Pagrindinis » internetas » Kas „Dropbox Hack“ gali išmokyti jus apie žiniatinklio saugumo būklę

    Kas „Dropbox Hack“ gali išmokyti jus apie žiniatinklio saugumo būklę

    Praėjusią savaitę „Dropbox“ teko antraštes apie „Hack“ buvo pažeisti 68 mln. „Dropbox“ paskyrų el. pašto adresai ir slaptažodžiai. Bet kuriam „Dropbox“ naudotojui tai, žinoma, kelia susirūpinimą, ypač jei saugote viską „Dropbox“, ar tai būtų asmeniniai ar darbiniai.

    Jūsų nuotraukos, dokumentai, duomenys ir tt gali būti pasiekiami be jūsų žinios, naudodami jūsų el. Geros naujienos yra nebuvo jokių pranešimų apie tai, kad iš „Dropbox“ įsilaužta kažkas kenkėjiško, iki šiol. Tačiau tai nereiškia, kad nieko nerimauti.

    Apie „Dropbox“ įsilaužimą

    Visų pirma, leiskite tai išeiti: „Dropbox“ įsilaužimas ne tik įvyko praėjusią savaitę. Daugiau nei 68 milijonai elektroninio pašto adresų ir slaptažodžių yra pavogti „taip“, bet pats įvyko prieš 4 metus, 2012 m.

    Užuot įsivaizdavęs Holivudo įsilaužėlių sceną (iš kurių daugelis įsilaužė į siaubingą klaidą), įsilaužimas tapo dėl žmogaus klaidų.

    Užsiregistravę į „Dropbox“ paskyras, įsilaužėliai naudojo naudotojo vardus ir slaptažodžius iš kito duomenų pažeidimo. Viena iš šių paskyrų priklausė „Dropbox“ darbuotojui, kurie naudojo tą patį slaptažodį ir pažeidė svetainę, ir jų „Dropbox“ paskyrą.

    Atsitiktinai tas pats darbuotojas turėjo pilną aplanką dokumentus, kuriuose yra 68.680.741 „Dropbox“ paskyrų el. pašto adresai taip pat sutrumpinti slaptažodžiai. Žaidimas, rinkinys ir rungtynės.

    1. Dropbox nebuvo vienas; „LinkedIn“ taip pat buvo nulaužta

    2016 m. Gegužės mėn. „LinkedIn“ paskelbė kažką panašaus į praeitos savaitės „Dropbox“ įsilaužimą. Jie ragino „LinkedIn“ naudotojus keisti savo slaptažodžius „geriausios praktikos klausimu“ po to, kai sužinojo apie įvykusių el. Laiškų ir slaptažodžių vagystę - tai atspėjote - 2012 m..

    Jei spustelėjote šią nuorodą ankstesnėje pastraipoje, nerasite, kaip didelis duomenų praradimas tai buvo akivaizdus skubos jausmas su dažnai atnaujinami į tą konkretų puslapį.

    Taip atsitiko daugiau nei 117 mln „LinkedIn“ sąskaitos buvo paveiktos, nors įmanoma, kad faktinis skaičius gali siekti 167 mln.

    2. Kodėl nulaužti slaptažodžiai dabar atsinaujina?

    Pranešama, kad ir „Dropbox“, ir „LinkedIn“ duomenų rinkiniai dabar prekiaujama tamsiame tinkle (arba jie buvo, prieš savaitę).

    „LinkedIn“ rinkinys iš pradžių buvo parduotas už 2 200 JAV dolerių, o „Dropbox“ - šiek tiek daugiau nei 1200 JAV dolerių. šių duomenų rinkinių vertė mažėja, tuo ilgiau jie yra ten, kadangi kai dauguma naudotojų pakeitė slaptažodžius, duomenų rinkiniai neturi jokios vertės.

    Bet kodėl dabar? Ketveri metai po įsilaužimo? Artimiausias, kurį turėčiau atsakyti, kyla iš Trojos medžioklės (jis gana dažnai paminėtas šiame pranešime ir beveik visur kitur), kuris daug rašo apie kibernetinį saugumą. Aš tiesiog cituoju, ką jis turi pasakyti:

    Neišvengiamai yra katalizatorius, bet tai gali būti daug skirtingų dalykų; užpuolikas pagaliau nusprendžia už tai pinigais, jie patys yra nukreipti ir praranda duomenis arba galiausiai prekiauja jais už kitą vertę.

    3. Hacks ir duomenų sąvartynai įvyksta dažniau nei visi, kuriems rūpi pripažinti

    Skaitydami apie šį „Dropbox“ įsilaužimą, aš atėjau per šį duomenų bazės katalogą, „Vigilante.pw“ svetainę, kurioje yra informacijos apie duomenų pažeidimus. Šio rašto metu visa duomenų bazė apima informaciją apie 1470 pažeidimų, kurie viršijo 2 mlrd.

    Didžiausia partija yra 2013 m. „MySpace“ įsilaužimas 350 mln. Sąskaitų.

    Tame pačiame kataloge „Dropbox“ 68 mln. Įrašų yra devintas pagal dydį žinomų duomenų sąvartynų istorijoje; „LinkedIn“ yra penktas pagal dydį, nors jei šis skaičius buvo ištaisytas iki 167 mln., Tai būtų antras pagal dydį duomenų dempingas kataloge.

    (Atkreipkite dėmesį, kad „Dropbox“ ir „LinkedIn“ duomenų sąvartynų datos pateikiamos 2012 m., O ne 2016 m.)

    Tačiau verta nieko, kad liūdnas „Ashley Madison“ įsilaužė, o taip pat ir žaidimas, kuriuo keičiasi „RockYou“ ne įtraukti į katalogą. Taigi, kas iš tikrųjų vyksta ten yra didesnis nei tai, ką matote svetainėje.

    isibeenpwned.com taip pat yra kitas šaltinis, kuriuo galite pažvelgti į „hacks“ ir duomenų sąvartynų, kurie kenkia internetinėms paslaugoms ir įrankiams, sunkumas.

    Svetainę valdo „Troy Hunt“, saugumo ekspertas, kuris reguliariai rašo apie duomenų pažeidimus ir saugumo klausimus, taip pat apie šį neseniai „Dropbox“ įsilaužimą. Pastaba: svetainėje taip pat yra nemokama pranešimo priemonė, kuri jus įspės, jei bus pažeistas jūsų laiškas.

    Galėsite rasti priskirtų svetainių, kurių duomenys buvo konsoliduoti į svetainę, sąrašą. Čia pateikiamas 10 geriausių pažeidimų sąrašas (tiesiog peržiūrėkite visus tuos numerius). Čia rasite visą sąrašą.

    Dar su manimi? Jis tampa daug blogesnis.

    4. Su kiekvienu duomenų saugumo pažeidimu, įsilaužėliai geriau pasiekia slaptažodžius

    Šis įrašas yra Ars Technica Jeremi Gosney, profesionalus slaptažodžio krekeris yra verta skaityti. Trumpai apie tai yra kuo daugiau duomenų pažeidimų atsiranda, tuo lengviau įsilaužėlių įtrūkimai ateityje slaptažodžius.

    „RockYou Hack“ atsitiko dar 2009 m.: 32 milijonai slaptažodžių buvo perduoti ir slaptažodžių krekeriai gavo vidinį vaizdą, kaip naudotojai kuria ir naudoja slaptažodžius.

    Tai buvo įsilaužimo įrodymas kiek mažai manėme, kad pasirinktume savo slaptažodžius pvz. 123456, Aš tave myliu, Slaptažodis. Bet dar svarbiau:

    „RockYou“ pažeidimas pakeitė slaptažodį.

    Gauti 32 milijonus unhashed, nesūdytų, neapsaugotų slaptažodžių padidino profesionalių slaptažodžių krekerių žaidimą nes nors jie nebuvo tie, kurie atliko duomenų pažeidimą, dabar jie yra labiau pasirengę neišspręsti slaptažodžio maišų, kai įvyksta duomenų iškrovimas. Slaptažodžiai, gauti iš „RockYou“ įsilaužimo, atnaujino savo žodynų atakų sąrašą su tikrais slaptažodžiais, kuriuos žmonės naudoja realiame gyvenime, prisidedant prie didelių, greitesnių ir efektyvesnių krekingo.

    Vėlesni duomenų pažeidimai ateis: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - ir su kai kurie aparatūros atnaujinimai, autorius (susibūręs su keliomis pramonės šakų grupėmis) galėjo įveikti 173,7 mln. „LinkedIn“ slaptažodžių paprasčiausiai 6 dienos (tai yra 98% duomenų rinkinį). Tiek daug saugumo, ar?

    5. Gauti slaptažodžius - ar jie padeda?

    Yra tendencija, kad svetainę, kuri patyrė duomenų pažeidimą, iškėlė šiuos žodžius sutrumpinti slaptažodžiai, sūdyti slaptažodžiai, maišos algoritmai ir kiti panašūs terminai, tarsi pasakyti, kad jūsų slaptažodžiai yra šifruotas, ir jūsų paskyra yra saugi (phew). Na…

    Jei norite suprasti, kas maišymas ir sūdymas tai, kaip jie dirba ir kaip jie krekingo, tai yra puikus straipsnis, kurį galima perskaityti.

    Čia kyla pavojus supaprastinti sąvokas:

    • Hash algoritmai pakeičia slaptažodį, kad jį apsaugotų. Algoritmas užblokuoja slaptažodį, kad jis nebūtų lengvai atpažįstamas trečiosios šalies. Tačiau maišos gali būti įtrūkusios su žodynų atakomis (tai yra, kur yra 6 punktas) ir brutalia jėga.
    • Sūdymas prideda atsitiktinę eilutę prie slaptažodžio, kol jis nėra sugadintas. Tokiu būdu, net jei tas pats slaptažodis du kartus išnyks, rezultatas bus skirtingas dėl druskos.

