A Dropbox Hack taníthat a webes biztonság állapotáról
Az elmúlt héten a Dropbox a hírek fölött hackelt, amelyen a A 68 millió Dropbox fiók e-mail címét és jelszavát veszélyeztették. Bármely Dropbox felhasználó számára ez természetesen aggodalomra ad okot, különösen, ha bármit tárol a Dropboxban, legyen az személyes vagy munkahelyi.
Az Ön képei, dokumentumai, adatai stb. Tudása nélkül hozzáférhetők az e-mail címével és az adott hackben elvesztett jelszóval. A jó hír nem jelentettek semmilyen rosszindulatú kijelentést a Dropboxból, eddig. Ez azonban nem jelenti azt, hogy nincs semmi aggódni.
A Dropbox hackről
Először is, tegyük ezt ki az útból: a Dropbox hack nem csak a múlt héten történt. Több mint 68 millió e-mail címet és jelszót ellopnak a hackben, igen, de maga a hack 4 évvel ezelőtt történt, 2012-ben.
Ahelyett, hogy elképzelnénk egy hollywoodi hacker jelenetet (amelyek közül sokan szörnyen rosszul hackelnek), a hack emberi hiba miatt.
A Hackerek használta a felhasználóneveket és jelszavakat egy másik adatszegénységből a Dropbox fiókokba való bejelentkezéshez. Az egyik ilyen fiók egy Dropbox alkalmazottjának tartozott, akik ugyanazt a jelszót használták mind a megsértett oldalra, mind a Dropbox fiókjukra.
Véletlenül ugyanaz a munkavállaló volt tele egy mappával 68.680.741 Dropbox fiók e-mail címét tartalmazó dokumentumok továbbá hasogatott jelszavak. Játék, játék és mérkőzés.
1. A Dropbox nem volt egyedül; A LinkedIn hasonlóan hackelt
2016 májusában a LinkedIn bejelentette, hogy hasonló a tavalyi Dropbox hackhez. A LinkedIn felhasználóit arra kérték, hogy jelszavukat "a legjobb gyakorlatnak" megfelelően megváltoztassák, miután tudatában volt egy olyan e-mailek és jelszavak lopásának, amelyekről előfordult - kitaláltad - 2012-ben.
Ha rákattintott erre a hivatkozásra az előző bekezdésben, nem találunk említést arról, hogy mennyire nagy az adatvesztés a sürgősség érzése nyilvánvaló a ... val gyakori frissítések az adott oldalra.
Ez történt több mint 117 millió A LinkedIn számlák érintettek voltak, bár lehetséges, hogy a tényleges szám 167 millió lehet.
2. Miért viselkednek újra a hackelt jelszavak?
A Dropbox és a LinkedIn adatállományairól beszámoltak most már a sötét weben kereskednek (vagy akár egy héttel ezelőtt).
A LinkedIn készlete kezdetben 2 200 dollárért volt értékesítve, míg a Dropbox egy kicsit több mint 1200 dollárért - mind a ezeknek az adatkészleteknek az értéke csökken, minél hosszabb ideig vannak ott, mivel a felhasználók nagy része megváltoztatta a jelszavakat, az adatkészletek kevéssé értékesek.
De miért most? Négy évvel a hack után? A legközelebbi választ kaptam Troy Hunt-ról (ő eléggé megemlíti ezt a hozzászólást, és egészen máshol), aki sokat ír a kiberbiztonságról. Csak elmondom, mit kell mondania:
Feltétlenül van egy katalizátor, de sok különböző dolog lehet; a támadó végül úgy döntenek, hogy pénzbe kerül, ők magukat célozzák, és elveszítik az adatokat, vagy végül is értékesítenek valamit más értékért.
3. A hackek és az adatkezelők gyakrabban fordulnak elő, mint mindenki, aki elismer
A Dropbox hack-ről olvastam ezt az adatbázis-könyvtárat, a Vigilante.pw webhelyet, amely az adatok megsértésének adatait tartalmazza. Ennek az írásnak a lényege, hogy a teljes adatbázis 1470-ből származó információt tartalmaz 2 milliárd veszélyeztetett számla.
A legjelentősebb a 2013-as Myspace-hack 350 millió fiók.
