К публикации поста побудила информация про очередные крупные утечки персональных данных в сети, хотел оставить просто комментарий, но в итоге пришел к выводу, что проблему стоит раскрыть чуть обширнее.
Все совпадения случайны, текст ниже просто плод бредового размышления уставшего от работы коня в вакууме и имеет цель повышения уровня информационной безопасности и гигиены среди пользователей в сети.
Не исключено, что публичные онлайн-сервисы для проверки подтверждения утечки данных имеют также цель повышения стоимости таких данных для вторичных продаж. Особенно если структура утекших данных не плоская, а прошедшая через агрегацию с другими целевыми источниками, т.е. нечто большее, чем email => password.
К примеру допустим, что существует результат агрегации утекших данных по различным базам:
{
"firstServiceName.com" : {
"type" : "emailService",
"properties" : {
"email1@example.com" : "password1",
"email2@example.com" : "password2"
}
},
"secondServiceName.com" : {
"type" : "paymentsGate",
"properties" : {
"email" : "email2@example.com",
"type" : "Visa",
"fullName" : "Ivan Ivanov",
"cardId" : "XXXX-XXXX-XXXX-XXXX"
"cvc" : "12345",
...
},
...
}
Далее можно сделать первичную оценку потенциальной стоимости данных для злонамеренных лиц. Очевидно, что стоимость данных secondServiceName.com потенциально выше, чем для firstServiceName.com. Далее формируется логика дальнейшей монетизации данных, обычно пути два.
1) Примитивный и безопасный. Из данных с малой стоимостью выбирается плоские данные типа "email1 => password1", формируется своеобразная прикормка. Далее эти плоские данные агрегируются в сборник и на непубличных специализированных сайтах публикуются "утечки". Если потенциальная стоимость теневых данных (secondServiceName.com, ...) большая и ограничена в сроке жизни (cvc, хэши от cvc для конкретных провайдеров), то публикации придается дополнительная "публичность", максимально возможная, в том числе может проводиться "рекламная" акция через социальные сети и прочие доступные инструменты.
2) Сложный и опасный. То же самое, что и в 1), только авторами/бенефициарами монетизации данных дополнительно создаются те самые сервисы проверки утечки данных. Это либо путь новичков, либо когда куш от потенциальной монетизации данных огромен.
Целевая аудитория довольно инертна и не будет заморачиваться поиском тех же торрентов с содержимым "утечки" данных, потому рано или поздно пользователи приходят на специализированные сайты для проверки утечки данных и далее производится запрос на проверку.
Если пользователь не нашел ничего, данные о его запросе на проверку собираются в отдельную базу. Этот пользователь живой. По сопоставлению дат начала кампании с публикацией и датой запроса можно оценить живость пользователя. Да, тот факт, что результат проверки был выдан пустым вовсе не означает, что его данные не находятся среди утекших.
Далее, если тип структурированных данных довольно ценен и содержит прямые и простые способы "монетизации" (см. данные secondServiceName.com), также если пользователь активен и проводил поиск, то дальнейшая вероятность монетизации данных снижается, т.к. могут быть сменены пароли, заблокированы карты и прочее. Бенефициары утечки такие данные быстро продают как отдельные базы тем же кардерам и прочим злоумышленникам по гипотетической цене X.
После прохождения определенного времени с момента организации утечки, формируется diff по данным, которые не были запрошены через проверки и далее либо сохраняются в архив для последующих агрегаций с новыми утечками, либо, если тип данных имеет способ длительной монетизации — такие данные частями также продаются, но по гипотетической цене 3X.
Поэтому, если вам действительно важна ваша безопасность, то имеет смысл не пользоваться популярными сервисами, компании-владельцы которых были ранее уличены в потере пользовательских данных. Либо совсем, либо максимально ограничить себя в распространении персональной информации. Если после оплаты товара на каких-либо сайтах вам приходит электронный чек, в URL которого встречаются переменные типа cvcHash, то имеет смысл не покупать через такие сервисы. Таких к счастью осталось мало и они представлены только в неблагополучных регионах планеты.
