Domovská » Internet » Co vás může Dropbox Hack naučit o stavu zabezpečení webu

    Co vás může Dropbox Hack naučit o stavu zabezpečení webu

    V uplynulém týdnu dělal Dropbox titulky nad hackem, který viděl e-mailové adresy a hesla 68 milionů účtů Dropbox ohroženy. Pro každého uživatele Dropbox to je samozřejmě problém, zvláště pokud ukládáte něco do Dropboxu, ať už je to osobní nebo pro práci..

    Vaše fotografie, dokumenty, data atd. Bylo možné přistupovat bez vašeho vědomí pomocí e-mailové adresy a hesla ztraceného v daném hacku. Dobrou zprávou je nebyly žádné zprávy o tom, že by z Dropbox hacku vycházelo cokoliv škodlivého, zatím. To však neznamená, že by se nemuselo bát.

    O aplikaci Dropbox hack

    Za prvé, pojďme si to z cesty: Dropbox hack se nestalo jen minulý týden. Více než 68 milionů e-mailových adres a hesel je ukradeno v hacku, ano, ale hack sám se stalo před 4 lety, v roce 2012.

    Spíše než si představit hollywoodskou scénu hackerů (z nichž mnohé se hacking strašně špatně), hack přišel být v důsledku lidské chyby.

    Hackeři používali uživatelská jména a hesla z jiného narušení dat, aby se mohli přihlásit k účtům služby Dropbox. Jeden z těchto účtů patřil zaměstnanci Dropboxu, který použil stejné heslo jak pro porušené stránky, tak pro účet Dropbox.

    Shodou okolností měl stejný zaměstnanec složku plnou dokumenty obsahující e-mailové adresy 68 680 741 účtů služby Dropbox jakož i hash hesla. Hra, set a zápas.

    1. Dropbox nebyl sám; LinkedIn byl podobně hacknut

    V květnu 2016, LinkedIn oznámil něco podobného minulému týdnu Dropbox hack. Oni zpochybnili uživatele LinkedIn, aby změnili svá hesla „jako záležitost osvědčených postupů“ poté, co se dozvěděli o krádeži sady e-mailů a hesel, ke kterým došlo - to jste uhodli - v roce 2012.

    Pokud jste klikli na tento odkaz v předchozím odstavci, nenajdete žádnou zmínku o tom, jak velká byla ztráta dat je zřejmý pocit naléhavosti s časté aktualizace na tuto konkrétní stránku.

    Stalo se to více než 117 milionů Účety LinkedIn byly ovlivněny, i když je možné, že skutečné číslo by mohla být až 167 milionů.

    2. Proč jsou nyní napadená hesla znovu napadána?

    Datové soubory pro Dropbox i LinkedIn jsou údajně nyní se obchoduje na tmavém webu (nebo před, před týdnem).

    LinkedIn je zpočátku na prodej za 2,200 dolarů, zatímco Dropbox je o něco málo přes $ 1,200 - oba The hodnota těchto datových sad se zmenšuje, čím déle jsou tam, jakmile většina uživatelů změnila hesla, soubory dat mají malou až žádnou hodnotu.

    Ale proč teď? Čtyři roky po hacku? Nejbližší jsem se dostal k odpovědi pochází z Troy Hunt (on se zmiňuje docela dost v tomto příspěvku, a skoro všude jinde), který píše hodně o kybernetické bezpečnosti. Budu jen citovat, co musí říct:

    Nevyhnutelně je tu katalyzátor, ale mohlo by to být mnoho různých věcí; útočník nakonec rozhodl, že ho zpeněží, sám je zacílí a ztrácí data nebo je nakonec obchoduje za něco jiného hodnotného.

    3. Hacky a data výpisy se stávají častěji, než se všichni starají o přiznání

    Při čtení o tomto hacku Dropbox jsem narazil na tento databázový adresář Vigilante.pw web, který obsahuje informace o narušení dat. V okamžiku tohoto psaní obsahuje úplná databáze informace o překročení 1470 případů 2 miliardy ohrožených účtů.

