Parte das mais de um milhão de senhas obtidas pelos hackers no(s) episódio(s) do(s) roubo(s) dos dados dos usuários da(s) rede(s) da Sony es...
Parte das mais de um milhão de senhas obtidas pelos hackers no(s) episódio(s) do(s) roubo(s) dos dados dos usuários da(s) rede(s) da Sony estão disponíveis para download. O que podemos aprender sobre o comportamento dos usuários?
A história é conhecida. A Sony conseguiu colocar uma super proteção contra pirataria em seu console (PlayStation 3). Os hackers demoraram anos para quebra a tal senha (talvez por ser um console muito caro para ser desmontado, vá saber).
Mas um dia, um hacker conhecido como GeoHotz. Criador contumaz de jailbreakers para o iPhone (o que permitia que aparelhos bloqueados comprados em Miami funcionassem no Brasil, ouça os gritos de applemaníacos vibrando ao fundo) querendo novas emoções resolveu quebrar o sistema de segurança do PS3 (ouça os gritos dos PS3maníacos vibrando ao fundo).
Após o anúncio em seu blog, hordas de advogados com suas espadas de samurais partiram para cima de GeoHotz, forçando seu exílio na Argentina. Como represália, a Sony resolveu retirar o suporte a outros sistema operacionais de seu console (leia-se Linux), o que gerou muita polêmica e até pagamento de indenizações (afinal, o PS3 podia era usado até para compor supercomputadores para pesquisa).
Até eu que não sou hacker, mas comprei um teclado e mouse sem fio para usar no (nessa M!@#$%~ de) PS3 fiquei indignado (além disso, apareceu a luz amarela da morte o que me fez migrar para um Kinect + XBox). Os hackers juraram vingança e invadiram a rede a PlayStation network roubando tudo quanto é dado dos usuários (de cartão de crédito a senha de e-mail). Bilhões de dólares de prejuízos depois, podemos aprender algo sobre segurança (inclusive a Sony) com os dados reais dos usuários. A análise é meio técnica (mas não muito) mas nada que vá intimidar os leigos.
Um certo Troy Hunt resolveu postar em seu blog uma análise sobre a amostra disponibilizada via torrent por um grupo de hackers denominado LulzSec.
A primeira observação digna de nota é que a Sony, aparentemente, deixava os dados (usuário e senha) dos usuários em arquivos de texto simples. Sem criptografia.
Embora seja um subconjunto de pouco mais de 30.000 contas em um universo de mais de um milhão, já servem para ter um ideia da tendência de uso dos usuários.
Então, se você é especialista em segurança ou apenas um estudioso do assunto, essa é uma oportunidade de ouro de estudar como os jogadores se portam quando escolhem suas senhas, apesar dos inúmeros alertas de como se deve proceder para aumentar a segurança digital.
A análise dos dados levou em conta fatores como:
1 - Comprimento da senha
2 - Variedade de tipos de caracteres usados
3 - Aleatoriedade dos carateres
4 - Exclusividade
O tamanho das senhas foi analisado, a maioria usam termos entre 6 e 10 caracteres sendo que quase metade dos usuários possuem senhas com menos de 8.
Outro dado interessante, enquanto a maioria das pessoas continua a usar senhas que consistem apenas de letras minúsculas, ou só maiúsculas, ou até apenas números, menos de 1% das passwords analisadas usavam caracteres não-alfanuméricos (do tipo !@#$%{~) o que diminuiria as chances de um ataque por força bruta (em que o cracker tentaria achar a senha correta tentando todas as possibilidades).
Considerando os grupos de caracteres:
1 - numéricos
2 - maiúsculos
3 - minúsculos
4 - todos os demais
observou-se que apenas 4% das senhas possuem 3 ou mais desses grupos diferentes. Para ficar mais claro: uma senha abcdef teria apenas caracteres do grupo 2, já a senha h4ck3r só teria caracteres do grupo 1 e 2. E a senha Br4cad^o,o^ teria caracteres de todos os 4 grupos (e ainda teria 11 caracteres, nada mau!).
Outro fato notável que mais de 90% dos usuários terem usado a mesma senha em diferentes sistemas. O que aumentaria a vulnerabilidade da vítima do ataque (o hacker ao descobrir uma senha já passaria a ter acesso a vários sistemas do usuário).
A exclusividade, que minimizaria a possibilidade de ataques via dicionário (tipo de ataque que busca acertar a senhas a partir de uma lista das mais comuns), também não está boa. Dentro da mesma rede (Sony Pictures) 92% dos usuários usaram a mesma senha para os serviços "Beauty” e “Delboca”. Até bastante justificável, afinal o usuário poderia pensar "Sony é Sony". Dá mesma forma que talvez não acharíamos razoável ter uma senha para "saque" e outra para "ver saldo" em um banco eletrônico.
Talvez hoje mais usuários colocariam senhas diferentes em serviços diferentes na rede da Sony.
Já a ocorrência das senhas em dicionários usados em ataques é considerável. Cerca de 36%. Muitos usuários colocavam a mesma senha, talvez inspirados pelo processo de cadastro, mas nada muito notável.
As top 25 ocorrências de senhas iguais são as seguintes:
seinfeld, password, winner, 123456, purple, sweeps, contest, princess, maggie, 9452, peanut, shadow, ginger, michael, buster, sunshine, tigger, cookie, george, summer, taylor, bosco, abc123, ashley, bailey
Além disso, um novo dicionário Sony poderá ser formado a partir dos dados coletados.
O torrent com a amostra dos dados das senhas e suas contas pode ser acessado aqui. Assim, você mesmo poderá fazer suas análises. Use com ética.
Fonte:
A brief Sony password analysis
[Via BBA]
A história é conhecida. A Sony conseguiu colocar uma super proteção contra pirataria em seu console (PlayStation 3). Os hackers demoraram anos para quebra a tal senha (talvez por ser um console muito caro para ser desmontado, vá saber).
Mas um dia, um hacker conhecido como GeoHotz. Criador contumaz de jailbreakers para o iPhone (o que permitia que aparelhos bloqueados comprados em Miami funcionassem no Brasil, ouça os gritos de applemaníacos vibrando ao fundo) querendo novas emoções resolveu quebrar o sistema de segurança do PS3 (ouça os gritos dos PS3maníacos vibrando ao fundo).
Após o anúncio em seu blog, hordas de advogados com suas espadas de samurais partiram para cima de GeoHotz, forçando seu exílio na Argentina. Como represália, a Sony resolveu retirar o suporte a outros sistema operacionais de seu console (leia-se Linux), o que gerou muita polêmica e até pagamento de indenizações (afinal, o PS3 podia era usado até para compor supercomputadores para pesquisa).
Até eu que não sou hacker, mas comprei um teclado e mouse sem fio para usar no (nessa M!@#$%~ de) PS3 fiquei indignado (além disso, apareceu a luz amarela da morte o que me fez migrar para um Kinect + XBox). Os hackers juraram vingança e invadiram a rede a PlayStation network roubando tudo quanto é dado dos usuários (de cartão de crédito a senha de e-mail). Bilhões de dólares de prejuízos depois, podemos aprender algo sobre segurança (inclusive a Sony) com os dados reais dos usuários. A análise é meio técnica (mas não muito) mas nada que vá intimidar os leigos.
Um certo Troy Hunt resolveu postar em seu blog uma análise sobre a amostra disponibilizada via torrent por um grupo de hackers denominado LulzSec.
A primeira observação digna de nota é que a Sony, aparentemente, deixava os dados (usuário e senha) dos usuários em arquivos de texto simples. Sem criptografia.
Embora seja um subconjunto de pouco mais de 30.000 contas em um universo de mais de um milhão, já servem para ter um ideia da tendência de uso dos usuários.
Então, se você é especialista em segurança ou apenas um estudioso do assunto, essa é uma oportunidade de ouro de estudar como os jogadores se portam quando escolhem suas senhas, apesar dos inúmeros alertas de como se deve proceder para aumentar a segurança digital.
A análise dos dados levou em conta fatores como:
1 - Comprimento da senha
2 - Variedade de tipos de caracteres usados
3 - Aleatoriedade dos carateres
4 - Exclusividade
O tamanho das senhas foi analisado, a maioria usam termos entre 6 e 10 caracteres sendo que quase metade dos usuários possuem senhas com menos de 8.
Outro dado interessante, enquanto a maioria das pessoas continua a usar senhas que consistem apenas de letras minúsculas, ou só maiúsculas, ou até apenas números, menos de 1% das passwords analisadas usavam caracteres não-alfanuméricos (do tipo !@#$%{~) o que diminuiria as chances de um ataque por força bruta (em que o cracker tentaria achar a senha correta tentando todas as possibilidades).
Considerando os grupos de caracteres:
1 - numéricos
2 - maiúsculos
3 - minúsculos
4 - todos os demais
observou-se que apenas 4% das senhas possuem 3 ou mais desses grupos diferentes. Para ficar mais claro: uma senha abcdef teria apenas caracteres do grupo 2, já a senha h4ck3r só teria caracteres do grupo 1 e 2. E a senha Br4cad^o,o^ teria caracteres de todos os 4 grupos (e ainda teria 11 caracteres, nada mau!).
Outro fato notável que mais de 90% dos usuários terem usado a mesma senha em diferentes sistemas. O que aumentaria a vulnerabilidade da vítima do ataque (o hacker ao descobrir uma senha já passaria a ter acesso a vários sistemas do usuário).
A exclusividade, que minimizaria a possibilidade de ataques via dicionário (tipo de ataque que busca acertar a senhas a partir de uma lista das mais comuns), também não está boa. Dentro da mesma rede (Sony Pictures) 92% dos usuários usaram a mesma senha para os serviços "Beauty” e “Delboca”. Até bastante justificável, afinal o usuário poderia pensar "Sony é Sony". Dá mesma forma que talvez não acharíamos razoável ter uma senha para "saque" e outra para "ver saldo" em um banco eletrônico.
Talvez hoje mais usuários colocariam senhas diferentes em serviços diferentes na rede da Sony.
Já a ocorrência das senhas em dicionários usados em ataques é considerável. Cerca de 36%. Muitos usuários colocavam a mesma senha, talvez inspirados pelo processo de cadastro, mas nada muito notável.
As top 25 ocorrências de senhas iguais são as seguintes:
seinfeld, password, winner, 123456, purple, sweeps, contest, princess, maggie, 9452, peanut, shadow, ginger, michael, buster, sunshine, tigger, cookie, george, summer, taylor, bosco, abc123, ashley, bailey
Além disso, um novo dicionário Sony poderá ser formado a partir dos dados coletados.
O torrent com a amostra dos dados das senhas e suas contas pode ser acessado aqui. Assim, você mesmo poderá fazer suas análises. Use com ética.
Fonte:
A brief Sony password analysis
[Via BBA]
Interessante
ResponderExcluir