АРМАДА
Что украли у LinkedIn и почему кража удалась?
Новая тема Написать ответ

Sender
V.I.P.
Зарегистрирован: 19.05.2006
Сообщений: 3806
Обратиться по нику
# Добавлено:Вс Июн 10, 2012 5:13 pmДобавить в избранноеОтветить с цитатой
Чуть больше суток прошло с момента подтверждения компанией LinkedIn факта хищения паролей от аккаунтов (по крайней мере) некоторой части её пользователей. Детали в настоящее время уточняются, но уже ясно, что речь идёт об одной из самых крупных криминальных операций за всю историю Веб. Проникновение взломщика в недра столь популярной социальной сети замечательно уже само по себе, но даёт и пищу для размышлений относительно возможных последствий для других ключевых веб-ресурсов.

Предыстория, впрочем, чрезвычайно короткая. 5 июня некий аноним выложил на специализированном (посвящённом шифрованию и, случайно или нет, российском) интернет-форуме файл, содержащий 6.5 миллионов паролей в зашифрованном виде — и попросил помощи в их раскрытии. Столь объёмный материал был явно позаимствован с очень посещаемого интернет-сайта, однако, поскольку ни почтовых адресов, ни каких-либо иных зацепок не имелось, нельзя было и предположить, кто же в данном случае стал жертвой. Лишь спустя 12 часов один из добровольцев, помогавших в расшифровке, выявил закономерность: многие пароли содержали в себе строчку «linkedin». Так родилось предположение, что файл был украден из одноимённой социальной сети. И уже через считанные часы сама LinkedIn это подтвердила.

Надо сказать, компания среагировала хорошо. Она немедленно организовала расследование, чтобы проверить, была ли на самом деле утечка и если была, то насколько масштабная. Когда же это подтвердилось, приняла меры: аннулировала украденные пароли, разослала пострадавшим пользователям объяснительное письмо и просьбу придумать новые, привлекла к делу ФБР.

Всё это время директор компании, Висент Сильвейра, держал публику в курсе через корпоративный блог. Отреагировав оперативно и адекватно (вспомните, как отозвалась год назад Sony на взлом PlayStation Network и почувствуйте разницу!), LinkedIn вроде бы исключила вероятность развития событий по худшему сценарию, в котором злоумышленники могли использовать украденные пароли для завладения чужими аккаунтами. Однако свою порцию критики она всё же получила — и совершенно справедливо.


У LinkedIn теперь уже не всё в шоколаде: эксперты считают, что компания могла бы заботиться о своих клиентах лучше

Чтобы лучше понять, что случилось и в чём провинилась LinkedIn, стоит углубиться в техническую часть. Давно минули те времена, когда пользовательские пароли хранились на веб-серверах в открытом виде (т.е. чистым текстом, вроде «ПаРоЛь»): представьте, что будет, если файл с такими записями похитит злоумышленник — ведь он сразу получит ключи от всех дверей!

Вместо этого компании, заботящиеся о своих клиентах, хранят пароли зашифрованными. Всё просто: пароль пропускается через так называемую криптографическую функцию (к примеру, SHA-1), которая преобразует его в уникальную, длинную строку символов. Так, в нашем примере, «ПаРоЛь» превратится в «9098c66b496c5b5502742d5c05c7aaa7ad1811c9». Именно эту мешанину, называемую «хэш», и хранят на сервере. Кстати, именно в таком виде хранятся и пароли LinkedIn.

Преимущество такого подхода в том, что опознать пользователя можно быстро (введённый при авторизации пароль пропускается через SHA-1, а результат сличается с хранящимся на сервере), зато восстановить пароль по хэшу не так-то просто (криптографические функции работают намного медленней в «обратном» направлении). Поэтому злоумышленник, в руках которого оказался хэш, обычно вынужден пароль угадывать: перебирать все возможные варианты в надежде, что ему улыбнётся удача.

Но вот незадача, стойкость хэша к взлому зависит не только от крепкости самого криптоалгоритма, но и ещё от двух факторов. Во-первых, от того, насколько прочный пароль выбрал пользователь. Наш выбор («ПаРоЛь») плох уже потому, что мы взяли обычное слово: да, его легче запомнить, но его и легче угадать злоумышленнику!

