zaterdag 9 juni 2012

LinkedIn faal update

We zijn nu een paar dagen verder na het uitlekken van de wachtwoorden lijst van LinkedIn. Er is op zich weinig nieuws, maar ik heb wel langer nagedacht over dit alles, en ik wil deze gedachten delen.

Laat ik zaadje planten. Misschien is LinkedIn niet gehackt. Dit is iets wat LinkedIn ook wil doen geloven in hun laatste verklaring (http://goo.gl/Q6lDn ). Als ik een lijst maak van 0000 tot en met 9999 en deze verspreid met de boodschap dat ik de Nederlandse bankpassen heb gekraakt van de ABN dan zal iedereen bevestigen dat hun pincode er tussen staat. Ik kan binnen vijf minuten een lijst produceren van wachtwoorden die gehashd zijn met SHA-1 die zo lang is als de lijst die op het internet verschenen is. Maar die zou wel willekeurig zijn. Er is ook zoiets als rainbow tables. Deze zijn door de tijd heen opgebouwd om SHA-1 wachtwoorden sneller te ontcijferen. Als je hier een slimme selectie uit haalt heb je al een grotere kans om werkelijke wachtwoorden te tonen. Mijn wachtwoord die ik uit de lijst haalde gebruikte ik inderdaad op LinkedIn. Maar ook op Twitter, Last.FM, en op Computable.nl. Het is een wachtwoord wat niet uit alleen uit letters bestaat, maar ook uit cijfers. Het is niet onmogelijk dat iemand anders dit wachtwoord ook gebruikt. Juist omdat de impact laag is was het wachtwoord niet bijzonder sterk en gebruikte ik hem voor meerdere doeleinden. Ik kan alleen mijn eigen wachtwoord valideren. Ik ben benieuwd of een gebruiker van KeePass of LastPass ook zijn wachtwoord heeft teruggevonden. Die tooltjes maken voor elke site een ander wachtwoord aan en daarmee kan daadwerkelijk gevalideerd worden dat de lijst op het internet echt van LinkedIn afkomstig is. Als dit zo is (en zo lijkt het wel te zijn), dan is het zeer waarschijnlijk dat er bij de wachtwoorden lijst ook de inlognamen bekend zijn.

De laatste verklaring van 7 Juni waar ik al de link van gaf is wederom een loze verklaring waarin ze schrijven dat er geen indicatie is dat ook de inlognamen verspreid zijn.

To the best of our knowledge, no email logins associated with the passwords have been published, nor have we received any verified reports of unauthorized access to any member’s account as a result of this event.

Er is dus ook geen ongeoorloofd toegang gedetecteerd. Right. Hoe kunnen ze dat onderscheid maken? En wat valt er te halen dan? Wat spam verspreiden? Nee, de buit zit hem in het proberen van de gebruikersnamen en wachtwoorden op andere diensten. En zoals iemand al toegaf; die gebruikte dezelfde gegevens voor LinkedIn als voor PayPal. Statistiek zal uitwijzen dat diegene niet uniek is....

In de reacties die ik kreeg op Computable.nl stond ook een rake. Ga maar eens naar LinkedIn en log uit. Inloggen gebeurt over een gewone HTTP verbinding. Dus gegevens worden niet eens versleuteld verzonden naar LinkedIn!! Als ze veiligheid serieus namen... dan zouden ze dat ook aanpassen.

Als ik het artikel op ZDnet moet geloven ( http://goo.gl/IAS70 ) dan heeft LinkedIn niet zoiets als een information officer (CIO), of een chief information security officer (CISO).

Alles bij elkaar opgeteld is dit een faal van epische proporties. Ik kan niet één goed punt vinden die in het voordeel van LinkedIn spreekt. Het enige wat het mij brengt is dat ik nu serieus een poging doe om over te stappen op een wachtwoord tool.