Bir grup araştırmacı, web’in en popüler içerik yönetim sistemlerinin çoğunun kullanıcılarının şifrelerini korumak için güvensiz algoritmalar kullandığını keşfetti.
Yunanistan'daki Piraeus Üniversitesi Dijital Sistemler Bölümü'nden üç araştırmacı, kullanıcı şifrelerini ne kadar iyi koruduklarını görmek için birçok CMS sistemini test etti.
Hashing, bir sırrı kodlayan matematiksel bir işlevdir. Parola gibi alfasayısal bir dize alır ve bunu özet olarak adlandırılan başka bir dize üretmek için kullanır. Bir karma işlevi tek yönlü bir caddedir. Parolayı kullanarak kolayca özeti hesaplayabilirsiniz, ancak özeti kullanarak parolayı hesaplayamazsınız.
Bu, şifreleri güvenli bir şekilde saklama işini harika yapar. Bir kullanıcı şifresini kullanarak giriş yaptığında, web uygulaması hızlı bir şekilde şifresini alabilir. Özet, dosyadakiyle eşleşiyorsa, kullanıcı erişim kazanır. Ancak herhangi biri şifre veritabanını çalarsa okuyamaz. (Her ne kadar karma iyi şifre güvenliği için temel olsa da, bundan daha fazlası var - kullanıcılarınızın şifrelerini nasıl güvenli bir şekilde saklayacağınızı görün.)
Ne yazık ki, CMS yazılımı genellikle doğru kullanımı kullanmaz, araştırmacılar uyarıyor:
Birçok CMS'nin eski karma işlevler kullandığını keşfettik.
Ne Anlama Geliyor?
Tüm karma işlevleri eşit değildir. MD5 (RSA'da 'R' olan Ron Rivest tarafından icat edilmiştir). Bir karma işlevi, her farklı girdi için benzersiz bir özet üretmelidir. Hiçbir iki şifre aynı özeti üretmemelidir (çarpışma olarak adlandırılan bir durum). MD5'e karşı ilk başarılı çarpışma saldırısı 1996'da yapıldı ve MD5 çarpışmalarının yaratılması artık kolay sayılıyor.
Diğer bir popüler karma işlevi, SHA-1, MD5'in lehine düştüğü zaman, yerine, yaygın olarak kullanılmıştır. Bu şimdi de eski olarak kabul edilir.
Piraeus Üniversitesi araştırmacıları 49 içerik yönetim sistemine ve 47 web uygulama çerçevesine baktılar. %26,5'inin MD5 kullandığı bildirilmiştir. Bunlara osCommerce, SuiteCRM, WordPress, X3cms, SugarCRM, CMS Made simple, MantisBT, Simple Machines, miniBB, Phorum, MyBB, Observium ve Composr dahildir.
%12.2'si SHA-1 kullanıyor. Bunlar GetSimple CMS, Redmine, Collabtive, PunBB, Pligg, and Omeka'dır.
Buradaki tehlike sadece bu karma fonksiyonların çarpışma saldırılarına açık olması değildir. Ayrıca, onları birçok işlemci çekirdeği arasında hedeflemek için gereken işlemleri bölen grafiksel işlem birimlerinin (GPU'lar) kullanımına da oldukça duyarlıdırlar.
Bu sitelerden bazıları daha da kötüye gitti. Araştırmacılar şöyle dedi:
Rastgele sayıda karma yineleme yaparken, parola politikaları ve tuz eksikliği.
Yalnız Hashing, bir saldırganı yenmez. Modern parola karma algoritmalarında parolalar rastgele bir veri dizisi ile birleştirilir, böylece aynı parolalar farklı eşlemeler üretir. Tipik olarak, karma fonksiyonunun çıktısı kendisi daha sonra tuzla karıştırılır ve işlemi hesaplamalı olarak pahalı hale getirmek için tekrar ve tekrar ve tekrar ve belki de binlerce kez tekrarlanır.
Karma rutinin içinden geçen her bir geçişe bir yineleme denir. Yinelemelerin sayısı arttıkça, şifre kırma bilgisayarlarının hızlı bir şekilde şifre eşleşmeleri oluşturması zorlaşır.
MD5 veya SHA-1 kullanan bu sistemlerin bazıları (X3cms 0.5.3, GetSimple, MiniBB 3.2.2 ve Phorum) yineleme kullanmamak suretiyle tehlike altındaki listedeydi.
Bir karma perspektiften, en güvenli CMS sistemleri, GPU tabanlı paralel hesaplama çatlaklarına dayanıklı olan şifre şifreleme işlevi bcrypt kullananlar listesinde şunlar var. Joomla!, Zurmo, OrangeHRM, SilverStripe, Elgg, XOOPS, e107, NodeBB, Concrete5, phpBB, Vanilla Forums, Ushahidi, Lime Survey, Mahara, Mibew, vBulletin, OpenCart, PrestaShop ve Moodle bulunmaktadır.
Zayıflığın, bir saldırganın, ihlal edilen bir web sitesinden çaldıkları şifre veritabanının içeriğini ne kadar hızlı tahmin edebileceğini etkilediği belirtilmelidir. Web sitesini ilk etapta ihlal etme veya giriş isteminde şifreleri tahmin etme yeteneklerini etkilemez.
Joomla! Güvenlik konusunda gerekli önlemleri almayı ve adımları atmayı unutmayın!
Kaynak: Nakedsecurity.sophos.com
