Função usada para proteção não foi informada. Empresa também negou venda de cartões de crédito.
As senhas roubadas por hackers na invasão à PSN não estavam armazenadas em “texto puro” no banco de dados, segundo a Sony informou nesta segunda-feira (2). As senhas estavam protegidas por uma função conhecida como “hash”, mas a Sony não informou qual o hash usado. A empresa ainda disse acreditar nos boatos de que cartões de crédito obtidos na PSN estariam à venda na internet.
Os boatos sobre a venda de cartões de crédito circularam na semana passada, quando a fabricante de antivírus Trend Micro encontrou ofertas em sites criminosos. A oferta dizia que os cartões eram acompanhados do código de verificação, que a Sony garantiu que não teriam sido roubados no ataque que comprometeu os dados e os serviços da PSN. Os dados foram oferecidos por U$ 100 mil e teriam sido ofertados à Sony antes de serem oferecidos publicamente. A empresa disse nunca ter recebido tal oferta.
Armazenamento de senhas em hash
Hashs são funções matemáticas que transformam uma quantidade de dados qualquer em um conjunto fixo de dados. Em um hash de 32 bytes, por exemplo, qualquer quantidade de dados – seja uma única letra ou um filme de 1 GB – será representada em 32 bytes.
O hash se diferencia da criptografia, que codifica (ou cifra) os dados de tal maneira que, sabendo-se o “segredo” da cifra, pode ser decodificado para os dados originais. Isso significa que o conteúdo codificado irá variar de tamanho de acordo com a fonte dos dados, já que o código precisa conter o conteúdo codificado. O hash, no entanto, é uma fórmula de uma via só.
Isso significa que não é possível “reverter” um hash, já que ele é apenas uma representação matemática de uma informação e não possui a informação original em si. Como o tamanho do hash é fixo, ele possui um número limitado de possibilidades. Considerando-se que a quantidade de dados que ele pode representar é ilimitada, isso significa que dois conjuntos diferentes de dados – duas senhas diferentes, por exemplo – podem gerar o mesmo hash.
Para burlar os hashs, hackers criaram tabelas conhecidas como “rainbow tables”. São valores pré-computados de hashes. A partir delas, é possível fazer o caminho oposto e converter um hash a um dos possíveis valores a que ele corresponde, mas nunca é possível ter certeza se foi aquele valor ou outro que gerou um hash idêntico é que foi usado pelo usuário.
A função do hash pode ser levemente alterada (é chamado de “salt”) o que vai inutilizar completamente as tabelas pré-computadas. A Sony não informou se usou um salt ou qual foi a fórmula de hash usada. Algumas fórmulas de hash são antigas e menos seguras que fórmulas mais atuais.
0 comentários:
Postar um comentário