Główna » Internet » Czego może nauczyć się Dropbox Hack o stanie bezpieczeństwa w sieci

    Czego może nauczyć się Dropbox Hack o stanie bezpieczeństwa w sieci

    W zeszłym tygodniu Dropbox robił nagłówki na hacku, w którym zobaczył naruszono adresy e-mail i hasła 68 milionów kont Dropbox. Dla każdego użytkownika Dropbox jest to oczywiście problem, zwłaszcza jeśli coś przechowujesz w Dropbox, czy to osobiście, czy w pracy.

    Twoje zdjęcia, dokumenty, dane itp. Można uzyskać bez Twojej wiedzy, używając adresu e-mail i hasła utraconego w tym konkretnym hacku. Dobra wiadomość jest nie było żadnych doniesień o jakichkolwiek szkodliwych wypadkach z włamania Dropbox, jak dotąd. Nie oznacza to jednak, że nie ma się czym martwić.

    O hacku Dropbox

    Po pierwsze, zróbmy to z drogi: hack Dropbox nie wydarzył się w zeszłym tygodniu. Ponad 68 milionów adresów e-mail i haseł zostało skradzionych w hacku, tak, ale sam hack wydarzyło się 4 lata temu, w 2012 roku.

    Zamiast wyobrażać sobie hollywoodzką scenę hakerów (z których wiele strasznie się włamało), doszło do hakowania z powodu błędu ludzkiego.

    Hakerzy użyli nazw użytkowników i haseł z innego naruszenia danych, aby zalogować się do kont Dropbox. Jedno z tych kont należał do pracownika Dropbox, kto użył tego samego hasła zarówno w przypadku naruszonej witryny, jak i swojego konta Dropbox.

    Przypadkowo ten sam pracownik miał folder pełen dokumenty zawierające adresy e-mail 68,680,741 kont Dropbox jak również wymieszane hasła. Gra, ustaw i dopasuj.

    1. Dropbox nie był sam; LinkedIn zaatakowano podobnie

    W maju 2016 r. LinkedIn ogłosił coś podobnego do hacku Dropbox z zeszłego tygodnia. Błagali użytkowników LinkedIn o zmianę haseł „w ramach najlepszych praktyk” po uświadomieniu sobie kradzieży zestawu e-maili i haseł, które wystąpiły - zgadliście - w 2012 r..

    Jeśli klikniesz ten link w poprzednim akapicie, nie znajdziesz żadnej wzmianki o tym, jak duża była utrata danych poczucie pilności jest oczywiste z częste aktualizacje do tej konkretnej strony.

    Co się stało ponad 117 milionów Wpłynęło to na konta LinkedIn, ale możliwe, że rzeczywista liczba może wynosić nawet 167 milionów.

    2. Dlaczego zhakowane hasła zmieniają się teraz?

    Zestawy danych dla Dropbox i LinkedIn są podobno jest teraz przedmiotem handlu w ciemnej sieci (lub były, prowadząc do tygodnia temu).

    Zestaw LinkedIn był początkowo w sprzedaży za 2,200 USD, podczas gdy Dropbox za nieco ponad 1200 USD - oba The wartość tych zestawów danych zmniejsza się wraz z upływem czasu, ponieważ gdy większość użytkowników zmieniła hasła, zestawy danych mają niewielką lub żadną wartość.

    Ale dlaczego teraz? Cztery lata po włamaniu? Najbliższa odpowiedź, jaką dotarłem, pochodzi od Troya Hunta (w tym poście pojawia się sporo informacji, i prawie wszędzie), który dużo pisze o cyberbezpieczeństwie. Przytoczę tylko to, co ma do powiedzenia:

    Nieuchronnie istnieje katalizator, ale może to być wiele różnych rzeczy; atakujący ostatecznie decyduje się na monetyzację, oni sami są celem i tracą dane lub ostatecznie sprzedają je za coś innego wartościowego.

    3. Hacki i zrzuty danych zdarzają się częściej niż wszyscy się przyznają

    Czytając o tym haku Dropbox, natknąłem się na ten katalog bazy danych, Vigilante.pw, który zawiera informacje o naruszeniach danych. W momencie pisania tego tekstu pełna baza danych zawiera informacje o 1470 naruszeniach, których liczba przekracza 2 miliardy zainfekowanych kont.

    Największym z nich jest hack Myspace w 2013 roku 350 milionów kont.

