Jesam li vas upozorio na kršenje podataka čak i kada web stranice ne budu
Unatoč napretku u sigurnosti podataka, mnoge najveće svjetske tvrtke još uvijek postaju plijen kršenjima podataka. Troy Hunt, osnivač filma Have I Been Pwned, govori nam o tome kako se događaju te povrede, kako se koriste ukradeni podaci, njihov utjecaj na korporacije i pojedince, i što je najvažnije – daje nam alate da znamo jesu li naši osobni podaci ugroženi i kako se najbolje zaštititi nakon činjenica.
Kako ste se upustili u internetsku sigurnost?
Moja pozadina je u razvoju softvera, kasnije specijaliziranoj za aplikacijsku arhitekturu. Kad sam radio za veliku farmaceutsku tvrtku, oni su sav svoj razvoj prebacili na jeftine dobavljače na jeftinim azijsko-pacifičkim tržištima i dobivali kakav užasni softver koji biste očekivali od najnižeg ponuditelja. Vidio sam mnoštvo različitih sigurnosnih ranjivosti koje su mi za njih bile očigledne, ali njima ne puno. Stoga sam, kao način obrazovanja drugih, započeo s blogiranjem o sigurnosnim ranjivostima i kako ih riješiti u kodu aplikacije. U to vrijeme zaista nije bilo puno dobrih stvari za programere softvera, pa je ovo ispunilo potrebu, a ostalo je povijest.
Koje su najčešće sigurnosne ranjivosti koje ste otkrili?
Sve očite stvari poput SQL ubrizgavanja, nesigurne reference izravnih objekata, loše pohranjivanje lozinke, nedostatak šifriranja transportnog sloja. U osnovi, sve u OWASP Top 10, većina kanonskih dokumenata o tome kako učiniti sigurnost aplikacija pravo, dosljedno se radi pogrešno.
No, tvrtke troše puno novca na zaštitu podataka. Kako je to tako lako kompromitirati?
To je zanimljiva stvar Vidimo velike tvrtke s velikim sigurnosnim proračunima koji se usredotočuju na stvari poput kritičnih sustava i unutarnjeg razvoja, ali one ne moraju nužno proširiti taj fokus na sve ostalo na periferiji. Tada se postavlja pitanje kada se primjenjuje sigurnost. Mnoge organizacije i dalje imaju svoj softver “ugrađen” (izrađuje ponude!), Dovršava ih i testira dobavljač, a primjenjuju sigurnost tek nakon isporuke. Dakle, njihov sigurnosni završetak identificirat će čitav niz problema sa sigurnosnom ugroženošću u najgorem mogućem trenutku – na kraju projekta.
Što dalje prolazite kroz životni ciklus projekta, skuplje je ispraviti te nedostatke vraćanjem unatrag, prepisivanjem koda, ponavljanjem testova integracije, testiranjem prihvaćanja korisnika itd. Mislim, to je samo užasan način za sigurnost. Želim pomoći tvrtkama da izbjegnu tu ranjivost u prvom redu.
Kako tvrtke znaju kada su prekršene i kakvi su podaci ukradeni?
(Smijeh) Pa, vrlo često tvrtke znaju da su prekršene kad im kažem! Nije neobično da prva organizacija zna za kršenje podataka kad netko poput mene pristupi svojoj bazi podataka. Većina organizacija, čak i neke od najvećih ili najznačajnijih svjetskih web stranica, samo su slabo opremljene za prepoznavanje upada, a podaci se izvaljuju.
Pomislite na Sony Pictures. Mislim, napad se dogodio kroz duže vremensko razdoblje, izbacivao je ogromnu količinu podataka iz mnoštva različitih sustava, a prvo što su znali bilo je kad su zaposlenici vidjeli “hakirane čuvare mira” na svojim ekranima.
Koju vrstu podataka hakeri nakon?