При возникновении глобальных утечек не рекомендуется использовать онлайн-сервисы проверок и как-либо проявлять активность через поисковики (google). Если вы довольно популярная и публичная персона, то теоретически можно через таргетированную рекламу (персонализированная атака) определить ваше желание произвести такую проверку.
При подозрении на утечку данных или же при массовых (громких в СМИ) публичных утечках, которые могут привести к потере ваших данных — необходимо сменить пароли на таких целевых сервисах, через https с визуальной проверкой информации в сертификате безопасности и без использования дополнительных сетевых уровней (tor/obfs и прочeе).
Мир технологий постоянно развивается, потенциальные способы причинить кому-то вред в сети также развиваются. Всегда следите за своей безопасностью в сети и не публикуйте ничего ценного, что могло бы привлечь внимание злоумышленников и в будущем вам навредить. Обязательно обучайте безопасному поведению в сети своих детей, близких и знакомых.
Комментарии (70)
MaZaNaX
17.01.2019 19:34+1Как тогда вести себя в ситуациях, когда стало известно об утечке? Менять сразу все важные пароли?
slava_k Автор
17.01.2019 20:02Если это возможно, узнать список сервисов, откуда произошла утечка. Далее, если есть пересечение с сервисами, которыми вы пользовались в радиусе 5 лет или же имеющих связь с платежными гейтами, ситемами внешней аутентификации и прочего важного — менять везде пароли по правилам/требованиям таких сервисов к безопасности. То есть незапоминаемые длинные пароли из рандома, сохранение в удобном для вас и неудобном для остальных месте.
Менять пароли, не уведомляя при этом никого о своих намерениях.
Ширина радиуса захвата по времени в основном зависит от юрисдикции сервиса, допустившего утечку (если ваша цель это иск к такому сервису). В целом это 3-5 лет для ЕС/США, при желании актуальную информацию про это можно узнать у профильных по такой теме юристов. Также это зависит и от вашей активности в сети.
istepan
18.01.2019 09:34Использовать везде разные пароли.
1. Хранить в keepass и ему подобных.
2. Придумать некий алгоритм на основе названия сервиса\домена.coramba
18.01.2019 11:47№2 — Спорный подход. Такой алгоритм скорее всего будет достаточно прост, чтобы воспроизводить его в уме и, в случае целенаправленной атаки на вас, компрометация пароля от одного случайного сервиса сильно облегчит задачу открыть остальные.
Можно конечно в качестве пароля использовать хеш названия сервиса посоленный строфой из любимого стишка, но вспомнить такой пароль без «калькулятора» будет не реальноistepan
18.01.2019 11:58У меня на простых и проходных сервисах используется простой нескомпромитированный пароль.
На постоянных простых сервисах (форумы, блоги) пароль с простым алгоритмом.
На важных сервисах в алгоритм добавляются ASCII символы.
На сервисах связанных с финансами, работой и важной информацией иной алгоритм. Для редко используемых хранятся сгенерированные в keepass с ASCII символами.
Соц. сетями не пользуюсь.Bringoff
18.01.2019 12:50А зачем какие-то алгоритмы, если пароли хранятся в keepass? В таком случае запоминать их не нужно. Намного логичнее генерить рандомные пароли там же.
istepan
18.01.2019 13:08keepass неудобно использовать в том плане, что приходится отдельно запускать или настраивать на телефоне. Так же нужно синхронизировать файлы, чтоб везде была актуальная база.
Bringoff
18.01.2019 13:10Ну, используйте что-то, что не требует стольких телодвижений :) Какой-нибудь 1Password или вообще тут некоторые за iCloud Keychain топлят.
sumanai
18.01.2019 20:24Синхронизация настраивается один раз и дальше работает сама. Не вижу никаких проблем или причин использовать более уязвимые сервис, как предлагают ниже.
genuimous
18.01.2019 12:59Хорошая идея, спасибо! Прямо руки чешутся написать свой такой калькулятор.
coramba
18.01.2019 15:10Пользуйтесь на здоровье. Вопрос только в том, что это должен быть приватный калькулятор, иначе его ценность моментально становится равной нулю. А как только он становится приватным (читай офлайн), возникают вопросы переноса между устройствами, удобства ввода и т.д. и т.п.
genuimous
18.01.2019 15:16Разумеется. А файлы keepass тоже надо как-то переносить, это основная проблема подхода такого рода. С калькулятором же можно использовать какую-либо общеизвестную функцию и, при желании, быстро воспроизвести алгоритм даже при утере калькулятора.
