Posted in Kompiuterija Patarimai

Duomenų nutekėjimo patikra: Have I Been Pwned

on
novatech.lt

Kas iš viso yra tas „Have I Been Pwned”?

Jei dar negirdėjai apie Have I Been Pwned (sutrumpintai – HIBP), tai turbūt pats laikas susipažinti. Tai nemokamas įrankis, kurį 2013 metais sukūrė australų saugumo ekspertas Troy Hunt – žmogus, kuris ilgus metus dirbo Microsoft ir gerai žino, kaip atrodo duomenų saugumo pažeidimai iš vidaus. Idėja buvo paprasta: sukurti vietą, kur bet kas galėtų patikrinti, ar jo el. pašto adresas ar slaptažodis pateko į kokį nors viešai pasirodžiusį duomenų nutekėjimą.

Pavadinimas, beje, kilęs iš žaidėjų žargono – žodis „pwned” (tariamas kaip „poned”) reiškia, kad tave nugalėjo, apgavo arba, šiuo atveju, tavo duomenys buvo pavogti. Šiek tiek jumoringa, bet kartu ir labai taikliai apibūdina situaciją.

Šiandien HIBP duomenų bazėje yra daugiau nei 14 milijardų pažeistų paskyrų ir skaičius nuolat auga. Kiekvieną savaitę atsiranda naujų nutekėjimų – iš įvairių platformų, parduotuvių, forumų, sveikatos priežiūros sistemų. Ir didžioji dalis žmonių apie tai net nežino.

Kaip veikia patikra ir kodėl ji saugi

Pirmiausia – natūralus klausimas, kuris kyla daugeliui: ar saugu įvesti savo el. paštą į svetainę, kuri renka duomenis apie pažeistus el. paštus? Logiškas skepticizmas. Bet čia Troy Hunt padarė viską teisingai.

Kai įvedi savo el. pašto adresą į haveibeenpwned.com, sistema jo neišsaugo ir niekur neperduoda. Patikrinimas vyksta realiu laiku, o pats el. paštas naudojamas tik kaip paieškos raktas. Be to, svetainė veikia per HTTPS, o visas projektas yra gerai dokumentuotas ir skaidrus – Troy Hunt viešai rašo apie tai, kaip sistema veikia.

Su slaptažodžiais viskas dar įdomiau. HIBP naudoja techniką, vadinamą k-anonymity. Štai kaip tai veikia praktiškai:

  • Tavo slaptažodis konvertuojamas į SHA-1 maišos (hash) kodą
  • Į serverį siunčiami tik pirmieji 5 simboliai iš to kodo
  • Serveris grąžina visus maišos kodus, prasidedančius tais 5 simboliais
  • Tavo naršyklė pati palygina, ar tavo pilnas maišos kodas yra tame sąraše

Tai reiškia, kad net pats HIBP serveris niekada nemato tavo tikro slaptažodžio ar pilno jo maišos kodo. Tai gana elegantiškas sprendimas, kurį vėliau perėmė ir kiti saugumo įrankiai.

Ką reiškia, kai tavo duomenys „nutekėjo”

Tarkime, patikrini savo el. paštą ir gauni raudoną pranešimą: „Oh no — pwned!” Su sąrašu nutekėjimų, kuriuose tavo adresas buvo rastas. Ką tai iš tikrųjų reiškia?

Pirmiausia – nesipanikauk. Tai nereiškia, kad kažkas šiuo metu skaito tavo žinutes ar turi prieigą prie tavo banko sąskaitos. Tai reiškia, kad kažkurioje platformoje, kurią naudojai, įvyko duomenų pažeidimas, ir tavo el. paštas (bei galbūt daugiau informacijos) pateko į viešai prieinamus duomenų rinkinius, kuriais naudojasi įsilaužėliai.

HIBP pateikia gana detalią informaciją apie kiekvieną nutekėjimą:

  • Platforma – iš kur nutekėjo duomenys (pvz., LinkedIn, Adobe, Dropbox)
  • Data – kada nutekėjimas įvyko arba kada buvo aptiktas
  • Nutekėjusių duomenų tipai – el. paštas, slaptažodžiai, telefono numeriai, adresai, IP adresai ir t.t.
  • Aprašymas – trumpas kontekstas, kaip tai nutiko

Ypač svarbu atkreipti dėmesį į tai, ar nutekėjime buvo slaptažodžiai. Jei taip – ir tu vis dar naudoji tą patį slaptažodį kitur – tai yra rimta problema, kurią reikia spręsti nedelsiant.