Ovisno o njihovim motivima, sve na internetu je meta. Korisnička imena i lozinke posebno su vrijedni jer upotreba zaporke znači da potencijalno imate ključ za mnoštvo drugih web lokacija. Očito je da je sve što je financijske naravi, poput podataka o kreditnoj kartici i podacima o bankovnim računima stari favorit. Informacije koje se digitaliziraju u organizacijama, osobito sve što je poduprto državom, sve su više od koristi za korporacijsku špijunažu. Ali ima puno ljudi, uglavnom djece, koji žele samo trofej. Ne zanima ih koliko su podaci vrijedni; ne zanima ih kakva je web lokacija, oni su sretni samo što mogu ući i osmisliti web mjesto.
Kako ukradeni podaci utječu na tvrtke i pojedince?
Ovisi o vrsti podataka. Ako informacije nisu osjetljive, mogu imati manji utjecaj na pojedinca, ali će imati veliki utjecaj šteteći ugledu narušene organizacije. Za Sony Pictures bili su neobjavljeni filmovi koji su vrijedno intelektualno vlasništvo.
Vjerodostojni podaci mogu se koristiti za probijanje računa, slanje neželjene pošte i za vrlo ciljano krađanje identiteta. U slučaju Ashley Madison, vidjeli smo pokušaje ucjenjivanja koji su zapravo bili samo spajanje pošte koristeći podatke iz kršenja. Nažalost, to je rezultiralo ostavkama, razvodom, pa čak i samoubistvima, pa očito, utjecaj može biti vrlo ozbiljan.
Da li tvrtka mora obavijestiti pojedince o kršenju podataka?
To ovisi o vašoj nadležnosti. Na primjer, u Australiji imamo prilično lagane zakone o obveznim otkrivanju; zapravo, samo smo prošle godine dobili prve zakone o obveznom objavljivanju. Ako tvrtka ima prihode manje od 3.000.000 australijskih dolara godišnje, što je više od 90% australijskih tvrtki ili ako neispravni podaci vjerojatno neće nanijeti ozbiljnu štetu, tada ih nije potrebno objaviti.
U BDP-u u Europi smjernice su mnogo strože. Postoji mišljenje orijentirano na privatnost da osobni podaci pripadaju pojedincu, a ne tvrtki, i svaka zlouporaba treba biti otkrivena. Mislim da bi organizacije, bez obzira gdje se nalazile, trebale prepoznati da je to čak i moja adresa e-pošte, MOJ adresu e-pošte i ako je izgubite ili izložite, trebao bih biti obaviješten.
Zašto ste započeli Jesam li bio član i koju uslugu pruža?
Provodio sam mnogo analiza kršenja podataka oko 2013. godine i vidio sam neke zanimljive obrasce, poput adrese e-pošte koja se pojavila u višestrukim kršenjima podataka, često su imali istu lozinku. Već smo znali da ljudi koriste iste vjerodajnice za prijavu na više web lokacija, ali zanimljivo je bilo vidjeti podatke. Još jedna stvar koju sam smatrao znatiželjnom jest da mnogi ljudi koji su bili u kršenju podataka nisu bili svjesni. Stoga sam želio stvoriti uslugu združivanja u kojoj bi ljudi mogli bolje pregledati svoj cjelokupni otisak i koliko su njihovi podaci bili izloženi. To je bila geneza filma “Jesam li bio opušten”.
Kako stječu kršene baze podataka?
U početku sam izašao i uzeo javno dostupne informacije. S vremenom, kako je projekt počeo dobivati veliku podršku javnosti, sve se više ljudi javilo i pružilo mi podatke o određenom kršenju. Baš ovog vikenda neko mi je isplivao iz modra i poslao ogromnu količinu podataka s sedam različitih kršenja pravila, od kojih većina sadrži desetine milijuna zapisa.
Nekako se postavlja pitanje znate li tko su ti ljudi? Jesu li oni negativci? Jesu li to ljudi koji samo trguju informacijama? Stvarnost je u tome da je to malo svega. Sigurna sam da su u nekim slučajevima ljudi koji su kompromitirali sistemski skup podataka, ali u većini slučajeva ljudi hobi čine anonimno prikupljanje i nadzor kršenja podataka..
