Pagrobti slaptažodžiai buvo atskleisti pažeidžiant „Imperva“ duomenis
Kartais nelaimingas įvykis gali mus pastūmėti išmokti ko nors naujo. Galų gale, ar ne mes visi mokomės iš klaidų? Šiandien galime pasimokyti iš „Imperva“ klaidų.
„Imperva“ yra kibernetinio saugumo programinės įrangos įmonė, įsikūrusi Redwood Shores mieste, Kalifornijoje. Ši įmonė savo klientams teikia įmonių duomenų apsaugą. Klientai perka interneto užkardų paslaugas iš „Imperva“, kad išvengtų kibernetinių atakų ir kitokios kenkėjiškos elektroninės veiklos.
Deja, „Imperva “ paskelbė , kad duomenų pažeidimą patyrė dar rugpjūtį, ir šis duomenų pažeidimas paveikė tūkstančius klientų. Ataskaitoje teigiama, kad per šį pažeidimą buvo rasta API raktų, el. Pašto adresų, SSL sertifikatų ir daugybės iššifruotų slaptažodžių.
Yra keletas aspektų, kuriuos reikia aptarti dėl šio duomenų pažeidimo, ypač kai atsižvelgiame į tai, kad tai turėjo įtakos įmonei, kuri prekiauja kibernetiniu saugumu. Tačiau šį kartą pateiksime jums trumpą problemos apžvalgą ir tada sutelksime dėmesį į iššifruotus slaptažodžius, kurie taip pat buvo atskleisti. Ar kada susimąstėte, kas yra iššifruotas slaptažodis?
Kas atsitiko su Imperva?
Kaip minėta, „Imperva“ patyrė duomenų pažeidimą, dėl kurio savo klientų duomenis atskleidė įsilaužėliams. Panašu, kad visas incidentas įvyko dėl aplaidumo, nes vidinę sistemą buvo galima pasiekti iš interneto. Iš interneto prieinamoje sistemoje buvo saugoma „Imperva“ AWS API rakto kopija.
Kas tai yra? AWS nurodo „Amazon Web Services“, kuri yra „Amazon“ dukterinė įmonė, kuri specializuojasi teikdama debesų kompiuterijos platformas. API raktas reiškia programos programavimo sąsajos (API) raktą. Tai yra unikalus identifikatorius, leidžiantis sistemai autentifikuoti vartotoją arba programą, kuri bando pasiekti API. Savo ruožtu API yra ryšio protokolas tarp kliento ir serverio. Tai gali būti sistema, pagrįsta debesų platforma, operacine sistema, aparatine įranga ir pan. Taigi, pavogę API raktą, įsilaužėliai galėjo pasiekti „Imperva“ sistemą iš išorės.
Kibernetinio saugumo žurnalistai mano, kad „Imperva“ iš pradžių nežinojo apie duomenų pažeidimą ir kad po kelių mėnesių sužinojo, kad įsilaužėlis atsisiuntė duomenų bazės momentinės nuotraukos kopiją, kuri buvo naudojama jų „Delative“ duomenų bazės tarnybai (RDS) įvertinti. Ką tai reiškia? Tai reiškia, kad įsilaužėlis galėjo pavogti momentinėje nuotraukoje esančius duomenis, o duomenys, sukurti po to, kai nuotrauka buvo padaryta, pažeidimas neturėjo įtakos.
Apskritai įmonė aiškiai nenurodė, kiek klientų pažeidė duomenų pažeidimas. Tačiau daugiau nei 13.000 slaptažodžių ir 13.000 SSL sertifikatų buvo pakeisti ir pakeisti po to, kai apie tai pranešta nukentėjusiems klientams. Todėl nesunku daugiau ar mažiau suvokti įvykio apimtį.
Kas yra iššifruotas slaptažodis?
