Proprio quando si comincia a pensare che abbiamo visto fuori l'ultima delle violazioni importanti della sicurezza per il 2011, giorno di Natale ci porta un whopper finale per l'anno:Stratfor . Molto è già stato detto sul motivo per cui potrebbe essere stato violato e che potrebbero (o non potrebbe ) l'hanno fatto, ma resta il fatto che ora ci sono decine di migliaia di password dei clienti ei dettagli della carta di credito galleggiante in tutto il web.Ah, ea quanto pare circa 5 milioni di email interne pronto per essere rilasciato.
Allora cosa facciamo prendere da questo sito come costruttori? Il senno di poi ci dà una buona occasione di riflessione mentre guardiamo le ricadute svolgersi dalla violazione ultima grande dell'anno. Vorrei condividere le 5 lezioni sto prendendo alla larga da questo.
1. Ci non ha bisogno di essere un motivo per voi di essere hackerato
Il movimento hactivism intero, come eticamente discutibile che sia, almeno ha qualcheragione per essere razionale. Visa è stato attaccato dopo che sospendere i pagamenti a WikiLeaks. HB Gary è stato abbattuto dopo sostenendo che avevano infiltrato anonimo e avrebbe rivelato le identità dei membri '. A torto oa ragione, questi incidenti hanno motivazioni al di là di furtarelli puro.
Ma Stratfor? Nessun motivo sembra essere presente e, mentre essi forniscono servizi relativi alla sicurezza, non sembrano essere coinvolti in una qualsiasi delle tante attività che normalmente attirano le ire della comunità hacktiviste. A differenza di molte violazioni precedenti, non c'è stato alcun "Siamo perché si è riusciti a [inserire qui i motivi]" informativa.
Indietro nel mese di settembre ho scritto su ASafaWeb Gootkit attaccare , un progetto su cui stavo lavorando, che era agli albori in quel momento. Il punto è semplicemente che solo di essere sul web è motivo sufficiente per essere attaccato indiscriminatamente . Bot automatici non me ne frega niente che cosa il vostro sito, avranno un andare verso di voi e se qualche debolezza sono trovati, è possibile essere che ci sia un essere umano all'altro capo pronto a passo le cose su una tacca. Questo è tutto il motivo per cui hanno bisogno.
2. L'abuso finanziarie dei vostri clienti si estenderà lungo e lontano
Dopo la breccia, gli attaccanti inizia con le carte di credito dei clienti 'a fare donazioni . C'è un elemento di Robin Hood su questo - assumendo che comodamente trascurare il fatto che molti titolari di carta semplicemente segnalare la transazione come fraudolente e hanno invertito la carica - ma il bit veramente interessante doveva ancora venire. Messaggi come questo ha iniziato popping up molto rapidamente dopo i dati della carta sono state pubblicate on-line:
E simili su Twitter :
Questa conto su di autori? Chissà, avrebbe potuto essere chiunque, tutte le carte di credito sono ora disponibili per il mondo a vedere proprio qui . L'entità degli abusi è limitata soltanto alla diligenza del titolare della carta (la velocità con cui si annulla) e l'istituzione finanziaria (la loro capacità di identificare le attività fraudolente). tl, dr - questo sta facendo un sacco di clienti molto, molto infelice come l'abuso finanziario si estende ben oltre la semplice gli hacker .
3. Altri servizi online ai vostri clienti 'sarà compromessa
All'inizio di quest'anno ho scritto perché la progettazione della sicurezza la vostra applicazione potrebbe influenzare le vendite di bacche di Acai . In questo post ho parlato l'alta prevalenza di riutilizzo delle password, come evidenziato dalla violazione Gawker e perché il compromesso di un sito comporta di conseguenza, il compromesso dei conti su molti altri.
Poi intorno alla metà dell 'anno ho fatto una breve analisi la password Sony e ha trovato un evento incredibilmente alto di riutilizzo delle password attraverso indirizzi di posta elettronica comune a entrambi Sony e Gawker:
Quindi è una sorpresa che uno sguardo molto veloce al conti Stratfor riferimenti incrociati con precedenza violato fonti credenziali sta mostrando riutilizzo delle password ancora di più?Qui ci sono solo una manciata di esempi in cui le violazioni precedenti avevo in archivio abbinato con i conti da Stratfor:
Che cosa significa è semplicemente questa: perché Stratfor non protegge adeguatamente le credenziali dei loro clienti 'e perché molti di tali credenziali riutilizzo dei clienti, è estremamente probabile che gli altri servizi connessi non sarà superato di conseguenza . E 'anche molto probabile che la colpa di ciò sarà diretto a Stratfor.
4. Gli hash delle password senza sale sono una sottile patina di sicurezza
Ora sappiamo che le password erano memorizzate come cliente diretto hash MD5, non c'era l'uso di sali. Secondo il comunicato Pastebin , il 54% dei conti erano facilmente violata utilizzando un attacco di dizionario con la lista delle password UNIQPAS . Una volta che hai 30 milioni le password del mondo reale, hash e confrontando questi a un database violato diventa un evento abbastanza semplice.
Tornato in parte 7 della mia serie sulla OWASP Top 10 per sviluppatori. NET dimemorizzazione di dati crittografici insicuro , mi ha mostrato quanto facilmente gli hash delle password da sola caduta di un attacco di forza bruta e ora stiamo vedendo questo (di nuovo) allo stato selvatico. Intendiamoci, ho anche mostrato come sia facile creare un sale crittograficamente casuale e per questo qualsiasi sito web a tutti oggi non farebbe questo, e tanto meno uno la natura della Stratfor, è oltre me.
Così la linea di fondo è questo: se le password semplicemente hash, si potrebbe semplicemente non di fastidio a tutti , e questo è a prescindere dalla algoritmo di hash utilizzato. L'unica cosa di risparmiare da un attacco di forza bruta è semplice se gli utenti di creare forti password uniche - che come ho mostrato nell'analisi di Sony, che quasi mai!
5. La biancheria sporca software andrà in onda pubblicamente
In un momento o un altro, tutti finiscono con alcuni scheletri nell'armadio software. Se dalle nostre volontà o pressioni da parte degli altri, prendiamo alcune scorciatoie e fare qualche compromesso. A volte ci chiameremo "debito tecnica", altre volte ci guarderemo indietro e chiedersi perché non sapevamo meglio in quel momento.
Una volta che sei stato veramente bene e di proprietà in Stratfor / Sony / Gawker stile, che la biancheria sporca sta per diventare molto, molto pubblico. Stratfor ha fatto un certo numero di cose fondamentalmente stupidi nella loro progettazione di siti web e le pratiche sono ora in mostra per il mondo a vedere. Utilizzando MD5 come algoritmo di hashing, di cattivo gusto. Nessun sali utilizzati; temerario. Memorizzazione di carte di credito in chiaro; addirittura negligente.
Quindi è necessario porsi questa domanda: se un sito web che è stato coinvolto in edificio è stato spogliato e messo a parte esposti al pubblico, sarei in grado di stare con orgoglio dal mio codice? Oppure sarei battere in ritirata precipitosa e rapidamente la rimozione Stratfor (o equivalente) dal mio CV?
Riassunto
Questo non era destinato ad essere un Stratfor-bashing post, piuttosto è un'opportunità per vedere il destino che attende coloro che non prendono sul serio la sicurezza web. Chiamatelo un controllo di realtà veloce, se vuoi.
Quindi, con questo fresco nella mente, come pure i vostri siti aderire alla sicurezza rischi identificati in pubblicazioni come la OWASP Top 10 ? Sei memorizzare i dati dei clienti sensibili in chiaro? Sei semplicemente l'hashing delle password, senza sale, a prescindere l'algoritmo usato? O solo leggermente peggio, si archiviano le password in chiaro?
Se puoi rispondere "sì" a tutto questo allora è il momento migliore per avere un serio pensare di investire un po 'di tempo ottenere il vostro ordine in casa. Sollevare con il tuo capo, chat per il tuo CIO / CSO, parlare a chi ci ascolta, perché se siete nella stessa barca, come Stratfor e si ottiene di proprietà, c'è una reale possibilità è buono il tuo mondo cambierà in ogni sorta di sgradevole modi letteralmente dall'oggi al domani.
Nessun commento:
Posta un commento