Не може да не сте забелязали , че много потребителски имена и пароли бяха откраднати в последните години (особено през тази година) и бяха пуснати в Интернет (напр. Gawker, Rockyou, различни дъмпове на Lulzsec), на разположение на всеки един измамник да се опита да ги използва. Това не е приятен факт, но поне направи възможно да се установи кои са най-популярните (и следователно най-лесни за отгатване) пароли и няколко компании за сигурност и изследователи използваха информацията, за да съветват читателите как да формулират по-добре паролите си.Напоследък някои изследователи отидоха още по-далеч, и предложиха услуга, която позволява на разтревожени потребители да въведат своя мейл адрес или потребителско име в поле и услугата търси за съвпадения в различни бази данни. Например, сайтът ShouldIChangeMyPassword.com, собственост на Avalanche Technology Group, е одобрен от известни журналисти и дори от експерти в сигурността, използва този списък с ресурси. Pwnedlist.com е подобен проект, който е на HP/Tippingpoint. Тук не говорим за еднократни начинания или просташки фишинг сайтове, защо тогава съм толкова негативно настроен от този подход за проверка?Както казах, не говорим за фишинг организатори и опортюнисти, но не съм ги проверил лично все още. И това е част от проблема. Как сте сигурни, че дадена услуга е легитимна и сигурна? Ние всички сме доверчиви понякога, но тези, които трябва да сме експерти в сигурността, трябва да сме скептични и да поставяме под въпрос определени предположения. Колко е трудно да се злоупотреби с услуга като тези? Ето някои мисли, които се появиха в една вътрешна комуникация в ESET. (Моля имайте предвид, че това са мои лични предразсъдъци, не консенсно мнение или официално становище от името на ESET.)Нека предположим, че аз създавам една форма, където въвеждате своя мейл или потребителско име, за да проверите, дали то не е компрометирано.
- Мога да направя това, което другите услуги правят и да проверя в няколко познати източника с мейл адреси и пароли за съвпадение.
- Ако вашето потребителско име не се появи никъде, мога да кажа, че то не е компрометирано, но мога и да кажа, че не съм открил то да е компрометирано.
- Ако се появи в някой от източниците, мога да постъпя етично и да ви уведомя, за да можете да смените паролата си.
- Но ако не съм легитимна услуга, аз ще знам, че профилът е все още активен и ще знам също паролата. Вариантите са да ви кажа, че няма съвпадение и паролата ви не е компрометирана, и както казва колегата ми Петер Станчик, „свиваш една и разпускаш”, вместо да направиш разумното и да смениш паролата си за всеки случай. Междувременно, аз я използвам, за да изкарам малко пари.
Разбира се, както Петер отбеляза, тази атака не разкрива нова компрометирана информация. Това не е единственият начин да проверите в непрекъснато нарастваща планина от потребителски имена/пароли, които са пръснати из Интернет, очакващи вниманието на престъпниците. Можеш ръчно да провериш във всеки един от тях, но можеш да направиш и някаква автоматизация. Въпреки това, планината е голяма.Pwndlist предлага една допълнителна защита. Вместо да въвеждате като текст вашето потребителско име, вие използвате SHA-512 криптиране. Въпреки това, както Карол Териолт отбеляза, , повечето хора не знаят какво е SHA-512. Не виждам как моите потенциални жертви ще се хванат да научат как да генерират такова. Всъщност, в Интернет има много инструменти, които вършат това, но ако сте стигнали дотам да се съмнявате в такива услуги, то вероятно вече сте сменили паролите си, които може да са поставени в риск. Помнете, това не е само въпрос на разграничаване между добри и лоши: както отбеляза Арйе Горецки в същата дискусия, ако една легитимна в началото услуга е била компрометирана, лошите вече имат достъп до потенциално много лично верифицирани адреси. Моят принципен проблем е следният. Не е редно да се насърчават хората да приемат за чиста монета когато дадена услуга казва „пароли не се съхраняват в нашата база данни” или „ние не пазим, възстановяваме или споделяме данни”, както не приемат когато едно съобщение казва „това не е спам” или сайт за сподеяне на файлове да казва „този файл не съдържа троянски кон или вирус”. За една компания за сигурност, която се приема като заслужаваща доверие, не е трудно технически да изгради интерфейс, подобен на този, който ползва. Но е голяма отговорността, когато данните се съхраняват някъде другаде и могат да бъдат заразени. Въпросът е, колко често сте виждали фишинг съобщения, които цитират текст от реалната банка, който, ако се прочете внимателно, трябвада ни подскаже в никакъв случай да не се доверяване на съобщението, в което го открива? Вместо това, обикновено се оказва, че жертвата се чуства сигурен от наличието на този текст и това го кара да се довери.Аз приветствам усилията на сериозните изследователи да намерят начин да помогнат на потребителите да проверят дали паролите им са компрометирани в някоя позната атака. Ако искате да знаете със сигурност, че са били, когато коментирате с банката или друга институция, тази информация може да ви е полезна.Аз просто си мисля, че ако имате някаква причина да смятате, че ваш профил е бил компрометиран, най-лесния и най-сигурен начин е просто да смените паролата си. Дори и причината да е само, че не сте я сменяли отдавна. С други думи, отговорът на "ShouldIChangeMyPassword.com" (ДаСменяЛиПаролатаСи.com) e категорично ДА!Ако имате нужда от съвет за добри практики с паролите, може да намерите полезна тази информация , автори сме Ранди Ейбрамс и аз.Дейвид Харли CITP FBCS CISSP
Старши изследовател в ESET