Tabrakan Dark Hash: Layanan Baru Secara Rahasia Menemukan Kata Sandi yang Bocor

  • Whatsapp
view counter


Layanan baru dapat memberi tahu perusahaan pengguna mana yang memiliki kata sandi yang diketahui peretas, tanpa harus mengetahui nama pengguna

Bacaan Lainnya

Bisnis perlu menjaga keamanan akun penggunanya. Tetapi ada miliaran pasangan nama pengguna dan kata sandi yang tersedia untuk peretas di web gelap. Kecenderungan pengguna untuk menggunakan kembali kata sandi di banyak akun berarti bahwa peretas mungkin sudah memiliki kredensial pengguna Anda, dicuri dari pihak ketiga yang dilanggar.

Hasilnya adalah serangan isian kredensial. Isian kredensial terjadi ketika peretas secara sistematis mencoba ratusan atau bahkan ribuan kemungkinan pasangan nama pengguna dan kata sandi sampai mereka menemukan satu yang berfungsi.

“Setiap hari Anda mendengar tentang satu miliar kumpulan catatan baru yang diedarkan oleh peretas,” komentar Steve Thomas, salah satu pendiri dan CEO HackNotice. “Jadi, peretas benar-benar memiliki kunci kerajaan; mereka mengetahui setiap nama pengguna dan sandi yang telah digunakan untuk apa pun mulai dari Spotify hingga Gmail hingga semua layanan utama – dan bahkan rekening bank. Masalahnya adalah bahwa pengguna masih – sebagian besar pengguna– masih menggunakan kembali sandi. ” Perusahaan berisiko disusupi bahkan jika mereka tidak pernah membocorkan kredensial pengguna tunggal.

Peretas mungkin memiliki ribuan nama pengguna ‘John Smith’ tanpa mengetahui apakah ada yang menjadi target mereka berikutnya. Solusi mereka adalah mengotomatiskan proses pengujian setiap pasangan yang mereka miliki, mencari pasangan yang tepat.

Ada metode untuk memeriksa apakah kata sandi ada di web gelap dan akibatnya berisiko digunakan dalam pengisian kredensial; tetapi ini biasanya memerlukan pemberian detail pengguna ke perusahaan lain. Ini memberikan teka-teki: tuntutan keamanan bahwa Anda memberikan detail pengguna ke layanan pemantauan web gelap sementara kepatuhan terhadap peraturan privasi mungkin mengharuskan Anda tidak melakukannya.

Layanan baru dari HackNotice memecahkan masalah ini: Tabrakan Hash Gelap (tanpa asosiasi atau koneksi ke organisasi penambangan kripto yang dikenal sebagai DarkHash). HackNotice dapat memberi tahu perusahaan dengan tepat pengguna mana yang memiliki kata sandi yang diketahui peretas, tanpa harus mengetahui nama pengguna. Dengan tidak ada informasi pengguna pribadi yang diteruskan ke HackNotice, kepatuhan dipastikan.

Proses

HackNotice telah menghabiskan tiga tahun terakhir mengumpulkan setiap nama pengguna dan pasangan kata sandi yang dapat ditemukan di web gelap. Ini memiliki sekitar 14 miliar pasangan. Ini tumbuh lebih dari miliaran setiap tahun karena kebocoran baru terpapar.

Untuk layanan Dark Hash Collisions, bagian ‘@’ dari ID pengguna berbasis email dihilangkan, hanya menyisakan nama pengguna yang murni. HackNotice sekarang telah menghabiskan berbulan-bulan Amazon menghitung kekuatan hashing setiap nama pengguna ini dengan SHA-512. Hasilnya adalah hash dan kata sandi. Hanya paruh pertama dari hash yang penting untuk proses tersebut.

Pelanggan melakukan hal serupa, membuat hash SHA-512 dari nama pengguna di database penggunanya. Namun, itu memotongnya menjadi dua, dan hanya meneruskan paruh pertama ke HackNotice. Ini adalah ‘hash gelap’ karena tidak ada kemungkinan untuk dibalik menjadi nama pengguna lengkap.

Namun demikian, setengah hash itu cukup untuk mencocokkan dengan hash penuh di database HackNotice. Meskipun tidak ada data pribadi yang dapat diidentifikasi meninggalkan pelanggan, HackNotice sekarang memiliki semua yang dibutuhkan untuk menentukan kata sandi apa yang terkait dengan setiap pengguna yang tersedia untuk peretas di web gelap – dan akibatnya menghadirkan risiko serangan isian kredensial.

Tentu saja, nama umum, seperti John Smith, mungkin memiliki ribuan atau bahkan jutaan kata sandi yang berbeda dalam database HackNotice. HackNotice tidak tahu bahwa itu adalah John Smith, tetapi hanya mencocokkan setengah hash yang diterimanya dengan yang ada di database – dan meneruskan semuanya kembali ke pelanggan.

Pelanggan kemudian dapat menentukan apakah ada John Smith dalam database penggunanya yang memiliki sandi yang disusupi. Jika menemukan kecocokan, itu bisa memaksa pengaturan ulang kata sandi atau meminta pengguna untuk melakukannya.

