nl.hideout-lastation.com
Paradijs Voor Ontwerpers En Ontwikkelaars


Wat de Dropbox-hack u kan leren over de staat van webbeveiliging

In de afgelopen week had Dropbox de krantenkoppen gehaald over een hack waarbij de e-mailadressen en wachtwoorden van 68 miljoen Dropbox-accounts in het gedrang kwamen . Voor elke Dropbox-gebruiker is dit natuurlijk een punt van zorg, vooral als je iets opslaat in Dropbox, of dat nu persoonlijk is of voor werk.

Uw foto's, documenten, gegevens enz. Kunnen zonder uw medeweten worden geopend met behulp van uw e-mailadres en wachtwoord verloren in die bepaalde hack. Het goede nieuws is dat er tot nu toe geen meldingen zijn geweest van iets kwaadaardigs uit de Dropbox-hack . Dat betekent echter niet dat er niets aan de hand is.

Over de Dropbox-hack

Allereerst, laten we dit uit de weg ruimen: de Dropbox-hack is vorige week niet alleen gebeurd. Meer dan 68 miljoen e-mailadressen en wachtwoorden worden gestolen in de hack, ja, maar de hack zelf gebeurde 4 jaar geleden, in 2012.

In plaats van zich een Hollywood-hackerscene voor te stellen (waarvan er veel vreselijk verkeerd werden gehackt), kwam de hack door een menselijke fout .

Hackers hadden gebruikersnamen en wachtwoorden gebruikt van een andere inbreuk op de gegevens om in te loggen bij Dropbox-accounts. Een van deze accounts was van een Dropbox-medewerker die hetzelfde wachtwoord had gebruikt voor zowel de overtreding van de site als voor hun Dropbox-account.

Toevallig had dezelfde medewerker een map vol documenten met de e-mailadressen van 68.680.741 Dropbox-accounts en gehashte wachtwoorden . Spel, set en match.

1. Dropbox was niet de enige; LinkedIn is op dezelfde manier gehackt

In mei 2016 kondigde LinkedIn iets aan dat vergelijkbaar is met de Dropbox-hack van vorige week. Ze smeekten LinkedIn-gebruikers hun wachtwoord te veranderen "als een kwestie van beste praktijken" nadat ze zich bewust werden van de diefstal van een reeks e-mails en wachtwoorden die hadden plaatsgevonden - je raadt het al - in 2012.

Als u op die koppeling in de vorige alinea hebt geklikt, wordt er geen melding gemaakt van hoe groot dit gegevensverlies is, hoewel het gevoel van urgentie duidelijk is met de frequente updates van die specifieke pagina.

Wat er gebeurde, was dat meer dan 117 miljoen LinkedIn-accounts werden getroffen, hoewel het mogelijk is dat het werkelijke aantal oploopt tot 167 miljoen .

2. Waarom komen de gehackte wachtwoorden nu weer tevoorschijn?

De datasets voor Dropbox en LinkedIn worden naar verluidt nu in het dark web verhandeld (of ze waren in de aanloop naar een week geleden).

De set van LinkedIn was aanvankelijk te koop voor $ 2200, terwijl Dropbox iets meer dan $ 1200 kost - beide De waarde van deze datasets neemt af naarmate ze langer zijn, omdat zodra het grootste deel van de gebruikers de wachtwoorden heeft gewijzigd, de datasets van weinig tot geen waarde.

Maar waarom nu? Vier jaar na de hack? Het dichtst bij mijn antwoord kwam van Troy Hunt (hij wordt nogal wat genoemd in deze post, en vrijwel overal elders) die veel schrijft over cybersecurity. Ik citeer gewoon wat hij te zeggen heeft:

Onvermijdelijk is er een katalysator, maar het kunnen veel verschillende dingen zijn; de aanvaller besluit uiteindelijk om het te gelde te maken, ze worden zelf getarget en verliezen de gegevens of uiteindelijk verhandelen ze voor iets anders van waarde.

3. Hacks en datadumps gebeuren vaker dan iedereen wil toegeven

Tijdens het lezen van deze Dropbox-hack, kwam ik deze databasedirectory tegen, Vigilante.pw een site met informatie over datalekken. Op het moment dat dit wordt geschreven, bevat de volledige database informatie over 1470 inbreuken ten bedrage van meer dan 2 miljard gecompromitteerde accounts .

De grootste van de partij is de Myspace-hack in 2013. Die hack trof meer dan 350 miljoen accounts .

In dezelfde directory is de 68 miljoen items van Dropbox de negende grootste in de geschiedenis van bekende gegevensverzamelingen, tot nu toe; LinkedIn is de op vier na grootste, hoewel als het aantal in plaats daarvan werd gecorrigeerd naar 167 miljoen, dit de tweede grootste datadok in de directory zou worden.