Ugyanebben a könyvtárban a Dropbox 68 millió bejegyzése a kilencedik legnagyobb az ismert adattárak történetében; A LinkedIn az ötödik legnagyobb, bár ha a számot 167 millióra korrigálták, akkor ez a második legnagyobb adatgyűjtő lesz a könyvtárban.
(Ne feledje, hogy a Dropbox és a LinkedIn adat-lerakóinak dátuma 2016-ban szerepel 2016-ban.)
Mindazonáltal semmit sem érdemes megemlíteni, hogy a hírhedt Ashley Madison hack, valamint a játékváltó RockYou hack volt nem szerepel a könyvtárban. Szóval mi történik ott nagyobb mint amit a webhelyen lát.
a isibeenpwned.com szintén egy másik forrás, amellyel megnézheted az internetes szolgáltatásokat és eszközöket sújtó hackek és adatkezelők súlyossága.
A webhelyet Troy Hunt vezeti, aki egy biztonsági szakértő, aki rendszeresen írja az adatvesztésekről és a biztonsági kérdésekről, többek között a legújabb Dropbox hack-ről. Megjegyzés: a webhelyen egy ingyenes értesítési eszköz is rendelkezésre áll, amely figyelmezteti Önt, ha az e-mailek bármelyike sérült.
Létrehozhat egy listát a gyalogolt helyekről, amelyek adatait konszolidálták a webhelyre. Itt van a listája a 10 legjobb megsértésről (nézd meg az összes számot). Itt megtalálja a teljes listát.
Maradj velem? Sokkal rosszabb lesz.
4. Minden adatszegés esetén a hackerek jobban használják a jelszavakat
Ez a bejegyzés Ars Technica Jeremi Gosney, egy professzionális jelszó krakkoló érdemes olvasni. A rövid az, hogy minél több adatszegés történik, annál könnyebb lesz a hackerek számára jövő jelszavak.
A RockYou 2009-ben történt meg: 32 millió jelszó a tiszta szövegben, és a jelszótörők belsejében megnézették, hogy a felhasználók hogyan hoznak létre és használnak jelszavakat.
Ez volt a hack, amely bizonyította milyen keveset gondoltunk jelszavunk kiválasztására például. 123456, Szeretlek, Jelszó. De ami még fontosabb:
A RockYou megsértése forradalmasította a jelszavakat.
32 millió unhashed, sózatlan, védetlen jelszó megszerzése felemelte a játékot a professzionális jelszavakat mert bár nem voltak azok, amelyek elvégezték az adatvédelmet, most már jobban felkészültek, mint az adatok megsemmisítése, amikor egy adatkiömlés történik. A RockYou-tól kapott jelszavak frissítették a szótárak támadási listáját a valódi életben használt emberek jelszavával, ami jelentős, gyorsabb és hatékonyabb repedést eredményezett..
Későbbi adatok megsértése jönnek: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - és néhány hardverfrissítés, lehetséges volt, hogy a szerző (néhány iparági csapattal összeegyeztetve) feltörjön 173,7 millió LinkedIn jelszó egy puszta 6 nap (Ez 98% teljes adathalmaz). Annyira a biztonságért, huh?
5. A jelszavak hasítása - segítenek?
Van olyan tendencia, hogy egy olyan webhely, amelyikben adatszegénység tapasztalható, felhozza a szavakat hasogatott jelszavak, sózott jelszavak, hash algoritmusok és más hasonló kifejezések, mintha elmondaná, hogy a jelszavai titkosított, és az ergo fiókja biztonságos (phew). Jól…
Ha meg akarod érteni, mi tördeljük és sózás az, hogyan működnek, és hogyan kapják meg a repedést, ez egy szép cikk, amit felolvashatunk.
A fogalmak egyszerűsítésének veszélye itt:
- Hash algoritmusok jelszót módosít a védelem érdekében. Az algoritmus elzárja a jelszót, hogy egy harmadik fél ne legyen könnyen felismerhető. Azonban a hashákat a szótár támadásokkal (azaz a 6. ponttal) és a brute force támadásokkal repedhetjük.