Loriamar
18.01.2019 23:28А в чём проблема переноса файла базы кипаса? Кинул в облако любое и забыл. Она же все равно шифрованная. Зачем выдумывать проблему там где её нет?
BorLaze
19.01.2019 13:41Master Password давно уже придуман и написан…
В уме его, конечно, не рассчитаешь, но с приложениями под любую платформу оно и не нужно.
theuser
18.01.2019 10:07Об утечке узнаешь, когда уже войти в аккаунт не можешь, т.к. пароли поменяли ребята с ip из Уганды.
Представьте ситуацию (основанную на письмах, которые мне приходят по поводу взломанного имейла (хорошо хоть она для всяких фейковых аккаунтов)) — вы сидите, никого не трогаете.
В один момент просыпаетесь утром, а войти в почту не можете, пароль неверный.
«Взломали!» — подумали вы.
Кое как восстанавливаете, вспоминая ответы на секретные вопросы/получая смски на телефон и т.д. Восстановили, сидите дальше спокойно. Проходит пол-года, год. Бац, приходит письмо «Алерт! ер имейл вос хакд». Открываете, а там «мы поломали ваш имейл, ваш пароль был ХХХ (причем пароль реален) вот крипто-кошель, переводи $500, иначе разошлем твоим контактам, которые мы предварительно сохранили, твои дроче-фотки и т.д.».
И тут вы вспоминаете, что с пол-года назад вашу почту поломали, что дает реальную угрозу о том, что действительно ваши контакты и вся переписка была попросту скачана и с ней могут производиться дальнейшие манипуляции.
Риторический вопрос — помогла ли вам смена пароля?slava_k Автор
18.01.2019 11:15Имеет смысл проверять почту через десктоп/мобильный клиент с отключенным исполнением javascript и с запретом загрузки ресурсов, также с запретом на отображение/исполнение inline ресурсов через base64. Также не стоит открывать письма от подозрительных отправителей, но обязательно проверять заголовки письма, как именно оно к вам шло, кто реальный отправитель и прочее. Кнопки «сделать все классно и не напрягать меня» к сожалению пока не придумали.
Смена паролей никогда не поможет при недостаточно серьезном отношении к вопросам безопасности личных данных.
genuimous
18.01.2019 13:06Думаю что помогла. Во-первых, в почте в открытом виде что-либо ценное хранить не стоит. Во-вторых, конкретно в моей случае, я просто поменяю MX-запись у регистратора домена на другой почтовый сервис, а парень из уганды пусть делает с моим паролем все что хочет. Тут главное побыстрее это обнаружить, чтобы он не успел через мою почту поменять пароли на каких-либо важных сервисах, впрочем даже если он успеет, то после смены MX я снова их поменяю. А доступ к управлению MX у меня закрыт учеткой, не привязанной к почте: )
theuser
18.01.2019 14:26Вы немного не поняли. У хацкера на руках архив ваших переписок, который он скачал, зайдя в почту, пока вы спали. Если это рабочая почта, то из полей «To:, CC:» он достает адреса ваших контактов и пишет какое-нибудь злое письмо от вашего имени (разумеется с подменой, как будто это реально от вас) этим контактам.
Интересно посмотреть, если например директору будут письки присылаться от вашего имени))) Или вообще кидать спам на DL всей организации, попросту чтоб подставить вас.
