Çfarë është Korrja e llogarisë?

Ka shumë lloje të ndryshme të shkeljeve të të dhënave. Disa përfshijnë sasi të mëdha kohe, planifikim dhe përpjekje nga ana e sulmuesit. Kjo mund të marrë formën e të mësuarit se si funksionon një sistem përpara se të krijoni një mesazh bindës phishing dhe t'ia dërgoni atë një punonjësi që ka akses të mjaftueshëm për të lejuar sulmuesin të vjedhë detaje të ndjeshme. Ky lloj sulmi mund të rezultojë në një sasi të madhe të të dhënave të humbura. Kodi burimor dhe të dhënat e kompanisë janë objektiva të përbashkëta. Objektiva të tjerë përfshijnë të dhënat e përdoruesit si emrat e përdoruesve, fjalëkalimet, detajet e pagesës dhe PII si numrat e sigurimeve shoqërore dhe numrat e telefonit.

Megjithatë, disa sulme nuk janë aq të komplikuara. Pa dyshim, ato gjithashtu nuk kanë një ndikim kaq të madh tek të gjithë të prekurit. Megjithatë, kjo nuk do të thotë se ato nuk janë problem. Një shembull quhet mbledhja e llogarisë, ose numërimi i llogarisë.

Numërimi i llogarisë

A keni provuar ndonjëherë të regjistroheni në një faqe interneti vetëm për t'ju thënë se fjalëkalimi juaj ishte i gabuar? Ky është më tepër një mesazh gabimi specifik, apo jo? Është e mundur që nëse atëherë, qëllimisht, bëni një gabim shkrimi në emrin e përdoruesit ose adresën tuaj të emailit, faqja e internetit do t'ju tregojë se një "llogari me atë email nuk ekziston" ose diçka për këtë. Shikoni ndryshimin midis këtyre dy mesazheve të gabimit? Faqet e internetit që e bëjnë këtë janë të cenueshme ndaj numërimit të llogarive ose grumbullimit të llogarive. E thënë thjesht, duke ofruar dy mesazhe gabimi të ndryshme për dy skenarë të ndryshëm, është e mundur të përcaktohet nëse një emër përdoruesi ose adresë emaili ka një llogari të vlefshme me shërbimin apo jo.

Ka shumë mënyra të ndryshme për të identifikuar këtë lloj problemi. Skenari i mësipërm i dy mesazheve të ndryshme të gabimit është mjaft i dukshëm. Është gjithashtu e lehtë për t'u rregulluar, thjesht jepni një mesazh të përgjithshëm gabimi për të dyja rastet. Diçka si "Emri i përdoruesit ose fjalëkalimi që fute ishin të pasakta".

Mënyra të tjera se si mund të mblidhen llogaritë përfshijnë formularët e rivendosjes së fjalëkalimit. Të jesh në gjendje të rikuperosh llogarinë tënde nëse harron fjalëkalimin është i dobishëm. Megjithatë, një uebsajt me siguri të dobët mund të japë përsëri dy mesazhe të ndryshme në varësi të nëse ekziston emri i përdoruesit për të cilin u përpoqët të dërgoni një rivendosje fjalëkalimi. Imagjinoni: "Llogaria nuk ekziston" dhe "Rivendosja e fjalëkalimit u dërgua, kontrolloni emailin tuaj". Përsëri në këtë skenar, është e mundur të përcaktohet nëse një llogari ekziston duke krahasuar përgjigjet. Zgjidhja është gjithashtu e njëjtë. Jepni një përgjigje të përgjithshme, diçka si: "Është dërguar një email për rivendosjen e fjalëkalimit" edhe nëse nuk ka llogari emaili për ta dërguar atë.

Delikatesë në korrje llogari

Të dyja metodat e mësipërme janë disi të zhurmshme për sa i përket gjurmës së tyre. Nëse një sulmues përpiqet të kryejë cilindo sulm në shkallë, ai do të shfaqet mjaft lehtë në thelb në çdo sistem logging. Metoda e rivendosjes së fjalëkalimit gjithashtu dërgon në mënyrë eksplicite një email në çdo llogari që ekziston në të vërtetë. Të jesh i zëshëm nuk është ideja më e mirë nëse po përpiqesh të jesh i poshtër.

Disa faqe interneti lejojnë ndërveprimin ose dukshmërinë e drejtpërdrejtë të përdoruesit. Në këtë rast, thjesht duke shfletuar faqen e internetit, mund të mbledhni emrat e ekranit të çdo llogarie që keni. Emri i ekranit shpesh mund të jetë emri i përdoruesit. Në shumë raste të tjera, mund të japë një sugjerim të madh se cilat emra përdoruesish duhet të hamendësohen pasi njerëzit zakonisht përdorin variacione të emrave të tyre në adresat e tyre të emailit. Ky lloj i korrjes së llogarisë ndërvepron me shërbimin, por në thelb nuk dallohet nga përdorimi standard, dhe kështu është shumë më delikate.

Një mënyrë e shkëlqyeshme për të qenë delikate është të mos prekni fare faqen e internetit nën sulm. Nëse një sulmues po përpiqej të fitonte akses në një faqe interneti të korporatës vetëm për punonjësit, ata mund të ishin në gjendje ta bënin pikërisht këtë. Në vend që të kontrollojnë vetë faqen për problemet e numërimit të përdoruesve, ata mund të shkojnë diku tjetër. Duke shfletuar faqet si Facebook, Twitter dhe veçanërisht LinkedIn, mund të jetë e mundur të krijohet një listë mjaft e mirë e punonjësve të një kompanie. Nëse sulmuesi më pas mund të përcaktojë formatin e emailit të kompanisë, si p.sh. [email protected], atëherë ata në fakt mund të mbledhin një numër të madh llogarish pa u lidhur kurrë me uebsajtin që planifikojnë të sulmojnë me to.

Pak mund të bëhet kundër secilës prej këtyre teknikave llogaritëse të korrjes. Ato janë më pak të besueshme se metodat e para, por mund të përdoren për të informuar metodat më aktive të numërimit të llogarive.

Djalli është në detaje

Një mesazh i përgjithshëm gabimi është përgjithësisht zgjidhja për të parandaluar numërimin aktiv të llogarisë. Megjithatë, ndonjëherë, janë detajet e vogla që e dhurojnë lojën. Sipas standardeve, uebserverët ofrojnë kode statusi kur u përgjigjen kërkesave. 200 është kodi i statusit për "OK" që do të thotë sukses, dhe 501 është një "gabim i brendshëm i serverit". Një faqe interneti duhet të ketë një mesazh të përgjithshëm që tregon se është dërguar një rivendosje e fjalëkalimit, edhe nëse në fakt nuk është dërguar sepse nuk ka pasur llogari me emrin e përdoruesit ose adresën e emailit të dhënë. Në disa raste, edhe pse serveri do të vazhdojë të dërgojë kodin e gabimit 501, edhe nëse faqja e internetit shfaq një mesazh të suksesshëm. Për një sulmues që i kushton vëmendje detajeve, kjo është e mjaftueshme për të treguar se llogaria me të vërtetë ekziston ose nuk ekziston.

Kur bëhet fjalë për emrat e përdoruesve dhe fjalëkalimet, edhe koha mund të luajë një faktor. Një faqe interneti duhet të ruajë fjalëkalimin tuaj, por për të shmangur rrjedhjen e tij në rast se ato komprometohen ose kanë një burim të brendshëm mashtrues, praktika standarde është të hash fjalëkalimin. Një hash kriptografik është një funksion matematikor njëkahësh që nëse i jepet e njëjta hyrje jep gjithmonë të njëjtin rezultat, por nëse edhe një karakter i vetëm në hyrje ndryshon, i gjithë dalja ndryshon plotësisht. Duke ruajtur daljen e hash-it, më pas duke hashuar fjalëkalimin që dorëzoni dhe duke krahasuar hash-in e ruajtur, është e mundur të verifikoni që keni dorëzuar fjalëkalimin e saktë pa e ditur ndonjëherë fjalëkalimin tuaj.

Duke bashkuar detajet

Algoritmet e mira të hashimit kërkojnë pak kohë për t'u përfunduar, zakonisht më pak se një e dhjeta e sekondës. Kjo është e mjaftueshme për ta bërë të vështirë përdorimin e forcës brutale, por jo aq gjatë për të qenë i pafuqishëm kur kontrolloni vetëm një vlerë të vetme. mund të jetë joshëse për një inxhinier uebsajti të presë një cep dhe të mos shqetësojë të hash fjalëkalimin nëse emri i përdoruesit nuk ekziston. Dua të them, nuk ka asnjë pikë të vërtetë pasi nuk ka asgjë për ta krahasuar atë. Problemi është koha.

Kërkesat në ueb zakonisht shohin një përgjigje në disa dhjetëra apo edhe njëqind apo më shumë milisekonda. Nëse procesi i hashimit të fjalëkalimit kërkon 100 milisekonda për t'u përfunduar dhe zhvilluesi e kapërcen atë… kjo mund të jetë e dukshme. Në këtë rast, një kërkesë vërtetimi për një llogari që nuk ekziston do të merrte një përgjigje në afërsisht 50 ms për shkak të vonesës së komunikimit. Një kërkesë vërtetimi për një llogari të vlefshme me një fjalëkalim të pavlefshëm mund të zgjasë afërsisht 150 ms, kjo përfshin vonesën e komunikimit si dhe 100 ms ndërsa serveri has fjalëkalimin. Duke kontrolluar thjesht se sa kohë u desh që një përgjigje të kthehej, sulmuesi mund të përcaktojë me saktësi mjaft të besueshme nëse një llogari ekziston apo jo.

Mundësitë e numërimit të orientuara nga detajet si këto të dyja mund të jenë po aq efektive sa edhe metodat më të dukshme të grumbullimit të llogarive të vlefshme të përdoruesve.

Efektet e korrjes së llogarisë

Në pamje të parë, të qenit në gjendje të identifikosh nëse një llogari ekziston ose nuk ekziston në një sajt mund të mos duket shumë problematike. Nuk është se sulmuesi ishte në gjendje të fitonte akses në llogari ose ndonjë gjë tjetër. Problemet priren të jenë pak më të gjerë në shtrirje. Emrat e përdoruesve priren të jenë ose adresa emaili ose pseudonime ose të bazuara në emra të vërtetë. Një emër i vërtetë mund të lidhet lehtësisht me një individ. Të dy adresat e emailit dhe pseudonimet gjithashtu priren të ripërdoren nga një individ i vetëm duke i lejuar ato të lidhen me një person specifik.

Pra, imagjinoni nëse një sulmues mund të përcaktojë që adresa juaj e emailit ka një llogari në një faqe interneti të avokatëve divorci. Po në një faqe interneti në lidhje me përkatësitë e veçanta politike, ose kushtet specifike shëndetësore. Një gjë e tillë në fakt mund të nxjerrë disa informacione të ndjeshme rreth jush. Informacion që mund të mos dëshironi atje.

Për më tepër, shumë njerëz ende ripërdorin fjalëkalime nëpër uebsajte të shumta. Kjo është pavarësisht se pothuajse të gjithë janë të vetëdijshëm për këshillat e sigurisë për të përdorur fjalëkalime unike për gjithçka. Nëse adresa juaj e emailit është e përfshirë në një shkelje të madhe të të dhënave, është e mundur që hash-i i fjalëkalimit tuaj mund të përfshihet në atë shkelje. Nëse një sulmues është në gjendje të përdorë forcën brutale për të marrë me mend fjalëkalimin tuaj nga ajo shkelje e të dhënave, ata mund të përpiqen ta përdorin atë diku tjetër. Në atë pikë, një sulmues do të dinte adresën tuaj të emailit dhe një fjalëkalim që mund të përdorni. Nëse ata mund të numërojnë llogaritë në një sajt ku ju keni një llogari, ata mund ta provojnë atë fjalëkalim. Nëse e keni ripërdorur atë fjalëkalim në atë sajt, atëherë sulmuesi mund të hyjë në llogarinë tuaj. Kjo është arsyeja pse rekomandohet përdorimi i fjalëkalimeve unike për çdo gjë.

konkluzioni

Korrja e llogarisë, e referuar edhe si numërimi i llogarisë është një çështje sigurie. Një cenueshmëri e numërimit të llogarisë lejon një sulmues të përcaktojë nëse një llogari ekziston apo jo. Si një cenueshmëri e zbulimit të informacionit, efekti i tij i drejtpërdrejtë nuk është domosdoshmërisht i rëndë. Problemi është se kur kombinohet me informacione të tjera situata mund të përkeqësohet shumë. Kjo mund të rezultojë në ekzistencën e detajeve të ndjeshme ose private që mund të lidhen me një person specifik. Mund të përdoret gjithashtu në kombinim me shkelje të të dhënave të palëve të treta për të fituar akses në llogari.

Nuk ka gjithashtu asnjë arsye legjitime që një faqe interneti të nxjerrë këtë informacion. Nëse një përdorues bën një gabim në emrin e përdoruesit ose fjalëkalimin e tij, ai duhet të kontrollojë vetëm dy gjëra për të parë se ku e ka bërë gabimin. Rreziku i shkaktuar nga dobësitë e numërimit të llogarisë është shumë më i madh se përfitimi jashtëzakonisht i vogël që mund t'i ofrojnë një përdoruesi që ka bërë një gabim shkrimi në emrin e përdoruesit ose fjalëkalimin.