מה האק Dropbox יכול ללמד אותך על מצב של אבטחת אינטרנט
בשבוע האחרון, Dropbox היה עושה כותרות מעל גרזן אשר ראה את כתובות דוא"ל וסיסמאות של 68 מיליון חשבונות Dropbox נפגעת. עבור כל משתמש Dropbox זה כמובן נקודת דאגה, במיוחד אם אתה חנות כל דבר Dropbox, יהיה זה אישי או לעבודה.
התמונות שלך, מסמכים, נתונים וכו 'ניתן לגשת ללא ידיעתך באמצעות כתובת הדוא"ל שלך ואת הסיסמה איבדה באותו גרזן בפרט. החדשות הטובות הן לא היו שום דיווחים על שום דבר זדוני יוצא של גרזן Dropbox, עד כה. עם זאת, אין זה אומר כי אין מה לדאוג.
על גרזן קופצים
קודם כל, בואו לקבל את זה מהדרך: גרזן קופצים לא קרה רק בשבוע שעבר. יותר מ 68 מיליון כתובות דוא"ל וסיסמאות נגנבים ב גרזן, כן, אבל גרזן עצמו קרה לפני 4 שנים, בשנת 2012.
במקום לדמיין סצנה האקר הוליווד (שרבים מהם יש פריצה טועה מאוד), גרזן הגיע להיות עקב טעות אנוש.
האקרים השתמשו בשמות משתמש וסיסמאות מפריצת נתונים אחרת כדי להיכנס לחשבונות Dropbox. אחד החשבונות האלה שייכת עובד Dropbox, אשר השתמשו באותה סיסמה הן עבור האתר הפרוץ והן עבור חשבון Dropbox שלהם.
במקרה, לאותו עובד היתה תיקיה מלאה מסמכים המכילים את כתובות הדוא"ל של 68,680,741 חשבונות Dropbox ממש כמו סיסמאות hashed. משחק, להגדיר ולהתאים.
1. Dropbox לא היה לבד; LinkedIn היתה פריצה דומה
חזרה מאי 2016, הודיעה LinkedIn משהו דומה בשבוע שעבר Dropbox גרזן. הם הפצירו את משתמשי LinkedIn לשנות את הסיסמאות שלהם "כנוהג של עבודה מומלצת", לאחר שנודע להם על גניבת מערכת של הודעות דוא"ל וסיסמאות שהתרחשו - ניחשתם - ב- 2012.
אם לחצת על קישור זה בפיסקה הקודמת, לא תמצא שום אזכור של כמה גדול אובדן נתונים זה היה למרות תחושת הדחיפות ניכרת עם ה עדכונים תכופים אל הדף המסוים הזה.
מה שקרה היה זה יותר מ 117 מיליון דולר חשבונות LinkedIn הושפעו, אם כי ייתכן שהמספר בפועל יכול להיות גבוה ככל 167 מיליון דולר.
2. מדוע הסיסמאות נפרצו מחדש עכשיו?
הנתונים קובע עבור שני Dropbox ו LinkedIn מדווחים להיות נסחר האינטרנט כהה עכשיו (או שהם היו, עד לפני שבוע).
סט של LinkedIn היה בתחילה על מכירה עבור 2,200 $ בעוד Dropbox של הולך קצת מעל 1,200 $ - הן הערך של נתונים אלה קובע להפחית את עוד הם שם בחוץ, כמו פעם את רוב המשתמשים השתנו את הסיסמאות, את ערכות הנתונים הן של מעט ערך.
אבל למה עכשיו? ארבע שנים אחרי הפריצה? הקרוב ביותר שקיבלתי תשובה מגיעה טרוי האנט (הוא מקבל מזכיר לא מעט בפוסט הזה, ו פחות או יותר בכל מקום אחר) מי כותב הרבה על cybersecurity. אני פשוט מצטט את מה שיש לו לומר:
באופן בלתי נמנע יש זרז, אבל זה יכול להיות הרבה דברים שונים; התוקף סוף סוף מחליט להפיק רווחים זה, הם עצמם להיות ממוקד ולאבד את הנתונים או בסופו של דבר המסחר עבור משהו אחר בעל ערך.
3. פריצות נתונים ומזבלות לקרות לעתים קרובות יותר מאשר לכולם אכפת להודות
בעת קריאת על זה Dropbox גרזן, נתקלתי במדריך זה באתר, Vigilante.pw אתר אשר תכונות מידע של הפרות נתונים. בשלב זה של כתיבה, את מסד הנתונים המלא מכיל מידע של 1470 הפרות בהיקף של מעל 2 מיליארד חשבונות בסכנה.
הגדול ביותר של המגרש הוא Myspace גרזן בשנת 2013. זה גרזן השפיע יותר 350 מיליון חשבונות.
