Αρχική σελίδα » Διαδίκτυο » Τι μπορεί να σας διδάξει το Dropbox Hack για την κατάσταση της ασφάλειας στο Web

    Τι μπορεί να σας διδάξει το Dropbox Hack για την κατάσταση της ασφάλειας στο Web

    Την περασμένη εβδομάδα, ο Dropbox είχε κάνει πρωτοσέλιδα πάνω από ένα hack που είδε το τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους κωδικούς πρόσβασης των 68 εκατομμυρίων λογαριασμών Dropbox που διακυβεύονται. Για οποιονδήποτε χρήστη του Dropbox αυτό είναι φυσικά ένα σημείο ανησυχίας, ιδιαίτερα εάν αποθηκεύετε οτιδήποτε στο Dropbox, είτε είναι προσωπικό είτε για εργασία.

    Οι φωτογραφίες, τα έγγραφά σας, τα δεδομένα κ.λπ. θα μπορούσαν να αποκτήσουν πρόσβαση χωρίς τη γνώση σας χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τον κωδικό πρόσβασης που χάσατε στη συγκεκριμένη χάκεια. Τα καλά νέα είναι δεν έχουν υπάρξει αναφορές για τίποτα κακόβουλο που να βγαίνει από το hack Dropbox, μέχρι τώρα. Ωστόσο, αυτό δεν σημαίνει ότι δεν υπάρχει τίποτα να ανησυχείτε.

    Σχετικά με το hack του Dropbox

    Πρώτα απ 'όλα, ας το βγάλουμε από το δρόμο: το hack του Dropbox δεν συνέβη μόλις την περασμένη εβδομάδα. Πάνω από 68 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και κωδικοί πρόσβασης κλέβονται στο hack, ναι, αλλά το ίδιο το hack συνέβη πριν από 4 χρόνια, το 2012.

    Αντί να φανταστεί κανείς μια σκηνή χάκερ του Χόλιγουντ (πολλοί από τους οποίους έκαναν τρομερά λανθασμένο hacking), ο hack ήρθε να είναι λόγω ανθρώπινου λάθους.

    Οι χάκερ είχαν χρησιμοποιήσει ονόματα χρηστών και κωδικούς πρόσβασης από άλλη παραβίαση δεδομένων για να συνδεθούν στους λογαριασμούς Dropbox. Ένας από αυτούς τους λογαριασμούς ανήκε σε έναν υπάλληλο του Dropbox, οι οποίοι είχαν χρησιμοποιήσει τον ίδιο κωδικό πρόσβασης τόσο για τον παραβιασμένο ιστότοπο όσο και για τον λογαριασμό του Dropbox.

    Συμπτωματικά, ο ίδιος υπάλληλος είχε ένα φάκελο γεμάτο έγγραφα που περιέχουν τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των 68.680.741 λογαριασμών Dropbox καθώς χτυπημένους κωδικούς πρόσβασης. Παιχνίδι, ρύθμιση και αντιστοίχιση.

    1. Το Dropbox δεν ήταν μόνο. LinkedIn ήταν επίσης παρόμοια hacked

    Τον Μάιο του 2016, η LinkedIn ανήγγειλε κάτι παρόμοιο με το χτύπημα Dropbox της περασμένης εβδομάδας. Ζήτησαν από τους χρήστες του LinkedIn να αλλάξουν τους κωδικούς πρόσβασής τους "ως θέμα βέλτιστης πρακτικής" αφού έλαβαν γνώση της κλοπής ενός συνόλου ηλεκτρονικών μηνυμάτων και κωδικών πρόσβασης που είχαν συμβεί - το μαντέψατε - το 2012.

    Αν κάνατε κλικ σε αυτόν τον σύνδεσμο στην προηγούμενη παράγραφο, δεν θα βρείτε καμία αναφορά για το πόσο μεγάλη ήταν αυτή η απώλεια δεδομένων η αίσθηση του επείγοντος είναι εμφανής με το συχνές ενημερώσεις στη συγκεκριμένη σελίδα.

    Αυτό που συνέβη ήταν αυτό περισσότερα από 117 εκατομμύρια Οι λογαριασμοί του LinkedIn επηρεάστηκαν, αν και είναι πιθανό ότι ο πραγματικός αριθμός θα μπορούσε να φθάσει τα 167 εκατομμύρια.

    2. Γιατί οι κωδικοί πρόσβασης που έχουν υποστεί επανεκκίνηση επανεμφανίζονται τώρα?

    Τα σύνολα δεδομένων τόσο για το Dropbox όσο και για το LinkedIn αναφέρονται που διαπραγματεύονται στον σκοτεινό ιστό τώρα (ή ήταν, πριν από μια εβδομάδα).

    Το σετ του LinkedIn ξεκίνησε αρχικά για 2.200 δολάρια ενώ το Dropbox's είναι λίγο πάνω από 1.200 δολάρια - και οι δύο η αξία αυτών των συνόλων δεδομένων μειώνεται όσο περισσότερο είναι εκεί έξω, καθώς όταν ο μεγαλύτερος αριθμός χρηστών έχει αλλάξει τους κωδικούς πρόσβασης, τα σύνολα δεδομένων δεν έχουν καμία αξία.

    Αλλά γιατί τώρα; Τέσσερα χρόνια μετά το χάκερ; Το πλησιέστερο που έφτασα σε μια απάντηση προέρχεται από την Τροία Χαντ (αναφέρεται αρκετά σε αυτό το post, και σχεδόν παντού αλλού) που γράφει πολλά για την ασφάλεια στον κυβερνοχώρο. Θα αναφέρω μόνο τι πρέπει να πει:

    Αναπόφευκτα υπάρχει ένας καταλύτης, αλλά θα μπορούσε να είναι πολλά διαφορετικά πράγματα. ο επιτιθέμενος τελικά αποφασίζει να το αποτιμήσει, εστιάζοντας οι ίδιοι και χάνει τα δεδομένα ή τελικά το εμπορεύεται για κάτι άλλο αξίας.

    3. Hacks και χωματερές δεδομένων συμβαίνουν συχνότερα από ό, τι ο καθένας φροντίζει να παραδεχτεί

    Κατά την ανάγνωση σχετικά με αυτό το hack Dropbox, βρήκα αυτόν τον κατάλογο βάσεων δεδομένων, Vigilante.pw έναν ιστότοπο ο οποίος περιέχει πληροφορίες για παραβιάσεις δεδομένων. Στο σημείο αυτής της γραφής, η πλήρης βάση δεδομένων περιέχει πληροφορίες για 1470 παραβιάσεις που υπερβαίνουν 2 δισεκατομμύρια συμβιβασμούς λογαριασμών.

    Η μεγαλύτερη από την παρτίδα είναι το Myspace hack το 2013. Αυτό το hack επηρέασε περισσότερο από 350 εκατομμύρια λογαριασμούς.

    Στον ίδιο κατάλογο, 68 εκατομμύρια καταχωρήσεις Dropbox είναι το ένατο μεγαλύτερο στην ιστορία των γνωστών χωματερών δεδομένων, μέχρι στιγμής. Το LinkedIn είναι το πέμπτο μεγαλύτερο, αν και αν ο αριθμός διορθωθεί στα 167 εκατομμύρια αντί, αυτό θα το κατέστη το δεύτερο μεγαλύτερο απόθεμα δεδομένων στον κατάλογο.

    (Σημειώστε ότι οι ημερομηνίες των χωματερών δεδομένων για τα Dropbox και LinkedIn παρατίθενται ως 2012, αντί για το 2016.)

    Δεν αξίζει όμως τίποτα το γεγονός ότι το περίφημο Ashley Madison hack καθώς και το παιχνίδι που αλλάζει RockYou hack ήταν δεν περιλαμβάνονται στον κατάλογο. Τι συμβαίνει λοιπόν εκεί έξω ειναι μεγαλύτερο από ό, τι βλέπετε στον ιστότοπο.

    Το hasibeenpwned.com είναι επίσης μια άλλη πηγή που μπορείτε να χρησιμοποιήσετε για να εξετάσετε το τη σοβαρότητα των hacks και των χωματερών που μαστίζουν online υπηρεσίες και εργαλεία.