Смена пароля в этом случае на последствия не повлияла, у хацкера на руках все ваши контакты и он может творить любую дичь, а ты ходи оправдывайся.red_andr
18.01.2019 18:22В принципе, адреса контактов можно найти и безо всякого хакерства. Скажем, если известно место работы жертвы, то найти е-мейл директора уже не проблема. И будет хакер слать письки от имени жертвы директору. Ну и что?
sumanai
18.01.2019 20:26разумеется с подменой, как будто это реально от вас
Такие письма доходят с большим трудом, а при некоторой настройке, вообще не будут приниматься всеми уважающими себя серверами.
develmax
18.01.2019 11:05Забыть про утечку паролей и пользоваться двухфакторной аутентификацией, но последний фактор должен быть не SMS с кодом, а TAN таблица или приложение, написанное сервисом. Так же регулярно осуществлять резервное копирование данных.
roller
17.01.2019 22:03Как тебя бы звали у татар?
Имя: номер банковской карты
Фамилия: срок действия карты
Отчество: код сзади карты
roces
17.01.2019 22:14+3Как насчет Have I Been Pwned и анонимной провеки когда пароль сначала хешируется и отправляется не весь хеш, а только первые четыре символа, а в ответ возвращаются все пароли, которые подходят под начало хеша?
slava_k Автор
18.01.2019 03:53Анонимных проверок не существует. Можно впоследствии сделать агрегацию со списком IP адресов и также сохранить запрос проверки с частичным хэшем. Особенно если такой IP адрес относится к небольшой подсети/AS и довольно долго был закреплен либо за каким-то договором (домашние провайдеры, бизнес-центры, крупные магазины, промышленные предприятия), либо к чему-то географически. Ну а далее проблема может быть решена через "радужные таблицы" и их специализированные модификации (по длине хэша и даже степени символьной «энтропии» оригинального пароля с учетом раскладок клавиатур).
Даже если предположить, что подобный сервис проверки идеально чист на предмет заинтересованности в какой-либо монетизации данных и если он популярен — то для злоумышленников подобные сервисы будут являться довольно хорошим мотиватором для получения контроля над подобным сервисом.slava_k Автор
18.01.2019 04:57Хотелось бы услышать мнение автора минуса к комментарию, с чем так сильно не согласны, что аж смотивировало зайти и нагадить в карму? Или вы ожидали какого-то смешного анекдота/картинки?
mikhailian
18.01.2019 12:36Кто вы, а кто Troy Hunt. Ему верят, а вам и в карму можно подгадить. Человеческий фактор ;-)
Я как-то критиковал права, которые требует себе Signal и заочно обвинял Moxie Marlinspike в продажности. Получил тот же самый результат.
Мы с вами как та моська, которая лает на слона и удивляется, что получила щелбан.
ProRunner
18.01.2019 09:53Ну а далее проблема может быть решена через «радужные таблицы» и их специализированные модификации
Объясните, каким образом помогут радужные таблицы, если у злоумышленника есть только первые четыре символа хэша?
Если пароль уже утек, и совпадения есть, то всё равно пароль менять нужно, а если совпадений нет, то по четырем символам ничего сделать нельзя.slava_k Автор
18.01.2019 10:01Совпадение по четырем символам оригинального пароля вам вернет десятки тысяч совпадений по хэшам если исходные данные часто встречаются. И что даст такая проверка? Ничего по сути, нужно использовать больше символов. Передавая больше данных о хэше с определенного момента можно его подобрать через те же таблицы и получить искомые данные.
mekegi
18.01.2019 10:14Какие радужные таблицы вы будете строить для систем где пароль хешируется с уникальной солью для каждого пользователя?
slava_k Автор
18.01.2019 10:33С просоленными данными это скорее всего не сработает, либо при наличии избыточной информации в виде части соли и алгоритма использования соли с типом шифрования, что может быть получено, к примеру, в случае взлома целевого сервиса проверки.
mekegi
18.01.2019 10:41В случае если в бд хранится хеш и уникальная соль для каждого юзера. Даже слив дампа такой бд вам мало поможет. Радужные таблицы придется строить для каждого отдельного пользователя. Никто такие ресурсы тратить не будет
slava_k Автор
18.01.2019 10:57При наличии уникальных солей для каждого блока данных многое упирается в алгоритм работы, а также в безопасность хранения данных для расшифровки таких уникальных солей. При целенаправленной атаке со взломом вполне есть вероятность потерять как базу с шифрованными данными, так и код алгоритма шифрования и дополнительные источники данных для расшифровки уникальных солей.
