Mitä tilien kerääminen on?

Tietomurtoja on monenlaisia. Jotkut vaativat hyökkääjältä valtavia määriä aikaa, suunnittelua ja vaivaa. Tämä voi tapahtua järjestelmän toiminnan oppimisena ennen vakuuttavan tietojenkalasteluviestin laatimista ja sen lähettämistä työntekijälle, jolla on riittävät käyttöoikeudet, jotta hyökkääjä voi varastaa arkaluonteisia tietoja. Tällainen hyökkäys voi johtaa valtavan määrän tietojen menettämiseen. Lähdekoodi ja yritystiedot ovat yhteisiä kohteita. Muita kohteita ovat käyttäjätiedot, kuten käyttäjätunnukset, salasanat, maksutiedot ja henkilökohtaiset tunnistetiedot, kuten sosiaaliturvatunnukset ja puhelinnumerot.

Jotkut hyökkäykset eivät kuitenkaan ole läheskään niin monimutkaisia. Tosin niillä ei myöskään ole niin suurta vaikutusta kaikkiin, joita asia koskee. Se ei kuitenkaan tarkoita, etteivätkö ne olisi ongelma. Eräs esimerkki on tilien kerääminen tai tilien luettelointi.

Tililuettelo

Oletko koskaan yrittänyt kirjautua sisään verkkosivustolle vain kertoakseen, että salasanasi on väärä? Se on pikemminkin erityinen virheilmoitus, eikö? On mahdollista, että jos teet sitten tarkoituksella kirjoitusvirheen käyttäjätunnukseesi tai sähköpostiosoitteeseesi, verkkosivusto kertoo, että "tiliä, jolla on kyseinen sähköpostiosoite, ei ole olemassa" tai jotain vastaavaa. Näetkö näiden kahden virheilmoituksen eron? Verkkosivustot, jotka tekevät tämän, ovat alttiina tilien laskemiselle tai tilien keräämiselle. Yksinkertaisesti sanottuna tarjoamalla kaksi erilaista virheilmoitusta kahdelle eri skenaariolle on mahdollista määrittää, onko käyttäjätunnuksella tai sähköpostiosoitteella kelvollinen tili palvelussa vai ei.

Tällainen ongelma voidaan tunnistaa monella eri tavalla. Yllä oleva kahden eri virheilmoituksen skenaario on melko näkyvä. Se on myös helppo korjata, anna vain yleinen virheilmoitus molemmissa tapauksissa. Jotain esimerkiksi "Antamasi käyttäjätunnus tai salasana oli virheellinen".

Muita tapoja, joilla tilejä voidaan kerätä, ovat salasanan palautuslomakkeet. Mahdollisuus palauttaa tilisi, jos unohdat salasanasi, on kätevää. Huonosti suojattu verkkosivusto saattaa kuitenkin jälleen näyttää kaksi eri viestiä riippuen siitä, onko käyttäjätunnus, jolle yritit lähettää salasanan palautuksen, olemassa. Kuvittele: "Tiliä ei ole olemassa" ja "Salasana palautettu, tarkista sähköpostisi". Tässäkin skenaariossa on mahdollista määrittää, onko tili olemassa, vertaamalla vastauksia. Ratkaisu on myös sama. Anna yleinen vastaus, esimerkiksi: "Salasanan vaihtosähköposti on lähetetty", vaikka sähköpostitiliä ei olisi lähetettäväksi.

Hienovaraisuus tilien keräämisessä

Molemmat edellä mainitut menetelmät ovat jonkin verran äänekkäitä niiden jalanjäljen suhteen. Jos hyökkääjä yrittää suorittaa jompaakumpaa hyökkäystä mittakaavassa, se näkyy melko helposti periaatteessa missä tahansa lokijärjestelmässä. Salasanan palautusmenetelmä lähettää myös sähköpostin mille tahansa todella olemassa olevalle tilille. Ääneä oleminen ei ole paras idea, jos yrität olla luja.

Jotkut verkkosivustot mahdollistavat suoran vuorovaikutuksen tai näkyvyyden. Tässä tapauksessa yksinkertaisesti selaamalla verkkosivustoa voit kerätä kaikkien käyttämiesi tilien näyttönimet. Näyttönimi voi usein olla käyttäjänimi. Monissa muissa tapauksissa se voi antaa suuren vihjeen siitä, mitä käyttäjänimiä arvata, koska ihmiset käyttävät yleensä nimiensä muunnelmia sähköpostiosoitteissaan. Tämäntyyppinen tilien kerääminen on vuorovaikutuksessa palvelun kanssa, mutta sitä ei käytännössä voi erottaa tavallisesta käytöstä, joten se on paljon hienovaraisempaa.

Hieno tapa olla hienovarainen on olla koskematta hyökkäyksen kohteena olevaan verkkosivustoon. Jos hyökkääjä yritti päästä vain työntekijöille tarkoitetulle yrityksen verkkosivustolle, hän saattaa pystyä tekemään juuri sen. Sen sijaan, että he tarkistaisivat itse sivustolta käyttäjien luettelointiongelmia, he voivat mennä muualle. Troolaamalla Facebookin, Twitterin ja erityisesti LinkedInin kaltaisia ​​sivustoja voidaan saada aika hyvä lista yrityksen työntekijöistä. Jos hyökkääjä pystyy sitten määrittämään yrityksen sähköpostimuodon, kuten [email protected], hän voi itse asiassa kerätä suuren määrän tilejä muodostamatta koskaan yhteyttä verkkosivustoon, jolle aikoo hyökätä heidän kanssaan.

Kumpaakaan näistä tilien keräämistekniikoista vastaan ​​voidaan tehdä vähän. Ne ovat vähemmän luotettavia kuin ensimmäiset menetelmät, mutta niitä voidaan käyttää tiedottamaan aktiivisemmista tilien luettelointimenetelmistä.

Paholainen on yksityiskohdissa

Yleinen virheilmoitus on yleensä ratkaisu aktiivisen tililuettelon estämiseen. Joskus kuitenkin pienet yksityiskohdat antavat pelin pois. Standardien mukaan verkkopalvelimet antavat tilakoodit vastatessaan pyyntöihin. 200 on tilakoodi "OK", mikä tarkoittaa onnistumista, ja 501 on "sisäinen palvelinvirhe". Verkkosivustolla tulee olla yleinen viesti, joka osoittaa, että salasanan vaihto on lähetetty, vaikka se ei todellakaan olisi tapahtunut, koska annetulla käyttäjänimellä tai sähköpostiosoitteella ei ollut tiliä. Joissakin tapauksissa palvelin lähettää silti 501-virhekoodin, vaikka verkkosivusto näyttää onnistuneen viestin. Yksityiskohtiin kiinnittävälle hyökkääjälle tämä riittää kertomaan, onko tili todella olemassa vai ei.

Kun kyse on käyttäjätunnuksista ja salasanoista, jopa aika voi vaikuttaa. Verkkosivuston on tallennettava salasanasi, mutta salasanan hajautus on tavallinen käytäntö, jotta se ei vuotaisi, jos ne ovat vaarantuneet tai jos niissä on vilpillinen sisäpiiriläinen. Salaustiiviste on yksisuuntainen matemaattinen funktio, joka antaa saman syötteen aina saman tulosteen, mutta jos yksikin merkki syötteessä muuttuu, koko tulos muuttuu kokonaan. Tallentamalla hajautustuloksen, tiivistämällä lähettämäsi salasanan ja vertaamalla tallennettua tiivistettä on mahdollista varmistaa, että annoit oikean salasanan tietämättä koskaan salasanaasi.

Yksityiskohtien yhdistäminen

Hyvien hajautusalgoritmien valmistuminen kestää jonkin aikaa, tyypillisesti alle sekunnin kymmenesosan. Tämä riittää vaikeuttamaan raa'an voiman käyttöä, mutta ei niin kauan olemaan raskasta, kun vain yksi tarkistaa yhden arvon. Web-sivuston suunnittelijalle saattaa olla houkuttelevaa lyödä kulma ja olla vaivautumatta tiivistämään salasanaa, jos käyttäjätunnusta ei ole olemassa. Tarkoitan, siinä ei ole mitään järkeä, koska sitä ei voi verrata mihinkään. Ongelma on aika.

Verkkopyynnöt näkevät vastauksen yleensä muutamassa kymmenessä tai jopa sadassa millisekunnissa. Jos salasanan hajautusprosessi kestää 100 millisekuntia ja kehittäjä ohittaa sen… se voi olla havaittavissa. Tässä tapauksessa sellaisen tilin todennuspyyntö, jota ei ole olemassa, saa vastauksen noin 50 ms:ssa viestintäviiveen vuoksi. Todennuspyyntö kelvolliselle tilille virheellisellä salasanalla voi kestää noin 150 ms. Tämä sisältää tiedonsiirtoviiveen sekä 100 ms, kun palvelin tiivistää salasanan. Pelkästään tarkistamalla, kuinka kauan vastauksen palautuminen kesti, hyökkääjä voi määrittää melko luotettavalla tarkkuudella, onko tili olemassa vai ei.

Yksityiskohtaiset luettelointimahdollisuudet, kuten nämä kaksi, voivat olla yhtä tehokkaita kuin ilmeisemmät menetelmät kelvollisten käyttäjätilien keräämiseen.

Tilin keräämisen vaikutukset

Pääsääntöisesti tilin tunnistaminen sivustolla ei välttämättä vaikuta liian suurelta ongelmalta. Hyökkääjä ei päässyt käyttämään tiliä tai mitään. Ongelmat ovat yleensä hieman laajempia. Käyttäjätunnukset ovat yleensä joko sähköpostiosoitteita tai pseudonyymejä tai perustuvat oikeisiin nimiin. Oikea nimi voidaan helposti yhdistää henkilöön. Yksittäinen henkilö käyttää usein uudelleen sekä sähköpostiosoitteita että pseudonyymejä, jolloin ne voidaan yhdistää tiettyyn henkilöön.

Kuvittele siis, jos hyökkääjä voi todeta, että sähköpostiosoitteellasi on tili avioeroasianajajien verkkosivustolla. Entä verkkosivustolla, joka käsittelee markkinarakoja poliittisia näkemyksiä tai erityisiä terveysolosuhteita. Sellainen voi todella vuotaa sinusta arkaluonteisia tietoja. Tietoja, joita et ehkä halua sieltä.

Lisäksi monet ihmiset käyttävät edelleen salasanoja useilla verkkosivustoilla. Tämä siitä huolimatta, että melkein kaikki ovat tietoisia turvaohjeista käyttää yksilöllisiä salasanoja kaikkeen. Jos sähköpostiosoitteesi liittyy suureen tietoturvaloukkaukseen, on mahdollista, että salasanasi tiiviste saattaa sisältyä kyseiseen tietomurtoon. Jos hyökkääjä pystyy arvaamaan salasanasi raa'alla voimalla, hän saattaa yrittää käyttää sitä muualla. Siinä vaiheessa hyökkääjä tietää sähköpostiosoitteesi ja salasanasi, jota saatat käyttää. Jos he voivat luetella tilejä sivustolla, jossa sinulla on tili, he voivat yrittää kyseistä salasanaa. Jos olet käyttänyt salasanaa uudelleen kyseisellä sivustolla, hyökkääjä voi päästä tilillesi. Tästä syystä on suositeltavaa käyttää yksilöllisiä salasanoja kaikessa.

Johtopäätös

Tilin kerääminen, jota kutsutaan myös tilien luetteloimiseksi, on turvallisuusongelma. Tilien luettelointihaavoittuvuuden avulla hyökkääjä voi määrittää, onko tili olemassa vai ei. Tietojen paljastamisen haavoittuvuuden vuoksi sen suora vaikutus ei välttämättä ole vakava. Ongelmana on, että yhdistettynä muuhun tietoon tilanne voi pahentua paljon. Tämä voi johtaa siihen, että arkaluonteiset tai yksityiset tiedot voidaan yhdistää tiettyyn henkilöön. Sitä voidaan käyttää myös yhdessä kolmannen osapuolen tietomurtojen kanssa saadakseen pääsyn tileille.

Verkkosivustolla ei myöskään ole oikeutettua syytä vuotaa näitä tietoja. Jos käyttäjä tekee virheen joko käyttäjätunnuksessaan tai salasanassaan, hänen on tarkistettava vain kaksi asiaa nähdäkseen, missä hän teki virheen. Tililuettelon haavoittuvuuksien aiheuttama riski on paljon suurempi kuin se erittäin vähäinen hyöty, jonka ne voivat tarjota käyttäjätunnuksessa tai salasanassa kirjoitusvirheen tehneelle käyttäjälle.