Što Dropbox Hack može vas naučiti o stanju web sigurnosti
U proteklom tjednu, Dropbox je stvarao naslove preko haka koji je vidio adrese e-pošte i zaporke od 68 milijuna računa ugrađenih u Dropbox. Za svakog Dropbox korisnika ovo je, naravno, zabrinjavajuća točka, osobito ako pohranjujete bilo što u Dropboxu, bilo osobno ili za posao.
Vašim fotografijama, dokumentima, podacima itd. Možete pristupiti bez vašeg znanja pomoću adrese e-pošte i lozinke izgubljene u tom određenom hakiranju. Dobra vijest je nije bilo nikakvih izvješća o nečemu što je zlonamjerno izašlo iz Dropboxa, daleko. Međutim, to ne znači da nema razloga za brigu.
O Dropboxu
Prije svega, hajde da ovo maknemo s puta: Dropbox hack se nije dogodio samo prošli tjedan. Više od 68 milijuna e-mail adresa i lozinki je ukradeno u hak, da, ali sam hack dogodio se prije 4 godine, još u 2012. godini.
Umjesto da zamislite holivudsku hakersku scenu (od kojih su mnoge strašno pogrešno provalile), došlo je do haka zbog ljudske pogreške.
Hakeri su koristili korisnička imena i lozinke iz drugog kršenja podataka za prijavu na Dropbox račune. Jedan od tih računa pripadao je zaposleniku Dropboxa, koji su koristili istu zaporku i za prekršenu web-lokaciju i za njihov Dropbox račun.
Slučajno, isti zaposlenik imao je punu mapu dokumenti koji sadrže adrese e-pošte od 68.680.741 Dropbox računa kao i šifrirane zaporke. Igra, set i utakmica.
1. Dropbox nije bio sam; LinkedIn je također bio hakiran
U svibnju 2016., LinkedIn je najavio nešto slično prošlotjednom Dropboxu. Korisnici programa LinkedIn zamolili su da promijene svoje zaporke "kao stvar najbolje prakse" nakon što postanu svjesni krađe skupa poruka e-pošte i zaporki koje su se dogodile - pogađate - 2012. godine.
Ako ste kliknuli na tu vezu u prethodnom paragrafu, nećete spomenuti koliko je gubitak podataka bio velik osjećaj hitnosti je očigledan s česta ažuriranja na tu određenu stranicu.
To se dogodilo više od 117 milijuna Na LinkedIn račune su utjecali, iako je moguće da je stvarni broj može biti čak 167 milijuna.
2. Zašto se sada hakirane lozinke ponovno pojavljuju?
Navodi se da su skupovi podataka za Dropbox i LinkedIn kojima se sada trguje u mračnoj mreži (ili su to dovelo do prije tjedan dana).
LinkedIn je u početku bio u prodaji za 2.200 dolara, a Dropbox je za nešto više od 1.200 dolara - oba vrijednost ovih skupova podataka se smanjuje što duže traju, kao što je većina korisnika promijenila lozinke, skupovi podataka su malo ili nimalo vrijedni.
Ali zašto sada? Četiri godine nakon haka? Najbliže što sam dobio odgovor je Troy Hunt (spominje se dosta u ovom postu, i gotovo svugdje drugdje) koji puno piše o cybersecurity. Samo ću citirati ono što ima za reći:
Neizbježno postoji katalizator, ali to može biti mnogo različitih stvari; napadač napokon odlučuje da ga monetizira, oni sami ciljaju i gube podatke ili na kraju trguju za nešto drugo vrijedno.
3. Hakovi i deponije podataka događaju se češće nego što svatko želi priznati
Dok čitam o ovom Dropbox hacku, naišao sam na ovaj direktorij baze podataka, Vigilante.pw mjesto koje sadrži informacije o kršenjima podataka. U trenutku pisanja ovog teksta, puna baza podataka sadrži informacije o 1470 kršenja koja su prešla 2 milijarde kompromitiranih računa.
Najveći dio je Myspace hack u 2013. Taj hack utjecao više nego 350 milijuna računa.
