Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Kâr Amacı Gütmeyen Dijital Arşiv Ayrıca Hizmet Reddi Saldırılarına ve Tahrifata Maruz Kalıyor
Mathew J. Schwartz (euroinfosec) •
10 Ekim 2024
Arşivlenmiş web sitelerine ve diğer materyallere ücretsiz erişim sağlayan, kâr amacı gütmeyen bir dijital kütüphane olan İnternet Arşivi, kullanıcıların hizmete erişmesini engelleyen dağıtılmış hizmet reddi saldırısıyla mücadelenin üçüncü gününde.
Ayrıca bakınız: Çoklu Bulut Güvenliğinin Altı Temel Gereksinimi
San Francisco merkezli kuruluşun web sitesi Salı gününden bu yana siber saldırı altında. Çarşamba günü, ücretsiz Have I Been Pwned veri ihlali bildirim hizmeti, Eylül ayında 31 milyon İnternet Arşivi hesabının ihlal edildiği konusunda abonelere e-posta göndermeye başladı. Açığa çıkan hesap bilgileri arasında kullanıcıların e-posta adresleri, ekran adları ve karma şifreleri yer alıyor.
Sızan 31 milyon kaydın yarısından biraz fazlasında, halihazırda ihlal takip veritabanında bulunan bir e-posta adresi vardı, bu da daha önceki bir ihlalde ortaya çıktığı anlamına geliyor.
Çarşamba gününden itibaren, İnternet Arşivi’nin sitesine erişebilen kişiler, JavaScript yoluyla enjekte edilen bir mesaj gördüler: “İnternet Arşivi’nin sabit diskler üzerinde çalıştığını ve sürekli olarak feci bir güvenlik ihlaline maruz kalmanın eşiğinde olduğunu hiç hissettiniz mi? Bu aniden oldu. 31 milyonunuzu HIBP’de görün!”
Avustralyalı geliştirici Troy Hunt tarafından yürütülen HIBP, bireylerin e-posta adreslerini kaydetmelerine olanak tanıyan ücretsiz bir hizmettir. E-posta adresi bir veri sızıntısında veya dökümünde görünürse hizmet, aboneyi uyarmak için e-posta gönderir.
Web sitesi ekleme, veri hırsızlığı ve sızıntısı ile DDoS saldırılarının bağlantılı olup olmadığı belirsizliğini koruyor.
Hunt, mesaj yerleştirmenin birinin bir alt alandaki çoklu doldurma JavaScript dosyasına erişmesinden kaynaklandığını söyledi. Mozilla’ya göre: “Bir çoklu doldurma, onu yerel olarak desteklemeyen eski tarayıcılarda modern işlevsellik sağlamak için kullanılan, genellikle Web’deki JavaScript olan bir kod parçasıdır.”
İnternet Arşivi’ne yönelik DDoS saldırılarının en azından bir kısmı, X sosyal platformunda kendisine “Sn_darkmeta” adını veren bir grup tarafından üstlenildi. Grup, ABD’nin İsrail’e devam eden desteğini protesto etmek için saldırdığını söyledi.
İhlal Zaman Çizelgesi
X’e gönderilen bir zaman çizelgesinde Hunt, birinin kendisine çalınan verilerin bir kopyasını 30 Eylül’de gönderdiğini, ancak seyahatte olduğunu ve beş gün sonra Cumartesi gününe kadar verileri inceleyemediğini ve bu noktada ne yaptığını fark ettiğini söyledi. gönderilmişti.
Hunt, Pazar günü İnternet Arşivi’ni ihlal konusunda uyardığını, aldığı verilerin bir kopyasını paylaştığını ve ihlalde açığa çıkan 31.081.179 e-posta adresini 72 saat içinde HIBP’ye yüklemeyi planladığını söyledi. Hunt, Bleeping Computer’a aldığı 6.4 gigabaytlık SQL dosyasını söyledi. ia_users.sql28 Eylül tarihli bir dosya zaman damgası taşıyordu, bu da verilerin çalındığı tarih olduğunu gösteriyor.
İnternet Arşivi, Pazartesi günü verilerin alındığını doğruladı ve Hunt, Salı günü tekrar talep ettiği ancak henüz alamadığı organizasyondan “bir açıklama bildirimi” talep etti. Böyle bir bildirim, ihlal edilen bir kuruluşun kullanıcıları bir ihlal konusunda doğrudan uyarmasını içerir.