Вопрос лишь в рациональности затрат на организацию получения доступа к таким данным. Но да, это уже серьезные заморочки и редко когда применяются, особенно массово.
ProRunner
18.01.2019 10:29Однако именно такая проверка и организована на Have I Been Pwned. И даёт либо совпадение, либо нет.
Понятно, что сам веб-сайт может быть скомпроментирован и лучше действительно не вводить свои пароли где бы то ни было. Но опять же, в последнем топике о взломе было достаточно много скриптов, где вы через API HIBP можете проверить свои пароли (сравнивая ответы на своей стороне).slava_k Автор
18.01.2019 10:45Да, конкретно сервис Troy Hunt может иметь высокий уровень доверия с учетом работы с ним через API с передачей части хэша не более трети от общего числа символов, либо еще меньше, если оригинальный пароль может быть подобран через словари.
Сервис Have I Been Pwned я бы не стал рассматривать как надежный, т.к. он формирует запрос к API с открытым упоминанием запрашиваемого email-а в URL:
api.haveibeenpwned.com/unifiedsearch/YOUREMAIL. Также, если пользоваться этим сайтом, то при запросе идет передача данных третьим лицам в dc.services.visualstudio.com/v2/track.slava_k Автор
18.01.2019 11:32Под сервисом Troy Hunt понимается исключительно api.pwnedpasswords.com/range/.
Yurush
18.01.2019 10:48В вопросе речь шла о вполне конкретном сервисе конкретного специалиста Troy Hunt, где излагается методика анонимизации. Мы же не говорит о случаях, когда на ПК заражен кейлогером и т.п.
slava_k Автор
18.01.2019 10:50Про Troy Hunt ответил чуть выше habr.com/en/post/436520/#comment_19630404. Ситуации со взломами ПК пользователей не относятся к сути вопроса.
smarthomeblog
17.01.2019 23:06+2Как-то так
siargy
18.01.2019 11:21а какжэ срок действія?
dimonoid
18.01.2019 12:01А зачем cvc? Многим сервисам достаточно либо только cvc либо только срока действия без cvc. Пример — Amazon.
chupasaurus
18.01.2019 13:31В случае параноидального или простимулированного финансово отдела мониторинга банка начинают просить подтверждения операции по карте без cvc через интернет.
EndUser
18.01.2019 00:35+1«Паранойя — качество, отсутствие которого означает профессиональную непригодность системного администратора»
slava_k Автор
18.01.2019 04:08Согласен. В принципе, критическое восприятие информации и способность к анализу как навыки полезны во многих других отраслях, да и повседневной жизни в целом.
savostin
18.01.2019 01:11+1Т.е. сайт «злоумышленной проверки» может специально особо ценные аккаунты отдавать как «не утекшие», тем самым успокаивая человека, а себе записывать как «живые»? Занятная идея…
slava_k Автор
18.01.2019 04:17Предположим ситуацию, что злоумышленник со специализацией по монетизации банковских данных является заказчиком подобного сервиса онлайн-проверки. Сервис вполне заинтересован в наличии механизма, способного убедить потенциального покупателя в том, что клиент «живой»: предоставить, к примеру, тот же IP адрес, откуда был сделан запрос, время, что-то еще. Злоумышленник, в свою очередь, сможет использовать такие дополнительные данные как для подтверждения качества данных сервиса (сопоставление через соцсети/иные открытые данные популярных сервисов), так и для дальнейшего анализа географии будущих жертв.
