Ką pavogė iš LinkedIn ir kodėl vagystė pavyko?

Įsilaužimai Patarimai Privatumas

Kiek daugiau nei trys paros praėjo nuo to momento, kai kompanija LinkedIn patvirtino, jog pavogti jos socialinio tinklo vartotojų slaptažodžiai (bent jau dalis jų). Vagystės detalės šiuo metu dar tikslinamos, tačiau jau dabar aišku, jog kalbama apie didžiausių kriminalinių operacijų per visą Interneto istoriją. Kibernetinio nusikaltėlio (ar jų grupės) prasiskverbimas į tokį populiarų socialinį tinklą įdomus jau vien kaip pats faktas, tačiau suteikia „maisto smegenims“ apie galimas pasekmes kitiems dideliems Interneto resursams.

Beje, priešistorė gana trumpa. Birželio 5 d. anonimas specializuotame interneto forume, skirtame šifravimui (ir kažkaip nenustebino, jog rusiškame), patalpino failą, kuriame buvo 6,5 mln. užšifruotų slaptažodžių, ir paprašė pagalbos juos iššifruoti. Toks didžiulis turinys aiškiai buvo „pasiskolintas“ iš tikrai populiaraus ir lankomo interneto puslapio, tačiau nebuvo nei el. pašto adresų, nei kokių nors kitokių „kabliukų“, kad būtų galima atpažinti auką. Tik po 12 valandų vienas iš savanorių, padėjusių iššifruoti pateiktą medžiagą, surado dėsningumą: daugelis slaptažodžių turėjo eilutę „linkedin“. Taip atsirado versija, jog failas buvo pavogtas iš to paties pavadinimo socialinio tinklo. Ir jau po kelių valandų pati LinkedIn tai patvirtino.

Reikia pastebėti, kompanija sureagavo tikrai sparčiai, o elgesys tikrai teisingas. Ji iš karto organizavo tyrimą, kad patikrintų, ar iš tikrųjų įvyko vagystė, ir jei įvyko, tai kokio masto. Kai tik viskas pasitvirtino, buvo imtasi priemonių: anuliuoti pavogti slaptažodžiai, nukentėjusiems vartotojams išsiųsti el. laiškai su prašymu sugalvoti naujus, kartu į tyrimą įtraukti ir vyrukai juodais drabužiais – FTB.

Visą tą laiką kompanijos LinkedIn vadovas Vicente Silveira nuolat informavo publiką per savo kompanijos tinklaraštį. Sureaguodamas operatyviai ir adekvačiai (prisiminkite, kaip Sony elgėsi po PlayStation Network nulaužimo, ir tikrai pajusite skirtumą), LinkedIn tarsi neleido įvykiams klostytis pagal blogiausią scenarijų, kuris numatė, jog hakeriai galėjo pasinaudoti slaptažodžiais ir užvaldyti vartotojų paskyras. Tačiau savo kritikos porciją LinkedIn vadovybė vis tik gavo – ir gana pelnytai.

Kad geriau galėtume suprasti, kas įvyko ir kaip LinkedIn prasikalto, reikėtų įsigilinti į techninę dalį. Jau senokai baigėsi tie laikai, kai vartotojų slaptažodžiai buvo saugomi WEB serveriuose atviru pavidalu (pavyzdžiui, kur aiškiai užrašytas – „Slaptažodis“). Jau turbūt įsivaizduojate, kas būtų, jei toks failas patektų į „priešo“ rankas – jis iš karto gautų raktą nuo visų durų.

Vietoj to kompanija, kuri rūpinasi savo klientais, saugo slaptažodžius užšifruotu pavidalu. Viskas paprasta: slaptas žodis apdorojamas kriptografinės funkcijos pagalba (pavyzdžiui, SHA-1), kuri paverčia viską į unikalią, ilgą simbolių eilutę. Mūsų atveju „Slaptažodis“ pavirstų į „f8b0e1b941a91a57087dc263d246cc134f02cdb0“. Būtent šią košę, vadinamą „Hash“, ir saugo serveris. Beje, būtent tokiu pavidalu ir saugomi LinkedIn slaptažodžiai.

Tokio metodo privalumas yra tas, jog atpažinti vartotoją galima greitai (įvestas slaptažodis „perleidžiamas“ per SHA-1 funkciją, o rezultatas sulyginamas su saugomu serveryje), tuo tarpu atstatyti slaptažodį, naudojant „Hash‘ą“ ne taip jau paprasta (kriptografinė funkcija „į kitą pusę“ veikia lėčiau). Todėl hakeriai, kurių rankose atsirado užšifruotas failas, paprastai priverstas slaptažodį spėti: perrinkti galimus variantus tikintis, jog jam pasiseks.

Tačiau štai dar viena bėda bėdelė: užšifruoto failo atsparumas priklauso ne tik nuo kriptografinio algoritmo stiprumo, tačiau ir kelių faktorių. Pirma, nuo to, ar sudėtingas („stiprus“) pasirinktas pats slaptažodis. Mūsų atveju pasirinktas „Slaptažodis“ blogas jau dėl to, jog mes paėmėme paprastą žodį: taip, jį lengva prisiminti, tačiau jį daug lengviau ir atspėti tiems, kuriems nereikia jo žinoti.

