Головна » Інтернет » Що Dropbox Hack може навчити вас про стан веб-безпеки

    Що Dropbox Hack може навчити вас про стан веб-безпеки

    На минулому тижні, Dropbox робив заголовки над рубати, які бачили адреси електронної пошти та паролі 68 мільйонів облікових записів Dropbox. Для будь-якого користувача Dropbox це, безумовно, є предметом занепокоєння, особливо якщо ви зберігаєте будь-що в Dropbox, будь то особистий або для роботи.

    Ваші фотографії, документи, дані тощо можуть бути доступні без вашого відома, використовуючи адресу електронної пошти та пароль, втрачені в цьому конкретному рубанні. Доброю новиною є не було жодних повідомлень про те, що щось шкідливе виходило з Dropbox, так далеко. Однак це не означає, що нічого не варто турбувати.

    Про Dropbox зламати

    Перш за все, давайте виведемо це з шляху: хакер Dropbox не відбувся лише минулого тижня. Більш ніж 68 мільйонів адрес електронної пошти та паролів викрадено в хакері, так, але сам хак сталося 4 роки тому, ще в 2012 році.

    Замість того, щоб уявити собі голлівудську хакерську сцену (багато з яких отримали зловмисне пошкодження), з'явився хак. через людську помилку.

    Хакери використовували імена користувачів і паролі від іншого порушення даних для входу до облікових записів Dropbox. Один з цих рахунків належав працівнику Dropbox, які використовували той самий пароль як для сайту, що порушено, так і для облікового запису Dropbox.

    До речі, той самий співробітник мав папку, повну документи, що містять адреси електронної пошти 68 687 741 облікових записів Dropbox так само, як хешовані паролі. Гра, набір і матч.

    1. Dropbox не був один; Аналогічним чином було зламано LinkedIn

    Ще в травні 2016 року LinkedIn оголосив щось подібне до Dropbox hack минулого тижня. Вони спонукали користувачів LinkedIn змінити свої паролі "як найкращий досвід" після того, як дізналися про крадіжку набору повідомлень електронної пошти та паролів, які сталися - як ви вже здогадалися - у 2012 році.

    Якщо ви натиснули на це посилання в попередньому абзаці, ви не знайдете ніякої згадки про те, наскільки велика втрата даних, хоча це було відчуття терміновості очевидно з часті оновлення на цю конкретну сторінку.

    Сталося те, що сталося більше 117 мільйонів На облікові записи LinkedIn це вплинуло, хоча можливо, що фактичне число може становити 167 мільйонів.

    2. Чому в даний час відбувається відновлення зламаних паролів?

    Як повідомляється, набори даних як для Dropbox, так і для LinkedIn зараз продаються в темній мережі (або вони були, що призвели до тижня тому).

    Набір LinkedIn спочатку продавався за $ 2200, а Dropbox - за трохи більше $ 1,200 - Значення цих наборів даних зменшується тим довше, що вони існують, оскільки, як тільки більшість користувачів змінили паролі, набори даних не мають значущості.

    Але чому зараз? Через чотири роки після хака? Найближче, що я дійшов до відповіді, походить від Трой Ханта (він згадується зовсім небагато в цій посаді і майже всюди), який багато пише про кібербезпеку. Я просто наведу, що він повинен сказати:

    Неминуче є каталізатор, але це може бути багато різних речей; зловмисник, нарешті, вирішив монетизувати його, вони самі орієнтуються і втрачають дані або в кінцевому рахунку торгують нею ще.

    3. Хакі і звалища даних відбуваються частіше, ніж всім, що потрібно визнати

    Читаючи про цей хакер Dropbox, я натрапив на цей каталог бази даних, Vigilante.pw сайт, який містить інформацію про порушення даних. На момент написання цієї статті повна база даних містить інформацію про 1470 порушень, що складають більше 2 мільярди компрометованих рахунків.

    Найбільшою з них є рубати Myspace в 2013 році 350 мільйонів рахунків.

    У тому ж каталозі 68 мільйонів записів Dropbox є дев'ятим за величиною за всю історію відомих дамп даних; LinkedIn є п'ятим за величиною, хоча, якщо число було виправлено до 167 млн. Замість цього, це зробить його другим за величиною дампом даних у каталозі..

    (Зауважте, що дати звалища даних для Dropbox і LinkedIn вказані як 2012, а не 2016).

    Це але нічого не вартий що ганебний Ashley Madison hack так же, як і гра-міняюча Rockyou hack ні в каталозі. Так що насправді відбувається там більше ніж те, що ви бачите на сайті.

    haveibeenpwned.com також є іншим джерелом, який можна використовувати для перегляду серйозність хаків і дамп даних, які переслідують онлайн-сервіси та інструменти.

    Сайт очолює Трой Хант, експерт з безпеки, який регулярно пише про порушення даних і питання безпеки, у тому числі про цей недавній хакер Dropbox. Примітка. На сайті також міститься безкоштовний інструмент для сповіщення, який попередить вас про порушення будь-якої вашої електронної пошти.

    Ви зможете знайти список закладених сайтів, дані яких були об'єднані на сайті. Ось його список перших 10 порушень (просто подивіться на всі ці цифри). Повний список можна знайти тут.

    Ще зі мною? Це стає набагато гірше.

    4. З кожним порушенням даних, хакери краще тріскають паролі

    Цей пост на Ars Technica Джеремі Госні, професійний зловмисник паролів варто прочитати. Коротше кажучи, це чим більше порушень даних відбувається, тим простіше для хакерів виходить з ладу майбутнє паролі.

    Злом RockYou стався ще в 2009 році: 32 мільйони паролів у відкритому тексті просочилися, а зловмисники паролів заглянули в те, як користувачі створюють та використовують паролі.

