Olenko pystynyt hälyttämään tietorikkomuksista, vaikka verkkosivustot eivät olisi

Tietoturvallisuuden edistyksestä huolimatta monet maailman suurimmista yrityksistä ovat edelleen tietorikkomusten saalis. Troy Hunt, Have I Been Pwned -yrityksen perustaja, kertoo meille, miten nämä rikkomukset tapahtuvat, miten varastettuja tietoja käytetään, niiden vaikutuksia yrityksiin ja yksityishenkilöihin, ja mikä tärkeintä - antaa meille välineet tietää, onko henkilötietomme vaarannettu, ja kuinka suojautua parhaiten tosiasioiden jälkeen.

Kuinka pääset verkkoturvallisuuteen?

Taustani on ohjelmistokehitys, myöhemmin erikoistunut sovellusarkkitehtuuriin. Kun työskentelin suuressa lääkeyhtiössä, he ulkoistivat kaiken kehitystyönsä halpatuottajille halvoilla Aasian ja Tyynenmeren markkinoilla ja hankkivat sellaisen kauhean ohjelmiston, jota odotit alhaisimmalta tarjoajalta. Näin kuormien erilaisia ​​tietoturva-aukkoja, jotka minulle olivat todella ilmeisiä, mutta heille, ei niin paljon. Joten tapana kouluttaa muita, aloitin blogin kirjoittamisen tietoturvan haavoittuvuuksista ja niiden korjaamisesta sovelluskoodissa. Tuolloin ohjelmistokehittäjille ei ollut siellä todella paljon hyvää juttua, joten tämä täytti tarpeen ja loput on historiaa.

Mitkä ovat yleisimmät havaitsemasi tietoturva-aukot?

Kaikki ilmeiset asiat, kuten SQL-injektio, epävarmat suorat kohdeviitteet, huono salasanan säilytys, kuljetuskerroksen salauksen puute. Pohjimmiltaan kaikki OWASP Top 10, kaanonisin asiakirja sovellusten tietoturvan oikeasta tekemisestä, tehtiin jatkuvasti väärin.

Mutta yritykset käyttävät paljon rahaa tietosuojaan. Kuinka se on niin helposti vaarantunut??

Se on mielenkiintoinen asia. Näemme suurten yritysten, joilla on suuret turvallisuusbudjetit, keskittyvän esimerkiksi kriittisiin järjestelmiin ja sisäiseen kehitykseen, mutta ne eivät välttämättä laajenna keskittymistä kaikkeen muuhun reuna-alueeseen. Sitten on kysymys siitä, milloin turvallisuutta sovelletaan. Monilla organisaatioilla on edelleen ohjelmistonsa "rakennettu" (tekee ilmaisia ​​tarjouksia!), Valmistaja ja testattu myyjän toimesta, ja turvata tietoturva vasta, kun se on toimitettu. Joten heidän tietoturvansa löytävät joukon tietoturvaongelmia pahimmassa mahdollisessa vaiheessa - projektin lopussa.

Mitä pidemmälle projektin elinkaari kestää, sitä kalliimpaa on korjata nämä viat palaamalla, kirjoittamalla koodi uudelleen, tekemällä uudelleen integrointitestejä, käyttäjän hyväksymistestauksia jne. Tarkoitan, että tämä on vain kauhea tapa suojata. Haluan auttaa yrityksiä välttämään ensin tätä haavoittuvuutta.

Kuinka yritykset tietävät, kun heitä on rikottu ja mitä tietoja on varastettu?

(Nauraa) No, hyvin usein yritykset tietävät, että niitä on rikottu, kun kerron heille! Ei ole epätavallista, että organisaatio tietää tietosuojarikkomuksesta ensimmäisen kerran, kun minä kuten joku lähestyy heitä tietokantaansa. Suurin osa organisaatioista, jopa joidenkin maailman suurimmista tai merkittävimmistä verkkosivustoista, on vain huonosti varustettu tunnistamaan, milloin tunkeutumista tapahtuu, ja tietoja suodatetaan.

Ajattele Sony-kuvia. Tarkoitan, että hyökkäys tapahtui pitkän ajanjakson ajan, hajotti valtavan määrän tietoja useista eri järjestelmistä ja he tietävät siitä ensimmäisen kerran, kun työntekijät näkivät ruudun valvojien hakkeroiman näytöllä..

Olenko pystynyt hälyttämään tietorikkomuksista, vaikka verkkosivustot eivät olisiMillaisia ​​tietoja hakkerit ovat?

Minkä tahansa Internetin kohde on motiivistaan ​​riippuen. Käyttäjätunnukset ja salasanat ovat erityisen arvokkaita, koska salasanan uudelleenkäyttö tarkoittaa, että sinulla voi olla avain moniin muihin sivustoihin. Ilmeisesti kaikki taloudellinen luonne, kuten luottokorttitiedot ja pankkitilitiedot, on vanha suosikki. Yhä useammin organisaatioiden sisällä digitalisoitu tieto, etenkin mikä tahansa valtion tukema, on erittäin hyödyllinen vakoilulle yrityksissä. Mutta siellä on paljon ihmisiä, enimmäkseen lapsia, jotka haluavat vain pokaalin. He eivät välitä kuinka arvokkaita tiedot ovat; he eivät välitä minkä tyyppisestä verkkosivustosta se on, he ovat vain onnellinen päästäkseen sivustoon ja rikkovat sen.

Kuinka varastetut tiedot vaikuttavat yrityksiin ja yksityishenkilöihin?

Se riippuu tietotyypistä. Jos tiedot eivät ole arkaluontoisia, sillä voi olla vähäinen vaikutus yksilöihin, mutta suuri vaikutus vahingoittamalla rikkonut organisaation mainetta. Sony Pictures -yrityksille julkaisemattomat elokuvat ovat arvokasta immateriaalioikeutta.

Käyttöoikeustietoja voidaan käyttää murtamaan tilit, lähettämään roskapostia ja kohdistamaan tietojen kalastelu. Ashley Madisonin tapauksessa näimme kiristysyrityksiä, jotka käytännössä olivat vain postien yhdistämisiä rikkomuksen tietojen perusteella. Valitettavasti tämä johti eroamisiin, avioeriin ja jopa itsemurhiin, joten ilmeisesti vaikutus voi olla erittäin vakava.

Olenko pystynyt hälyttämään tietorikkomuksista, vaikka verkkosivustot eivät olisiOnko yrityksen ilmoitettava henkilöille tietosuojarikkomuksista?

Se riippuu lainkäyttövaltasi. Esimerkiksi Australiassa meillä on melko kevyet pakollista julkistamista koskevat lait; Itse asiassa saimme vasta ensimmäiset pakollista julkistamista koskevat lakimme vasta viime vuonna. Jos yrityksen liikevaihto on vähemmän kuin 3 000 000 Australian dollaria vuodessa, mikä on yli 90% Australian yrityksistä, tai jos rikkoneet tiedot eivät todennäköisesti aiheuta vakavaa vahinkoa, niiden ei tarvitse ilmoittaa.

Euroopan BKT: n alapuolella suuntaviivat ovat paljon tiukempia. Tietosuojakeskeisempi näkemys on, että henkilötiedot kuuluvat yksityishenkilölle eikä yritykselle, ja väärinkäyttö on paljastettava. Uskon, että organisaatioiden tulisi riippumatta sijainnistaan ​​tunnistaa, että vaikka se olisi vain sähköpostiosoitteeni, se on MINUN sähköpostiosoite, ja jos kadotat tai paljastat sen, minulle tulisi ilmoittaa siitä.

Miksi aloitit Onko olen ollut pwned, ja mitä palvelua se tarjoaa?

Tein paljon tietosuojarikkomusanalyysiä vuoden 2013 lopulla ja näin mielenkiintoisia malleja, kuten useissa tietorikkomuksissa ilmestyneellä sähköpostiosoitteella, jolla oli usein sama salasana. Tiesimme jo, että ihmiset käyttävät samoja käyttöoikeustietoja kirjautuakseen sisään useille sivustoille, mutta oli mielenkiintoista nähdä nämä tiedot. Toinen asia, jonka piti kiinnostavana, oli se, että monet tietosuojarikkomuksista kärsineet ihmiset eivät olleet tietoisia. Siksi halusin luoda yhdistämispalvelun, jossa ihmiset voisivat saada paremman kuvan kokonaisjalanjäljestään ja kuinka paljon heidän tiedoistaan ​​on paljastunut. Se oli syntyy, onko olen joutunut pwned.

Olenko pystynyt hälyttämään tietorikkomuksista, vaikka verkkosivustot eivät olisiKuinka hankkia rikottuja tietokantoja?

Aluksi menin ulos ja tarttui julkisesti saataviin tietoihin. Sitten ajan myötä, kun projekti alkoi saada paljon julkista tukea, yhä useammat ihmiset ilmoittautuivat ja toimittivat minulle tietoja tietystä rikkomuksesta. Juuri tänä viikonloppuna minulla oli joku pop-up sinistä ja lähetti valtavan määrän tietoja seitsemästä erilaisesta rikkomuksesta, joista suurin osa sisälsi kymmeniä miljoonia tietueita kukin.

Se kerjää jonkin verran kysymystä, jonka tiedät, kuka nämä ihmiset ovat? Ovatko he pahoja poikia? Ovatko ihmiset vain kauppaa tietoa? Todellisuus siinä on, että se on vähän kaikesta. Olen varma, että joissakin tapauksissa he ovat ihmisiä, jotka todella vaarantavat järjestelmän tietopohjan, mutta useimmissa tapauksissa ihmiset tekevät harrastuksensa nimettömästi kerätä ja seurata tietorikkomuksia.

On varmasti monia ammatillisia valkoisten hattujen turvallisuustutkijoita, jotka ottavat yhteyttä organisaatioon, ilmoittavat heidän tietonsa paljastamiselle ja antavat joskus ohjeita sen suojelemiseksi tulevaisuudessa. Kun rikkomus on korjattu, he toimittavat minulle tiedot ja pyytävät luettelemaan ne lähteeksi, jotta heille saataisiin julkisuutta.

Mikä on tahna?

Liitä on teksti, joka on kirjaimellisesti vain liitetty verkkosivustoon. Voit siirtyä palveluun, kuten Pastebin, liittää tekstin, tallentaa sen, ja sinulla on URL, jonka voit jakaa muiden kanssa. Rikkomusten tiedot näkyvät usein ensin pasteissa, koska hakkerit liittävät segmentin tiedoista todisteeksi siitä, että he ovat käyttäneet järjestelmää.

Olenko pystynyt hälyttämään tietorikkomuksista, vaikka verkkosivustot eivät olisi

Vaikka tämä on hyvä varhainen indikaattori rikkoutuneista tiedoista, myös pasteissa on usein paljon roskaa, joten aina kun sähköpostiosoite löytyy, tarjoamme linkin liitäntään, jotta voit päättää, onko sinun tehtävä jotain.

Mitä toimia suosittelet henkilölle, jonka tiedot on varastettu?

Se todella riippuu tietojen luonteesta. Jos kyseessä on salasana, jota on käytetty uudelleen muissa paikoissa, se on vaihdettava jokaisessa sivustossa. Salasananhallinta on hyvä työkalu, joka tekee niistä kaikista ainutlaatuisia. Jos se on salasana vain samassa sivustossa, se on paljon helpompaa. Lisäksi kun sivustot ovat tietoisia tietorikkomuksesta, ne nollaavat kaikki salasanat kuitenkin. Jos kyseessä on jotain henkilökohtaisempaa, kuten luottokortti, mene eteenpäin ja peruuta kortti. Jos kyse on kotiosoitteestasi, puhelinnumerostasi tai syntymäpäivästäsi, niin nämä ovat asioita, joita et aio muuttaa vain tietosuojavirheiden takia, mutta on hyvä idea käyttää luotonvalvontapalvelua, koska sellainen on henkilöllisyysvarkauksiin käytettyjen tietojen lukumäärä.

Mikä on ”Hack Yourself First” -paja?

Olen vetänyt 2-päivän workshop-hakkerointia ”Hack Yourself First” noin 80 kertaa ympäri maailmaa viimeisen neljän vuoden aikana. Sen tarkoituksena on auttaa ohjelmistokehittäjiä, järjestelmänvalvojia, IT-ammattilaisia ​​jne. Ymmärtämään, kuinka heidän tietoturva-aukkojaan käytetään hyväksi, jotta he voivat paremmin suojautua. Otan osallistujat läpi koko elinkaaren; tässä miten SQL-injektio toimii - tässä on kuinka hyökkääjät saavat tietoja ulos - ja tietysti tässä on kuinka kirjoittaa koodi, joten sitä ei tapahdu sinulle.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me