Video: Malware - Luca Mairani - Botnet e Password (Settembre 2024)
All'inizio di questa settimana, Trustwave ha pubblicato il suo studio su una grande botnet, una delle tante gestite usando il controller botnet Pony. I ricercatori hanno acquisito il controllo della botnet, sostituendo il suo server di comando e controllo. Una volta sotto controllo, hanno scoperto che la botnet era riuscita a rubare circa due milioni di password da computer infetti. Hanno anche scoperto qualcosa che molti di noi già sanno: che le persone sono terribili con le password.
Ottieni le password
I due milioni di account compromessi sono stati distribuiti tra 1, 58 milioni di credenziali del sito Web, 320.000 accessi e-mail, 41.000 account FTP, 3.000 credenziali di Desktop remoto e 3.000 credenziali di account Secure Shell sono un fattore significativo. La preoccupazione, ovviamente, è il numero di utenti interessati che hanno selezionato la stessa password per altri siti.
I ricercatori hanno trovato 318.121 credenziali di Facebook che rappresentavano un enorme 57 percento del totale. Yahoo è stato il prossimo con circa 60.000 account, seguito da 21.708 account Twitter, 8.490 password LinkedIn e 7.978 account per il provider di buste paga ADP. Quest'ultimo è un po 'insolito, ma anche piuttosto dannoso in quanto offre agli aggressori l'accesso alle informazioni personali delle vittime.
Ciò che mi ha spaventato di più sono state le 16.095 credenziali di Google.com e 54.437 credenziali dell'account Google. Ciò potrebbe consentire agli aggressori di accedere a Gmail e da lì ripristinare altre password utilizzando la funzione "password dimenticata" sui siti Web. Potrebbe anche consentire agli aggressori di accedere a file privati in Google Drive o alle informazioni di pagamento in Google Wallet.
Tutto ciò non significa che ci sia stato un massiccio attacco contro questi siti. È più probabile che i criminali siano riusciti a raccogliere questi indirizzi in diversi modi, come phishing e keylogger, e li abbiano archiviati su questi server. Potrebbero venderli ad altri acquirenti o salvarli per un uso futuro.
Password terribili, di nuovo
Trustwave ha suddiviso le password in categorie: il sei percento era "terribile", mentre il 28 percento era "cattivo". Un 22 percento combinato era "buono" o "eccellente" e il 44 percento era "medio". Tra i peggiori c'erano: 123456, 123456789, 1234 e "password".
La maggior parte delle password non combinava lettere e numeri. La maggior parte delle password erano tutte lettere (stesso caso) o tutti i numeri, seguite da password che avevano due tipi (combinazione di lettere maiuscole e minuscole o lettere minuscole con numeri, ad esempio), ha detto Trustwave.
Una buona scoperta è stata che quasi la metà, il 46 percento, delle password aveva password lunghe, di almeno 10 caratteri. La maggior parte delle password rientrava nell'intervallo da sei a nove caratteri, afferma Trustwave.
Target di alto profilo
Per quanto riguarda Lucas Zaichkowsky, un architetto di dati aziendali di AccessData, la preoccupazione maggiore è che i criminali cerchino account appartenenti a persone "con organizzazioni target di alto valore". Se si scopre che queste persone hanno usato le stesse password su questi siti e anche per risorse legate al lavoro, gli aggressori possono entrare nella rete aziendale tramite VPN o e-mail tramite un client basato sul Web, Zaichkowksy ha osservato.
"Possono vendere i preziosi account ad altri sul mercato nero che pagano un sacco di soldi per credenziali valide che li portano a organizzazioni target redditizie", ha detto Zaichkowksy.
Le persone usano i loro indirizzi e-mail di lavoro per attività personali, come la registrazione di account su Facebook. Cesar Cerrudo, CTO di IOActive, ha trovato vari militari, compresi generali e tenenti generali ("futuri generali", li chiamavano Cerrudo) avevano usato i loro indirizzi email.mil per creare account sul sito di viaggi Orbitz, società GPS garmin.com, Facebook, Twitter e Skype, per citarne alcuni. Ciò rende la prospettiva del riutilizzo della password ancora più problematica, poiché queste persone sono molto preziose come target e hanno accesso a molte informazioni sensibili.
Il direttore dell'ingegneria di Qualys Mike Shema, tuttavia, ha affermato di vedere la speranza nel futuro. "Guardando al 2014, l'autenticazione a due fattori continuerà a guadagnare slancio in tutta la tecnologia aziendale e dei consumatori e molte app inizieranno ad adottare anche due fattori. Vedremo anche l'ascesa della crittografia intelligente per le password multi-autenticazione. " L'autenticazione a due fattori richiede una seconda fase di autenticazione, come un codice speciale inviato tramite SMS.
Rimanere al sicuro
Il consenso generale è che queste password sono state raccolte dai computer degli utenti e non hanno rubato le informazioni di accesso dai siti, il che è un piacevole cambio di passo. I keylogger sono probabilmente sospetti e particolarmente pericolosi. Queste applicazioni dannose non solo possono catturare sequenze di tasti, ma possono anche catturare schermate, i contenuti degli appunti, i programmi che lanci, i siti che visiti e persino setacciare conversazioni di messaggistica istantanea e thread di e-mail. Fortunatamente, la maggior parte dei software antivirus dovrebbe essere coperta. Consigliamo i vincitori del premio Editors 'Choice Webroot SecureAnywhere AntiVirus (2014) o Bitdefender Antivirus Plus (2014).
Nota che alcuni programmi AV non bloccano "greyware" o "programmi potenzialmente indesiderati per impostazione predefinita. I keylogger a volte rientrano in questa categoria, quindi assicurati di abilitare questa funzione.
Il phishing e altre tattiche per indurre le vittime a fornire informazioni sulla password sono più difficili da bloccare. Fortunatamente, abbiamo molti suggerimenti su come individuare gli attacchi di phishing e su come evitare
Ancora più importante è che le persone utilizzino un gestore di password. Queste applicazioni creano e archiviano password uniche e complesse per ogni sito o servizio che utilizzi. Ti accederanno anche automaticamente, rendendo molto più difficile per i keylogger acquisire le tue informazioni. Assicurati di provare Dashlane 2.0 o LastPass 3.0, entrambi vincitori del premio Editors 'Choice per la gestione delle password.
