Anasayfa » Internet » Dropbox Hack'un Web Güvenliği Devleti Hakkında Ne Öğretebileceği

    Dropbox Hack'un Web Güvenliği Devleti Hakkında Ne Öğretebileceği

    Geçtiğimiz hafta, Dropbox’ı kesen bir kesimin üzerine manşet açıyordu. 68 milyon Dropbox hesabının e-posta adresleri ve şifreleri tehlikeye girdi. Herhangi bir Dropbox kullanıcısı için bu elbette bir endişe kaynağıdır, özellikle kişisel veya iş için Dropbox'ta bir şey depolarsanız.

    Fotoğraflarınıza, belgelerinize, verilerinize vb. E-posta adresinizi ve söz konusu hack'te kaybedilen şifrenizi kullanarak bilginiz olmadan erişilebilir. İyi haber Dropbox hack'inden çıkan kötü amaçlı herhangi bir şey rapor edilmedi, şimdiye kadar. Ancak, bu endişelenecek bir şey olmadığı anlamına gelmez.

    Dropbox kesmek hakkında

    Her şeyden önce, bunu yoldan çıkaralım: Dropbox kesmesi daha geçen hafta olmadı. Kesmek için 68 milyondan fazla e-posta adresi ve şifre çalındı, evet, ancak kesmenin kendisi 2012 yılında 4 yıl önce oldu.

    Bir hacker sahnesini hayal etmek yerine (çoğu korkunç derecede hacklenmiş), hack ortaya çıktı insan hatası nedeniyle.

    Hackerlar, Dropbox hesaplarına giriş yapmak için kullanıcı adlarını ve şifrelerini başka bir veri ihlaline karşı kullanmıştı. Bu hesaplardan biri Dropbox çalışanına ait, ihlal edilen site ve Dropbox hesapları için aynı şifreyi kullananlar.

    Tesadüfen, aynı çalışanın dolu bir klasörü vardı. 68.680.741 Dropbox hesabının e-posta adreslerini içeren belgeler Hem de şifreli şifreleri. Oyun, set ve maç.

    1. Dropbox yalnız değildi; LinkedIn benzer şekilde saldırıya uğradı

    Mayıs 2016’da, LinkedIn geçen haftaki Dropbox hackine benzer bir şey açıkladı. 2012 yılında gerçekleşen bir dizi e-posta ve şifrenin çalınmasının farkına vardıktan sonra "en iyi uygulama meselesi" olarak şifrelerini değiştirmeleri için LinkedIn kullanıcılarını kullandılar..

    Bir önceki paragrafta bu bağlantıyı tıkladıysanız, bunun bir veri kaybının ne kadar büyük olduğuna dair bir söz bulamazsınız. aciliyet duygusu belirgin ile sık güncellemeler söz konusu sayfaya.

    Ne oldu 117 milyondan fazla LinkedIn hesapları etkilendi, ancak gerçek sayı olabilir 167 milyon kadar yüksek olabilir.

    2. Neden şifreli şifreler şimdi yeniden ortaya çıkıyor??

    Hem Dropbox hem de LinkedIn'in veri kümelerinin bildirildiği bildiriliyor şimdi karanlık ağda işlem görüyor (veya bir hafta öncesine kadar gidiyorlardı).

    LinkedIn'in başlangıçta başlangıçta 2.200 ABD doları için satış yaparken, Dropbox'ın 1.200 ABD Doları üzerinde bir miktar satışa çıkması bekleniyor. Bu veri kümelerinin değeri, orada daha uzun süre kaldıkça azalır., kullanıcıların büyük çoğunluğu şifreleri değiştirdiğinde, veri kümelerinin değeri çok düşüktür.

    Ama neden şimdi? Kesmeden dört yıl sonra mı? Bir cevaba en yakın olanı, siber güvenlik hakkında çok şey yazan Troy Hunt'tan (bu yazıda biraz bahsetti ve hemen hemen her yerde bahseder) geliyor. Sadece söyleyeceklerini alıntılayacağım:

    Kaçınılmaz olarak bir katalizör var, ancak birçok farklı şey olabilir; saldırgan nihayet para kazanmaya karar verdi, kendilerini hedef alıyorlar ve veri kaybediyorlar ya da nihayetinde değerli bir şeyle takas ediyorlar.

    3. Hack'lar ve veri dökümleri, herkesin kabul etmeyi umduğundan daha sık meydana gelir

    Bu Dropbox hack hakkında okurken, Vigilante.pw veri veritabanı bilgileri içeren bir site bu veritabanı dizinine rastladım. Bu yazının yazıldığı noktada, tam veritabanı 1470 ihlali aşan miktarda bilgi içermektedir. 2 milyar riskli hesap.

    Partinin en büyüğü 2013 yılında Myspace kesmesidir. 350 milyon hesap.

    Aynı dizinde, Dropbox'ın 68 milyon girişi, bugüne kadar bilinen veri dökümü tarihinin dokuzuncu en büyüğüdür; LinkedIn, sayı 167 milyona düzeltilse de en büyük beşinci olmasına rağmen, dizindeki ikinci en büyük veri dökümü olacaktır..

    (Dropbox ve LinkedIn veri dökümlerinin tarihlerinin 2016 yerine 2012 olarak listelendiğini unutmayın.)

    Ancak, üncü Ashley Madison saldırısının yanı sıra oyunun değiştirdiği RockYou oyununun hack olduğu hiçbir şeye değmez. değil dizine dahil edilmiştir. Peki, orada gerçekten neler oluyor? daha büyük sitede gördüğünüzden.

    haveibeenpwned.com ayrıca bakmak için kullanabileceğiniz başka bir kaynaktır çevrimiçi hizmetleri ve araçları rahatsız eden saldırıların ve veri dökülmelerinin önemi.

    Bu site, veri ihlali ve bu son Dropbox hackini de içeren güvenlik sorunları hakkında düzenli olarak yazan bir güvenlik uzmanı Troy Hunt tarafından işletilmektedir. Not: Site ayrıca, e-postalarınızdan herhangi birinin tehlikeye girmesi durumunda sizi uyaracak ücretsiz bir bildirim aracıyla birlikte gelir.

    Verileri siteye eklenmiş olan rehinli sitelerin bir listesini bulabilirsiniz. İşte ilk 10 ihlalin listesi (sadece tüm bu sayılara bakın). Listenin tamamını burada bulun.

    Hala benimle? Daha da kötüye gidiyor.

    4. Her veri ihlalinde hackerlar şifreleri kırmada daha iyi olurlar

    Bu yayında Ars Technica Jeremi Gosney tarafından, profesyonel bir şifre kırıcı okunmaya değer. Kısacası Veri ihlalleri ne kadar fazla olursa, bilgisayar korsanlarının kırması o kadar kolaylaşır gelecek şifreleri.

    RockYou kesmek 2009'da tekrar oldu: Plaintext'te 32 milyon şifre sızdırıldı ve şifre kırıcıların kullanıcıların nasıl şifre oluşturup kullandıklarına dair içten bir bakışları oldu..

    Kanıt gösteren hack oldu. şifrelerimizi seçmeye ne kadar az şey verdik Örneğin. 123456, seni seviyorum, Parola. Ama daha önemlisi:

    RockYou ihlali şifre kırma devrim yarattı.

    32 milyon korunmasız, korumasız, korunmasız şifre almak profesyonel şifre kırıcıları için oyunu yükseltti çünkü veri ihlali yapanlar olmasalar da, artık bir veri dökümü meydana geldiğinde şifre karmaşasını kırmak için hiç olmadığı kadar hazırlar. RockYou hack'inden elde edilen şifreler, sözlük saldırı listelerini güncelleyerek insanların gerçek hayatta kullandıkları gerçek şifrelerle güncelleyerek önemli, daha hızlı ve daha etkili bir çatlamaya neden oldu.

    Sonraki veri ihlalleri gelecekti: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - ve bazı donanım yükseltmesi, yazarın (sektörle ilgili birkaç ekiple ekip kurduktan sonra) kırılması mümkündü 173.7 milyon LinkedIn şifresi sadece 6 gün (İşte % 98 Tam veri seti). Güvenlik için çok fazla, ha?

    5. Parolaları toplamak - yardımcı oluyorlar mı?

    Kelimeleri ortaya çıkarmak için veri ihlali yaşayan bir sitenin eğilimi var karma şifreler, tuzlu şifreler, karma algoritmalar ve diğer benzer terimler gibi, şifrelerinizin size şifrelenmiş, ve ergo hesabınızın güvende olduğunu (vay be). İyi…

    Ne olduğunu anlamak istiyorsan karma ve tuzlama nasıl çalıştıkları ve nasıl kırıldıkları, okumak için güzel bir makale..

    Kavramları basitleştirme riski altında, işte burada:

    • Karma algoritmalar korumak için bir parola değiştirir. Bir algoritma, şifreyi üçüncü taraflarca kolayca tanınamayacak şekilde gizler. Bununla birlikte, sözlük saldırıları (6. maddenin girdiği yer olan) ve kaba kuvvet saldırılarıyla karmamalar kırılabilir..
    • Tuzlama şifrelenmeden önce şifreye rasgele bir dize ekler. Bu şekilde, aynı parola iki kez şifrelenmiş olsa bile, sonuç tuz nedeniyle farklı olacaktır..

