Katonák tízezreinek adatai kerültek fel a netre

Kilencvenezer katona e-mail-címét, jelszóhasheket és bizalmas adatokat lopott el és tett közzé az Antisec nevű hacktivista csoport. A hackerek gúnyolódó üzenetükben azt állítják, hogy több mint négy gigabájtnyi forráskódot is letöltöttek a Booz Allen Hamilton nevű katonai beszállítócég rendszeréből. "Végül értéktelennek és a hasznos tárhely pazarlásának találtuk az adatokat, ezért csak magunknak töltöttük le, tőlük pedig töröltük őket" - áll a katonai adatokat tartalmazó torrent leírásában.

Bár a hacktivisták zsákmányának legértékesebb darabja a kilencvenezer katona adatait tartalmazó adatbázis, a kiszivárogtatott anyagok között megtalálhatóak további szerverek címei is. A hackerek állítása szerint a Booz Allen Hamilton rendszerébe különösen könnyű volt bejutni. A torrenthez fűzött megjegyzésben egy 310 dollárról kiállított gúnyolódó számla is van négy emberórányi IT-biztonsági vizsgálatról.

Veszélyben vannak a katonák jelszavai is

A hacktivisták által nyilvánosságra hozott adatok között van kilencvenezer katonai e-mail-cím is a hozzájuk tartozó, részlegesen titkosított jelszavakkal együtt. A jelszavakat átvezették ugyan egy törőfüggvényen (hash) mentés előtt, így nem lehet közvetlenül felhasználni őket. Ez a legalapvetőbb biztonsági intézkedés, amivel a szolgáltatások üzemeltetői védhetik felhasználóikat. Az azonosítás úgy zajlik egy ilyen rendszerben, hogy a felhasználó által a belépéskor beírt jelszót is átalakítják a törőfüggvénnyel, és az eredményt hasonlítja össze a szoftver az adatbázisban tárolttal. A hash függvények egyirányúak, tehát az eredményből nem lehet visszafejteni a jelszót.

A katonaságnak fáj igazán az Anonymous által kiszivárogtatott adatbázis

Találgatással, véletlenszerű szavak, gyakran használt szavak hashelésével és az eredmények összehasonlításával azonban néhány jelszót ki lehet találni. Ez ellen is van védelem, a jelszó helyett a jelszót és egy előre kitalált, csak a rendszer üzemeltetői által ismert titkot - ezt nevezik sónak - vezetik át regisztrációkor a törőfüggvényen. Belépéskor ezt a műveletet is egyszerűen meg lehet ismételni, a jelszó visszafejtése azonban lehetetlenné válik. Mivel a Booz Allen Hamilton rendszerében a sózásos védelmet nem használták, bárki kitalálhat pár jelszót a kilencvenezerből, akinek van elég ideje vagy számítási kapacitása.

A kiszivárogtatás csak a kezdet

A kiszivárgott jelszavakkal és azonosítókkal várhatóan vissza fognak élni a katonai titkokat keresők. Chester Wisniewski, a Sophos kiberbiztonsági cég szakértője szerint az incidens legnagyobb vesztese a hadsereg. A felhasználók hajlamosak ugyanazt a jelszót több helyen is használni, ezért az Antisec által kiadott adatbázis belépőt jelenthet chatszolgáltatásokba, Gmail-fiókokba és további céges vagy katonai rendszerekbe. Az érintetteknek minél hamarabb le kell cserélniük a jelszavaikat, és el kell gondolkodniuk azon, hogy mely rendszerekben használhatták a Booz Allen Hamilton által is ismert belépési adataikat.