Casa Vigilant de seguretat Botnet va treure dos milions de contrasenyes, la majoria eren realment dolentes

Botnet va treure dos milions de contrasenyes, la majoria eren realment dolentes

Vídeo: The Security Experts Who Stopped a Massive Botnet Army in Its Tracks (De novembre 2024)

Vídeo: The Security Experts Who Stopped a Massive Botnet Army in Its Tracks (De novembre 2024)
Anonim

A principis d’aquesta setmana, Trustwave va publicar el seu estudi sobre una botnet massiva, una de moltes que va aconseguir utilitzar el controlador de botnet Pony. Els investigadors van obtenir el control de la botnet, ocupant el lloc del seu servidor de comandament i control. Un cop controlats, van descobrir que la botnet havia aconseguit robar uns dos milions de contrasenyes d’ordinadors infectats. També van descobrir alguna cosa que la majoria de nosaltres ja sabem: que la gent és terrible amb les contrasenyes.

Accediu a les contrasenyes

Els dos milions de comptes compromesos es van repartir entre 1, 58 milions de credencials de llocs web, 320.000 accessos de correu electrònic, 41.000 comptes FTP, 3.000 credencials d'escriptori remot i 3.000 credencials de compte Secure Shell. La preocupació, per descomptat, és la quantitat de usuaris afectats que havien seleccionat la mateixa contrasenya per a altres llocs.

Els investigadors van trobar 318.121 credencials de Facebook, que van suposar el 57 per cent del total. Yahoo va estar al costat de prop de 60.000 comptes, seguit de 21.708 comptes de Twitter, 8.490 contrasenyes de LinkedIn i 7.978 comptes per al proveïdor de nòmines ADP. Aquesta darrera és una mica insòlita, però també molt perjudicial ja que dóna accés als atacants a la informació personal de les víctimes.

El que més em va espantar va ser les 16.095 credencials de Google.com i les 54.437 credencials del compte de Google. Aquests podrien permetre als atacants accedir a Gmail i, des d’allà, restablir altres contrasenyes mitjançant la funció "oblidat la meva contrasenya" als llocs web. També pot proporcionar als atacants accés a fitxers privats de Google Drive o informació de pagament a Google Wallet.

Tot això no significa que hi hagi un atac massiu contra aquests llocs. És més probable que els delinqüents aconseguissin recollir aquestes adreces a través de diversos mitjans, com ara phishing i keyloggers, i les haguessin emmagatzemat en aquests servidors. Es podrien vendre a altres compradors o bé estalviar-los per a un ús futur.

Terribles contrasenyes, una altra vegada

L’onda de confiança va desglossar les contrasenyes per categories: el sis per cent d’elles va ser “terrible”, mentre que el 28 per cent d’elles va ser “dolent”. Un 22 per cent combinat va ser "bo" o "excel·lent" i el 44 per cent va ser "mitjà". Entre els pitjors es trobaven: 123456, 123456789, 1234 i, "contrasenya".

La majoria de les contrasenyes no barrejaven lletres i números. La majoria de les contrasenyes eren totes les lletres (el mateix cas) o totes les xifres, seguides de les contrasenyes que tenien dos tipus (barreja de majúscules i minúscules, o minúscules amb números, per exemple), va dir Trustwave.

Una bona conclusió va ser que gairebé la meitat –el 46% - de les contrasenyes tenien contrasenyes llargues, de 10 caràcters o més. La majoria de les contrasenyes es trobaven dins del rang de sis a nou personatges, va dir Trustwave.

Objectius d’alt perfil

Pel que fa a Lucas Zaichkowsky, un arquitecte de dades empresarials d'AccessData, la preocupació és que els delinqüents busquen comptes que pertanyin a persones "en organitzacions objectiu d'alt valor". Si resulta que aquestes persones utilitzaven les mateixes contrasenyes en aquests llocs i també en recursos relacionats amb el treball, els atacants poden entrar a la xarxa corporativa mitjançant VPN o correu electrònic mitjançant un client basat en la web, va assenyalar Zaichkowksy.

"Poden vendre els valuosos comptes a altres persones del mercat negre que paguen grans diners per les credencials vàlides que els converteixen en organitzacions objectiu rendibles", va dir Zaichkowksy.

Les persones utilitzen les seves adreces de correu electrònic de treball per a activitats personals, com ara registrar-se en comptes a Facebook. Cesar Cerrudo, CTO de IOActive, va trobar diversos militars, inclosos generals i tinents generals (els "futurs generals", els van cridar Cerrudo) havien utilitzat les seves adreces de correu electrònic.mil per crear comptes al lloc de viatges Orbitz, la companyia de GPS garmin.com, Facebook, Twitter, i Skype, per citar-ne alguns. Això fa que la perspectiva de la reutilització de contrasenyes sigui encara més problemàtica, ja que aquestes persones són molt valuoses com a objectius i tenen accés a molta informació sensible.

El director d’enginyeria de Qualys, Mike Shema, va dir, però, que veu l’esperança en el futur. "A partir del 2014, l'autenticació de dos factors continuarà guanyant impuls a través de la tecnologia empresarial i del consumidor, i moltes aplicacions també començaran a adoptar dos factors. També veurem l'augment de la enginyeria criptogràfica intel·ligent per a contrasenyes de multi-autenticació. " L’autenticació de dos factors requereix un segon pas d’autenticació, com un codi especial enviat a través d’un missatge de text.

Mantenir-se segur

El consens general és que aquestes contrasenyes es van recollir a les màquines d’usuari i no a l’hora de robar informació d’inici de sessió dels llocs, cosa que és un canvi agradable de ritme. Els claus claus són un probable sospitós i són especialment perillosos. Aquestes aplicacions malicioses no només poden capturar pulsacions, sinó que poden capturar captures de pantalla, el contingut del porta-retalls, els programes que inicieu, els llocs que visiteu i, fins i tot, filtrar converses de missatgeria i fils de correu electrònic. Afortunadament, la majoria dels programes antivirus haurien d’haver-lo cobert. Recomanem guanyadors del premi Editors 'Choice Webroot SecureAnywhere AntiVirus (2014) o Bitdefender Antivirus Plus (2014).

Tingueu en compte que alguns programes AV no bloquegen de manera predeterminada els programes "greyware" o "possiblement no desitjats. Els teclats de teclat de vegades entren dins d'aquesta categoria, així que assegureu-vos que activeu aquesta funció.

És difícil de bloquejar la pesca i altres tàctiques per enganyar les víctimes per donar informació de contrasenya. Afortunadament, tenim molts consells sobre com detectar atacs de pesca i com evitar-los atacs d’enginyeria social . Tot el que cal és una mica més de pensament i es pot evitar convertir-se en una estadística.

El més important és que la gent utilitzi un gestor de contrasenyes. Aquestes aplicacions creen i emmagatzemen contrasenyes úniques i complexes per a cada lloc o servei que utilitzeu. També s’iniciaran la sessió automàticament, cosa que fa molt més difícil als keyloggers que agafin la informació. Assegureu-vos de provar Dashlane 2.0 o LastPass 3.0, que són els guanyadors del premi d'Editors per a la gestió de contrasenyes.

Botnet va treure dos milions de contrasenyes, la majoria eren realment dolentes