Начална » интернет » Какво Dropbox Hack може да ви научи за състоянието на уеб сигурността

    Какво Dropbox Hack може да ви научи за състоянието на уеб сигурността

    През изминалата седмица, Dropbox правеше заглавия над хакер, който видя имейл адреси и пароли от 68 милиона Dropbox акаунта. За всеки потребител на Dropbox това, разбира се, е повод за безпокойство, особено ако съхранявате всичко в Dropbox, било то лично или за работа.

    Вашите снимки, документи, данни и т.н. могат да бъдат достъпни без вашето знание, като използвате вашия имейл адрес и парола, загубени в този конкретен хак. Добрата новина е не е имало никакви доклади за нещо злонамерено, идващо от рана на Dropbox, до тук. Това обаче не означава, че няма какво да се тревожи.

    За рапъра на Dropbox

    На първо място, нека да измъкнем това: халбата на Dropbox не се случи само миналата седмица. Повече от 68 милиона имейл адреси и пароли са откраднати в хака, да, но самият хакер случило се преди 4 години, още през 2012 година.

    Вместо да си представяте холивудска хакерска сцена (много от които са се объркали ужасно погрешно), хакът се оказва поради човешка грешка.

    Хакерите бяха използвали потребителски имена и пароли от друго нарушение на данните, за да влязат в профилите на Dropbox. Една от тези сметки принадлежал на служител на Dropbox, който е използвал една и съща парола както за нарушения сайт, така и за профила си в Dropbox.

    Случайно един и същ служител имаше пълна папка документи, съдържащи имейл адресите на 68,680,741 Dropbox акаунта както и хеширани пароли. Игра, сет и мач.

    1. Dropbox не беше сам; LinkedIn беше подобен на хакери

    Още през май 2016 г. LinkedIn обяви нещо подобно на хакването на Dropbox от миналата седмица. Те са умолявали потребителите на LinkedIn да променят паролите си "като най-добра практика", след като са разбрали за кражба на набор от имейли и пароли, които са възникнали - предположили сте - през 2012 г..

    Ако сте натиснали тази връзка в предишния абзац, ще откриете, че не се споменава колко голяма е загубата на данни усещането за спешност е очевидно с чести актуализации към тази конкретна страница.

    Това се случи повече от 117 милиона Сметките на LinkedIn бяха засегнати, макар че е възможно действителният брой може да достигне 167 милиона.

    2. Защо сега хакнатите пароли се възстановяват?

    Съобщава се, че наборите данни за Dropbox и LinkedIn сега се търгува в тъмната мрежа (или те са довели до преди седмица).

    Комплектът LinkedIn първоначално се продаваше за $ 2200, докато Dropbox се продава за малко над $ 1200 - и двете стойността на тези набори от данни намалява колкото по-дълго те са там, тъй като след като по-голямата част от потребителите са променили паролите, наборите от данни нямат никаква стойност.

    Но защо сега? Четири години след рана? Най-близкото до отговора ми идва от Трой Хънт (споменава се доста често в този пост и почти навсякъде другаде), който пише много за киберсигурността. Ще цитирам само това, което той има да каже:

    Неизбежно има катализатор, но може да има много различни неща; нападателят най-накрая решава да го монетизира, те самите са насочени и губят данните или в крайна сметка я търгуват за нещо друго ценно.

    3. Хакове и изхвърляния на данни се случват по-често, отколкото всеки иска да признае

    Докато четях за този халба Dropbox, попаднах на тази директория на базата данни, Vigilante.pw сайт, който съдържа информация за нарушения на данните. В момента на това писмено пълната база данни съдържа информация за 1470 нарушения, които са надхвърлили 2 милиарда компрометирани акаунта.

    Най-големият от тях е хакването на Myspace през 2013 година 350 милиона сметки.

    В същата директория 68-те милиона записи на Dropbox са деветата по големина в историята на известните сметища за данни досега; LinkedIn е петият по големина, макар че ако броят беше коригиран до 167 милиона, това ще го направи вторият по големина в даден каталог..

    (Имайте предвид, че датите на изхвърлянията на данни за Dropbox и LinkedIn са изброени като 2012 г., вместо за 2016 г.)

    Това обаче не си струва нищо, че скандалният хак на Ашли Мадисън, както и променящият играта RockYou не включени в указателя. Така че това, което наистина се случва там е по-голям от това, което виждате на сайта.

    haveibeenpwned.com също е друг източник, който можете да използвате, за да погледнете тежестта на хакове и сметища от данни, които измъчват онлайн услуги и инструменти.

    Сайтът се управлява от Troy Hunt, експерт по сигурността, който пише редовно за нарушения на данните и проблеми със сигурността, включително за този скорошен хакер на Dropbox. Забележка: сайтът се доставя и с безплатен инструмент за известяване, който ще ви предупреди, ако някой от имейлите ви е бил компрометиран.

    Ще можете да намерите списък на заложни сайтове, чиито данни са консолидирани на сайта. Това е списъкът му с първите 10 нарушения (просто погледнете всички тези цифри). Вижте пълния списък тук.

    Все още ли сте с мен? Става много по-лошо.

    4. При всяко нарушаване на данните хакерите се справят по-добре с разбиването на пароли

    Тази публикация на Ars Technica от Jeremi Gosney, професионален изтребител на пароли си струва да се прочете. Кратката дума е тази колкото повече се нарушават данните, толкова по-лесно става хакерската атака бъдеще пароли.

    Ръката на RockYou се е случила още през 2009 г .: 32 милиона пароли в открит текст са изтекли и прозорците с пароли са се вгледали в начина, по който потребителите създават и използват пароли.

    Това беше хакът, който показа доказателство за това колко малко мислим да дадем на избора на нашите пароли например. 123456, обичам те, парола. Но по-важното:

    Пробивът на RockYou революционизира разбиването на пароли.

    Получаването на 32 милиона непрочетени, ненасочени, незащитени пароли вдигна играта за професионални пароли защото, въпреки че не са тези, които са извършили нарушаването на данните, сега те са по-подготвени от всякога да разчупват хешовете за пароли, след като се получи изхвърляне на данни. Паролите, получени от RockYou hack, актуализираха списъка си с речникови атаки с действителни пароли, които хората използват в реалния живот, допринасяйки за значително, по-бързо и по-ефективно разбиване.

    Последващи нарушения на данните ще дойде: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - и с някои хардуерни ъпгрейди, Възможно е авторът (след съвместна работа с няколко отбора, свързани с индустрията) да се справи 173,7 милиона пароли за LinkedIn само 6 дни (това е 98% на пълния набор от данни). Толкова за сигурността?

    5. Хеширане на пароли - помагат ли те?

    Има тенденция сайтът, който е претърпял нарушение на данните, да изведе думите хеширани пароли, солени пароли, хеш алгоритми и други подобни термини, сякаш да ви кажа, че вашите пароли са криптиран, и ergo вашият профил е безопасен (Пфу). Добре…

    Ако искате да разберете какво хеширане и осоляване е, как работят и как се напукват, това е хубава статия за четене.

    С риск да опростим понятията, тук става въпрос за:

    • Алгоритми за хеш променя паролата, за да я защити. Алгоритъмът закрива паролата, така че да не се разпознава лесно от трета страна. Въпреки това хешовете могат да бъдат напукани с речникови атаки (където идва точка 6) и атаки с груба сила.
    • Осоляване добавя произволен низ към парола, преди да се хешира. По този начин, дори ако една и съща парола се хешира два пъти, резултатът ще бъде различен поради солта.

    Връщаме се към рана на Dropbox, половината от паролите са под SHH-1 хеш (не са включени соли, което ги прави невъзможни), а другата половина е под bcrypt хеш.

    Този микс показва преход от SHA-1 към bcrypt, което е крачка напред от времето си, тъй като SHA1 е в средата на постепенно премахване до 2017 г., да бъде заменен от SHA2 или SHA3.

    Въпреки това е важно да се разбере, че "хеширането е застрахователна полица", която само забавя хакерите и крекерите. Дори ако тази допълнителна защита прави паролите "трудно за декодиране", това не означава, че е невъзможно да се счупят.

    В най-добрия случай хеширането и осоляването купуват потребители време, достатъчно, за да променят паролите си, за да се предотврати поглъщане на профила им.

    6. Последствията от хакове (нарушения на данните) \ t

    (1) Хакове могат да бъдат относително благоприятни като рана на Dropbox, или да имат опустошителни резултати като нарушението на данните на Ashley Madison.

    В последната са изтекли 25 GB данни, включително актуални домашни адреси, транзакции с кредитни карти и история на техните потребители. Поради естеството на уебсайта имаше много случаи на публично порицание, изнудване, изнудване, разводи и дори самоубийства.

    Хакът също разкри създаването на фалшиви акаунти и използването на chatbots, за да привлекат платените клиенти да се регистрират за сметка.

    (2) Hacks също покажете нашето безразличие при избора на пароли - това е, докато не е настъпило нарушение.

    Установихме това, когато обсъждаме нарушението на RockYou в # 4. Ако имате много важни данни, плаващи наоколо в интернет, това е добра идея използвайте приложение за управление на пароли. И активиране на двустепенното удостоверяване. И никога не използвайте повторно пароли, които са били в нарушение на данните. И се уверете, че другите хора, с които работите същите мерки за безопасност.

    Ако искате да направите още една стъпка напред, регистрирайте се с инструмент за известяване, който ви предупреждава, когато имейлът ви е свързан с нарушаване на данните.

    (3) Хакове показват сайта безразличие към защитата на потребителските пароли и данни.

    В случай на Dropbox срещу LinkedIn, можете да видите този Dropbox взеха по-добри, по-изчислени мерки за свеждане до минимум на щетите от нарушаване на данни като този.

    Dropbox използва по-добри методи на хеширане и осоляване, изпраща имейли до потребители, подканящи ги да променят паролите си възможно най-скоро, предлагат двуфакторна автентификация и Universal 2nd Factor (U2F), която използва ключ за сигурност и прави промени в политиката за персонала (служители на Dropbox сега да използвате 1Password за управление на паролите си, паролите за корпоративни профили вече не могат да се използват повторно и всички вътрешни системи са с 2FA).

    За разбивка на това, което е направил LinkedIn, тази статия е може би по-задълбочена и подходяща за четене.

    Обобщавайки

    За да бъда откровен, научаването на всичко това само от изучаването на хакването на Dropbox беше отворено и ужасяващо преживяване. Ние, населението като цяло, силно подценяваме необходимостта от уникални и силни пароли дори след като им е казано многократно, никога да не споделят или да повтарят пароли или да използват думи от тях.

    Ако данните ви са засегнати от рана на Dropbox, направете необходимите предпазни мерки, за да защитите личните си данни. Поставете малко усилия в паролите си или получите мениджър на пароли. О, и лента върху вашата лаптоп камера или уеб камера, когато тя не е в употреба. Никога не можеш да бъдеш прекалено внимателен.

    (Снимка на корицата чрез GigaOm)