Žinodami, jog vartotojai yra tingūs ir retai kada sugalvoja nesąmoningą skaičių ir raidžių kombinaciją, hakeris, vietoj visokiausių variantų (pavyzdžiui, „111“, „222“ ar „bbb“ ir pan.), gali pasirinkti tik žodžius iš žodyno su nedidelėmis variacijomis. Štai kodėl po kelių parų, kai LinkedIn „hash“ failas buvo publikuotas Internete, hakeriui (ar galbūt jų grupei) ir jam padėjusiam savanoriui pavyko atspėti virš 60% slaptažodžių.

Linkedin_Chocolates

O galbūt yra koks nors būdas kompensuoti vartotojų tingėjimą? Toks būdas yra ir jo esmė – pridėti prie kiekvieno vartotojo slaptažodžio kokia nors slaptą informaciją, aišku, prieš tai, kol viskas bus paversta „hash‘u“. Pavyzdžiui, mūsų „Slaptažodis“ galėtų būti papildytas tam tikra skaičių kombinacija (gautųsi variantas „Slaptažodis-7389631“), ir tik po to praleistas per kriptografinę funkciją. Tokį priedėlį profesionaliai vadina „druska“ (angl. „salt“). Savaime suprantama, jog kiekvienam slaptažodžiui priedas turi būti unikalus (o jo generavimo algoritmas žinomas tik interneto resurso savininkui), tokiu būdu gausime užšifruotą eilutę, kurią atspėti žymiai sunkiau. Tik štai pasirodo, jog LinkedIn savo vartotojų slaptažodžių „druskyte nebarstė“. Rezultatą jau žinote: daugelis iš jų atspėti greičiau nei per keletą parų.

Šio istorijos finalinės eilutės dar neparašytos, o pati pabaiga priklausys nuo to, kiek daug informacijos nusikaltėliams pavyko ištraukti iš LinkedIn. Jei kartu su slaptažodžiais hakeriai nusinešė ir vartotojų el. pašto adresus, dabar reikėtų laukti masinės Facebook, Google+, Twitter, GMail ir kitų populiarių resursų atakos. Galite, aišku, paklausti, kuo susiję šie resursai su LinkedIn? Atsakymas paprastas: tiesiogiai – niekuo. Tačiau prisiminkime apie ne kartą minėtą vartotojo tingumą: daugelis internautų vieną ir tą patį slaptažodį naudoja keliuose resursuose. Kibernetiniai nusikaltėliai, aišku, tai puikiai žino ir tuo naudojasi. Taigi jei turėjote kažką LinkedIn, arba sąvokoje „tingus“ vartotojas“ atpažinote save – pats laikas pasikeisti slaptažodžius.

Tačiau net ir istorijai nesibaigus, galima padaryti labai naudingas išvadas. Pirma išvada yra kartu ir pasiūlymas WEB resursų savininkams: pasikliauti vien tik vartotojų sąmoningumu negalima, nereikia ir neįmanoma. Iš praeities klaidų eiliniai internautai, pasirodo, visiškai NE-SI-MO-KO! Тą puikiai pademonstruoja kompanijos Sophos (vienas iš gerai žinomų antivirusinių gamintojų) specialistų atliktas puikus eksperimentas, kurio rezultatai išoriškai sukėlė baisiai didelę šypseną, o viduje – isterišką juoką. Taigi eksperimentas: buvo paimta slaptažodžių kolekcija iš viruso Conficker (to paties, kuris sukėlė vieną iš didžiausių epidemijų, o visa tai buvo padaryta tokių kvailų žodelių rinkinio, kaip „work“, „qweqwe“, „home“ ir kt., kurie dažniai naudojami Windows vartotojų paskyroms apsaugoti) ir patikrinta, ar tie slaptažodžiai sutinkami pavogtuose iš LinkedIn. Tiko visi, išskyrus du. O juk LinkedIn – socialinis tinklas profesionalams, čia ne kokia nors „Veidaknygė“! Čia vartotojai, rodės, turėtų būti rimtais ir atsakingais žmonėmis, o pasirodo…

Dabar antra išvada, kuri skirta eiliniams vartotojams. Čia taip pat viskas paprasta ir negailestinga: nesitikėkite, jog už didelio, autoritetingo Interneto puslapio ugniasienės jūsų asmeniniai duomenys bus visiškai saugūs. Šiandien nukentėjo LinkedIn, prieš metus dar išradingesnės hakerio atakos metu vos nesugriuvo Facebook, o rytoj, žiūrėk, ateis eilė Twitter, Google+ ar vis dar lietuvių naudojamam One.lt.

Minėtų pasaulinių resursų IT infrastruktūra yra tokia sudėtinga, jog kartais net patys šeimininkai gali praleisti savaites, bandydami išsiaiškinti, kaip į sistemą prasibrovė prašalaitis (beje, LinkedIn to padaryti dar nepavyko, tad yra tikimybė, jog per tą pačią „skylę“ bandys įlįsti ir kiti kibernetiniai nusikaltėliai). Akivaizdu, jog visų silpnų vietų resursų savininkai panaikinti negali, o jei gali, tai trunka tikrai ilgai. Taigi geriausia apsauga tampa savikontrolė: nereikia WEB resursams patikėti per daug savo asmeninių duomenų. Telefono, kreditinės kortelės numeris, tikslus gyvenamosios vietos, pašto adresas – nieko tokio, kas akivaizdžiai galėtų būti panaudota prieš jus pačius.

faceitlt

Facebook Comments

Parašykite komentarą

El. pašto adresas nebus skelbiamas.