بررسی دیتابیس سایت فوربس: کاربران کدام سرویس دهنده ایمیل باهوش‌ترند؟

هفته پیش ارتش الکترونیک سوریه با هک کردن سایت فوربس، دیتابیسی شامل اطلاعات یک میلیون کاربر رو در دسترس همه قرارداد. کارهای زیادی روی این اطلاعات انجام شده و یکی از کارهایی که من خوشم اومد، بررسی دیتابیس سایت فوربس توسط سایت “نیکد سکیوریتی” بود. در ادامه اون نوشته رو میارم.

این نوشته سه هدف رو دنبال می کنه:

گزارشی از اتفاقی که افتاده
بررسی خطرهای احتمالی ناشی از این هک و اعلام اینکه چه چیزی واقعا دزدیده شده
تحسین عملکرد سایت فوربس برای شیوه مناسب نگهداری از پسوردها

بعد از نفوذهای پیاپی اخیر و لو رفتن دیتابیس سایت های بزرگ، رقابتی بین کارشناسان امنیتی ایجاد شده که ببینن کی زودتر می تونه پسوردها رو کرک کنه یا نکته های جالب تری رو توشون پیدا کنه.

سایت فوربس از PHPass Portable برای هش کردن پسورد استفاده کرده. این فریمورک هر پسورد رو ۸۱۹۳ بار MD5 هش می کنه. این روش برای لاگین کردن کاربرها به اندازه کافی سریعه و برای کرک کردن پیچیده است که کرک کردن رو طولانی و سخت می کنه، مخصوصا وقتی با تعداد زیادی پسورد رو به رو باشیم.

برای اینکه بتونیم مقایسه ای داشته باشیم باید بگم پروسه ای که در کرک کردن پسوردهای هش شده با MD5 حدود یک ساعت طول می کشه، در مورد پسوردهای سایت فوربس حدود ۸ هزار ساعت زمان می بره، یه چیزی حدود یک سال.

البته این قضیه به معنی امن بودن پسوردها نیست. اگر پسورد ضعیفی رو انتخاب بکنیم، این روش هش کردن کمک چندانی نخواهد کرد. برای مثال از یک میلیون پسورد، ۵۰۰ پسورد متعلق به کارمندان فوربس جدا شد و پس از ۱ ساعت حدود یک چهارم پسوردها کرک شد.

با توجه به اینکه کرک کردن کل پسوردها کار بسیار زمان بریه، تصمیم گرفتیم که روی پسوردهای ضعیفی که کاربران انتخاب کرده اند تمرکز کنیم.

ستونی در دیتابیس وجود داره که شامل یک تاریخ می شه. با توجه به اینکه تاریخ ها از سال ۲۰۰۹ شروع شده و تا ۲۰۱۴ و پیش از نفوذ ادامه داشته و با توجه به اینکه تاریخ های اول مربوط به آدرس ایمیل های سایت فوربسه و اولین تاریخ هم مربوط به کاربر ادمین، منطقیه که فرض کنیم این تاریخ، زمان ساخت اکانته.

با این فرض می تونیم یک سوال بپرسیم: آیا کیفیت پسوردها از ۲۰۰۹ تا ۲۰۱۴ تغییر کرده؟
یا به عبارت دیگه: آیا طی ۵ سال گذشته چیزی در مورد پسورد یاد گرفتیم؟
و سوال دیگه می تونه این باشه: آیا تفاوتی بین کیفیت پسوردهای انتخابی کاربران سرویس دهنده های مختلف ایمیل، وجود داره؟
یا به عبارت دیگه: کدام سرویس دهنده ایمیل، کاربران آگاه‌تری در مورد پسورد داره؟

بررسی سرویس دهنده های ایمیل، نتیجه مورد انتظاری داشت:

gmail.com         413,978   (39%)
yahoo.com         184,665   (17%)
hotmail.com        88,059    (8%)
aol.com            25,633    (2%)

gmail.com 413,978 (39%)

yahoo.com 184,665 (17%)

hotmail.com 88,059 (8%)

aol.com 25,633 (2%)

برای بررسی های بعدی ۱۰ هزار ردیف اول و ۱۰ هزار ردیف آخر از هر سرویس دهنده انتخاب شدند، یعنی:

FG10K: First 10K Forbes accounts for Gmail users
FY10K: First 10K Forbes accounts for Yahoo users
FH10K: First 10K Forbes accounts for Hotmail users
FA10K: First 10K Forbes accounts for AOL users
LG10K: Last 10K Forbes accounts for Gmail users
LY10K: Last 10K Forbes accounts for Yahoo users
LH10K: Last 10K Forbes accounts for Hotmail users
LA10K: Last 10K Forbes accounts for AOL users

FG10K: First 10K Forbes accounts for Gmail users

FY10K: First 10K Forbes accounts for Yahoo users

FH10K: First 10K Forbes accounts for Hotmail users

FA10K: First 10K Forbes accounts for AOL users

LG10K: Last 10K Forbes accounts for Gmail users

LY10K: Last 10K Forbes accounts for Yahoo users

LH10K: Last 10K Forbes accounts for Hotmail users

LA10K: Last 10K Forbes accounts for AOL users

برای لیست پسوردهای پراستفاده نیز از ۱۰۰ پسورد پر استفاده سایت ادوب استفاده کردیم. این لیست پس از افشای دیتابیس این سایت به دست آمده. تنها تفاوت در نمونه هایی بود که پسورد، ترکیبی از اسم ادوب بود که فوربس جایگزینش شد. برای مثال به جای adobe1 و adobeadobe از forbes1 و forbesforbes استفاده شد.

سپس هر دسته پسورد انتخابی رو با استفاده از لیست بالا کرک کردیم. روند کرکینگ با چند پروسسور، علیرغم پیچیده بودن روش هش پسوردها، چند دقیقه ای بیشتر طول نکشید.

نمودار فشار کاری سی‌پی‌یو در زمان کرک کردن

قبل از اینکه نتیجه بررسی ها رو بگم، سعی کنید حدس بزنید که پسورد کاربرهای کدوم سرویس دهنده از همه ضعیف تر بوده.

حدس زدید؟

نتیجه بررسی های پسورد کاربرهایی که بین سال ۲۰۰۹ تا ۲۰۱۲ ثبت نام کردند طبق نمودار زیره:

بهترین وضعیت رو کاربران aol داشتند و بی ملاحظه ترین کاربرها در انتخاب پسورد هم کاربران جیمیل بودند. قبول کنید که حدستون اشتباه بود.

این هم لیست ۶ پسورد ضعیف به ترتیب میزان استفاده. در تصویر می بینید که همچنان password و ۱۲۳۴۵۶ در صدر جدول بدترین پسوردها به چشم می خورند.

و نتیجه بررسی های مشابه برای کاربرهایی که در سال های ۲۰۱۳ و ۲۰۱۴ ثبت نام کرده اند به این شکله:

در این لیست امن‌ترین کاربرها، کاربران ایمیل یاهو اند. حدس نمی زدید، نه؟

و بدترین پسوردها رو هم می تونید در تصویر زیر ببینید. به نظر می رسه کاربرهای AOL و HOTMAIL به جای ۱۲۳۴۵۶ از ۱۲۳۴۵۶۷۸۹ و ۹۸۷۶۵۴۳۲۱ استفاده کرده اند که همچنان پسورد ضعیفی است.

خبر خوب اینکه کاربرانی که جدیدتر ثبت نام کرده اند، پسوردهای بهتری انتخاب کرده اند یا بهتره بگیم پسوردهای بد کمتری استفاده کرده اند.

نسبت بهتر شدن پسوردها هم این شکلیه:

Yahoo users: 11x less likely
Gmail users: 9x less likely 
Hotmail users: 5x less likely
AOL users: 2x less likely

Yahoo users: 11x less likely

Gmail users: 9x less likely

Hotmail users: 5x less likely

AOL users: 2x less likely

و بازهم بیشترین تغییر مثبت رو کاربران یاهو داشتند.

منبع

امنیت

زاکربرگ مجددا هک شد

امروز یک اتفاق عجیب افتاد. تصویر کاور در صفحه مارک زاکربرگ، مدیر فیسبوک، حذف شد. هرچند این مساله چندان حاد به نظر نمی رسه اما به هرحال می شه گفت که زاکربرگ مجددا هک شد.

چند ساعت بعد یک هکر مصری با اسم مستعار Dr.FarFar با نویسنده هکر نیوز تماس می گیره و ادعا می کنه با استفاده از یک ضعف امنیتی جدید تونسته تصویر کاور رو حذف کنه. هکر ابتدا اطلاعات دقیقتری از شیوه عملکردش نگفت.

طی تماس هایی که خبرنگار با هکر و فیسبوک می گیره اطلاعات بیشتری مشخص می شه.

دکتر فرفر از این روش استفاده کرده که ابتدا از گزینه گزارش سو‌استفاده در مورد تصویر کاور استفاده کرده و گزینه I don’t like this photo of me رو انتخاب کرده و سپس درخواست ارسالی رو با fiddler تغییر داده.

فیدلر یک ابزار بر پایه پراکسی است که ترافیک ارسالی و دریافتی رو نشون می ده و امکان تغییرشون رو فراهم می کنه.

چند ساعت بعد هم بدون اینکه توضیحی از سوی فیسبوک منتشر بشه، تصویر کاور صفحه مارک زاکربرگ به حالت قبل برگشت.

سال گذشته نیز یک هکر فلسطینی موفق شد با استفاده از ضعفی که در فیسبوک کشف کرده بود، از طرف مارک زاکربرگ جمله ای رو منتشر بکنه.

امنیت

روز جهانی محرمانه بودن داده ها

نامگذاری ۲۸ ژانویه به عنوان روز جهانی محرمانه بودن داده ها (که در اروپا بهش حفاظت از اطلاعات هم می گن) یک بهانه است برای یادآوری حق انسان ها در جلوگیری از دسترسی دیگران به اطلاعات شخصیشون. کنوانسیون دفاع از حقوق افراد در برابر پردازش خودکار اطلاعات (شاید ترجمه حقوقیش چیز دیگه ای باشه که من پیدا نکردم) ۲۸ ژانویه سال ۱۹۸۱ آماده امضا شد. کنوانسیون جرایم مجازی و ماده ۸ کنوانسیون اروپایی حقوق بشر نیز از قوانین دیگه ای اند که در اونها از حق حفظ حریم خصوصی و حفاظت از اطلاعات شخصی افراد گفته شده.

حفظ حریم خصوصی همیشه دغدغه قانون گذاران بوده و از اون مواردیه که همیشه ماده و تبصره های شفافی در موردشون وجود داره. مثلا پلیس نمی تونه بدون حکم قضایی وارد خونه من بشه و بازرسی انجام بده. این محدودیت، حتی برای پلیس، ضامن سلامت روانی جامعه و حفظ حقوق افراده. در سیستم قضایی ایران هم موارد مرتبط با حریم خصوصی دیده شده که البته در مورد فضای مجازی باید اصلاح و تخصصی بشه.

امسال این روز یه رنگ و بوی دیگه داره. این اولین ۲۸ ژانویه پس از افشاگریهای اسنودن و مشخص شدن گستردگی نقض قوانین توسط سازمان های دولتی آمریکا، انگلیسه (و کم و بیش کشورهای دیگه). اسنودن نشون داد که چقدر افراد در برابر دولت ها آسیب پذیرند. جدا از دولت ها، مجرمین سایبری هم بیکار ننشستند و خبرهای بدی رو در سال گذشته رقم زدند. از افشای اطلاعات ۱۵۰ میلیون کاربر سایت ادوب تا موردهای مشابه در مورد بانک ها و موسسات تجاری و غیره.

درکشور خودمون هم اتفاقات مشابه کم نبودند. در کنار اینکه ما نیز کاربرهای سایت های بزرگ جهانی ایم، سایت های داخلی نیز بارها هدف قرارگرفته اند. هرچند نقص قوانین، عدم نظارت بر سایت ها و موسسات و بی اهمیت بودن اطلاعات کاربران برای برخی مدیران سایت های ایرانی، باعث می شه خبرهای نفوذ و لو رفتن اطلاعات ما چندان در خبرها دیده نشه.

نمونه های واقعی رو می تونم مثال بزنم از سایت هایی که اطلاعاتشون رو من به راحتی به دست آوردم و به مدیران سایت اطلاع دادم و متاسفانه نه تا کنون مشکل رو برطرف کردند و نه به کاربرانشون اطلاع دادن برای انجام موارد پیشگیرانه.

بذارید یه نمونه دیگه رو مثال بزنم. همین یک ماه گذشته بود که کارمند یک شرکت مخابراتی در کره، شماره تماس و اطلاعات ۲۰ میلیون نفر رو در اختیار یک شرکت تبلیغاتی گذاشت. هم کارمند خطا کار و هم مدیرعامل شرکت تبلیغاتی دستگیر شدند اما در ایران روزانه شاهد تماس و اس‌ام‌اس از طرف شماره های ناشناسیم که حتی از شغل و موقعیت جغرافیایی محل زندگی ما خبر دارند و کسی هم پاسخگو نیست.

البته حفظ اطلاعات شخصی فقط به افراد محدود نمی شه و شرکت ها افراد حقوقی نیز از حق مشابهی برخوردارند. ما به عنوان کارمندهای یک شرکت اجازه نداریم بدون اطلاع اونها اطلاعات داخلی رو لو بدیم. حالا ی خواد اطلاعات مالی باشه یا کدهای یه برنامه با لایسنس اون شرکت. ولی خب معمولا افراد آسیب پذیر ترند و در موارد نقض حقوقشون، امکان کمتری برای پیگیری دارند.

یکی از مواردی که مدت هاست ذهن قانون گذارها رو به خودش مشغول کرده، حمایت از کودکان در فضای مجازیه. در کنار همه تهدیدهای موجود که می تونه مشابهی در دنیای فیزیکی داشته باشه، بحث اطلاعات کودکان هم از بحث های داغه. بچه ها معولا نمی دونن اطلاعاتی که از خودشون می دن چه باری می تونه داشته باشه. شاید یه چیزی رو بگن که در دوره بزرگسالی نخوان کسی در موردش اطلاع داشته باشه، پس باید بتونن اطلاعات قبلی رو پاک کنن. این البته در مورد آدم بزرگ ها هم صادقه اما در مورد کودکان داره تبدیل به یک مساله بحرانی می شه، مخصوصا با گسترش شبکه های اجتماعی.

من در ادامه سعی می کنم نکاتی که باید توسط شرکت ها و مدیران سایت ها رعایت بشه رو بیارم. شما هم اگر پیشنهادی برای تکمیلش دارید از شیوه های ارتباطی که با من دارید بهم اطلاع بدید تا لیست رو تکمیل کنم.

کمترین اطلاعات ممکن از کاربران جمع بشه و فقط موارد ضروری و مرتبط با زمینه کاری سایت باشه.
کلیه اطلاعات افراد در صورت درخواست اونها از سرور ها پاک بشه. من اگر اکانتم رو در سایتی غیرفعال می کنم، به این معنیه که نمی خوام تاریخچه ای هم از حضور من در اون سایت و دیتابیسش باقی بمونه. فیسبوک و ادوب نمونه های بزرگ نقض این موردند.
در مورد کلیه اطلاعات نگهداری شده در سرور به افراد اطلاع داده بشه
فایل ها و اطلاعات افراد به خوبی رمزگذاری بشه و در مواردی که دسترسی سرور الزامی نیست، امکان رمزگشایی فقط برای فرد امکان پذیر باشه و حتی ادمین سیستم هم امکان دیدن اطلاعات رو نداشته باشه. من در همین وبلاگ نمونه هایی از سایت های ایرانی رو مثال زدم که پس از عضویت، نام کاربری و پسورد رو به صوت متن ساده برام ایمیل کرده بودند که به معنی هش نشدن رمز من در دیتابیس سایته.
اگر از کدهای شرکت های تبلیغات و موسسات دیگری استفاده می شود، حتما موارد امنیتی مرتبط با آنها به کاربران اطلاع داده شود. برای مثال من ناقض این موردم. من از کدهای گوگل آنالیتیکز در سایتم استفاده می کنم که کلی اطلاعات از مراجعین جمع می کنه، مثل آی پی و مرورگر و نسخه سیستم عامل و غیره ولی متاسفانه هیچ جایی توی وبلاگم این موضوع رو اعلام نکردم. سعی می کنم در اولین فرصت در پانویس صفحه ها این مورد رو اطلاع بدم.
به هیچ عنوان اطلاعات کاربران در اختیار شخص سومی قرار نگیرد (حتی سازمان های دولتی) مگر با حکم قضایی و اطلاع فرد
در صورتیکه کودکان هم عضو سایتشونند، باید در قوانین کاربری و نکات امنیتی، تقسیم بندی مناسب داشته و بتونن پالایش درستی روی کاربرها داشته باشند. برای مثال کودکان در لینکدین حتی اگه آدرس محل زندگیشون رو به صورت عمومی هم منتشر کنند، لینکدین اجازه دیده شدن این مورد رو به دیگران نمی ده.