Sigurno postoje mnogi profesionalni istraživači sigurnosti bijelih šešira koji će stupiti u kontakt s organizacijom, obavijestiti ih da su njihovi podaci izloženi i ponekad im dati smjernice za zaštitu u budućnosti. Nakon što isprave prekršaj, dat će mi podatke i tražiti da ih navedem kao izvor da ih objavim.
Što je pasta?
Zalijepljenje je tekst koji je doslovno jednostavno zalijepljen na web mjesto. Možete se obratiti usluzi poput Pastebina, zalijepiti je u neki tekst, spremiti i dobiti URL koji možete podijeliti s drugima. Podaci s kršenja često se prvo pojavljuju u pastama, jer će hakeri zalijepiti segment podataka kao dokaz da su pristupili sustavu.
Iako je ovo dobar rani pokazatelj prekršenih podataka, često se nalazi i puno neželjenih pasta, tako da kad god se nađe adresa e-pošte, pružamo vezu do paste kako biste mogli odlučiti trebate li što učiniti.
Koje radnje preporučujete pojedincu čiji su podaci ukradeni?
Doista ovisi o prirodi podataka. Ako je zaporka koja se ponovno koristi na drugim mjestima, onda je treba promijeniti na svim web lokacijama. Upravitelj lozinki je dobar alat kako bi ih učinio jedinstvenima. Ako je lozinka na samo toj web lokaciji, to je puno lakše. Uz to, nakon što su web stranice svjesne kršenja podataka, one ionako resetiraju sve lozinke. Ako je riječ o nečem osobnijem, poput kreditne, idite i otkažite karticu. Ako su to vaša kućna adresa, vaš telefonski broj ili vaš datum rođenja, to su stvari koje nećete mijenjati samo zbog kršenja podataka, ali dobra je ideja koristiti uslugu nadgledanja kredita, jer je takva vrsta. podataka koji se koriste za krađu identiteta.
Što je radionica “Hack Yourself First”?
Tijekom posljednje četiri godine vodio sam dvodnevnu radionicu “Hack Yourself First” oko 80 puta u cijelom svijetu. Zamišljen je da pomogne programerima softvera, sysadminima, IT stručnjacima itd. Razumjeti kako se iskorištavaju njihove sigurnosne ranjivosti kako bi se mogli bolje zaštititi. Polaznike vodim kroz cijeli životni ciklus; evo kako funkcionira SQL injekcija – evo kako napadači izvlače podatke – i naravno, evo kako napisati kôd, a da vam se ne dogodi.
Anthony
17.04.2023 @ 21:45
cija i usluga koje koristi pojedinac. Također, financijski podaci, osobni identifikacijski brojevi, zdravstveni podaci i drugi osjetljivi podaci mogu biti ciljani. Hakeri mogu koristiti ukradene podatke za krađu identiteta, prijevaru, ucjenu ili prodaju na crnom tržištu. Stoga je važno da pojedinci i tvrtke poduzmu mjere zaštite svojih podataka. Da li tvrtka mora obavijestiti pojedince o kršenju podataka? U mnogim zemljama postoje zakoni koji zahtijevaju da tvrtke obavijeste pojedince o kršenju podataka ako su njihovi osobni podaci ugroženi. Ovo je važno jer pojedinci mogu poduzeti mjere zaštite, poput mijenjanja lozinki ili nadzora svojih financijskih računa. Također, obavještavanje o kršenju podataka može pomoći tvrtkama da povrate povjerenje svojih korisnika i spriječe daljnje kršenje podataka. Zašto ste započeli Jesam li bio član i koju uslugu pruža? Pokrenuo sam Have I Been Pwned kako bih pomogao ljudima da saznaju jesu li njihovi osobni podaci ugroženi u kršenjima podataka. Ova usluga omogućuje pojedincima da unesu svoju e-mail adresu ili korisničko ime i provjere jesu li njihovi podaci ukradeni u poznatim kršenjima podataka. Također, pružam informacije o tome koje vrste podataka su ukradene i savjete o tome kako se zaštititi nakon kršenja podataka. Kako stječu kršene baze podataka? Postoji mnogo