    Ο ιστότοπος διαχειρίζεται ο Troy Hunt, ένας ειδικός ασφαλείας ο οποίος γράφει τακτικά για παραβιάσεις δεδομένων και θέματα ασφάλειας, καθώς και για αυτό το πρόσφατο hack του Dropbox. Σημείωση: ο ιστότοπος έρχεται επίσης με ένα δωρεάν εργαλείο ειδοποίησης που θα σας ειδοποιήσει εάν κάποιο από τα μηνύματα ηλεκτρονικού ταχυδρομείου σας έχει παραβιαστεί.

    Θα μπορείτε να βρείτε μια λίστα με τοποθεσίες που έχουν απεριοριστεί, τα δεδομένα των οποίων έχουν ενοποιηθεί με τον ιστότοπο. Εδώ είναι ο κατάλογος των κορυφαίων 10 παραβιάσεων (απλά κοιτάξτε όλους αυτούς τους αριθμούς). Βρείτε την πλήρη λίστα εδώ.

    Ακόμα μαζί μου? Είναι πολύ χειρότερο.

    4. Με κάθε παραβίαση δεδομένων, οι χάκερ έχουν καλύτερη κατάρρευση των κωδικών πρόσβασης

    Αυτή η ανάρτηση είναι ενεργοποιημένη Ars Technica από τον Jeremi Gosney, ένα επαγγελματικό cracker κωδικού πρόσβασης αξίζει να το διαβάσετε. Το μικρότερο από αυτό είναι αυτό Όσο περισσότερες παραβιάσεις δεδομένων συμβαίνουν, τόσο πιο εύκολο γίνεται να χάσουν οι χάκερ μελλοντικός κωδικούς πρόσβασης.

    Το RockYou hack συνέβη το 2009: 32 εκατομμύρια κωδικοί πρόσβασης στο plaintext είχαν διαρρεύσει και οι κροτίδες κωδικού πρόσβασης πήραν μια εσωτερική ματιά στον τρόπο με τον οποίο οι χρήστες δημιουργούν και χρησιμοποιούν κωδικούς πρόσβασης.

    Αυτό ήταν το hack που έδειξε απόδειξη πόσο λίγη σκέψη σκεφτόμαστε να επιλέξουμε τους κωδικούς πρόσβασής μας π.χ. 123456, Σε αγαπώ, Κωδικός πρόσβασης. Αλλά το πιο σημαντικό:

    Η παραβίαση του RockYou έφερε επανάσταση στη σπάσιμο του κωδικού πρόσβασης.

    Λήψη 32 εκατομμυρίων απαραβίαστων, άθικτων και μη προστατευμένων κωδικών πρόσβασης ανέβασε το παιχνίδι για επαγγελματίες κροτίδες κωδικού πρόσβασης επειδή αν και δεν ήταν αυτοί που πραγματοποίησαν την παραβίαση των δεδομένων, είναι τώρα πιο προετοιμασμένοι από ποτέ να σπάσουν τα hash κωδικού πρόσβασης μόλις εμφανιστεί μια χωματερή. Οι κωδικοί πρόσβασης που αποκτήθηκαν από το RockYou hack επικαιροποίησαν τη λίστα επιθέσεων λεξικών με τους πραγματικούς κωδικούς πρόσβασης που χρησιμοποιούν οι άνθρωποι στην πραγματική ζωή, συμβάλλοντας στη σημαντική, ταχύτερη και αποτελεσματικότερη ρωγμή.

    Επακόλουθες παραβιάσεις δεδομένων θα έρθουν: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - και με κάποια αναβάθμιση υλικού, ήταν δυνατό για τον συγγραφέα (μετά από να συνεργαστεί με λίγες ομάδες που σχετίζονται με τη βιομηχανία) να σπάσουν μέχρι 173,7 εκατομμύρια κωδικούς πρόσβασης LinkedIn σε μια απλή 6 ημέρες (αυτό είναι 98% του πλήρους συνόλου δεδομένων). Τόσο για ασφάλεια, άρα?