Slaptažodžių nutekėjimas – atskira istorija

HIBP turi atskirą sekciją, skirtą tik slaptažodžiams – Pwned Passwords. Čia gali patikrinti, ar konkretus slaptažodis yra žinomų nutekėjimų duomenų bazėje. Ir čia skaičiai tikrai stulbinantys – duomenų bazėje yra daugiau nei 800 milijonų unikalių slaptažodžių.

Praktinis patarimas: prieš naudodamas naują slaptažodį, patikrink jį čia. Jei jis jau yra duomenų bazėje – net jei atrodo sudėtingas – geriau rinktis kitą. Kodėl? Nes įsilaužėliai naudoja šiuos sąrašus žodyno atakoms (dictionary attacks) – jie tiesiog bando visus žinomus slaptažodžius iš eilės, ir tai veikia daug greičiau nei atsitiktinis spėliojimas.

Beje, čia verta paminėti vieną dažną klaidą: žmonės mano, kad jei pakeičia raidę į skaičių (pvz., „password” → „p@ssw0rd”), tai jau saugus slaptažodis. Spoileris – ne. Tokie pakeitimai yra gerai žinomi ir seniai įtraukti į įsilaužėlių žodynus. Šie „clever” pakeitimai nebeveikia.

Kaip naudotis HIBP praktiškai – žingsnis po žingsnio

Gerai, teorija – teorija, bet ką konkrečiai daryti? Štai praktinis veiksmų planas:

1. Patikrink visus savo el. pašto adresus. Daugelis žmonių turi kelis – darbo, asmeninį, galbūt senesnį, kurį naudojo prieš 10 metų. Patikrink visus. Eik į haveibeenpwned.com ir po vieną įvesk kiekvieną adresą.

2. Užsiprenumeruok pranešimus. HIBP leidžia užsiregistruoti nemokamam el. pašto įspėjimui – jei tavo adresas atsiras naujame nutekėjime, gausite žinutę. Tai labai patogu, nes nereikia nuolat tikrinti rankiniu būdu.

3. Jei radai nutekėjimą – pakeisk slaptažodžius. Ypač tuose servisuose, kur naudoji tą patį slaptažodį kaip ir nutekėjusioje platformoje. Ir ne tik ten – jei naudoji tą patį slaptažodį keliose vietose (o statistiškai daugelis taip daro), pakeisk visur.

4. Įjunk dviejų faktorių autentifikaciją (2FA). Net jei slaptažodis nutekėjo, 2FA dažnai išgelbsti situaciją. Google Authenticator, Authy ar fizinis saugumo raktas – bet kas geriau nei nieko.

5. Pradėk naudoti slaptažodžių tvarkyklę. Bitwarden (nemokamas, atviro kodo), 1Password ar Dashlane – šie įrankiai generuoja ir saugo unikalius slaptažodžius kiekvienai paskyrai. Taip net jei viena platforma nuteka, kitos lieka saugios.

Domenų ir organizacijų patikra – verslo pusė

HIBP nėra tik asmeniniam naudojimui. Jei esi IT administratorius, saugumo specialistas ar tiesiog atsakingas už savo įmonės duomenų saugumą – yra galimybė patikrinti visą domeną iš karto.

Domeno patikra leidžia sužinoti, kurie el. pašto adresai iš tavo organizacijos domeno (pvz., @jusuimone.lt) yra nutekėjusiuose duomenų rinkiniuose. Tam reikia patvirtinti domeno nuosavybę (per DNS įrašą arba el. paštu), bet po to gauni pilną vaizdą.

Tai ypač naudinga keliais atvejais:

  • Kai darbuotojas naudojo darbo el. paštą registruodamasis asmeninėse platformose (kas, beje, yra bloga praktika, bet labai dažna)
  • Kai nori suprasti, koks yra bendras organizacijos „exposure” lygis
  • Kai reikia atlikti saugumo auditą ir pateikti vadovybei konkrečius duomenis

Taip pat yra HIBP API, kurią galima integruoti į savo sistemas. Pavyzdžiui, kai vartotojas registruojasi tavo platformoje ir įveda slaptažodį, galima realiu laiku patikrinti, ar tas slaptažodis nėra žinomų nutekėjimų sąraše. Kai kurios didelės platformos jau tai daro – ir tai yra gera praktika, kurią verta kopijuoti.

