Mājas lapa » Internets » Ko Dropbox Hack var iemācīt par Web drošības stāvokli

    Ko Dropbox Hack var iemācīt par Web drošības stāvokli

    Pagājušajā nedēļā Dropbox veica virsrakstus par hack, kas redzēja ir apdraudētas 68 miljonu Dropbox kontu e-pasta adreses un paroles. Jebkuram Dropbox lietotājam tas, protams, rada bažas, it īpaši, ja kaut ko glabājat Dropbox, vai tas ir personisks vai darbs.

    Jūsu fotogrāfijas, dokumenti, dati utt. Var piekļūt bez jūsu zināšanām, izmantojot jūsu e-pasta adresi un paroli, kas pazaudēta šajā konkrētajā kapātā. Labā ziņa ir nav bijuši nekādi ziņojumi par kaut ko ļaunprātīgu iznākšanu no Dropbox, tik tālu. Tomēr tas nenozīmē, ka nekas nav jāuztraucas.

    Par Dropbox hack

    Pirmkārt, pieņemsim, ka tas notiks no tā: Dropbox kapāt ne tikai notika pagājušajā nedēļā. Vairāk nekā 68 miljoni e-pasta adrešu un paroļu tiek nozagti hakeru, bet gan paši notika pirms 4 gadiem, 2012. gadā.

    Tā vietā, lai iedomāties Holivudas hacker skatuves (no kurām daudzas ir hacking briesmīgi nepareizi), hack bija cilvēku kļūdas dēļ.

    Lai pierakstītos Dropbox kontos, hakeri bija izmantojuši citu datu pārkāpumu lietotājvārdus un paroles. Viens no šiem kontiem piederēja Dropbox darbiniekam, kurš bija izmantojis to pašu paroli gan pārkāptajai vietnei, gan viņu Dropbox kontam.

    Nejauši, vienam un tam pašam darbiniekam bija pilna mape dokumenti, kas satur 68.680.741 Dropbox kontu e-pasta adreses kā arī jauktas paroles. Spēle, komplekts un spēles.

    1. Dropbox nebija viens; Tāpat LinkedIn tika hacked

    2016. gada maijā LinkedIn paziņoja par kaut ko līdzīgu kā pagājušās nedēļas Dropbox. Viņi aicināja LinkedIn lietotājus nomainīt savas paroles "kā labākās prakses jautājumu" pēc tam, kad uzzināja par notikušo e-pasta ziņojumu un paroļu zādzību - jūs to uzminējāt - 2012. gadā.

    Ja iepriekšējā punktā noklikšķinājāt uz šīs saites, jūs neatradīsiet nekādu norādi par to, cik liels ir datu zudums steidzamības sajūta ir acīmredzama Ar bieži atjauninājumi uz šo konkrēto lapu.

    Tas notika vairāk nekā 117 miljoni Tika ietekmēti LinkedIn konti, lai gan ir iespējams, ka faktiskais skaits varētu būt pat 167 miljoni.

    2. Kāpēc tagad ielauzās paralēlās paroles?

    Tiek ziņots, ka gan Dropbox, gan LinkedIn datu kopas tagad tiek tirgoti tumsā (vai viņi bija, pirms nedēļas).

    LinkedIn kopums sākotnēji tika pārdots par 2200 ASV dolāriem, savukārt Dropbox's ir mazliet vairāk par 1200 ASV dolāriem - gan šo datu kopu vērtība samazinās, jo ilgāk tie ir tur, tā kā pēc tam, kad lielākā daļa lietotāju ir mainījuši paroles, datu kopas nav pietiekami vērtīgas.

    Bet kāpēc tagad? Četrus gadus pēc kapāt? Tuvākā man atbilde nāk no Trojas medības (viņš tiek minēts diezgan daudz šajā amatā, un diezgan daudz visur citur), kas daudz raksta par kiberdrošību. Es tikai citēšu, ko viņam jāsaka:

    Neizbēgami ir katalizators, bet tas var būt daudz dažādas lietas; uzbrucējs beidzot nolemj to monetizēt, viņi paši ir mērķtiecīgi un zaudē datus vai galu galā to pārdod par kaut ko citu vērtību.

    3. Hacks un datu izgāztuves notiek biežāk nekā ikviens, kas vēlas atzīt

    Lasot par šo Dropbox hack, es nonācu pie šīs datu bāzes direktorijas, Vigilante.pw vietnes, kurā ir informācija par datu pārkāpumiem. Šīs rakstīšanas brīdī pilnā datubāzē ir informācija par 1470 pārkāpumiem, kas pārsniedz 2 miljardi apdraudētu kontu.

    Lielākā no partijām ir 2013. gada Myspace kapāt 350 miljoni kontu.

