Felelősség
Nyilván a téma még mindig a LastPass breach - és még igazából sokkal több mindent is lehetne írni onnan kezdve, hogy a cyber security 101 megsértett pontjaitól kezdődik az írás. Jelen pillanatban ezt mellőzöm, inkább tudatosítani szeretnék valamit az olvasóban az ügy - és úgy általában véve a bizalom kapcsán.
Már elkezdtem ezt pedzegetni két bejegyzéssel ezelőtt is, de azóta egyre több és több kiberbiztonsági blogger és szakember is fontosnak tartotta kiemelni, kinek a felelősségi körébe is tartoznak a LastPasstól letöltött információk.
Nem a felhasználóé, hanem a szolgáltatóé.
A LastPass által karácsony előtt kiadott közleményben nem felejtik el megemlíteni, hogy az általuk használt hash és titkosító eljárások nagyon nehézzé teszik a mesterjelszavak feltörését azon felhasználók esetében, akik követték az általuk kiadott, jelszavakat érintő legjobb gyakorlatokat. A sorok között olvasva viszont a másik irányba is lőnek, miszerint akik nem követték ezeket, saját maguknak köszönhetik, ha a mester jelszavukat feltörik - mintegy próbálva rátolni a felelősséget ezekre a felhasználókra. Ezt annyira hangsúlyozzák, hogy több alkalommal is megemlítik, nem mellesleg emlékeztetik a felhasználókat az általuk bevezetett gyakorlatokra a minimum hosszról, az iterációk számáról a kulcsderivációs eljárás során, valamint a jelszavak nem megismételt felhasználásáról. Ezután kiemelik, hogy aki nem az általuk kitalált alapértelmezett beállításokat használja, jelentősen csökkenti a mester jelszó kitalálásához szükséges időt és extra biztonsági eljárásként az ilyen felhasználók minden, LastPassban tárolt weboldalon változtassák meg a jelszavukat. Egészen biztos, hogy a minimum "pongyola" megfogalmazás illik ide, mert mitől csökkenne a biztonság, ha az általuk kitalált 100100 iteráció helyett az OWASP által FIPS-megfelelőnek tekintett 310000-re állítja valaki az értéket (számolva persze a megnövekedett bejelentkezési idővel)?
Igazából az előző megjegyzéssel kicsit elragadott a hév, mert a lényeg nem elsősorban az iterációk száma. Sokkal inkább az, hogy a LastPass nyújt(ott) egy szolgáltatást, amelyben azt vállalta, hogy a felhasználóik által rájuk bízott adatokra vigyáznak (URL-ek, személyes adatok, felhasználónevek, jelszavak). Tudjuk már, hogy ez nem ment, a saját forráskódjaikra sem tudtak vigyázni, a támadó(k) digitális identitását sem tudták megkülönböztetni a saját fejlesztőjükétől. Ezek után a felhasználóikat blamálni azért, hogy az adataik illetéktelen kezekbe jutottak, minimum megkérdőjelezhető viselkedés.
Ez az, amire több szakember is felhívta a figyelmet: nem a felhasználó hibája, hanem a szolgáltatóé, ha a szolgáltatóra bízott információk illetéktelen kezekbe kerülnek - és ezt az üzenetet szeretném én is eljuttatni az olvasóimhoz.
Coresec
2023.01.05