Úvodná » internet » Čo môže Dropbox Hack naučiť o stave webovej bezpečnosti

    Čo môže Dropbox Hack naučiť o stave webovej bezpečnosti

    V minulom týždni spoločnosť Dropbox robila novinové titulky cez hack, ktorý videl e-mailových adries a hesiel vo výške 68 miliónov účtov Dropbox. Pre každého používateľa služby Dropbox je to samozrejme problém, najmä ak ukladáte čokoľvek v službe Dropbox, či už osobnú alebo pre prácu.

    Vaše fotografie, dokumenty, dáta atď. Boli prístupné bez vášho vedomia pomocou vašej e-mailovej adresy a hesla stratených v tomto konkrétnom hacke. Dobrou správou je nebolo žiadne hlásenie o ničom zlomyslnosti, ktoré by vychádzalo z hackerov Dropbox, zatiaľ. To však neznamená, že sa nemusíte obávať.

    O hacke Dropbox

    Po prvé, nechajme to prekonať: minulý týždeň nedošlo k hacke Dropbox. Viac ako 68 miliónov e-mailových adries a hesiel je ukradnutých v hacke, áno, ale samotný hack sa stalo pred 4 rokmi, v roku 2012.

    Skôr ako si predstaviť hollywoodskú hackerskú scénu (mnohé z nich sa dostali do hackingu strašne zle), hack sa stal kvôli ľudskej chybe.

    Hackeri použili používateľské mená a heslá z iného porušenia údajov na prihlásenie do účtov služby Dropbox. Jeden z týchto účtov patrila zamestnancovi spoločnosti Dropbox, ktorí použili rovnaké heslo pre porušené stránky aj pre svoj účet Dropbox.

    Zhodou okolností ten istý zamestnanec mal zložku plnú dokumenty obsahujúce e-mailové adresy 68 680 741 účtov Dropbox rovnako ako aj hashované heslá. Hra, nastavenie a zápas.

    1. Dropbox nebol sám; LinkedIn bol podobne napadnutý

    Späť v máji 2016 oznámil LinkedIn niečo podobné minulému týždňovému Dropboxu. Požiadali používateľov LinkedIn, aby zmenili svoje heslá "ako záležitosť najlepších postupov", keď si uvedomili krádež súboru e-mailov a hesiel, ktoré sa vyskytli - uhádli ste to - v roku 2012.

    Ak ste klikli na odkaz v predchádzajúcom odseku, nenájdete žiadnu zmienku o tom, akú veľkú stratu údajov to bolo aj napriek tomu pocit naliehavosti je zjavný s časté aktualizácie na túto konkrétnu stránku.

    Čo sa stalo, bolo to viac ako 117 miliónov Účty služby LinkedIn boli ovplyvnené, aj keď je možné, že skutočné číslo môže byť až 167 miliónov.

    2. Prečo sa hackované heslá teraz vylepšujú?

    Súbory údajov pre Dropbox aj LinkedIn sú údajne ktoré sa teraz obchodujú v tmavom tkanive (alebo boli, vedúce pred týždňom).

    Sada LinkedIn bola spočiatku na predaj za 2.200 dolárov, zatiaľ čo Dropbox je o niečo viac ako 1.200 dolárov - obaja hodnota týchto súborov údajov sa zmenšuje, čím dlhšie sú tam, pretože akonáhle väčšina používateľov zmenila heslá, súbory údajov nemajú žiadnu hodnotu.

    Ale prečo teraz? Štyri roky po hacke? Najbližšie k odpovedi prichádzam z Troy Hunt (v tomto príspevku sa o tom veľmi zmieňuje a skoro všade inde), ktorý píše veľa o kybernetickej bezpečnosti. Budem len citovať, čo má povedať:

    Nevyhnutne existuje katalyzátor, ale mohlo by to byť veľa rôznych vecí; útočník sa nakoniec rozhodol speňažiť, sami sa zameriavali a strácali údaje alebo ho nakoniec obchodovali s niečím iným.

    3. Hacks a dátové skládky sa vyskytujú častejšie, než sa všetci pripúšťajú

    Pri čítaní o tomto hacke Dropbox som narazil na databázový adresár Vigilante.pw, ktorý obsahuje informácie o porušení údajov. V okamihu tohto písania obsahuje úplná databáza 1470 prekročení 2 miliardy kompromitovaných účtov.

