ماذا يمكن أن يعلمك هاك Dropbox حول حالة أمان الويب
في الأسبوع الماضي ، كان Dropbox يتصدر عناوين الصحف حول الاختراق الذي شهد عناوين البريد الإلكتروني وكلمات المرور من 68 مليون حساب Dropbox للخطر. بالنسبة لأي مستخدم من مستخدمي Dropbox ، هذا بالطبع أمر مثير للقلق ، خاصة إذا قمت بتخزين أي شيء في Dropbox ، سواء كان ذلك شخصيًا أو للعمل.
يمكن الوصول إلى الصور والمستندات والبيانات وغيرها دون علمك باستخدام عنوان البريد الإلكتروني وكلمة المرور المفقودة في هذا الاختراق المعين. والخبر السار هو لم يكن هناك أي تقارير عن أي شيء ضار يخرج من اختراق دروببوإكس, بعيد جدا. ومع ذلك ، هذا لا يعني أنه لا يوجد شيء يدعو للقلق.
حول الاختراق Dropbox
بادئ ذي بدء ، دعنا نبتعد عن هذا الأمر: لم يحدث الاختراق في Dropbox الأسبوع الماضي فقط. تم سرقة أكثر من 68 مليون عنوان بريد إلكتروني وكلمة مرور في الاختراق ، نعم ، ولكن الاختراق نفسه حدث قبل 4 سنوات ، مرة أخرى في عام 2012.
فبدلاً من تخيل مشهد للقراصنة في هوليوود (والكثير منهم تعرض للقرصنة بشكل خاطئ) ، أصبح الاختراق بسبب خطأ بشري.
استخدم المتسللون أسماء المستخدمين وكلمات المرور من خرق آخر للبيانات لتسجيل الدخول إلى حسابات Dropbox. واحد من هذه الحسابات ينتمي إلى موظف دروببوإكس, الذين استخدموا نفس كلمة المرور لكل من الموقع المخترق ولحساب Dropbox الخاص بهم.
من قبيل الصدفة ، وكان نفس الموظف مجلد كامل المستندات التي تحتوي على عناوين البريد الإلكتروني لحسابات 68،680،741 طالما كلمات المرور المجزأة. لعبة مجموعة والمباراة.
1. دروببوإكس لم يكن وحده. تم ينكدين اختراق بالمثل
مرة أخرى في مايو 2016 ، أعلنت LinkedIn عن شيء مشابه لاختراق Dropbox الأسبوع الماضي. لقد ناشدوا مستخدمي LinkedIn تغيير كلمات المرور الخاصة بهم "كمسألة من أفضل الممارسات" بعد إدراكهم لسرقة مجموعة من رسائل البريد الإلكتروني وكلمات المرور التي حدثت - لقد خمنت ذلك - في عام 2012.
إذا نقرت على هذا الرابط في الفقرة السابقة ، فلن تجد أي إشارة إلى حجم الخسارة الكبيرة في البيانات رغم أن ذلك كان الشعور بالإلحاح واضح مع ال تحديثات متكررة إلى تلك الصفحة بالذات.
ما حدث كان ذلك أكثر من 117 مليون تأثرت حسابات LinkedIn ، رغم أنه من المحتمل أن يكون العدد الفعلي يمكن أن يصل إلى 167 مليون.
2. لماذا يتم استعادة كلمات المرور التي تم اختراقها الآن?
مجموعات البيانات لكل من دروببوإكس ولينكد إن يجري تداولها في شبكة الظلام الآن (أو كانوا ، قبل ما يصل إلى أسبوع).
كانت مجموعة LinkedIn في البداية معروضة للبيع بمبلغ 2200 دولار في حين أن Dropbox's تزيد قليلاً عن 1200 دولار - كلاهما تقلل قيمة هذه البيانات كلما طالت فترة وجودها هناك, بمجرد تغيير الجزء الأكبر من المستخدمين كلمات المرور ، تكون مجموعات البيانات ذات قيمة ضئيلة أو معدومة.