Pada awal proses ini, banyak orang mungkin terlibat. Untuk setiap setengah hash yang diteruskan pelanggan ke HackNotice, kemungkinan besar akan menerima kembali banyak kata sandi yang disusupi. “Jika pelanggan memberi kami enam juta setengah hash, kami mungkin akan mengirim kembali beberapa miliar set kredensial untuk diperiksa,” jelas Thomas. “Ini akan bergantung pada jumlah sandi yang kita lihat untuk setiap nama pengguna, tetapi rata-rata kita akan melihat dari 4 hingga selusin sandi untuk nama pengguna yang sangat berbeda, dan puluhan ribu untuk nama pengguna yang sangat umum.”

Dalam istilah komputasi, bagaimanapun, itu adalah tugas sederhana bagi pelanggan untuk melihat apakah ada pasangan nama pengguna / kata sandi yang dikompromikan ada di antara penggunanya sendiri.

Jika perusahaan mengadopsi layanan pemantauan HackNotice, angka-angka ini akan berkurang dengan cepat. HackNotice terus menambahkan kebocoran baru ke database-nya, tetapi hanya akan mengembalikan pasangan baru ke pelanggan.

Keuntungan

Aspek penting dari layanan ini adalah dapat memantau nama pengguna berisiko milik pelanggan dalam skala besar, tetapi tidak pernah mengharuskan pelanggan untuk mengungkapkan informasi pribadi yang dapat diidentifikasi kepada pihak ketiga. “Kami ingin ini menjadi layanan keamanan yang disukai oleh tim hukum,” jelas Thomas. “Tidak ada yang dikirimkan kepada kami yang memiliki masalah privasi, tidak ada yang dikirimkan kepada kami yang memiliki masalah kepatuhan. Secara efektif, apa yang masuk dan keluar semuanya omong kosong, tetapi begitu itu kembali ke tangan klien, mereka memiliki kecerdasan hidup. ”

Kecerdasan itu dapat digunakan dengan berbagai cara. Yang jelas adalah membentengi perusahaan dari penjejalan kredensial. Tetapi katakanlah pengguna tertentu terus muncul kembali di daftar yang disusupi – pengguna tersebut mungkin telah dipaksa untuk menyetel ulang sandinya, tetapi telah disusupi kembali dengan cepat. Ini mungkin menunjukkan bahwa pengguna memiliki pemahaman dan kebiasaan sandi yang sangat buruk, atau ini mungkin menunjukkan bahwa ada informasi yang mencuri malware di komputer pengguna.

Bahkan mungkin saja jika pelanggan mendapatkan sejumlah besar klik dari setengah hash yang dikirimkan ke HackNotice, hal itu dapat mengindikasikan pelanggaran pelanggan yang tidak terdeteksi. Di sini Thomas memperingatkan tentang melompat ke kesimpulan. “Kemungkinan lain adalah populasi pengguna mungkin memiliki korelasi yang tinggi dengan perusahaan lain, yang sebenarnya dibobol,” katanya. Misalnya, bank regional dapat memiliki persilangan populasi pengguna yang tinggi dengan perusahaan telekomunikasi regional, dan pengguna biasanya mungkin menggunakan kembali kredensial dengan keduanya. Jadi, jika perusahaan telekomunikasi daerah itu dibobol, maka pengguna bank daerah akan sangat berisiko setelah terjadi kebocoran data. Ini juga bisa terjadi dengan vendor lain di seluruh rantai pasokan. ”

HackNotice juga menawarkan opsi pertanyaan real-time langsung untuk pemeriksaan sesuai permintaan. Jadi, misalnya, transaksi keuangan yang sangat besar mungkin perlu diperiksa apakah kredensial pengguna telah bocor ke web gelap. Sebuah hit yang sukses tidak berarti bahwa pengguna adalah seorang penipu, tetapi hal itu memperingatkan pelanggan bahwa transaksi tersebut dapat terjadi – dan bahwa tindakan anti-penipuan tambahan harus dilakukan.

Intinya adalah bahwa Dark Hash Collisions dapat dengan aman mendeteksi semua pengguna pelanggan yang telah disusupi dan akibatnya menghadirkan risiko penjejalan kredensial. “Dibandingkan dengan keamanan siber yang reaktif saat ini”, kata Thomas, “kami dapat terlebih dahulu mengidentifikasi kapan peretas menargetkan klien untuk masa depan, menghentikan serangan sebelum mereka mulai.”

Terkait: Mengapa Anda Tidak Perlu Memantau Web Gelap

Terkait: Analisis Mendalam Lebih dari 60.000 Laporan Pelanggaran Selama Tiga Tahun

Terkait: Serangan Masuk Penipuan Terhadap Bank Surge: Akamai

Terkait: Serangan Penjejalan Kredensial Mencapai Proporsi DDoS

Terkait: Isian Kredensial: Metodologi Serangan yang Berhasil dan Berkembang

Kevin Townsend adalah Kontributor Senior di SecurityWeek. Dia telah menulis tentang masalah teknologi tinggi sejak sebelum kelahiran Microsoft. Selama 15 tahun terakhir ia memiliki spesialisasi dalam keamanan informasi; dan telah memiliki ribuan artikel yang diterbitkan di lusinan majalah yang berbeda – dari The Times dan Financial Times hingga majalah komputer saat ini dan yang sudah lama hilang.

Kolom Sebelumnya oleh Kevin Townsend:
Tag:



Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *