Hvorfor blir ikke alle hacket hver dag?

Fra min mobbe-talerstol har jeg frimodig kunngjort: Som en kjede er IT-sikkerhet ikke sterkere enn dens svakeste ledd.

Det kan hende jeg må endre det dekretet.

Hvorfor? Jeg leste nettopp, "Hvor går alle angrepene?", Et papir skrevet av venn og Microsoft Principal Researcher, Cormac Herley, sammen med Dinei Florencio, også en Microsoft-forsker. Artikkelens introduksjon tilbyr dette antydningen:

"Internett-sikkerhet har et forbausende faktum i kjernen. Hvis sikkerheten bare er så sterk som den svakeste lenken; bør alle som velger svake passord, gjenbruke legitimasjonsoplysninger på tvers av kontoer, ikke overholde sikkerhetsadvarsler eller neglisjere oppdateringer og oppdateringer - regelmessig og gjentatte ganger.

Det er klart dette ikke klarer å skje. "

Greit da. Det er åpenbart: Jeg har noen å ta igjen. Her er hva Cormac hadde å si.

Kassner : Gjennom våre tidligere samarbeid om sikkerhetsforskning (min favoritt: "Har brukere rett i å avvise sikkerhetsråd?"), Har jeg kommet til å forvente - verne faktisk - din "utenfor boksen" -tenking. Denne artikkelen ser ut til å være mer av det samme, og begynn med at du spør:

"Hvorfor blir ikke alle hacket hver dag?"

Definitivt "utenfor boksen." Hva fikk deg til å se på dette emnet?

Herley : Takk Michael, smiger kommer deg overalt! Jeg er alltid interessert når det er et misforhold mellom hva vi tror skal skje og det vi observerer. Og misforholdet mellom konvensjonell sikkerhetsvisdom og det som faktisk skjer, er et perfekt eksempel.

Vi blir bedt om å koble hvert sikkerhetshull hvis vi ønsker å beskytte våre digitale ting. Likevel, det gjør vi ikke. Vi er uforsiktige med programvareoppdateringer og kjører antivirus. Vi ignorerer advarsler fra OS og nettleser og klikker på lenker med forlate.

La oss ikke glemme passordvaner. Vi velger svake passord, bruker vanlige navn, skriver dem på Post-its for alle å se og bruker de samme tre eller fire passordene på tvers av flere kontoer.

Likevel, av de to milliarder menneskene som bruker Internett, lider bare 5% betydelig skade hvert år. Så hvordan slipper 95% av oss uten skot?

Kassner : Avisen antyder at årsaken til forskjellen skyldes at angripere trenger å bruke en sum-av-innsats tilnærming i stedet for å gå etter den svakeste ledd. Hva betyr det? Herley : Summen av innsatsen betyr at angripere trenger utnyttelsen for å være lønnsom i gjennomsnitt på tvers av alle forsøk, ikke bare i spesielle situasjoner. Hvert angrep har en kostnad, og ingen angrep fungerer 100% av tiden.

For å være lønnsom i gjennomsnitt, må du tjene nok når du lykkes å dekke kostnadene for alle gangene du mislykkes.

Anta for eksempel at Alice bruker hundens navn som passord for bankportalen. I følge det vi blir fortalt, er passordet hennes svakt, noe som gjør det til et enkelt merke for en angriper. Men en angriper bare lykkes:

  • Hvis brukernavnet er kjent.
  • Hvis han eller hun kan finne ut av hundens navn.
  • Banken fanger ikke overføringen.
  • En annen cyber-tyv kommer ikke dit først.

Så hvilken prosent av tiden kan angriperen forvente å lykkes? La oss si at angriperen bruker en time per bruker, og:

  • 5% av alle brukere velger hundens navn som passord.
  • 5% av tiden blir passordet bestemt.
  • 5% av tiden, brukernavnet er funnet ut.

Basert på det, får angriperen en konto for hver 20x20x20 = 8000 kontoer som er angrepet.

La oss si at angriperen er villig til å jobbe for $ 7, 25 / time. Han trenger den gjennomsnittlige kompromitterte kontoen for å gi $ 7, 25 x 8000 = 58 000 dollar for å møte lønn.

Hva om banken fanger 75% av angriperens forsøk? Det betyr at angriperen trenger å få 232 000 dollar per kompromittert konto for å møte lønn. Og vi har ikke diskutert konkurranse fra andre angripere.

Selv om en angriper er villig til å jobbe for en 1/10 av USAs minstelønn og bruker 10 minutter (i stedet for en time) per bruker, vil det i gjennomsnitt trenge 3 866 dollar per kompromittert konto for å gjøre lønn. Så det som begynte med å se ut som enkle penger, har blitt en veldig vanskelig måte å tjene penger på.

Nå vurder dette. Hvis angrepet er ulønnsomt, derfor ikke brukt, slipper 5% med svake passord uskadd. Aksiomet til at de bare er like trygge som systemets svakeste ledd viser seg å være falsk, fordi det er vanskelig å bygge et lønnsomt angrep for å utnytte svake passord.

Kassner : Avisen hevder:

"Mange angrep, selv om de lykkes i bestemte scenarier, er ikke lønnsomme når de er gjennomsnittlig over en stor befolkning. Dette er tilfelle selv når mange lønnsomme mål eksisterer og forklarer hvorfor så mange angrepstyper ender opp med å forårsake så lite faktisk observert skade."

Jeg får logikken, til neste setning:

"Hvor vanlig en sikkerhetsstrategi er, betyr altså minst like mye som hvor svak den er."

Nå er jeg fortapt. Hjelp.

Herley : Visst. La oss se på hundens navn som et passordeksempel. Anta at 50% i stedet for 5% velger hundens navn som passord. Nå (holder de andre forutsetningene uendret) lykkes angriperen en gang i 800 i stedet for en gang i 8000. Avkastningen er 10 ganger bedre, bare fordi flere bruker denne strategien.

Så hvis en strategi er vanlig og forutsigbar, blir den veldig farlig fordi den blir lettere for en angriper å utnytte. Å forlate husnøkkelen under en blomsterpotte er risikabelt, for det meste, fordi mange mennesker legger igjen nøkkelen under blomsterpotte. Hvis du var den eneste personen i verden som gjorde det, blir det mindre risikabelt fordi det å sjekke under blomsterpotte er bortkastet tid for en tyv, siden det nesten aldri lykkes.

I utgangspunktet spiller angripere et tallspill. Jo flere som bruker "passord" som passord, jo bedre blir angriperen tilbake for å prøve det.

Kassner : Jeg prøvde å komme meg gjennom regnestykket - mislyktes elendig. Jeg lar matte-nørder sjekke arbeidet ditt. Er det mulig for deg å kort forklare konklusjonene dine? Herley : Å stjele er som all annen økonomisk aktivitet. Ting må lykkes i gjennomsnitt, ikke bare når forholdene er gunstige. Dette betyr at angriperen betaler en pris for hvert forsøk, men får en retur bare når angrepet lykkes. Hvis hvert forsøk koster $ 1, men bare lykkes med 0, 1% av tiden, må hver suksess få inn $ 1000 bare for å være jevn. Angrep med lav suksessrate kan ha utfordrende økonomi. Kassner : Har jeg rett: Du er bekymret for at sikkerhetsundervisere "gråter ulv", fordi de bruker feil modelltilnærming? Herley : Jeg er ikke sikker på at jeg vil karakterisere den som "gråtende ulv", noe som får det til å høres ut som det er et ønske om å bedrag. Sikkerhetsfolk er opplært til å se etter svakheter, og se hva som kan skje når ting går galt. Så det er naturlig å ønske å advare folk. Samtidig tror jeg vi må erkjenne at to milliarder mennesker bruker Internett, og til tross for dårlig sikkerhetspraksis, har de fleste positive internettopplevelser.

"Tenk som en angriper" er en ofte gjentatt mantra blant sikkerhetsundervisere. Men etter min mening blir det sjelden fulgt hele veien. Å tenke som en angriper slutter ikke når du finner et angrep eller en utnyttelse, med mindre du bare er interessert i det som en intellektuell øvelse.

Hvis du er interessert i den totale effekten et angrep vil ha, må du fortsette, akkurat som en angriper ville fortsette, og finne ut hvordan utnyttelsen kan brukes til å gjøre en fortjeneste. Det betyr ikke bare å se etter sårbarheter og oppdage når ting kan gå galt, men å finne ut hvor mye et angrep koster og hvor ofte det kan lykkes. En angriper må absolutt tenke gjennom det, og det er lat av oss å hoppe over den delen av analysen.

Kassner : Nå er det tøffe spørsmålet. Har du råd til oss brukere når det gjelder sikkerhetsråd? Herley : Jeg vil være tydelig. Vårt mål i denne artikkelen er å forklare misforholdet mellom prediksjon og observasjon. Mens jeg bruker det som eksempel, anbefaler jeg absolutt ikke at folk bruker hundens navn som passord!

Du ønsker ikke å være en del av en gruppe som har sårbarheter som er enkle å forutsi og utnytte. Hvilke råd å gi er et tøft spørsmål. Svaret mitt er ikke så forskjellig fra det andre har tilbudt. En ting kan jeg legge til - absolutt unngå å være forutsigbar.

Siste tanker

Jeg antar at vi burde betrakte oss som heldige. De fleste skurkene på Internett handler om å tjene. Hvis andre motiver var involvert, tror jeg vi ville hatt problemer. Eller, for å si det på en annen måte, vi kan være lavthengende frukt, men vi er ikke verdt innsatsen.

En stor takk til Dr. Cormac Herley for hans innsiktsfulle svar.

© Copyright 2020 | mobilegn.com