Mi az a fiókbegyűjtés?

Az adatszivárgásnak sokféle típusa létezik. Némelyik hatalmas időt, tervezést és erőfeszítést igényel a támadó részéről. Ez megnyilvánulhat a rendszer működésének megismerésében, mielőtt meggyőző adathalász üzenetet készítene, és elküldené azt egy olyan alkalmazottnak, akinek elegendő hozzáférése van ahhoz, hogy a támadó kényes részleteket lopjon el. Ez a fajta támadás hatalmas mennyiségű adatvesztéshez vezethet. A forráskód és a vállalati adatok közös célpontok. Az egyéb célpontok közé tartoznak a felhasználói adatok, például a felhasználónevek, jelszavak, fizetési adatok, valamint a személyazonosításra alkalmas adatok, például társadalombiztosítási számok és telefonszámok.

Néhány támadás azonban közel sem olyan bonyolult. El kell ismerni, hogy nincs is olyan nagy hatással minden érintettre. Ez azonban nem jelenti azt, hogy nem jelentenek problémát. Az egyik példa a számlagyűjtés vagy a számlafelsorolás.

Számlaszámlálás

Próbált már bejelentkezni egy webhelyre, csak azért, hogy közölje, hogy rossz a jelszava? Ez inkább egy konkrét hibaüzenet, nem? Lehetséges, hogy ha szándékosan elgépeli a felhasználónevét vagy az e-mail címét, akkor a webhely azt fogja mondani, hogy „nem létezik fiók ezzel az e-mail címmel” vagy valami ehhez hasonló. Látja a különbséget a két hibaüzenet között? Azokat a webhelyeket, amelyek ezt teszik, ki vannak téve a fiókszámlálásnak vagy a számlagyűjtésnek. Egyszerűen fogalmazva, ha két különböző hibaüzenetet ad meg a két különböző forgatókönyvhöz, akkor meg lehet határozni, hogy egy felhasználónév vagy e-mail cím rendelkezik-e érvényes fiókkal a szolgáltatásban vagy sem.

Az ilyen jellegű problémákat sokféleképpen lehet azonosítani. A két különböző hibaüzenet fenti forgatókönyve meglehetősen jól látható. Ez is könnyen javítható, egyszerűen adjon meg egy általános hibaüzenetet mindkét esetben. Valami ilyesmi: „A megadott felhasználónév vagy jelszó helytelen volt”.

A fiókok gyűjtésének egyéb módjai közé tartozik a jelszó-visszaállítási űrlap. Ha elfelejti jelszavát, hasznos lehet fiókja helyreállítása. Egy rosszul védett webhely azonban ismét két különböző üzenetet jeleníthet meg attól függően, hogy létezik-e az a felhasználónév, amelyhez jelszó-visszaállítást próbált küldeni. Képzelje el: „Fiók nem létezik” és „Jelszó visszaállítása elküldve, ellenőrizze e-mailjeit”. Ebben a forgatókönyvben is a válaszok összehasonlításával megállapítható, hogy létezik-e fiók. A megoldás is ugyanaz. Adjon meg egy általános választ, például: „Jelszó-visszaállítási e-mailt küldtünk”, még akkor is, ha nincs e-mail fiók, amelyre elküldhetné.

Finomság a számlagyűjtésben

Mindkét fenti módszer kissé hangos a lábnyomukat tekintve. Ha egy támadó megpróbálja végrehajtani bármelyik támadást nagy léptékben, akkor az gyakorlatilag bármilyen naplózó rendszerben könnyen megjelenik. A jelszó-visszaállítási módszer kifejezetten e-mailt küld bármely ténylegesen létező fióknak. A hangoskodás nem a legjobb ötlet, ha alattomos akar lenni.

Egyes webhelyek közvetlen felhasználói interakciót vagy láthatóságot tesznek lehetővé. Ebben az esetben egyszerűen a webhely böngészésével összegyűjtheti az összes használt fiók képernyőnevét. A képernyőnév gyakran a felhasználónév is lehet. Sok más esetben jó tippet adhat arra vonatkozóan, hogy milyen felhasználóneveket kell kitalálni, mivel az emberek általában nevük változatait használják e-mail-címeikben. Az ilyen típusú fiókgyűjtés kölcsönhatásba lép a szolgáltatással, de lényegében megkülönböztethetetlen a szokásos használattól, és így sokkal finomabb.