Потенциальную стоимость данных можно оценить различными способами: через популярность, к примеру, роликов с youtube-канала, по характеристикам какого-то иного, но публичного бизнеса, вроде монетизированных групп в тех же соцсетях, продаж авто, в принципе чего угодно. Логично предположить, что действия сервисов такой проверки данных заинтересованы не в раскрытии факта утечки, а в подтверждении исключительно для себя ценности таких данных. Если данные относятся к высокомонетизируемой персоне, нет никакого смысла сообщать ей о проблеме. Наиболее дешевым персонам можно выдать часть правды, исключительно для поддержания доверия к подобному сервису и делая специализированный PR в сети только по дешевым данным.
slava_k Автор
18.01.2019 10:30Комментарии с анекдотами или картинками нынче ценятся выше, чем любая информация, предлагающая хоть как-то напрячь мозг и подумать по теме. Это печально.
smarthomeblog
18.01.2019 10:45ИМХО на самом деле не стоит размышлять или тем более проверять есть мое мыло с паролем в утекшем списке или нет. Меняем пароль и точка. А еще лучше использовать двухфакторную аутентификацию. Ибо мотивы человека, сделавшего сервис по проверке, ясны только ему самому. Да и у него эту базу, с уже подтвержденными «живими» мылами тоже украсть могут.
slava_k Автор
18.01.2019 11:04Верная мысль. Меняем молча, не ставя в известность кого-либо, не проверяя где-либо через сервисы.
Многофакторная аутентификация во многом зависит от безопасности дополнительных каналов обмена с пользователем и также часто компрометируется (первичная+SMS/email). Также очень важен интервал времени, за который проходит аутентификация по всем факторам. Чем быстрее это происходит и меньше живут врЕменные хэши, тем лучше. У многих банков хэш для вторичной аутентификации хранится не более 2 минут, некоторые банки также разрешают пользователям делать запрет на использование каналов SMS/push в качестве вторичной проверки.
transcengopher
18.01.2019 20:07Недавно напоролся лично на инициативу от GitHub, когда мои данные, не спрашивая меня, слили в HaveIBeenPwned. Так что иногда решение «проверять или нет», к сожалению, принимаем не мы, а некто из третьих лиц, движимый «благими намерениями».
ProRunner
18.01.2019 23:06О каком событии идет речь, не подскажете?
transcengopher
20.01.2019 13:53Вверху страницы на гитхабе отобразили плашку, что адрес почты находится в одной из слитых баз на HaveIBeenPwned. Дело было примерно в то время, когда сделка о продаже Microsoft проходила. Это может значить, что они все аккаунты так проверяли, или только какую-то часть.
toxicdream
18.01.2019 11:05+1ну не знаю
мозилле я пока доверяюslava_k Автор
18.01.2019 11:26А можно в принципе не ставить вопрос доверия какому-либо сервису и решить вопрос с безопасностью самостоятельно, так или иначе при подтверждении утечки смену паролей нужно будет провести. Использование сторонних сервисов (ожидая, что все ок) в таком случае можно объяснить банальной ленью и ни к чему хорошему обычно это не приводит.
sumanai
18.01.2019 20:29Которая (браузер) хранит пароли, хешированные однократным SHA-1, чего в 2019 совершенно не достаточно?
Berkof
18.01.2019 13:42Классическая статья-пустышка «меняйте пароли и не сорите личной информацией»… что я должен был из неё вынести?
StrangeBelk
19.01.2019 06:11Инструмент проверки — двоякое решение. С одной стороны оно позволяет логировать все проверки, и обогащать датасет другими полезными атрибутами: страной, тех.характеристиками девайса и пр.
С другой, позволяет верифицировать пользователю самого себя, то на сколько он разумно использует интернет.
Тут все зависит от «добропорядочности» владельца сервиса, а это, увы, слабо контролируемая зона.
CyclopEye
19.01.2019 13:42+1Вчера решил поиграться на запасной почте и через ~5 часов после регистрации на сайте haveibeenpwned.com получил вот такое письмо:
Вполне вероятно, что данный ресурс сайт и есть сборщик логинов и паролей, ни в коем случае не заводите реальные данные!
feyd12
19.01.2019 14:16Хм, менять пароли на критичные сервисы через тор — из разряда вредных советов. Владелец выходного узла может попытаться осуществить mitm в ssl, украсть куки авторизации, модифицировать трафик и много чего ещё. А вот цель далеко не ясна при этом.
tvr
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
Alex57
Предположим, что ученик хотел узнать есть ли пароль «qwerty123» в словарях, то в гугл можно ввести «qwerty12», а тройку или что-то другое потом добавить.