Què és la recollida de comptes?

Hi ha molts tipus diferents de violacions de dades. Alguns impliquen una gran quantitat de temps, planificació i esforç per part de l'atacant. Això pot prendre la forma d'aprendre com funciona un sistema abans d'elaborar un missatge de pesca convincent i enviar-lo a un empleat que tingui prou accés per permetre a l'atacant robar detalls sensibles. Aquest tipus d'atac pot provocar una gran quantitat de dades perdudes. El codi font i les dades de l'empresa són objectius habituals. Altres objectius inclouen dades d'usuari, com ara noms d'usuari, contrasenyes, detalls de pagament i PII, com ara números de seguretat social i números de telèfon.

Tanmateix, alguns atacs no són tan complicats. És cert que tampoc tenen un impacte tan gran en tots els afectats. Això no vol dir que no siguin un problema. Un exemple s'anomena recol·lecció de comptes o enumeració de comptes.

Enumeració de comptes

Alguna vegada has provat d'iniciar sessió en un lloc web només perquè t'indiqui que la teva contrasenya era incorrecta? És més aviat un missatge d'error específic, no? És possible que si aleshores, deliberadament, cometeu un error ortogràfic al vostre nom d'usuari o adreça de correu electrònic, el lloc web us digui que "no existeix un compte amb aquest correu electrònic" o alguna cosa en aquest sentit. Veus la diferència entre aquests dos missatges d'error? Els llocs web que fan això són vulnerables a l'enumeració de comptes o la recollida de comptes. En poques paraules, proporcionant dos missatges d'error diferents per als dos escenaris diferents, és possible determinar si un nom d'usuari o una adreça de correu electrònic té un compte vàlid amb el servei o no.

Hi ha moltes maneres diferents d'identificar aquest tipus de problemes. L'escenari anterior dels dos missatges d'error diferents és bastant visible. També és fàcil de solucionar, només cal que proporcioneu un missatge d'error genèric per als dos casos. Alguna cosa com "El nom d'usuari o la contrasenya que heu introduït no són correctes".

Altres maneres en què es poden recollir els comptes inclouen els formularis de restabliment de contrasenyes. Poder recuperar el vostre compte si oblideu la contrasenya és útil. Tot i això, un lloc web mal assegurat podria tornar a proporcionar dos missatges diferents en funció de si existeix el nom d'usuari al qual heu intentat enviar una contrasenya restablida. Imagineu: "El compte no existeix" i "S'ha enviat un restabliment de la contrasenya, comproveu el vostre correu electrònic". De nou, en aquest escenari, és possible determinar si existeix un compte comparant les respostes. La solució també és la mateixa. Proporcioneu una resposta genèrica, com ara: "S'ha enviat un correu electrònic de restabliment de la contrasenya", encara que no hi hagi cap compte de correu electrònic al qual enviar-lo.

Subtilesa en la recollida de comptes

Els dos mètodes anteriors són una mica sorollosos pel que fa a la seva petjada. Si un atacant intenta realitzar qualsevol atac a escala, es mostrarà amb força facilitat en bàsicament qualsevol sistema de registre. El mètode de restabliment de la contrasenya també envia explícitament un correu electrònic a qualsevol compte que existeixi realment. Fer fort no és la millor idea si intentes ser astut.

Alguns llocs web permeten la interacció o la visibilitat directa dels usuaris. En aquest cas, simplement navegant pel lloc web, podeu recopilar els noms de pantalla de tots els comptes que trobeu. El nom de pantalla sovint pot ser el nom d'usuari. En molts altres casos, pot donar una gran pista sobre quins noms d'usuari cal endevinar, ja que les persones solen utilitzar variacions dels seus noms a les seves adreces de correu electrònic. Aquest tipus de recollida de comptes interactua amb el servei, però essencialment no es distingeix de l'ús estàndard i, per tant, és molt més subtil.

Una bona manera de ser subtil és no tocar mai el lloc web atacat. Si un atacant intentava accedir a un lloc web corporatiu només per a empleats, podria fer-ho exactament. En lloc de comprovar el lloc mateix per a problemes d'enumeració d'usuaris, poden anar a un altre lloc. Mitjançant llocs d'arrossegament com Facebook, Twitter i, especialment, LinkedIn, és possible crear una llista força bona d'empleats d'una empresa. Si l'atacant pot determinar el format de correu electrònic de l'empresa, com ara [email protected], de fet, pot recollir un gran nombre de comptes sense connectar-se mai al lloc web que planeja atacar amb ells.

Poc es pot fer contra qualsevol d'aquestes tècniques de recollida de comptes. Són menys fiables que els primers mètodes, però es poden utilitzar per informar mètodes més actius d'enumeració de comptes.

El diable està en els detalls

Un missatge d'error genèric és generalment la solució per evitar l'enumeració activa del compte. De vegades, però, són els petits detalls els que donen a conèixer el joc. Per estàndards, els servidors web proporcionen codis d'estat quan responen a les sol·licituds. 200 és el codi d'estat de "D'acord", que significa èxit, i 501 és un "error intern del servidor". Un lloc web hauria de tenir un missatge genèric que indiqui que s'ha enviat un restabliment de la contrasenya, encara que en realitat no fos perquè no hi havia cap compte amb el nom d'usuari o l'adreça de correu electrònic proporcionats. En alguns casos, tot i que el servidor encara enviarà el codi d'error 501, encara que el lloc web mostri un missatge correcte. Per a un atacant que presta atenció als detalls, això és suficient per dir que el compte realment existeix o no existeix.

Quan es tracta de noms d'usuari i contrasenyes, fins i tot el temps pot jugar un factor important. Un lloc web ha d'emmagatzemar la vostra contrasenya, però per evitar filtrar-la en cas que estiguin compromeses o tinguin una persona privilegiada, la pràctica estàndard és utilitzar la contrasenya. Un hash criptogràfic és una funció matemàtica unidireccional que si es dóna la mateixa entrada sempre dóna la mateixa sortida, però si fins i tot un sol caràcter de l'entrada canvia, la sortida sencera canvia completament. Emmagatzemant la sortida del hash, després triturant la contrasenya que envieu i comparant el hash emmagatzemat, és possible verificar que heu enviat la contrasenya correcta sense saber mai la vostra contrasenya.

Ajuntant els detalls

Els bons algorismes de hash triguen un temps a completar-se, normalment menys d'una dècima de segon. Això és suficient per dificultar la força bruta, però no tant per ser difícil de manejar quan només cal comprovar un únic valor. podria ser temptador per a un enginyer de llocs web tallar un racó i no molestar-se en triturar la contrasenya si el nom d'usuari no existeix. Vull dir, no té cap sentit, ja que no hi ha res amb què comparar-ho. El problema és el temps.

Les sol·licituds web solen rebre una resposta en unes quantes desenes o fins i tot un centenar de mil·lisegons. Si el procés de resum de la contrasenya triga 100 mil·lisegons a completar-se i el desenvolupador l'omet... això es pot notar. En aquest cas, una sol·licitud d'autenticació per a un compte que no existeix rebria una resposta en aproximadament 50 ms a causa de la latència de la comunicació. Una sol·licitud d'autenticació per a un compte vàlid amb una contrasenya no vàlida pot trigar aproximadament 150 ms, això inclou la latència de comunicació i els 100 ms mentre el servidor utilitza la contrasenya. Simplement comprovant quant de temps va trigar una resposta a tornar, l'atacant pot determinar amb una precisió bastant fiable si existeix un compte o no.

Les oportunitats d'enumeració orientades als detalls com aquestes dues poden ser tan efectives com els mètodes més evidents per obtenir comptes d'usuari vàlids.

Efectes de la recollida de comptes

A primera vista, poder identificar si un compte existeix o no en un lloc pot no semblar massa problema. No és com si l'atacant hagi pogut accedir al compte ni a res. Els problemes solen ser una mica més amplis. Els noms d'usuari solen ser adreces de correu electrònic o pseudònims o basats en noms reals. Un nom real es pot lligar fàcilment a un individu. Tant les adreces de correu electrònic com els pseudònims també solen ser reutilitzats per una sola persona, cosa que els permet vincular-los a una persona específica.

Per tant, imagineu-vos si un atacant pot determinar que la vostra adreça de correu electrònic té un compte en un lloc web d'advocats de divorci. Què passa amb un lloc web sobre afiliacions polítiques de nínxol o condicions de salut específiques. Aquest tipus de coses en realitat podrien filtrar informació sensible sobre tu. Informació que potser no voldreu allà fora.

A més, moltes persones encara reutilitzen contrasenyes a diversos llocs web. Això malgrat que gairebé tothom és conscient dels consells de seguretat per utilitzar contrasenyes úniques per a tot. Si la vostra adreça de correu electrònic està implicada en una violació de grans dades, és possible que el hash de la vostra contrasenya s'inclogui en aquesta incompliment. Si un atacant és capaç d'utilitzar la força bruta per endevinar la vostra contrasenya d'aquesta violació de dades, pot intentar utilitzar-la en un altre lloc. En aquest moment, un atacant sabria la vostra adreça de correu electrònic i una contrasenya que podríeu utilitzar. Si poden enumerar els comptes d'un lloc on teniu un compte, poden provar aquesta contrasenya. Si heu reutilitzat aquesta contrasenya en aquest lloc, l'atacant pot entrar al vostre compte. És per això que es recomana utilitzar contrasenyes úniques per a tot.

Conclusió

La recollida de comptes, també anomenada enumeració de comptes, és un problema de seguretat. Una vulnerabilitat d'enumeració de comptes permet a un atacant determinar si un compte existeix o no. Com a vulnerabilitat de divulgació d'informació, el seu efecte directe no és necessàriament greu. El problema és que quan es combina amb altra informació la situació pot empitjorar molt. Això pot donar lloc a l'existència de dades sensibles o privades que es puguin vincular a una persona concreta. També es pot utilitzar en combinació amb incompliments de dades de tercers per accedir als comptes.

Tampoc hi ha cap motiu legítim perquè un lloc web filtri aquesta informació. Si un usuari comet un error en el seu nom d'usuari o contrasenya, només ha de comprovar dues coses per veure on ha comès l'error. El risc causat per les vulnerabilitats d'enumeració de comptes és molt més gran que el benefici extremadament menor que pot oferir a un usuari que va cometre una errada en el nom d'usuari o la contrasenya.