Mida Dropbox Hack õpetab teile veebi turvalisuse olukorrast
Eelmisel nädalal oli Dropbox teinud pealkirju häkkimise kohta, mis nägi 68 miljoni Dropboxi konto e-posti aadressid ja paroolid on ohustatud. Mis tahes Dropboxi kasutaja jaoks on see muidugi murettekitav, eriti kui salvestate midagi Dropboxi, olgu see siis isiklik või tööl.
Teie fotosid, dokumente, andmeid jne oleks võimalik teie teadmata kasutada teie e-posti aadressi ja parooliga, mis on selles häkkis kadunud. Hea uudis on ei ole olnud mingeid aruandeid Dropboxi väljavõtmise kohta, nii kaugel. Kuid see ei tähenda, et midagi ei muretse.
Dropboxi häkkimine
Kõigepealt, laske see sellest välja: Dropboxi häkkimine ei juhtunud just eelmisel nädalal. Häkkis varastatakse üle 68 miljoni e-posti aadressi ja parooli, aga häkkimine juhtus 4 aastat tagasi, tagasi 2012. aastal.
Selle asemel, et ette kujutada Hollywoodi häkkeripildi (millest paljud on hirmutanud valesti valesti), tuli häkk inimvea tõttu.
Häkkerid olid Dropboxi kontodesse sisselogimiseks kasutanud mõnest teisest andmete rikkumisest kasutajanime ja parooli. Üks nendest kontodest kuulus Dropboxi töötajale, kes olid kasutanud sama parooli nii rikutud saidile kui ka nende Dropboxi kontole.
Juhuslikult oli sama töötaja kaust täis dokumendid, mis sisaldavad 68 680 741 Dropboxi kontot sama hästi kui räsitud paroolid. Mäng, seadistamine ja sobitamine.
1. Dropbox ei olnud üksi; LinkedIn oli sarnaselt häkkinud
2016. aasta mais teatas LinkedIn midagi sarnast eelmise nädala Dropboxi häkkimisega. Nad soovitasid LinkedIn kasutajatele oma paroole "parimate tavade küsimuses" muuta pärast seda, kui nad olid teadlikud juba toimunud e-kirjade ja paroolide vargusest - arvasid seda - 2012. aastal.
Kui klõpsasite eelmises lõigus sellel lingil, siis ei ole mainitud, kui suur on andmete kadu, kuigi see oli isegi kiireloomulisuse tunne on ilmne koos sagedased uuendused sellele lehele.
See juhtus üle 117 miljoni See mõjutas LinkedIn kontosid, kuigi tegelik arv on võimalik võiks olla 167 miljonit.
2. Miks on häkkinud paroolid nüüd uuesti kate?
Nii Dropboxi kui ka LinkedIn'i andmekogumid on teatatud kauplemine pimedas veebis nüüd (või nad olid, juhtides kuni nädal aega tagasi).
LinkedIn'i komplekt oli algselt müügiks 2 200 dollari eest, samal ajal kui Dropbox on veidi rohkem kui 1200 dollarit - nii The nende andmekogumite väärtus väheneb, seda kauem nad seal on, kuna pärast seda, kui suurem osa kasutajatest on paroole muutnud, on andmerühmade väärtus vähe või mitte.
Aga miks nüüd? Neli aastat pärast häkkimist? Lähim, millele ma sain vastuse, pärineb Troy Huntilt (ta mainib selles postituses üsna vähe ja kõikjal mujal), kes kirjutab palju küberjulgeolekust. Ma tsiteerin, mida ta peab ütlema:
Paratamatult on olemas katalüsaator, kuid see võib olla palju erinevaid asju; ründaja otsustab lõpuks selle raha teenida, nad ise on sihitud ja kaotavad andmed või kauplevad lõpuks selle väärtusega.
3. Häkkide ja andmete prügimäed toimuvad sagedamini kui igaüks hoolib
Lugedes selle Dropboxi häkkimise kohta, leidsin selle andmebaasi kataloogi, Vigilante.pw saidi, mis sisaldab teavet andmete rikkumise kohta. Selle kirjutamise ajal sisaldab kogu andmebaas 1470 rikkumist, mis ulatuvad üle 2 miljardit ohustatud kontot.
