Cosa l'Hack Dropbox può insegnarti sullo stato della sicurezza Web
La settimana scorsa, Dropbox aveva fatto notizia su un hack che ha visto la compromissione degli indirizzi e-mail e delle password di 68 milioni di account Dropbox . Per qualsiasi utente di Dropbox, questo è ovviamente un motivo di preoccupazione, in particolare se si memorizza qualcosa in Dropbox, personale o per lavoro.
È possibile accedere alle tue foto, documenti, dati, ecc. A tua insaputa utilizzando il tuo indirizzo email e la password persi in quel particolare trucco. La buona notizia è che non ci sono state segnalazioni di qualcosa di malvagio derivante dall'hacking di Dropbox, finora. Tuttavia, ciò non significa che non ci sia nulla di cui preoccuparsi.
Informazioni sulla modifica di Dropbox
Prima di tutto, facciamolo fuori di testa: l'hack di Dropbox non è successo solo la settimana scorsa. Più di 68 milioni di indirizzi e-mail e password vengono rubati nell'hack, sì, ma l'hack stesso è successo 4 anni fa, nel 2012.
Piuttosto che immaginare una scena hacker hollywoodiana (molte delle quali hanno hacking terribilmente sbagliato), l'hack è stato causato dall'errore umano .
Gli hacker avevano utilizzato nomi utente e password da un'altra violazione dei dati per accedere agli account Dropbox. Uno di questi account apparteneva a un dipendente Dropbox, che aveva utilizzato la stessa password sia per il sito violato che per il proprio account Dropbox.
Per coincidenza, lo stesso dipendente aveva una cartella piena di documenti contenenti gli indirizzi e-mail di 68.680.741 account Dropbox e password con hash . Partita, partita e partita.
1. Dropbox non era solo; Anche LinkedIn è stato hackerato
Già a maggio 2016, LinkedIn ha annunciato qualcosa di simile alla modifica di Dropbox della scorsa settimana. Hanno implorato gli utenti di LinkedIn di cambiare le loro password "come una questione di best practice" dopo essere venuti a conoscenza del furto di un insieme di e-mail e password che si erano verificati - avete indovinato - nel 2012.
Se hai fatto clic su quel collegamento nel paragrafo precedente, non troverai alcuna menzione di quanto grande sia stata una perdita di dati, anche se il senso di urgenza è evidente con i frequenti aggiornamenti a quella particolare pagina.
Quello che è successo è che sono stati colpiti più di 117 milioni di account di LinkedIn, anche se è possibile che il numero effettivo possa arrivare a 167 milioni .
2. Perché le password compromesse vengono resurfacing adesso?
I set di dati sia per Dropbox che per LinkedIn sono attualmente scambiati nel web oscuro (o lo erano, fino a una settimana fa).
Il set di LinkedIn era inizialmente in vendita per $ 2.200 mentre Dropbox's costava poco più di $ 1.200: entrambi Il valore di questi set di dati diminuisce più a lungo sono là fuori, poiché una volta che la maggior parte degli utenti ha cambiato le password, i set di dati sono di Poco o nessun valore.
Ma perché adesso? Quattro anni dopo l'hack? Il più vicino a una risposta arriva da Troy Hunt (viene menzionato un bel po 'in questo post, e praticamente ovunque) che scrive molto sulla sicurezza informatica. Citerò solo quello che ha da dire:
Inevitabilmente c'è un catalizzatore, ma potrebbe essere molte cose diverse; l'attaccante alla fine decide di monetizzarlo, essi stessi vengono presi di mira e perdono i dati o alla fine li vendono per qualcos'altro di valore.
3. Gli hacker e i dump di dati si verificano più spesso di quanto chiunque voglia ammettere
Durante la lettura di questo trucco di Dropbox, ho trovato questa directory del database, Vigilante.pw, un sito che contiene informazioni sulle violazioni dei dati. Al punto di questa scrittura, il database completo contiene informazioni su 1470 violazioni per oltre 2 miliardi di account compromessi .
Il più grande del lotto è l'hack Myspace nel 2013. Questo hack ha colpito oltre 350 milioni di account .
Nella stessa directory, 68 milioni di voci di Dropbox sono il nono più grande nella storia dei dati noti, finora; LinkedIn è il quinto in ordine di grandezza, anche se il numero è stato corretto a 167 milioni, che lo renderebbe il secondo più grande dump di dati nella directory.
(Si noti che le date dei dump di dati per Dropbox e LinkedIn sono elencate come 2012, anziché nel 2016.)
Tuttavia, non vale nulla che il famigerato hacking di Ashley Madison e l'alterazione del RockYou che ha cambiato il gioco non sia stato incluso nella directory. Quindi, cosa sta succedendo veramente là fuori è più grande di quello che vedi sul sito.
hasibeenpwned.com è anche un'altra fonte che puoi utilizzare per esaminare la gravità degli hacks e dei dump di dati che stanno affliggendo servizi e strumenti online .
Il sito è gestito da Troy Hunt, un esperto di sicurezza che scrive regolarmente su violazioni dei dati e problemi di sicurezza, tra cui la recente modifica di Dropbox. Nota: il sito è dotato anche di uno strumento di notifica gratuito che ti avviserà se una qualsiasi delle tue e-mail è stata compromessa.
Sarai in grado di trovare un elenco di siti pegni, i cui dati sono stati consolidati nel sito. Ecco la lista delle prime 10 violazioni (guarda solo tutti quei numeri). Trova l'elenco completo qui.
Ancora con me? Diventa molto peggio.4. Con ogni violazione dei dati, gli hacker migliorano le password di cracking
Questo post su Ars Technica di Jeremi Gosney, un password cracker professionale vale la pena leggere. In poche parole, più si verificano violazioni dei dati, più facilmente gli hacker possono violare le password future .
L'incisione RockYou è avvenuta nel 2009: 32 milioni di password in chiaro erano trapelate e i pirati informatici hanno analizzato in che modo gli utenti creano e utilizzano le password.
Questo è stato l'hack che ha dimostrato quanto poco pensiamo diamo alla selezione delle nostre password, ad esempio 123456, iloveyou, Password . Ma ancora più importante:
La violazione di RockYou ha rivoluzionato il cracking delle password.
Ottenendo 32 milioni di password non testate, non salate e non protette, il gioco diventò un vero e proprio passaparola professionale perché, sebbene non fossero quelle che hanno effettuato la violazione dei dati, ora sono più preparati che mai a decifrare gli hash delle password una volta che si verifica un dump dei dati. Le password ottenute dall'hack RockYou hanno aggiornato la lista degli attacchi del dizionario con le password effettive che le persone utilizzano nella vita reale, contribuendo a cracking significativo, più veloce e più efficace.
Successive violazioni dei dati sarebbero arrivate: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - e con un po 'di aggiornamento hardware, è stato possibile per l'autore (dopo aver collaborato con alcuni team rilevanti per il settore) craccare fino a 173, 7 milioni di password di LinkedIn in soli 6 giorni (il 98% del set di dati completo). Così tanto per la sicurezza, eh?
5. Password di hashing: aiutano?
C'è una tendenza per un sito che ha subito una violazione dei dati per far apparire le parole password con hash, password salate, algoritmi hash e altri termini simili, come per dirti che le tue password sono criptate e che il tuo account è sicuro ( phew ). Bene…
Se vuoi capire cos'è l' hashing e la salatura, come funzionano e come si rompono, questo è un buon articolo da leggere.
A rischio di semplificare i concetti, ecco qui:
- Gli algoritmi di hash cambiano una password per proteggerla. Un algoritmo oscura la password in modo che non sia facilmente riconoscibile da una terza parte. Tuttavia, gli hash possono essere violati con attacchi di dizionario (che sono il punto 6) e attacchi di forza bruta.
- Salting aggiunge una stringa casuale a una password prima che venga sottoposta a hash. In questo modo, anche se la stessa password è stata duplicata due volte, il risultato sarà diverso a causa del sale.
Tornando al trucco di Dropbox, metà delle password sono sotto l'hash SHA-1 (i sali non sono inclusi, il che li rende impossibili da decifrare) mentre l'altra metà è sotto l'hash di bcrypt.
Questo mix indica una transizione da SHA-1 a bcrypt, che è stata una mossa in anticipo sui tempi, poiché SHA1 si trova nel mezzo di una fase di eliminazione progressiva entro il 2017, per essere sostituita da SHA2 o SHA3.
Detto questo, è importante capire che "l'hashing è una polizza assicurativa" che semplicemente rallenta hacker e cracker. Anche se questa protezione aggiuntiva rende le password "difficili da decodificare", non significa che siano impossibili da violare .
Nella migliore delle ipotesi, l'hashing e il saling fanno solo guadagnare tempo agli utenti, abbastanza da cambiare le loro password per impedire l'acquisizione del loro account.
6. Le conseguenze degli hack (violazioni dei dati)
(1) Gli Hacks potrebbero essere relativamente benigni come l'hack di Dropbox, o avere esiti devastanti come la violazione dei dati di Ashley Madison.
In quest'ultimo, sono stati trapelati 25 GB di dati, inclusi gli indirizzi di casa effettivi, le transazioni con carta di credito e la cronologia delle ricerche dei loro utenti. A causa della natura del sito web, ci sono stati molti casi di vergogna pubblica, ricatti, estorsioni, divorzi e persino suicidi.
L'hack ha anche rivelato la creazione di account falsi e l'uso di chatbot per attirare i clienti paganti per registrarsi per un account.
(2) Gli hack mostrano anche la nostra indifferenza nella selezione delle password, ovvero fino a quando non si è verificata una violazione.
Lo abbiamo stabilito discutendo la violazione RockYou al # 4. Se sul Web sono presenti molti dati importanti, è consigliabile utilizzare un'app di gestione delle password . E abilita l'autenticazione in due passaggi . E mai riutilizzare le password che sono state in una violazione dei dati . E assicurati che le altre persone con cui lavori adottino le stesse misure di sicurezza .
Se vuoi fare un ulteriore passo avanti, iscriviti per uno strumento di notifica che ti avverte quando la tua email è coinvolta in una violazione dei dati.
(3) Gli hacker dimostrano l' indifferenza di un sito nella protezione delle password e dei dati dell'utente .
Nel caso di Dropbox vs LinkedIn, puoi vedere che Dropbox ha preso misure migliori e più calcolate per minimizzare i danni da una violazione dei dati come questa.
Dropbox ha utilizzato metodi migliori per l'hashing e la salatura, ha inviato e-mail agli utenti chiedendo loro di cambiare le loro password il prima possibile, offre autenticazione a due fattori e Universal 2nd Factor (U2F) che utilizza una chiave di sicurezza e ha apportato modifiche ai criteri dello staff (dipendenti Dropbox ora utilizzare 1Password per gestire le proprie password, le password degli account aziendali non possono più essere riutilizzate e tutti i sistemi interni sono su 2FA).
Per una ripartizione di ciò che ha fatto LinkedIn, questo articolo è forse una lettura più approfondita e adeguata.
Avvolgendo
Per essere sinceri, apprendere tutto questo solo studiando il trucco di Dropbox è stata un'esperienza illuminante e terrificante. Noi, la popolazione generale, sottovalutiamo gravemente la necessità di password uniche e forti anche dopo che ci è stato detto più volte di non condividere o ripetere mai le password o di usare parole del dizionario al loro interno.
Se i tuoi dati sono stati influenzati dalla modifica di Dropbox, prendi le precauzioni necessarie per proteggere le tue informazioni personali. Metti un po 'di impegno nelle tue password o ottieni un gestore di password . Oh, e nastro sulla fotocamera del laptop o webcam quando non è in uso. Non puoi mai essere troppo attento.
(Foto di copertina tramite GigaOm)
5 modi per aumentare la velocità di Internet con il prompt dei comandi
La bassa velocità di internet è un problema senza fine che affligge ogni tanto gli utenti di Internet. A volte è un problema con la configurazione di rete, altre volte il problema può riguardare il PC o persino l'ISP stesso.Tuttavia, molti dei problemi più comuni relativi a DNS, TCP e indirizzo IP possono essere risolti utilizzando il prompt dei comandi di Windows . Di
Tastemakers: uno sguardo a 10 designer viventi influenti
Un tastemaker è qualcuno che ha il potere di dettare il corso delle opinioni all'interno di un settore . La comunità del design non ha carenza di persone che, attraverso il rispetto che hanno guadagnato con il loro lavoro e lo stato di veterano, possono scrivere un singolo post sul blog che può influenzare migliaia di designer.Qu