Kaj lahko Dropbox Hack vas nauči o stanju spletne varnosti
V preteklem tednu se je Dropbox ukvarjal z naslovnicami, ki so se pojavile na plošči e-poštni naslovi in gesla 68 milijonov računov Dropboxa so ogroženi. Za vsakega uporabnika Dropboxa je to seveda skrb zbujajoča, še posebej, če shranjujete vse v Dropboxu, naj bo osebno ali za delo.
Do vaših fotografij, dokumentov, podatkov itd. Lahko dostopate brez vaše vednosti z uporabo vašega e-poštnega naslova in gesla, ki ste jih izgubili v tem posebnem piku. Dobra novica je ni bilo nobenih poročil o nečem zlonamernem, ki bi prišel iz Dropboxa, doslej. Vendar to ne pomeni, da ni treba skrbeti.
O Dropboxu
Najprej se odpravimo s tega: Dropbox hack se ni zgodil prejšnji teden. V kramp je ukradenih več kot 68 milijonov e-poštnih naslovov in gesel, ampak samo kramp zgodilo pred 4 leti, leta 2012.
Namesto, da si predstavljate hollywoodsko hekersko sceno (od katerih je bilo veliko takih, ki so se hrupno motili), je prišlo do zaradi človeške napake.
Hekerji so uporabili uporabniška imena in gesla iz druge kršitve podatkov za prijavo v račune Dropboxa. Eden od teh računov pripadala uslužbencu Dropboxa, ki je uporabil isto geslo za kršeno spletno mesto in za njihov račun Dropbox.
Po naključju je isti delavec imel polno mapo dokumenti, ki vsebujejo e-poštne naslove 68.680.741 Dropbox računov tako dobro, kot zgoščena gesla. Igra, set in tekmo.
1. Dropbox ni bil sam; Podobno je bil tudi LinkedIn
Maja 2016 je LinkedIn objavil nekaj podobnega kot prejšnji teden Dropbox hack. Uporabniki programa LinkedIn so pozvali, naj spremenijo gesla »kot najboljšo prakso«, potem ko so se zavedali kraje niza e-poštnih sporočil in gesel, ki so se zgodila - uganili ste - leta 2012.
Če ste kliknili to povezavo v prejšnjem odstavku, ne boste našli nobene omembe, kako velika je bila izguba podatkov občutek nujnosti je očiten z pogoste posodobitve strani.
To se je zgodilo več kot 117 milijonov Računi LinkedIn so bili prizadeti, čeprav je možno, da je dejansko število lahko doseže 167 milijonov.
2. Zakaj se zdaj vdirajo v hekirana gesla?
Zbrani podatki za Dropbox in LinkedIn so po poročilih zdaj se trguje v temni mreži (ali so bili, ki so vodili do pred tednom).
Set LinkedIn je bil prvotno v prodaji za 2.200 dolarjev, medtem ko je Dropbox za nekaj več kot 1.200 dolarjev. vrednost teh nizov podatkov se zmanjša dlje, ko so tam zunaj, kot je večina uporabnikov spremenila gesla, so podatkovni nizi malo ali nič vredni.
Toda zakaj zdaj? Štiri leta po krampu? Najbližje, do katerega sem dobil odgovor, prihaja iz Troyja Hunta (omenja se zelo malo na tem mestu in skoraj povsod drugje), ki veliko piše o kibernetski varnosti. Samo citiram, kaj ima za povedati:
Neizogibno obstaja katalizator, vendar je lahko veliko različnih stvari; Napadalec se končno odloči, da ga monetizira, da so sami ciljno usmerjeni in izgubljajo podatke ali pa ga končno tržijo za nekaj drugega.
3. Hack in podatkovne deponije se dogajajo pogosteje, kot si vsi želijo priznati
Med branjem o tem Dropbox kramp, sem prišel čez to imenik baze podatkov, Vigilante.pw stran, ki vsebuje informacije o kršitvah podatkov. V trenutku pisanja celotna baza podatkov vsebuje informacije o 1470 kršitvah, ki so se končale 2 milijardi ogroženih računov.
Največji od tega je Myspace kramp v letu 2013. Ta kramp je prizadel več kot 350 milijonov računov.
V istem imeniku je 68 milijonov vnosov Dropboxa deveti največji v zgodovini znanih odlagališč podatkov. LinkedIn je peti največji, čeprav je bilo število popravljeno na 167 milijonov, kar bi pomenilo, da je to druga največja podatkovna deponija v imeniku..
(Upoštevajte, da so datumi deponij podatkov za Dropbox in LinkedIn navedeni kot 2012, namesto v letu 2016.)
Vendar pa ni vredno ničesar, da je bil zloglasni krst Ashley Madison in RockYou, ki spreminja igro ne v imeniku. Torej, kaj se res dogaja tam zunaj je večji kot na spletnem mestu.
haveibeenpwned.com je tudi drug vir, s katerim lahko pogledate resnost hack in podatkovnih odlagališč, ki preplavljajo spletne storitve in orodja.
Stran vodi Troy Hunt, varnostni strokovnjak, ki redno piše o kršitvah podatkov in varnostnih vprašanjih, vključno s tem nedavnim Dropbox hackom. Opomba: spletno mesto ima tudi brezplačno orodje za obveščanje, ki vas bo opozorilo, če je bila katera od vaših e-poštnih sporočil ogrožena.
Lahko najdete seznam založenih spletnih mest, katerih podatki so združeni na spletno mesto. Tukaj je seznam prvih 10 kršitev (samo poglejte vse te številke). Celoten seznam najdete tukaj.
Še vedno z mano? To postane veliko slabše.
4. Z vsako kršitvijo podatkov se hekerji izboljšajo pri razreševanju gesel
Ta post na Ars Technica Jeremi Gosney, poklicni krekerji gesel je vredno prebrati. Kratko je to bolj ko pride do kršitev podatkov, lažje bodo hekerji zlomili prihodnosti gesla.
RockYou kramp se je zgodil leta 2009: 32 milijonov gesel v odprtem besedilu je uhajalo in krekerji za gesla so dobili vpogled v to, kako uporabniki ustvarjajo in uporabljajo gesla.
To je bil hack, ki je dokazal kako malo razmišljamo o izbiri gesel npr. 123456, Ljubim te, Geslo. Še pomembneje pa je:
Napaka RockYou je revolucionirala lomljenje gesel.
Pridobivanje 32 milijonov nepoškodovanih, nesoljenih in nezaščitenih gesel ujemala igro za profesionalne krekerje za gesla ker čeprav niso bili tisti, ki so izvedli kršitev podatkov, so zdaj bolj kot kdaj koli prej pripravljeni na razkritje hashov gesel, ko pride do izpisa podatkov. Gesla, ki jih dobite pri RockYou hacku, so posodobila seznam napadov v slovarjih z dejanskimi gesli, ki jih ljudje uporabljajo v resničnem življenju, in prispevajo k pomembnemu, hitrejšemu in učinkovitejšemu razpokanju..
Nadaljnje kršitve podatkov bi prišel: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - in z nadgradnjo strojne opreme, avtorju (po združitvi z nekaj ekipami, ki so pomembne za industrijo) je bilo mogoče razčistiti 173,7 milijona gesel LinkedIn v samo 6 dni (to je 98% podatkov). Toliko o varnosti, ha?
5. Zapiranje gesel - ali pomagajo?
Obstaja težnja za spletno mesto, ki je doživelo kršitev podatkov, da bi prikazalo besede zgoščena gesla, soljena gesla, hash algoritmi in podobne izraze, kot da bi vam povedali, da so vaša gesla šifrirano, in ergo vaš račun je varen (few). No ...
Če želite razumeti kaj razprševanje in soljenje je, kako delujejo in kako se pokanjajo, to je dober članek, ki ga je treba prebrati.
Ob nevarnosti poenostavitve konceptov, tukaj:
- Hash algoritmi spremeni geslo, da ga zaščiti. Algoritem zakrije geslo, tako da ga tretja oseba ne prepozna. Vendar pa se lahko zgoščeni napadi s pomočjo slovarskih napadov (kjer pride točka 6) in napadov s silo.