لكن لماذا الان بعد أربع سنوات من الاختراق؟ الأقرب التي حصلت عليها للإجابة تأتي من Troy Hunt (يُشار إليه كثيرًا في هذا المنشور ، وفي كل مكان تقريبًا) الذي يكتب الكثير عن الأمن السيبراني. سأقتبس فقط ما قاله:
من المحتم أن يكون هناك محفز ، لكن قد يكون هناك العديد من الأشياء المختلفة ؛ قرر المهاجم في النهاية تسييلها ، فهم هم أنفسهم المستهدفون ويفقدون البيانات أو يتاجرون بها في النهاية مقابل شيء آخر ذي قيمة.
3. تحدث عمليات التفريغ ومخالب البيانات أكثر من أي شخص يهتم بالاعتراف
أثناء القراءة عن اختراق Dropbox هذا ، صادفت دليل قاعدة البيانات هذا ، Vigilante.pw وهو موقع يحتوي على معلومات عن انتهاكات البيانات. في وقت كتابة هذا التقرير ، تحتوي قاعدة البيانات الكاملة على معلومات عن 1470 خرقًا تصل إلى أكثر من ذلك 2 مليار حساب للخطر.
أكبر جزء في هذا هو اختراق موقع Myspace في عام 2013. وقد تأثر هذا الاختراق بأكثر من 350 مليون حساب.
في نفس الدليل ، تعد إدخالات Dropbox التي يبلغ عددها 68 مليونًا هي التاسعة الأكبر في تاريخ عمليات تفريغ البيانات المعروفة ، حتى الآن ؛ ينكدين هو خامس أكبر على الرغم من أنه إذا تم تصحيح الرقم إلى 167 مليون بدلاً من ذلك ، فإن ذلك سيجعله ثاني أكبر تفريغ للبيانات في الدليل.
(لاحظ أن تواريخ تفريغ البيانات لـ Dropbox و LinkedIn مدرجة في عام 2012 ، بدلاً من عام 2016.)
ومع ذلك ، لا يستحق الأمر شيئًا لاختراقه آشلي ماديسون سيئ السمعة ، فضلاً عن اختراق RockYou لتغيير اللعبة ليس المدرجة في الدليل. إذن ما الذي يحدث بالفعل هناك أكبر من ما تراه على الموقع.
haveibeenpwned.com هو أيضا مصدر آخر يمكنك استخدامها للنظر في شدة الخارقة ومقالب البيانات التي ابتليت بها الخدمات والأدوات عبر الإنترنت.
يتم تشغيل الموقع بواسطة Troy Hunt ، وهو خبير أمني يكتب بانتظام حول خروقات البيانات ومشكلات الأمان بما في ذلك الاختراق الأخير لـ Dropbox. ملاحظة: يأتي الموقع أيضًا مع أداة إعلام مجانية تنبهك إذا تم اختراق أيٍّ من رسائل البريد الإلكتروني.
ستتمكن من العثور على قائمة بالمواقع المرهونة ، والتي تم دمج بياناتها في الموقع. فيما يلي قائمتها لأفضل 10 خروقات (انظر فقط إلى كل هذه الأرقام). العثور على القائمة الكاملة هنا.
ما زلت معي؟ الأمر يزداد سوءًا.
4. مع كل خرق للبيانات ، يتحسن المتسللون في تكسير كلمات المرور
هذا المنصب على آريس تكنيكا بواسطة Jeremi Gosney ، جهاز تكسير كلمة مرور محترف يستحق القراءة. القصير منه هو ذلك كلما حدثت خروقات أكثر للبيانات ، أصبح من السهل على المتسللين اختراقها مستقبل كلمات السر.
حدث اختراق RockYou مرة أخرى في عام 2009: تم تسريب 32 مليون كلمة مرور في النص العادي وتمكّن مراقبو كلمة المرور من الاطلاع على كيفية إنشاء المستخدمين واستخدام كلمات المرور.
وكان هذا الاختراق الذي أظهر دليلا على كم هو قليل من التفكير نعطي لاختيار كلمات المرور الخاصة بنا منها مثلا. 123456, أحبك, كلمه السر. ولكن الأهم من ذلك:
خرق RockYou ثورة تكسير كلمة المرور.
الحصول على 32 مليون كلمة مرور غير مظللة وغير مملوءة وغير محمية تصدرت لعبة المفرقعات كلمة المرور المهنية لأنه على الرغم من أنهم لم يكونوا هم الذين قاموا بخرق البيانات ، إلا أنهم الآن أكثر استعدادًا من أي وقت مضى للقضاء على تجزئة كلمة المرور بمجرد حدوث تفريغ للبيانات. قامت كلمات المرور التي تم الحصول عليها من اختراق RockYou بتحديث قائمة هجمات القاموس باستخدام كلمات المرور الفعلية التي يستخدمها الأشخاص في الحياة الحقيقية ، مما أسهم في حدوث تصدع كبير وأسرع وأكثر فاعلية.
خروقات البيانات اللاحقة سيأتي: Gawker و eHarmony و Stratfor و Zappos و Evernote و LivingSocial - ومع بعض ترقية الأجهزة, كان من الممكن للمؤلف (بعد التعاون مع عدد قليل من الفرق ذات الصلة بالصناعة) أن يتصدى له 173.7 مليون كلمة مرور ينكدين في مجرد 6 أيام (وهذا 98٪ من مجموعة البيانات الكاملة). الكثير من أجل الأمن ، هاه?
5. تجزئة كلمات المرور - هل يساعدون؟?
يوجد ميل لموقع تعرض لخرق بيانات لإظهار الكلمات كلمات المرور المجزأة ، كلمات المرور المملحة ، خوارزميات التجزئة ومصطلحات أخرى مماثلة ، كما لو أن أقول لك أن كلمات السر الخاصة بك هي مشفرة, و ergo حسابك آمن (تفو). حسنا…
إذا كنت تريد أن تفهم ما تجزئة و التمليح هو ، وكيف تعمل وكيف يتم تصدع ، وهذا هو مقال جيد للقراءة.
في خطر تبسيط المفاهيم ، هنا يذهب:
- خوارزميات التجزئة يغير كلمة المرور لحمايتها. تحجب الخوارزمية كلمة المرور بحيث لا يمكن التعرف عليها بسهولة بواسطة جهة خارجية. ومع ذلك ، يمكن تكسير التجزئات بهجمات القاموس (حيث تأتي النقطة 6) وهجمات القوة الغاشمة.
- التمليح يضيف سلسلة عشوائية إلى كلمة المرور قبل التجزئة. بهذه الطريقة ، حتى إذا تم تجزئة كلمة المرور نفسها مرتين ، فإن النتيجة ستكون مختلفة بسبب الملح.
العودة إلى الاختراق Dropbox, نصف كلمات المرور تحت تجزئة SHA-1 (الأملاح غير مدرجة ، مما يجعل من المستحيل التصدع) بينما النصف الآخر تحت تجزئة bcrypt.
هذا المزيج يشير إلى انتقال من SHA-1 إلى bcrypt, التي كانت خطوة قبل وقتها ، حيث أن SHA1 في منتصف التخلص التدريجي بحلول عام 2017 ، ليحل محله SHA2 أو SHA3.
ومع ذلك ، من المهم أن نفهم أن "التجزئة هي بوليصة تأمين" تؤدي فقط إلى إبطاء القراصنة والمتسللين. حتى إذا كانت هذه الحماية الإضافية تجعل كلمات المرور "صعبة فك التشفير", هذا لا يعني أنهم مستحيلون للقضاء.
