Što je Account Harvesting?

Postoji mnogo različitih vrsta povreda podataka. Neki uključuju ogromne količine vremena, planiranja i truda od strane napadača. To može biti u obliku učenja kako sustav funkcionira prije izrade uvjerljive phishing poruke i slanja iste zaposleniku koji ima dovoljno pristupa da omogući napadaču krađu osjetljivih detalja. Ova vrsta napada može rezultirati velikom količinom izgubljenih podataka. Izvorni kod i podaci tvrtke česte su mete. Ostale mete uključuju korisničke podatke kao što su korisnička imena, lozinke, podaci o plaćanju i PII kao što su brojevi socijalnog osiguranja i telefonski brojevi.

Neki napadi ipak nisu ni blizu tako komplicirani. Doduše, oni također nemaju tako velik utjecaj na sve pogođene. To ipak ne znači da oni nisu problem. Jedan primjer se zove prikupljanje računa ili popis računa.

Popisivanje računa

Jeste li se ikada pokušali prijaviti na web mjesto samo da bi vam rekli da je vaša lozinka pogrešna? To je prilično specifična poruka o pogrešci, zar ne? Moguće je da će vam web-mjesto reći da "račun s tom e-poštom ne postoji" ili nešto slično, ako tada namjerno pogriješite u svom korisničkom imenu ili adresi e-pošte. Vidite li razliku između te dvije poruke pogreške? Web-mjesta koja to čine osjetljiva su na popis računa ili prikupljanje računa. Jednostavno rečeno, pružanjem dvije različite poruke o pogrešci za dva različita scenarija, moguće je utvrditi ima li korisničko ime ili adresa e-pošte važeći račun na usluzi ili ne.

Postoji mnogo različitih načina na koje se ova vrsta problema može identificirati. Gornji scenarij dviju različitih poruka o pogrešci prilično je vidljiv. Također je lako popraviti, jednostavno navedite generičku poruku o pogrešci za oba slučaja. Nešto poput "Uneseno korisničko ime ili zaporka nisu točni".

Ostali načini na koje se računi mogu prikupiti uključuju obrasce za ponovno postavljanje lozinke. Mogućnost oporavka računa ako zaboravite lozinku je zgodna. Loše osigurana web-stranica ipak može ponuditi dvije različite poruke, ovisno o tome postoji li korisničko ime za koje ste pokušali poslati poništavanje zaporke. Zamislite: “Račun ne postoji” i “Poništavanje lozinke je poslano, provjerite svoju e-poštu”. I u ovom scenariju, moguće je utvrditi postoji li račun usporedbom odgovora. Rješenje je također isto. Navedite generički odgovor, nešto poput: "Poslana je e-pošta za ponovno postavljanje lozinke", čak i ako ne postoji račun e-pošte na koji je možete poslati.

Suptilnost prikupljanja računa

Obje gore navedene metode su donekle glasne u smislu svog otiska. Ako napadač pokuša izvršiti bilo koji napad u velikom obimu, to će se vrlo lako pojaviti u gotovo svakom sustavu za bilježenje. Metoda ponovnog postavljanja lozinke također eksplicitno šalje e-poštu na bilo koji račun koji stvarno postoji. Biti glasan nije najbolja ideja ako pokušavate biti lukavi.

Neke web stranice dopuštaju izravnu interakciju ili vidljivost korisnika. U ovom slučaju, jednostavnim pregledavanjem web stranice možete prikupiti zaslonska imena svakog računa na koji naiđete. Zaslon često može biti korisničko ime. U mnogim drugim slučajevima, može dati veliki nagovještaj o tome koja korisnička imena treba pogoditi jer ljudi obično koriste varijacije svojih imena u svojim adresama e-pošte. Ova vrsta prikupljanja računa je u interakciji s uslugom, ali se u biti ne razlikuje od standardne upotrebe, pa je puno suptilnija.

Sjajan način da budete suptilni je da uopće ne dodirnete web stranicu koja je napadnuta. Ako je napadač pokušavao dobiti pristup korporativnoj web stranici samo za zaposlenike, mogao bi učiniti upravo to. Umjesto da provjeravaju samo mjesto za probleme s popisom korisnika, mogu otići negdje drugdje. Pretragom stranica poput Facebooka, Twittera, a posebno LinkedIna moguće je napraviti prilično dobar popis zaposlenika tvrtke. Ako napadač tada može odrediti format e-pošte tvrtke, kao što je [email protected], tada zapravo može prikupiti veliki broj računa bez povezivanja na web mjesto koje namjerava napasti s njima.

Malo se može učiniti protiv bilo koje od ovih tehnika prikupljanja računa. One su manje pouzdane od prvih metoda, ali se mogu koristiti za informiranje o aktivnijim metodama popisivanja računa.

Vrag je u detaljima

Generička poruka o pogrešci općenito je rješenje za sprječavanje aktivnog popisivanja računa. Ipak, ponekad su sitni detalji ti koji odaju igru. Prema standardima, web poslužitelji daju statusne kodove kada odgovaraju na zahtjeve. 200 je statusni kod za "OK" što znači uspjeh, a 501 je "interna pogreška poslužitelja". Web-mjesto bi trebalo imati generičku poruku koja pokazuje da je poslana poništavanje zaporke, čak i ako zapravo nije jer nije postojao račun s navedenim korisničkim imenom ili adresom e-pošte. U nekim će slučajevima poslužitelj i dalje poslati kod pogreške 501, čak i ako web-mjesto prikaže poruku o uspješnosti. Napadaču koji pazi na detalje to je dovoljno da kaže da račun stvarno postoji ili ne postoji.

