Ką pavogė iš „LinkedIn“ ir kodėl vagystė pavyko?  (8)

Beveik savaitė praėjo nuo to momento, kai kompanija „LinkedIn“ patvirtino, jog pavogti jos socialinio tinklo vartotojų slaptažodžiai (bent jau dalis jų). Vagystės detalės šiuo metu dar tikslinamos, tačiau jau dabar aišku, jog kalbama apie didžiausių kriminalinių operacijų per visą interneto istoriją.


Prisijunk prie technologijos.lt komandos!

Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.

Sudomino? Užpildyk šią anketą!

Kibernetinio nusikaltėlio (ar jų grupės) prasiskverbimas į tokį populiarų socialinį tinklą įdomus jau vien kaip pats faktas, tačiau suteikia „maisto smegenims“ apie galimas pasekmes kitiems dideliems interneto portalams ir projektams. Beje, priešistorė gana trumpa. Birželio 5 d. anonimas specializuotame interneto forume, skirtame šifravimui (ir kažkaip nenustebino, jog rusiškame), patalpino failą, kuriame buvo 6,5 mln. užšifruotų slaptažodžių, ir paprašė pagalbos juos iššifruoti. Toks didžiulis turinys aiškiai buvo „pasiskolintas“ iš tikrai populiaraus ir lankomo interneto puslapio, tačiau nebuvo nei el. pašto adresų, nei kokių nors kitokių „kabliukų“, kad būtų galima atpažinti auką. Tik po 12 valandų vienas iš savanorių, padėjusių iššifruoti pateiktą medžiagą, surado dėsningumą: daugelis slaptažodžių turėjo eilutę „linkedin“. Taip atsirado versija, jog failas buvo pavogtas iš to paties pavadinimo socialinio tinklo. Ir jau po kelių valandų pati „LinkedIn“ tai patvirtino. Reikia pastebėti, kompanija sureagavo tikrai sparčiai, o elgesys tikrai teisingas. Ji iš karto organizavo tyrimą, kad patikrintų, ar iš tikrųjų įvyko vagystė, ir jei įvyko, tai kokio masto. Kai tik viskas pasitvirtino, buvo imtasi priemonių: anuliuoti pavogti slaptažodžiai, nukentėjusiems vartotojams išsiųsti el. laiškai su prašymu sugalvoti naujus, kartu į tyrimą įtraukti ir vyrukai juodais drabužiais – FTB. Visą tą laiką kompanijos „LinkedIn“ vadovas Vicente Silveira nuolat informavo publiką per savo kompanijos tinklaraštį. Sureaguodamas operatyviai ir adekvačiai (prisiminkite, kaip „Sony“ elgėsi po „PlayStation Network“ nulaužimo, ir tikrai pajusite skirtumą), „LinkedIn“ tarsi neleido įvykiams klostytis pagal blogiausią scenarijų, kuris numatė, jog hakeriai galėjo pasinaudoti slaptažodžiais ir užvaldyti vartotojų paskyras. Tačiau savo kritikos porciją „LinkedIn“ vadovybė vis tik gavo – ir gana pelnytai. Kad geriau galėtume suprasti, kas įvyko ir kaip „LinkedIn“ prasikalto, reikėtų įsigilinti į techninę dalį. Jau senokai baigėsi tie laikai, kai vartotojų slaptažodžiai buvo saugomi WEB serveriuose atviru pavidalu (pavyzdžiui, kur aiškiai užrašytas – „Slaptažodis“). Jau turbūt įsivaizduojate, kas būtų, jei toks failas patektų į „priešo“ rankas – jis iš karto gautų raktą nuo visų durų. Vietoj to kompanija, kuri rūpinasi savo klientais, slaptažodžius užšifruoja. Viskas paprasta: slaptažodis apdorojamas kriptografine funkcija (pavyzdžiui, SHA-1), kuri paverčia viską į unikalią, ilgą simbolių eilutę. Mūsų atveju „Slaptažodis“ pavirstų į kažką panašaus į „f8b0e1b941a91a57087dc263d246cc134f02cdb0“. Būtent šią košę, vadinamą maiša (hash), ir saugo serveris. Beje, būtent tokiu pavidalu ir saugomi „LinkedIn“ slaptažodžiai. Tokio metodo privalumas yra tas, jog atpažinti vartotoją galima greitai (įvestas slaptažodis „perleidžiamas“ per SHA-1 funkciją, o rezultatas sulyginamas su saugomu serveryje), tuo tarpu atstatyti slaptažodį, naudojant hash‘ą ne taip jau paprasta (kriptografinė funkcija „į kitą pusę“ veikia lėčiau). Todėl hakeriai, kurių rankose atsiranda užšifruotas failas, paprastai priversti slaptažodį spėti: perrinkti galimus variantus tikintis, jog jam pasiseks. Tačiau štai dar viena bėda bėdelė: užšifruoto failo atsparumas priklauso ne tik nuo kriptografinio algoritmo stiprumo, tačiau ir kelių kitų faktorių. Pirma, nuo to, ar sudėtingas pats slaptažodis. Mūsų atveju pasirinktas „Slaptažodis“ blogas jau dėl to, jog mes paėmėme paprastą žodį: taip, jį lengva prisiminti, tačiau jį daug lengviau ir atspėti tiems, kuriems nereikia jo žinoti. Žinodami, jog vartotojai yra tingūs ir retai kada sugalvoja nesąmoningą skaičių ir raidžių kombinaciją, hakeriai, vietoj visokiausių variantų (pavyzdžiui, „111“, „222“ ar „bbb“ ir pan.), gali pasirinkti tik žodžius iš žodyno su nedidelėmis variacijomis. Štai kodėl po kelių parų, kai „LinkedIn“ „hash“ failas buvo publikuotas Internete, hakeriui (ar galbūt jų grupei) ir jam padėjusiam savanoriui pavyko atspėti virš 60 % slaptažodžių.

O galbūt yra koks nors būdas kompensuoti vartotojų tingėjimą? Toks būdas yra ir jo esmė – pridėti prie kiekvieno vartotojo slaptažodžio kokia nors slaptą informaciją, aišku, prieš tai, kol viskas bus paversta „hash‘u“. Pavyzdžiui, mūsų „Slaptažodis“ galėtų būti papildytas tam tikra skaičių kombinacija (gautųsi variantas, pavyzdžiui, „Slaptažodis-7389631“), ir tik po to praleistas per kriptografinę funkciją. Tokį priedėlį profesionaliai vadina „druska“ (angl. „salt“). Savaime suprantama, jog kiekvienam slaptažodžiui priedas turi būti unikalus (o jo generavimo algoritmas žinomas tik interneto resurso savininkui), taip gausime užšifruotą eilutę, kurią atspėti žymiai sunkiau. Tik štai pasirodo, jog LinkedIn savo vartotojų slaptažodžių „druskyte nebarstė“. Rezultatą jau žinote: daugelis iš jų atspėti greičiau nei per keletą parų.

Šio istorijos finalinės eilutės dar neparašytos, o pati pabaiga priklausys nuo to, kiek daug informacijos nusikaltėliams pavyko ištraukti iš „LinkedIn“. Jei kartu su slaptažodžiais hakeriai nusinešė ir vartotojų el. pašto adresus, dabar reikėtų laukti masinės „Facebook“, „Google+“, „Twitter“, „GMail“ ir kitų populiarių tinklų atakos. Galite, aišku, paklausti, kuo susiję šie resursai su „LinkedIn“? Atsakymas paprastas: tiesiogiai – niekuo. Tačiau prisiminkime apie ne kartą minėtą vartotojo tingumą: daugelis internautų vieną ir tą patį slaptažodį naudoja keliuose portaluose. Kibernetiniai nusikaltėliai, aišku, tai puikiai žino ir tuo naudojasi. Taigi jei turėjote kažką „LinkedIn“, arba sąvokoje „tingus“ vartotojas“ atpažinote save – pats laikas pasikeisti slaptažodžius.

Tačiau net ir istorijai nesibaigus, galima padaryti labai naudingas išvadas. Pirma išvada yra kartu ir pasiūlymas WEB portalų savininkams: pasikliauti vien tik vartotojų sąmoningumu negalima, nereikia ir neįmanoma. Iš praeities klaidų eiliniai internautai, pasirodo, visiškai NE-SI-MO-KO! Тą puikiai pademonstruoja kompanijos „Sophos“ (vienas iš gerai žinomų antivirusinių gamintojų) specialistų atliktas puikus eksperimentas, kurio rezultatai išoriškai sukėlė baisiai didelę šypseną, o viduje – isterišką juoką. Taigi eksperimentas: buvo paimta slaptažodžių kolekcija iš viruso „Conficker“ (to paties, kuris sukėlė vieną iš didžiausių epidemijų, o visa tai buvo padaryta tokių kvailų žodelių rinkinio, kaip „work“, „qweqwe“, „home“ ir kt., kurie dažniai naudojami „Windows“ vartotojų paskyroms apsaugoti) ir patikrinta, ar tie slaptažodžiai sutinkami pavogtuose iš „LinkedIn“. Tiko visi, išskyrus du. O juk deklaruojama, jog „LinkedIn“ – socialinis tinklas profesionalams, čia ne kokia nors „Veidaknygė“! Čia vartotojai, rodės, turėtų būti rimti ir atsakingai į savo saugumą žiūrintys žmonės, o pasirodo…

Dabar antroji išvada, skirta eiliniams vartotojams. Čia taip pat viskas paprasta ir negailestinga: nesitikėkite, jog už didelio, autoritetingo interneto puslapio ugniasienės jūsų asmeniniai duomenys bus visiškai saugūs. Šiandien nukentėjo „LinkedIn“, prieš metus dar išradingesnės hakerio atakos metu vos nesugriuvo „Facebook“, o rytoj, žiūrėk, ateis eilė „Twitter“, „Google+“ ar vis dar lietuvių naudojamam „One.lt“.

Minėtų pasaulinių portalų IT infrastruktūra yra tokia sudėtinga, jog kartais net patys šeimininkai gali praleisti savaites, bandydami išsiaiškinti, kaip į sistemą prasibrovė prašalaitis (beje, „LinkedIn“ to padaryti dar nepavyko, tad yra tikimybė, jog per tą pačią „skylę“ bandys įlįsti ir kiti kibernetiniai nusikaltėliai). Akivaizdu, jog visų silpnų vietų stambių portalų savininkai panaikinti negali, o jei gali, tai trunka tikrai ilgai. Taigi geriausia apsauga tampa savikontrolė: nereikia internetiniams šaltiniams patikėti per daug savo asmeninių duomenų. Telefono, kreditinės kortelės numeris, tikslus gyvenamosios vietos, pašto adresas – nieko tokio, kas akivaizdžiai galėtų būti panaudota prieš jus pačius.

Aut. teisės: Faceit.lt
(0)
(0)
(0)

Komentarai (8)