Co to jest gromadzenie kont?

Istnieje wiele różnych rodzajów naruszeń danych. Niektóre wymagają ogromnej ilości czasu, planowania i wysiłku ze strony atakującego. Może to przybrać formę uczenia się, jak działa system, przed stworzeniem przekonującej wiadomości phishingowej i wysłaniem jej do pracownika, który ma wystarczający dostęp, aby umożliwić atakującemu kradzież poufnych informacji. Tego rodzaju atak może spowodować utratę ogromnej ilości danych. Kod źródłowy i dane firmy to wspólne cele. Inne cele obejmują dane użytkowników, takie jak nazwy użytkowników, hasła, szczegóły płatności i dane osobowe, takie jak numery ubezpieczenia społecznego i numery telefonów.

Niektóre ataki nie są jednak tak skomplikowane. Trzeba przyznać, że nie mają one również tak dużego wpływu na wszystkich, których to dotyczy. Nie oznacza to jednak, że nie stanowią problemu. Jednym z przykładów jest gromadzenie kont lub wyliczanie kont.

Wyliczenie konta

Czy kiedykolwiek próbowałeś zalogować się na stronie internetowej tylko po to, by powiedzieć ci, że twoje hasło jest nieprawidłowe? To raczej konkretny komunikat o błędzie, prawda? Możliwe, że jeśli celowo popełnisz literówkę w swojej nazwie użytkownika lub adresie e-mail, witryna poinformuje Cię, że „konto z tym adresem e-mail nie istnieje” lub coś w tym rodzaju. Widzisz różnicę między tymi dwoma komunikatami o błędach? Witryny, które to robią, są podatne na wyliczanie kont lub przechwytywanie kont. Mówiąc najprościej, dostarczając dwa różne komunikaty o błędach dla dwóch różnych scenariuszy, można określić, czy nazwa użytkownika lub adres e-mail ma ważne konto w usłudze, czy nie.

Istnieje wiele różnych sposobów identyfikowania tego rodzaju problemów. Powyższy scenariusz dwóch różnych komunikatów o błędach jest dość widoczny. Jest to również łatwe do naprawienia, po prostu podaj ogólny komunikat o błędzie dla obu przypadków. Coś w stylu „Wprowadzona nazwa użytkownika lub hasło były nieprawidłowe”.

Inne sposoby pozyskiwania kont obejmują formularze resetowania hasła. Możliwość odzyskania konta, jeśli zapomnisz hasła, jest przydatna. Słabo zabezpieczona witryna może jednak ponownie wyświetlać dwa różne komunikaty w zależności od tego, czy istnieje nazwa użytkownika, dla której próbujesz wysłać resetowanie hasła. Wyobraź sobie: „Konto nie istnieje” i „Wysłano zresetowanie hasła, sprawdź pocztę”. Ponownie w tym scenariuszu można określić, czy konto istnieje, porównując odpowiedzi. Rozwiązanie też jest takie samo. Podaj ogólną odpowiedź, na przykład: „Wysłano wiadomość e-mail dotyczącą resetowania hasła”, nawet jeśli nie ma konta e-mail, na które można ją wysłać.

Subtelność w pozyskiwaniu kont

Obie powyższe metody są nieco głośne pod względem ich śladu. Jeśli atakujący spróbuje przeprowadzić atak na dużą skalę, pojawi się on dość łatwo w zasadzie w każdym systemie rejestrowania. Metoda resetowania hasła również jawnie wysyła wiadomość e-mail do dowolnego konta, które faktycznie istnieje. Bycie głośnym nie jest najlepszym pomysłem, jeśli próbujesz być podstępny.

Niektóre witryny umożliwiają bezpośrednią interakcję użytkownika lub widoczność. W takim przypadku, po prostu przeglądając witrynę, możesz zebrać nazwy ekranowe każdego konta, na które trafisz. Nazwa ekranowa często może być nazwą użytkownika. W wielu innych przypadkach może to dać dużą wskazówkę, jakie nazwy użytkowników należy odgadnąć, ponieważ ludzie często używają odmian swoich imion w swoich adresach e-mail. Ten rodzaj zbierania kont wchodzi w interakcję z usługą, ale jest zasadniczo nie do odróżnienia od standardowego użycia, a więc jest o wiele bardziej subtelny.

Świetnym sposobem na subtelność jest nigdy nie dotykanie atakowanej witryny. Jeśli osoba atakująca próbowała uzyskać dostęp do firmowej witryny internetowej przeznaczonej wyłącznie dla pracowników, być może byłaby w stanie to zrobić. Zamiast sprawdzać samą witrynę pod kątem problemów z wyliczaniem użytkowników, mogą przejść gdzie indziej. Trałując strony takie jak Facebook, Twitter, a zwłaszcza LinkedIn, można zbudować całkiem niezłą listę pracowników firmy. Jeśli atakujący może następnie określić format wiadomości e-mail firmy, taki jak imię[email protected], może w rzeczywistości przechwycić dużą liczbę kont bez łączenia się ze stroną internetową, którą planuje zaatakować.

Niewiele można zrobić przeciwko którejkolwiek z tych technik zbierania kont. Są mniej niezawodne niż pierwsze metody, ale mogą być używane do informowania bardziej aktywnych metod wyliczania kont.

Diabeł tkwi w szczegółach

Ogólny komunikat o błędzie jest zazwyczaj rozwiązaniem zapobiegającym wyliczaniu aktywnych kont. Czasami jednak to małe szczegóły zdradzają grę. Zgodnie ze standardami serwery sieciowe dostarczają kody statusu podczas odpowiadania na żądania. 200 to kod stanu „OK” oznaczający sukces, a 501 to „wewnętrzny błąd serwera”. Witryna powinna zawierać ogólny komunikat informujący, że wysłano reset hasła, nawet jeśli tak nie było, ponieważ nie było konta o podanej nazwie użytkownika lub adresie e-mail. W niektórych przypadkach serwer nadal będzie wysyłał kod błędu 501, nawet jeśli witryna wyświetli pomyślny komunikat. Atakującemu zwracającemu uwagę na szczegóły wystarczy to, aby stwierdzić, że konto naprawdę istnieje lub nie.

Jeśli chodzi o nazwy użytkowników i hasła, nawet czas może odgrywać rolę. Witryna musi przechowywać twoje hasło, ale aby uniknąć wycieku w przypadku naruszenia bezpieczeństwa lub posiadania nieuczciwego insidera, standardową praktyką jest haszowanie hasła. Hash kryptograficzny to jednokierunkowa funkcja matematyczna, która przy tym samym wejściu zawsze daje ten sam wynik, ale jeśli nawet pojedynczy znak na wejściu ulegnie zmianie, całe wyjście zmieni się całkowicie. Przechowując dane wyjściowe skrótu, a następnie haszując przesłane hasło i porównując przechowywany skrót, można zweryfikować, czy przesłałeś poprawne hasło, nawet nie znając go.

Łączenie szczegółów

Dobre algorytmy haszujące zajmują trochę czasu, zwykle mniej niż jedną dziesiątą sekundy. To wystarczy, aby utrudnić brutalną siłę, ale nie tak długo, aby być nieporęcznym, gdy tylko jeden sprawdza jedną wartość. może być kuszące dla inżyniera strony internetowej, aby pójść na łatwiznę i nie zawracać sobie głowy mieszaniem hasła, jeśli nazwa użytkownika nie istnieje. To znaczy, nie ma sensu, bo nie ma do czego porównywać. Problemem jest czas.

Żądania internetowe zazwyczaj otrzymują odpowiedź w ciągu kilkudziesięciu, a nawet stu milisekund. Jeśli proces haszowania hasła zajmuje 100 milisekund, a programista go pomija… może to być zauważalne. W takim przypadku żądanie uwierzytelnienia dla konta, które nie istnieje, otrzyma odpowiedź w ciągu około 50 ms z powodu opóźnienia komunikacji. Żądanie uwierzytelnienia ważnego konta z nieprawidłowym hasłem może zająć około 150 ms, w tym opóźnienie komunikacji oraz 100 ms podczas mieszania hasła przez serwer. Po prostu sprawdzając, jak długo trzeba było czekać na odpowiedź, osoba atakująca może określić z dość wiarygodną dokładnością, czy konto istnieje, czy nie.

Możliwości wyliczania zorientowanego na szczegóły, takie jak te dwa, mogą być równie skuteczne, jak bardziej oczywiste metody zbierania prawidłowych kont użytkowników.

Efekty zbierania kont

Na pierwszy rzut oka możliwość zidentyfikowania, czy konto istnieje, czy nie istnieje w witrynie, może nie wydawać się zbyt dużym problemem. To nie tak, że atakujący był w stanie uzyskać dostęp do konta czy coś. Problemy mają zwykle nieco szerszy zakres. Nazwy użytkowników to zwykle adresy e-mail, pseudonimy lub oparte na prawdziwych nazwiskach. Prawdziwe imię można łatwo powiązać z osobą. Zarówno adresy e-mail, jak i pseudonimy są często ponownie wykorzystywane przez jedną osobę, co pozwala na powiązanie ich z konkretną osobą.

Wyobraź sobie więc, że atakujący może ustalić, że Twój adres e-mail ma konto na stronie internetowej prawników rozwodowych. Co powiesz na stronę internetową o niszowych przynależnościach politycznych lub określonych schorzeniach. Tego rodzaju rzeczy mogą faktycznie spowodować wyciek poufnych informacji o tobie. Informacje, których możesz nie chcieć.

Ponadto wiele osób nadal używa haseł w wielu witrynach. Dzieje się tak pomimo tego, że prawie wszyscy są świadomi porady dotyczącej bezpieczeństwa, aby używać unikalnych haseł do wszystkiego. Jeśli Twój adres e-mail jest zaangażowany w naruszenie dużych zbiorów danych, możliwe, że skrót hasła może zostać uwzględniony w tym naruszeniu. Jeśli osoba atakująca jest w stanie użyć brutalnej siły, aby odgadnąć hasło z tego naruszenia danych, może spróbować użyć go w innym miejscu. W tym momencie osoba atakująca zna Twój adres e-mail i hasło, którego możesz użyć. Jeśli mogą wyliczyć konta w witrynie, w której masz konto, mogą wypróbować to hasło. Jeśli ponownie użyłeś tego hasła w tej witrynie, osoba atakująca może uzyskać dostęp do Twojego konta. Dlatego zaleca się używanie unikalnych haseł do wszystkiego.

Wniosek

Zbieranie kont, zwane także wyliczaniem kont, jest kwestią bezpieczeństwa. Luka w zabezpieczeniach związana z wyliczaniem kont umożliwia atakującemu ustalenie, czy konto istnieje, czy nie. Jako luka w zabezpieczeniach umożliwiająca ujawnienie informacji, jej bezpośredni skutek niekoniecznie jest poważny. Problem polega na tym, że w połączeniu z innymi informacjami sytuacja może się znacznie pogorszyć. Może to spowodować, że istnienie wrażliwych lub prywatnych danych będzie można powiązać z konkretną osobą. Może być również używany w połączeniu z naruszeniami danych stron trzecich w celu uzyskania dostępu do kont.

Nie ma również uzasadnionego powodu, dla którego witryna mogłaby ujawnić te informacje. Jeśli użytkownik pomyli się w swojej nazwie użytkownika lub haśle, musi tylko sprawdzić dwie rzeczy, aby zobaczyć, gdzie popełnił błąd. Ryzyko spowodowane przez luki w zabezpieczeniach wyliczania kont jest znacznie większe niż bardzo niewielka korzyść, jaką mogą one zapewnić użytkownikowi, który popełnił literówkę w nazwie użytkownika lub haśle.