Пока Yahoo продолжает расследование самой крупной утечки в истории, компанию призывают уточнить, как давно она знала об утечке и как долго держала информацию об этом в секрете, а также пояснить, каким образом шифруются данные пользователей.

ИБ-компания Venafi заявила, что проанализировала данные о состоянии криптографических ключей и цифровых сертификатов Yahoo, полученные при помощи собственного сервиса проверки сертификатов. В результате в средах Yahoo были обнаружены устаревшие алгоритмы хеширования и самоподписанные, а не выданные независимой организацией сертификаты.

На прошлой неделе Yahoo сообщила, что в 2014 году подверглась атаке, в результате которой были похищены полмиллиарда учетных записей. В атаке компания подозревает спецслужбы неизвестной принадлежности. Злоумышленники смогли украсть информацию об именах пользователей, их email-адресах, телефонных номерах, датах рождения, резервных email-адресах и проверочных вопросах для восстановления пароля. Также были скомпрометированы хешированные пароли, что особенно беспокоит в свете нескольких крупных утечек в этом году: киберпреступникам прекрасно известно, что пользователи имеют обыкновение использовать один и тот же пароль для нескольких сервисов.

Источник, знакомый с обстоятельствами расследования, утверждает, что большинство паролей были хешированы при помощи алгоритма bcrypt, как и сообщила Yahoo, но некоторая их часть была хеширована при помощи уже устаревшего и считающегося уязвимым алгоритма MD5.

Yahoo принудительно сбросила пароли всех аккаунтов, пострадавших в результате утечки, а также рекомендовала незамедлительно изменить пароли всем, кто не делал этого с 2014 года. Пока неизвестно, насколько глубоко смогли проникнуть взломщики в инфраструктуру Yahoo; ряд экспертов связывают атаку на Yahoo с атаками Aurora на Google и несколько других крупных организаций и ИТ-компаний в 2009–2010 годах. В причастности к кампании Aurora подозревают китайскую APT-группировку, которая, как считают, охотилась за исходным кодом компаний-жертв с целью его модификации.

Тем временем стало известно о нескольких групповых исках, поданных пользователями Yahoo. Истцы считают, что Yahoo халатно отнеслась к защите пользовательских данных. В статье Financial Times говорится, что глава компании Марисса Майер (Marissa Mayer) еще в июле знала, что Yahoo расследует потенциально крупную утечку, и, как пишут журналисты, начала этим заниматься еще до появления сведений об обнаружении на черном рынке 200 млн скомпрометированных аккаунтов Yahoo.

Тем не менее Майер не торопилась сообщать о расследовании в компанию Verizon, собравшуюся выкупить основной бизнес Yahoo за $4,8 млрд, и не упомянула о нем в квартальном отчете, недавно поданном в Комиссию по ценным бумагам (SEC). В итоге Verizon узнала о масштабной утечке в Yahoo лишь на прошлой неделе, на 10 дней позже, чем SEC; рапортуя комиссии о текущем расследовании, Майер от имени Yahoo заявила, что сведений о нарушении безопасности или проникновении в системы у компании нет. По данным Financial Times, комиссия может начать свое собственное расследование по утечке в Yahoo.

В анализе, опубликованном Venafi, ситуация с протоколами и политиками шифрования в Yahoo выглядит неутешительно. Yahoo не комментирует результаты этого исследования.

Venafi, в частности, указала, что в использовании сертификатов MD5 имеются систематические проблемы; многие из сертификатов Yahoo самоподписаны. Один из проанализированных сертификатов MD5 является универсальным, со сроком действия пять лет (большинство сертификатов истекают в течение 12–18 месяцев после выпуска). В Venafi говорят, что 27% сертификатов на внешних сайтах Yahoo действуют с января 2015 года и только 2,5% были выпущены в течение последних полутора месяцев.

Также почти половина (41%) активных сертификатов внешних сайтов Yahoo используют алгоритм хеширования SHA-1, который, как и MD5, постепенно выводится из обращения всеми основными вендорами браузеров.

Venafi, вероятно, не может быть полностью объективной в расследовании инцидента: она является разработчиком технологии защиты криптоключей и цифровых сертификатов; представители компании, однако, заверили, что не были осведомлены о расследовании в Yahoo при подготовке своего исследования.

Очевидная уязвимость защиты может быть результатом недостаточной осведомленности компании о безопасности собственной инфраструктуры и слишком жестко централизованных процессов управления политиками шифрования, сказали в Venafi. В компании также отметили, что из-за масштабов своей инфраструктуры Yahoo не способна быстро локализовать и исправить проблемы защиты и обновления сертификатов.

Теоретически противник, имеющий достаточные ресурсы, способен воспользоваться слабостями Yahoo, то есть применить самоподписанный сертификат Yahoo и слить украденные данные из Сети, а также выдать себя за легитимную структуру Yahoo и перехватывать трафик.

«Теоретически возможно, что обладающий ресурсами взломщик мог использовать самоподписанный сертификат Yahoo или произвольный, самостоятельно выпущенный сертификат, — уточнил Хари Наир (Hari Nair), исследователь-криптограф в Venafi. — Такие сертификаты можно было потенциально использовать для установки соединения с организацией, и, если к контролю сертификатов относятся спустя рукава, хакеры могли сделать свое дело и исчезнуть незамеченными».

Наир сказал, что контроль за ключами и сертификатами — не единственный способ распознать вывод данных; однако атакованная организация может воспринимать любой сертификат, не выписанный утвержденной Yahoo сертифицирующей организацией, как индикатор компрометации (IoC).

Цифровые сертификаты обычно выполняют две основные функции: они подтверждают, что сайт является тем ресурсом, за который себя выдает, а также шифруют данные. Если организация не может обеспечить контроль за выдачей, сроком действия и сверкой сертификатов, то она не способна обеспечить и адекватный уровень безопасности.

«Зрелые организации контролируют свои криптографические активы на высоком уровне. Так гораздо легче распознать просроченные или поддельные сертификаты и своевременно предупредить ИБ-отдел об этом, — сказал Наир. — Организации нужно быть начеку, кроме тех случаев, когда сертификаты выпущены утвержденной сертифицирующей организацией. Если нет определенного механизма установления доверия, нет гарантий, что никто не воспользуется этим беспорядком».

Категории: Главное, Хакеры