Kun salasanat varastetaan, tämä australialainen kaveri varoittaa maailmaa

Troy Huntin Have I Been Pwned on yhden luukun oppia, jos olet miljoonien joukossa, joihin tietoturvaloukkaukset vaikuttavat. Ja hän yrittää tehdä sen vastuullisesti.

Kun salasanat varastetaan, tämä australialainen kaveri varoittaa maailmaa

Massiiviset käyttäjätilien tietokannat näyttävät hakkeroituvan päivittäin. Paljastettujen tilien ja salasanojen määrä - yleensä heikosti salattu - on noussut miljardeihin. Silti vastuu ja hämmennys ovat jättäneet yritykset vihaamaan paljastamaan nopeasti, että heitä on hakkeroitu.



Tämä näyttää muuttuvan osittain uusien voimassa olevien tai tulevien lakien vuoksi Euroopan unionissa ja joissakin Yhdysvaltojen osavaltioissa, mukaan lukien Kalifornia, jotka määräävät seuraamuksia ilmoituksen viivästymisestä.

Mutta se johtuu myös erään australialaisen miehen vahingossa noususta tilin julkistamishakkien ekosysteemin huipulle. Troy Hunt Olenko ollut Pwned sisältää tietoja yli 305 rikkomuksesta ja 77 000 valikoivasta kaatopaikasta (nimeltään tahnat), jotka ovat yhteensä yli 5,3 miljardia tilitietuetta.



Huntin sivustolla kävijät voivat kirjoittaa sähköpostiosoitteensa nähdäkseen, onko heidän tietonsa osa rikkomusta. Mutta yli 2 miljoonaa ihmistä tilaa hänen ilmaisen sähköposti -ilmoituspalvelunsa. He saavat rikkomusilmoituksia, jotka usein ajoitetaan julkistamaan hakkeroidulla yrityksellä - tai jos yritykset kieltäytyvät tunnustamasta Huntin pyrkimyksiä eettisesti etukäteen, ennen kuin rikkomuksen viralliset sanat tulevat lainkaan.



Aina kun Hunt lisää tietoja toisista väistämättömistä julkisten ja yksityisten sivustojen rikkomusten kavalkadeista, tilaajat saavat sähköpostia. Mukana olevien tilien määrä vaihtelee kymmenistä tuhansista satoihin miljooniin. Vain viime päivinä ihmiset ovat lähettäneet minulle kymmeniä rikkomuksia, Hunt sanoo.

Hänellä on myös välimuisti, jossa on yli puoli miljardia salasanaa pelkkänä tekstinä, jotka on paljastettu jossain vaiheessa murtautumisista. Hän syöttää automaattisten pyyntöjen kautta päivittäin noin 8 miljoonaa vastausta palveluihin, jotka tarkistavat, onko annettu salasana koskaan esiintynyt rikkomuksessa - ja hän tekee tämän taitavasti, joten hänen palvelunsa ei tarvitse saada ihmisten salasanoja edes lyhyesti suorittaakseen tarkistaminen.

Have I Been Pwnedin nimi riffs on pwned, termi 2000-luvun nuorisokulttuurista, joka tarkoittaa löyhästi, että joku on hallinnut sinua tai omistanut sinut videopelissä-tai kaappaamalla jonkin digitaalisen omaisuutesi. Sitä käytetään nyt rutiininomaisesti niiden ihmisten maailmassa, jotka hyödyntävät järjestelmän heikkoutta hyväksi tai pahaksi taiteeksi.



Hunt, joka sijaitsee Gold Coastilla Queenslandissa, lähellä Brisbanea, työskentelee kokopäiväisesti itselleen turvallisuuskonsulttina, puhujana ja kouluttajana. Have I Been Pwned vie noin 20% ajastaan, hän sanoo, usein iltaisin, viikonloppuisin ja juhlapyhinä. Se on yksinpyrkimys, ja hän on pitänyt kustannukset alhaisina käyttämällä pilvipalveluja ja jatkuvasti pyrkiessään parantamaan tehokkuutta.

Huntin sivusto tuntuu takaiskuilta julkisen internetin varhaisille, idealistisille päiville. Hän sanoo, että hänen tavoitteensa on aina ollut, kuinka saamme hyvät asiat tapahtumaan sen jälkeen, kun pahat asiat tapahtuvat? Hän yksinkertaisesti loi jotain hyödyllistä täyttämään tyhjiön, jota kukaan, jolla oli syvemmät taskut, ei ollut korjannut.

Epäeettinen käyttäytyminen, eettinen vastaus

Hunt oli motivoitunut luomaan Have I Been Pwnedin vuonna 2013 vastauksena kasvaviin huolenaiheisiin rikkomuksista - kuten kyseisen vuoden vuoto 150 miljoonaa Adobe -tiliä - johtaisi hyväksikäytön ihottumaan. Olin nähnyt valtavan määrän tietomurroja, joissa oli tilejä, ja ajattelin, että toisaalta ihmiset eivät todennäköisesti tiedä tästä [rikkomuksesta] ja he todellakin tietävät sen, Hunt sanoo. Toisaalta löysin mitattavissa olevia todisteita joistakin asioista, jotka tiedämme tavasta, jolla ihmiset hallitsevat verkkoturvaansa.



Useat rikkomukset vahvistivat, että monet ihmiset todella käyttävät yhtä salasanaa useissa palveluissa. ( Yhdistyneen kuningaskunnan sääntelyviranomaisen Ofcomin vuonna 2013 tekemä tutkimus oli huomannut, että 55% ihmisistä käytti samaa salasanaa kaikilla tileillään ja neljännes käytti syntymäpäiviä tai nimiä.) Salasanojen-myös vaikeasti arvattavien-käyttäminen on tietysti ongelmallista, koska joku, joka on saanut salasanasi yhdelle tili voi sitten kokeilla samaa sähköpostiosoitteen ja salasanan yhdistelmää missä tahansa muussa valitsemassaan sivustossa. He voivat jopa käyttää automaattisia työkaluja yrittäessään kirjautua tuhansille sivustoille.

Vuonna 2013, kun Hunt muotoili suunnitelmiaan, kaksivaiheisen todennuksen käyttö-joka on suunniteltu estämään tunkeutujat, vaikka heillä olisi salasanasi-oli paljon harvinaisempaa. Mutta jopa jotkin sivustot, joissa on kaksivaiheinen todennus, antavat sinun ohittaa sen pyytämällä salasanan vaihtamista sähköpostitse, mahdollisesti käyttämällä sähköpostitiliä, jonka salasana on rikottu.

On yksi asia murtaa ikävästi salasanat yksi kerrallaan käyttämällä sosiaalista suunnittelua, näppäinloggereita ja muita menetelmiä. Toinen asia on päästä käsiksi tilitietokantaan, erityisesti tietokantaan, joka vuotaa julkisesti. Menetelmällä, jota käytetään yleisesti salasanojen salaamiseen muutama vuosi sitten - ja joka on valitettavasti edelleen laajassa käytössä tänään -, hakkerit voivat käyttää valmiiksi laskettuja tietokantoja yleisimpien salasanojen salattuista versioista ja hakea ne heti. Tämä avaa tyypillisesti suuren osan tilin salasanoista, koska ihmiset käyttävät suurelta osin yksinkertaisia ​​tai helposti ennakoitavia malleja.

Lisäksi tyypillisellä salasanan salauksella, jos 100 000 sivuston käyttäjää käyttää samaa salasanaa, peloton identiteettivaras saa heti 100 000 tilin/salasanan yhdistelmää, jota he voivat kokeilla muulla tavalla.

Kehittäjillä on ollut vuosien ajan käytettävissään paljon tehokkaampia työkaluja, jotka tekevät jokaisen salasanan salatusta versiosta ainutlaatuisen ja vaativat huomattavasti enemmän laskentaa jokaisen salasanan murtamiseksi. Näitä helposti saatavilla olevia vaihtoehtoja ei kuitenkaan käytetä laajasti, kuten jokainen uusi rikkomus tekee selväksi.

