Nakarating Na Ba Ako Pwned Alerto sa iyo sa Data Breaches Kahit na ang Mga Website ay Hindi


Sa kabila ng mga pagsulong sa seguridad ng data, marami sa mga pinakamalaking kumpanya sa mundo ang nasasaktan pa rin sa mga paglabag sa data. Si Troy Hunt, ang tagapagtatag ng Have I Been Pwned, Sinasabi sa amin kung paano nangyari ang mga paglabag na ito, kung paano ginagamit ang ninakaw na data, ang epekto nito sa mga korporasyon at indibidwal, at pinaka-mahalaga – ay nagbibigay sa amin ng mga tool upang malaman kung ang aming personal na data ay nakompromiso at kung paano pinakamahusay na maprotektahan ang ating sarili pagkatapos ng katotohanan.

Paano ka nakapasok sa online security?

Ang aking background ay sa pag-unlad ng software, na nag-specialize sa arkitektura ng aplikasyon. Kapag nagtrabaho ako para sa isang malaking kumpanya ng parmasyutiko, inilalabas nila ang lahat ng kanilang pag-unlad sa mga nagtitinda ng murang halaga sa murang mga merkado ng Asya-Pasipiko at nakakakuha ng uri ng kakila-kilabot na software na iyong inaasahan mula sa pinakamababang bidder. Nakita ko ang maraming iba’t ibang mga kahinaan sa seguridad na sa akin ay talagang malinaw ngunit sa kanila, hindi ganoon kadami. Kaya, bilang isang paraan ng pagtuturo sa iba, sinimulan ko ang pag-blog tungkol sa mga kahinaan sa seguridad at kung paano matugunan ang mga ito sa application code. Sa oras na ito, talagang wala talagang magagandang bagay sa labas para sa mga developer ng software, kaya natutupad nito ang pangangailangan at ang natitira ay kasaysayan.

Ano ang mga pinaka-karaniwang kahinaan sa seguridad na iyong natuklasan?

Ang lahat ng mga halata na bagay tulad ng SQL injection, hindi secure na mga direktang sanggunian ng bagay, hindi maganda ang pag-iimbak ng password, kakulangan ng transport layer encryption. Karaniwan, lahat ng nasa OWASP Nangungunang 10, ang pinaka-kanonikal na dokumento tungkol sa kung paano tama ang aplikasyon ng seguridad ng aplikasyon, ay palaging ginagawa nang mali.

Ngunit ang mga kumpanya ay gumastos ng maraming pera sa proteksyon ng data. Paano ito madaling kompromiso?

Ito ay isang kagiliw-giliw na bagay. Nakikita namin ang mga malalaking kumpanya na may malaking badyet ng seguridad na nakatuon sa mga bagay tulad ng mga kritikal na sistema at pag-unlad ng panloob, ngunit hindi nila kinakailangang palawakin ang pokus na iyon sa lahat ng iba pa sa paligid. Pagkatapos ay mayroong tanong kung kailan inilalapat ang seguridad. Maraming mga samahan ang mayroon pa ring “built” ng kanilang software (gumagawa ng mga panipi ng hangin!), Natapos, at sinubukan ng isang tindero, at inilalapat lamang ang seguridad sa sandaling maipadala ito. Kaya, ang kanilang pag-ikot ng seguridad ay makikilala ang isang buong bungkos ng mga isyu sa kahinaan sa seguridad sa pinakamasamang posibleng panahon – ang pagtatapos ng proyekto.

Sa karagdagang pagbaba ng lifecycle ng proyekto na iyong pupuntahan, mas mahal ang pag-ayos ng mga depekto na ito sa pamamagitan ng pagbalik, muling pagsulat ng code, muling pagbuo ng mga pagsubok sa pagsasama, pagsubok sa pagtanggap ng gumagamit, atbp. Gusto kong tulungan ang mga kumpanya na maiwasan ang kahinaan sa unang lugar.

Paano nalalaman ng mga kumpanya kung kailan sila nasira at kung anong data ang ninakaw?

(Mga Tawa) Well, napakadalas, alam ng mga kumpanya na nasira sila kapag sinabi ko sa kanila! Hindi pangkaraniwan na ang una sa isang organisasyon na nakakaalam ng isang paglabag sa data ay kapag ang isang tulad ko ay lumapit sa kanila gamit ang kanilang database. Karamihan sa mga samahan, kahit na ang ilan sa pinakamalaki o pinakamahalagang website sa buong mundo, ay hindi sapat na kagamitan upang makilala kung kailan naganap ang isang panghihimasok, at ang data ay nai-exfiltrated.

Mag-isip ng Mga Larawan ng Sony. Ibig kong sabihin na ang pag-atake ay naganap sa loob ng isang pinalawig na panahon, sumiklab ng isang napakalaking dami ng data mula sa maraming iba’t ibang mga sistema at ang una nilang nalalaman dito ay nang makita ng mga empleyado ang “na-hack ng mga tagapag-alaga ng kapayapaan” sa kanilang mga screen.

Anong uri ng data ang mga hacker pagkatapos?

Depende sa kanilang mga motibo, ang anumang bagay sa internet ay isang target. Ang mga username at password ay mahalaga lalo na dahil ang muling paggamit ng password ay nangangahulugang potensyal kang magkaroon ng susi sa maraming iba pang mga site. Malinaw, ang anumang bagay sa isang pinansiyal na kalikasan, tulad ng mga detalye ng credit card at impormasyon sa bank account ay isang lumang paborito. Madalas, ang impormasyon na nai-digitize sa loob ng mga organisasyon, lalo na ang anumang suportado ng estado, ay napaka-kapaki-pakinabang para sa espiya ng korporasyon. Ngunit maraming tao ang naroroon, karamihan sa mga bata, na nais lamang ng isang tropeo. Wala silang pakialam kung gaano kahalaga ang data; hindi nila pinapahalagahan kung anong uri ng website ito, masaya sila na makapasok lamang at masira ang isang site.

Paano nakakaapekto ang ninakaw ng data sa mga kumpanya at indibidwal?

Ito ay depende sa uri ng data. Kung ang impormasyon ay hindi sensitibo, maaaring magkaroon ito ng isang menor de edad na epekto sa indibidwal ngunit isang mahusay na epekto sa pamamagitan ng pagsira sa reputasyon ng nasirang samahan. Para sa Mga Larawan ng Sony, ito ay hindi sinaligan na mga pelikula na mahalaga sa intelektuwal na pag-aari.

Ang mga kredensyal ay maaaring magamit upang masira ang mga account, para sa pagpapadala ng spam, at para sa napaka-target na phishing. Sa kaso ni Ashley Madison, nakita namin ang mga pagtatangka ng blackmail na epektibong mga mail merge lamang gamit ang data mula sa paglabag. Sa kasamaang palad, nagresulta ito sa mga pagbibitiw, pagdiborsyo, at kahit na mga pagpapakamatay, sa gayon malinaw naman, ang epekto ay maaaring maging matindi.

Mayroon bang kumpanya upang ipaalam sa mga indibidwal ng mga paglabag sa data?

Depende kana sa iyong nasasakupan. Sa Australia, halimbawa, mayroon kaming medyo magaan na ipinag-uutos na mga batas sa pagsisiwalat; sa katunayan, nakuha lamang namin ang aming unang ipinag-uutos na mga batas sa pagsisiwalat noong nakaraang taon. Kung ang isang kumpanya ay may kita na mas mababa sa 3,000,000 dolyar ng Australia sa isang taon, na higit sa 90% ng mga negosyo sa Australia, o kung ang data na nasira ay malamang na magdulot ng malubhang pinsala, kung gayon hindi sila hinihiling na ibunyag.

Sa ilalim ng GDP sa Europa, ang mga patnubay ay mas mahigpit. Mayroong higit na pananaw na nakasentro sa privacy na ang personal na data ay kabilang sa indibidwal kaysa sa kumpanya, at dapat na isiwalat ang anumang maling paggamit. Sa palagay ko ang mga organisasyon, anuman ang kinalalagyan nito, ay dapat kilalanin na kahit na ito lamang ang aking email address, ito ay AKO email address at kung nawala o ilantad mo ito, dapat akong ipaalam.

Bakit mo sinimulan ang Have I Been Pwned, at kung anong serbisyo ang ibinibigay nito?

Marami akong ginagawa sa pagsusuri ng paglabag sa data pabalik noong 2013 at nakita ang ilang mga kagiliw-giliw na pattern tulad ng isang email address na lumitaw sa maraming mga paglabag sa data ay madalas na may parehong password. Alam na namin na ang mga tao ay gumagamit ng parehong mga kredensyal upang mag-log in sa maraming mga site, ngunit ito ay kagiliw-giliw na talagang makita ang data. Ang isa pang bagay na natagpuan ko ang mausisa ay ang maraming mga tao na naging sa mga paglabag sa data ay hindi alam. Samakatuwid, nais kong lumikha ng isang pagsasama-sama ng serbisyo kung saan ang mga tao ay makakakuha ng isang mas mahusay na pagtingin sa kanilang pangkalahatang bakas ng paa at kung gaano kalaki ang kanilang data. Iyon ang genesis para sa Have I Be Pwned.