    Největší z nich je Myspace hack v roce 2013. To zasáhlo více než 350 milionů účtů.

    Ve stejném adresáři je 68 milionů položek Dropboxu devátý největší v historii známých datových výpisů; LinkedIn je pátý největší, i když v případě, že číslo bylo opraveno na 167 milionů místo, což by bylo druhým největším výpisem dat v adresáři.

    (Všimněte si, že data datových výpisů pro Dropbox a LinkedIn jsou uvedena jako 2012, místo 2016.)

    Je to však nic za nic, že ​​neslavný hack Ashley Madison, stejně jako hra měnící RockYou byl ne v adresáři. Co se tam vlastně děje je větší než to, co vidíte na webu.

    hasibeenpwned.com je také další zdroj, na který se můžete podívat závažnost hacků a datových skládek, které trápí online služby a nástroje.

    Stránky jsou provozovány Troy Hunt, bezpečnostní expert, který píše pravidelně o porušení dat a bezpečnostní otázky, včetně tohoto nedávného hack Dropbox. Poznámka: stránka také přichází s bezplatným nástrojem oznámení, který vás upozorní, pokud některý z vašich e-mailů byl ohrožen.

    Budete moci najít seznam zastavených míst, jejichž data byla konsolidována na stránku. Zde je seznam prvních 10 porušení (stačí se podívat na všechna tato čísla). Zde naleznete úplný seznam.

    Stále se mnou? To je mnohem horší.

    4. Při každém narušení dat se hackeři dostanou lépe na prasklá hesla

    Tento příspěvek na Ars Technica Jeremi Gosney, profesionální heslo cracker stojí za přečtení. Zkratka toho je čím více se vyskytne narušení dat, tím snadněji se hackeři dostanou na trhliny budoucnost hesla.

    Stalo se to v roce 2009: 32 milionů hesel v prostém textu bylo propuštěno a sušenky s hesly se dovnitř podívaly na to, jak uživatelé vytvářejí a používají hesla.

    To byl ten hack, který dokázal jak málo si myslíme, že bychom měli vybrat naše hesla např. 123456, Miluji tě, Heslo. Ale co je důležitější:

    Narušení RockYou způsobilo revoluci v heslo.

    Získání 32 miliónů nepoškozených, neschválených, nechráněných hesel vzhůru hru pro profesionální heslo sušenky protože i když nebyli ti, kteří prováděli narušení dat, jsou nyní více připraveni než kdykoliv předtím, než dojde k výpisu dat. Hesla získaná z RockYou hacku aktualizovala seznam slovních útoků se skutečnými hesly, která lidé používají v reálném životě, což přispívá k významnému, rychlejšímu a efektivnějšímu praskání..

    Následné porušení dat přijde: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - as nimi některé upgrade hardwaru, to bylo možné pro autora (poté, co se spojil s několika průmyslovými týmy), aby praskla až 173,7 milionu hesel LinkedIn v pouhé 6 dnů (to je 98% dat). Tolik na bezpečnost, co?

    5. Hashing hesla - pomáhají?

    Tam je tendence pro web, který zažil narušení dat, aby se slova hash hesla, solted hesla, hash algoritmy a další podobné termíny, jako by vám sdělili, že vaše hesla jsou šifrované, a váš účet je bezpečný (znovu). Dobře…

    Pokud chcete pochopit, co hašování a solení je, jak fungují a jak se dostanou popraskané, to je dobrý článek přečíst.

    Riziko zjednodušení konceptů je následující:

    • Hash algoritmy změní heslo pro jeho ochranu. Algoritmus zakrývá heslo, takže ho třetí strana snadno nerozpozná. Hašování však může být prasklé pomocí slovníkových útoků (což je místo, kde přichází bod 6) a útoků hrubou silou.
    • Solení přidá náhodný řetězec k heslu před jeho hash. Tímto způsobem, i když je stejné heslo dvakrát hashováno, bude výsledek odlišný vzhledem k soli.