    Це був хак, який показав доказ як мало ми думали, що ми вибираємо паролі напр. 123456, я тебе люблю, Пароль. Але головне:

    Порушення RockYou призвело до революції у злому паролів.

    Отримання 32 мільйонів неспростованих, несолених, незахищених паролів підняли гру для професійних зловмисників паролів тому що, хоча вони не були тими, хто здійснював порушення даних, тепер вони більш підготовлені, ніж будь-коли, щоб зламати хеши паролів, коли відбувається скидання даних. Паролі, отримані від Rockyou hack, оновили свій список словників з фактичними паролями, які люди використовують у реальному житті, роблячи свій внесок у значне, швидше та ефективніше розтріскування.

    Наступні порушення даних прийшов: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - і з деяке оновлення обладнання, автору (після об'єднання з кількома галузевими групами) вдалося докласти зусиль 173,7 млн. Паролів LinkedIn у простому 6 днів (це 98% повного набору даних). Так багато для безпеки, так?

    5. Хешування паролів - вони допомагають?

    Існує тенденція для сайту, який зазнав порушення даних, щоб вивести ці слова хешовані паролі, засолені паролі, хеш-алгоритми та інші подібні терміни, як би розповісти, що ваші паролі зашифровані, а ergo ваш обліковий запис безпечний (phew). Добре…

    Якщо ви хочете зрозуміти, що перемішування і соління це, як вони працюють і як вони отримують тріщини, це прекрасна стаття для читання.

    Ризик спрощення концепцій, тут йде:

    • Алгоритми хеша змінює пароль, щоб захистити його. Алгоритм затьмарює пароль, щоб його не було легко розпізнати третьою стороною. Проте хеші можуть бути розбиті на словникові атаки (де входить точка 6) і атаки грубої сили.
    • Соління додає випадковий рядок до пароля, перш ніж він буде хешироваться. Таким чином, навіть якщо один і той же пароль буде хешировано двічі, результат буде різним через солі.

    Повертаючись до Dropbox hack, половина паролів знаходиться під хешем SHA-1 (солі не включені, що робить їх неможливими для розтріскування), тоді як інша половина перебуває під хеш.

    Це суміш вказує на перехід від SHA-1 до bcrypt, що було попереду свого часу, оскільки SHA1 перебуває у стані розпуску до 2017 року, замінивши його SHA2 або SHA3.

    При цьому важливо розуміти, що "хешування - це страховий поліс", який лише уповільнює хакерів і крекерів. Навіть якщо цей додатковий захист робить паролі "важко декодувати", це не означає, що їх неможливо зламати.

    У кращому випадку, хешування і соління просто час для користувачів, достатньо, щоб змінити їхні паролі, щоб запобігти захопленню їхнього облікового запису.

    6. Наслідки хакі (порушення даних)

    (1) Хакі можуть бути відносно сприятливі, як Dropbox, або мати руйнівні наслідки, такі як порушення даних Ешлі Медісон.

    В останньому, 25 Гб даних, включаючи фактичні домашні адреси, транзакції кредитних карток, і історія пошуку їх користувачів були витік. У зв'язку з характером веб-сайту, було багато випадків публічного ганебного, шантажу, вимагання, розлучень і навіть самогубств.

    Хак також виявив створення фальшивих облікових записів і використання chatbots, щоб заманити платіжних клієнтів, щоб підписатися на рахунок.

    (2) Також хакі покажіть нашу байдужість у виборі паролів - тобто до того часу, поки не сталося порушення.

    Ми встановили це при обговоренні порушення RockYou у # 4. Якщо у вас є багато важливих даних, що плавають у Інтернеті, це гарна ідея використовувати програму керування паролями. І увімкнути аутентифікацію в два етапи. І ніколи не повторно використовуйте паролі, які були порушені. І переконайтеся, що інші люди, з якими ви працюєте прийняти ті ж заходи безпеки.

    Якщо ви хочете зробити ще один крок далі, зареєструйтеся в інструменті сповіщення, яке сповіщає вас, коли ваша електронна пошта пов'язана з порушенням даних.

    (3) Хакі показують сайт байдужість до захисту паролів користувачів та дані.

    У випадку Dropbox vs LinkedIn, ви можете побачити цей Dropbox прийняли кращі, більш розраховані заходи для мінімізації шкоди від порушення даних, як це.

    Dropbox використовував кращі методи хешування та соління, надсилав повідомлення електронною поштою користувачам, що спонукали їх якнайшвидше змінити свої паролі, запропонували двофакторну аутентифікацію та універсальний 2-й фактор (U2F), який використовує ключ безпеки, і змінив політику персоналу (співробітники Dropbox зараз використовувати 1Password для керування паролями, паролі корпоративних облікових записів більше не можна повторно використовувати, а всі внутрішні системи - 2FA.

    Для розбиття того, що зробив LinkedIn, ця стаття, можливо, є більш ретельною та придатною для читання.

    Підведенню

    Щоб бути відвертим, дізнавшись про все це тільки від вивчення Dropbox зламати був відкриваючий і страшний досвід. Ми, загальне населення, Дуже недооцінюють необхідність унікальних і надійних паролів навіть після того, як кілька разів було сказано, щоб ніколи не ділитися або повторювати паролі, або використовувати в них словники словника.

    Якщо ваші дані вплинули на хакер Dropbox, зробіть необхідні застережні заходи для захисту особистої інформації. Покладіть певні зусилля на ваші паролі або отримати менеджер паролів. О, і касету на камеру ноутбука або веб-камеру, коли вона не використовується. Ви ніколи не можете бути надто обережними.

    (Фото обкладинки через GigaOm)