(Houd er rekening mee dat de datums van de gegevensdumps voor Dropbox en LinkedIn worden vermeld als 2012, in plaats van 2016.)

Het is echter niets waard dat de beruchte Ashley Madison-hack en de game-veranderende RockYou-hack niet in de directory zijn opgenomen. Wat er echt gebeurt, is groter dan wat je op de site ziet.

haveibeenpwned.com is ook een andere bron die u kunt gebruiken om te kijken naar de ernst van hacks en dataportes die te kampen hebben met online services en tools .

De site wordt gerund door Troy Hunt, een beveiligingsexpert die regelmatig schrijft over datalekken en beveiligingsproblemen, waaronder over deze recente Dropbox-hack. Opmerking: de site wordt ook geleverd met een gratis meldingsprogramma dat u waarschuwt als uw e-mails zijn aangetast.

U zult een lijst met verpande sites kunnen vinden, waarvan de gegevens zijn geconsolideerd op de site. Hier is de lijst van de top 10-schendingen (kijk maar naar al die getallen). Vind hier de volledige lijst.

Nog steeds bij me? Het wordt nog veel erger.

4. Met elke datalek worden hackers beter in het kraken van wachtwoorden

Deze post op Ars Technica door Jeremi Gosney, een professioneel wachtwoord kraker is het lezen waard. De reden is dat hoe meer gegevensinbreuken voorkomen, hoe gemakkelijker het voor hackers wordt om toekomstige wachtwoorden te kraken.

De RockYou-hack gebeurde in 2009: 32 miljoen wachtwoorden in leesbare tekst lekten en wachtwoordcrackers kregen een kijkje in de manier waarop gebruikers wachtwoorden maken en gebruiken.

Dat was de hack die liet zien hoe weinig aandacht we hebben voor het selecteren van onze wachtwoorden, bijvoorbeeld 123456, iloveyou, wachtwoord . Maar belangrijker:

De RockYou-inbreuk heeft een revolutie teweeggebracht in het kraken van wachtwoorden.

Doordat 32 miljoen niet-gehashte, ongezouten en onbeschermde wachtwoorden de game opraapten voor professionele crackers, waren ze nu meer dan ooit voorbereid op het kraken van wachtwoordhaspels nadat een gegevensverzameling heeft plaatsgevonden, ook al waren ze niet degene die de datalek hebben uitgevoerd. De wachtwoorden van de RockYou-hack hebben hun aanvalslijst voor het woordenboek bijgewerkt met daadwerkelijke wachtwoorden die mensen in het echte leven gebruiken, wat bijdraagt ​​aan aanzienlijk, sneller en effectiever kraken.

Daaropvolgende datalekken zouden komen: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - en met wat hardware-upgrades was het mogelijk voor de auteur (na samen te werken met enkele branchegerelateerde teams) om 173, 7 miljoen LinkedIn-wachtwoorden te kraken in slechts 6 dagen (dat is 98% van de volledige dataset). Tot zover de beveiliging, huh?

5. Hashing-wachtwoorden - helpen ze?

Er is een neiging voor een site die een datalek heeft meegemaakt om de woorden gehashte wachtwoorden, gezouten wachtwoorden, hash-algoritmen en andere soortgelijke termen naar voren te brengen, alsof ze u willen vertellen dat uw wachtwoorden zijn gecodeerd en dat uw account veilig is ( p. ). Goed…

Als je wilt begrijpen wat hashen en zouten is, hoe ze werken en hoe ze worden gekraakt, is dit een goed artikel om te lezen.

Met het risico van vereenvoudiging van de concepten, hier gaat het:

  • Hash-algoritmen veranderen een wachtwoord om het te beschermen. Een algoritme verduistert het wachtwoord zodat het niet gemakkelijk herkenbaar is voor een derde partij. Maar hashes kunnen worden gekraakt met woordenboekaanvallen (dat is waar punt 6 binnenkomt) en aanvallen met brute kracht.
  • Zouten voegt een willekeurige reeks toe aan een wachtwoord voordat het gehashed wordt. Op deze manier, zelfs als hetzelfde wachtwoord tweemaal gehashed is, zal het resultaat anders zijn vanwege het zout.

Terugkomend op de Dropbox-hack, bevindt de helft van de wachtwoorden zich onder de SHA-1 hash (zouten niet inbegrepen, waardoor ze niet kunnen worden gekraakt), terwijl de andere helft onder de bcrypt-hash valt.

Deze mix geeft een overgang van SHA-1 naar bcrypt aan, wat zijn tijd ver vooruit was, omdat SHA1 midden 2017 wordt uitgefaseerd om te worden vervangen door SHA2 of SHA3.

Dat gezegd hebbende, is het belangrijk om te begrijpen dat "hashing een verzekeringspolis is" die hackers en crackers alleen maar vertraagt. Zelfs als deze extra beveiliging ervoor zorgt dat wachtwoorden 'moeilijk te decoderen' zijn, betekent dit niet dat ze niet kunnen worden gekraakt .

In het beste geval kopen hashing en zouten gebruikers gewoon tijd, genoeg om hun wachtwoorden te wijzigen om een ​​overname van hun account te voorkomen.

6. De nasleep van hacks (datalekken)

(1) Hacks kunnen relatief goedaardig zijn, zoals de Dropbox-hack, of hebben verwoestende gevolgen zoals de gegevensdoorbraak van Ashley Madison.

In het laatste geval is 25 GB aan gegevens gelekt, inclusief de werkelijke thuisadressen, creditcardtransacties en zoekgeschiedenis van hun gebruikers. Vanwege de aard van de website waren er veel gevallen van publieke shaming, chantage, afpersing, echtscheidingen en zelfs zelfmoorden.

De hack onthulde ook de oprichting van valse accounts en het gebruik van chatbots om betalende klanten te lokken om zich aan te melden voor een account.

(2) Hacks tonen ook onze onverschilligheid bij het selecteren van wachtwoorden - dat is totdat er een schending is opgetreden.

We hebben dit vastgesteld bij het bespreken van de RockYou-breuk in # 4. Als er veel belangrijke gegevens op het web rondzwerven, is het een goed idee om een app voor wachtwoordbeheer te gebruiken . En schakel authenticatie in twee stappen in . En hergebruik nooit wachtwoorden die zich in een datalek bevinden . En zorg ervoor dat andere mensen met wie u werkt, dezelfde veiligheidsmaatregelen treffen .

Als u nog een stap verder wilt gaan, meldt u zich aan voor een meldingsprogramma dat u waarschuwt wanneer uw e-mail is betrokken bij een datalek.

(3) Hacks tonen de onverschilligheid van een site voor het beschermen van gebruikerswachtwoorden en -gegevens.

In het geval van Dropbox vs LinkedIn, kun je zien dat Dropbox betere, meer berekende maatregelen nam om schade door een datalek zo te minimaliseren .

Dropbox gebruikte betere methoden voor hashing en zouten, stuurde e-mails naar gebruikers om hen te vragen hun wachtwoord zo snel mogelijk te wijzigen, bood verificatie met twee factoren en Universal 2nd Factor (U2F) aan met behulp van een beveiligingssleutel en maakte personeelsbeleid aan (Dropbox-medewerkers nu gebruik 1Password om hun wachtwoorden te beheren, wachtwoorden voor bedrijfsaccounts kunnen niet meer opnieuw worden gebruikt en alle interne systemen staan ​​op 2FA).

Voor een analyse van wat LinkedIn heeft gedaan, is dit artikel misschien een grondiger en beter leesbaar artikel.

Afsluiten

Eerlijk gezegd was het leren van dit alles, gewoon door de Dropbox-hack te bestuderen, een eye-openende en angstaanjagende ervaring. Wij, de bevolking in het algemeen, onderschatten de noodzaak van unieke en sterke wachtwoorden sterk, zelfs nadat ze meerdere keren zijn verteld om nooit wachtwoorden te delen of herhalen, of woorden in woordenboeken te gebruiken.

Als uw gegevens zijn aangetast door de Dropbox-hack, moet u de nodige voorzorgsmaatregelen nemen om uw persoonlijke gegevens te beveiligen. Doe wat moeite met je wachtwoorden of krijg een wachtwoordbeheerder . Oh, en plak de camera of webcam op je laptop wanneer deze niet in gebruik is. Je kunt nooit te voorzichtig zijn.

(Coverfoto via GigaOm)

50 spectaculaire natuurgezichten die je moet zien voordat je sterft - deel II

50 spectaculaire natuurgezichten die je moet zien voordat je sterft - deel II

Ongeacht de tijd van het jaar is het zo dat je zeker een vakantie al gepland hebt in je hoofd. De enige vraag die jaar in, jaar uit verandert, is waar te gaan. Hier zijn een aantal plaatsen waar u wellicht aan wilt beginnen:30 prachtige tempels in Azië die je moet bezoeken45 ontzagwekkende bezienswaardigheden over de hele wereld40 spectaculaire bezienswaardigheden van de natuur die je moet zien voordat je sterftOm aan die groeiende lijst toe te voegen, hebben we nog een lijst met spectaculaire plaatsen die je misschien aan je bucketlist wilt toevoegen.

(Technische en ontwerptips)

Integreer CRM in Gmail met Streak

Integreer CRM in Gmail met Streak

Als u een bedrijf heeft of betrokken bent bij de verkoop, brengt u waarschijnlijk het grootste deel van uw tijd door in Gmail, in communicatie met klanten, klanten en misschien zelfs met potentiële werknemers. Maar Gmail is niet ontworpen voor CRM-taken ( customer relationship management ), zoals het organiseren en synchroniseren van verkoop en klantenservice.

(Technische en ontwerptips)