Vai es esmu pamanījis brīdināt jūs par datu pārkāpumiem pat tad, ja vietnes to nedarīs


Neskatoties uz progresu datu drošībā, daudzi pasaules lielākie uzņēmumi joprojām ir datu pārkāpumu upuri. Trojs Hants, vietnes “Vai es esmu bijis ticis” dibinātājs, stāsta mums, kā šie pārkāpumi notiek, kā tiek izmantoti nozagti dati, kā tie ietekmē korporācijas un privātpersonas, un pats svarīgākais - dod mums rīkus, kas ļauj uzzināt, vai mūsu personas dati ir apdraudēti, un kā vislabāk sevi aizsargāt pēc fakta.

Kā jūs nokļuvāt tiešsaistes drošībā?

Mana pieredze ir programmatūras izstrādē, vēlāk specializējusies lietojumprogrammu arhitektūrā. Kad es strādāju lielā farmācijas uzņēmumā, viņi visu attīstību attīstīja zemu cenu pārdevējiem lētos Āzijas un Klusā okeāna tirgos un ieguva tāda veida briesmīgu programmatūru, kādu jūs varētu gaidīt no viszemākās cenas piedāvātāja. Es redzēju daudz dažādu drošības ievainojamību, kas man patiešām bija acīmredzami, bet viņiem - ne tik daudz. Tāpēc, lai izglītotu citus, es sāku blogot par drošības ievainojamībām un to, kā tās novērst lietojumprogrammas kodā. Tajā laikā programmatūras izstrādātājiem patiešām nebija daudz labu lietu, tāpēc tas apmierināja vajadzību, un pārējais ir vēsture.

Kādas ir visizplatītākās drošības ievainojamības?

Visas acīmredzamās lietas, piemēram, SQL injekcija, nedrošas tiešās objektu atsauces, slikta paroļu glabāšana, transporta slāņa šifrēšanas trūkums. Būtībā viss OWASP top 10, viskanoniskākais dokuments par to, kā pareizi izdarīt lietojumprogrammu drošību, konsekventi tika darīts nepareizi.

Bet uzņēmumi datu aizsardzībai tērē daudz naudas. Kā tas tik viegli tiek apdraudēts??

Tā ir interesanta lieta. Mēs redzam, ka lieli uzņēmumi ar lieliem drošības budžetiem koncentrējas uz tādām lietām kā kritiskās sistēmas un iekšējā attīstība, taču tie ne vienmēr attiecina šo uzmanību uz visu pārējo perifērijā. Tad ir jautājums par to, kad tiek piemērota drošība. Daudzām organizācijām programmatūra joprojām ir “būvēta” (padara cenu piedāvājumus!), Pabeigta un pārbaudīta pārdevēja, un drošība tiek piemērota tikai pēc piegādes. Tātad viņu drošības spin identificēs veselu virkni drošības ievainojamības problēmu visnelabvēlīgākajā laikā - projekta beigās.

Jo tālāk projekta dzīves cikls iet, jo dārgāk ir novērst šos defektus, dodoties atpakaļ, pārrakstot kodu, atkārtojot integrācijas testus, lietotāju pieņemšanas testus utt. Es domāju, ka tas ir vienkārši briesmīgs veids, kā nodrošināt drošību. Vispirms es gribu palīdzēt uzņēmumiem izvairīties no šīs ievainojamības.

Kā uzņēmumi zina, kad viņi ir pārkāpti un kādi dati ir nozagti?

(Smejas) Nu, ļoti bieži uzņēmumi zina, ka viņi ir pārkāpti, kad es viņiem saku! Nav nekas neparasts, ka organizācija pirmo reizi uzzina par datu pārkāpumiem, kad kāds līdzīgs man pievēršas viņiem ar savu datu bāzi. Lielākā daļa organizāciju, pat dažas no pasaules lielākajām vai nozīmīgākajām vietnēm, ir slikti sagatavotas, lai noteiktu, kad notiek ielaušanās, un dati tiek filtrēti.

Padomājiet par Sony Pictures. Es domāju, ka uzbrukums notika ilgāku laika periodu, tika izvilkts milzīgs datu apjoms no daudzām dažādām sistēmām, un pirmais, ko viņi par to zināja, bija tad, kad darbinieki ekrānos redzēja “miera aizbildņus uzlauztu”..

Vai es esmu pamanījis brīdināt jūs par datu pārkāpumiem pat tad, ja vietnes to nedarīsKāda veida dati ir hakeri pēc?

Atkarībā no viņu motīviem, mērķis ir kaut kas internetā. Lietotājvārdi un paroles ir īpaši vērtīgi, jo paroles atkārtota izmantošana nozīmē, ka jums, iespējams, ir atslēga daudzām citām vietnēm. Acīmredzot viss, kas ir finansiāls raksturs, piemēram, kredītkaršu informācija un bankas konta informācija, ir sena iecienīta izvēle. Arvien vairāk informācija, kas tiek digitalizēta organizācijās, it īpaši viss, ko atbalsta valsts, ir ļoti izdevīga korporatīvajai spiegošanai. Bet tur ir daudz cilvēku, galvenokārt bērni, kuri vēlas tikai trofeju. Viņiem nav vienalga, cik vērtīgi ir dati; viņiem nav vienalga, kāda tā ir vietne, viņi priecājas tikai par vietnes nokļūšanu un neslavu celšanu.

Kā nozagti dati ietekmē uzņēmumus un privātpersonas?

Tas ir atkarīgs no datu veida. Ja informācija nav slepena, tai var būt neliela ietekme uz indivīdu, bet liela ietekme, sabojājot pārkāptas organizācijas reputāciju. Kompānijai Sony Pictures filmas, kas nav izlaistas, ir vērtīgs intelektuālais īpašums.

Akreditācijas datus var izmantot, lai ielauztos kontos, nosūtītu surogātpastu un ļoti mērķtiecīgi veiktu pikšķerēšanu. Ešlija Madisona gadījumā mēs redzējām šantāžas mēģinājumus, kas faktiski bija tikai pasta apvienošana, izmantojot pārkāpuma datus. Diemžēl tas izraisīja atkāpšanos, šķiršanos un pat pašnāvības, tāpēc acīmredzami ietekme var būt ļoti smaga.

Vai es esmu pamanījis brīdināt jūs par datu pārkāpumiem pat tad, ja vietnes to nedarīsVai uzņēmumam ir jāpaziņo personām par datu pārkāpumiem?

Tas ir atkarīgs no jūsu jurisdikcijas. Piemēram, Austrālijā mums ir diezgan viegli obligāti piemērojami likumi par informācijas atklāšanu; patiesībā savus pirmos obligātās informācijas atklāšanas likumus mēs saņēmām tikai pagājušajā gadā. Ja uzņēmuma ieņēmumi ir mazāki par 3 000 000 Austrālijas dolāru gadā, kas ir vairāk nekā 90% no Austrālijas uzņēmumiem, vai arī, ja ticams, ka pārkāptie dati neradīs nopietnu kaitējumu, tad viņiem nav jāatklāj informācija.

Saskaņā ar IKP Eiropā pamatnostādnes ir daudz stingrākas. Pastāv vairāk uz privātumu orientēts uzskats, ka personas dati pieder privātpersonai, nevis uzņēmumam, un jebkura ļaunprātīga izmantošana ir jāatklāj. Es domāju, ka organizācijām neatkarīgi no tā, kur tās atrodas, būtu jāatzīst, ka pat ja tā ir tikai mana e-pasta adrese MANS e-pasta adrese, un, ja jūs to pazaudējat vai atklājat, man vajadzētu par to paziņot.

Kāpēc jūs sākāt Vai es esmu ticis uztverts, un kādus pakalpojumus tas sniedz??

Ap 2013. gadu es veicu daudz datu pārkāpumu analīzes un redzēju dažus interesantus modeļus, piemēram, e-pasta adresei, kas parādījās vairākos datu pārkāpumos, bieži vien bija viena parole. Mēs jau zinājām, ka cilvēki izmanto tos pašus akreditācijas datus, lai pieteiktos vairākās vietnēs, taču bija interesanti patiesībā redzēt datus. Vēl viena lieta, kas man šķita ziņkārīga, bija tā, ka daudzi cilvēki, kas bija nonākuši datu pārkāpumos, nezināja. Tāpēc es gribēju izveidot apkopošanas pakalpojumu, kurā cilvēki varētu labāk izprast viņu kopējo nospiedumu un to, cik liela daļa viņu datu ir atklāti. Tas bija ģenēze, lai uzzinātu, vai es esmu ticis iecerēts.

Vai es esmu pamanījis brīdināt jūs par datu pārkāpumiem pat tad, ja vietnes to nedarīsKā jūs iegūstat pārkāptas datu bāzes?

Sākumā es izgāju ārā un satveru publiski pieejamo informāciju. Laika gaitā, tā kā projekts sāka saņemt lielu sabiedrības atbalstu, arvien vairāk cilvēku pieteicās un sniedza man datus par konkrētu pārkāpumu. Tikai šajā nedēļas nogalē man kāds parādījās no zila un sūta milzīgu datu daudzumu no septiņiem dažādiem pārkāpumiem, no kuriem lielākajā daļā bija desmitiem miljonu ierakstu katrs.

Tas kaut kādā veidā uzdod jautājumu, kuru zināt, kas ir šie cilvēki? Vai viņi ir sliktie puiši? Vai tie ir cilvēki, kas tikai tirgojas ar informāciju? Patiesībā tas ir mazliet par visu. Es esmu pārliecināts, ka dažos gadījumos tie ir cilvēki, kas faktiski ir apdraudējuši sistēmas datu kopumu, bet vairumā gadījumu cilvēki ir hobijs, kas anonīmi vāc un pārrauga datu pārkāpumus.

Noteikti ir daudz profesionālu balto cepuru drošības pētnieku, kuri sazināsies ar organizāciju, paziņos viņiem, ka viņu dati ir atklāti, un dažreiz sniedz viņiem norādes, kā to turpmāk aizsargāt. Kad pārkāpums ir novērsts, viņi man sniegs datus un pieprasīs, lai es tos uzskaitītu kā avotu, lai tos publiskotu.

Kas ir pasta?

Ielīmēt ir teksts, kas burtiski vienkārši tiek ielīmēts vietnē. Varat doties uz tādu pakalpojumu kā Pastebin, ielīmēt tekstu, saglabāt to un jums ir URL, kuru varat koplietot ar citiem. Dati par pārkāpumiem vispirms tiek parādīti ielīmēs, jo hakeri datu segmentu ielīmēs kā pierādījumu tam, ka ir piekļuvuši sistēmai..

Vai es esmu pamanījis brīdināt jūs par datu pārkāpumiem pat tad, ja vietnes to nedarīs

Lai gan tas ir labs agrīns pārkāpto datu indikators, arī pastos bieži ir daudz nevēlamā materiāla, tāpēc ikreiz, kad tiek atrasta e-pasta adrese, mēs piedāvājam saiti uz ielīmēšanu, lai jūs varētu izlemt, vai jums kaut kas jādara.

Kādas darbības jūs iesakāt personai, kuras dati ir nozagti?

Tas tiešām ir atkarīgs no datu rakstura. Ja tā ir parole, kas atkārtoti izmantota citās vietās, tā ir jāmaina katrā vietnē. Paroļu pārvaldnieks ir labs līdzeklis, lai tos visus padarītu unikālus. Ja tā ir parole tikai vienā vietnē, tā ir daudz vienkāršāka. Turklāt, tiklīdz vietnes uzzina par datu pārkāpumiem, tās tik un tā atiestata visas paroles. Ja tas ir kaut kas personīgāks, piemēram, kredītkarte, dodieties uz priekšu un atceliet karti. Ja tā ir jūsu mājas adrese, tālruņa numurs vai dzimšanas datums, tad tās ir lietas, kuras nemainīsit tikai datu pārkāpuma dēļ, taču ir ieteicams izmantot kredītnovērošanas pakalpojumu, jo tieši tāds ir datu, kas izmantoti identitātes zādzībām.

Kas ir seminārs “Hack Yourself First”??

Pēdējo četru gadu laikā apmēram 80 reizes visā pasaulē esmu vadījis 2 dienu semināru “Hack Yourself First”. Tā ir izstrādāta, lai palīdzētu programmatūras izstrādātājiem, sistēmas administratoriem, IT profesionāļiem utt. Saprast, kā tiek izmantota viņu drošības ievainojamība, lai viņi varētu labāk aizsargāties. Es vedu dalībniekus pa visu dzīves ciklu; lūk, kā darbojas SQL ievadīšana - lūk, kā uzbrucēji izgūst datus - un, protams, lūk, kā rakstīt kodu, tāpēc tas nenotiek ar jums.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me