U istom direktoriju, 68 milijuna ulaznica Dropboxa je do sada deveti po veličini u povijesti poznatih deponija podataka; LinkedIn je peti po veličini iako je taj broj korigiran na 167 milijuna, što bi ga učinilo drugim najvećim izvatkom podataka u direktoriju.
(Imajte na umu da su datumi deponiranja podataka za Dropbox i LinkedIn navedeni kao 2012, umjesto 2016.)
To je, međutim, ništa vrijedno da je zloglasni Ashley Madison hack, kao i igra mijenja RockYou hack je ne u imeniku. Što se zapravo događa tamo je veći nego što vidite na stranici.
haveibeenpwned.com je također još jedan izvor koji možete koristiti za gledanje ozbiljnost hakova i deponije podataka koje muče online usluge i alate.
Stranicu vodi Troy Hunt, stručnjak za sigurnost koji redovito piše o kršenjima podataka i sigurnosnim pitanjima, uključujući i ovaj nedavni Dropbox hack. Napomena: na web-lokaciji se nalazi i besplatni alat za obavijesti koji će vas upozoriti ako je bilo koja od vaših poruka e-pošte ugrožena.
Moći ćete pronaći popis založenih stranica, čiji su podaci konsolidirani na web-lokaciji. Evo popisa prvih 10 prekršaja (samo pogledajte sve te brojke). Potpuni popis možete pronaći ovdje.
Još si sa mnom? Postaje mnogo gore.
4. Sa svakim kršenjem podataka, hakeri postaju bolji u pucanju lozinki
Ovaj post na Ars Technica Jeremi Gosney, profesionalni krekeri za zaporke vrijedi pročitati. To je kratko što se više podataka dogodi, lakše će im hakeri puknuti budućnost lozinke.
RockYou hack se dogodio još 2009. godine: procurilo je 32 milijuna lozinki u otvorenom tekstu, a krekeri za lozinke su uvidjeli kako korisnici stvaraju i koriste lozinke.
To je bio hack koji je pokazao dokaz kako malo razmišljamo o odabiru lozinki pr. 123456, Volim te, Zaporka. Ali još važnije:
RockYou kršenje je revolucioniralo pucanje lozinki.
Dobivanje 32 milijuna unhashed, unsalted, nezaštićene lozinke podigla je igru za profesionalne krekera za zaporke jer iako nisu bili oni koji su izvršili povredu podataka, sada su spremniji nego ikada da ispuku hasheve lozinki kada dođe do izvatka podataka. Lozinke dobivene od RockYou hack-a su ažurirale popis napadača rječnika stvarnim lozinkama koje ljudi koriste u stvarnom životu, doprinoseći značajnom, bržem i učinkovitijem pucanju.
Naknadne povrede podataka će doći: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - i sa neke hardverske nadogradnje, autor (nakon udruživanja s nekoliko timova koji su relevantni za industriju) je uspio 173,7 milijuna LinkedIn lozinki u pukoj 6 dana (To je 98% potpunog skupa podataka). Toliko o sigurnosti, ha?
5. Hashing lozinke - oni pomoći?
Postoji tendencija da web-lokacija koja je doživjela prekid podataka dovede do riječi hashed lozinke, slana lozinke, hash algoritmi i slične pojmove, kao da vam kažem da su vaše lozinke kodiran, i ergo vaš račun je siguran (fuj). Dobro…
Ako želiš razumjeti što raspršivanje i usoljavanje je, kako rade i kako se razbijaju, ovo je dobar članak za čitanje.
Uz rizik od pojednostavljenja koncepata, ovdje slijedi:
- Hash algoritmi mijenja zaporku. Algoritam zaklanja lozinku tako da je ne može lako prepoznati treća strana. Međutim, hashevi se mogu napuknuti napadima rječnika (gdje dolazi točka 6) i napadima grubom silom.
- soljenja dodaje slučajni niz u lozinku prije nego što se rasprši. Na taj način, čak i ako se ista lozinka dvaput zgusne, ishod će biti različit zbog soli.
