Che cosè la raccolta dei conti?

Esistono molti tipi diversi di violazione dei dati. Alcuni richiedono enormi quantità di tempo, pianificazione e impegno da parte dell'attaccante. Questo può assumere la forma di apprendere come funziona un sistema prima di creare un messaggio di phishing convincente e inviarlo a un dipendente che ha accesso sufficiente per consentire all'attaccante di rubare dettagli sensibili. Questo tipo di attacco può comportare la perdita di un'enorme quantità di dati. Il codice sorgente e i dati aziendali sono obiettivi comuni. Altri obiettivi includono dati utente come nomi utente, password, dettagli di pagamento e PII come numeri di previdenza sociale e numeri di telefono.

Tuttavia, alcuni attacchi non sono neanche lontanamente così complicati. Certo, non hanno nemmeno un impatto così grande su tutte le persone colpite. Ciò non significa che non siano un problema però. Un esempio è chiamato account harvesting o enumerazione degli account.

Enumerazione dei conti

Hai mai provato ad accedere a un sito web solo per dirti che la tua password era sbagliata? Questo è piuttosto un messaggio di errore specifico, non è vero? È possibile che se poi, deliberatamente, fai un errore di battitura nel tuo nome utente o indirizzo e-mail, il sito web ti dirà che un "account con quell'e-mail non esiste" o qualcosa del genere. Vedi la differenza tra questi due messaggi di errore? I siti Web che lo fanno sono vulnerabili all'enumerazione degli account o alla raccolta degli account. In poche parole, fornendo due diversi messaggi di errore per i due diversi scenari, è possibile determinare se un nome utente o un indirizzo email ha un account valido con il servizio oppure no.

Esistono molti modi diversi per identificare questo tipo di problema. Lo scenario precedente dei due diversi messaggi di errore è abbastanza visibile. È anche facile da risolvere, basta fornire un messaggio di errore generico per entrambi i casi. Qualcosa come "Il nome utente o la password che hai inserito non erano corretti".

Altri modi in cui gli account possono essere raccolti includono i moduli di reimpostazione della password. Essere in grado di recuperare il tuo account se dimentichi la password è utile. Tuttavia, un sito Web scarsamente protetto potrebbe fornire nuovamente due messaggi diversi a seconda che esista il nome utente per cui si è tentato di inviare una reimpostazione della password. Immagina: "L'account non esiste" e "Reimpostazione della password inviata, controlla la tua email". Anche in questo scenario, è possibile determinare se esiste un account confrontando le risposte. Anche la soluzione è la stessa. Fornisci una risposta generica, ad esempio: "È stata inviata un'e-mail di reimpostazione della password" anche se non esiste un account e-mail a cui inviarla.

Finezza nella raccolta dei conti

Entrambi i metodi di cui sopra sono piuttosto rumorosi in termini di impronta. Se un utente malintenzionato tenta di eseguire uno degli attacchi su larga scala, verrà visualizzato abbastanza facilmente praticamente in qualsiasi sistema di registrazione. Il metodo di reimpostazione della password invia inoltre esplicitamente un'e-mail a qualsiasi account effettivamente esistente. Essere rumorosi non è l'idea migliore se stai cercando di essere subdolo.

Alcuni siti Web consentono l'interazione o la visibilità diretta dell'utente. In questo caso, semplicemente navigando nel sito Web, puoi raccogliere i nomi delle schermate di ogni account che incontri. Il nome della schermata spesso può essere il nome utente. In molti altri casi, può dare un grande suggerimento su quali nomi utente indovinare poiché le persone usano comunemente variazioni dei loro nomi nei loro indirizzi e-mail. Questo tipo di raccolta di account interagisce con il servizio ma è essenzialmente indistinguibile dall'utilizzo standard, quindi è molto più sottile.

Un ottimo modo per essere discreti è non toccare mai il sito Web sotto attacco. Se un utente malintenzionato stava cercando di ottenere l'accesso a un sito Web aziendale riservato ai dipendenti, potrebbe essere in grado di fare esattamente questo. Piuttosto che controllare il sito stesso per problemi di enumerazione degli utenti, possono andare altrove. Analizzando siti come Facebook, Twitter e soprattutto LinkedIn è possibile creare un elenco piuttosto completo di dipendenti di un'azienda. Se l'aggressore riesce a determinare il formato dell'e-mail dell'azienda, ad esempio [email protected], può effettivamente raccogliere un gran numero di account senza mai connettersi al sito Web con cui intende attaccare.

Poco si può fare contro una di queste tecniche di raccolta dei conti. Sono meno affidabili dei primi metodi ma possono essere utilizzati per informare metodi più attivi di enumerazione dei conti.

Il diavolo è nei dettagli

Un messaggio di errore generico è in genere la soluzione per impedire l'enumerazione degli account attivi. A volte, però, sono i piccoli dettagli a svelare il gioco. Per standard, i server Web forniscono codici di stato quando rispondono alle richieste. 200 è il codice di stato per "OK" che significa successo e 501 è un "errore interno del server". Un sito Web dovrebbe avere un messaggio generico che indica che è stata inviata una reimpostazione della password, anche se in realtà non lo era perché non esisteva un account con il nome utente o l'indirizzo e-mail forniti. In alcuni casi, tuttavia, il server invierà comunque il codice di errore 501, anche se il sito Web visualizza un messaggio di successo. Per un utente malintenzionato che presta attenzione ai dettagli, questo è sufficiente per dire che l'account esiste o non esiste davvero.

Quando si tratta di nomi utente e password, anche il tempo può giocare un ruolo importante. Un sito Web deve memorizzare la tua password, ma per evitare di perderla nel caso in cui venga compromessa o abbia un insider non autorizzato, la pratica standard è l'hashing della password. Un hash crittografico è una funzione matematica unidirezionale che se viene dato lo stesso input fornisce sempre lo stesso output, ma se anche un solo carattere nell'input cambia, l'intero output cambia completamente. Memorizzando l'output dell'hash, quindi effettuando l'hashing della password che invii e confrontando l'hash memorizzato è possibile verificare di aver inviato la password corretta senza mai conoscere effettivamente la tua password.

Mettere insieme i dettagli

I buoni algoritmi di hashing richiedono del tempo per essere completati, in genere meno di un decimo di secondo. Questo è sufficiente per rendere difficile la forza bruta ma non così a lungo da essere ingombrante quando sei solo uno per controllare un singolo valore. potrebbe essere allettante per un ingegnere di siti Web tagliare un angolo e non preoccuparsi di eseguire l'hashing della password se il nome utente non esiste. Voglio dire, non ha senso perché non c'è niente con cui confrontarlo. Il problema è il tempo.

Le richieste Web in genere ricevono una risposta in poche decine o addirittura un centinaio di millisecondi. Se il processo di hashing della password impiega 100 millisecondi per essere completato e lo sviluppatore lo salta... questo può essere evidente. In questo caso, una richiesta di autenticazione per un account che non esiste otterrebbe una risposta in circa 50 ms a causa della latenza della comunicazione. Una richiesta di autenticazione per un account valido con una password non valida potrebbe richiedere circa 150 ms, inclusi la latenza di comunicazione e i 100 ms durante i quali il server esegue l'hashing della password. Semplicemente controllando il tempo impiegato per una risposta, l'attaccante può determinare con una precisione abbastanza affidabile se un account esiste o meno.

Opportunità di enumerazione orientate ai dettagli come queste due possono essere altrettanto efficaci dei metodi più ovvi di raccolta di account utente validi.

Effetti dell'account harvesting

A prima vista, essere in grado di identificare se un account esiste o non esiste su un sito potrebbe non sembrare un grosso problema. Non è che l'aggressore sia riuscito ad accedere all'account o altro. I problemi tendono ad avere una portata un po' più ampia. I nomi utente tendono ad essere indirizzi e-mail o pseudonimi o basati su nomi reali. Un vero nome può essere facilmente legato a un individuo. Sia gli indirizzi e-mail che gli pseudonimi tendono inoltre a essere riutilizzati da un singolo individuo, consentendo loro di essere collegati a una persona specifica.

Quindi, immagina se un utente malintenzionato può determinare che il tuo indirizzo e-mail ha un account su un sito Web di avvocati divorzisti. Che ne dici di un sito Web su affiliazioni politiche di nicchia o condizioni di salute specifiche. Quel genere di cose potrebbe effettivamente far trapelare alcune informazioni sensibili su di te. Informazioni che potresti non volere là fuori.

Inoltre, molte persone riutilizzano ancora le password su più siti web. Questo nonostante praticamente tutti siano a conoscenza del consiglio di sicurezza di utilizzare password univoche per tutto. Se il tuo indirizzo e-mail è coinvolto in una grande violazione dei dati, è possibile che l'hash della tua password sia incluso in tale violazione. Se un utente malintenzionato è in grado di utilizzare la forza bruta per indovinare la tua password da tale violazione dei dati, potrebbe tentare di utilizzarla altrove. A quel punto, un utente malintenzionato conoscerebbe il tuo indirizzo e-mail e una password che potresti utilizzare. Se possono enumerare gli account su un sito su cui hai un account, potrebbero provare quella password. Se hai riutilizzato quella password su quel sito, l'attaccante può entrare nel tuo account. Questo è il motivo per cui si consiglia di utilizzare password univoche per tutto.

Conclusione

La raccolta degli account, nota anche come enumerazione degli account, è un problema di sicurezza. Una vulnerabilità dell'enumerazione degli account consente a un utente malintenzionato di determinare se un account esiste o meno. In quanto vulnerabilità alla divulgazione di informazioni, il suo effetto diretto non è necessariamente grave. Il problema è che se combinato con altre informazioni la situazione può peggiorare molto. Ciò può comportare l'esistenza di dati sensibili o privati ​​che possono essere collegati a una persona specifica. Può anche essere utilizzato in combinazione con violazioni dei dati di terze parti per ottenere l'accesso agli account.

Inoltre, non vi è alcun motivo legittimo per cui un sito Web diffonda queste informazioni. Se un utente commette un errore nel nome utente o nella password, deve solo controllare due cose per vedere dove ha commesso l'errore. Il rischio causato dalle vulnerabilità dell'enumerazione degli account è molto maggiore del vantaggio estremamente minore che possono fornire a un utente che ha commesso un errore di battitura nel nome utente o nella password.