Elektronika.lt
 2024 m. lapkričio 26 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Lapkričio 26 d. 11:35
Dinamiškas ir universalus: antros kartos „Audi Q5 Sportback“
Lapkričio 26 d. 08:35
„Sony“ pristato antros kartos „Alpha 1 II“ pilno kadro fotoaparatą
Lapkričio 25 d. 20:25
Elektrinis sunkvežimis „Renault Trucks E-Tech T“ viena įkrova nuvažiuos 600 km
Lapkričio 25 d. 17:22
„Sony“ pristato pirmąjį „G Master“ standartinį priartinantį objektyvą su pastovia F2 diafragma
Lapkričio 25 d. 14:49
Apsaugokite savo namus: gyventojų klaidos, kurios traukia vagis, ir ekspertų sprendimai
Lapkričio 25 d. 11:20
Iš proto varanti senutė: kaip DI kovoja su telefoniniais sukčiais?
Lapkričio 25 d. 08:34
Kaip ištrinti fono paveikslėlį „iPhone“
Lapkričio 24 d. 15:39
Interneto greitis: kaip suprasti, kokio iš tikrųjų reikia?
Lapkričio 24 d. 11:39
Lietuvos ekranų tendencijos
Lapkričio 23 d. 15:27
„Garmin“ pristato pirmąjį didelio formato nardymo kompiuterį „Descent X50i“
FS25 Tractors
Farming Simulator 25 Mods, FS25 Maps, FS25 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS25 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LEGO
Mänguköök, mudelautod, nukuvanker
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS25 Mods
FS25 Harvesters, FS25 Tractors Mods, FS25 Maps Mods
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
FS25 Mods
FS25 Maps, FS25 Cheats, FS25 Install Mods
GTA 6 Weapons
GTA 6 Characters, GTA 6 Map, GTA 6 Vehicles
FS25 Mods
Farming Simulator 25 Mods,
FS25 Maps
Reklama
 Straipsniai » Kompiuteriai, IT Dalintis | Spausdinti

Ką pavogė iš „LinkedIn“ ir kodėl vagystė pavyko?

Publikuota: 2012-06-12 06:43
Tematika: Kompiuteriai, IT
Skirta: Pradedantiems
Aut. teisės: ©FACEIT.LT
Inf. šaltinis: FACEIT.LT

Nedaug laiko praėjo nuo to momento, kai kompanija „LinkedIn“ patvirtino, jog pavogti jos socialinio tinklo vartotojų slaptažodžiai (bent jau dalis jų). Vagystės detalės šiuo metu dar tikslinamos, tačiau jau dabar aišku, jog kalbama apie didžiausių kriminalinių operacijų per visą interneto istoriją. Kibernetinio nusikaltėlio (ar jų grupės) prasiskverbimas į tokį populiarų socialinį tinklą įdomus jau vien kaip pats faktas, tačiau suteikia „maisto smegenims“ apie galimas pasekmes kitiems dideliems interneto resursams.

 Rodyti komentarus (1)
Įvertinimas:  1 2 3 4 5 

Nedaug laiko praėjo nuo to momento, kai kompanija „LinkedIn“ patvirtino, jog pavogti jos socialinio tinklo vartotojų slaptažodžiai (bent jau dalis jų). Vagystės detalės šiuo metu dar tikslinamos, tačiau jau dabar aišku, jog kalbama apie didžiausių kriminalinių operacijų per visą interneto istoriją. Kibernetinio nusikaltėlio (ar jų grupės) prasiskverbimas į tokį populiarų socialinį tinklą įdomus jau vien kaip pats faktas, tačiau suteikia „maisto smegenims“ apie galimas pasekmes kitiems dideliems interneto resursams.

Beje, priešistorė gana trumpa. Birželio 5 d. anonimas specializuotame interneto forume, skirtame šifravimui (ir kažkaip nenustebino, jog rusiškame), patalpino failą, kuriame buvo 6,5 mln. užšifruotų slaptažodžių, ir paprašė pagalbos juos iššifruoti. Toks didžiulis turinys aiškiai buvo „pasiskolintas“ iš tikrai populiaraus ir lankomo interneto puslapio, tačiau nebuvo nei el. pašto adresų, nei kokių nors kitokių „kabliukų“, kad būtų galima atpažinti auką. Tik po 12 valandų vienas iš savanorių, padėjusių iššifruoti pateiktą medžiagą, surado dėsningumą: daugelis slaptažodžių turėjo eilutę „linkedin“. Taip atsirado versija, jog failas buvo pavogtas iš to paties pavadinimo socialinio tinklo. Ir jau po kelių valandų pats „LinkedIn“ tai patvirtino.

Reikia pastebėti, kompanija sureagavo tikrai sparčiai, o elgesys tikrai teisingas. Ji iš karto organizavo tyrimą, kad patikrintų, ar iš tikrųjų įvyko vagystė, ir jei įvyko, tai kokio masto. Kai tik viskas pasitvirtino, buvo imtasi priemonių: anuliuoti pavogti slaptažodžiai, nukentėjusiems vartotojams išsiųsti el. laiškai su prašymu sugalvoti naujus, kartu į tyrimą įtraukti ir vyrukai juodais drabužiais – FTB.

Ką pavogė iš „LinkedIn“ ir kodėl vagystė pavyko?

Visą tą laiką kompanijos „LinkedIn“ vadovas Vicente Silveira nuolat informavo publiką per savo kompanijos tinklaraštį. Sureaguodamas operatyviai ir adekvačiai (prisiminkite, kaip „Sony“ elgėsi po „PlayStation Network“ nulaužimo, ir tikrai pajusite skirtumą), „LinkedIn“ tarsi neleido įvykiams klostytis pagal blogiausią scenarijų, kuris numatė, jog programišiai galėjo pasinaudoti slaptažodžiais ir užvaldyti vartotojų paskyras. Tačiau savo kritikos porciją „LinkedIn“ vadovybė vis tik gavo – ir gana pelnytai.

Kad geriau galėtume suprasti, kas įvyko ir kaip „LinkedIn“ prasikalto, reikėtų įsigilinti į techninę dalį. Jau senokai baigėsi tie laikai, kai vartotojų slaptažodžiai buvo saugomi interneto serveriuose atviru pavidalu (pavyzdžiui, kur aiškiai užrašytas – „Slaptažodis“). Jau turbūt įsivaizduojate, kas būtų, jei toks failas patektų į „priešo“ rankas – jis iš karto gautų raktą nuo visų durų.

Vietoj to kompanija, kuri rūpinasi savo klientais, saugo slaptažodžius užšifruotu pavidalu. Viskas paprasta: slaptas žodis apdorojamas panaudojant kriptografinę funkciją (pavyzdžiui, SHA-1), kuri paverčia viską į unikalią, ilgą simbolių eilutę. Mūsų atveju „Slaptažodis“ pavirstų į „f8b0e1b941a91a57087dc263d246cc134f02cdb0“. Būtent šią košę, vadinamą „Hash“, ir saugo serveris. Beje, būtent tokiu pavidalu ir saugomi „LinkedIn“ slaptažodžiai.

Tokio metodo privalumas yra tas, jog atpažinti vartotoją galima greitai (įvestas slaptažodis „perleidžiamas“ per SHA-1 funkciją, o rezultatas sulyginamas su saugomu serveryje), tuo tarpu atstatyti slaptažodį, naudojant „Hash‘ą“ ne taip jau paprasta (kriptografinė funkcija „į kitą pusę“ veikia lėčiau). Todėl programišiai, kurių rankose atsirado užšifruotas failas, paprastai priversti slaptažodį spėti: perrinkti galimus variantus tikintis, jog pasiseks.

Tačiau štai dar viena bėda bėdelė: užšifruoto failo atsparumas priklauso ne tik nuo kriptografinio algoritmo stiprumo, tačiau ir kelių faktorių. Pirma, nuo to, ar sudėtingas („stiprus“) pasirinktas pats slaptažodis. Mūsų atveju pasirinktas „Slaptažodis“ blogas jau dėl to, jog mes paėmėme paprastą žodį: taip, jį lengva prisiminti, tačiau jį daug lengviau ir atspėti tiems, kuriems nereikia jo žinoti.

Žinodami, jog vartotojai yra tingūs ir retai kada sugalvoja nesąmoningą skaičių ir raidžių kombinaciją, progrmišius, vietoj visokiausių variantų (pavyzdžiui, „111“, „222“ ar „bbb“ ir pan.), gali pasirinkti tik žodžius iš žodyno su nedidelėmis variacijomis. Štai kodėl po kelių parų, kai „LinkedIn“ „hash“ failas buvo publikuotas internete, programišiui (ar galbūt jų grupei) ir jam padėjusiam savanoriui pavyko atspėti virš 60 % slaptažodžių.