Kada je riječ o korisničkim imenima i lozinkama, čak i vrijeme može igrati faktor. Web-mjesto mora pohraniti vašu zaporku, ali kako bi se izbjeglo njezino curenje u slučaju da je ugrožena ili ima lažnog insajdera, standardna praksa je raspršivanje lozinke. Kriptografski raspršivač je jednosmjerna matematička funkcija koja ako joj se da isti ulaz uvijek daje isti izlaz, ali ako se čak i jedan znak u unosu promijeni, cijeli se izlaz potpuno mijenja. Pohranjivanjem rezultata raspršivanja, zatim raspršivanjem lozinke koju pošaljete i usporedbom pohranjenog raspršivanja moguće je potvrditi da ste poslali ispravnu zaporku, a da uopće ne znate svoju lozinku.

Sastavljanje detalja

Dobrim algoritmima raspršivanja potrebno je neko vrijeme da se završe, obično manje od desetinke sekunde. Ovo je dovoljno da oteža brute force, ali ne tako dugo da bude nezgrapno kada samo jedan provjerite jednu vrijednost. moglo bi biti primamljivo za inženjera web stranice da skrene korak i ne trudi se raspršiti lozinku ako korisničko ime ne postoji. Mislim, nema smisla jer se nema s čime usporediti. Problem je vrijeme.

Web zahtjevi obično dobiju odgovor za nekoliko desetaka ili čak stotinjak milisekundi. Ako proces raspršivanja zaporke traje 100 milisekundi da se dovrši, a programer ga preskoči... to može biti vidljivo. U ovom slučaju, zahtjev za autentifikaciju za račun koji ne postoji dobio bi odgovor za otprilike 50 ms zbog kašnjenja komunikacije. Zahtjev za autentifikaciju za važeći račun s nevažećom lozinkom može potrajati otprilike 150 ms, što uključuje latenciju komunikacije kao i 100 ms dok poslužitelj hashira lozinku. Jednostavnom provjerom koliko je vremena trebalo da se odgovor vrati, napadač može s prilično pouzdanom točnošću utvrditi postoji li račun ili ne.

Detaljno orijentirane mogućnosti nabrajanja poput ove dvije mogu biti jednako učinkovite kao i očiglednije metode prikupljanja valjanih korisničkih računa.

Učinci sakupljanja računa

Na prvi pogled, mogućnost prepoznavanja postoji li račun ili ne postoji na web-mjestu možda se ne čini kao preveliki problem. Nije da je napadač uspio dobiti pristup računu ili tako nešto. Problemi su malo šireg opsega. Korisnička imena obično su ili adrese e-pošte ili pseudonimi ili temeljena na pravim imenima. Pravo ime se lako može vezati za pojedinca. I adrese e-pošte i pseudonimi također imaju tendenciju da ih ponovno koristi jedan pojedinac što im omogućuje da budu vezani za određenu osobu.

Dakle, zamislite da napadač može utvrditi da vaša adresa e-pošte ima račun na web stranici odvjetnika za razvode. Što je s web-stranicom o nišnim političkim vezama ili specifičnim zdravstvenim stanjima. Takve stvari bi zapravo mogle procuriti neke osjetljive informacije o vama. Informacije koje možda ne želite vani.

Nadalje, mnogi ljudi još uvijek koriste lozinke na više web stranica. To je unatoč tome što su skoro svi upoznati sa sigurnosnim savjetima za korištenje jedinstvenih lozinki za sve. Ako je vaša adresa e-pošte uključena u kršenje velikih podataka, moguće je da je hash vaše zaporke uključen u tu povredu. Ako napadač može upotrijebiti grubu silu da pogodi vašu zaporku iz te povrede podataka, može je pokušati upotrijebiti negdje drugdje. U tom trenutku napadač bi znao vašu adresu e-pošte i lozinku koju biste mogli koristiti. Ako mogu nabrojati račune na web-mjestu na kojem imate račun, mogu pokušati s tom zaporkom. Ako ste ponovno upotrijebili tu zaporku na tom mjestu, napadač može ući u vaš račun. Zbog toga se preporučuje korištenje jedinstvenih lozinki za sve.

Zaključak

Prikupljanje računa, koje se naziva i popisom računa, sigurnosni je problem. Ranjivost popisivanja računa omogućuje napadaču da utvrdi postoji li račun ili ne. Kao ranjivost otkrivanja informacija, njezin izravni učinak nije nužno ozbiljan. Problem je u tome što se u kombinaciji s drugim informacijama situacija može znatno pogoršati. To može rezultirati postojanjem osjetljivih ili privatnih podataka koji se mogu povezati s određenom osobom. Također se može koristiti u kombinaciji s povredama podataka trećih strana kako bi se dobio pristup računima.

Također ne postoji legitiman razlog za curenje ovih informacija s web stranice. Ako korisnik pogriješi u korisničkom imenu ili lozinci, mora provjeriti samo dvije stvari kako bi vidio gdje je pogriješio. Rizik uzrokovan ranjivostima popisivanja računa puno je veći od iznimno male koristi koju mogu pružiti korisniku koji je pogriješio u korisničkom imenu ili lozinci.