Keli mitai, kuriuos reikia išsklaidyti

Aplink duomenų saugumą sukasi daug nesusipratimų, ir HIBP kontekste jie ypač ryškūs.

Mitas #1: „Mano duomenys neįdomūs įsilaužėliams.” Tai vienas labiausiai paplitusių. Realybė tokia, kad įsilaužėliai dažniausiai nedirba rankiniu būdu, taikydami į konkrečius žmones. Jie naudoja automatizuotus įrankius, kurie tiesiog bando visus nutekėjusius duomenis prieš populiarias platformas. Tavo el. paštas ir slaptažodis gali būti naudojami bandant prisijungti prie Gmail, Facebook, banko sistemos – viskas automatiškai, be jokio asmeninio susidomėjimo tavimi.

Mitas #2: „Jei nutekėjimas buvo seniai, tai jau nesvarbu.” Nesvarbu, ar nutekėjimas buvo prieš metus ar prieš penkerius – jei tu vis dar naudoji tą patį slaptažodį, problema išlieka. Duomenų rinkiniai internete nesudūla.

Mitas #3: „HIBP mato visus nutekėjimus.” Ne. HIBP mato tik tuos nutekėjimus, kurie tapo viešai žinomi arba buvo perduoti Troy Hunt. Yra nutekėjimų, kurie cirkuliuoja tamsajame internete (dark web) ir į HIBP dar nepakliuvo. Tai reiškia, kad „all clear” pranešimas nėra 100% garantija – bet vis tiek yra daug geriau nei nieko.

Mitas #4: „Slaptažodžių keitimas po nutekėjimo yra pakankamas.” Priklauso nuo to, kokie duomenys nutekėjo. Jei nutekėjo tik el. paštas – galbūt. Jei nutekėjo pilnas profilis su adresu, telefonu, gimimo data – slaptažodžio keitimas nepadeda, nes ta informacija jau yra kažkur duomenų bazėje ir gali būti naudojama socialinei inžinerijai.

Kai „pwned” tampa kasdienybe – ką tai sako apie interneto saugumą

Žiūrint į HIBP statistiką, galima susidaryti gana niūrų vaizdą. Milijardai pažeistų paskyrų, šimtai nutekėjimų per metus, ir skaičiai tik auga. Ar tai reiškia, kad interneto saugumas yra beviltiškas?

Ne visai. Tai reiškia, kad saugumo modelis, pagrįstas vien slaptažodžiais, yra pasenęs. Ir pramonė tai pamažu supranta – štai kodėl matome vis daugiau kalbų apie „passwordless” autentifikaciją, biometriją, FIDO2 standartus ir panašiai. Apple, Google ir Microsoft jau stumia „passkeys” – kriptografinius raktus, kurie pakeičia tradicinius slaptažodžius.

Tačiau kol tas perėjimas įvyksta (o tai užtruks dar keletą metų), HIBP lieka vienu iš praktiškiausių ir prieinamiausių įrankių paprastam vartotojui. Jis nemokamas, nesudėtingas, ir suteikia realią informaciją apie realias rizikas.

Troy Hunt, beje, 2024 metais paskelbė, kad svarsto perduoti HIBP valdymą kokiai nors ne pelno organizacijai, kad projektas išliktų nepriklausomas ir prieinamas ilgą laiką. Tai geras ženklas – rodo, kad projektas nėra tik vieno žmogaus hobis, bet kažkas, kas turi ilgalaikę vertę interneto saugumo ekosistemoje.

Praktinis patarimas, kurį galima pasiimti iš viso šito: skirkite 15 minučių šiandien. Patikrinkite savo el. pašto adresus, patikrinkite kelis svarbiausius slaptažodžius, užsiregistruokite pranešimams ir, jei dar nenaudojate slaptažodžių tvarkyklės – tai geriausias momentas pradėti. Saugumo higiena nėra sudėtinga, ji tiesiog reikalauja truputį dėmesio. O HIBP yra puiki vieta pradėti.

Taip pat gali patikti

Daugiau

Regioniniai interneto tiekėjai: kuo jie skiriasi nuo didžiųjų operatorių?