Vraćam se na Dropbox hack, polovica lozinki je pod SHA-1 hashom (soli nisu uključene, što ih čini nemogućim za razbijanje), dok je druga polovica pod bcryptom.
Ova mješavina označava prijelaz iz SHA-1 u bcrypt, što je bio korak ispred svog vremena, budući da je SHA1 u središtu postepenog ukidanja do 2017., da bude zamijenjen SHA2 ili SHA3.
Međutim, važno je razumjeti da je "raspršivanje politika osiguranja" koje samo usporava hakere i krekere. Čak i ako te dodane zaštite lozinke "teško dekodiraju", to ne znači da ih je nemoguće razbiti.
U najboljem slučaju, samo raspršivanje i soljenje kupite vrijeme korisnika, dovoljno za promjenu lozinke kako bi se spriječilo preuzimanje njihovog računa.
6. Posljedice hakiranja (povrede podataka)
(1) Hakovi mogu biti relativno benigni kao što je Dropbox hack, ili imaju razarajuće rezultate kao što je kršenje podataka Ashley Madison.
U potonjem je procurilo 25 GB podataka, uključujući stvarne kućne adrese, transakcije kreditnim karticama i povijest pretraživanja njihovih korisnika. Zbog prirode web-lokacije bilo je mnogo slučajeva javnog sramote, ucjene, ucjene, razvoda, pa čak i samoubojstava.
Hack je također izložio stvaranje lažnih računa i korištenje chatbota kako bi privukli plaćene klijente da se prijave za račun.
(2) Hakovi također pokazati našu ravnodušnost u odabiru lozinki - to je sve dok nije došlo do kršenja.
Utvrdili smo to kada smo raspravljali o kršenju RockYou u # 4. Ako imate mnogo važnih podataka koji plutaju na Webu, to je dobra ideja koristite aplikaciju za upravljanje lozinkama. I omogućiti autentifikaciju u dva koraka. I nikad ne koristite lozinke koje su bile u kršenju podataka. I pobrinite se da drugi ljudi s kojima radite usvojiti iste sigurnosne mjere.
Ako želite napraviti korak dalje, prijavite se za alat za obavijesti koji vas upozorava kada vaša e-pošta sudjeluje u kršenju podataka.
(3) Hackovi pokazuju mjesto ravnodušnost prema zaštiti korisničkih lozinki i podatke.
U slučaju Dropbox vs LinkedIn, možete vidjeti taj Dropbox poduzeli bolje, više izračunate mjere kako bi se šteta svela na najmanju moguću mjeru iz ovog kršenja podataka.
Dropbox je koristio bolje metode raspršivanja i soljenja, slao je e-poštu korisnicima koji su ih naveli da što prije promijene svoje lozinke, ponudili autentifikaciju u dva faktora i univerzalni drugi faktor (U2F) koji koristi sigurnosni ključ i učinio promjene u osobnoj politici (Dropbox zaposlenici sada koristiti 1Password za upravljanje lozinkama, lozinke za korporativne račune više se ne mogu ponovno koristiti, a svi interni sustavi na 2FA).
Za slom onoga što je LinkedIn učinio, ovaj članak je možda temeljitiji i prikladniji za čitanje.
Završavati
Da budem iskren, učenje o svemu ovome samo iz proučavanja Dropbox hack-a bilo je očito i zastrašujuće iskustvo. Mi, opća populacija, potcjenjivati potrebu za jedinstvenim i snažnim lozinkama čak i nakon što im je više puta rečeno da nikada ne dijele ili ponavljaju lozinke, ili upotrijebiti riječi u njima.
Ako su na vaše podatke utjecali Dropbox hack, poduzmite potrebne mjere opreza kako biste osigurali svoje osobne podatke. Uložite malo truda u svoje zaporke ili dobiti upravitelja zaporki. Oh, i traka preko vašeg prijenosnog fotoaparata ili web kamere kada nije u uporabi. Nikad ne možeš biti previše oprezan.
(Fotografija na naslovnici putem usluge GigaOm)
