Эксперты сообщили о криптографической проблеме в системе Cisco IOS23.04.2014
Эксперты по
криптографии сделали заключение о том, что компания Cisco снизила стойкость
защиты данных в ОС IOS, которая используется в сетевых устройствах компании. Они
отмечают, что ранее в IOS использовали определенный алгоритм шифрования и системы
защиты, однако компания заменила их современными. А они, как показала практика,
менее надежны, по сравнению с прежней защитой.
Новая
криптосистема, под названием Type 4, была разработана с целью исключения
вероятности атаки методом подбора пароля комбинаций по словарю. В документах отмечалось,
что Type 4 придет на смену Type 5 и 7. Тем не менее, в результате неправильного
развертывания нового алгоритма, вся система показала себя значительно хуже
предшественников. Она должна была работать на использовании хэшей паролей. Проблему
выявил Филип Шмидт и Йенс Стойбе из Hashcat Project, - они занимаются созданием
ПО для взлома паролей.
Они пояснили,
что алгоритм Type 4 – это разновидность технологии шифровки PBKDF2. Она же
базируется на стандартном шифровании SHA-256, но присоединяет к пасс-коду 80
бит случайно выбранных данных, чтобы системы взлома не могли отличить
присоединенные данные от полезных. Прежние Type 5 и 7 функционировали по тому же
принципу, но применялся базовый стандарт шифров MD5. По организации, SHA-256, считается
более продвинутым, чем MD5.
Шмидт
поясняет, что метод подмешивания случайных данных паролей используется во всех системах
защиты, а некоторые из них используют многослойное "подсаливание".
Что позволяет защитить пароль, так как 1000-кратно возрастает объем работы по
перебору. Иначе: чтобы проверить один пароль, надо 1000 раз перебрать каждую вновь
созданную хеш-функцию, удаляя постепенно ненужные данные. Другими словами:
создаются условия, когда взломать защищенный пароль практически невозможно.
Но это
теоретически. В реальности, в целях создания надежной защиты, следует создать
правильный алгоритм встроенного в ОС. Как прокомментировали в Cisco, сегодня не
многие продукты cisco работают на базе Type 4, а именно те, которые стали
использовать IOS 15.0, а также и старшие. Компания Cisco не опубликовала проблемные
продукты, но заявила, что, пользователям Type 4, следует вернуть систему на Type
5.
Стало известно,
что выявленная уязвимость позволяет легко выявить хэши паролей в «чистом» виде
(операции по перебору – не нужны). Некоторые IOS-устройства управляются через
интернет, а доступ к паролям и хэшам возможно получить даже удаленный. Некоторые
устройства содержат решения для установления взлома, однако это создает
неудобства администраторам.
|