Hjemmeside » Internett » Hva Dropbox Hack kan lære deg om tilstanden til websikkerhet

    Hva Dropbox Hack kan lære deg om tilstanden til websikkerhet

    I den siste uken hadde Dropbox gjort overskrifter over en hack som så e-postadresser og passord på 68 millioner Dropbox-kontoer har gått i fare. For enhver Dropbox-bruker er dette selvsagt et problem, spesielt hvis du lagrer noe i Dropbox, enten det er personlig eller for arbeid.

    Dine bilder, dokumenter, data osv. Kan nås uten din kunnskap ved å bruke e-postadressen din og passordet ditt i den aktuelle hacken. Den gode nyheten er Det har ikke vært noen rapporter om noe skadelig som kommer ut av Dropbox-hack, så langt. Men det betyr ikke at det ikke er noe å bekymre seg for.

    Om Dropbox hack

    Først og fremst, la oss få dette ut av veien: Dropbox-hacket skjedde ikke bare i forrige uke. Mer enn 68 millioner e-postadresser og passord blir stjålet i hacket, ja, men selve hackingen skjedde 4 år siden, tilbake i 2012.

    Snarere enn å forestille seg en Hollywood hacker scene (hvorav mange fikk hacking veldig galt), kom hacken til å være på grunn av menneskelig feil.

    Hackere hadde brukt brukernavn og passord fra et annet datautbrudd for å logge på Dropbox-kontoer. En av disse kontoene tilhørte en Dropbox-ansatt, hvem hadde brukt det samme passordet for både bruddstedet og deres Dropbox-konto.

    Tilfeldigvis hadde den samme medarbeider en mappe full av dokumenter som inneholder e-postadressene til 68,680,741 Dropbox-kontoer i tillegg til hashed passord. Spill, sett og match.

    1. Dropbox var ikke alene; LinkedIn ble også hacket

    Tilbake i mai 2016 annonserte LinkedIn noe som ligner på forrige ukes Dropbox-hack. De fortalte LinkedIn-brukere å endre passordene sine "som et spørsmål om beste praksis" etter å ha blitt klar over tyveriet av et sett med e-post og passord som hadde skjedd - du gjettet det - i 2012.

    Hvis du klikket på den linken i forrige avsnitt, finner du ikke noe om hvor stort et tap av data dette var selv om følelsen av haster er tydelig med hyppige oppdateringer til den aktuelle siden.

    Det som skjedde var det mer enn 117 millioner LinkedIn-kontoer ble påvirket, selv om det er mulig at det faktiske nummeret kan være så høyt som 167 millioner.

    2. Hvorfor resirkulerer de hakkede passordene nå?

    Datasettene for både Dropbox og LinkedIn er angivelig blir handlet i den mørke banen nå (eller de var ledende opp til en uke siden).

    LinkedIns sett var i utgangspunktet på salg for $ 2100, mens Dropbox er på litt over $ 1200 - begge verdien av disse datasettene reduserer jo lenger de er der ute, som en gang de fleste brukerne har endret passordene, er datasettene lite eller ingen verdi.

    Men hvorfor nå? Fire år etter hacken? Det nærmeste jeg fikk et svar kommer fra Troy Hunt (han blir nevnt ganske mye i dette innlegget, og ganske mye overalt) som skriver mye om cybersikkerhet. Jeg vil bare sitere hva han har å si:

    Uunngåelig er det en katalysator, men det kan være mange forskjellige ting; angriperen endelig bestemmer seg for å tjene penger på det, de selv er målrettede og mister dataene eller til slutt handler det for noe annet av verdi.

    3. Hack og data dumper skjer oftere enn alle bryr seg om å innrømme

    Mens jeg leser om denne Dropbox-hacken, kom jeg over denne databasekatalogen, Vigilante.pw et nettsted som inneholder informasjon om brudd på data. På dette punktet inneholder den fulle databasen informasjon om 1470 brudd som overstiger 2 milliarder kroner kompromitterte kontoer.

    Den største av partiet er Myspace hack i 2013. Det hack påvirket mer enn 350 millioner kontoer.

    I samme katalog er Dropboxs 68 millioner oppføringer den nest største i historien om kjente datafunksjoner, så langt; LinkedIn er den femte største, men om nummeret ble korrigert til 167 millioner i stedet, ville det gjøre det til nest største datadumpen i katalogen.

    (Merk at datoene for datafunkene for Dropbox og LinkedIn er oppført som 2012, i stedet for 2016.)

    Det er imidlertid verdt ingenting som den beryktede Ashley Madison hack så vel som spill-skiftende RockYou hack var ikke inkludert i katalogen. Så hva skjer egentlig der ute er større enn det du ser på nettstedet.

    haribeenpwned.com er også en annen kilde du kan se på alvorlighetsgraden av hacks og datatuper som plager online tjenester og verktøy.

    Nettstedet drives av Troy Hunt, en sikkerhetsekspert som skriver regelmessig om brudd på data og sikkerhetsproblemer, inkludert om denne siste Dropbox-hacken. Merk: Siden kommer også med et gratis varslingsverktøy som vil varsle deg om noen av e-postene dine er blitt kompromittert.

    Du vil kunne finne en liste over bønnede nettsteder, hvor dataene er konsolidert til nettstedet. Her er listen over de 10 beste bruddene (bare se på alle tallene). Finn hele listen her.

    Fortsatt med meg? Det blir mye verre.

    4. Ved hvert datautbrudd blir hackere bedre på å spre passord

    Dette innlegget på Ars Technica av Jeremi Gosney, en profesjonell passord cracker er verdt en lesing. Kort sagt er det det Jo flere databrudd oppstår, jo lettere blir det for hackere å knekke framtid passord.

    The RockYou hack skjedde tilbake i 2009: 32 millioner passord i ren tekst ble lekket og passordskraper fikk et innblikk i hvordan brukerne oppretter og bruker passord.

    Det var hakken som viste bevis på hvor lite trodde vi gir for å velge passordene våre f.eks. 123456, Jeg elsker deg, Passord. Men enda viktigere:

    The RockYou bryter revolusjonert passord cracking.

    Få 32 millioner unhashed, usaltede, ubeskyttede passord opped spillet for profesjonelle passord kjeks fordi selv om de ikke var de som utførte data brudd, er de nå mer forberedt enn noensinne å knekke passord hashes når en datadump finner sted. Passordene som er oppnådd fra RockYou-hacket, oppdaterte deres ordlistesangrepsliste med de faktiske passordene folk bruker i det virkelige liv, og bidrar til betydelig, raskere og mer effektiv sprekkdannelse..

    Senere data brudd ville komme: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - og med noen maskinvareoppgradering, det var mulig for forfatteren (etter å ha slått sammen med noen få bransjespesifiserte lag) å spre seg til 173,7 millioner LinkedIn passord i bare 6 dager (Det er 98% av hele datasettet). Så mye for sikkerhet, huh?

    5. Hashing passord - hjelper de?

    Det er en tendens til et nettsted som har opplevd et brudd på dataene for å få opp ordene hashed passord, saltede passord, hash algoritmer og andre lignende vilkår, som om å fortelle deg at passordene dine er kryptert, og ergo din konto er trygg (Puh). Vi vil…

    Hvis du vil forstå hva hashing og salting er, hvordan de jobber og hvordan de blir sprakk, dette er en fin artikkel å lese opp.

    For å forenkle konseptene går det her:

    • Hash-algoritmer endrer et passord for å beskytte det. En algoritme forklarer passordet slik at det ikke er lett gjenkjennelig av en tredjepart. Men hash kan bli sprukket med ordbokangrep (som er der punkt 6 kommer inn) og brute force attacks.
    • salting legger til en tilfeldig streng til et passord før det er hashed. På denne måten, selv om det samme passordet er hashed to ganger, vil resultatet bli annerledes på grunn av saltet.

    Kommer tilbake til Dropbox hack, Halvparten av passordene er under SHA-1-hasen (salter er ikke inkludert, noe som gjør dem umulige å sprekke) mens den andre halvparten er under bcrypt hash.

    Denne blandingen indikerer en overgang fra SHA-1 til bcrypt, som var et skritt foran sin tid, da SHA1 er midt i å bli faset ut innen 2017, for å bli erstattet av SHA2 eller SHA3.

    Når det er sagt, er det viktig å forstå at "hashing er en forsikring" som bare bremser hackere og kjeks. Selv om disse ekstra beskyttelsen gjør passordene "vanskelig å dekode", det betyr ikke at de er umulige å sprekke.

    I beste fall har ishesten og saltingen bare kjøp brukerne tid, nok til å endre passordene sine for å forhindre overtakelse av kontoen sin.

    6. Ettervirkningen av hack (data brudd)

    (1) Hacks kan være relativt gunstig som Dropbox hack, eller har ødeleggende utfall som Ashley Madison data brudd.

    I det sistnevnte ble 25 GB data inkludert de faktiske hjemmeadressene, kredittkorttransaksjonene og søkeloggen til brukerne lekket. På grunn av innholdet på nettstedet, var det mange tilfeller av offentlig shaming, utpressing, utpressing, skilsmisse og selvmord.

    Hacket avslørte også etableringen av falske kontoer og bruk av chatbots for å lokke betalende kunder for å registrere seg for en konto.

    (2) Hacks også vis vår likegyldighet ved å velge passord - det vil si til et brudd har skjedd.

    Vi har etablert dette når vi diskuterer RockYou-brudd i # 4. Hvis du har mange viktige data som flyter rundt på nettet, er det en god ide å bruk et passordadministrasjonsprogram. Og aktivere to-trinns autentisering. Og Gjenbruk aldri passord som har vært i et brudd på data. Og sørg for at andre du jobber med vedta de samme sikkerhetstiltakene.

    Hvis du vil ta det et skritt videre, må du registrere deg for et varslingsverktøy som varsler deg når e-posten din er involvert i en data brudd.

    (3) Hacks viser et nettsted likegyldighet for å beskytte brukerpassordene og data.

    I tilfelle Dropbox vs LinkedIn kan du se Dropbox tok bedre, mer beregnede tiltak for å minimere skade fra et data brudd som dette.

    Dropbox brukte bedre hashing og salting metoder, sendte e-post til brukere som ba dem om å endre passordene sine så snart som mulig, tilbyr tofaktorautentisering og Universal 2nd Factor (U2F) som bruker en sikkerhetsnøkkel, og gjorde endringer i personalepolitikken (Dropbox-ansatte nå bruk 1Password for å administrere passordene sine, passord for bedriftskonto kan ikke lenger gjenbrukes, og alle interne systemer er på 2FA).

    For en sammenbrudd av hva LinkedIn gjorde, er denne artikkelen kanskje en mer grundig og egnet lesning.

    Innpakning

    Å være ærlig, har lært om alt dette bare fra å studere Dropbox hack vært en øyeåpning og skremmende opplevelse. Vi, den generelle befolkningen, undervurderer sterkt behovet for unike og sterke passord selv etter å ha blitt fortalt flere ganger for aldri å dele eller gjenta passord, eller bruk ordlisteord i dem.

    Hvis dataene dine ble påvirket av Dropbox-hack, ta de nødvendige forholdsregler for å sikre dine personlige opplysninger. Sett litt innsats i passordene dine eller få en passordbehandling. Oh, og tape over ditt bærbare kamera eller webkamera når det ikke er i bruk. Du kan aldri være for forsiktig.

    (Cover bilde via GigaOm)