    Najväčší z lotu je Myspace hack v roku 2013. Tento hack postihol viac ako 350 miliónov účtov.

    V tom istom adresári je 68 miliónov záznamov Dropboxu deviatym najväčším v histórii známych dátových skládok; LinkedIn je piaty najväčší, hoci ak by bol počet opravený na 167 miliónov, namiesto toho by to bol druhý najväčší výpis údajov v adresári.

    (Všimnite si, že dátumy dátových skládok pre Dropbox a LinkedIn sú uvedené ako 2012, namiesto roku 2016.)

    Je to však nestojí za to, že neslávny Ashley Madison hack, rovnako ako hracie RockYou hacking bol nie v adresári. Takže, čo sa naozaj deje tam je väčší než to, čo vidíte na webe.

    hasibeenpwned.com je tiež ďalším zdrojom, na ktorý sa môžete pozrieť závažnosť hackov a dátových skládok, ktoré sužujú online služby a nástroje.

    Stránku prevádzkuje odborník na bezpečnosť Troy Hunt, ktorý pravidelne píše o porušeniach údajov a bezpečnostných otázkach, vrátane informácií o tejto nedávnej hacke Dropbox. Poznámka: stránka obsahuje tiež bezplatný nástroj na upozornenie, ktorý vás upozorní, ak niektorý z vašich e-mailov bol ohrozený.

    Budete môcť nájsť zoznam zabavených stránok, ktorých údaje boli konsolidované na lokalite. Tu je jeho zoznam top 10 porušení (stačí pozrieť na všetky tieto čísla). Tu nájdete úplný zoznam.

    Stále so mnou? Je to oveľa horšie.

    4. S každým narušením údajov sa hackeri lepšie zbavujú hesiel

    Tento príspevok je zapnutý Ars Technica Jeremi Gosney, profesionálne heslo cracker stojí za prečítanie. Skrátka je to čím viac dochádza k narušeniu údajov, tým ľahšie sa dostane k hackerom budúcnosť heslá.

    Zlyhanie RockYou sa stalo už v roku 2009: 32 miliónov hesiel v plaintextu bolo vytečených a heslo krakery dostal vnútorný pohľad na to, ako používatelia vytvárajú a používajú heslá.

    To bol hack, ktorý ukázal dôkaz aké málo myslíme na to, aby sme si vybrali naše heslá napr. 123456, Ľúbim ťa, heslo. Ale čo je dôležitejšie:

    Porušenie RockYou prinieslo revolúciu v prasknutí heslom.

    Získanie 32 miliónov neoprázdnených, nechránených, nechránených hesiel zvýšil hru pre profesionálne heslo krekery pretože hoci neboli tí, ktorí vykonali narušenie údajov, sú teraz viac pripravené než kedykoľvek predtým, kým nevytvoria heslá po výpadku údajov. Heslá získané z hackerov RockYou aktualizovali zoznam útokov s aktuálnymi heslami, ktoré ľudia používajú v reálnom živote, čo prispieva k významnému, rýchlemu a efektívnejšiemu praskaniu.

    Následné porušenie údajov prísť: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - as nejaká inovácia hardvéru, bolo možné, že autor (po tom, ako sa spojil s niekoľkými tímami, ktoré sú relevantné pre odvetvie), dokázal 173,7 miliónov hesiel v službe LinkedIn v pouhých 6 dní (To je 98% z celého súboru údajov). Toľko pre bezpečnosť, hm?

    5. Hashing heslá - pomáhajú?

    Existuje tendencia pre stránky, ktoré zažili narušenie dát, aby priniesli slová heslom, osolenými heslami, hash algoritmami a ďalšie podobné výrazy, ako keby ste povedali, že vaše heslá sú šifrované, a váš účet je bezpečný (uf). No ...

    Ak chcete pochopiť, čo zatrieďovanie a solenie je, ako fungujú a ako sa dostanú do praskliny, je to dobrý článok, ktorý si môžete prečítať.

    Pri nebezpečenstve zjednodušenia konceptov tu ide:

    • Hash algoritmy zmení heslo na ochranu. Algoritmus zakrýva heslo tak, aby ho nebolo ľahko rozpoznateľné treťou stranou. Hlavy však môžu byť popraskané slovami útokmi (čo je miesto, kde príde bod 6) a brutálnymi útokmi.
    • solenie pridá pred zadaním hesla náhodný reťazec na heslo. Týmto spôsobom, aj keď je rovnaké heslo šachované dvakrát, výsledok bude iný kvôli soli.

