「匿名」がこれらすべての平文パスワードを取得する方法
過去数か月の間に、複数の異なるハッキンググループ(メディアが単一のドメインにグループ化することを好むグループ-「匿名」)による公開されたデータ侵害と公開Webサイトの改ざんがいくつかありました 一部の攻撃 on交通機関による論争の的となったBARTおよび関連組織。
一般に公開されているWebサイト(効果的にビルボード)のセキュリティが十分でない(2か月前のCIAの「ハッキング」など)と考えられ、ブラックハットの経験を持つ誰かがWebサイトに侵入して改ざんできるようにします(同様に) FS組織およびその他のものに関する重要でない詳細)をリリースします。ただし、時々、さまざまなデータベースサーバーからのユーザー名とパスワードのプレーンテキストリストなど、さらにプライベートな詳細をリリースしますそれは攻撃にあった。
私が混乱しているのは、彼らがこのように大量のパスワードのリストを取得する方法です。これらのサーバーは、Webサービスのパスワードがプレーンテキストで保存されるほど不適切に構成されていますか? 「匿名の」総当たりは、いくつかのハッシュリストを強制し、ぶら下がっているパスワードのフルーツを解放していますか?彼らはハッキングされたサーバーに基づいてセットアップし、すべてのパスワードをログに記録していますか?
正当な組織に関連付けられたWebサービスが、ハッキングスクリプトを使用して誰でも簡単に取得できる方法でパスワード情報を保存することは、私にとって少し不安に思われます。
はい、これらのサイトの多くは非常に不適切に構成されているため、パスワードをプレーンテキストで保存しています。
または、パスワードが暗号化されたハッシュとして保存されている場合、ハッカーは簡単に復号化されたパスワードを解放します。実際、NewsCorpハックの場合にのみ、Anonymousがパスワードを復号化しましたが、それ以外は、単にパスワードハッシュを公開しているだけです。実際には、ハッシュを復号化することは非常に簡単です。たとえば、人々はBooz-Allenダンプのパスワードの40%を解読することができました。
いいえ、パスワードを傍受していません。彼らは主にすべてをサーバーにダンプし、サイトを改ざんし、次に進みます。
なぜあなたが不安を感じているのかはわかりません。インターネット上でパスワードを提供するほとんどのサイトでは、それをプレーンテキストで保存しています。パスワードをハッシュ化することについて心配するのは、セキュリティを非常に意識している、最初からハッキングから身を守る傾向がある人々だけです。
私が理解しているように、LulzSec、Anonymousなどからの侵害の大部分はSQLインジェクションです。 HBGary、Sony、Apple ...それらはすべて、WebアプリのSQLインジェクションの欠陥が原因で落ちました。 http://www.google.com/search?q=anonymous+sql+injection
パスワードはプレーンテキストの場合もあれば、グループによって事前にクラックされたハッシュの場合もあれば、すべてのハッシュの急流を投稿して世界に解読させる場合もあります。
また、適切なinfosectヒント:Webアプリケーションにパスワードを照会する許可を与えないでください。ストアドプロシージャを使用してそれらを比較します。そうすれば、SQLインジェクションの犠牲になったとしても、誰もパスワードハッシュをダンプできません。
この記事 のように、Troy Huntのブログをフォローしてみてください。 1つのサイトがハッキングされ、アカウント情報(プレーンテキストのパスワード)が盗まれる最悪の部分は、人々がパスワードを再利用する傾向があるため、他のサイトにセキュリティリスクがあることを意味します。
乾杯、ウィム