Зная, что пользователи ленивы и редко станут выдумывать бессмысленную комбинацию цифр и букв, взломщик, вместо полного перебора всех возможных вариантов («ааа», «ббб», «ввв» и т.п.), может попробовать только слова из словаря с небольшими вариациями. Вот почему уже через пару суток после того, как хэш-файл LinkedIn был опубликован в Сети, взломщику и помогавшим ему энтузиастам удалось отгадать свыше 60% паролей в нём содержавшихся.

Стопроцентно надёжный пароль а) начинается с 8-10 символов, б) содержит буквы в обоих регистрах, цифры и специальные знаки, в) лишён смысла, г) уникален для каждого веб-сайта, д) периодически меняется, е) нигде не записан, ж) не существует Wink (фото: Scott Schiller)

Но неужели нет способа как-то компенсировать пользовательскую лень? Такой способ есть и заключается он в добавлении некоторой секретной информации к каждому паролю до его превращения в хэш. К примеру, наш слабый «ПаРоЛь» мог бы быть дополнен несколькими цифрами (скажем так: «ПаРоЛь_91763»), после чего пропущен через криптофункцию. Такую добавку на профессиональном жаргоне называют солью (англ. salt). Понятное дело, для каждого пароля добавка должна быть своя (а алгоритм её генерации известен только владельцу веб-ресурса), а в итоге получим хэш, угадать который намного сложнее. Вот только LinkedIn пароли до сих пор не «солила». Результат вы уже знаете: многие из них вскрыты меньше чем за пару суток.

Финал этой истории пока ещё не написан. Он будет зависеть от того, как много информации удалось вытащить взломщику из LinkedIn. Если вместе с паролями он унёс и почтовые адреса пользователей, теперь стоит ждать массированную атаку на Facebook, Google+, Gmail и другие популярные ресурсы. Какое они имеют отношение к LinkedIn? Напрямую — никакого. Но вспомните про пользовательскую лень: многие сетяне устанавливают один и тот же пароль на нескольких сайтах. Киберкриминал, естественно, об этом осведомлён и пользуется. Так что если вы узнали себя — не поленитесь, поменяйте пароли.

Но даже с недописанным финалом, из этой истории можно сделать полезные выводы. Первый полезен для веб-предпринимателей: полагаться на сознательность пользователей решительно невозможно. Из прошлых ошибок рядовые сетяне не извлекают ровным счётом ни-че-го! Специалисты Sophos провели замечательный эксперимент. Они взяли коллекцию паролей из вируса Conficker (того самого, что вызвал одну из крупнейших эпидемий — а всего-то с помощью небольшого набора глупейших словечек типа «work», «home», «qwewq» и прочих подобных, которые часто используются для защиты персоналок) и проверили, встречаются ли эти пароли в украденных из LinkedIn. Подошли все кроме двух. А ведь LinkedIn — социальная сеть для профессионалов, не какой-нибудь «Вконтакт»! Её пользователи, казалось бы, должны быть людьми серьёзными, ответственными.

Второй вывод — для рядовых сетян. Не найдетесь, что за файрволами крупного, авторитетного веб-ресурса ваши персональные данные будут в абсолютной безопасности. Сегодня пострадала LinkedIn, год назад в результате ещё более изощрённой атаки чуть не рухнула Facebook (см. «Глен Мэнхем и конец белого хакерства»), завтра наступит черёд Twitter, Google+ или «Одноклассников».

Сложность ИТ-инфраструктуры подобных проектов так высока, что даже сами хозяева могут потратить недели, пытаясь понять, как в систему проник посторонний (кстати, LinkedIn это всё ещё не удалось — и остаётся вероятность, что через ту же «дыру» пролезут другие злоумышленники). Само собой разумеется, прикрыть все слабые места разработчики просто не в состоянии. Поэтому лучшей защитой остаётся самоконтроль: не стоит без необходимости доверять веб-ресурсам слишком важных сведений. Номер телефона, номер кредитной карты, точный почтовый адрес — ничего такого, что очевидно могло бы быть использовано против вас.
http://i-business.ru/blogs/20581
HD Video - верный партнер! Защита от ЭМИ - энергия жизни
Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА

Перейти:  





Генеральный спонсор



Партнеры