    Vracíme se zpět do Dropboxu, polovina hesel je pod hashem SHA-1 (soli nejsou zahrnuty, což z nich činí nemožné prasknout), zatímco druhá polovina je pod šifrou bcrypt.

    Tato směs označuje přechod ze SHA-1 na brypt, což je krok vpřed, protože SHA1 je ve fázi postupného vyřazování do roku 2017, který má být nahrazen SHA2 nebo SHA3..

    To znamená, že je důležité pochopit, že "hash je pojistka", která pouze zpomaluje hackery a sušenky. I když tato zvýšená ochrana dělá hesla "těžko dekódovatelnou", to neznamená, že se nedají prasknout.

    V nejlepším případě hash a solení jen koupit čas uživatele, jejich hesla, aby se zabránilo převzetí jejich účtu.

    6. Následky hacků (narušení dat)

    (1) Hacks by mohl být relativně neškodný jako Dropbox hack, nebo mít zničující výsledky, jako je porušení dat Ashley Madison.

    V posledně jmenovaných bylo uniknuto 25 GB dat, včetně skutečných domovských adres, transakcí kreditních karet a historie vyhledávání jejich uživatelů. Vzhledem k povaze webových stránek bylo mnoho případů veřejného hanobení, vydírání, vydírání, rozvodů a dokonce sebevražd..

    Hack také odhalil vytvoření falešných účtů a použití chatbots, aby nalákali platící zákazníky, aby se zaregistrovali na účet.

    (2) Hacks také ukázat naši lhostejnost při výběru hesel - až do doby, kdy dojde k porušení.

    To jsme zjistili při diskusi o porušení zákona RockYou v # 4. Pokud máte na webu spoustu důležitých dat, je to dobrý nápad použijte aplikaci pro správu hesel. A povolit dvoufázové ověřování. A nikdy nepoužívejte hesla, která byla v narušení dat. A ujistěte se, že s ostatními pracujete přijmout stejná bezpečnostní opatření.

    Chcete-li si jej vzít o krok dále, zaregistrujte se na nástroj oznámení, který vás upozorní, když se váš e-mail podílí na narušení dat.

    (3) Hackové zobrazují stránky k ochraně uživatelských hesel a data.

    V případě Dropbox vs LinkedIn, můžete vidět, že Dropbox přijala lepší, více kalkulovaná opatření k minimalizaci škod z tohoto porušení údajů.

    Dropbox používal lepší metody hash a salting, poslal e-maily uživatelům, kteří je vyzvali, aby co nejdříve změnili svá hesla, nabídli dvoufaktorovou autentizaci a univerzální 2. faktor (U2F), který využívá klíč zabezpečení a provedl změny v personálních zásadách (nyní zaměstnanci společnosti Dropbox používat 1Password ke správě hesel, hesla firemních účtů již nelze znovu použít a všechny interní systémy jsou na 2FA).

    Pro rozpis toho, co LinkedIn dělal, je tento článek možná důkladnější a vhodnější.

    Balení

    Chcete-li být upřímný, dozvědět se o tom všechno jen od studia Dropbox hack bylo oko-otevření a děsivý zážitek. My, obecná populace, podceňují potřebu unikátních a silných hesel i poté, co bylo několikrát řečeno, že nikdy nesdílejí nebo neopakují hesla, ani v nich nepoužívají slovníková slova.

    Pokud byla vaše data ovlivněna hackem služby Dropbox, proveďte nezbytná opatření k zabezpečení osobních údajů. Dejte do svých hesel určité úsilí nebo získat správce hesel. Oh, a pásku přes notebook nebo webovou kameru, když se nepoužívá. Nikdy nemůžeš být příliš opatrný.

    (Fotografie obálky přes GigaOm)

    Co znamenají nápisy na portu HDMI vašeho televizoru (a kdy to záleží)
    Co Snapchat přítel Emoji vlastně znamená
    Co je & #% $ CryptoKitty?
    Další článek
    Co peklo má ventil dokonce dělat (kromě vzít naše peníze)
    Předchozí článek
    Co Amazon Dash Wand může (a nemůže) dělat