Video: USENIX Security ’17 - Understanding the Mirai Botnet (November 2024)
Začiatkom tohto týždňa spoločnosť Trustwave zverejnila svoju štúdiu o obrovskom botnete, jednom z mnohých riadených pomocou ovládača botnetov Pony. Vedci získali kontrolu nad botnetom a nahradili jeho server Command a Control. Keď sa dostali pod kontrolu, zistili, že botnetovi sa podarilo ukradnúť z infikovaných počítačov asi dva milióny hesiel. Objavili tiež niečo, čo už väčšina z nás vie: že ľudia sú hrozní v oblasti hesiel.
Získajte heslá
Dva milióny kompromitovaných účtov boli rozdelené medzi 1, 58 milióna prihlasovacích údajov webových stránok, 320 000 e-mailových prihlásení, 41 000 FTP účtov, 3 000 poverení vzdialenej pracovnej plochy a 3 000 poverení účtu Secure Shell. Ide samozrejme o to, koľko používateľov, ktorých sa to týka, si vybralo rovnaké heslo pre iné stránky.
Vedci našli 318 121 prihlasovacích údajov na Facebooku, čo predstavovalo neuveriteľných 57 percent z celkového počtu. Spoločnosť Yahoo bola na ďalšom mieste s približne 60 000 účtami, po ktorých nasledovalo 21 708 účtov Twitter, 8 490 hesiel LinkedIn a 7 978 účtov poskytovateľa ADP. Tento posledný je trochu neobvyklý, ale tiež dosť škodlivý, pretože poskytuje útočníkom prístup k osobným informáciám obete.
Najviac ma to vyľakalo 16 095 poverení Google.com a 54 437 poverení účtu Google. To by mohlo útočníkom umožniť prístup k službe Gmail a odtiaľ resetovať ďalšie heslá pomocou funkcie „zabudnuté heslo“ na webových stránkach. Útočníkom by tiež mohli poskytnúť prístup k súkromným súborom na Disku Google alebo k platobným informáciám v Peňaženke Google.
To neznamená, že došlo k masívnemu útoku na tieto stránky. Je pravdepodobnejšie, že zločinci dokázali tieto adresy získať niekoľkými spôsobmi, napríklad pomocou phishingu a zapisovačov kľúčov, a uložili ich na tieto servery. Mohli by ich predať iným kupujúcim alebo ich uložiť na budúce použitie.
Hrozné heslá, znova
Trustwave rozdelila heslá do kategórií: šesť percent z nich bolo „hrozných“, zatiaľ čo 28 percent z nich bolo „zlých“. Kombinovaných 22 percent bolo „dobrých“ alebo „vynikajúcich“ a 44 percent bolo „stredných“. Medzi najhoršie boli: 123456, 123456789, 1234 a „heslo“.
Väčšina hesiel nemiešala písmená a čísla. Väčšina hesiel boli buď všetky písmená (rovnaké písmená) alebo všetky čísla, nasledované heslami, ktoré mali dva typy (napríklad kombinácia veľkých a malých písmen alebo malých písmen s číslami), uviedol Trustwave.
Jedným z dobrých zistení bolo, že takmer polovica - 46 percent - hesiel mala dlhé heslá s 10 alebo viac znakmi. Väčšina hesiel sa nachádzala v rozmedzí šiestich až deviatich znakov, povedal Trustwave.
Ciele s vysokým profilom
Pokiaľ ide o architekta podnikových údajov Lucasa Zaichkowského v spoločnosti AccessData, väčšia obava je, že zločinci budú hľadať účty, ktoré patria ľuďom „v cieľových organizáciách s vysokou hodnotou“. Ak sa ukáže, že títo ľudia na týchto stránkach používali rovnaké heslá, ako aj na zdroje súvisiace s prácou, potom sa útočníci môžu preniknúť do podnikovej siete prostredníctvom VPN alebo e-mailu prostredníctvom webového klienta, poznamenal Zaichkowksy.
„Môžu predávať cenné účty ostatným na čiernom trhu, ktorí platia veľké peniaze za platné poverenia, ktoré ich dostanú do ziskových cieľových organizácií, “ uviedol Zaichkowksy.
Ľudia používajú svoje pracovné e-mailové adresy na osobné činnosti, napríklad pri registrácii na účty na Facebooku. Cesar Cerrudo, technický riaditeľ spoločnosti IOActive, našiel rôznych vojenských pracovníkov vrátane generálov a generálov nadporučíka („budúci generáli“, ktoré Cerrudo nazval) použil svoje e-mailové adresy.mil na vytváranie účtov na cestovných stránkach Orbitz, spoločnosť GPS garmin.com, Facebook, Twitter a Skype, aby sme vymenovali aspoň niektoré. Tým je vyhliadka na opätovné použitie hesla ešte problematickejšia, pretože títo jednotlivci sú veľmi cennými cieľmi a majú prístup k mnohým citlivým informáciám.
Qualys riaditeľ inžinierstva Mike Shema však povedal, že vidí nádej v budúcnosti. „Pri pohľade na rok 2014 sa dvojfaktorová autentifikácia bude naďalej rozvíjať v podnikovej a spotrebiteľskej technológii a mnoho aplikácií začne tiež prijímať dvojfaktorové technológie. Uvidíme tiež nárast inteligentného šifrovania pre viac autentifikačné heslá. " Dvojfaktorová autentifikácia vyžaduje druhý krok autentifikácie, napríklad špeciálny kód odoslaný prostredníctvom textovej správy.
Zostaňte v bezpečí
Všeobecne sa zhoduje, že tieto heslá sa získavali z používateľských počítačov a nekradli prihlasovacie informácie z webových stránok - čo je príjemná zmena tempa. Keyloggery sú pravdepodobne podozrivý a obzvlášť nebezpečný. Tieto škodlivé aplikácie dokážu nielen zachytiť stlačenia klávesov, ale dokážu zachytiť aj snímky obrazovky, obsah vašej schránky, spustené programy, navštívené weby a dokonca aj preosievať konverzácie IM a e-mailové vlákna. Našťastie by ste mali pokryť väčšinu antivírusového softvéru. Odporúčame víťazov ocenení Editors 'Choice Webroot SecureAnywhere AntiVirus (2014) alebo Bitdefender Antivirus Plus (2014).
Upozorňujeme, že niektoré AV programy v predvolenom nastavení neblokujú „šedý“ alebo „potenciálne nežiaduce programy“. Keyloggery niekedy spadajú do tejto kategórie, takže túto funkciu zapnite.
Blokovanie neoprávneného získavania údajov a ďalšie taktiky, ktoré majú prinútiť obete k rozdávaniu informácií o hesle, je ťažšie zablokovať. Našťastie máme veľa tipov, ako zistiť phishingové útoky a ako sa im vyhnúť
Najdôležitejšie je, aby ľudia používali správcu hesiel. Tieto aplikácie vytvárajú a ukladajú jedinečné a komplexné heslá pre každú stránku alebo službu, ktorú používate. Tiež sa automaticky prihlásia, takže pre keyloggery bude oveľa ťažšie vytrhnúť vaše informácie. Určite vyskúšajte Dashlane 2.0 alebo LastPass 3.0, ktoré sú držiteľmi ocenení Editors 'Choice za správu hesiel.