באותה ספריה, 68 מיליון רשומות של Dropbox הוא התשיעי בגודלו בהיסטוריה של מזבלות נתונים ידועות, עד כה; LinkedIn היא החמישית בגודלה, אם כי אם המספר תוקן ל 167 מיליון במקום, זה יהפוך אותו הנתונים השני בגודלו dump במדריך.
(שים לב שתאריכי המזבלות של הנתונים עבור Dropbox ו- LinkedIn מפורטים כ -2012, במקום 2016).
זה לא שווה שום דבר, כי אשלי מדיסון הידוע לשמצה, כמו גם שינוי המשחק RockYou גרזן היה לא כלול במדריך. אז מה באמת קורה שם בחוץ הוא גדול יותר ממה שאתה רואה באתר.
יש גם מקור אחר אתה יכול להשתמש בו כדי להסתכל על חומרת פריצות נתונים dumps כי הם downguing שירותים מקוונים וכלים.
האתר מנוהל על ידי טרוי האנט, מומחה אבטחה שכותב באופן קבוע על הפרות נתונים ובעיות אבטחה, כולל על זה dropbox האחרונות גרזן. הערה: האתר מגיע גם עם כלי התראה ללא תשלום, אשר יתריע אם חלק מהודעות האימייל שלך נפרצו.
תוכל למצוא רשימה של אתרי pawned, אשר הנתונים שלהם כבר מאוחדים לאתר. הנה רשימה של 10 הפרות העליון (רק להסתכל על כל המספרים האלה). מצא את הרשימה המלאה כאן.
עדיין איתי? זה נהיה הרבה יותר גרוע.
4. עם כל הנתונים הפרה, האקרים להשתפר על פיצוח סיסמאות
פוסט זה ב ארס טכנאי על ידי ג'רמי גוסני, מפצח סיסמה מקצועי שווה קריאה. הקצר מזה את הנתונים יותר הפרות להתרחש, כך קל יותר עבור האקרים לפצח עתיד סיסמאות.
את Rockyou גרזן קרה בחזרה בשנת 2009: 32 מיליון סיסמאות ב בטקסט היו דלף ו crackers הסיסמה יש מבט מבפנים לתוך איך משתמשים ליצור סיסמאות ולהשתמש בהן.
זה היה גרזן שהוכיח הוכחה כמה מעט מחשבה אנחנו נותנים לבחירת הסיסמאות שלנו לדוגמה,. 123456, אני אוהב אותך, סיסמה. אבל יותר חשוב:
הפריצה RockYou מהפכה הסיסמה פיצוח.
קבלת 32 מיליון unhashed, unsalted, unprotected סיסמאות upped את המשחק מקצועי עבור crackers סיסמה כי למרות שהם לא היו אלה שביצעו את הפרת הנתונים, הם מוכנים יותר מתמיד כדי לפצח hashes סיסמה פעם dump נתונים מתרחשת. הסיסמאות המתקבלות מהרוקייו גרמו לעדכן את רשימת ההתקפות המילוניות שלהם עם סיסמאות אמיתיות שאנשים משתמשים בהן בחיים האמיתיים, ובכך תרמו לפריצות משמעותיות, מהירות ויעילות יותר.
הפרעות נתונים עוקבות יבואו: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - ועם כמה שדרוג חומרה, זה היה אפשרי עבור המחבר (לאחר teaming עם כמה צוותים רלוונטיים בתעשייה) כדי לפצח 173.7 מיליון סיסמאות LinkedIn ב פשוט 6 ימים (זה 98% של קבוצת הנתונים המלאה). כל כך הרבה בשביל הביטחון, הא?
5. סיסמאות מטרידות - האם הם עוזרים?
יש נטייה לאתר שחווה הפרה של נתונים כדי להעלות את המילים סיסמאות hashed, סיסמאות מומלצות, אלגוריתמים hash ו מונחים דומים אחרים, כאילו כדי לומר לך כי הסיסמאות שלך מוצפן, ו ergo החשבון שלך בטוח (אוף). טוב ...
אם אתה רוצה להבין מה has has ו המלחה הוא, איך הם עובדים ואיך הם מקבלים סדוק, זה מאמר בסדר לקרוא.
על הסיכון של פישוט המושגים, הנה הולך:
- אלגוריתמים של Hash משנה סיסמה כדי להגן עליה. אלגוריתם מסתיר את הסיסמה כך שלא ניתן לזהותה בקלות על ידי צד שלישי. עם זאת hashes יכול להיות סדוק עם התקפות מילון (שבו נקודת 6 מגיע) והתקפות כוח הזרוע.