    Grįžti į „Dropbox“ įsilaužimą, pusė slaptažodžių yra pagal SHA-1 maišą (neįtrauktos druskos, dėl kurių jos neįmanoma įtrūkti), o kita pusė yra po bcrypt maišos.

    Šis mišinys rodo perėjimą iš SHA-1 į bcrypt, tai buvo žingsnis pirmyn, nes SHA1 yra palaipsniui nutrauktas iki 2017 m., kurį pakeis SHA2 arba SHA3.

    Be to, svarbu suprasti, kad „maišymas yra draudimo politika“, kuri tik lėtina įsilaužėlių ir krekerių. Net jei ši papildoma apsauga leidžia slaptažodžius „sunkiai iššifruoti“, tai nereiškia, kad jų neįmanoma įveikti.

    Geriausiu atveju tiesiog maišymas ir sūdymas pirkti vartotojų laiką, pakankamai pakeisti savo slaptažodžius, kad būtų užkirstas kelias jų sąskaitos perėmimui.

    6. Hacks (duomenų pažeidimai)

    (1) „Hacks“ gali būti gana geras, pavyzdžiui, „Dropbox“ įsilaužimas, arba turi niokojančių rezultatų, pvz., „Ashley Madison“ duomenų pažeidimo.

    Pastaruoju metu nutekėjo 25 GB duomenų, įskaitant faktinius namų adresus, kredito kortelių operacijas ir jų naudotojų paieškos istoriją. Dėl tinklalapio pobūdžio buvo daugybė viešojo gėdos, šantažo, prievartavimo, skyrybų ir netgi savižudybių atvejų..

    Hack taip pat atskleidė suklastotų sąskaitų sukūrimą ir pokalbių svetainių naudojimą, kad mokėtų klientus prisiregistruoti prie paskyros.

    (2) Taip pat parodyti mūsų abejingumą pasirinkdami slaptažodžius - tai yra, kol įvyko pažeidimas.

    Mes tai nustatėme, kai diskutuojame apie „RockYou“ pažeidimą Nr. 4. Jei internete yra daug svarbių duomenų, tai yra gera idėja naudoti slaptažodžių valdymo programą. Ir įgalinti dviejų pakopų autentifikavimą. Ir niekada nenaudokite slaptažodžių, kurie buvo pažeisti. Ir įsitikinkite, kad kiti žmonės, su kuriais dirbate imtis tų pačių saugos priemonių.

    Jei norite tai žengti toliau, prisijunkite prie pranešimo įrankio, įspėjančio jus, kad el. Paštas yra susijęs su duomenų pažeidimu.

    (3) „Hacks“ rodo svetainės turinį abejingumas vartotojų slaptažodžių apsaugai ir duomenis.

    „Dropbox vs LinkedIn“ atveju galite matyti, kad „Dropbox“ buvo imtasi geresnių, labiau apskaičiuotų priemonių žalai sumažinti tokį duomenų pažeidimą.

    „Dropbox“ naudojo geresnius maišymo ir sūdymo metodus, atsiuntė el. Laiškus naudotojams, kurie paragino juos kuo greičiau pakeisti savo slaptažodžius, pasiūlyti dviejų veiksnių autentifikavimą ir „Universal 2nd Factor“ (U2F), kurie naudoja saugos raktą, ir pakeitė darbuotojų politiką („Dropbox“ darbuotojai dabar pakeitė naudokite „1Password“, kad galėtumėte tvarkyti savo slaptažodžius, įmonės paskyros slaptažodžiai nebegali būti pakartotinai naudojami, ir visos vidaus sistemos yra „2FA“.

    Dėl to, ką padarė „LinkedIn“, šis straipsnis galbūt yra išsamesnis ir tinkamesnis.

    Apvyniojimas

    Atvirai kalbant, visa tai suprasdami tik iš „Dropbox“ įsilaužimo, buvo akių atvėrimo ir bauginanti patirtis. Mes, gyventojai, labai nepakankamai įvertintas unikalių ir stiprių slaptažodžių poreikis net ir po to, kai jiems buvo kelis kartus pasakyta, kad niekada nesidalins arba pakartos slaptažodžius, arba jais naudoti žodyno žodžius.

    Jei jūsų duomenys buvo paveikti „Dropbox“ įsilaužimo metu, imkitės reikiamų atsargumo priemonių, kad apsaugotumėte savo asmeninę informaciją. Įdėkite šiek tiek pastangų į savo slaptažodžius arba gauti slaptažodžių valdytoją. O, ir juosta per savo nešiojamąjį kompiuterį ar kamerą, kai ji nenaudojama. Niekada negali būti per atsargūs.

    (Viršelio nuotrauka per GigaOm)

    Kas yra jūsų televizoriaus „HDMI“ prievadų etiketės reikšmė (ir kada ji svarbi)
    Kas yra „The Friend Friend Emoji Actual Mean“
    Ką & #% $ yra „CryptoKitty“?
    Kitas straipsnis
    Ką pragarą daro vožtuvas?
    Ankstesnis straipsnis
    Ką gali (ir negali) „Amazon“ brūkšnys