Video: USENIX Security ’17 - Understanding the Mirai Botnet (Oktober 2024)
Tidligere denne uge frigav Trustwave deres undersøgelse af et massivt botnet, en af mange, der formåede at bruge Pony botnet-controller. Forskerne fik kontrol over botnet og indtog stedet for sin Command and Control-server. Da de var i kontrol, opdagede de, at botnet havde formået at stjæle omkring to millioner adgangskoder fra inficerede computere. De opdagede også noget, som de fleste af os allerede ved: at folk er forfærdelige med adgangskoder.
Få adgangskoder
De to millioner kompromitterede konti blev spredt mellem 1.58 millioner webstedets legitimationsoplysninger, 320.000 e-mail-logins, 41.000 FTP-konti, 3.000 Remote Desktop-legitimationsoplysninger og 3.000 Secure Shell-kontooplysninger er en betydelig træk. Bekymringen er naturligvis, hvor mange af de berørte brugere, der havde valgt den samme adgangskode til andre sider.
Forskere fandt 318.121 Facebook-legitimationsoplysninger, der tegnede sig for 57 pct. Af det samlede beløb. Yahoo var næste med omkring 60.000 konti, efterfulgt af 21.708 Twitter-konti, 8.490 LinkedIn-adgangskoder og 7.978 konti for lønningsudbyderen ADP. Denne sidste er lidt usædvanlig, men også ret ødelæggende, da den giver angribere adgang til ofrenes personlige oplysninger.
Det, der var mest bange for mig, var 16.095 Google.com-legitimationsoplysninger og 54.437 Google-kontooplysninger. Disse kunne give angribere adgang til Gmail og derfra nulstille andre adgangskoder ved hjælp af funktionen "glemt min adgangskode" på websteder. Det kan også give angribere adgang til private filer i Google Drev eller betalingsoplysninger i Google Wallet.
Alt dette betyder ikke, at der var et massivt angreb mod disse websteder. Det er mere sandsynligt, at kriminelle formåede at høste disse adresser på flere måder, såsom phishing og keyloggers, og havde gemt dem på disse servere. De kunne sælge dem til andre købere eller gemme dem til fremtidig brug.
Frygtelige adgangskoder, igen
Trustwave opdelte adgangskoder i kategorier: seks procent af dem var "forfærdelige", mens 28 procent af dem var "dårlige." En samlet 22 procent var enten "god" eller "fremragende", og 44 procent var "medium." Blandt de værste var: 123456, 123456789, 1234 og "adgangskode."
De fleste af adgangskoderne blandede ikke bogstaver og tal. Størstedelen af adgangskoder var enten alle bogstaver (samme bogstav) eller alle tal, efterfulgt af adgangskoder, der havde to typer (blanding af store og små bogstaver, eller små bogstaver med for eksempel tal), sagde Trustwave.
Et godt resultat var, at næsten halvdelen - 46 procent - af adgangskoderne havde lange adgangskoder, på 10 tegn eller mere. Størstedelen af adgangskoder var inden for området seks til ni tegn, sagde Trustwave.
Højprofilerede mål
For så vidt angår Lucas Zaichkowsky, en virksomhedsdataarkitekt hos AccessData, var den større bekymring for, at de kriminelle vil se efter konti, der hører til folk "med en høj værdi målorganisationer." Hvis det viser sig, at disse mennesker har brugt de samme adgangskoder på disse websteder såvel som til arbejdsrelaterede ressourcer, kan angribere bryde ind på virksomhedsnetværket via VPN eller e-mail via en webbaseret klient, bemærkede Zaichkowksy.
"De kan sælge de værdifulde konti til andre på det sorte marked, der betaler store penge for gyldige legitimationsoplysninger, der får dem til rentable målorganisationer, " sagde Zaichkowksy.
Folk bruger deres arbejds-e-mail-adresser til personlige aktiviteter, f.eks. Tilmelding til konti på Facebook. Cesar Cerrudo, CTO for IOActive, fandt forskellige militære medarbejdere, herunder generaler og løjtnantgeneraler ("fremtidige generaler", Cerrudo kaldte dem), havde brugt deres.mil-e-mail-adresser til at oprette konti på rejsesiden Orbitz, GPS-firma garmin.com, Facebook, Twitter og Skype, for at nævne nogle få. Dette gør udsigten til genbrug af adgangskoder endnu mere problematisk, da disse personer er meget værdifulde som mål og har adgang til en masse følsomme oplysninger.
Qualys teknikdirektør Mike Shema sagde imidlertid, at han ser håb i fremtiden. "Når vi ser mod 2014, vil tofaktorautentisering fortsætte med at få fart gennem virksomheds- og forbrugerteknologi, og mange apps vil også begynde at anvende tofaktorer. Vi vil også se stigningen i smart kryptoteknologi til adgangskoder til multi-godkendelse. " To-faktor-godkendelse kræver et andet autentificeringstrin, ligesom en speciel kode sendt via tekstbesked.
Forbliver sikkert
Den generelle enighed er, at disse adgangskoder blev høstet fra brugermaskiner og ikke stjålet loginoplysninger fra websteder - hvilket er en behagelig tempoændring. Keyloggers er en sandsynligvis mistænkt og især farlige. Disse ondsindede applikationer kan ikke kun fange tastetryk, men kan fange skærmbilleder, indholdet af dit udklipsholder, de programmer, du starter, de websteder, du besøger, og endda sile gennem IM-samtaler og e-mail-tråde. Heldigvis bør de fleste anti-virussoftware have dig dækket. Vi anbefaler vinderne af Editors Choice Award-prisen Webroot SecureAnywhere AntiVirus (2014) eller Bitdefender Antivirus Plus (2014).
Bemærk, at nogle AV-programmer ikke blokerer "greyware" eller "potentielt uønskede programmer som standard. Keyloggers falder undertiden i denne kategori, så sørg for at aktivere denne funktion.
Phishing og andre taktikker for at narre ofrene til at give adgangskodeinfo er vanskeligere at blokere. Heldigvis har vi masser af tip til, hvordan man finder phishing-angreb, og hvordan man kan undgå dem
Det vigtigste er, at folk bruger en adgangskodemanager. Disse applikationer opretter og gemmer unikke, komplekse adgangskoder til alle websteder eller tjenester, du bruger. De logger dig også automatisk ind, hvilket gør det meget sværere for keyloggers at snappe dine oplysninger. Sørg for at prøve Dashlane 2.0 eller LastPass 3.0, som begge er vores vindere af Editors 'Choice-prisen for adgangskodestyring.
