Kaj je zbiranje računov?

Obstaja veliko različnih vrst kršitev podatkov. Nekateri vključujejo ogromno časa, načrtovanja in truda s strani napadalca. To je lahko v obliki učenja, kako sistem deluje, preden ustvarite prepričljivo lažno sporočilo in ga pošljete zaposlenemu, ki ima dovolj dostopa, da napadalcu omogoči krajo občutljivih podrobnosti. Tovrsten napad lahko povzroči ogromno izgubljenih podatkov. Izvorna koda in podatki podjetja so pogosti cilji. Druge tarče vključujejo uporabniške podatke, kot so uporabniška imena, gesla, podrobnosti o plačilu in PII, kot so številke socialnega zavarovanja in telefonske številke.

Nekateri napadi pa niso niti približno tako zapleteni. Resda tudi nimajo tako velikega vpliva na vse prizadete. To pa ne pomeni, da niso problem. En primer se imenuje zbiranje računov ali popisovanje računov.

Štetje računa

Ali ste se že kdaj poskusili prijaviti na spletno mesto samo zato, da bi vam povedalo, da je vaše geslo napačno? To je precej specifično sporočilo o napaki, kajne? Možno je, da če se potem namenoma zatipkate v svojem uporabniškem imenu ali e-poštnem naslovu, vam bo spletno mesto povedalo, da »račun s tem e-poštnim naslovom ne obstaja« ali kaj podobnega. Vidite razliko med tema sporočiloma o napaki? Spletna mesta, ki to počnejo, so ranljiva za štetje računov ali zbiranje računov. Preprosto povedano, z zagotavljanjem dveh različnih sporočil o napakah za dva različna scenarija je mogoče ugotoviti, ali ima uporabniško ime ali e-poštni naslov veljaven račun pri storitvi ali ne.

Obstaja veliko različnih načinov, kako je mogoče prepoznati tovrstno težavo. Zgornji scenarij dveh različnih sporočil o napaki je dokaj viden. Prav tako je enostavno popraviti, preprosto zagotovite splošno sporočilo o napaki za oba primera. Nekaj ​​podobnega »Vneseno uporabniško ime ali geslo nista bila pravilna«.

Drugi načini pridobivanja računov vključujejo obrazce za ponastavitev gesla. Možnost obnovitve računa, če pozabite geslo, je priročna. Slabo zavarovano spletno mesto pa lahko spet ponudi dve različni sporočili, odvisno od tega, ali obstaja uporabniško ime, za katerega ste poskušali poslati ponastavitev gesla. Predstavljajte si: »Račun ne obstaja« in »Ponastavitev gesla je poslana, preverite e-pošto«. Tudi v tem scenariju je mogoče s primerjavo odgovorov ugotoviti, ali račun obstaja. Tudi rešitev je enaka. Navedite splošen odgovor, nekaj takega: »Poslano je bilo e-poštno sporočilo za ponastavitev gesla«, tudi če ni e-poštnega računa, na katerega bi ga lahko poslali.

Prefinjenost zbiranja računov

Obe zgornji metodi sta glede na svoj odtis nekoliko glasni. Če napadalec poskuša izvesti kateri koli napad v velikem obsegu, se bo to zlahka pokazalo v skoraj katerem koli sistemu beleženja. Metoda ponastavitve gesla prav tako eksplicitno pošlje e-pošto na kateri koli račun, ki dejansko obstaja. Biti glasen ni najboljša ideja, če poskušate biti zahrbtni.

Nekatera spletna mesta omogočajo neposredno uporabniško interakcijo ali vidnost. V tem primeru lahko preprosto z brskanjem po spletnem mestu zberete zaslonska imena vsakega računa, na katerega naletite. Zaslonsko ime je pogosto lahko uporabniško ime. V mnogih drugih primerih lahko da velik namig o tem, katera uporabniška imena je treba uganiti, saj ljudje v svojih e-poštnih naslovih običajno uporabljajo različice svojih imen. Ta vrsta zbiranja računov sicer deluje s storitvijo, vendar se v bistvu ne razlikuje od standardne uporabe, zato je veliko bolj subtilna.

Odličen način, kako biti subtilen, je, da se sploh nikoli ne dotaknete napadenega spletnega mesta. Če bi napadalec poskušal pridobiti dostop do spletnega mesta podjetja samo za zaposlene, bi morda lahko naredil točno to. Namesto da na samem spletnem mestu preverjajo težave s številčenjem uporabnikov, se lahko odpravijo drugam. Z brskanjem po spletnih mestih, kot so Facebook, Twitter in še posebej LinkedIn, je mogoče sestaviti precej dober seznam zaposlenih v podjetju. Če lahko napadalec nato določi obliko e-pošte podjetja, kot je [email protected], potem lahko dejansko pridobi veliko število računov, ne da bi se kdaj povezal s spletnim mestom, ki ga namerava z njimi napasti.

Malo je mogoče storiti proti kateri koli od teh tehnik zbiranja računov. So manj zanesljive kot prve metode, vendar jih je mogoče uporabiti za informiranje o bolj aktivnih metodah oštevilčenja računov.

Hudič je v podrobnostih

Splošno sporočilo o napaki je na splošno rešitev za preprečevanje aktivnega oštevilčenja računa. Včasih pa so majhne podrobnosti tiste, ki razkrijejo igro. Po standardih spletni strežniki zagotavljajo statusne kode, ko odgovarjajo na zahteve. 200 je statusna koda za »OK«, kar pomeni uspeh, 501 pa je »notranja napaka strežnika«. Spletno mesto bi moralo imeti splošno sporočilo, ki nakazuje, da je bila poslana ponastavitev gesla, tudi če dejansko ni bila poslana, ker ni bilo računa z navedenim uporabniškim imenom ali e-poštnim naslovom. V nekaterih primerih bo strežnik še vedno poslal kodo napake 501, tudi če spletno mesto prikaže sporočilo o uspešnem. Napadalcu, ki je pozoren na podrobnosti, je to dovolj, da pove, da račun res obstaja ali pa ne obstaja.

Ko gre za uporabniška imena in gesla, lahko tudi čas igra pomembno vlogo. Spletno mesto mora shraniti vaše geslo, vendar je standardna praksa, da se geslo zgošči, da bi preprečili njegovo uhajanje v primeru, da je ogroženo ali ima lažnega insajderja. Kriptografsko zgoščevanje je enosmerna matematična funkcija, ki ob enakem vhodu daje vedno enak izhod, če pa se spremeni celo en sam znak v vhodu, se popolnoma spremeni celoten izhod. Če shranite izhod zgoščene vrednosti, nato zgostite geslo, ki ga pošljete, in primerjate shranjeno zgoščeno vrednost, je mogoče preveriti, ali ste poslali pravilno geslo, ne da bi svoje geslo sploh poznali.

Sestavljanje podrobnosti

Dobri algoritmi zgoščevanja trajajo nekaj časa, običajno manj kot desetinko sekunde. To je dovolj, da oteži brutalno silo, vendar ne tako dolgo, da bi bilo okorno, ko preverite samo eno vrednost. za inženirja spletnega mesta je morda skušnjava, da se odreže in se ne trudi z zgoščevanjem gesla, če uporabniško ime ne obstaja. Mislim, ni pravega smisla, saj ga ni s čim primerjati. Problem je čas.

Spletne zahteve običajno dobijo odgovor v nekaj deset ali celo sto milisekundah. Če postopek zgoščevanja gesla traja 100 milisekund in ga razvijalec preskoči ... je to lahko opazno. V tem primeru bi zahteva za preverjanje pristnosti za račun, ki ne obstaja, prejela odgovor v približno 50 ms zaradi zakasnitve komunikacije. Zahteva za preverjanje pristnosti veljavnega računa z neveljavnim geslom lahko traja približno 150 ms, kar vključuje komunikacijsko zakasnitev in 100 ms, medtem ko strežnik zgosti geslo. Z enostavnim preverjanjem, koliko časa je trajalo, da se vrne odgovor, lahko napadalec z dokaj zanesljivo natančnostjo ugotovi, ali račun obstaja ali ne.

Priložnosti za naštevanje, usmerjene v podrobnosti, kot sta ti dve, so lahko enako učinkovite kot bolj očitne metode zbiranja veljavnih uporabniških računov.

Učinki zbiranja računov

Na prvi pogled se zmožnost prepoznavanja, ali račun na spletnem mestu obstaja ali ne obstaja, morda ne zdi prevelika težava. Ne gre za to, da je napadalec lahko pridobil dostop do računa ali kaj podobnega. Težave so ponavadi nekoliko širše. Uporabniška imena so ponavadi e-poštni naslovi ali psevdonimi ali temeljijo na resničnih imenih. Pravo ime je mogoče zlahka povezati s posameznikom. Tako e-poštne naslove kot psevdonime običajno ponovno uporabi en sam posameznik, kar jim omogoča, da se povežejo z določeno osebo.

Predstavljajte si torej, da lahko napadalec ugotovi, da ima vaš e-poštni naslov račun na spletnem mestu odvetnikov za ločitve. Kaj pa na spletnem mestu o nišnih političnih pripadnostih ali posebnih zdravstvenih razmerah. Zaradi takšnih stvari bi dejansko lahko pricurljale nekatere občutljive informacije o vas. Informacije, ki jih morda ne želite imeti zunaj.

Poleg tega veliko ljudi še vedno znova uporablja gesla na več spletnih mestih. To je kljub temu, da skoraj vsi poznajo varnostni nasvet za uporabo edinstvenih gesel za vse. Če je vaš e-poštni naslov vpleten v kršitev velikih podatkov, je možno, da je v to kršitev vključena zgoščena vrednost vašega gesla. Če lahko napadalec uporabi surovo silo, da ugane vaše geslo iz te kršitve podatkov, ga lahko poskusi uporabiti drugje. Na tej točki bi napadalec vedel vaš e-poštni naslov in geslo, ki bi ga lahko uporabili. Če lahko naštejejo račune na spletnem mestu, na katerem imate račun, lahko poskusijo to geslo. Če ste to geslo ponovno uporabili na tem spletnem mestu, lahko napadalec vstopi v vaš račun. Zato je priporočljivo uporabljati edinstvena gesla za vse.

Zaključek

Zbiranje računov, imenovano tudi številčenje računov, je varnostna težava. Ranljivost oštevilčenja računa omogoča napadalcu, da ugotovi, ali račun obstaja ali ne. Ker gre za ranljivost pri razkritju informacij, njen neposredni učinek ni nujno resen. Težava je v tem, da se lahko stanje v kombinaciji z drugimi informacijami še poslabša. To lahko povzroči obstoj občutljivih ali zasebnih podrobnosti, ki jih je mogoče povezati z določeno osebo. Uporablja se lahko tudi v kombinaciji s kršitvami podatkov tretjih oseb za pridobitev dostopa do računov.

Prav tako ni zakonitega razloga, da spletno mesto razkrije te informacije. Če se uporabnik zmoti v svojem uporabniškem imenu ali geslu, mora preveriti le dve stvari, da ugotovi, kje se je zmotil. Tveganje, ki ga povzročajo ranljivosti pri oštevilčevanju računov, je veliko večje od izjemno majhne koristi, ki jo lahko zagotovijo uporabniku, ki se je zmotil pri uporabniškem imenu ali geslu.