Gisteren deelde de Britse databeschermingsautoriteit een boete aan Sony uit wegens het onvoldoende beschermen van gebruikersgegevens die bij een aanval in 2011 werden gestolen, maar volgens een beveiligingsexpert missen er in het rapport belangrijke technische details. Bij de aanval werden 77 miljoen wachtwoorden buitgemaakt. Sony stelde dat de wachtwoorden gehasht waren.

Er werden echter geen enkele details gegeven, zoals het gebruikte hashing-algoritme en of er aanvullende beveiligingsmaatregelen waren genomen, zoals salting en stretching. Een hashing-algoritme codeert het wachtwoord van gebruikers en deze gecodeerde versie wordt vervolgens opgeslagen.

Hack
In het geval de website, in dit geval Sony, wordt gehackt, heeft de aanvaller niet direct toegang tot de wachtwoorden, maar moet hij die eerst decoderen. Er zijn echter grote dataverzamelingen van allerlei wachtwoord-hashes, zogenaamde rainbow-tabellen, waarin het bij de hash behorende wachtwoord is op te zoeken. Hierdoor kan een gevonden wachtwoord-hash supersnel worden 'gekraakt', hoewel het eigenlijk om opzoeken gaat.

Door het gebruik van salting wordt er een waarde aan het wachtwoord toegevoegd en dit vervolgens gehasht. Hierdoor zijn vooraf aangelegde rainbow tabellen niet meer te gebruiken, omdat ze zonder de toegevoegde waarde zijn gemaakt.Veel websites passen echter geen salting toe.

Bij stretching wordt het gebruikte hash-algoritme niet één keer aangeroepen, maar bijvoorbeeld duizend keer. Als het 'kraken' van de hash normaal 1 dag zou duren, zorgt stretching er in dit geval voor dat het duizend dagen duurt.

Rapport
In het rapport van de Britse Information Commissioner’s Office (ICO) worden echter nergens deze details onthuld. Zelfs het gebruikte hashing-algoritme ontbreekt, tot grote ontevredenheid van wachtwoordonderzoeker Joseph Bonneau.

"Er is geen excuus voor een rapport van 12 pagina's dat op kosten van de belastingbetaler is geschreven om dit soort basale details niet te vermelden", stelt Bonneau. Hij vindt dat de meldplicht voor datalekken moet worden aangepast zodat ook de hashing-details worden vermeld.

"Het is belangrijk voor de gebruikers die door het lek getroffen zijn en het motiveert mogelijk bedrijven om dit soort basale beveiligingsmaatregelen toe te passen." Zelf denkt de onderzoeker dat Sony het MD5 algoritme gebruikte, zonder salting of stretching.

Verantwoordelijkheid
Bij het Roemeense anti-virusbedrijf BitDefender zijn ze zeer over de boete te spreken. Het zou namelijk een krachtig signaal zijn dat het de hoogste tijd is dat de IT-industrie haar verantwoordelijkheid neemt.

"Non Disclosure Agreements, gebruikersovereenkomsten en restrictieve copyrightwetgeving hadden nooit goede beveiliging en engineering mogen vervangen."