Τι είναι η συγκομιδή λογαριασμού;

Υπάρχουν πολλοί διαφορετικοί τύποι παραβιάσεων δεδομένων. Ορισμένα περιλαμβάνουν τεράστιο χρόνο, σχεδιασμό και προσπάθεια από την πλευρά του επιτιθέμενου. Αυτό μπορεί να λάβει τη μορφή της εκμάθησης πώς λειτουργεί ένα σύστημα πριν δημιουργήσει ένα πειστικό μήνυμα ηλεκτρονικού ψαρέματος και το στείλει σε έναν υπάλληλο που έχει αρκετή πρόσβαση για να επιτρέψει στον εισβολέα να κλέψει ευαίσθητες λεπτομέρειες. Αυτό το είδος επίθεσης μπορεί να οδηγήσει σε τεράστιο όγκο δεδομένων που χάνονται. Ο πηγαίος κώδικας και τα εταιρικά δεδομένα είναι κοινοί στόχοι. Άλλοι στόχοι περιλαμβάνουν δεδομένα χρήστη, όπως ονόματα χρήστη, κωδικούς πρόσβασης, στοιχεία πληρωμής και PII, όπως αριθμούς κοινωνικής ασφάλισης και αριθμούς τηλεφώνου.

Ωστόσο, ορισμένες επιθέσεις δεν είναι τόσο περίπλοκες. Ομολογουμένως, επίσης δεν έχουν τόσο μεγάλο αντίκτυπο σε όλους τους επηρεαζόμενους. Αυτό δεν σημαίνει όμως ότι δεν αποτελούν πρόβλημα. Ένα παράδειγμα ονομάζεται συγκομιδή λογαριασμού ή απαρίθμηση λογαριασμού.

απαρίθμηση λογαριασμού

Έχετε προσπαθήσει ποτέ να συνδεθείτε σε έναν ιστότοπο μόνο για να σας πει ότι ο κωδικός πρόσβασής σας ήταν λάθος; Αυτό είναι μάλλον ένα συγκεκριμένο μήνυμα σφάλματος, έτσι δεν είναι; Είναι πιθανό, εάν στη συνέχεια, σκόπιμα, κάνετε ένα τυπογραφικό λάθος στο όνομα χρήστη ή στη διεύθυνση email σας, ο ιστότοπος να σας ενημερώσει ότι "λογαριασμός με αυτό το email δεν υπάρχει" ή κάτι τέτοιο. Βλέπετε τη διαφορά μεταξύ αυτών των δύο μηνυμάτων σφάλματος; Οι ιστότοποι που το κάνουν αυτό είναι ευάλωτοι στην απαρίθμηση λογαριασμών ή στη συλλογή λογαριασμών. Με απλά λόγια, παρέχοντας δύο διαφορετικά μηνύματα σφάλματος για τα δύο διαφορετικά σενάρια, είναι δυνατό να προσδιοριστεί εάν ένα όνομα χρήστη ή μια διεύθυνση email έχει έγκυρο λογαριασμό στην υπηρεσία ή όχι.

Υπάρχουν πολλοί διαφορετικοί τρόποι εντοπισμού αυτού του είδους ζητήματος. Το παραπάνω σενάριο των δύο διαφορετικών μηνυμάτων σφάλματος είναι αρκετά ορατό. Είναι επίσης εύκολο να το διορθώσετε, απλά δώστε ένα γενικό μήνυμα σφάλματος και για τις δύο περιπτώσεις. Κάτι σαν "Το όνομα χρήστη ή ο κωδικός πρόσβασης που εισαγάγατε ήταν λάθος".

Άλλοι τρόποι συλλογής λογαριασμών περιλαμβάνουν φόρμες επαναφοράς κωδικού πρόσβασης. Είναι χρήσιμο να μπορείτε να ανακτήσετε τον λογαριασμό σας εάν ξεχάσετε τον κωδικό πρόσβασής σας. Ωστόσο, ένας κακώς ασφαλής ιστότοπος μπορεί να παρέχει και πάλι δύο διαφορετικά μηνύματα, ανάλογα με το αν υπάρχει το όνομα χρήστη για το οποίο προσπαθήσατε να στείλετε επαναφορά κωδικού πρόσβασης. Φανταστείτε: "Ο λογαριασμός δεν υπάρχει" και "Επαναφορά κωδικού πρόσβασης εστάλη, ελέγξτε το email σας". Και πάλι σε αυτό το σενάριο, είναι δυνατό να προσδιορίσετε εάν υπάρχει λογαριασμός συγκρίνοντας τις απαντήσεις. Η λύση είναι επίσης η ίδια. Δώστε μια γενική απάντηση, κάτι όπως: "Έχει σταλεί ένα email επαναφοράς κωδικού πρόσβασης", ακόμα κι αν δεν υπάρχει λογαριασμός email στον οποίο να το στείλετε.

Λεπτομέρεια στη συγκομιδή του λογαριασμού

Και οι δύο παραπάνω μέθοδοι είναι κάπως δυνατές όσον αφορά το αποτύπωμά τους. Εάν ένας εισβολέας προσπαθήσει να εκτελέσει οποιαδήποτε επίθεση σε κλίμακα, θα εμφανιστεί πολύ εύκολα σε οποιοδήποτε βασικά σύστημα καταγραφής. Η μέθοδος επαναφοράς κωδικού πρόσβασης στέλνει επίσης ρητά ένα email σε οποιονδήποτε λογαριασμό υπάρχει στην πραγματικότητα. Το να είσαι δυνατός δεν είναι η καλύτερη ιδέα αν προσπαθείς να είσαι ύπουλος.

Ορισμένοι ιστότοποι επιτρέπουν την άμεση αλληλεπίδραση ή ορατότητα των χρηστών. Σε αυτήν την περίπτωση, απλά με την περιήγησή σας στον ιστότοπο, μπορείτε να συγκεντρώσετε τα ονόματα οθόνης κάθε λογαριασμού που αντιμετωπίζετε. Το όνομα οθόνης μπορεί συχνά να είναι το όνομα χρήστη. Σε πολλές άλλες περιπτώσεις, μπορεί να δώσει μια μεγάλη υπόδειξη για το ποια ονόματα χρήστη να μαντέψουν, καθώς οι άνθρωποι χρησιμοποιούν συνήθως παραλλαγές των ονομάτων τους στις διευθύνσεις email τους. Αυτός ο τύπος συλλογής λογαριασμού αλληλεπιδρά με την υπηρεσία, αλλά ουσιαστικά δεν διακρίνεται από την τυπική χρήση, και επομένως είναι πολύ πιο λεπτή.

Ένας πολύ καλός τρόπος για να είστε διακριτικοί είναι να μην αγγίζετε ποτέ τον ιστότοπο που δέχεται επίθεση. Εάν ένας εισβολέας προσπαθούσε να αποκτήσει πρόσβαση σε έναν εταιρικό ιστότοπο μόνο για υπαλλήλους, μπορεί να είναι σε θέση να κάνει ακριβώς αυτό. Αντί να ελέγχουν τον ίδιο τον ιστότοπο για προβλήματα απαρίθμησης χρηστών, μπορούν να πάνε αλλού. Αναζητώντας ιστοτόπους όπως το Facebook, το Twitter και ειδικά το LinkedIn, μπορεί να είναι δυνατό να δημιουργηθεί μια αρκετά καλή λίστα εργαζομένων μιας εταιρείας. Εάν ο εισβολέας μπορεί στη συνέχεια να καθορίσει τη μορφή email της εταιρείας, όπως [email protected], τότε μπορεί στην πραγματικότητα να συγκεντρώσει μεγάλο αριθμό λογαριασμών χωρίς να συνδεθεί ποτέ στον ιστότοπο στον οποίο σχεδιάζουν να επιτεθούν μαζί τους.

Λίγα μπορούν να γίνουν ενάντια σε οποιαδήποτε από αυτές τις τεχνικές συγκομιδής λογαριασμού. Είναι λιγότερο αξιόπιστες από τις πρώτες μεθόδους, αλλά μπορούν να χρησιμοποιηθούν για την ενημέρωση πιο ενεργών μεθόδων απαρίθμησης λογαριασμών.

Ο διάβολος βρίσκεται στις λεπτομέρειες

Ένα γενικό μήνυμα σφάλματος είναι γενικά η λύση για την αποτροπή ενεργού απαρίθμησης λογαριασμών. Μερικές φορές όμως, είναι οι μικρές λεπτομέρειες που δίνουν το παιχνίδι μακριά. Σύμφωνα με τα πρότυπα, οι διακομιστές ιστού παρέχουν κωδικούς κατάστασης όταν ανταποκρίνονται σε αιτήματα. Το 200 είναι ο κωδικός κατάστασης για το "OK" που σημαίνει επιτυχία και το 501 είναι ένα "εσωτερικό σφάλμα διακομιστή". Ένας ιστότοπος θα πρέπει να έχει ένα γενικό μήνυμα που να υποδεικνύει ότι εστάλη επαναφορά κωδικού πρόσβασης, ακόμα κι αν στην πραγματικότητα δεν ήταν επειδή δεν υπήρχε λογαριασμός με το παρεχόμενο όνομα χρήστη ή διεύθυνση email. Σε ορισμένες περιπτώσεις, αν και ο διακομιστής θα εξακολουθεί να στέλνει τον κωδικό σφάλματος 501, ακόμα κι αν ο ιστότοπος εμφανίσει ένα επιτυχές μήνυμα. Σε έναν εισβολέα που δίνει προσοχή στις λεπτομέρειες, αυτό αρκεί για να πει ότι ο λογαριασμός υπάρχει πραγματικά ή δεν υπάρχει.

Όταν πρόκειται για ονόματα χρήστη και κωδικούς πρόσβασης, ακόμη και ο χρόνος μπορεί να παίξει έναν παράγοντα. Ένας ιστότοπος πρέπει να αποθηκεύει τον κωδικό πρόσβασής σας, αλλά για να αποφευχθεί η διαρροή του σε περίπτωση που παραβιαστεί ή έχει αδίστακτο μυστικό, η τυπική πρακτική είναι να κατακερματίζετε τον κωδικό πρόσβασης. Ένας κρυπτογραφικός κατακερματισμός είναι μια μονόδρομη μαθηματική συνάρτηση που αν δοθεί η ίδια είσοδος δίνει πάντα την ίδια έξοδο, αλλά αν ακόμη και ένας χαρακτήρας στην είσοδο αλλάξει, ολόκληρη η έξοδος αλλάζει εντελώς. Αποθηκεύοντας την έξοδο του κατακερματισμού, μετά κατακερματίζοντας τον κωδικό πρόσβασης που υποβάλλετε και συγκρίνοντας τον αποθηκευμένο κατακερματισμό, είναι δυνατό να επαληθεύσετε ότι υποβάλατε τον σωστό κωδικό πρόσβασης χωρίς να γνωρίζετε ποτέ τον κωδικό πρόσβασής σας.

Συνδυάζοντας τις λεπτομέρειες

Οι καλοί αλγόριθμοι κατακερματισμού χρειάζονται λίγο χρόνο για να ολοκληρωθούν, συνήθως λιγότερο από το ένα δέκατο του δευτερολέπτου. Αυτό είναι αρκετό για να είναι δύσκολο να ασκήσετε ωμή βία, αλλά όχι τόσο πολύ για να είστε δυσκίνητοι όταν μπορείτε να ελέγξετε μόνο μία τιμή. Μπορεί να είναι δελεαστικό για έναν μηχανικό ιστότοπου να ρίξει μια γωνία και να μην μπει στον κόπο να κατακερματίσει τον κωδικό πρόσβασης εάν το όνομα χρήστη δεν υπάρχει. Θέλω να πω, δεν υπάρχει πραγματικό νόημα, καθώς δεν υπάρχει τίποτα για να το συγκρίνουμε. Το πρόβλημα είναι ο χρόνος.

Τα αιτήματα Ιστού βλέπουν συνήθως μια απάντηση σε μερικές δεκάδες ή ακόμα και εκατό περίπου χιλιοστά του δευτερολέπτου. Εάν η διαδικασία κατακερματισμού κωδικού πρόσβασης διαρκεί 100 χιλιοστά του δευτερολέπτου για να ολοκληρωθεί και ο προγραμματιστής την παραλείψει… αυτό μπορεί να γίνει αντιληπτό. Σε αυτήν την περίπτωση, ένα αίτημα ελέγχου ταυτότητας για έναν λογαριασμό που δεν υπάρχει θα λάβει απόκριση σε περίπου 50 ms λόγω καθυστέρησης επικοινωνίας. Ένα αίτημα ελέγχου ταυτότητας για έναν έγκυρο λογαριασμό με μη έγκυρο κωδικό πρόσβασης μπορεί να διαρκέσει περίπου 150 ms, αυτό περιλαμβάνει τον λανθάνοντα χρόνο επικοινωνίας καθώς και τα 100 ms ενώ ο διακομιστής κατακερματίζει τον κωδικό πρόσβασης. Ελέγχοντας απλώς πόσο καιρό χρειάστηκε για να επιστρέψει μια απάντηση, ο εισβολέας μπορεί να προσδιορίσει με αρκετά αξιόπιστη ακρίβεια εάν υπάρχει ή όχι ένας λογαριασμός.

Οι ευκαιρίες απαρίθμησης προσανατολισμένες στη λεπτομέρεια, όπως αυτές οι δύο, μπορούν να είναι εξίσου αποτελεσματικές με τις πιο προφανείς μεθόδους συλλογής έγκυρων λογαριασμών χρηστών.

Επιπτώσεις της συγκομιδής λογαριασμού

Εκ πρώτης όψεως, το να είστε σε θέση να προσδιορίσετε εάν ένας λογαριασμός υπάρχει ή δεν υπάρχει σε έναν ιστότοπο μπορεί να μην φαίνεται υπερβολικό πρόβλημα. Δεν είναι ότι ο εισβολέας μπόρεσε να αποκτήσει πρόσβαση στον λογαριασμό ή οτιδήποτε άλλο. Τα προβλήματα τείνουν να είναι λίγο ευρύτερα σε εύρος. Τα ονόματα χρήστη τείνουν να είναι είτε διευθύνσεις email ή ψευδώνυμα είτε βασισμένα σε πραγματικά ονόματα. Ένα πραγματικό όνομα μπορεί εύκολα να συνδεθεί με ένα άτομο. Τόσο οι διευθύνσεις email όσο και τα ψευδώνυμα τείνουν επίσης να επαναχρησιμοποιούνται από ένα μεμονωμένο άτομο, επιτρέποντάς τους να συνδέονται με ένα συγκεκριμένο άτομο.

Έτσι, φανταστείτε εάν ένας εισβολέας μπορεί να προσδιορίσει ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου σας έχει λογαριασμό σε έναν ιστότοπο δικηγόρων διαζυγίου. Τι γίνεται σε έναν ιστότοπο σχετικά με εξειδικευμένες πολιτικές πεποιθήσεις ή συγκεκριμένες συνθήκες υγείας. Κάτι τέτοιο θα μπορούσε πράγματι να διαρρεύσει κάποιες ευαίσθητες πληροφορίες για εσάς. Πληροφορίες που μπορεί να μην θέλετε εκεί έξω.

Επιπλέον, πολλοί άνθρωποι εξακολουθούν να επαναχρησιμοποιούν τους κωδικούς πρόσβασης σε πολλούς ιστότοπους. Αυτό συμβαίνει παρά το γεγονός ότι σχεδόν όλοι γνωρίζουν τις συμβουλές ασφαλείας για τη χρήση μοναδικών κωδικών πρόσβασης για τα πάντα. Εάν η διεύθυνση ηλεκτρονικού ταχυδρομείου σας εμπλέκεται σε παραβίαση μεγάλων δεδομένων, είναι πιθανό ο κατακερματισμός του κωδικού πρόσβασής σας να περιλαμβάνεται σε αυτήν την παραβίαση. Εάν ένας εισβολέας μπορεί να χρησιμοποιήσει ωμή βία για να μαντέψει τον κωδικό πρόσβασής σας από αυτήν την παραβίαση δεδομένων, μπορεί να προσπαθήσει να τον χρησιμοποιήσει αλλού. Σε εκείνο το σημείο, ένας εισβολέας θα γνώριζε τη διεύθυνση email σας και έναν κωδικό πρόσβασης που θα μπορούσατε να χρησιμοποιήσετε. Εάν μπορούν να απαριθμήσουν λογαριασμούς σε έναν ιστότοπο στον οποίο έχετε λογαριασμό, μπορεί να δοκιμάσουν αυτόν τον κωδικό πρόσβασης. Εάν έχετε ξαναχρησιμοποιήσει αυτόν τον κωδικό πρόσβασης σε αυτόν τον ιστότοπο, τότε ο εισβολέας μπορεί να εισέλθει στον λογαριασμό σας. Αυτός είναι ο λόγος για τον οποίο συνιστάται η χρήση μοναδικών κωδικών πρόσβασης για τα πάντα.

συμπέρασμα

Η συλλογή λογαριασμού, που αναφέρεται επίσης ως απαρίθμηση λογαριασμών, είναι ένα ζήτημα ασφαλείας. Μια ευπάθεια απαρίθμησης λογαριασμού επιτρέπει σε έναν εισβολέα να προσδιορίσει εάν ένας λογαριασμός υπάρχει ή όχι. Ως ευπάθεια αποκάλυψης πληροφοριών, η άμεση επίδρασή της δεν είναι απαραίτητα σοβαρή. Το πρόβλημα είναι ότι όταν συνδυάζεται με άλλες πληροφορίες η κατάσταση μπορεί να χειροτερέψει πολύ. Αυτό μπορεί να έχει ως αποτέλεσμα την ύπαρξη ευαίσθητων ή ιδιωτικών στοιχείων που μπορούν να συνδεθούν με ένα συγκεκριμένο άτομο. Μπορεί επίσης να χρησιμοποιηθεί σε συνδυασμό με παραβιάσεις δεδομένων τρίτων για να αποκτήσετε πρόσβαση σε λογαριασμούς.

Επίσης, δεν υπάρχει νόμιμος λόγος για έναν ιστότοπο να διαρρέει αυτές τις πληροφορίες. Εάν ένας χρήστης κάνει λάθος είτε στο όνομα χρήστη είτε στον κωδικό πρόσβασής του, πρέπει να ελέγξει μόνο δύο πράγματα για να δει πού έκανε το λάθος. Ο κίνδυνος που προκαλείται από τα τρωτά σημεία απαρίθμησης λογαριασμών είναι πολύ μεγαλύτερος από το εξαιρετικά μικρό όφελος που μπορεί να προσφέρει σε έναν χρήστη που έκανε ένα τυπογραφικό λάθος στο όνομα χρήστη ή τον κωδικό πρόσβασης.