A finomkodás nagyszerű módja, ha soha nem érinti meg a támadott webhelyet. Ha egy támadó egy csak alkalmazottak számára fenntartott vállalati webhelyhez próbált hozzáférni, akkor pontosan ezt teheti. Ahelyett, hogy magát a webhelyet ellenőriznék a felhasználók felsorolásával kapcsolatos problémák miatt, máshová is fordulhatnak. Az olyan oldalak, mint a Facebook, Twitter és különösen a LinkedIn felkutatásával elég jó listát lehet összeállítani egy cég alkalmazottairól. Ha a támadó meg tudja határozni a vállalat e-mail-formátumát, például keresztnév.vezetékné[email protected], akkor valójában nagyszámú fiókot gyűjthet be anélkül, hogy valaha is csatlakozna ahhoz a webhelyhez, amelyet meg akar támadni velük.

E számlagyűjtési technikák közül keveset lehet tenni. Kevésbé megbízhatóak, mint az első módszerek, de felhasználhatók az aktívabb számlaszámlálási módszerek tájékoztatására.

Az ördög a részletekben rejlik

Az általános hibaüzenet általában a megoldás az aktív fiókszámlálás megakadályozására. Néha azonban az apró részletek adják a játékot. A szabványok szerint a webszerverek állapotkódokat adnak meg, amikor válaszolnak a kérésekre. A 200 az „OK” állapotkódja, ami sikert jelent, az 501 pedig „belső szerverhiba”. A webhelyen általános üzenetnek kell lennie, amely jelzi, hogy a rendszer jelszó-visszaállítást küld, még akkor is, ha ez valójában nem történt meg, mert nem volt fiók a megadott felhasználónévvel vagy e-mail címmel. Egyes esetekben a szerver továbbra is elküldi az 501-es hibakódot, még akkor is, ha a webhely sikeres üzenetet jelenít meg. A részletekre odafigyelő támadó számára ez elég ahhoz, hogy megmondja, a fiók valóban létezik-e vagy nem.

Amikor a felhasználónevekről és jelszavakról van szó, még az idő is szerepet játszhat. Egy webhelynek el kell tárolnia a jelszavát, de annak elkerülése érdekében, hogy feltörjék, vagy ha bennfentesek legyenek, a szokásos gyakorlat a jelszó kivonatolása. A kriptográfiai hash egy egyirányú matematikai függvény, amely ha ugyanazt a bemenetet adja, mindig ugyanazt a kimenetet adja, de ha a bemenet egyetlen karaktere is megváltozik, a teljes kimenet teljesen megváltozik. A kivonat kimenetének eltárolásával, majd a beküldött jelszó kivonatosításával és a tárolt hash összehasonlításával ellenőrizhető, hogy a helyes jelszót adta-e meg anélkül, hogy valaha is tudná a jelszavát.

A részletek összerakása

A jó kivonatolási algoritmusok végrehajtása némi időt vesz igénybe, általában kevesebb, mint egy tizedmásodperc. Ez elég ahhoz, hogy megnehezítse a brutális erőkifejtést, de nem olyan sokáig, hogy nehézkes legyen, ha csak egy értéket ellenőriz. csábító lehet egy webhelymérnök számára, hogy sarkon vágjon, és ne törődjön a jelszó kivonatával, ha a felhasználónév nem létezik. Úgy értem, nincs értelme, mivel nincs mihez hasonlítani. A probléma az idő.

