Primitív módszerrel keresett sokat az orosz hacker

Mintegy kétszázmillió Yahoo-felhasználó adatait kínálja megvételre egy, a Peace névre hallgató hacker, aki nem ismeretlen a biztonsági szakma előtt. Az elmúlt fél évben több százmillió MySpace, Twitter, LinkedIn, Tumblr és VK (a legnagyobb orosz közösségi portál) adatát dobta piacra a "sötét" weben. Peace a TheRealDeal nevű oldalon 100 százalékos elégedettségi mutatót kapott a vevőitől, ami azért érdekes, mert az állományok egyike sem friss, a Yahoo-hozzáférések 2012-ből származhatnak.
Napi.hu, 2016. augusztus 29. hétfő, 15:34
Fotó: Napi.hu

Újabb 200 millió felhasználó adatait dobta piacra a sötét weben a Peace_of_Mind néven ismert hacker, akivel sok nagy internetes vállalkozásnak meggyűlt már a baja. A magát orosznak bemutató Peace, az elmúlt fél évben 360 millió MySpace, 167 millió LinkedIn-, 100 millió VK.com-, 71 millió Twitter- és 68 millió Tumblr-felhasználó adatait dobta piacra. A hacker a Yahoo-jelszavak áruba bocsátásával átlépte az egymilliárdos határt. Átfedésekkel együtt eddig ennyi ember adatait kompromittálta, köztük Mark Zuckenberg és a Twitter alapító Ev Williams jelszavait is.

Peace "munkásságának" érdekessége hogy az általa közzétett adatállományok egyike sem friss, a legtöbb - mint a jelenlegi a Yahoo-s csomag is - 2012-2013-ból származik. Ennek ellenére Peace a vevőitől a legjobb értékeléseket kapja, elégedettségi rátája, a Wired szerint százszázalékos. A fogyasztói elégedettség feltehetően annak köszönhető, hogy Peace olcsón adja a portékát, egyébként nehéz lenne elképzelni, hogy jóval korábbi adatoknak örüljenek a "fogyasztók". "Az ilyen régi adatokat erősen diszkontálni kell, mert sok közöttük az elfelejtett, elhagyott, vagy törölt, tehát semmiképpen sem élő cím, így a vevő nem tud vele hatékonyan garázdálkodni - véli Sallai György, a KPMG információbiztonsági tanácsadási csoportjának igazgatója.

Mikor érnek sokat az adatok?

Sallai szerint az adatok korábban már több körben ontották a pénzt a hackereknek, anélkül, hogy arról tudtunk volna. Az adatok sokkal többet érnek, amíg csak egy szűk csoport számára hozzáférhetők: amikor maguk spammelik tele a fiókokat a megbízók számára, vagy amikor meghatározott szempontok szerint gondosan leválogatott csomagokat adnak el belőle titokban másoknak. Csakhogy az így eladott adatok egy idő után óhatatlanul önálló életre kelnek, a vevők maguk is értékesítik, így az egész adathalmaz leértékelődik. Peace akciója azért meglepő, mert a nagy alapadatbázisok többnyire nem publikus szájtokon végzik a pályafutásukat, hanem egyszerűen leértékelődnek és elfelejtik őket. Az orosz hacker ehelyett lehúzott még egy utolsó bőrt korábbi munkásságáról - mondta a KPMG igazgatója.

Peace a Wirednek adott interjújában azt nyilatkozta, hogy 15 ezer dollárt kapott a weben közzétett LinkedIn-adatokért és együttesen további 20 ezret a MySpace- és a Tumlbr-felhasználókért. Ehhez képest a korábbi - még titkos - értékesítések során kaphatott értük akár fél dollárt is darabonként, különösen akkor, ha az adott felhasználó több helyen is alkalmazta ugyanazt kiszivárgott jelszót, amit az eladók természetesen előzetesen leteszteltek.

Szakértők szerint Peace, és a vele egy csoportban dolgozó hackerek a legegyszerűbb úgynevezett szótármódszert használták a hackeléshez, és ez az, ami különösen fáj a biztonsági szakembereknek. A szótármódszer lényegében annyit tesz, hogy az adott felhasználónévhez lefuttatnak az adott kontextusban már bevált jelszavakat az egyezés reményében. Ez nagyon rossz hatásfokú módszer lenne, ha mindenki kellően bonyolult és sűrűn változtatott jelszavakat használna, de amíg minden fiókunkhoz egy jelszót használunk, és az is a gyerekünk neve, vagy az autónk márkája, addig nem is kell más módszereken törni a fejüket az illetéktelen behatolóknak. A módszer hatékonysága nagymértékben javítható különböző előfordulási valószínűségek hozzárendelésével, de egy jó jelszóval soha sem bír el, ezért nem győzzük elmagyarázni a felhasználóknak, hogy mire figyeljenek - mondta Sallai.

Milyen a jó jelszó?

A jó jelszó legalább tíz karaktert, kis- és nagybetűket, illetve számokat és speciális karaktereket egyaránt tartalmaz. Ügyeljünk arra, hogy kerüljük a szótári szavakat, de ha vegyesen van benne betű, szám és speciális karakter is, és megfelelő hosszúságú, ugyanakkor nem köthető az egyénhez, akkor már tettünk egy nagy lépést a biztonságunk felé.

A bonyolultság a megjegyezhetőség ellen hat, ilyenkor szoktuk felírni, kiragasztani a jelszavainkat, ami megöli minden igyekezetünket. Erre szokták tanácsolni a kódmondat alkalmazását, ami csak elsőre hangzik bonyolultnak. Az ilyen kódmondat lehet egy kedvenc mű részlete (Inkább tűrni a Jelen gonoszt, mint ismeretlenek felé sietni mondja Shakespeare Hamletje). Az idézet ékezetek nélkül minden páros karaktert nagybetűvel írva: iTjGmIfS, és ebbe csempészhető számjegy is, mondjuk a végére a "4" (Horeb négy állata - Robert Graves: Jézus király). Az így előálló jelszó: iTjGmIfS_4.

Az ilyen jelszót a kitaláló könnyen megjegyezheti, és az általános követelményeket is teljesíti. Ezzel már ugyanolyan könnyen emlékezetbe véshető egy erős jelszó is, mint a naivul kiválasztottak (gyerek, házastárs, háziállat neve, születésnap, kedvenc sportoló, zenész, művész neve, egy hobbi,, vagy bármely szó szótári alakja).

Még ezen óvatosság mellett is ügyeljünk, hogy minden jelszót csak egy alkalmazáshoz, fiókhoz használjunk. Ne írjuk ki a jelszavakat nyilvános helyre. A monitorra felragasztott jelszó a lehető legrosszabb, de ami még fontos, változtassuk meg rendszeresen a jelszavainkat.

HOZZÁSZÓLÁSOK