Утечку данных 45 млн человек обнаружили во время проведения академического исследования - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
19-12-2017, 10:00
Утечку данных 45 млн человек обнаружили во время проведения академического исследования - «Новости»
Рейтинг:
Категория: Новости

Специалисты Калифорнийского университета в Сан-Диего разработали инструмент Tripwire, который позволяет определить, когда какой-либо сайт, содержащий личные данные пользователей, подвергается взлому.


Идея была проста: Tripwire ищет сайты с возможностью регистрации, и заводит на каждом ресурсе одну или более учетную запись, привязанную к уникальному email-адресу, который более не используется ни для каких целей. При этом пароль для этого почтового ящика и учетной записи на сайте умышлено совпадают. После Tripwire регулярно проверяет, не пытался ли кто-либо посторонний войти в почту с использованием данного уникального пароля. Как только подобное происходит, сайт можно считать скомпрометированным, так как пользовательские данные попали в руки некой третьей стороны.


В опубликованном недавно научном докладе (PDF) исследователи пишут, что таким образом им удалось завести аккаунты более чем на 2300 сайтах. В конце периода наблюдений обнаружилось, что неизвестные злоумышленники узнали учетные данные от 19 из них, причем пользовательская база одного из этих ресурсов насчитывает более 45 000 000 человек.


Хотя специалисты попытались связаться с операторами всех пострадавших ресурсов, к их огромному удивлению, ни один из сайтов в итоге не уведомил пользователей об утечке и компрометации данных.


Чтобы иметь возможность судить о том, что компрометации точно повергся изучаемый сайт, а не почтовый провайдер, специалисты создали более 100 000 контрольных почтовых ящиков и в случае выявления бреши сверялись с ними.


«Меня приободрил тот факт, кто крупные сайты, с которыми мы контактировали, восприняли нас со всей серьезностью. Но я был весьма удивлен, когда никто не предпринял никаких действий на основании полученных нами результатов. На самом деле, компании вообще не стремились помогать нашему исследованию, ведь наша работа подвергала их огромным финансовым и юридическим рискам», — рассказывает глава исследовательской группы и профессор компьютерных наук Алекс Сноерен (Alex C. Snoeren).


Однако на простом выявлении факта компрометации сайта исследования не заканчиваются. Также Tripwire  способен обнаруживать ресурсы, хранящие пароли в формате простого текста. Для этого инструмент может, например, создать несколько аккаунтов-ловушек на одном сайте, используя для одних совсем простые пароли, а для других очень сложные. Если атакующие в итоге скомпрометируют все эти учетные записи, проверяемый ресурс, скорее всего, хранит пароли в формате простого текста, или защищает их ненадежным алгоритмом, вроде MD5. Если же компрометации подвергнутся только простые пароли, значит, пользовательские данные все же защищены, а злоумышленники, возможно, использовали обычный брутфорс.


Исходные коды Tripwire уже были опубликованы на GitHub. Разработчики инструмента надеются, что их разработка пригодится компаниям, которые смогут применять Tripwire как дополнительную систему для обнаружения утечек.


Фото: UCSD      


Источник новостиgoogle.com

Специалисты Калифорнийского университета в Сан-Диего разработали инструмент Tripwire, который позволяет определить, когда какой-либо сайт, содержащий личные данные пользователей, подвергается взлому. Идея была проста: Tripwire ищет сайты с возможностью регистрации, и заводит на каждом ресурсе одну или более учетную запись, привязанную к уникальному email-адресу, который более не используется ни для каких целей. При этом пароль для этого почтового ящика и учетной записи на сайте умышлено совпадают. После Tripwire регулярно проверяет, не пытался ли кто-либо посторонний войти в почту с использованием данного уникального пароля. Как только подобное происходит, сайт можно считать скомпрометированным, так как пользовательские данные попали в руки некой третьей стороны. В опубликованном недавно научном докладе (PDF) исследователи пишут, что таким образом им удалось завести аккаунты более чем на 2300 сайтах. В конце периода наблюдений обнаружилось, что неизвестные злоумышленники узнали учетные данные от 19 из них, причем пользовательская база одного из этих ресурсов насчитывает более 45 000 000 человек. Хотя специалисты попытались связаться с операторами всех пострадавших ресурсов, к их огромному удивлению, ни один из сайтов в итоге не уведомил пользователей об утечке и компрометации данных. Чтобы иметь возможность судить о том, что компрометации точно повергся изучаемый сайт, а не почтовый провайдер, специалисты создали более 100 000 контрольных почтовых ящиков и в случае выявления бреши сверялись с ними. «Меня приободрил тот факт, кто крупные сайты, с которыми мы контактировали, восприняли нас со всей серьезностью. Но я был весьма удивлен, когда никто не предпринял никаких действий на основании полученных нами результатов. На самом деле, компании вообще не стремились помогать нашему исследованию, ведь наша работа подвергала их огромным финансовым и юридическим рискам», — рассказывает глава исследовательской группы и профессор компьютерных наук Алекс Сноерен (Alex C. Snoeren). Однако на простом выявлении факта компрометации сайта исследования не заканчиваются. Также Tripwire способен обнаруживать ресурсы, хранящие пароли в формате простого текста. Для этого инструмент может, например, создать несколько аккаунтов-ловушек на одном сайте, используя для одних совсем простые пароли, а для других очень сложные. Если атакующие в итоге скомпрометируют все эти учетные записи, проверяемый ресурс, скорее всего, хранит пароли в формате простого текста, или защищает их ненадежным алгоритмом, вроде MD5. Если же компрометации подвергнутся только простые пароли, значит, пользовательские данные все же защищены, а злоумышленники, возможно, использовали обычный брутфорс. Исходные коды Tripwire уже были опубликованы на GitHub. Разработчики инструмента надеются, что их разработка пригодится компаниям, которые смогут применять Tripwire как дополнительную систему для обнаружения утечек. Фото: UCSD Источник новости - google.com

Теги: CSS, более данные компрометации Tripwire пароли

Просмотров: 790
Комментариев: 0:   19-12-2017, 10:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: