skrbniškega računalnika, ki ga uporabljate za upravljanje varnosti omrežja naprave, imate že večje težave." In končno, če bi skrbnik najprej izbral dobra gesla, bi bilo to še vedno brez problema.
Kljub temu se inženirji WatchGuarda zdaj ukvarjajo z izvajanjem Dobbertinovih nasvetov iz leta 1995 in Microsoftovo priporočilo tako, da se znebite NTLM/MD4 in ga nadomestite z nečim več primeren.