Kadangi atlikta bendra pažeidimo apžvalga, galime atidžiau pažvelgti į vieną iš duomenų rūšių, kurie buvo atskleisti ir nutekėjo. Čia mes kalbame apie iššifruotus slaptažodžius. Išgirdę žodį „peštynės“, greičiausiai pagalvojate apie populiarų internetinį žaidimą ar kiaušinių išplakimą, tačiau tiesa, kad mes taip pat galime iššifruoti savo slaptažodžius.
Slaptažodžio kodavimas yra vienas iš būdų juos saugiai laikyti ir padaryti stipresnius. Pavyzdžiui, „ Cyclonis Password Manager“ taip pat naudoja slaptažodžių šifravimą, kad klientų slaptažodžius saugotų saugykloje. Slaptažodžio tvarkyklės atveju jis naudoja šifravimą, kad iššifruotų išsaugotus slaptažodžius. Tačiau yra ir kitų slaptažodžių apsaugos būdų, o informacija apie „Imperva“ duomenų pažeidimus leidžia manyti, kad paviešinti užšifruoti slaptažodžiai buvo maišyti ir sūdyti.
Ką žemėje tai reiškia? Na, jūs tikriausiai žinote, kad kai ką turite iššifruoti, galite jį iššifruoti, jei turite dešifravimo raktą. Kita vertus, maišos reiškia, kad duomenys negali būti iššifruoti juos sukramčius. Be to, nesvarbu, kokią duomenų eilutę ketinate maišyti, išvesties ilgis visada yra fiksuotas. T. y., Jei jūs ketinate plakti, ar myliu obuolius, ar nekenčiu lietaus, prašau, eikite į pabaigą, o galutinio išėjimo trukmė bus tokia pati (jei naudojate tą patį algoritmą jį maišyti).
Kadangi maišos neveikia atvirkščiai, tačiau užkoduojant eilutę tuo pačiu algoritmu gaunama ta pati išvestis, ją galima naudoti norint patikrinti ir autentifikuoti prieigą. Pvz., Jei duomenų bazėje saugomi maišyti slaptažodžiai ir kažkas įveda paprasto teksto slaptažodį, bandydamas įvesti duomenų bazę, sistema turi taikyti tą patį algoritmą paprasto teksto slaptažodžio maišymui. Jei maišos vertė atitinka tą, kuri saugoma duomenų bazėje, autentifikacija suteikiama. Taip pat iš tikrųjų sunku nulaužti išplėstinį slaptažodį, o vienintelis būdas tai padaryti yra prievartinis prievarta.
Dar sunkiau jį nulaužti, jei užpilama druskos. Kibernetiniame saugume druska reiškia atsitiktinę duomenų vertę, kuri pridedama prie slaptažodžio. Vartotojai nemato šios vertės, tačiau ji pridedama prie slaptažodžių kompiuterinėse sistemose, kad būtų užtikrintas geresnis saugumas. Kitaip tariant, jūsų slaptažodžiai nėra aiškūs, nes tai visiškai sukeltų baisius duomenų pažeidimus.
Sistemoje druskos vertė generuojama atsitiktine tvarka. Jis pridedamas prie paprasto teksto slaptažodžio, o tada visa eilutė paprastai yra suskaidyta (kaip aprašyta aukščiau). Naudojant skirtingas druskos vertes su tais pačiais slaptažodžiais, gaunamos visiškai skirtingos išpjaustytų verčių vertės, todėl purškiant druską (perkeltine prasme) savo slaptažodžiuose, jie tampa stipresni.
Remdamiesi tuo, galime daryti prielaidą, kad pavogti iššifruoti slaptažodžiai gali būti pelningi tik tuo atveju, jei įsilaužėlis turi priemonių juos brutaliai priversti. Be abejo, tokia galimybė visada egzistuoja, todėl „Imperva“ ragino klientus pakeisti slaptažodžius. Tačiau taip pat galima sakyti, kad pavogti iššifruoti slaptažodžiai yra praktiškai tas pats, kas pavogti seifą, kuriame nėra rakto. Tai nekeičia duomenų pažeidimo fakto, bet bent jau ten yra šiek tiek sidabro pamušalo.