A webes kérések általában néhány tíz vagy akár száz ezredmásodperc alatt látják a választ. Ha a jelszó-kivonatolási folyamat 100 ezredmásodpercig tart, és a fejlesztő kihagyja… ez észrevehető. Ebben az esetben egy nem létező fiók hitelesítési kérése nagyjából 50 ms-on belül választ kap a kommunikációs késleltetés miatt. Egy érvénytelen jelszóval rendelkező érvényes fiók hitelesítési kérése nagyjából 150 ms-ig tarthat, amely magában foglalja a kommunikációs késleltetést, valamint azt a 100 ms-ot, amíg a szerver kivonatolja a jelszót. Egyszerűen annak ellenőrzésével, hogy mennyi időbe telt a válasz visszaérkezése, a támadó meglehetősen megbízható pontossággal megállapíthatja, hogy létezik-e fiók vagy sem.

Az ehhez hasonló, részletorientált felsorolási lehetőségek ugyanolyan hatékonyak lehetnek, mint az érvényes felhasználói fiókok begyűjtésének kézenfekvőbb módszerei.

A számlagyűjtés hatásai

Első pillantásra nem tűnik túl nagy problémának annak meghatározása, hogy létezik-e fiók egy webhelyen, vagy sem. Nem mintha a támadó hozzáférhetett volna a fiókhoz vagy bármihez. A problémák általában egy kicsit szélesebb körűek. A felhasználónevek általában e-mail címek vagy álnevek, vagy valódi neveken alapulnak. A valódi név könnyen köthető egy személyhez. Mind az e-mail címeket, mind az álneveket általában egy személy újrafelhasználja, ami lehetővé teszi, hogy egy adott személyhez kötődjenek.

Tehát képzelje el, ha egy támadó meg tudja állapítani, hogy az Ön e-mail címének van fiókja egy válási ügyvédi webhelyen. Mi a helyzet egy olyan webhelyen, amely a szűkös politikai hovatartozásokról vagy konkrét egészségügyi állapotokról szól. Az ilyesmi valójában érzékeny információkat szivárogtathat ki Önről. Olyan információk, amelyeket esetleg nem szeretne odakint.

Ezenkívül sokan még mindig több webhelyen használják fel újra a jelszavakat. Ez annak ellenére van így, hogy nagyjából mindenki tisztában van a biztonsági tanácsokkal, hogy mindenhez egyedi jelszavakat kell használni. Ha az Ön e-mail-címe jelentős adatvédelmi incidensben érintett, előfordulhat, hogy a jelszó kivonatát is belefoglalják az incidensbe. Ha egy támadó képes nyers erővel kitalálni a jelszavát az adatszivárgásból, akkor megpróbálhatja máshol használni. Ekkor a támadó tudni fogja az Ön e-mail címét és jelszavát, amelyet esetleg használhat. Ha fel tudják sorolni a fiókokat egy olyan webhelyen, amelyen Ön rendelkezik fiókkal, megpróbálhatják ezt a jelszót. Ha újra felhasználta ezt a jelszót az adott webhelyen, akkor a támadó bejuthat az Ön fiókjába. Ezért ajánlatos mindenhez egyedi jelszavakat használni.

Következtetés

A számlagyűjtés, más néven számlaszámlálás biztonsági probléma. A fiókfelsorolási biztonsági rések lehetővé teszik a támadó számára, hogy megállapítsa, létezik-e fiók vagy sem. Az információ nyilvánosságra hozatalával kapcsolatos biztonsági résként annak közvetlen hatása nem feltétlenül súlyos. A probléma az, hogy más információkkal kombinálva a helyzet sokkal rosszabbá válhat. Ez azt eredményezheti, hogy érzékeny vagy személyes adatok egy adott személyhez köthetők. Harmadik féltől származó adatvédelmi incidensekkel együtt is használható a fiókokhoz való hozzáférés érdekében.

Arra sincs jogos indok, hogy egy webhely kiszivárogtassa ezeket az információkat. Ha egy felhasználó hibázik a felhasználónevében vagy a jelszavában, csak két dolgot kell ellenőriznie, hogy megtudja, hol követte el a hibát. A fiókszámlálási sebezhetőségek által okozott kockázat sokkal nagyobb, mint az a rendkívül csekély előny, amelyet a felhasználónévben vagy a jelszóban elgépelt felhasználó számára nyújthatnak.