Mis on konto kogumine?

Andmerikkumisi on palju erinevaid. Mõned neist nõuavad ründajalt tohutult aega, planeerimist ja pingutusi. See võib toimuda süsteemi toimimise õppimise vormis enne veenva andmepüügisõnumi koostamist ja selle saatmist töötajale, kellel on piisav juurdepääs, et ründaja saaks varastada tundlikke üksikasju. Seda tüüpi rünnak võib põhjustada tohutul hulgal andmete kaotsiminekut. Lähtekood ja ettevõtte andmed on ühised sihtmärgid. Muud sihtmärgid hõlmavad kasutajaandmeid, nagu kasutajanimed, paroolid, makseandmed ja isikut tõendavad andmed, nagu sotsiaalkindlustuse numbrid ja telefoninumbrid.

Mõned rünnakud pole siiski nii keerulised. Tuleb tunnistada, et neil ei ole ka nii suurt mõju kõigile, keda see puudutab. See aga ei tähenda, et need poleks probleemiks. Ühte näidet nimetatakse konto kogumiseks või konto loendamiseks.

Kontode loendamine

Kas olete kunagi proovinud sisse logida veebisaidile ainult selleks, et see teataks teile, et teie parool on vale? See on pigem konkreetne veateade, kas pole? Võimalik, et kui teete oma kasutajanimes või e-posti aadressis tahtlikult kirjavea, teatab veebisait teile, et "selle e-posti aadressiga kontot pole olemas" või midagi sellist. Kas näete nende kahe veateate erinevust? Veebisaidid, mis seda teevad, on haavatavad kontode loendamise või kontode kogumise suhtes. Lihtsamalt öeldes on kahe erineva stsenaariumi jaoks kaks erinevat veateadet pakkudes võimalik kindlaks teha, kas kasutajanimel või e-posti aadressil on teenuses kehtiv konto või mitte.

Seda tüüpi probleemi saab tuvastada mitmel erineval viisil. Ülaltoodud kahe erineva veateate stsenaarium on üsna nähtav. Seda on ka lihtne parandada, esitage mõlemal juhul lihtsalt üldine veateade. Midagi nagu "Sisestatud kasutajanimi või parool oli vale".

Muud kontode kogumise viisid hõlmavad parooli lähtestamise vorme. Parooli unustamise korral on mugav oma konto taastada. Halvasti turvatud veebisait võib siiski saata kahte erinevat teadet olenevalt sellest, kas kasutajanimi, mille jaoks proovisite parooli lähtestamist saata, on olemas. Kujutage ette: "Konto pole olemas" ja "Parool on lähtestatud, kontrollige oma e-posti". Ka selle stsenaariumi puhul on vastuste võrdlemise teel võimalik kindlaks teha, kas konto on olemas. Ka lahendus on sama. Esitage üldine vastus, näiteks: "Parooli lähtestamise meil on saadetud", isegi kui pole meilikontot, kuhu seda saata.

Konto kogumise peenus

Mõlemad ülaltoodud meetodid on oma jalajälje poolest mõnevõrra valjuhäälsed. Kui ründaja üritab sooritada kumbagi rünnakut ulatuslikult, ilmub see peaaegu igas logimissüsteemis üsna kergesti. Parooli lähtestamise meetod saadab ka selgesõnaliselt meili igale kontole, mis tegelikult eksisteerib. Valjuhäälne olemine pole parim mõte, kui proovite olla salakaval.

Mõned veebisaidid võimaldavad kasutajaga otsest suhtlemist või nähtavust. Sel juhul saate lihtsalt veebisaiti sirvides koguda kõigi teie kontode ekraaninimed. Ekraaninimi võib sageli olla kasutajanimi. Paljudel muudel juhtudel võib see anda suure vihje, milliseid kasutajanimesid arvata, kuna inimesed kasutavad oma e-posti aadressides tavaliselt oma nimede variatsioone. Seda tüüpi konto kogumine toimib teenusega, kuid on sisuliselt tavakasutusest eristamatu ja seega on see palju peenem.

Suurepärane viis olla peen on mitte kunagi puudutada rünnatavat veebisaiti. Kui ründaja üritas pääseda ligi ainult töötajatele mõeldud ettevõtte veebisaidile, võib ta seda teha. Selle asemel, et saidil endal kasutajate loendamise probleeme kontrollida, võivad nad minna mujale. Traalimisega saite nagu Facebook, Twitter ja eriti LinkedIn võib olla võimalik koostada päris hea nimekiri ettevõtte töötajatest. Kui ründaja suudab seejärel määrata ettevõtte meilivormingu, näiteks [email protected], saab ta tegelikult koguda suure hulga kontosid, loomata kunagi ühendust veebisaidiga, mida kavatseb nendega rünnata.

Nende kontode kogumise tehnikate vastu saab vähe ära teha. Need on vähem usaldusväärsed kui esimesed meetodid, kuid neid saab kasutada aktiivsemate kontode loendusmeetodite teavitamiseks.

Kurat peitub detailides

Üldine veateade on tavaliselt lahendus aktiivse konto loendamise takistamiseks. Mõnikord annavad mängule siiski väikesed detailid. Standardite kohaselt pakuvad veebiserverid päringutele vastamisel olekukoode. 200 on "OK" olekukood, mis tähendab edu, ja 501 on "sisemine serveri viga". Veebisaidil peaks olema üldine teade, mis näitab, et parooli lähtestamine on saadetud, isegi kui seda tegelikult ei tehtud, kuna antud kasutajanime või e-posti aadressiga kontot polnud. Mõnel juhul saadab server siiski veakoodi 501, isegi kui veebisait kuvab eduka sõnumi. Üksikasjadele tähelepanu pööravale ründajale piisab sellest, et öelda, kas konto on tõesti olemas või mitte.

Kasutajanimede ja paroolide puhul võib isegi aeg oma rolli mängida. Veebisait peab teie parooli salvestama, kuid selle lekkimise vältimiseks juhul, kui see on ohustatud või kui sellel on petturlik sisering, on tavapärane parooli räsimine. Krüptograafiline räsi on ühesuunaline matemaatiline funktsioon, mis sama sisendi andmisel annab alati sama väljundi, kuid kui isegi üks märk sisendis muutub, muutub kogu väljund täielikult. Salvestades räsi väljundi, räsides seejärel teie esitatud parooli ja võrreldes salvestatud räsi, saate kontrollida, kas esitasite õige parooli, ilma oma parooli tegelikult teadmata.

Detailide kokku panemine

Heade räsimisalgoritmide valmimine võtab aega, tavaliselt vähem kui kümnendik sekundist. See on piisav, et muuta raske jõu kasutamine, kuid mitte nii kaua, et olla kohmakas, kui kontrollite ainult ühte väärtust. võib olla ahvatlev, et veebisaidi insener tõmbab nurga alla ja ei vaevu parooli räsimisega, kui kasutajanime pole olemas. Ma mõtlen, et sellel pole tegelikku mõtet, kuna seda pole millegagi võrrelda. Probleem on ajas.

Veebipäringud näevad tavaliselt vastust mõne kümne või isegi saja millisekundi jooksul. Kui parooli räsimise protsess võtab aega 100 millisekundit ja arendaja jätab selle vahele, võib see olla märgatav. Sel juhul saab olematu konto autentimistaotlus side latentsuse tõttu vastuse ligikaudu 50 ms jooksul. Kehtetu parooliga kehtiva konto autentimistaotlus võib võtta umbes 150 ms, see hõlmab nii side latentsust kui ka 100 ms, kuni server parooli räsib. Lihtsalt kontrollides, kui kaua kulus vastuse naasmiseks, saab ründaja üsna usaldusväärse täpsusega kindlaks teha, kas konto on olemas või mitte.

Sellised üksikasjadele suunatud loendusvõimalused nagu need kaks võivad olla sama tõhusad kui kehtivate kasutajakontode kogumise ilmsemad meetodid.

Konto kogumise mõjud

Pealtnäha ei pruugi konto olemasolu tuvastamine saidil olla liiga suur probleem. See ei tähenda, et ründaja oleks saanud juurdepääsu kontole või millelegi muule. Probleemid kipuvad olema veidi laiema ulatusega. Kasutajanimed on tavaliselt kas e-posti aadressid või pseudonüümid või põhinevad pärisnimedel. Pärisnime saab kergesti siduda üksikisikuga. Nii e-posti aadresse kui ka pseudonüüme kipub korduvkasutama ka üks üksikisik, mis võimaldab neid siduda konkreetse isikuga.

Kujutage ette, kas ründaja saab kindlaks teha, et teie e-posti aadressil on konto lahutusadvokaadi veebisaidil. Kuidas on lood nišipoliitiliste sidemete või konkreetsete terviseseisundite veebisaidiga. Selline asi võib tegelikult teie kohta tundlikku teavet lekkida. Teave, mida te võib-olla ei soovi.

Lisaks kasutavad paljud inimesed endiselt paroole mitmel veebisaidil. Seda hoolimata sellest, et peaaegu kõik on teadlikud turvanõuannetest kasutada kõige jaoks ainulaadseid paroole. Kui teie e-posti aadress on seotud suure andmerikkumisega, on võimalik, et teie parooli räsi võib sellesse rikkumisse kaasata. Kui ründaja suudab toorest jõudu kasutada, et teie parool selle andmemurdmise põhjal ära arvata, võib ta proovida seda kasutada mujal. Sel hetkel saab ründaja teada teie e-posti aadressi ja parooli, mida võite kasutada. Kui nad suudavad loetleda kontosid saidil, millel teil konto on, võivad nad seda parooli proovida. Kui olete sellel saidil seda parooli uuesti kasutanud, pääseb ründaja teie kontole. Seetõttu on soovitatav kõige jaoks kasutada ainulaadseid paroole.

Järeldus

Konto kogumine, mida nimetatakse ka kontode loendamiseks, on turvaprobleem. Konto loenduse haavatavus võimaldab ründajal kindlaks teha, kas konto on olemas või mitte. Teabe avalikustamise haavatavusena ei ole selle otsene mõju tingimata tõsine. Probleem on selles, et muu teabega kombineerituna võib olukord palju hullemaks minna. See võib põhjustada tundlike või privaatsete üksikasjade olemasolu, mis võivad olla seotud konkreetse isikuga. Seda saab kontodele juurdepääsu saamiseks kasutada ka koos kolmanda osapoole andmetega seotud rikkumistega.

Samuti pole veebisaidil selle teabe lekitamiseks õigustatud põhjust. Kui kasutaja teeb oma kasutajanimes või paroolis vea, peab ta kontrollima ainult kahte asja, et näha, kus ta vea tegi. Konto loendamise haavatavustest põhjustatud risk on palju suurem kui äärmiselt väike kasu, mida need võivad pakkuda kasutajanimes või paroolis kirjavea teinud kasutajale.