Käyttäjät voivat minimoida altistumisensa luomalla jokaiselle sivustolle yksilölliset salasanat salasanojen hallinnan avulla, joista osa on nyt sisäänrakennettu käyttöjärjestelmiin ja selaimiin. Mutta monet eivät käytä näitä työkaluja. Jopa ihmiset, jotka kuuntelevat perinteistä viisautta vahvojen salasanojen luomisesta, saattavat noudattaa täysin väärässä neuvossa jo vuosia. Ja monilla meistä on vanhoja tilejä, joiden salasanoja emme ole vaihtaneet moneen vuoteen, vaikka meillä on nyt ainutlaatuinen salasanauskonto.

miten puhdistat sähköpostisi

Hunt perusteli, että yksi tapa auttaa estämään tämän ongelman laajuus oli rakentaa sivusto, jossa ihmiset voivat tarkistaa, vastaavatko heidän sähköpostiosoitteensa julkisesti julkistettuja rikkomuksia. Tiedot monista merkittävistä rikkomuksista ovat julkisesti saatavilla - joskus siksi, että pahat ihmiset ovat tarkoituksellisesti julkaisseet tuhoa. (Useimmissa näistä kaatopaikoista salasanat olivat salattuja, mutta niin heikkoja, että niiden määrittäminen raa'an voiman murtamisen avulla ei vaatinut paljon asiantuntemusta.) Myöhemmin hän lisäsi palvelun, jonka avulla kävijät voivat rekisteröityä vastaanottamaan viestin, jos heidän osoitteensa esiintyi rikkomuksessa, jonka hän myöhemmin lisäsi.

Vaikka kuka tahansa voi kirjoittaa sähköpostiosoitteen ja nähdä, mitkä rikkomukset sen sisältävät, Hunt merkitsee tietyt tietovuodot arkaluonteisiksi, kuten uskottomuutta kannustavan Ashley Madison-dating-sivuston. Näissä tapauksissa, jotta kukaan ei voi käyttää Have I Been Pwned -palvelua toisen henkilön verkkotoiminnan tarkistamiseen, ottelut lähetetään vain sähköpostitse kyseisiin osoitteisiin, eivätkä ne näy julkisessa sivustohaussa.

Have I Been Pwned ei myöskään tarjoa mitään yhteyttä sähköpostiosoitteiden ja salasanojen välillä. Jos joku lähettää sähköpostiviestin Huntille kysyäkseen, mikä salasana liittyy tiliin, hänen vastauksensa on, että kirjoitat sen.

Hunt huolehtii keräämiensä tietojen huolellisesta hallinnasta, toisin kuin ilmaiset ja maksulliset sivustot, jotka tarjoavat pääsyn täysin paljastettuihin tietueisiin. . Esimerkiksi sivusto LeakedSource.com veloitti maksun saadakseen kaikki tiedot - mukaan lukien salasanat, jotka se oli purkanut - ilman henkilöllisyyden vahvistamista. Lainvalvonta takavarikoi palvelimet tammikuussa 2017 ja Kanadan viranomaiset syyttivät yhtä miestä tammikuuta 2018, kun henkilöllisyystiedot käytiin kauppaa muiden väitettyjen rikosten joukossa. Hunt ei koskaan suunnitellut tekevänsä mitään tällaista, mutta pysyminen mahdollisimman kaukana ideasta osoittautui järkeväksi.

Tehdä oikein

Have I Been Pwnedin korkea profiili ja Huntin menetelmällinen lähestymistapa julkistamiseen tekevät hänen työstään ajan uppoamisen. Ihmiset lähettävät hänelle rutiininomaisesti tietoja havaitsemistaan ​​rikkomuksista, joihin liittyy joskus pieniä määriä ihmisiä esimerkiksi yksityisessä lääkäriasemassa. Hunt sanoo, että tällainen tieto tulee sekä mustista hattuista, jotka haluavat osoittaa hakkerointikykynsä hänelle, että valkoisista hattuista, jotka haluavat tehdä oikein. Molemmat ryhmät ovat huolissaan siitä, miten käsitellä tällaisten tietojen julkistamisen hienot puolet ilman, että ne laskeutuvat kuumaan veteen.