في أحسن الأحوال ، التجزئة والتمليح فقط شراء وقت المستخدمين, بما فيه الكفاية لتغيير كلمات المرور الخاصة بهم لمنع الاستيلاء على حسابهم.
6. أعقاب الخارقة (خروقات البيانات)
(1) يمكن أن تكون الاختراقات حميدة نسبيًا مثل اختراق Dropbox ، أو يكون لها نتائج مدمرة مثل خرق بيانات Ashley Madison.
في الأخير ، تم تسريب 25 جيجابايت من البيانات بما في ذلك عناوين المنازل الفعلية ومعاملات بطاقات الائتمان وسجل البحث لمستخدميها. نظرًا لطبيعة الموقع ، كان هناك العديد من حالات العار العام والابتزاز والابتزاز والطلاق وحتى حالات الانتحار.
كشف الاختراق أيضًا عن إنشاء حسابات مزيفة واستخدام chatbots لجذب العملاء الذين يدفعون إلى التسجيل للحصول على حساب.
(2) المأجورون أيضا أظهر لامبالانا في اختيار كلمات المرور - هذا حتى حدث خرق.
لقد أنشأنا هذا عند مناقشة اختراق RockYou في رقم 4. إذا كان لديك الكثير من البيانات المهمة التي تطفو على شبكة الإنترنت ، فمن الجيد أن تفعل ذلك استخدام تطبيق إدارة كلمة المرور. و تمكين المصادقة من خطوتين. و عدم إعادة استخدام كلمات المرور التي كانت في خرق البيانات. وتأكد من الأشخاص الآخرين الذين تعمل معهم اعتماد نفس تدابير السلامة.
إذا كنت تريد أن تأخذها خطوة إلى الأمام ، فقم بالتسجيل في أداة إعلام تنبهك عند مشاركة بريدك الإلكتروني في خرق البيانات.
(3) الخارقة تظهر في الموقع اللامبالاة لحماية كلمات مرور المستخدم والبيانات.
في حالة Dropbox و LinkedIn ، يمكنك أن ترى Dropbox اتخذ تدابير أفضل وأكثر احتسابًا لتقليل الضرر من خرق البيانات مثل هذا.
استخدم Dropbox أساليب تجزئة وتمليح أفضل ، وإرسال رسائل بريد إلكتروني إلى المستخدمين يحثهم على تغيير كلمات المرور الخاصة بهم في أقرب وقت ممكن ، ويقدم مصادقة ثنائية العامل و Universal 2nd Factor (U2F) الذي يستخدم مفتاح أمان ، وأجرى تغييرات على سياسة الموظفين (موظفو Dropbox الآن استخدم 1Password لإدارة كلمات المرور الخاصة بهم ، ولم يعد من الممكن إعادة استخدام كلمات مرور حساب الشركات ، وجميع الأنظمة الداخلية في 2FA).
للحصول على تفاصيل حول ما قام به LinkedIn ، ربما تكون هذه المقالة قراءة أكثر شمولًا وملاءمة.
تغليف
لكي أكون صريحًا ، فإن التعرف على كل هذا بمجرد دراسة Dropbox hack كان بمثابة تجربة جذابة ومخيفة. نحن عامة السكان, يقلل كثيرا من الحاجة إلى كلمات مرور فريدة وقوية حتى بعد إخبارك عدة مرات بعدم مشاركة كلمات المرور أو تكرارها ، أو استخدام كلمات القاموس فيها.
إذا تأثرت بياناتك باختراق Dropbox ، فعليك اتخاذ الاحتياطات اللازمة لتأمين معلوماتك الشخصية. ضع بعض الجهد في كلمات المرور الخاصة بك أو الحصول على مدير كلمة المرور. أوه ، وشريطًا على كاميرا الكمبيوتر المحمول أو كاميرا الويب عندما لا تكون قيد الاستخدام. يمكنك أبدا أن نكون حذرين للغاية.
(صورة الغلاف عبر GigaOm)