Kas ir konta ievākšana?

Ir daudz dažādu datu pārkāpumu veidu. Dažos gadījumos uzbrucējs prasa daudz laika, plānošanas un pūļu. Tas var izpausties kā sistēmas darbības apguve, pirms tiek izstrādāts pārliecinošs pikšķerēšanas ziņojums un nosūtīts to darbiniekam, kuram ir pietiekama piekļuve, lai ļautu uzbrucējam nozagt sensitīvu informāciju. Šāda veida uzbrukums var izraisīt milzīgu datu zudumu. Avota kods un uzņēmuma dati ir kopīgi mērķi. Citi mērķi ietver lietotāju datus, piemēram, lietotājvārdus, paroles, maksājumu informāciju un PII, piemēram, sociālās apdrošināšanas numurus un tālruņu numurus.

Tomēr daži uzbrukumi nav tik sarežģīti. Jāatzīst, ka tiem nav arī tik liela ietekme uz visiem skartajiem. Tomēr tas nenozīmē, ka tie nav problēma. Viens piemērs tiek saukts par kontu ievākšanu vai kontu uzskaitīšanu.

Kontu uzskaite

Vai esat kādreiz mēģinājis pierakstīties vietnē, lai tā paziņotu, ka jūsu parole ir nepareiza? Tas drīzāk ir īpašs kļūdas ziņojums, vai ne? Iespējams, ja jūs apzināti ievadīsit drukas kļūdu savā lietotājvārdā vai e-pasta adresē, vietne jums paziņos, ka “konts ar šo e-pasta adresi neeksistē” vai kaut kas tamlīdzīgs. Vai redzat atšķirību starp šiem diviem kļūdu ziņojumiem? Vietnes, kas to dara, ir neaizsargātas pret kontu uzskaitīšanu vai kontu ievākšanu. Vienkārši sakot, nodrošinot divus dažādus kļūdu ziņojumus diviem dažādiem scenārijiem, ir iespējams noteikt, vai lietotājvārdam vai e-pasta adresei ir derīgs pakalpojuma konts.

Šāda veida problēmu var noteikt dažādos veidos. Iepriekš minētais divu dažādu kļūdu ziņojumu scenārijs ir diezgan redzams. To ir arī viegli salabot, vienkārši sniedziet vispārīgu kļūdas ziņojumu abos gadījumos. Kaut kas līdzīgs “Ievadītais lietotājvārds vai parole bija nepareiza”.

Citi veidi, kā kontus var iegūt, ietver paroles atiestatīšanas veidlapas. Ir ērta iespēja atgūt savu kontu, ja esat aizmirsis paroli. Slikti aizsargāta vietne tomēr var atkal sniegt divus dažādus ziņojumus atkarībā no tā, vai lietotājvārds, kuram mēģinājāt nosūtīt paroles atiestatīšanu, pastāv. Iedomājieties: “Konts neeksistē” un “Paroles atiestatīšana ir nosūtīta, pārbaudiet savu e-pastu”. Arī šajā gadījumā ir iespējams noteikt, vai konts pastāv, salīdzinot atbildes. Arī risinājums ir tāds pats. Sniedziet vispārīgu atbildi, piemēram: “Paroles atiestatīšanas e-pasts ir nosūtīts”, pat ja nav e-pasta konta, uz kuru to nosūtīt.

Konta novākšanas smalkums

Abas iepriekš minētās metodes ir nedaudz skaļas to nospieduma ziņā. Ja uzbrucējs mēģina veikt jebkuru uzbrukumu lielā mērogā, tas diezgan viegli parādīsies būtībā jebkurā reģistrēšanas sistēmā. Paroles atiestatīšanas metode arī skaidri nosūta e-pasta ziņojumu uz jebkuru kontu, kas faktiski pastāv. Skaļi nav labākā ideja, ja mēģināt būt viltīgs.

Dažas vietnes nodrošina tiešu lietotāja mijiedarbību vai redzamību. Šajā gadījumā, vienkārši pārlūkojot vietni, varat apkopot katra konta segvārdus. Ekrāna vārds bieži var būt lietotājvārds. Daudzos citos gadījumos tas var dot lielu mājienu par to, kādus lietotājvārdus uzminēt, jo cilvēki savās e-pasta adresēs parasti izmanto savu vārdu variācijas. Šāda veida kontu apkopošana mijiedarbojas ar pakalpojumu, taču būtībā to nevar atšķirt no standarta lietojuma, un tāpēc tā ir daudz smalkāka.

Lielisks veids, kā būt smalkam, ir nekad nepieskarties vietnei, kurai tiek uzbrukts. Ja uzbrucējs mēģinātu piekļūt tikai darbiniekiem paredzētai korporatīvai vietnei, iespējams, viņš varētu to izdarīt. Tā vietā, lai pašā vietnē pārbaudītu lietotāju uzskaitīšanas problēmas, viņi var doties citur. Izmantojot tādas vietnes kā Facebook, Twitter un jo īpaši LinkedIn, var izveidot diezgan labu uzņēmuma darbinieku sarakstu. Ja uzbrucējs pēc tam var noteikt uzņēmuma e-pasta formātu, piemēram, vārds.uzvā[email protected], viņš faktiski var iegūt lielu skaitu kontu, nekad neveidojot savienojumu ar vietni, kurā plāno uzbrukt.

Pret kādu no šiem kontu vākšanas paņēmieniem var izdarīt maz. Tās ir mazāk uzticamas nekā pirmās metodes, taču tās var izmantot, lai informētu par aktīvākām kontu uzskaites metodēm.

Velns slēpjas detaļās

Vispārīgs kļūdas ziņojums parasti ir risinājums, lai novērstu aktīvu kontu uzskaitīšanu. Tomēr dažreiz tās ir sīkās detaļas, kas piešķir spēli. Pēc standartiem tīmekļa serveri nodrošina statusa kodus, atbildot uz pieprasījumiem. 200 ir “OK” statusa kods, kas nozīmē panākumus, un 501 ir “iekšēja servera kļūda”. Vietnei ir jābūt vispārīgam ziņojumam, kas norāda, ka paroles atiestatīšana ir nosūtīta, pat ja tā patiesībā nenotika, jo nebija konta ar norādīto lietotājvārdu vai e-pasta adresi. Dažos gadījumos serveris joprojām nosūtīs kļūdas kodu 501, pat ja vietnē tiek parādīts veiksmīgs ziņojums. Uzbrucējam, kurš pievērš uzmanību detaļām, tas ir pietiekami, lai pateiktu, vai konts patiešām pastāv vai neeksistē.

Runājot par lietotājvārdiem un parolēm, pat laikam var būt nozīme. Vietnei ir jāsaglabā jūsu parole, taču, lai izvairītos no tās nopludināšanas, ja tā ir uzlauzta vai tajā ir ļaunprātīga informācija, standarta prakse ir paroles jaukšana. Kriptogrāfiskā jaucējfunkcija ir vienvirziena matemātiska funkcija, kas, ja tiek dota viena un tā pati ievade, vienmēr dod vienu un to pašu izvadi, bet, ja ievadē mainās pat viena rakstzīme, visa izvade mainās pilnībā. Saglabājot jaucējfaila izvadi, pēc tam sajaucot jūsu iesniegto paroli un salīdzinot saglabāto jaucējkodu, ir iespējams pārbaudīt, vai esat iesniedzis pareizo paroli, nezinot savu paroli.

Detaļu salikšana kopā

Labu jaukšanas algoritmu izpildei nepieciešams zināms laiks, parasti mazāk nekā sekundes desmitdaļa. Tas ir pietiekami, lai apgrūtinātu brutālu spēku, bet ne tik ilgi, lai būtu smagnēja, ja tikai viens pārbaudīt vienu vērtību. vietņu inženierim varētu būt vilinoši nogriezt stūri un neuztraukties par paroles jaukšanu, ja lietotājvārds neeksistē. Es domāju, ka nav īsti jēgas, jo nav ar ko to salīdzināt. Problēma ir laiks.

Tīmekļa pieprasījumi parasti saņem atbildi dažu desmitu vai pat simts milisekundēs. Ja paroles jaukšanas process aizņem 100 milisekundes un izstrādātājs to izlaiž… tas var būt pamanāms. Šādā gadījumā autentifikācijas pieprasījums kontam, kas neeksistē, saņemtu atbildi aptuveni 50 ms laikā sakaru latentuma dēļ. Autentifikācijas pieprasījums derīgam kontam ar nederīgu paroli var ilgt aptuveni 150 ms, tostarp saziņas latentumu, kā arī 100 ms, kamēr serveris sajauc paroli. Vienkārši pārbaudot, cik ilgs laiks bija nepieciešams, līdz atbilde atgriezās, uzbrucējs var diezgan droši noteikt, vai konts pastāv.

Detalizēti orientētas uzskaitīšanas iespējas, piemēram, šīs divas, var būt tikpat efektīvas kā acīmredzamākas derīgu lietotāju kontu iegūšanas metodes.

Konta vākšanas ietekme

No pirmā acu uzmetiena var šķist, ka iespēja noteikt, vai vietnē pastāv konts vai neeksistē, nešķiet pārāk liela problēma. Nav tā, ka uzbrucējs varēja piekļūt kontam vai kaut kam citam. Problēmas mēdz būt nedaudz plašākas. Lietotājvārdi parasti ir e-pasta adreses vai pseidonīmi, vai arī tie ir balstīti uz īstiem vārdiem. Īstu vārdu var viegli saistīt ar personu. Gan e-pasta adreses, gan pseidonīmus mēdz atkārtoti izmantot arī viena persona, ļaujot tos saistīt ar konkrētu personu.

Tātad, iedomājieties, vai uzbrucējs var noteikt, ka jūsu e-pasta adresei ir konts laulības šķiršanas advokātu vietnē. Kas par tīmekļa vietni par nišas politisko piederību vai īpašiem veselības stāvokļiem. Šāda veida lietas faktiski var nopludināt sensitīvu informāciju par jums. Informācija, ko jūs, iespējams, nevēlaties.

Turklāt daudzi cilvēki joprojām atkārtoti izmanto paroles vairākās vietnēs. Tas notiek neskatoties uz to, ka gandrīz visi zina drošības ieteikumus izmantot unikālas paroles visam. Ja jūsu e-pasta adrese ir saistīta ar lielu datu aizsardzības pārkāpumu, iespējams, ka jūsu paroles jaucējkods var tikt iekļauts šajā pārkāpumā. Ja uzbrucējs var izmantot brutālu spēku, lai uzminētu jūsu paroli no šī datu pārkāpuma, viņš var mēģināt to izmantot citur. Tajā brīdī uzbrucējs zinātu jūsu e-pasta adresi un paroli, ko jūs varētu izmantot. Ja viņi var uzskaitīt kontus vietnē, kurā jums ir konts, viņi var izmēģināt šo paroli. Ja esat atkārtoti izmantojis šo paroli šajā vietnē, uzbrucējs var iekļūt jūsu kontā. Tāpēc visam ir ieteicams izmantot unikālas paroles.

Secinājums

Kontu ievākšana, ko dēvē arī par kontu uzskaitīšanu, ir drošības problēma. Konta uzskaitīšanas ievainojamība ļauj uzbrucējam noteikt, vai konts pastāv vai ne. Tā kā informācijas atklāšanas ievainojamība tās tiešā ietekme ne vienmēr ir smaga. Problēma ir tā, ka, apvienojot to ar citu informāciju, situācija var ievērojami pasliktināties. Tā rezultātā sensitīvu vai privātu informāciju var saistīt ar konkrētu personu. To var izmantot arī kopā ar trešo pušu datu pārkāpumiem, lai piekļūtu kontiem.

Vietnei nav arī likumīga iemesla šīs informācijas nopludināšanai. Ja lietotājs kļūdās savā lietotājvārdā vai parolē, viņam ir jāpārbauda tikai divas lietas, lai redzētu, kur viņš pieļāvis kļūdu. Kontu uzskaitīšanas ievainojamības radītais risks ir daudz lielāks nekā ārkārtīgi mazs ieguvums, ko tie var sniegt lietotājam, kurš pieļāvis drukas kļūdu lietotājvārdā vai parolē.