Hvað er reikningsuppskera?

Það eru margar mismunandi gerðir af gagnabrotum. Sumt felur í sér gríðarlegan tíma, skipulagningu og fyrirhöfn af hálfu árásarmannsins. Þetta getur verið í formi þess að læra hvernig kerfi virkar áður en þú býrð til sannfærandi vefveiðaskilaboð og sendir þau til starfsmanns sem hefur nægan aðgang til að leyfa árásarmanninum að stela viðkvæmum upplýsingum. Slík árás getur leitt til mikils magns tapaðra gagna. Frumkóði og fyrirtækjagögn eru algeng skotmörk. Önnur markmið eru notendagögn eins og notendanöfn, lykilorð, greiðsluupplýsingar og PII eins og kennitölur og símanúmer.

Sumar árásir eru þó ekki nálægt því flóknar. Að vísu hafa þeir heldur ekki svo mikil áhrif á alla sem verða fyrir áhrifum. Það þýðir samt ekki að þau séu ekki vandamál. Eitt dæmi er kallað reikningsuppskera eða upptalning reikninga.

Reikningsupptalning

Hefur þú einhvern tíma reynt að skrá þig inn á vefsíðu eingöngu til að segja þér að lykilorðið þitt hafi verið rangt? Þetta eru frekar ákveðin villuboð, er það ekki? Það er mögulegt að ef þú gerir þá vísvitandi innsláttarvillu í notendanafni þínu eða netfangi að vefsíðan muni segja þér að "reikningur með þeim tölvupósti sé ekki til" eða eitthvað í þá áttina. Sérðu muninn á þessum tveimur villuboðum? Vefsíður sem gera þetta eru viðkvæmar fyrir upptalningu reikninga eða uppskeru reikninga. Einfaldlega sagt, með því að gefa upp tvö mismunandi villuboð fyrir tvær mismunandi aðstæður, er hægt að ákvarða hvort notendanafn eða netfang sé með gildan reikning hjá þjónustunni eða ekki.

Það eru margar mismunandi leiðir til að bera kennsl á svona vandamál. Ofangreind atburðarás tveggja mismunandi villuboðanna er nokkuð sýnileg. Það er líka auðvelt að laga, einfaldlega gefðu upp almenn villuboð fyrir bæði tilvikin. Eitthvað eins og „Notandanafnið eða lykilorðið sem þú slóst inn var rangt“.

Aðrar leiðir til að safna reikningum eru meðal annars eyðublöð fyrir endurstillingu lykilorðs. Að geta endurheimt reikninginn þinn ef þú gleymir lykilorðinu þínu er vel. En illa örugg vefsíða gæti þó aftur gefið tvö mismunandi skilaboð eftir því hvort notandanafnið sem þú reyndir að senda endurstillingu lykilorðs fyrir er til. Ímyndaðu þér: „Reikningur er ekki til“ og „Endurstilling lykilorðs sent, athugaðu tölvupóstinn þinn“. Aftur í þessari atburðarás er hægt að ákvarða hvort reikningur sé til með því að bera saman svörin. Lausnin er líka sú sama. Gefðu almennt svar, eitthvað eins og: „Tölvupóstur fyrir endurstillingu lykilorðs hefur verið sendur“ jafnvel þótt það sé enginn tölvupóstreikningur til að senda það á.

Fínleiki í reikningsuppskeru

Báðar ofangreindar aðferðir eru nokkuð háværar hvað varðar fótspor þeirra. Ef árásarmaður reynir að framkvæma aðra hvora árásina í mælikvarða mun það birtast nokkuð auðveldlega í í rauninni hvaða skógarhöggskerfi sem er. Aðferðin til að endurstilla lykilorð sendir einnig beinlínis tölvupóst á hvaða reikning sem er í raun og veru. Að vera hávær er ekki besta hugmyndin ef þú ert að reyna að vera lúmskur.

Sumar vefsíður leyfa bein notendaviðskipti eða sýnileika. Í þessu tilviki, einfaldlega með því að vafra um vefsíðuna, geturðu safnað skjánöfnum hvers reiknings sem þú rekst á. Skjánafnið getur oft verið notendanafnið. Í mörgum öðrum tilvikum getur það gefið stóra vísbendingu um hvaða notendanöfn á að giska á þar sem fólk notar venjulega afbrigði af nöfnum sínum í netföngum sínum. Þessi tegund reikningsuppskeru hefur samskipti við þjónustuna en er í meginatriðum óaðgreinanleg frá venjulegri notkun og er því miklu lúmskari.

Frábær leið til að vera lúmskur er að snerta aldrei vefsíðuna sem verður fyrir árás. Ef árásarmaður var að reyna að fá aðgang að fyrirtækjavefsíðu eingöngu fyrir starfsmenn gæti hann gert nákvæmlega það. Frekar en að skoða síðuna sjálfa fyrir notendatalningarvandamál geta þeir farið annað. Með því að trolla síður eins og Facebook, Twitter og sérstaklega LinkedIn er hægt að byggja upp nokkuð góðan lista yfir starfsmenn fyrirtækis. Ef árásarmaðurinn getur síðan ákvarðað tölvupóstsnið fyrirtækisins, eins og [email protected], þá geta þeir í raun safnað fjölda reikninga án þess að tengjast vefsíðunni sem þeir ætla að ráðast á með þeim.

Lítið er hægt að gera gegn annarri hvorri þessara reikningsuppskeruaðferða. Þær eru minna áreiðanlegar en fyrstu aðferðirnar en hægt er að nota þær til að upplýsa virkari aðferðir við upptalningu reikninga.

Djöfullinn er í smáatriðunum

Almenn villuskilaboð eru yfirleitt lausnin til að koma í veg fyrir virka reikningatalningu. Stundum eru það þó litlu smáatriðin sem gefa leikinn frá sér. Samkvæmt stöðlum veita vefþjónar stöðukóða þegar þeir svara beiðnum. 200 er stöðukóði fyrir „Í lagi“ sem þýðir árangur og 501 er „innri netþjónsvilla“. Vefsíða ætti að hafa almenn skilaboð sem gefa til kynna að endurstilling lykilorðs hafi verið send, jafnvel þótt það hafi ekki verið vegna þess að það var enginn reikningur með uppgefnu notandanafni eða netfangi. Í sumum tilfellum, þó að þjónninn muni samt senda 501 villukóðann, jafnvel þó að vefsíðan birti vel heppnuð skilaboð. Fyrir árásarmann sem gefur smáatriðum gaum er þetta nóg til að segja að reikningurinn sé raunverulega til eða sé ekki til.

Þegar kemur að notendanöfnum og lykilorðum getur jafnvel tíminn haft áhrif. Vefsíða þarf að geyma lykilorðið þitt, en til að koma í veg fyrir að það leki ef það er stefnt í hættu eða er með rangan innherja, þá er hefðbundin venja að hassa lykilorðið. Dulritunarhass er einhliða stærðfræðileg aðgerð sem ef sama inntak er gefið gefur alltaf sama úttak, en ef jafnvel einn stafur í inntakinu breytist þá breytist allt úttakið algjörlega. Með því að geyma úttakið af hassinu, hassaðu síðan lykilorðið sem þú sendir inn og bera saman vistað hassið er hægt að sannreyna að þú hafir sent inn rétt lykilorð án þess að vita í raun lykilorðið þitt.

Að setja smáatriðin saman

Góð kjötkássa reiknirit tekur nokkurn tíma að klára, venjulega innan við tíunda úr sekúndu. Þetta er nóg til að gera það erfitt að grófa afl en ekki svo lengi að vera ómeðhöndlað þegar þú aðeins einn til að athuga eitt gildi. það gæti verið freistandi fyrir vefsíðuverkfræðing að skera úr og nenna ekki að hassa lykilorðið ef notendanafnið er ekki til. Ég meina, það er enginn raunverulegur tilgangur þar sem það er ekkert að bera það saman við. Vandamálið er tíminn.

Vefbeiðnir sjá venjulega svar á nokkrum tugum eða jafnvel hundrað eða svo millisekúndum. Ef það tekur 100 millisekúndur að klára lykkjuferlið með lykilorði og verktaki sleppir því... getur það verið áberandi. Í þessu tilviki myndi auðkenningarbeiðni fyrir reikning sem er ekki til fá svar á u.þ.b. 50 ms vegna leynd samskipta. Auðkenningarbeiðni fyrir gildan reikning með ógildu lykilorði gæti tekið um það bil 150 ms, þetta felur í sér samskiptaleynd sem og 100 ms á meðan þjónninn hassar lykilorðið. Með því einfaldlega að athuga hversu langan tíma það tók fyrir svar að koma til baka getur árásarmaðurinn ákvarðað með nokkuð áreiðanlegri nákvæmni hvort reikningur sé til eða ekki.

Smáatriðismiðuð upptalningarmöguleikar eins og þessir tveir geta verið jafn áhrifaríkar og augljósari aðferðirnar til að safna gildum notendareikningum.

Áhrif reikningsuppskeru

Í augnablikinu virðist það ekki vera of mikið mál að geta greint hvort reikningur er til eða ekki til á vefsvæði. Það er ekki eins og árásarmaðurinn hafi getað fengið aðgang að reikningnum eða neitt. Vandamálin hafa tilhneigingu til að vera aðeins víðtækari. Notendanöfn hafa tilhneigingu til að vera annað hvort netföng eða dulnefni eða byggð á raunverulegum nöfnum. Raunverulegt nafn getur auðveldlega verið bundið við einstakling. Bæði netföng og dulnefni hafa einnig tilhneigingu til að vera endurnotuð af einum einstaklingi sem gerir þeim kleift að vera bundin við ákveðinn einstakling.

Svo, ímyndaðu þér hvort árásarmaður geti ákveðið að netfangið þitt sé með reikning á vefsíðu skilnaðarlögfræðinga. Hvað um á vefsíðu um sess stjórnmálatengsl, eða sérstakar heilsufar. Svona hlutur gæti í raun lekið einhverjum viðkvæmum upplýsingum um þig. Upplýsingar sem þú vilt kannski ekki þarna úti.

Ennfremur endurnota margir enn lykilorð á mörgum vefsíðum. Þetta er þrátt fyrir að nánast allir séu meðvitaðir um öryggisráðin um að nota einstök lykilorð fyrir allt. Ef netfangið þitt tekur þátt í stóru gagnabroti er hugsanlegt að hash lykilorðsins þíns sé innifalinn í því broti. Ef árásarmaður getur beitt ofbeldi til að giska á lykilorðið þitt út frá því gagnabroti, gæti hann reynt að nota það annars staðar. Á þeim tímapunkti myndi árásarmaður vita netfangið þitt og lykilorð sem þú gætir notað. Ef þeir geta talið upp reikninga á síðu sem þú ert með reikning á, gætu þeir reynt það lykilorð. Ef þú hefur endurnotað lykilorðið á þeirri síðu getur árásarmaðurinn komist inn á reikninginn þinn. Þess vegna er mælt með því að nota einstök lykilorð fyrir allt.

Niðurstaða

Uppskera reikninga, einnig nefnt upptalning reikninga, er öryggisvandamál. Varnarleysi við upptalningu reikninga gerir árásarmanni kleift að ákvarða hvort reikningur sé til eða ekki. Sem varnarleysi í upplýsingagjöf eru bein áhrif þess ekki endilega alvarleg. Vandamálið er að þegar það er blandað saman við aðrar upplýsingar getur ástandið versnað mikið. Þetta getur leitt til þess að hægt sé að binda viðkvæmar eða persónulegar upplýsingar við tiltekinn einstakling. Það er einnig hægt að nota ásamt gagnabrotum þriðja aðila til að fá aðgang að reikningum.

Það er heldur engin lögmæt ástæða fyrir vefsíðu til að leka þessum upplýsingum. Ef notandi gerir mistök í notandanafni sínu eða lykilorði þarf hann aðeins að athuga tvennt til að sjá hvar hann gerði mistökin. Áhættan af völdum veikleika í upptalningu reikninga er miklu meiri en sá afar smávægilegi ávinningur sem þeir geta veitt notanda sem gerði innsláttarvillu í notandanafni eða lykilorði.