O galbūt yra koks nors būdas kompensuoti vartotojų tingėjimą? Toks būdas yra ir jo esmė – pridėti prie kiekvieno vartotojo slaptažodžio kokia nors slaptą informaciją, aišku, prieš tai, kol viskas bus paversta „hash‘u“. Pavyzdžiui, mūsų „Slaptažodis“ galėtų būti papildytas tam tikra skaičių kombinacija (gautųsi variantas „Slaptažodis-7389631“), ir tik po to praleistas per kriptografinę funkciją. Tokį priedėlį profesionaliai vadina „druska“ (angl. „salt“). Savaime suprantama, jog kiekvienam slaptažodžiui priedas turi būti unikalus (o jo generavimo algoritmas žinomas tik interneto resurso savininkui), tokiu būdu gausime užšifruotą eilutę, kurią atspėti žymiai sunkiau. Tik štai pasirodo, jog „LinkedIn“ savo vartotojų slaptažodžių „druskyte nebarstė“. Rezultatą jau žinote: daugelis iš jų atspėti greičiau nei per keletą parų.

Šio istorijos finalinės eilutės dar neparašytos, o pati pabaiga priklausys nuo to, kiek daug informacijos nusikaltėliams pavyko ištraukti iš „LinkedIn“. Jei kartu su slaptažodžiais programišiai nusinešė ir vartotojų el. pašto adresus, dabar reikėtų laukti masinės „Facebook“, „Google+“, „Twitter“, „GMail“ ir kitų populiarių resursų atakos. Galite, aišku, paklausti, kuo susiję šie resursai su „LinkedIn“? Atsakymas paprastas: tiesiogiai – niekuo. Tačiau prisiminkime apie ne kartą minėtą vartotojo tingumą: daugelis internautų vieną ir tą patį slaptažodį naudoja keliuose resursuose. Kibernetiniai nusikaltėliai, aišku, tai puikiai žino ir tuo naudojasi. Taigi jei turėjote kažką „LinkedIn“, arba sąvokoje „tingus“ vartotojas“ atpažinote save – pats laikas pasikeisti slaptažodžius.

Tačiau net ir istorijai nesibaigus, galima padaryti labai naudingas išvadas. Pirma išvada yra kartu ir pasiūlymas interneto resursų savininkams: pasikliauti vien tik vartotojų sąmoningumu negalima, nereikia ir neįmanoma. Iš praeities klaidų eiliniai internautai, pasirodo, visiškai NE-SI-MO-KO! Тą puikiai pademonstruoja kompanijos „Sophos“ (vienas iš gerai žinomų antivirusinių gamintojų) specialistų atliktas puikus eksperimentas, kurio rezultatai išoriškai sukėlė baisiai didelę šypseną, o viduje – isterišką juoką. Taigi eksperimentas: buvo paimta slaptažodžių kolekcija iš viruso „Conficker“ (to paties, kuris sukėlė vieną iš didžiausių epidemijų, o visa tai buvo padaryta tokių kvailų žodelių rinkinio, kaip „work“, „qweqwe“, „home“ ir kt., kurie dažniai naudojami „Windows“ vartotojų paskyroms apsaugoti) ir patikrinta, ar tie slaptažodžiai sutinkami pavogtuose iš „LinkedIn“. Tiko visi, išskyrus du. O juk „LinkedIn“ – socialinis tinklas profesionalams, čia ne kokia nors „Veidaknygė“! Čia vartotojai, rodės, turėtų būti rimtais ir atsakingais žmonėmis, o pasirodo…

Dabar antra išvada, kuri skirta eiliniams vartotojams. Čia taip pat viskas paprasta ir negailestinga: nesitikėkite, jog už didelio, autoritetingo interneto puslapio ugniasienės jūsų asmeniniai duomenys bus visiškai saugūs. Šiandien nukentėjo „LinkedIn“, prieš metus dar išradingesnės programišiaus atakos metu vos nesugriuvo „Facebook“, o rytoj, žiūrėk, ateis eilė „Twitter“, „Google+“ ar vis dar lietuvių naudojamam One.lt.

Minėtų pasaulinių resursų IT infrastruktūra yra tokia sudėtinga, jog kartais net patys šeimininkai gali praleisti savaites, bandydami išsiaiškinti, kaip į sistemą prasibrovė prašalaitis (beje, „LinkedIn“ to padaryti dar nepavyko, tad yra tikimybė, jog per tą pačią „skylę“ bandys įlįsti ir kiti kibernetiniai nusikaltėliai). Akivaizdu, jog visų silpnų vietų resursų savininkai panaikinti negali, o jei gali, tai trunka tikrai ilgai. Taigi geriausia apsauga tampa savikontrolė: nereikia interneto resursams patikėti per daug savo asmeninių duomenų. Telefono, kreditinės kortelės numeris, tikslus gyvenamosios vietos, pašto adresas – nieko tokio, kas akivaizdžiai galėtų būti panaudota prieš jus pačius.


FaceIT.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

GENERAL FINANCING BANKAS

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

Draugiškas internetas


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
FS25 Mods, FS25 Tractors, FS25 Maps
fs25mods.lt
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama