15 noviembre 2013

Ibex35 en la brecha de Adobe

Hace unos días hacíamos un pequeño análisis de la información filtrada por el desafortunado incidente en Adobe.com. Hoy queremos darle una vuelta más y tratar de explicar cómo impacta esto en las empresas del IBEX35.

Cuando nos enteramos de que se habían filtrado millones de usuarios y sus contraseñas cifradas, todos pensamos que tan solo era un portal más hackeado, otro listado como las decenas que ya hay públicos en Internet. Nada más lejos de la realidad.

El listado de credenciales está compuesto por 6 campos: un identificador numérico, el nombre de usuarios (pocas veces), el correo electrónico, la contraseña (cifrada) y una "pista" que introdujo el usuario para recordar esta clave, y finalmente una sexta parte que permanece vacío para todas las filas.

Este fichero no se ha indexado por los buscadores, pero está en torrents desde hace días y se puede descargar por todo aquel que quiera.

Como ya comentó mi compañero, las contraseñas de cada usuario están cifradas con 3DES, para ello se ha usado una cadena de texto como clave. A día de hoy no se conoce esta clave, por lo que no se saben todas las contraseñas de los usuarios, pero será cuestión de días que se publique y entonces el proceso será instantáneo.

Si no se pueden descifrar, ¿cómo se sabe cuáles son las top100 contraseñas? Fácil, al no incluir salt, la cadena de cifrado siempre es la misma, por lo que ordenándolas y contándolas se puede saber cuáles son las cadenas más repetidas.

Pero, ¿cómo se sabe cuál es el texto descifrado de esas top100? Aquí ayuda el gran número de usuarios que las utilizan y las pistas que han puesto para recordarla. Por ejemplo, si buscamos unas cuantas líneas  la cadena de la primera de ellas: EQ7fIpT7i/Q= en el fichero, nos encontramos lo siguiente:

Ejemplo de las pistas de algunos usuarios para su contraseña
Ahora seguro que se comprende cómo se conocen el top100, incluso sin saber idiomas.

Como afecta esto a una empresa grande con decenas de dominios y usuarios es obvio: al final esos usuarios habrán introducido ahí la misma contraseña que tienen para servicios en su lugar de trabajo: como la contraseña del dominio, aplicaciones web de negocio, sistemas operativos, que se yo, incluso de una VPN. Aunque seguro que todos ellos ya son conscientes de este incidente y han tomado las oportunas medidas... ;-)

Tratando de sacar números, hemos buscado algunas cadenas y dominios de las empresas del IBEX35, es un ejercicio complejo debido al número de dominios, pero sirve para tener una aproximación basada en muestra de los usuarios comprometidos de Adobe para cada una de ellas.

Usuarios de IBEX35 en el listado de Adobe
La siguiente pregunta que nos hacemos es cuantas de estas 7.370 cuentas tienen una contraseña que se ha mostrado en el top100. La respuesta rápida: 248, un 3,3%.

Usuarios con contraseñas el top100 
Un dato también muy curioso, y que siempre se comenta entre chistes de informáticos es el que sacamos de estos usuarios y sus hábitos de contraseñas: "pon la fecha del cumpleaños". Con la información publicada es posible  analizar las pistas que han introducido en la plataforma. Aquí gana por goleada "la de siempre", seguido del nombre, el perro...

-No, si yo uso siempre la misma. Ya, pues te va a salir caro.
Ahora solo cabe difundir el mensaje, rotar las contraseñas y esperar, porque estamos convencidos de que la intrusión en Adobe, rebotará a otros sitios donde su política de contraseñas no les haya obligado a cambiarla.

Que San 123456 nos pille confesados.

3 comments :

Joseba Enjuto dijo...

Una petición: Podéis ampliar el post con una gráfica en la que aparezcan el % de claves del top100 por cada empresa? Puede ser un indicador interesante para comparar el nivel medio de "concienciación" en cada empresa...

Alejandro Ramos dijo...

Bueno, tienes el número de usuarios por empresa y las que se han revelado, solo es cosa de que saques los % en base a ambos. Vaya, que los números están sacados... Ahora misma ya no puedo editar el post.


Un saludo!

Rupi dijo...

Está genial el post, un trabajo importante para que todos podamos ver claramente como está el percal sin tener que pasar una noche en vela haciendo consultas al fichero :)