Zabezpieczenia są jak łańcuch - wystarczy pokonać ich najsłabsze ogniwo. Rosyjska firma ElcomSoft , zajmująca się tworzeniem programów do łamania haseł odkryła, że kopie zapasowe danych z telefonów BlackBerry są bardzo podatne na atak typu "brute force", zgadujący hasło pozwalajacy na odszyfrowanie wszystkich danych zapisanych w znajdującej się na komputerze kopii zapasowej. W związku z tym ich program do odzyskiwania haseł kopii zapasowych urządzeń Apple, takich jak iPhone, iPod Touch i iPad uzyskał teraz dodatkową możliwość - łamanie haseł wszystkich urządzeń BlackBerry.
Istota problemu polega na nieodpowiednim wykorzystaniu przez programistów Research In Motion funkcji PBKDF2 wytwarzającej klucz szyfrujący AES z podanego przez użytkownika hasła. Normalnie funkcja ta jest powtarzana wiele tysięcy razy (Apple w iOS 3.x stosuje 2000 iteracji funkcji PBKDF2, a w iOS 4.x 10000 iteracji). Tymczasem oprogramowanie RIM wykorzystuje funkcję tylko jeden raz. Dzięki temu oprogramowanie ElcomSoftu może przetestować ponad milion haseł na sekundę, i to bez wykorzystywania akceleracji GPU. Siedmioliterowe hasło zawierające duże i małe litery może w związku z tym zostać złamane w trochę ponad trzy dni. Oczywiście, dużo mocniejsze hasła są odpowiednio trudniejsze do złamania.
Czy to oznacza, że szyfrowanie backupów telefonów Apple jest dużo bezpieczniejsze? Nie do końca, niestety. Owszem, jest bezpieczniejsze, ale oprogramowanie ElcomSoft umożliwia wykorzystanie akceleracji GPU do łamania haseł kopii zapasowych tworzonych przez iOS. Kiedy kopie zapasowe dostaną się w ręce hackerów, są podatne na atak - kopia zapasowa BlackBerry zaszyfrowana przy użyciu bardzo długiego, bezpiecznego hasła będzie bezpieczniejsza niż kopia zapasowa iPhone'a zabezpieczona prostym hasłem.
A najlepiej trzymać kopie zapasowe na zaszyfrowanym dysku z odpowiednio mocnym hasłem. W sumie jeżeli hacker uzyska dostęp do dysku twardego, na którym przechowywane są kopie zapasowe danych z telefonu, to istnieje spora szansa na to, że będą tam również niezaszyfrowane kopie poczty, książki kontaktowej itd.
Leszek Karlik
dane dostarcza:
