Uma nova abordagem para Endpoint Protection dados
A reação está crescendo contra a empresa infosec que alegou ter descoberto um esconderijo da quadrilha com sede na Rússia de 1,2 bilhão de senhas site descascados.
Segure Segurança afirmou que o grupo foi acumulando mais de um bilhão de usuários e senhas únicas roubados, desviados de sites inseguros vulneráveis à injeção de SQL e outros truques comuns de hackers.
A história fez um respingo enorme na véspera da conferência Black Hat infosec, embora divulgado informações da Espera Segurança faltava em detalhe significativo - muito menos prova ou quaisquer detalhes sobre o CyberVor ("vor", que significa "ladrão" em russo) de gangue , e muito menos qualquer coisa sobre os sites que eles afirmam ter saqueado.
Alex Holden de Retenção de Segurança ganhou fama no mundo infosec descobrindo a recente megabreach Adobe, juntamente com outras colaborações com o repórter investigativo Brian Krebs, que é atestar a autenticidade de sua mais recente pesquisa.
Mesmo assim, as sobrancelhas foram levantadas quando se descobriu que Segure Segurança foi alavancar sua descoberta reivindicada de uma montanha de credenciais roubadas para comercializar um novo serviço de notificação de violação de empresas. As empresas poderiam ser alertado se o site estava sob ataque desde que pagou US $ 120 para se inscrever para o serviço.
Mas o que realmente acendeu a crítica é como Segure segurança é lidar com os consumidores cujos detalhes podem ter sido incluídos no estoque de credenciais roubadas.
Como observamos ontem , Segure Segurança está convidando os apostadores que se inscrever para o seu domínio do Consumidor Serviço de Proteção de Identidade (chips), um serviço de assinatura que (pelo menos inicialmente) é gratuito para os primeiros 30 dias.
A consultoria de segurança quer apostadores para fornecê-lo com o seu endereço de e-mail. Se este aparece no banco de dados de espera do credenciais roubadas, que será, então, pediu para "fornecer uma versão criptografada de suas senhas para compará-lo com os de nosso banco de dados, para que possamos deixá-lo saber exatamente quais as suas senhas foram comprometidas" .
As senhas são aparentemente desordenado no navegador da web.
Especialistas em segurança independentes, incluindo top homem infosec Graham Cluley, já bateu a abordagem como "completamente idiota".
"Por um lado, que se o computador do usuário está digitando on tem malwares keylogging no fundo - não é ele que vai ser trivial para hackers para pegar senhas mais sensíveis da vítima à medida que são inseridas neste formulário web Or? o sobre a possibilidade de maus criando versões falsas desta página, especificamente com a intenção de nabbing senhas dos usuários? "
Pedindo apostadores para digitar senhas para um website para outro é sempre uma má idéia, de acordo com Cluley, que disse que serviços como o de Troy Caça haveibeenpwned.com dar aos usuários um meio de descobrir se seus endereços de e-mail têm aparecido em bancos de dados que vazaram sem pedir senhas ou até mesmo uma taxa.
haveibeenpwned tem acesso a 163M contas violadas. No entanto, Hunt é inclinado a pensar Espera está no nível.
Minha suspeita é que todo o 1.2B violado conta história é legítimo como é Segure Segurança, mas a comunicação tem sido fraca e mal interpretado mercado
- Troy Hunt (troyhunt) 06 de agosto de 2014 Pedimos Retenção de Segurança a comentar sobre essa crítica, mas ainda tenho que ouvir de volta. Vamos atualizar esta história como e quando ouvimos mais.
Cluley não está sozinho em sua visão de que os consumidores que pedem a entregar senhas para sites não relacionados é mal concebida. Professor Matthew Green, especialista em ciência da computação na Universidade Johns Hopkins, levou Krebs a tarefa via Twitter para endossar a posição de espera.
briankrebs Se essa coisa de bloqueio não é uma piada, por favor, dizer-lhes para parar de pedir que os usuários insiram suas senhas.
- Matthew Green (matthew_d_green) 06 de agosto de 2014 Desenvolvedor de software canadense Shawn Hooper acrescentou : "O que ele está tentando fazer .... provar que a engenharia social funciona ?! Você acha que esta é a semana de #defcon ... oh wait."
O incidente está bem no seu caminho para meme status, com Dave Aitel, exec chefe da imunidade, fazendo piadas sobre a situação.
"hackers russos ainda 2 bilhões de contas roubadas por trás NSA"
- Daveaitel (daveaitel) 6 de agosto de 2014 ®
Nenhum comentário:
Postar um comentário