    5. Hashing passwords - βοηθούν?

    Υπάρχει μια τάση για έναν ιστότοπο που έχει βιώσει μια παραβίαση δεδομένων για να φέρει τις λέξεις χαστούκους κωδικούς πρόσβασης, αλατισμένους κωδικούς πρόσβασης, αλγόριθμους κατακερματισμού και άλλους παρόμοιους όρους, σαν να σας πω ότι οι κωδικοί σας είναι κρυπτογραφημένο, και ο λογαριασμός σας είναι ασφαλής (Φτου). Καλά…

    Αν θέλετε να καταλάβετε τι hashing και αλάτισμα είναι, πώς λειτουργούν και πώς ραγίζονται, αυτό είναι ένα λεπτό άρθρο για να διαβάσετε.

    Με τον κίνδυνο απλοποίησης των εννοιών, εδώ πηγαίνει:

    • Αλγόριθμοι κατακερματισμού αλλάζει έναν κωδικό πρόσβασης για να την προστατεύσει. Ένας αλγόριθμος αποκρύπτει τον κωδικό πρόσβασης έτσι ώστε να μην είναι εύκολο να αναγνωριστεί από τρίτο. Ωστόσο, τα hashes μπορούν να ραγιστούν με επιθέσεις με λεξικό (που έρχεται στο σημείο 6) και με βίαιες επιθέσεις.
    • Αλάτιση προσθέτει μια τυχαία συμβολοσειρά σε έναν κωδικό πρόσβασης προτού εξαπλωθεί. Με αυτόν τον τρόπο, ακόμα και αν ο ίδιος κωδικός πρόσβασης έχει χτυπηθεί δύο φορές, το αποτέλεσμα θα είναι διαφορετικό λόγω του αλατιού.

    Επιστρέφοντας στο hack του Dropbox, οι μισοί κωδικοί πρόσβασης βρίσκονται κάτω από το SHA-1 hash (τα άλατα δεν περιλαμβάνονται, γεγονός που τους καθιστά αδύνατο να σπάσουν) ενώ το άλλο μισό είναι κάτω από το hash bcrypt.

    Αυτό το μίγμα υποδηλώνει μετάβαση από SHA-1 σε bcrypt, η οποία ήταν μια κίνηση μπροστά από το χρόνο της, καθώς το SHA1 βρίσκεται στη μέση της σταδιακής κατάργησής του μέχρι το 2017, αντικαθιστώντας το SHA2 ή το SHA3.

    Τούτου λεχθέντος, είναι σημαντικό να γίνει κατανοητό ότι το "hashing είναι ασφαλιστήριο συμβόλαιο" που απλώς επιβραδύνει τους χάκερς και τους κροτίδες. Ακόμα κι αν η προστιθέμενη αυτή προστασία κάνει τους κωδικούς πρόσβασης "δύσκολο να αποκωδικοποιηθούν", αυτό δεν σημαίνει ότι είναι αδύνατο να σπάσουν.

    Στην καλύτερη περίπτωση, το hashing και το αλάτισμα ακριβώς αγοράσετε χρόνο χρηστών, αρκετά για να αλλάξουν τους κωδικούς πρόσβασης για να αποτρέψουν την ανάληψη του λογαριασμού τους.

    6. Τα επακόλουθα των hacks (παραβιάσεις δεδομένων)

    (1) Οι αμυγδαλές θα μπορούσαν να είναι σχετικά καλοήθεις όπως το hack Dropbox, ή έχουν καταστροφικές συνέπειες όπως η παραβίαση δεδομένων Ashley Madison.

    Στο τελευταίο, έχουν διαρρεύσει 25GB δεδομένων, συμπεριλαμβανομένων των πραγματικών διευθύνσεων στο σπίτι, των συναλλαγών με πιστωτικές κάρτες και του ιστορικού αναζήτησης των χρηστών τους. Λόγω της φύσης της ιστοσελίδας, υπήρξαν πολλές περιπτώσεις δημόσιων εκφοβισμών, εκβιασμών, εκβιασμών, διαζυγίων και ακόμη και αυτοκτονιών.

    Το hack έδειξε επίσης τη δημιουργία πλαστών λογαριασμών και τη χρήση chatbots για να δελεάσουν τους πελάτες που πληρώνουν για να εγγραφούν για λογαριασμό.

    (2) Επίσης, αμυχές δείχνουν την αδιαφορία μας για την επιλογή κωδικών πρόσβασης - δηλαδή μέχρι να υπάρξει παραβίαση.

    Αυτό το καταφέραμε όταν συζητήσαμε την παραβίαση του RockYou στο # 4. Αν έχετε πολλά σημαντικά δεδομένα που μετακινούνται στον ιστό, είναι καλή ιδέα χρησιμοποιήστε μια εφαρμογή διαχείρισης κωδικών πρόσβασης. Και ενεργοποιήστε τον έλεγχο ταυτότητας σε δύο βήματα. Και μην επαναχρησιμοποιείτε ποτέ κωδικούς πρόσβασης που έχουν παραβιαστεί. Και βεβαιωθείτε ότι είστε άλλοι άνθρωποι με τους οποίους εργάζεστε να υιοθετήσουν τα ίδια μέτρα ασφαλείας.

    Εάν θέλετε να κάνετε ένα ακόμα βήμα, εγγραφείτε για ένα εργαλείο ειδοποίησης που σας ειδοποιεί όταν το email σας εμπλέκεται σε παραβίαση δεδομένων.

    (3) Οι αμυχές δείχνουν μια περιοχή αδιαφορία για την προστασία των κωδικών πρόσβασης των χρηστών και δεδομένων.

    Στην περίπτωση του Dropbox vs LinkedIn, μπορείτε να δείτε αυτό το Dropbox έλαβε καλύτερα, πιο υπολογιζόμενα μέτρα για την ελαχιστοποίηση των ζημιών από μια παραβίαση δεδομένων όπως αυτή.

    Το Dropbox χρησιμοποίησε καλύτερες μεθόδους κατακερματισμού και αλάτισης, έστειλε μηνύματα ηλεκτρονικού ταχυδρομείου στους χρήστες, ζητώντας τους να αλλάξουν τους κωδικούς τους το συντομότερο δυνατόν, προσφέροντας έλεγχο ταυτότητας δύο παραγόντων και Universal 2ο Παράγοντα (U2F), ο οποίος χρησιμοποιεί ένα κλειδί ασφαλείας και πραγματοποίησε αλλαγές πολιτικής του προσωπικού χρησιμοποιήστε το 1Password για να διαχειριστείτε τους κωδικούς πρόσβασης, οι κωδικοί πρόσβασης για εταιρικούς λογαριασμούς δεν μπορούν πλέον να επαναχρησιμοποιηθούν και όλα τα εσωτερικά συστήματα βρίσκονται σε 2FA).

    Για μια ανάλυση του τι έκανε το LinkedIn, αυτό το άρθρο είναι ίσως μια πιο εμπεριστατωμένη και κατάλληλη ανάγνωση.

    Τυλίγοντας

    Για να είμαι ειλικρινής, η μάθηση για όλα αυτά απλά από τη μελέτη του hack Dropbox υπήρξε ένα μάτι-άνοιγμα και τρομακτική εμπειρία. Εμείς, ο γενικός πληθυσμός, υποτιμηθεί έντονα η ανάγκη για μοναδικούς και ισχυρούς κωδικούς πρόσβασης ακόμα και μετά από πολλές φορές να μην μοιράζονται ή να επαναλαμβάνουν κωδικούς πρόσβασης ή να χρησιμοποιούν λέξεις λεξικού σε αυτές.

    Εάν τα δεδομένα σας επηρεάστηκαν από το hack του Dropbox, λάβετε τις απαραίτητες προφυλάξεις για να διασφαλίσετε τα προσωπικά σας στοιχεία. Βάλτε κάποια προσπάθεια στους κωδικούς πρόσβασής σας ή λάβετε έναν διαχειριστή κωδικών πρόσβασης. Ω, και ταινία πάνω κάμερα φορητό υπολογιστή σας ή webcam όταν δεν είναι σε χρήση. Ποτέ δεν μπορείς να είσαι πολύ προσεκτικός.

    (Φωτογραφία εξώφυλλου μέσω GigaOm)