    W tym samym katalogu 68 milionów wpisów Dropbox jest jak dotąd dziewiątym co do wielkości w historii znanych zrzutów danych; LinkedIn jest piątym co do wielkości, ale jeśli liczba została skorygowana do 167 milionów zamiast tego, byłby to drugi największy zrzut danych w katalogu.

    (Należy pamiętać, że daty zrzutów danych dla Dropbox i LinkedIn są wymienione jako 2012, zamiast 2016).

    Jednak nic nie warte, by był niesławny hack Ashleya Madisona, a także hack zmieniający grę RockYou nie zawarte w katalogu. Więc co tam się naprawdę dzieje jest większy niż to, co widzisz na stronie.

    haveibeenpwned.com to także inne źródło, którego możesz użyć do obejrzenia dotkliwość hacków i zrzutów danych, które nękają usługi i narzędzia online.

    Witryna jest prowadzona przez Troya Hunta, eksperta ds. Bezpieczeństwa, który regularnie pisze o naruszeniach bezpieczeństwa i problemach z bezpieczeństwem, w tym o niedawnym hakie Dropbox. Uwaga: na stronie znajduje się również bezpłatne narzędzie do powiadamiania, które ostrzeże Cię, jeśli któreś z Twoich e-maili zostało naruszone.

    Będziesz mógł znaleźć listę zastawionych witryn, których dane zostały skonsolidowane na stronie. Oto lista 10 najlepszych naruszeń (wystarczy spojrzeć na wszystkie te liczby). Znajdź pełną listę tutaj.

    Nadal ze mną? Robi się znacznie gorzej.

    4. Przy każdym naruszeniu danych hakerzy lepiej radzą sobie z łamaniem haseł

    Ten post na Ars Technica Jeremi Gosney, profesjonalny łamacz haseł jest warty przeczytania. Krótkie to im więcej naruszeń danych występuje, tym łatwiej hakerom pękać przyszłość Hasła.

    Hack w RockYou wydarzył się w 2009 roku: wyciekło 32 miliony haseł w postaci zwykłego tekstu, a łamacze haseł sprawdzili, jak użytkownicy tworzą i używają haseł.

    To był hack, który pokazał dowód jak niewiele myślimy o wyborze naszych haseł na przykład. 123456, kocham Cię, Hasło. Ale co ważniejsze:

    Naruszenie RockYou zrewolucjonizowało łamanie haseł.

    Uzyskanie 32 milionów nieskasowanych, nieuzasadnionych, niezabezpieczonych haseł ulepszył grę dla profesjonalnych łamaczy haseł ponieważ mimo, że nie były to te, które dokonały naruszenia danych, są teraz bardziej przygotowane niż kiedykolwiek do łamania haseł haseł po zrzuceniu danych. Hasła uzyskane z hacku RockYou zaktualizowały listę ataków słownikowych za pomocą rzeczywistych haseł, których ludzie używają w prawdziwym życiu, przyczyniając się do znacznego, szybszego i bardziej efektywnego łamania haseł.

    Kolejne naruszenia danych przyjdzie: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - i z trochę aktualizacji sprzętu, autor (po połączeniu się z kilkoma zespołami związanymi z branżą) mógł się uporać 173,7 mln haseł LinkedIn w zwykłym 6 dni (to jest 98% pełnego zestawu danych). To tyle jeśli chodzi o bezpieczeństwo?

    5. Haszowanie haseł - czy pomagają?

    Witryna, która doświadczyła naruszenia danych, ma tendencję do wywoływania słów mieszane hasła, solone hasła, algorytmy mieszania i inne podobne warunki, jakbyś chciał powiedzieć, że twoje hasła są zaszyfrowane, a twoje konto jest bezpieczne (uff). Dobrze…

    Jeśli chcesz zrozumieć co mieszanie i solenie jest to, jak działają i jak są łamane, jest to świetny artykuł do przeczytania.

    Ryzykując uproszczenie koncepcji, tutaj:

    • Algorytmy skrótu zmienia hasło, aby je chronić. Algorytm zasłania hasło, aby nie było łatwo rozpoznawalne przez osobę trzecią. Jednak skróty można złamać za pomocą ataków słownikowych (w tym momencie pojawia się punkt 6) i ataków brutalną siłą.
    • Solenie dodaje losowy ciąg do hasła, zanim zostanie ono zmieszane. W ten sposób, nawet jeśli to samo hasło zostanie zmieszane dwukrotnie, wynik będzie inny z powodu soli.