- מלח מוסיף מחרוזת אקראית לסיסמא לפני שהיא נשפכת. בדרך זו, גם אם אותה סיסמה hashed פעמיים, התוצאה תהיה שונה בשל מלח.
חוזר אחורה Dropbox, מחצית מהסיסמאות נמצאות תחת ה- SHA-1 hash (מלחים לא כלולים, מה שהופך אותם בלתי אפשרי לפצח), בעוד החצי השני נמצאים תחת חשיש bcrypt.
תערובת זו מציין מעבר מ- SHA-1 ל- bcrypt, אשר היה צעד קדימה של הזמן שלה, כמו SHA1 הוא בעיצומו של להיות בהדרגה עד 2017, להיות מוחלף על ידי SHA2 או SHA3.
עם זאת, חשוב להבין כי "hashing היא פוליסת ביטוח", כי רק מאט האקרים וקרקרים. גם אם אלה הוסיף הגנה עושה סיסמאות "קשה לפענח", זה לא אומר שהם בלתי אפשרי לפצח.
במקרה הטוב, את hashing ו salting פשוט לקנות זמן משתמשים, מספיק כדי לשנות את הסיסמאות שלהם כדי למנוע השתלטות של החשבון שלהם.
6. בעקבות פריצות (נתונים הפרות)
(1) פריצות יכול להיות שפיר יחסית כמו Dropbox גרזן, או יש תוצאות הרסני כמו אשלי מדיסון נתונים הפרה.
בחודש האחרון, 25GB של נתונים, כולל כתובות הבית בפועל, עסקאות בכרטיסי אשראי, ואת היסטוריית החיפוש של המשתמשים שלהם היו דלף. בשל אופי האתר, היו מקרים רבים של בושה ציבורית, סחיטה, סחיטה, גירושין ואפילו התאבדויות.
גרזן חשף גם את יצירת חשבונות מזויפים ושימוש chatbots לפתות לקוחות משלמים להירשם לחשבון.
(2) פריצות גם להראות אדישות שלנו בבחירת סיסמאות - עד לפריצה.
הקמנו את זה כאשר דנים את הפרת RockYou ב # 4. אם יש לך הרבה נתונים חשובים מרחפת באינטרנט, זה רעיון טוב להשתמש באפליקציה לניהול סיסמאות. ו אפשר אימות דו-שלבי. ו לעולם אל תשתמש בסיסמאות שנמצאות בהפרת נתונים. וודא אנשים אחרים אתה עובד עם לאמץ את אותם אמצעי בטיחות.
אם אתה רוצה לקחת את זה צעד נוסף, הירשם לכלי התראה שמתריע עליך כאשר הודעת האימייל שלך מעורבת בהפרת נתונים.
(3) פריצות להראות האתר של אדישות להגנה על סיסמאות משתמשים ואת הנתונים.
במקרה של Dropbox לעומת LinkedIn, אתה יכול לראות את זה Dropbox לקח יותר טוב, צעדים מחושבים יותר כדי למזער את הנזק מפריצת נתונים כזו.
Dropbox נעשה שימוש טוב יותר hashing ושיטות המלחה, שלח הודעות דוא"ל למשתמשים המבקש מהם לשנות את הסיסמאות שלהם בהקדם האפשרי, מציעים אימות שני גורמים ו Universal 2 פקטור (U2F) אשר מנצל מפתח אבטחה, ועשה שינויים מדיניות הצוות (עובדי Dropbox עכשיו להשתמש ב- 1Password כדי לנהל את הסיסמאות שלהם, סיסמאות של חשבונות ארגוניים כבר לא ניתן לעשות בהם שימוש חוזר, וכל המערכות הפנימיות הן על 2FA).
לקבלת פירוט של מה LinkedIn עשה, מאמר זה הוא אולי יותר יסודי מתאים לקרוא.
מסיימים
כדי להיות גלוי, ללמוד על כל זה רק מתוך לימוד גרזן Dropbox כבר עין פותח חוויה מפחידה. אנחנו, האוכלוסייה הכללית, להמעיט מאוד את הצורך סיסמאות ייחודיות וחזקות גם לאחר שנאמר מספר פעמים כדי לא לשתף או לחזור על סיסמאות, או להשתמש במילים מילון בהם.
אם הנתונים שלך הושפעו על ידי גרזן Dropbox, האם לנקוט את אמצעי הזהירות הדרושים כדי לאבטח את המידע האישי שלך. שים קצת מאמץ לתוך הסיסמאות שלך או קבל מנהל סיסמאות. הו, קלטת על המצלמה הנייד שלך או מצלמת אינטרנט כאשר הוא לא בשימוש. אתה אף פעם לא יכול להיות זהיר מדי.
(תמונת שער באמצעות GigaOm)