    Vracia sa k hacke Dropbox, polovica hesiel je pod SHA-1 hash (soli nie sú zahrnuté, čo znemožňuje prasknúť), zatiaľ čo druhá polovica je pod bhreptovým hashom.

    Táto zmes označuje prechod z SHA-1 na bcrypt, čo bolo posunom dopredu, pretože SHA1 je uprostred vyradenia do roku 2017, ktorý má byť nahradený SHA2 alebo SHA3.

    To znamená, že je dôležité pochopiť, že "hašovanie je poistná zmluva", ktorá len spomaľuje hackeri a krekeri. Dokonca aj vtedy, keď táto pridaná ochrana spôsobí, že heslá sa "ťažko dekódujú", to neznamená, že nemožno prasknúť.

    V najlepšom prípade, házení a solenie práve kúpiť čas pre používateľov, dostatočné na to, aby zmenili svoje heslá, aby zabránili prevzatiu svojho účtu.

    6. Následky hackerov (porušenie údajov)

    (1) Hack by mohol byť relatívne benígny ako Dropbox hack, alebo mať zničujúce výsledky, ako je porušenie údajov Ashley Madison.

    V druhom z nich bolo zverejnených 25 GB údajov vrátane skutočných domovských adries, transakcií kreditnou kartou a histórie vyhľadávania ich používateľov. Kvôli povahe webových stránok bolo veľa prípadov verejného hanobenia, vydierania, vydierania, rozvodov a dokonca aj samovrážd.

    Hack tiež odhalil vytvorenie falošných účtov a používanie chatbotov, aby lákali platiacich zákazníkov, aby sa zaregistrovali na účet.

    (2) aj hacks ukážte našu ľahostajnosť pri výbere hesiel - až kým nedošlo k porušeniu.

    Zistili sme to pri diskusii o porušení RockYou v # 4. Ak máte na internete veľa dôležitých dát, je to dobrý nápad použite aplikáciu na správu hesiel. a povoľte dvojstupňovú autentifikáciu. a nikdy nepoužívajte heslá, ktoré boli v porušení údajov. A uistite sa, že s ostatnými ľuďmi pracujete prijať rovnaké bezpečnostné opatrenia.

    Ak chcete urobiť ešte o krok ďalej, zaregistrujte si nástroj na upozornenie, ktorý vás upozorní, keď sa váš e-mail týka porušenia údajov.

    (3) Hacks ukazujú stránky lhostejnosť k ochrane hesiel používateľa a údajov.

    V prípade Dropbox vs LinkedIn, môžete vidieť, že Dropbox lepšie a vypočítané opatrenia na minimalizáciu škôd z takéhoto narušenia údajov.

    Dropbox používal lepšie metódy hašovania a solenia, posielal e-maily používateľom a vyzval ich, aby čo najskôr zmenili svoje heslá, ponúkol dvojfaktorovú autentifikáciu a univerzálny druhý faktor (U2F), ktorý používa bezpečnostný kľúč a zmenil personálnu politiku (teraz zamestnanci spoločnosti Dropbox používať 1Password na správu hesiel, heslá firemných účtov už nie je možné opätovne použiť a všetky vnútorné systémy sú na 2FA).

    Pre rozpis toho, čo LinkedIn robil, je tento článok možno dôkladnejšie a vhodnejšie čítať.

    Zbaliť

    Aby som bol úprimný, učenie sa o tomto všetkom len od štúdia Dropboxovho hackovania bolo oko-otváracím a strašným zážitkom. My, všeobecná populácia, veľmi podceňovať potrebu jedinečných a silných hesiel dokonca aj potom, čo bolo niekoľkokrát povedané, aby ste nikdy nezdieľali ani neopakovali heslá, alebo používali slovné slová v nich.

    Ak boli vaše údaje ovplyvnené zlyhaním Dropboxu, urobte potrebné opatrenia na zabezpečenie vašich osobných informácií. Dajte trochu úsilia do svojich hesiel alebo získajte správcu hesiel. Oh, a pásku cez fotoaparát notebooku alebo webkameru, keď to nie je v prevádzke. Nikdy nemôžete byť príliš opatrní.

    (Fotografia na obale cez GigaOm)