Hunt, “Açıkçası bu açıklamayı çok daha erken görmeyi isterdim, ancak ne kadar saldırı altında olduklarını anladığım için herkesin onlara biraz izin vermesi gerektiğini düşünüyorum” dedi. “Harika işler yapan ve çoğumuzun büyük ölçüde güvendiği bir hizmet sunan, kar amacı gütmeyen bir kuruluş.”
İngiliz siber güvenlik araştırmacısı Kevin Beaumont bir Mastodon gönderisinde şöyle dedi: “Archive.org saldırganları için bu, çok uluslu kötü niyetli bir kuruluşa saldırmak değil, neredeyse hiçbir kaynakla, ter ve gözyaşıyla çalışan gerçekten harika bir kaynağa saldırmak demektir.” “Eğer bir şeylere saldıracaksanız lütfen daha iyi nişan alın.”
Siteye yönelik saldırılar, İnternet Arşivi’nin büyük bir hukuki yenilgiye uğramasının ardından gerçekleşti. ABD İkinci Daire Temyiz Mahkemesi, 4 Eylül’de “Hachette – İnternet Arşivi” davasında verilen ve 2020’de başlatılan bir kitap dijitalleştirme projesinin ABD Telif Hakkı Yasası “adil kullanım” kapsamında korunmadığını tespit eden bir alt mahkeme kararını onadı ” ödenekleri ve bazı yayıncıların telif haklarını ihlal etti.
Bcrypt Şifre Hashing
Saldırganların İnternet Arşivi’nin bcrypt algoritmasını kullanarak karıştırdığı şifre karmalarını çalmasının yarattığı risk nedir? Hız için tasarlanan MD5 ve SHA256 gibi hash algoritmalarının aksine, parola yönetimi ve kimlik doğrulama satıcısı SpecOps’a göre bcrypt, kırılması çok daha zor olacak şekilde tasarlanmış, daha yavaş çalışan bir algoritmadır.
En az 8 karakter uzunluğunda olan ve üst ve alt karakterleri, sayıları ve simgeleri birleştiren bcrypt karma parolaları özellikle güvenlidir.
SpecOps, mevcut araçları ve teknolojiyi kullanarak, tüm bu unsurları içeren 8 karakterlik bir şifrenin kaba kuvvetle zorlanmasının 286 yıl alacağını söyledi. Parola uzunluğunu 12 karaktere çıkarmak, kaba kuvvet için gereken süreyi 23 milyon yıla çıkaracaktır.
Bu tür kısıtlamalarla karşı karşıya kalan saldırganların, bcrypt kullanılarak şifrelenmiş şifreleri denemeye ve kaba kuvvet kullanmaya yönelik çok az teşviki vardır.
“Kısa, karmaşık olmayan şifreler hala nispeten hızlı bir şekilde kırılabiliyor, bu da kullanıcıların aşağıdaki gibi zayıf ama çok yaygın şifreler oluşturmasına izin vermenin büyük risklerini vurguluyor: password, 123456 Ve adminSpecOps şöyle konuştu: “Ancak sekiz karakterden uzun şifrelerde karakter kombinasyonu kullanıldığında, şifreyi hızla kırmak bilgisayar korsanları için neredeyse imkansız bir görev haline geliyor.”
Yine de güvenlik uzmanları, İnternet Arşivi kullanıcılarına, site tekrar erişilebilir hale geldiğinde şifrelerini değiştirmelerini tavsiye ediyor. İhlal edilen siteler için bir risk, saldırganların daha önce altyapıya kötü amaçlı yazılım enjekte ederek parolaları bilinmeyen bir süre boyunca karma hale getirilip saklanmadan önce ele geçirmiş olmalarıdır.
Uzmanlar ayrıca, şifrelerinin farklı web sitelerinde asla tekrar kullanılmaması yönünde standart bir uyarıyı da yeniledi. Çoğu saldırgan, bazen doğrudan çalınan, bazen önceden var olan veri sızıntıları ve dökümlerinden geri dönüştürülen meşru e-posta adresi ve şifre çiftlerini elde etmeye ve bunları diğer sitelere ve hizmetlere erişmeye çalışmak için kullanmaya atıfta bulunarak kimlik bilgileri doldurmaya devam ediyor.
Çok faktörlü kimlik doğrulama gibi kimlik bilgisi doldurmaya karşı savunmalar mevcut olsa da, tüm siteler ve hizmetler kendilerini veya kullanıcılarını bu tür saldırılara karşı aktif olarak savunamaz (bkz.: İhlalden Yorgun Snowflake, 14 Karakterli Şifrelerle MFA’ya Geçiyor).