Шта је прикупљање налога?

Постоји много различитих врста повреда података. Неки укључују огромну количину времена, планирања и напора са стране нападача. Ово може имати облик учења како систем функционише пре него што креира убедљиву пхисхинг поруку и пошаље је запосленом који има довољно приступа да омогући нападачу да украде осетљиве детаље. Ова врста напада може довести до огромне количине изгубљених података. Изворни код и подаци компаније су уобичајене мете. Остали циљеви укључују корисничке податке као што су корисничка имена, лозинке, детаљи плаћања и ПИИ као што су бројеви социјалног осигурања и бројеви телефона.

Ипак, неки напади нису ни приближно тако компликовани. Додуше, ни они немају тако велики утицај на све погођене. То ипак не значи да они нису проблем. Један пример се зове прикупљање налога или набрајање налога.

Набрајање налога

Да ли сте икада покушали да се пријавите на веб локацију само да би вам она рекла да је ваша лозинка погрешна? То је прилично специфична порука о грешци, зар не? Могуће је да ако тада, намерно, направите грешку у куцању у свом корисничком имену или адреси е-поште да ће вам веб локација рећи да „налог са том е-поштом не постоји“ или нешто у том смислу. Видите разлику између те две поруке о грешци? Веб локације које то раде подложне су набрајању налога или прикупљању налога. Једноставно речено, пружањем две различите поруке о грешци за два различита сценарија, могуће је утврдити да ли корисничко име или адреса е-поште имају важећи налог са услугом или не.

Постоји много различитих начина на који се ова врста проблема може идентификовати. Горњи сценарио две различите поруке о грешци је прилично видљив. Такође је лако поправити, једноставно наведите генеричку поруку о грешци за оба случаја. Нешто попут „Корисничко име или лозинка које сте унели су нетачни“.

Други начини на које се налози могу прикупити укључују обрасце за ресетовање лозинке. Могућност повратка налога ако заборавите лозинку је згодна. Међутим, лоше обезбеђена веб локација може поново да пружи две различите поруке у зависности од тога да ли постоји корисничко име за које сте покушали да пошаљете ресетовање лозинке. Замислите: „Налог не постоји“ и „Ресетовање лозинке је послато, проверите своју е-пошту“. Поново у овом сценарију, могуће је утврдити да ли налог постоји упоређивањем одговора. Решење је такође исто. Наведите генерички одговор, нешто попут: „Послана је е-пошта за поништавање лозинке“ чак и ако не постоји налог е-поште на који бисте је послали.

Суптилност у прикупљању рачуна

Обе горе наведене методе су донекле гласне у смислу њиховог отиска. Ако нападач покуша да изврши било који напад у великом обиму, он ће се прилично лако појавити у практично било ком систему евидентирања. Метода ресетовања лозинке такође експлицитно шаље е-пошту на било који налог који заиста постоји. Бити гласан није најбоља идеја ако покушавате да будете подмукли.

Неке веб странице омогућавају директну интеракцију или видљивост корисника. У овом случају, једноставним прегледањем веб локације, можете прикупити имена екрана сваког налога на који наиђете. Екранско име често може бити корисничко име. У многим другим случајевима, то може дати велики наговештај о томе која корисничка имена треба погодити јер људи обично користе варијације својих имена у својим адресама е-поште. Ова врста прикупљања налога је у интеракцији са услугом, али се у суштини не разликује од стандардне употребе, па је и много суптилнија.

Одличан начин да будете суптилни је да никада не додирнете веб локацију која је нападнута. Ако је нападач покушавао да добије приступ корпоративној веб локацији само за запослене, можда би могао да уради управо то. Уместо да проверава саму локацију због проблема са набрајањем корисника, они могу да оду негде другде. Праћењем сајтова као што су Фацебоок, Твиттер и посебно ЛинкедИн може се направити прилично добра листа запослених у компанији. Ако нападач тада може да одреди формат е-поште компаније, као што је име.презиме@цомапни.цом, онда он у ствари може прикупити велики број налога, а да се никада не повежу на веб локацију коју планирају да нападну са њима.

Мало се може учинити против било које од ових техника прикупљања рачуна. Они су мање поуздани од првих метода, али се могу користити за информисање активнијих метода набрајања налога.

Ђаво је у детаљима

Општа порука о грешци је генерално решење за спречавање активног набрајања налога. Понекад су мали детаљи ти који одају игру. По стандардима, веб сервери дају статусне кодове када одговарају на захтеве. 200 је статусни код за „ОК“ што значи успех, а 501 је „интерна грешка сервера“. Веб локација треба да има генеричку поруку која указује да је ресетовање лозинке послато, чак и ако заправо није било зато што није постојао налог са датим корисничким именом или адресом е-поште. У неким случајевима, иако ће сервер и даље послати код грешке 501, чак и ако веб локација прикаже успешну поруку. Нападачу који обраћа пажњу на детаље, ово је довољно да каже да налог заиста постоји или не постоји.

Када су у питању корисничка имена и лозинке, чак и време може играти фактор. Веб локација мора да чува вашу лозинку, али да бисте избегли њено цурење у случају да су компромитовани или имају лажног инсајдера, стандардна пракса је да се лозинка хешује. Криптографски хеш је једносмерна математичка функција која, ако се даје исти улаз, увек даје исти излаз, али ако се чак и један карактер у улазу промени, цео излаз се потпуно мења. Чувањем резултата хеша, затим хеширањем лозинке коју пошаљете и упоређивањем сачуваног хеша могуће је потврдити да сте послали исправну лозинку, а да никада не знате своју лозинку.

Састављање детаља

Добрим алгоритмима хеширања потребно је неко време да се заврше, обично мање од десетинке секунде. Ово је довољно да отежава грубу силу, али не тако дуго да бисте били незграпни када само један провери једну вредност. можда би било примамљиво за инжењера веб локације да скрене угао и не труди се да хешује лозинку ако корисничко име не постоји. Мислим, нема праве сврхе јер нема са чиме да се пореди. Проблем је у времену.

Веб захтеви обично виде одговор за неколико десетина или чак стотинак милисекунди. Ако процес хеширања лозинке траје 100 милисекунди да се заврши, а програмер га прескочи… то може бити приметно. У овом случају, захтев за аутентификацију за налог који не постоји добио би одговор за отприлике 50 мс због кашњења комуникације. Захтев за аутентификацију за важећи налог са неважећом лозинком може потрајати отприлике 150 мс, што укључује кашњење у комуникацији као и 100 мс док сервер хешира лозинку. Једноставном провером колико је времена било потребно да се одговор врати, нападач може са прилично поузданом тачношћу да утврди да ли налог постоји или не.

Могућности набрајања оријентисане на детаље попут ове две могу бити једнако ефикасне као и очигледније методе прикупљања валидних корисничких налога.

Ефекти прикупљања рачуна

На први поглед, могућност да се идентификује да ли налог постоји или не постоји на сајту можда не изгледа као превелики проблем. Није да је нападач успео да приступи налогу или било чему. Проблеми су обично мало ширег обима. Корисничка имена су обично или адресе е-поште или псеудоними или заснована на правим именима. Право име се лако може везати за појединца. И адресе е-поште и псеудоними такође имају тенденцију да их поново користи један појединац, што им омогућава да буду везани за одређену особу.

Дакле, замислите да ли нападач може да утврди да ваша адреса е-поште има налог на веб локацији адвоката за разводе. Шта је са веб-сајтом о нишним политичким опредељењима или специфичним здравственим условима. Такве ствари би могле да процуре неке осетљиве информације о вама. Информације које можда не желите тамо.

Штавише, многи људи и даље поново користе лозинке на више веб локација. Ово је упркос томе што су скоро сви свесни безбедносног савета да се за све користе јединствене лозинке. Ако је ваша адреса е-поште умешана у велику повреду података, могуће је да је хеш ваше лозинке укључен у ту повреду. Ако је нападач у стању да употреби грубу силу да погоди вашу лозинку из те повреде података, може покушати да је употреби негде другде. У том тренутку, нападач би знао вашу адресу е-поште и лозинку коју бисте могли да користите. Ако могу да наброје налоге на веб локацији на којој ви имате налог, можда ће покушати са том лозинком. Ако сте поново користили ту лозинку на том сајту, нападач може да уђе на ваш налог. Због тога се препоручује коришћење јединствених лозинки за све.

Закључак

Прикупљање налога, такође познато као набрајање налога, представља безбедносно питање. Рањивост набрајања налога омогућава нападачу да утврди да ли налог постоји или не. Као рањивост откривања информација, њен директни ефекат није нужно озбиљан. Проблем је у томе што се у комбинацији са другим информацијама ситуација може знатно погоршати. Ово може резултирати постојањем осетљивих или приватних детаља који се могу повезати са одређеном особом. Такође се може користити у комбинацији са кршењем података трећих страна да би се добио приступ налозима.

Такође нема легитимног разлога да веб локација пропушта ове информације. Ако корисник направи грешку у свом корисничком имену или лозинки, мора само да провери две ствари да види где је направио грешку. Ризик узрокован рањивостима набрајања налога је много већи од изузетно мале користи коју могу да пруже кориснику који је направио грешку у куцању корисничког имена или лозинке.