Čo je Account Harvesting?

Existuje mnoho rôznych typov únikov údajov. Niektoré zahŕňajú obrovské množstvo času, plánovania a úsilia zo strany útočníka. Môže to mať formu učenia sa, ako systém funguje pred vytvorením presvedčivej phishingovej správy a jej odoslaním zamestnancovi, ktorý má dostatočný prístup na to, aby útočníkovi umožnil ukradnúť citlivé detaily. Tento druh útoku môže viesť k strate veľkého množstva údajov. Zdrojový kód a firemné dáta sú spoločné ciele. Medzi ďalšie ciele patria používateľské údaje, ako sú používateľské mená, heslá, platobné podrobnosti a PII, ako sú čísla sociálneho poistenia a telefónne čísla.

Niektoré útoky však nie sú ani zďaleka také zložité. Pravdaže, tiež nemajú taký veľký vplyv na všetkých, ktorých sa to týka. To však neznamená, že nie sú problémom. Jeden príklad sa nazýva zbieranie účtov alebo enumerácia účtov.

Vyčíslenie účtu

Skúsili ste sa niekedy prihlásiť na webovú stránku len preto, aby vám oznámila, že vaše heslo je nesprávne? To je skôr špecifické chybové hlásenie, nie? Je možné, že ak potom úmyselne urobíte preklep vo svojom používateľskom mene alebo e-mailovej adrese, webová lokalita vám oznámi, že „účet s týmto e-mailom neexistuje“ alebo niečo v tom zmysle. Vidíte rozdiel medzi týmito dvoma chybovými hláseniami? Webové stránky, ktoré to robia, sú citlivé na enumeráciu účtov alebo zbieranie účtov. Jednoducho povedané, poskytnutím dvoch rôznych chybových hlásení pre dva rôzne scenáre je možné určiť, či má používateľské meno alebo e-mailová adresa platný účet v službe alebo nie.

Existuje mnoho rôznych spôsobov, ako identifikovať tento druh problému. Vyššie uvedený scenár dvoch rôznych chybových hlásení je pomerne viditeľný. Je to tiež ľahké opraviť, jednoducho zadajte všeobecné chybové hlásenie pre oba prípady. Niečo ako „Zadané používateľské meno alebo heslo bolo nesprávne“.

Medzi ďalšie spôsoby, ako získať účty, patria formuláre na obnovenie hesla. Možnosť obnoviť svoj účet, ak zabudnete heslo, je užitočná. Zle zabezpečená webová stránka však môže opäť poskytovať dve rôzne správy v závislosti od toho, či existuje používateľské meno, pre ktoré ste sa pokúsili odoslať obnovenie hesla. Predstavte si: „Účet neexistuje“ a „Obnovenie hesla bolo odoslané, skontrolujte svoj e-mail“. Aj v tomto scenári je možné určiť, či účet existuje, porovnaním odpovedí. Riešenie je tiež rovnaké. Poskytnite všeobecnú odpoveď, napríklad: „E-mail na obnovenie hesla bol odoslaný“, aj keď neexistuje žiadny e-mailový účet, na ktorý by sa dal odoslať.

Jemnosť pri zbere účtov

Obe vyššie uvedené metódy sú trochu hlasné, pokiaľ ide o ich stopu. Ak sa útočník pokúsi vykonať ktorýkoľvek útok vo veľkom meradle, prejaví sa to celkom ľahko v podstate v akomkoľvek protokolovacom systéme. Metóda obnovenia hesla tiež explicitne odošle e-mail na akýkoľvek účet, ktorý skutočne existuje. Byť nahlas nie je najlepší nápad, ak sa snažíte byť záludný.

Niektoré webové stránky umožňujú priamu interakciu alebo viditeľnosť používateľa. V tomto prípade jednoduchým prehliadaním webovej stránky môžete získať názvy obrazoviek každého účtu, s ktorým sa stretnete. Meno obrazovky môže byť často používateľské meno. V mnohých iných prípadoch môže poskytnúť veľkú nápovedu o tom, aké používateľské mená uhádnuť, pretože ľudia bežne používajú variácie svojich mien vo svojich e-mailových adresách. Tento typ zberu účtov interaguje so službou, ale je v podstate nerozoznateľný od štandardného použitia, a preto je oveľa jemnejší.

Skvelý spôsob, ako byť jemný, je nikdy sa nedotýkať napadnutej webovej stránky. Ak sa útočník pokúšal získať prístup na firemnú webovú stránku určenú len pre zamestnancov, mohol by byť schopný urobiť presne to. Namiesto toho, aby kontrolovali problémy so zoznamom používateľov na samotnej lokalite, môžu ísť inam. Pomocou vlečných sietí ako Facebook, Twitter a najmä LinkedIn je možné vytvoriť celkom dobrý zoznam zamestnancov spoločnosti. Ak potom útočník dokáže určiť formát e-mailu spoločnosti, ako napríklad [email protected], môže v skutočnosti získať veľké množstvo účtov bez toho, aby sa pripojil k webovej lokalite, na ktorú plánujú zaútočiť.

Proti jednej z týchto techník zberu účtu sa dá urobiť len málo. Sú menej spoľahlivé ako prvé metódy, ale môžu sa použiť na informovanie aktívnejších metód enumerácie účtov.

Diabol je v detailoch

Všeobecné chybové hlásenie je vo všeobecnosti riešením na zabránenie počítania aktívnych účtov. Niekedy sú to však malé detaily, ktoré prezrádzajú hru. Podľa štandardov webové servery poskytujú stavové kódy pri odpovedi na požiadavky. 200 je stavový kód pre „OK“, čo znamená úspech, a 501 je „interná chyba servera“. Webová stránka by mala obsahovať všeobecnú správu o odoslaní obnovenia hesla, a to aj v prípade, že sa tak nestalo, pretože neexistoval žiadny účet so zadaným používateľským menom alebo e-mailovou adresou. V niektorých prípadoch však server stále odošle kód chyby 501, aj keď webová stránka zobrazí úspešnú správu. Útočníkovi, ktorý venuje pozornosť detailom, to stačí na to, aby povedal, že účet skutočne existuje alebo neexistuje.

Pokiaľ ide o používateľské mená a heslá, aj čas môže hrať úlohu. Webové stránky musia uchovávať vaše heslo, ale aby sa predišlo jeho úniku v prípade, že dôjde k ich prelomeniu, alebo ak má nečestný dôverník, štandardným postupom je heslo zahašovať. Kryptografický hash je jednosmerná matematická funkcia, ktorá pri zadaní rovnakého vstupu vždy dáva rovnaký výstup, ale ak sa zmení čo i len jeden znak na vstupe, celý výstup sa úplne zmení. Uložením výstupu hashu, následným hashovaním hesla, ktoré odošlete, a porovnaním uloženého hashu je možné overiť, že ste odoslali správne heslo bez toho, aby ste ho skutočne poznali.

Spájanie detailov

Dokončenie dobrých hašovacích algoritmov trvá nejaký čas, zvyčajne menej ako desatinu sekundy. To je dosť na to, aby bolo ťažké použiť hrubú silu, ale nie tak dlho, aby to bolo nemotorné, keď kontrolujete iba jednu hodnotu. pre webového inžiniera môže byť lákavé odstrihnúť roh a neobťažovať sa hasením hesla, ak používateľské meno neexistuje. Myslím, že to nemá zmysel, pretože to nie je s čím porovnávať. Problémom je čas.

Webové požiadavky zvyčajne uvidia odpoveď v priebehu niekoľkých desiatok alebo dokonca sto alebo tak milisekúnd. Ak proces hashovania hesla trvá 100 milisekúnd a vývojár ho preskočí, môže to byť viditeľné. V tomto prípade by žiadosť o overenie pre účet, ktorý neexistuje, dostala odpoveď približne za 50 ms z dôvodu latencie komunikácie. Požiadavka na overenie platného účtu s neplatným heslom môže trvať približne 150 ms, čo zahŕňa latenciu komunikácie, ako aj 100 ms, kým server heslo hashuje. Jednoduchým skontrolovaním, ako dlho trvalo, kým sa odpoveď vrátila, môže útočník s pomerne spoľahlivou presnosťou určiť, či účet existuje alebo nie.

Detailne orientované možnosti enumerácie, ako sú tieto dve, môžu byť rovnako efektívne ako očividnejšie metódy zberu platných používateľských účtov.

Účinky zberu účtu

Na prvý pohľad, schopnosť identifikovať, či účet na stránke existuje alebo neexistuje, sa nemusí zdať ako príliš veľký problém. Nie je to tak, že by sa útočníkovi podarilo získať prístup k účtu alebo čokoľvek iné. Problémy majú tendenciu byť trochu širšieho rozsahu. Používateľské mená bývajú buď e-mailové adresy alebo pseudonymy alebo založené na skutočných menách. Skutočné meno sa dá ľahko spojiť s jednotlivcom. E-mailové adresy aj pseudonymy má tendenciu opätovne používať jeden jednotlivec, čo im umožňuje spojiť sa s konkrétnou osobou.

Predstavte si teda, že útočník môže zistiť, že vaša e-mailová adresa má účet na webovej stránke rozvodových právnych zástupcov. A čo na webovej stránke o okrajových politických vzťahoch alebo špecifických zdravotných problémoch. Takáto vec by mohla o vás skutočne uniknúť nejaké citlivé informácie. Informácie, ktoré tam možno nechcete.

Okrem toho veľa ľudí stále znova používa heslá na viacerých webových stránkach. A to aj napriek tomu, že si takmer každý uvedomuje bezpečnostné rady používať jedinečné heslá pre všetko. Ak je vaša e-mailová adresa zapojená do veľkého narušenia ochrany údajov, je možné, že v tomto porušení môže byť zahrnutý hash vášho hesla. Ak je útočník schopný použiť hrubú silu na uhádnutie vášho hesla z tohto narušenia údajov, môže sa ho pokúsiť použiť inde. V tom momente by útočník poznal vašu e-mailovú adresu a heslo, ktoré by ste mohli použiť. Ak dokážu vymenovať účty na lokalite, na ktorej máte účet, môžu vyskúšať toto heslo. Ak ste toto heslo znova použili na tomto webe, útočník sa môže dostať do vášho účtu. To je dôvod, prečo sa odporúča používať jedinečné heslá pre všetko.

Záver

Zhromažďovanie účtov, tiež označované ako enumerácia účtov, je bezpečnostný problém. Chyba zabezpečenia enumerácie účtov umožňuje útočníkovi určiť, či účet existuje alebo nie. Keďže ide o zraniteľnosť pri sprístupnení informácií, jej priamy účinok nemusí byť nevyhnutne závažný. Problémom je, že v kombinácii s inými informáciami sa situácia môže výrazne zhoršiť. To môže mať za následok existenciu citlivých alebo súkromných detailov, ktoré môžu byť spojené s konkrétnou osobou. Môže sa použiť aj v kombinácii s únikmi údajov tretích strán na získanie prístupu k účtom.

Neexistuje ani žiadny legitímny dôvod, aby webová stránka unikla tieto informácie. Ak sa používateľ pomýli vo svojom používateľskom mene alebo hesle, musí skontrolovať iba dve veci, aby zistil, kde urobil chybu. Riziko spôsobené zraniteľnosťami pri enumerácii účtov je oveľa väčšie ako extrémne malé výhody, ktoré môžu poskytnúť používateľovi, ktorý urobil preklep v používateľskom mene alebo hesle.