    Tajā pašā direktorijā Dropbox 68 miljoni ierakstu līdz šim ir deviņi lielākie zināmo datu izgāztuvju vēsturē; LinkedIn ir piektais lielākais, lai gan, ja skaitlis tika izlabots līdz 167 miljoniem, tas padarītu to par otro lielāko datu izgāztuvi direktorijā.

    (Ņemiet vērā, ka Dropbox un LinkedIn datu izgāztuvju datumi ir uzskaitīti kā 2012. gads, nevis 2016. gads).

    Tomēr ir vērts neko teikt, ka draņķīgais Ashley Madison izlauzās, kā arī spēle mainās RockYou ne iekļauts direktorijā. Tātad, kas patiešām notiek tur ir lielāks nekā tas, ko redzat vietnē.

    hasibeenpwned.com ir arī cits avots, ko var izmantot, lai aplūkotu datu un izgāztuvju smagums, kas skar tiešsaistes pakalpojumus un rīkus.

    Vietni vada Troy Hunt, drošības eksperts, kurš regulāri raksta par datu pārkāpumiem un drošības jautājumiem, tostarp par šo neseno Dropbox hack. Piezīme: vietnē ir arī bezmaksas paziņošanas rīks, kas brīdinās, ja kāds no jūsu e-pasta ziņojumiem ir apdraudēts.

    Jūs atradīsiet sarakstu ar lombardiem, kuru dati ir apkopoti vietnē. Šeit ir saraksts ar 10 lielākajiem pārkāpumiem (apskatiet visus šos numurus). Šeit atrodiet pilnu sarakstu.

    Vēl ar mani? Tas kļūst daudz sliktāks.

    4. Ar katru datu pārkāpumu hakeri labāk izmanto paroles

    Šis ieraksts ieslēgts Ars Technica Jeremi Gosney, profesionāla parole krekeri ir vērts lasīt. Trūkums ir tas jo vairāk datu pārkāpumu notiek, jo vieglāk tas nokļūst hakeriem nākotnē paroles.

    The RockYou hack notika 2009. gadā: 32 miljoni paroles vienkāršā tekstā tika noplūda, un paroles krekeri ieguva iekšējo ieskatu, kā lietotāji izveido un izmanto paroles.

    Tas bija kapucis, kas pierādīja cik maz domāja, ka mēs dodam savu paroli piemēram,. 123456, Es mīlu Tevi, Parole. Bet vēl svarīgāk:

    RockYou pārkāpums revolucionizēja paroli.

    32 miljonu unhashed, nesālītu, neaizsargātu paroļu iegūšana papildināja spēli profesionāliem paroles krekeriem jo, lai gan tie nebija tie, kas veica datu aizsardzības pārkāpumu, tie tagad ir vairāk sagatavoti, nekā jebkad agrāk, kad datu izgāztuve notiek ar paroli. Paroles, kas iegūtas no RockYou hack, atjaunināja savu vārdnīcu uzbrukumu sarakstu ar reālām paroles, ko cilvēki izmanto reālajā dzīvē, veicinot ievērojamu, ātrāku un efektīvāku krekinga procesu..

    Turpmākie datu pārkāpumi Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - un ar daži aparatūras jauninājumi, autors (pēc apvienošanās ar dažām nozaru grupām) bija spējīgs uzkrāt 173,7 miljoni LinkedIn paroles vienkārši 6 dienas (tas ir 98% pilnīgu datu kopu). Tik daudz par drošību, huh?

    5. Uzticēšanās paroles - vai tās palīdz?

    Ir tendence, ka vietne, kurai radies datu aizsardzības pārkāpums, parādīja vārdus jauktas paroles, sālītas paroles, hash algoritmi un citi līdzīgi termini, it kā jums pateiktu, ka jūsu paroles ir šifrēta, un jūsu konts ir drošs (phew). Nu…

    Ja vēlaties saprast, ko jaukšana un sālīšana tas ir, kā viņi strādā un kā viņi sašķelti, tas ir labs raksts, kas lasāms.

    Šeit pastāv risks, ka jēdzieni tiks vienkāršoti:

    • Hash algoritmi maina paroli, lai to aizsargātu. Algoritms aizēno paroli, lai trešā persona to nevar viegli atpazīt. Tomēr hashes var tikt sašķelts ar vārdnīcu uzbrukumiem (tas ir, kur nāk 6 punkts) un brutālu spēku uzbrukumiem.
    • Sālīšana pievieno izlases virkni parolei, pirms tā tiek izjaukta. Tādā veidā, pat ja viena un tā pati parole ir divreiz nomākta, rezultāts būs atšķirīgs sāls dēļ.

    Atgriežoties pie Dropbox hack, puse no parolēm ir zem SHA-1 hash (nav iekļauti sāļi, kas padara tos neiespējamus kreka), bet otra puse ir zem kriptogrāfijas hash.

    Šis maisījums norāda pāreju no SHA-1 uz bcrypt, tas bija solis priekšā, jo SHA1 vidū pakāpeniski tiek pārtraukta līdz 2017. gadam, to aizstājot ar SHA2 vai SHA3.

    Tomēr ir svarīgi saprast, ka "hashing ir apdrošināšanas polise", kas tikai palēnina hakerus un krekerus. Pat ja šīs papildu aizsardzības dēļ paroles "grūti atšifrēt", tas nenozīmē, ka nav iespējams kreka.

    Labākajā gadījumā tikai maizes un sālīšana nopirkt lietotāju laiku, pietiekami, lai mainītu savas paroles, lai novērstu sava konta pārņemšanu.

    6. Hacks (datu pārkāpumi)

    (1) Hacks var būt salīdzinoši labvēlīgi, piemēram, Dropbox kapāt, vai ir postoši rezultāti, piemēram, Ashley Madison datu pārkāpums.

    Pēdējā laikā tika izlaista 25 GB datu, ieskaitot faktiskās mājas adreses, kredītkaršu darījumus un to lietotāju meklēšanas vēsturi. Tīmekļa vietnes rakstura dēļ bija daudzi gadījumi, kad publiski tiek sagaidīts, šantažēts, izspiests, šķirti un pat pašnāvības.

    Hack arī atklāja viltus kontu izveidi un chatbots izmantošanu, lai pievilinātu maksājošus klientus, lai pieteiktos uz kontu.

    (2) Arī ir parādīt mūsu vienaldzību, izvēloties paroles - tas ir, līdz ir noticis pārkāpums.

    Mēs to esam izveidojuši, apspriežot RockYou pārkāpumu # 4. Ja tīmeklī ir daudz svarīgu datu, tas ir laba ideja izmantot paroles pārvaldības lietotni. Un iespējojiet divpakāpju autentifikāciju. Un nekad neizmantojiet paroles, kas bijušas datu aizsardzības pārkāpumā. Un pārliecinieties, ka citi cilvēki, ar kuriem strādājat drošības pasākumus.

    Ja jūs vēlaties to veikt tālāk, pierakstieties paziņojuma rīkā, kas brīdina, kad jūsu e-pasts ir iesaistīts datu aizsardzības pārkāpumā.

    (3) Hacks parāda vietni vienaldzība pret lietotāju paroļu aizsardzību un datus.

    Dropbox vs LinkedIn gadījumā jūs varat redzēt, ka Dropbox veikti labāki, vairāk aprēķināti pasākumi, lai mazinātu kaitējumu no šāda datu aizsardzības pārkāpuma.

    Dropbox izmantoja labākas skalošanas un sālīšanas metodes, nosūtīja e-pasta vēstules lietotājiem, kas liek viņiem pēc iespējas ātrāk nomainīt savas paroles, piedāvāt divfaktoru autentifikāciju un universālo 2. faktoru (U2F), kas izmanto drošības atslēgu, un veicis personāla politikas izmaiņas (Dropbox darbinieki tagad mainās) izmantot 1Password, lai pārvaldītu savas paroles, korporatīvā konta paroles vairs nevar izmantot atkārtoti, un visas iekšējās sistēmas atrodas 2FA).

    Par to, ko darīja LinkedIn, šis pants, iespējams, ir rūpīgāks un piemērotāks lasījums.

    Iesaiņošana

    Atklāti runājot, visu to uzzinot tikai no Dropbox hack pētīšanas, ir bijusi acu atvēršanas un biedējoša pieredze. Mēs, vispārējie iedzīvotāji, ļoti nenovērtē unikālo un spēcīgo paroļu nepieciešamību pat pēc tam, kad vairākas reizes ir teicis, ka nekad nepiekrīt vai atkārtot paroles, vai izmantot vārdnīcu vārdus.

    Ja jūsu dati ir ietekmējuši Dropbox hack, veiciet nepieciešamos piesardzības pasākumus, lai nodrošinātu savu personisko informāciju. Ievietojiet dažas paroles jūsu parolēs vai iegūt paroli vadītājs. Ak, un lentes pār jūsu klēpjdatoru kameru vai webcam, ja tas netiek lietots. Jūs nekad nevarat būt pārāk uzmanīgs.

    (Vāka fotoattēls, izmantojot GigaOm)

    Kas ir jūsu TV HDMI portu marķējums (un kad tas ir nepieciešams)
    Kas ir E-pasts Draugs Emoji Patiesībā nozīmē
    Kas & #% $ ir CryptoKitty?
    Nākamais raksts
    Ko ellē Valve pat dara vēl vairāk (papildus Take Money)
    Iepriekšējais raksts
    Ko var darīt (un nevar) Amazon domuzīme