- Sózás egy véletlenszerű karakterláncot ad hozzá a jelszóhoz, mielőtt megzavarodna. Ily módon, még akkor is, ha ugyanazt a jelszót kétszer is hasogatja, az eredmény a só miatt eltérő lesz.
Visszatérve a Dropboxba, A jelszavak fele az SHA-1 hash alatt van (a sók nem tartoznak bele, ami lehetetlenné teszi, hogy repedjenek), míg a másik fele a bcrypt hash alatt van.
Ez a keverék az SHA-1-ből a bcryptre való átmenetet jelzi, ami az idő előtti lépés volt, mivel az SHA1-et 2017-ig fokozatosan megszüntetik, és SHA2 vagy SHA3 helyébe lép..
Ez azt jelenti, hogy fontos megérteni, hogy a "hasítás egy biztosítási kötvény", amely csupán lelassítja a hackerek és a kekszet. Még ha ezek a hozzáadott védelem jelszavakat is "nehéz dekódolni", ez nem jelenti azt, hogy lehetetlen repedni.
Legjobb esetben csak a hasás és a sózás vásároljon felhasználói időt, elég ahhoz, hogy megváltoztassák jelszavukat, hogy megakadályozzák számláik átvételét.
6. A hackek utáni következményei (adatszegések)
(1) A Hacks viszonylag jóindulatú lehet, mint a Dropbox, vagy pusztító eredményei vannak, mint az Ashley Madison adatszegénysége.
Az utóbbi esetben kiszivárgott a 25 GB-os adat, beleértve a tényleges otthoni címeket, a hitelkártya-tranzakciókat és a felhasználók keresési előzményeit. A honlap jellegéből adódóan sok esetben nyilvános megrázkódtatás, zsarolás, zsarolás, válások és még öngyilkosságok is voltak..
A hack is feltárta a hamis számlák létrehozását és a chatbots használatát a fizető ügyfelek számára, hogy feliratkozzanak egy fiókra.
(2) Hack is mutatjuk közönyünket a jelszavak kiválasztásában - vagyis addig, amíg meg nem történt a jogsértés.
Ezt a RockYou-ról a # 4. Ha van egy csomó fontos adat, ami lebeg a weben, jó ötlet használjon jelszókezelő alkalmazást. És engedélyezze a kétlépcsős hitelesítést. És soha ne használja újra az adatvédelmi jelszavakat. És győződjön meg róla, hogy mások is dolgoznak ugyanazokat a biztonsági intézkedéseket.
Ha egy lépéssel tovább kíván lépni, jelentkezzen be egy értesítési eszközre, amely figyelmezteti Önt, amikor az e-mailje részt vesz az adatvédésben.
(3) A Hacks egy webhelyet mutat közömbösség a felhasználói jelszavak védelmében és adatok.
A Dropbox vs LinkedIn esetében ez a Dropbox látható a károk minimalizálása érdekében jobb, kiszámítottabb intézkedéseket tett ilyen adatvédelemből.
A Dropbox jobban hasított és sózott módszereket használt, e-maileket küldött a felhasználóknak, hogy a lehető leghamarabb megváltoztassák jelszavukat. az 1Password használatával kezelheti jelszavukat, a vállalati fiókok jelszavait már nem lehet újra felhasználni, és minden belső rendszer 2FA-on van.
A LinkedIn megoszlása érdekében ez a cikk talán egy alaposabb és megfelelőbb olvasmány.
Csomagolás
Ahhoz, hogy őszinte legyek, mindezek megtanulása csak a Dropbox hackének tanulmányozása óta szemmel nyitó és rettenetes tapasztalat volt. Mi, az általános népesség, nagyon alábecsülik az egyedi és erős jelszavak szükségességét még azt is, hogy többször is elmondták, hogy soha nem osztja meg vagy ismételheti meg a jelszavakat, vagy nem használhatja a szótárszavakat.
Ha az adatokat befolyásolta a Dropbox hack, akkor tegye meg a szükséges óvintézkedéseket a személyes adatok védelméhez. Tegyünk némi erőfeszítést a jelszavakba vagy kap egy jelszókezelőt. Ó, és ragadja meg a laptop kameráját vagy webkameráját, ha nem használja. Soha nem lehet túl óvatos.
(Fedőkép a GigaOm-on keresztül)