- Soljenje doda naključni niz geslu, preden se razprši. Na ta način, tudi če je isto geslo dvakrat zgoščeno, bo rezultat drugačen zaradi soli.
Vrnem se k Dropboxu, polovica gesel je pod razpršitvijo SHA-1 (soli, ki niso vključene, zaradi česar jih je nemogoče razpasti), druga polovica pa je pod šifriranjem.
Ta mešanica označuje prehod iz SHA-1 v bcrypt, kar je bil korak pred svojim časom, saj se SHA1 umika do leta 2017 in ga nadomesti SHA2 ali SHA3.
Vendar je pomembno razumeti, da je "zgoščevanje zavarovalna polica", ki le upočasni hekerje in krekerje. Tudi če te dodane zaščite omogočajo, da gesla »težko dekodirajo«, to ne pomeni, da jih ni mogoče razbiti.
V najboljšem primeru zgoščevanje in soljenje kupite uporabnikom čas, dovolj, da spremenijo gesla, da se prepreči prevzem njihovega računa.
6. Posledice hakov (kršitve podatkov) \ t
(1) Haki so lahko relativno blagi, kot je Dropbox hack, ali imajo uničujoče rezultate, kot je kršitev podatkov Ashley Madison.
V slednjem je prišlo do 25 GB podatkov, vključno z dejanskimi domačimi naslovi, transakcijami s kreditnimi karticami in zgodovino iskanja njihovih uporabnikov. Zaradi narave spletne strani je bilo veliko primerov javno sramotenje, izsiljevanje, izsiljevanje, razveze in celo samomori..
Hack je tudi izpostavil ustvarjanje lažnih računov in uporabo chatbotov, da bi privabili plačljive stranke, da se prijavijo za račun.
(2) Haki tudi pokazati svojo brezbrižnost pri izbiri gesel - dokler ni prišlo do kršitve.
To smo ugotovili pri razpravi o kršitvi RockYou v št. 4. Če imate na spletu veliko pomembnih podatkov, je to dobra ideja uporabite aplikacijo za upravljanje gesel. In omogočite preverjanje v dveh korakih. In nikoli ne uporabite gesel, ki so bila v kršitvi podatkov. In poskrbite, da bodo drugi ljudje, s katerimi delate sprejmejo enake varnostne ukrepe.
Če želite narediti korak naprej, se prijavite za orodje za obvestila, ki vas opozori, ko je vaša e-pošta vključena v kršitev podatkov.
(3) Haki prikazujejo spletno stran nezainteresiranost za zaščito uporabniških gesel podatkov.
V primeru Dropbox vs LinkedIn, lahko vidite, da Dropbox sprejeli boljše in bolj izračunane ukrepe za zmanjšanje škode podatkovne kršitve, kot je ta.
Dropbox je uporabil boljše metode zgoščevanja in soljenja, poslal e-poštna sporočila uporabnikom, ki so jih pozvali, da čim prej spremenijo gesla, ponudi avtentikacijo z dvema faktorjema in univerzalni drugi faktor (U2F), ki uporablja varnostni ključ, ter spremeni politiko zaposlenih (Dropbox zaposleni zdaj uporabite 1Password za upravljanje gesel, gesel za račun podjetja ni več mogoče ponovno uporabljati in vsi notranji sistemi imajo 2FA).
Za razčlenitev tega, kar je storil LinkedIn, je ta članek morda bolj temeljit in primeren za branje.
Zavijanje
Če sem iskren, je bilo spoznavanje vsega tega samo s študijem Dropbox hack-a odprto in grozljivo doživetje. Mi, splošna populacija, močno podcenjujejo potrebo po edinstvenih in močnih geslih tudi po tem, ko jim je večkrat povedal, da nikoli ne delijo ali ponavljajo gesel, ali uporabijo besede v slovarju.
Če so vaši podatki prizadeti s Dropbox-om, storite vse potrebno, da zaščitite svoje osebne podatke. Vnesite nekaj truda v gesla ali dobite upravitelja gesel. Oh, in trak nad prenosno kamero ali spletno kamero, ko ni v uporabi. Nikoli ne moreš biti preveč previden.
(Cover photo via GigaOm)