Suurim partii on 2013. aastal Myspace'i häkkimine 350 miljonit kontot.
Samas kataloogis on Dropboxi 68 miljonit kirjet seni üheksas suurim teadaolevate andmetöötluste ajaloos; LinkedIn on suuruselt viies, kuigi selle arv korrigeeriti 167 miljonini, mis muudaks selle kataloogi suuruselt teiseks andmepakkiks.
(Pange tähele, et Dropboxi ja LinkedIn-i andmete prügimäed on loetletud 2012. aasta asemel 2016. aasta asemel.)
Siiski ei ole midagi väärt, et kurikuulus Ashley Madison häkkib ja mängus muutuv RockYou hack oli mitte kataloogi. Mis siis tegelikult seal toimub on suurem kui see, mida sa saidil näed.
isibeenpwned.com on ka teine allikas, mida saate kasutada võrguteenuseid ja -vahendeid vaevavate häkkide ja andmete prügila raskusaste.
Saidi haldab turvaekspert Troy Hunt, kes kirjutab regulaarselt andmete rikkumise ja turvaküsimuste kohta, sealhulgas selle hiljutise Dropboxi häkkimise kohta. Märkus: saidil on ka tasuta teavitusvahend, mis hoiatab teid, kui mõni teie e-kiri on ohustatud.
Sul on võimalik leida pawned saitide nimekiri, mille andmed on saidile koondatud. Siin on tema kümne rikkumise loend (vaata kõiki neid numbreid). Siit leiate täieliku nimekirja.
Ikka minuga? See muutub palju halvemaks.
4. Iga andmete rikkumise korral saavad häkkerid paroolide krakkimisel paremaks
See postitus on Ars Technica poolt Jeremi Gosney, professionaalne parool krakkimise tasub lugeda. See on lühike mida rohkem andmeid rikutakse, seda lihtsam on häkkerite lõhkuda tulevik paroolid.
The RockYou hack juhtus tagasi 2009. aastal: 32 miljonit parooli lihtsas tekstis lekkis ja paroolide krakkijad said sisemise pilgu, kuidas kasutajad paroole loovad ja kasutavad.
See oli häkk, mis tõestas kui vähe arvasime, et anname oma paroolide valimiseks nt. 123456, Ma armastan sind, Parool. Aga mis veelgi tähtsam:
RockYou rikkumine muutis revolutsiooniliselt parooli krakkimise.
32 miljoni unhashedi, soolamata, kaitsmata paroolide saamine tõstis mängu professionaalsete paroolide krakkimiseks sest kuigi nad ei olnud need, kes andmesidet rikkusid, on nad nüüd parema räsi purustamiseks rohkem valmis kui kunagi varem. RockYou'lt saadud paroolid värskendasid oma sõnastiku rünnakute nimekirja tegelike paroolidega, mida inimesed tegelikus elus kasutavad, aidates kaasa olulisele, kiiremale ja tõhusamale lõhenemisele.
Järgnevad andmete rikkumised tulevad: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - ja mõned riistvara uuendused, autoril (pärast mõne tööstusharuga seotud meeskonna liitumist) oli võimalik lõhkuda 173,7 miljonit LinkedIn parooli pelgalt 6 päeva (See on 98% kogu andmekogumist). Nii palju turvalisuse, huh?
5. Paroolide äratamine - kas nad aitavad?
Seal on kalduvus, et sait, mis on kogenud andmete rikkumist, toob need sõnad üles hashed paroolid, soolatud paroolid, räsi algoritmid ja muud sarnased mõisted, nagu oleks öelda, et teie paroolid on krüpteeritud, ja teie konto on ohutu (peen). Noh…
Kui sa tahad aru saada segamine ja soolamine see on, kuidas nad töötavad ja kuidas nad lõhenevad, see on hea artikkel lugemiseks.
Kontseptsioonide lihtsustamise oht on siin:
- Hash algoritmid muudab selle kaitsmiseks parooli. Algoritm varjab parooli nii, et kolmas isik ei oleks seda kergesti äratuntav. Kuid räsi võib krakkida sõnaraamatu rünnakutega (mis on koht, kus punkt 6 tuleb) ja brute force rünnakud.
- Soolamine lisab parooli enne juhusliku stringi lisamist juhusliku stringi. Sel viisil, isegi kui sama parool on kahekordne, on tulemuseks soola tõttu erinev.
Tagasi Dropboxi häkkima, pool paroolidest on SHA-1 räsi all (soolad ei kuulu, mis muudab need võimatuks praguneda) ja teine pool on bcrypt-räsi alla.
See segu näitab üleminekut SHA-1-lt bcrypt-le, mis oli kiirem kui aeg, sest SHA1 on järk-järgult kaotatud 2017. aastaks, asendades selle SHA2 või SHA3.
See tähendab, et on oluline mõista, et "segamine on kindlustuspoliis", mis aeglustab häkkerite ja krakkijate kasutamist. Isegi kui need lisakaitse muudab paroolid "raske dekodeerida", see ei tähenda, et neid on võimatu lõhkuda.
Parimal juhul lihtsalt vahustamine ja soolamine osta kasutajaid aega, piisavalt muuta oma paroole, et vältida oma konto ülevõtmist.
6. Häkide tagajärjed (andmete rikkumised)
(1) Hacks võib olla suhteliselt healoomuline nagu Dropboxi häkkimine või sellel on laastavad tulemused nagu Ashley Madisoni andmete rikkumine.
Viimasel juhul lekkis 25 GB andmeid, sealhulgas tegelikke kodu aadresse, krediitkaarditehinguid ja nende kasutajate otsinguajalugu. Veebisaidi olemuse tõttu oli palju avalikkuse häbistamist, väljapressimist, väljapressimist, lahutust ja isegi enesetappe..
Hack näitas ka võltskontode loomist ja chatbots'i kasutamist, et meelitada maksvaid kliente kontole sisse logima.
(2) Häkke ka näidata oma ükskõiksust paroolide valimisel - see on kuni rikkumiseni.
Oleme selle loonud, kui räägime RockYou rikkumisest # 4. Kui veebis on palju olulisi andmeid, on see hea mõte kasutage parooli haldamise rakendust. Ja võimaldada kaheastmelist autentimist. Ja Ärge kunagi kasutage korduvalt paroole, mis on olnud andmete rikkumisel. Ja veenduge, et teised inimesed, kellega töötad võtta samu ohutusmeetmeid.
Kui soovite seda edasi minna, logige sisse teavitusvahend, mis hoiatab teid, kui teie e-post on seotud andmete rikkumisega.
(3) Hacks näitab saidi ükskõiksus kasutaja paroolide kaitsmisel ja andmed.
Dropbox vs LinkedIn puhul näete seda Dropboxi võtsid kahju vähendamiseks paremad ja arvukamad meetmed sellisest andmekaitsest.
Dropbox kasutas paremaid segamis- ja soolamismeetodeid, saatis e-kirju kasutajatele, kes kutsusid neid oma paroole võimalikult kiiresti muutma, pakkuma kahefaktorilist autentimist ja universaalset 2. tegurit (U2F), mis kasutab turvavõtit, ja muutis personalipoliitika muudatusi (Dropboxi töötajad nüüd muutuvad) kasutage oma paroolide haldamiseks 1Passwordi, ettevõtte konto paroole ei saa enam kasutada ja kõik sisemised süsteemid on 2FA-s.
LinkedIni kokkuvõtte tegemiseks on see artikkel ilmselt põhjalikum ja sobivam.
Pakkimine üles
Ausalt öeldes on kõike sellest, et õppida seda ainult Dropboxi häkkimise uurimisel, olnud silmade avamise ja kohutav kogemus. Meie, üldine elanikkond, alahinnata unikaalsete ja tugevate paroolide vajadust isegi pärast seda, kui neile on mitu korda öeldud, et kunagi paroole ei jaga ega korrata, või kasutada nende sõnastiku sõnu.
Kui teie andmed on Dropboxi häkkimise tõttu mõjutatud, siis võtke vajalikud ettevaatusabinõud, et kaitsta oma isikuandmeid. Pange oma paroolidesse mõned pingutused või saada paroolihaldur. Oh, ja kleepige oma sülearvuti kaamera või veebikaamera üle, kui seda ei kasutata. Sa ei saa kunagi olla liiga ettevaatlik.
(Kaanefoto GigaOm kaudu)