    Wracając do hakowania Dropbox, połowa haseł znajduje się pod hashem SHA-1 (sole nie są wliczone, co czyni je niemożliwymi do złamania), podczas gdy druga połowa znajduje się pod hashem bcrypt.

    Ta mieszanka wskazuje przejście z SHA-1 na bcrypt, co było krokiem naprzód, ponieważ SHA1 jest w trakcie wycofywania do 2017 r., aby zastąpić go SHA2 lub SHA3.

    Mimo to ważne jest, aby zrozumieć, że „mieszanie jest polisą ubezpieczeniową”, która jedynie spowalnia hakerów i crackerów. Nawet jeśli te dodatkowe zabezpieczenia sprawiają, że hasła są trudne do zdekodowania, nie oznacza to, że nie można ich złamać.

    W najlepszym razie mieszanie i solenie kupuj czas użytkowników, wystarczy zmienić swoje hasła, aby zapobiec przejęciu ich konta.

    6. Następstwa hacków (naruszenia danych)

    (1) Hacki mogą być stosunkowo łagodne, jak hak Dropbox, lub mieć druzgocące wyniki, takie jak naruszenie danych Ashley Madison.

    W tym ostatnim wyciekły 25 GB danych, w tym rzeczywiste adresy domowe, transakcje kartą kredytową i historia wyszukiwania ich użytkowników. Ze względu na charakter strony internetowej było wiele przypadków publicznego wstydu, szantażu, wymuszeń, rozwodów, a nawet samobójstw.

    Hack ujawnił również tworzenie fałszywych kont i korzystanie z chatbotów, aby zwabić płacących klientów, aby założyć konto.

    (2) Hacki również pokaż naszą obojętność w wyborze haseł - to znaczy, dopóki nie nastąpiło naruszenie.

    Ustaliliśmy to, dyskutując na temat łamania Rock w # 4. Jeśli masz wiele ważnych danych unoszących się w sieci, dobrym pomysłem jest użyj aplikacji do zarządzania hasłami. I włącz uwierzytelnianie dwuetapowe. I nigdy nie używaj ponownie haseł, które zostały naruszone. I upewnij się, że inni ludzie, z którymi pracujesz przyjąć te same środki bezpieczeństwa.

    Jeśli chcesz pójść o krok dalej, zarejestruj się w narzędziu powiadamiającym, które powiadomi Cię, gdy Twój email zostanie naruszony.

    (3) Hacki pokazują witrynę obojętność na ochronę haseł użytkowników i dane.

    W przypadku Dropbox vs LinkedIn możesz zobaczyć Dropbox podjęto lepsze, bardziej obliczone działania, aby zminimalizować szkody z takiego naruszenia danych.

    Dropbox korzystał z lepszych metod haszowania i solenia, wysyłał e-maile do użytkowników, prosząc ich o jak najszybszą zmianę haseł, oferował uwierzytelnianie dwuskładnikowe i Universal 2nd Factor (U2F), który wykorzystuje klucz bezpieczeństwa i wprowadzał zmiany w polityce personelu (pracownicy Dropbox użyj 1Password do zarządzania swoimi hasłami, hasła do kont firmowych nie mogą być ponownie użyte, a wszystkie wewnętrzne systemy są na 2FA).

    Aby dokonać analizy tego, co zrobił LinkedIn, ten artykuł może być bardziej dokładny i odpowiedni.

    Zawijanie

    Szczerze mówiąc, poznanie tego wszystkiego po prostu dzięki przestudiowaniu hacka Dropboksa było zaskakującym doświadczeniem. My, ogólna populacja, bardzo nie doceniam potrzeby unikalnych i silnych haseł nawet po wielokrotnym powiedzeniu, aby nigdy nie udostępniać ani nie powtarzać haseł, ani nie używać w nich słów słownikowych.

    Jeśli dane Dropbox zostały naruszone przez hak Dropbox, należy podjąć niezbędne środki ostrożności w celu zabezpieczenia danych osobowych. Włóż trochę wysiłku w swoje hasła lub uzyskać menedżera haseł. Och, i taśma nad aparatem laptopa lub kamerą internetową, gdy nie jest używana. Nigdy nie możesz być zbyt ostrożny.

    (Zdjęcie na okładce przez GigaOm)