Hän ei halua lisätä rikkomusta sivustoonsa ennen kuin hän on varmistanut, että kyseinen ryhmä tietää siitä. Jotkut eivät vastaa, etenkin pienet organisaatiot. Hän on saanut myös sotaisia ​​vastauksia, kuten silloin, kun hän ei voinut herättää hälytystä fiktiivisivustolla ja ilmoitti sen käyttäjille ennen kuin sivuston ylläpitäjät ryhtyivät toimiin. Hunt sanoo, että sivuston ylläpitäjät ovat kiistäneet rikkomuksen, jäädyttäneet keskusteluketjut ja esittäneet näkemyksiä hänen laillisuudestaan.

Tällainen vastaus kyllästyttää hänet. Ei enää tätä, hän ajattelee itsekseen. Täytyy käydä läpi tämä kipu.

[Kuva: Troy Huntin ystävällisyys]

Suurempien yritysten keskuudessa tapahtunut muutos on kuitenkin kannustanut häntä, mikä johtuu osittain siitä, mitä hän kuvailee käyttäjien asenteiden muutokseksi. Muutos, jonka olen nähnyt kuluttajien tunteissa rikkomuksia kohtaan, etenkin viime vuonna, on siirtynyt 'nämä kaverit imevät, koska heillä oli tietomurto' - 'ah, tietomurrot ovat paskoja, [mutta] ne imevät vain, jos he käsittele sitä huonosti, & apos; hän sanoo.

Huntin mukaan myös yritykset näyttävät nyt olevan valmiimpia tunnustamaan ongelman ja ottamaan yhteyttä rekisteröityneisiin käyttäjiin välittömästi. Jotkut yritykset näyttävät seuraavan muissa rikkomuksissa julkaistuja sähköpostiosoitteita ja varoittavat palvelunsa käyttäjiä uudelleenkäytetyn salasanan mahdollisuudesta tai vaihtavat käyttäjätilin salasanan joka tapauksessa.

Tietosuojalainsäädäntö on asettanut hampaita oikeudelliselle puolelle, minkä pitäisi saada yritysten oikeudelliset neuvonantajat ja jopa johtokunnat vaatimaan parempaa turvallisuutta ja paljastamista. Euroopan unionin yleinen tietosuoja -asetus vaatii ankaria rangaistuksia pahimmista rikkomuksista. Kalifornian uusi kuluttajansuojalaki, joka tulee voimaan 1. tammikuuta 2020, on heikompi kuin GDPR, mutta sillä on silti hampaat ja se voi määrätä merkittäviä sakkoja harhaanjohtavasta tai huolimattomasta käytöksestä. Alabama ja Pohjois-Dakota hyväksyivät tietosuojalainsäädännön vuoden 2017 Equifax-rikkomuksen jälkeen, kun lähes 150 miljoonaa kuluttajatietoa oli rikottu. Nämä ja muut säännöt suosivat yrityksiä, jotka paljastavat tiedot nopeasti ja täydellisesti; viivästykset ja muut huijaukset aiheuttavat suuria sakkoja.

Hunt toteaa vahvasti, että keskustelualusta Disqus ja kuvan isäntä Imgur paljastivat kaikki 24 tunnin kuluessa siitä, kun hän otti heihin yhteyttä. Hän sanoo, että molemmat yritykset selittivät suoraan rikkomukset käyttäjilleen, kertoivat yksityiskohtaisesti, mitä he tekivät vastauksena, ja pyysivät anteeksi.

Laskujen maksaminen

Jos olen niin hyödyllinen monille ihmisille, Have I Been Pwned on erittäin taloudellinen ajaa. Hunt kesäkuussa 2018 twiittasi kustannuksistaan ​​tavalla, joka kuulosti katoavalta, ikään kuin sivusto painottaisi häntä taloudellisesti. Ja hän käytti kerran tarvittaviin verkkopalveluihin satoja dollareita kuukaudessa. Mutta hänen suuri paljastuksensa oli, että kesäkuussa hän oli saanut tämän hinnan noin taalille päivässä. Siitä lähtien hän on tehnyt enemmän muutoksia, ja tarvittavat Microsoft Azure -pilvipalvelut maksavat hänelle nyt noin 2,6 ¢ päivässä.

Muutama kannattaja auttaa tukemaan Have I Been Pwnedia vaatimattomilla tavoilla. Cloudflare antaa hänelle ilmaisen pääsyn sisällönjakelu- ja hyökkäysten lieventämispalveluihin, mutta Hunt sanoo, että hänen kustannuksensa olisi noin dollari päivässä, jos hän maksaisi niistä. Hän saa myös apua lähtevään sähköpostiinsa, mikä auttaa, kun otetaan huomioon, että hänen sivustonsa lähettää satoja tuhansia sähköpostiviestejä kuukaudessa.

Yhden miehen osa-aikaisena bändinä Have I Been Pwned on palvellut Huntia selvästi yli kaiken suoran taloudellisen korvauksen. Se, mitä hän on oppinut rakentamaan palvelua, joka on joutunut skaalautumaan, muuttuu suoraan hänen rahaa ansaitsevaan konsultointi- ja koulutuskäytäntöönsä. Mutta hän on myös ottanut muutamia tulovirtoja kompensoidakseen kovat kustannuksensa ja korvauksena monista sadoista tunneista, jotka hän on käyttänyt palveluun viiden vuoden aikana.

Kuka tahansa voi käyttää salasanansa tarkistustoimintoa ilmaiseksi ja jopa ladata Have I Been Pwned -tietokannan täyden version. Hunt tarjoaa kuitenkin myös maksullisen palvelun yrityksille, jotka haluavat johdonmukaisen, suuren määrän käyttöoikeuksia suorien kyselyiden suorittamiseen. Asiakkaita ovat Eve Online, MyLife ja AgileBits (1Password -salasananhallinnan valmistaja, jolla on myös maksullinen sponsorisopimus Huntin kanssa) sekä joitakin nimeämättömiä turvayrityksiä. Tämä kaupallinen pyrkimys palvelee suurempia tarkoituksia auttamalla näitä yrityksiä estämään käyttäjiä käyttämästä salasanoja jo luonnossa.

Korkeampi profiili

Marraskuussa 2017 Hunt tuli Washingtoniin, kutsuttiin todistamaan Yhdysvaltain talojen energia- ja kauppakomitean edessä tietoja tietomurroista, niiden vaikutuksista ja mahdollisista lieventämisistä. Hän totesi valiokunnalle, että tietomurtojen yhteisvaikutus heikensi sitä, että henkilötietomme olivat riittävän yksityisiä voidaksemme vahvistaa kirjautumistunnuksen tai henkilöllisyytemme. Hän ilmaisi myös halunsa parantaa koulutusta, koska useimmat rikkomukset johtuivat vääristä määrityksistä. Esimerkiksi Equifax-tapauksessa yrityksen huonoja turvallisuutta koskevia päätöksiä paljastettiin vain siksi, että yhdessä julkisessa tietokoneessa oli vanhentunut ohjelmistopäivitys.

Tämä todistus heijasti kuinka pitkälle Huntin ponnistelut ovat tulleet. Mutta yhden miehen yrityksenä hän on tietoinen siitä, että hän on ainoa epäonnistumisen kohde. Vaikka hän ajattelee henkilöstön palkkaamista, hän toteaa, etten voi siirtää uskottavuuttani.

Huntin ensisijainen huolenaihe ei ole aika, vaan vastuu. Hän on huolissaan siitä, että rikkomuksista saatujen lisätietojen jakaminen käyttäjille voisi avata hänet riskille, jota hän ei kestä, mutta joka olisi hyvin suurempien yritysten kykyjen sisällä, ja siinä on insinöörejä, turvallisuusarkkitehtejä ja lakimiehiä. Tämä sai hänet harkitsemaan palvelunsa myymistä. Mutta sen on oltava oikea yritys, eikä hän ole toistaiseksi löytänyt tällaista yritystä eikä se ole löytänyt häntä.

Lähitulevaisuudessa Huntin yksinoperaatio on edelleen välttämätön. Have I Been Pwnedin miljoonat tilaajat todistavat sen tärkeydestä nykypäivän vuotavassa internetissä. Ja surullinen osa on, että siitä tulee vain suositumpi ajan myötä.