Co je Account Harvesting?

Existuje mnoho různých typů úniků dat. Některé vyžadují obrovské množství času, plánování a úsilí ze strany útočníka. To může mít podobu učení se, jak systém funguje, než vytvoříte přesvědčivou phishingovou zprávu a odešlete ji zaměstnanci, který má dostatečný přístup k tomu, aby útočníkovi umožnil ukrást citlivé detaily. Tento druh útoku může vést ke ztrátě velkého množství dat. Zdrojový kód a firemní data jsou společným cílem. Mezi další cíle patří uživatelská data, jako jsou uživatelská jména, hesla, platební údaje a PII, jako jsou čísla sociálního pojištění a telefonní čísla.

Některé útoky však nejsou zdaleka tak složité. Je pravda, že také nemají tak velký dopad na všechny postižené. To však neznamená, že nejsou problémem. Jedním z příkladů je shromažďování účtů nebo výčet účtů.

Výčet účtů

Zkusili jste se někdy přihlásit na web pouze proto, aby vám sdělil, že vaše heslo je špatné? To je spíše konkrétní chybová zpráva, že? Je možné, že pokud pak úmyslně uděláte překlep ve svém uživatelském jménu nebo e-mailové adrese, webová stránka vám řekne, že „účet s tímto e-mailem neexistuje“ nebo něco v tom smyslu. Vidíte rozdíl mezi těmito dvěma chybovými zprávami? Webové stránky, které to dělají, jsou citlivé na výčet účtů nebo sklizeň účtů. Jednoduše řečeno, poskytnutím dvou různých chybových zpráv pro dva různé scénáře je možné určit, zda má uživatelské jméno nebo e-mailová adresa platný účet u dané služby či nikoli.

Existuje mnoho různých způsobů, jak lze tento druh problému identifikovat. Výše uvedený scénář dvou různých chybových zpráv je poměrně viditelný. Je to také snadné opravit, jednoduše zadejte obecnou chybovou zprávu pro oba případy. Něco jako „Zadané uživatelské jméno nebo heslo bylo nesprávné“.

Mezi další způsoby, jak lze účty sklízet, patří formuláře pro resetování hesla. Možnost obnovit svůj účet, pokud zapomenete heslo, je užitečná. Špatně zabezpečený web však může opět poskytovat dvě různé zprávy v závislosti na tom, zda uživatelské jméno, pro které jste se pokusili odeslat obnovení hesla, existuje. Představte si: „Účet neexistuje“ a „Obnovení hesla odesláno, zkontrolujte e-mail“. V tomto scénáři je opět možné určit, zda účet existuje, porovnáním odpovědí. Řešení je také stejné. Poskytněte obecnou odpověď, například: „E-mail pro obnovení hesla byl odeslán“, i když neexistuje žádný e-mailový účet, na který by bylo možné jej odeslat.

Jemnost ve sběru účtu

Obě výše uvedené metody jsou poněkud hlasité, pokud jde o jejich stopu. Pokud se útočník pokusí provést kterýkoli útok ve velkém měřítku, projeví se to celkem snadno v podstatě v jakémkoli logovacím systému. Metoda resetování hesla také explicitně odešle e-mail na jakýkoli účet, který skutečně existuje. Být nahlas není nejlepší nápad, pokud se snažíte být záludný.

Některé webové stránky umožňují přímou interakci nebo viditelnost uživatele. V tomto případě můžete jednoduchým procházením webu získat názvy obrazovek každého účtu, se kterým se setkáte. Obrazovkou může být často uživatelské jméno. V mnoha jiných případech může poskytnout velkou nápovědu, jaká uživatelská jména uhodnout, protože lidé běžně používají varianty svých jmen ve svých e-mailových adresách. Tento typ sklizně účtů interaguje se službou, ale je v podstatě k nerozeznání od standardního použití, a proto je mnohem jemnější.

Skvělý způsob, jak být jemný, je nikdy se nedotýkat napadené webové stránky. Pokud by se útočník pokoušel získat přístup k firemnímu webu pouze pro zaměstnance, mohl by být schopen udělat přesně to. Namísto kontroly samotného webu kvůli problémům s výčtem uživatelů mohou jít jinam. Pomocí vlečných sítí, jako je Facebook, Twitter a zejména LinkedIn, lze vytvořit docela dobrý seznam zaměstnanců společnosti. Pokud pak útočník dokáže určit formát e-mailu společnosti, například jméno.příjmení@comapny.com, může ve skutečnosti sklízet velké množství účtů, aniž by se kdy připojoval k webu, na který hodlá zaútočit.

Proti jedné z těchto technik shromažďování účtů lze udělat jen málo. Jsou méně spolehlivé než první metody, ale lze je použít k informování aktivnějších metod výčtu účtů.

Ďábel je v detailech

Obecná chybová zpráva je obecně řešením, jak zabránit výčtu aktivních účtů. Někdy jsou to však malé detaily, které prozrazují hru. Podle standardů poskytují webové servery stavové kódy při odpovídání na požadavky. 200 je stavový kód pro „OK“, což znamená úspěch, a 501 je „interní chyba serveru“. Webová stránka by měla mít obecnou zprávu o tom, že bylo odesláno resetování hesla, i když tomu tak ve skutečnosti nebylo, protože neexistoval žádný účet se zadaným uživatelským jménem nebo e-mailovou adresou. V některých případech však server stále odešle kód chyby 501, i když web zobrazí úspěšnou zprávu. Útočníkovi, který věnuje pozornost detailům, to stačí k tomu, aby řekl, že účet skutečně existuje nebo neexistuje.

Pokud jde o uživatelská jména a hesla, může hrát roli i čas. Webové stránky musí uchovávat vaše heslo, ale aby nedošlo k jeho úniku v případě, že jsou prozrazeny nebo že mají nepoctivého zasvěcence, standardní praxí je heslo zahašovat. Kryptografický hash je jednosměrná matematická funkce, která pokud je dán stejný vstup, vždy dává stejný výstup, ale pokud se změní i jediný znak na vstupu, celý výstup se změní úplně. Uložením výstupu hashe, následným hashováním hesla, které odešlete, a porovnáním uloženého hashe je možné ověřit, že jste odeslali správné heslo, aniž byste své heslo vůbec znali.

Skládání detailů dohromady

Dokončení dobrých hashovacích algoritmů nějakou dobu trvá, obvykle méně než desetinu sekundy. To stačí na to, aby bylo obtížné použít hrubou sílu, ale ne tak dlouho, aby to bylo nemotorné, když kontrolujete jedinou hodnotu. pro webového inženýra může být lákavé odříznout roh a neobtěžovat se hašovat heslo, pokud uživatelské jméno neexistuje. Myslím, že to nemá smysl, protože to není s čím srovnávat. Problém je čas.

Webové požadavky obvykle zaznamenají odpověď během několika desítek nebo dokonce stovek milisekund. Pokud proces hashování hesla trvá 100 milisekund a vývojář jej přeskočí... může to být patrné. V tomto případě by požadavek na ověření pro účet, který neexistuje, dostal odpověď zhruba za 50 ms kvůli zpoždění komunikace. Požadavek na ověření platného účtu s neplatným heslem může trvat zhruba 150 ms, což zahrnuje komunikační latenci a také 100 ms, kdy server heslo hashuje. Pouhým zkontrolováním, jak dlouho trvalo, než se odpověď vrátila, může útočník s poměrně spolehlivou přesností určit, zda účet existuje nebo ne.

Detailně orientované možnosti výčtu, jako jsou tyto dvě, mohou být stejně účinné jako zjevnější metody získávání platných uživatelských účtů.

Účinky sklizně účtu

Na první pohled, schopnost identifikovat, zda účet existuje nebo neexistuje na webu, se nemusí zdát jako příliš velký problém. Není to tak, že by se útočníkovi podařilo získat přístup k účtu nebo cokoli jiného. Problémy bývají poněkud širšího rozsahu. Uživatelská jména bývají buď e-mailové adresy nebo pseudonymy nebo jsou založena na skutečných jménech. Skutečné jméno lze snadno spojit s jednotlivcem. Jak e-mailové adresy, tak pseudonymy mají tendenci být opakovaně používány jednou osobou, což umožňuje jejich spojení s konkrétní osobou.

Představte si tedy, že útočník může zjistit, že vaše e-mailová adresa má účet na webu rozvodových právních zástupců. A co na webové stránce o úzce vymezené politické příslušnosti nebo konkrétních zdravotních stavech. Takové věci by o vás mohly ve skutečnosti uniknout nějaké citlivé informace. Informace, které tam možná nechcete.

Navíc mnoho lidí stále znovu používá hesla na více webových stránkách. A to i přesto, že si téměř každý uvědomuje bezpečnostní radu používat pro všechno jedinečná hesla. Pokud je vaše e-mailová adresa zapojena do velkého úniku dat, je možné, že do tohoto porušení může být zahrnut hash vašeho hesla. Pokud je útočník schopen použít hrubou sílu k uhádnutí vašeho hesla z tohoto úniku dat, může se pokusit jej použít jinde. V tom okamžiku by útočník znal vaši e-mailovou adresu a heslo, které byste mohli použít. Pokud mohou vyjmenovat účty na webu, na kterém máte účet, mohou zkusit toto heslo. Pokud jste toto heslo na daném webu znovu použili, útočník se může dostat do vašeho účtu. To je důvod, proč se doporučuje používat jedinečná hesla pro vše.

Závěr

Sklízení účtů, označované také jako výčet účtů, je bezpečnostní problém. Chyba zabezpečení týkající se výčtu účtů umožňuje útočníkovi určit, zda účet existuje či nikoli. Vzhledem k tomu, že se jedná o zranitelnost při zveřejňování informací, její přímý účinek nemusí být nutně závažný. Problém je v tom, že v kombinaci s dalšími informacemi se situace může výrazně zhoršit. To může mít za následek existenci citlivých nebo soukromých detailů, které mohou být spojeny s konkrétní osobou. Může být také použit v kombinaci s úniky dat třetích stran k získání přístupu k účtům.

Neexistuje také žádný legitimní důvod, proč by webové stránky mohly tyto informace unikat. Pokud uživatel udělá chybu ve svém uživatelském jménu nebo heslu, musí zkontrolovat pouze dvě věci, aby zjistil, kde udělal chybu. Riziko způsobené zranitelností ve výčtu účtů je mnohem větší než extrémně malá výhoda, kterou mohou poskytnout uživateli, který udělal překlep v uživatelském jménu nebo hesle.