Paano ka makakakuha ng mga paglabag sa mga database?

Sa una, lumabas ako at kinuha ang magagamit na impormasyon sa publiko. Pagkatapos sa paglipas ng panahon, habang nagsimula ang proyekto upang makakuha ng maraming pampublikong suporta, parami nang parami ang lumapit at binigyan ako ng data mula sa isang partikular na paglabag. Lamang sa katapusan ng linggo na ito ay nagkaroon ako ng isang tao na lumabas mula sa asul at nagpapadala ng isang malaking halaga ng data mula sa pitong magkakaibang paglabag, karamihan sa mga ito ay naglalaman ng sampu-sampung milyong mga tala sa bawat.

Ito ay uri ng humingi ng tanong na alam mo kung sino ang mga taong ito? Sila ba ang masamang tao? Sila ba ay mga tao na lamang ang impormasyon sa pangangalakal? Ang katotohanan nito ay kaunti ito sa lahat. Sigurado ako na sa ilang mga kaso sila ang mga tao na talagang nakompromiso ang system pool ng data, ngunit sa karamihan ng mga kaso, ang mga tao ay gumagawa ng isang libangan na hindi nagpapakilalang nangongolekta at pagsubaybay sa mga paglabag sa data.

Tiyak na maraming mga propesyonal na mananaliksik ng seguridad na sumbrero na makikipag-ugnay sa samahan, ipaalam sa kanila na ang kanilang data ay nakalantad, at kung minsan ay bigyan sila ng gabay sa pagprotekta nito sa hinaharap. Kapag naayos na ang paglabag, bibigyan nila ako ng data at hiniling na ilista ko ang mga ito bilang mapagkukunan upang mabigyan sila ng publisidad.

Ano ang isang i-paste?

Ang isang i-paste ay teksto na literal na naka-paste sa isang website. Maaari kang pumunta sa isang serbisyo tulad ng Pastebin, i-paste ang ilang teksto, i-save ito, at mayroon kang isang URL na maaari mong ibahagi sa iba. Ang mga data mula sa mga paglabag ay madalas na lumilitaw muna sa mga pastes, dahil mai-paste ng mga hacker ang isang segment ng data bilang patunay na na-access nila ang system.

Habang ito ay isang mabuting maagang tagapagpahiwatig ng nasusupit na data, madalas ding maraming basura sa mga pastes din, kaya tuwing natagpuan ang isang email address, nagbibigay kami ng isang link sa i-paste upang makapagpasya ka kung kailangan mong gawin.

Anong mga aksyon ang inirerekumenda mo para sa isang indibidwal na ang data ay ninakaw?

Ito ay talagang nakasalalay sa likas na katangian ng data. Kung ito ay isang password na na-reused sa ibang mga lugar, kailangan itong baguhin sa bawat solong site. Ang isang tagapamahala ng password ay isang mahusay na tool upang gawin silang lahat natatangi. Kung ito ay isang password sa solong site na iyon, mas madali. Bilang karagdagan, sa sandaling ang mga site ay nakakaalam ng isang paglabag sa data, kadalasan ay nai-reset nila ang lahat ng mga password. Kung ito ay isang bagay na mas personal tulad ng isang credit card, sige at kanselahin ang card. Kung ito ang iyong tirahan sa bahay, ang iyong numero ng telepono o ang iyong petsa ng kapanganakan, na rin ang mga bagay na hindi ka magbabago dahil lamang sa isang paglabag sa data, ngunit isang magandang ideya na gumamit ng isang serbisyo sa pagsubaybay sa credit dahil iyon ang uri ng data na ginamit para sa pagnanakaw ng pagkakakilanlan.

Ano ang workshop na “Hack Yourself First”?

Pinatatakbo ko ang “Hack Yourself First” na 2-araw na workshop tungkol sa 80 beses sa buong mundo sa huling apat na taon. Ito ay dinisenyo upang matulungan ang mga developer ng software, sysadmins, IT pros, atbp na maunawaan kung paano sinamantala ang kanilang kahinaan sa seguridad upang mas maprotektahan nila ang kanilang sarili. Kumuha ako ng mga kalahok sa pamamagitan ng buong lifecycle; narito kung paano gumagana ang pag-iiniksyon ng SQL – narito kung paano mailalabas ng mga umaatake ang data – at siyempre, narito kung paano magsulat ng code, kaya hindi ito nangyayari sa iyo.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map