    Dropbox kesmek için geri geliyor, şifrelerin yarısı SHA-1 karması altında (dahil olmayan, kırılmalarını imkansız kılan tuzlar) diğer yarısı bcrypt hash altındayken.

    Bu karışımı SHA-1'den bcrypt'ye geçişi gösterir, SHA1, 2017 yılına kadar aşamalı olarak ortada kaldığından, SHA2 veya SHA3 ile değiştirilmek üzere vaktinden önce bir hareketti..

    Bununla birlikte, bilgisayar korsanlarını ve krakerlerini yavaşlatan "karmanın bir sigorta poliçesi" olduğunu anlamak önemlidir. Bu ilave koruma, şifreleri "çözülmesi zor" yaparsa bile, kırmaları imkansız oldukları anlamına gelmez.

    En iyi ihtimalle, sadece karma ve tuzlama kullanıcılara zaman satın al, Hesaplarını devralmayı önlemek için şifrelerini değiştirebilecek kadar.

    6. Hack'lerin ardından (veri ihlalleri)

    (1) Hacks, Dropbox kesmek gibi nispeten iyi huylu olabilir veya Ashley Madison veri ihlali gibi yıkıcı sonuçlar doğurabilir.

    İkincisi, gerçek ev adresleri, kredi kartı işlemleri ve kullanıcılarının arama geçmişi dahil 25 GB veri sızdırıldı. Web sitesinin doğası gereği, halkın utanması, şantaj, haraç, boşanmalar ve hatta intiharların birçok örneği vardı..

    Hack, ayrıca sahte hesapların oluşturulmasını ve ödeme yapan müşterilerin bir hesaba kaydolmalarını sağlamak için sohbetlerin kullanılmasını da ortaya çıkardı..

    (2) Ayrıca Hackler şifreleri seçmedeki kayıtsızlığımızı göstermek - Bu bir ihlal meydana gelinceye kadar.

    Bunu, # 4'teki RockYou ihlalini tartışırken belirledik. Web'de dolaşan bir sürü önemli veriniz varsa, bu iyi bir fikirdir. bir şifre yönetimi uygulaması kullanın. Ve iki aşamalı kimlik doğrulamasını etkinleştir. Ve veri ihlalinde olan şifreleri asla tekrar kullanma. Ve birlikte çalıştığınız diğer insanlardan emin olun aynı güvenlik önlemlerini benimsemek.

    Bir adım daha ileri gitmek istiyorsanız, e-postanız veri ihlalinde bulunduğunda sizi uyaran bir bildirim aracı için kaydolun.

    (3) Hacks bir sitenin kullanıcı şifrelerini korumaya ilgisizlik ve veri.

    Dropbox vs LinkedIn durumunda, bu Dropbox görebilirsiniz Hasarı en aza indirgemek için daha iyi, daha hesaplanmış önlemler aldı böyle bir veri ihlalinden.

    Dropbox daha iyi karma ve tuzlama yöntemleri kullandı, kullanıcılara şifrelerini mümkün olan en kısa sürede değiştirmelerini isteyen e-postalar gönderdi, iki faktörlü kimlik doğrulama ve bir güvenlik anahtarı kullanan Universal 2nd Factor (U2F) teklif etti ve personel politikası değişikliklerini yaptı (Dropbox çalışanları şimdi şifrelerini yönetmek için 1Password kullanın, şirket hesap şifreleri tekrar kullanılamaz ve tüm dahili sistemler 2FA'dadır).

    LinkedIn’in yaptıklarını incelemek için, bu makale belki de daha kapsamlı ve uygun bir okuma..

    Kaydırma

    Dürüst olmak gerekirse, tüm bunları Dropbox kesmek çalışmasından sadece öğrenmek göz alıcı ve dehşet verici bir deneyim oldu. Genel nüfus biziz, benzersiz ve güçlü şifreler için olan ihtiyacı şiddetle küçümsemek şifreleri asla paylaşmama veya tekrarlamama ya da sözlük kelimeleri kullanmamaya defalarca söylendikten sonra bile.

    Verileriniz Dropbox saldırısından etkilenmişse, kişisel bilgilerinizi korumak için gerekli önlemleri alın.. Şifrelerinize biraz çaba gösterin veya şifre yöneticisi al. Oh, ve kullanılmadığı zamanlarda dizüstü kameranıza veya web kameranıza bant koyun. Asla çok dikkatli olamazsın.

    (GigaOm üzerinden kapak fotoğrafı)