Threat intelligence pre používanie hesiel

Bezpečnosť
Zoom Out Zoom In
Od
0241
9:10 25. februára 2025

V tomto článku sa pozrieme bližšie na to:

  • Čo je to threat intelligence pre prihlasovacie údaje
  • Kde získať threat intelligence zdarma
  • Ako využiť threat intelligence na ochranu Vášho konta
  • Čo robiť v prípade, že Vaše konto bolo kompromitované

Čo je to threat intelligence?

Threat intelligence alebo informácie o hrozbách je služba poskytovaná prostredníctvom internetu, ktora poskytuje používateľovi alebo organizácii (čuduj sa svete) informácie o hrozbách :). Takouto hrozbou môže byť napr. odcudzenie a aktívne zneužívanie prihlasovacích údajov. Na reportovanie uniknutých prihlasovacích údajov slúži viacero služieb. Niektoré sú platené, iné sú poskytované zadarmo. Služba môže byť poskytovaná samostatne, alebo môže byť integrovaná do bezpečnostných nástrojov, napr. do manažéra hesiel. Všetky tieto služby zbierajú informácie o kompromitovaných účtoch napr. z darknetových fór, malvérových dropzón (miesto kde si malvér odkladá ukradnuté dáta), alebo od bezpečnostných výskumníkov. Následne poskytujú informáciu o tejto hrozbe, teda o tom, že používateľov účet (alebo emailová adresa) je medzi uniknutými údajmi, zaregistrovanému používateľovi napr.:

  • Notifikujú používateľa emailom

Obr.: Príklad notifikácie zo služby https://haveibeenpwned.com/ . Obrázok prevzatý z https://www.possolutions.com.au/blog/check-if-your-email-address-has-been-pwned

alebo v manažéri hesiel označia heslá, ktoré sú potenciálne kompromitované

Obr.: Príklad reportu z manažéru hesiel. Obrázok prevzatý z https://images.expertreviews.co.uk/wp-content/uploads/2021/03/bitwarden_screenshot_exposed_passwords_report.png?width=960&height=540&crop=960:540

Ako sa dostať k threat intelligence?

Ako sme spomenuli vyššie, niektoré nástroje na threat intelligence sú k dispozícii aj zadarmo. Poďme sa pozrieť na niektoré z nich:

Have I been pwned

Kde ju nájdete: https://haveibeenpwned.com/ 

Slúži na: preverenie kompromitácie účtu a nastavenie notifikácií pre kompromitáciu účtu

Služba have I been pawned (HIBP) je poskytovaná zdarma, avšak organizácie môžu využiť aj komerčnú verziu na monitoring celej domény. Pri prístupe postačuje zadať emailovú adresu na preverenie do formuláru nižšie:

Následne ukáže portál, či je konto súčasťou niektorého úniku údajov:

Takýmto spôsobom je možné kedykoľvek preveriť, či je vaše konto ohrozené alebo nie. Pokiaľ nechceme chodiť na portál v pravidelných intervaloch, je možné využiť funkciu “Notify me” (notifikuj ma):

Následne bude HIBP posielať emailom na zadanú adresu informáciu o tom, či sa zadaná emailová adresa objavila v novom balíku uniknutých dát alebo prihlasovacích údajov.

Mozilla Monitor

Kde ju nájdete: https://monitor.mozilla.org/

Slúži na: preverenie kompromitácie účtu a nastavenie notifikácií pre kompromitáciu účtu

Služba funguje podobne ako HIBP, avšak po zadaní emailu na kontrolu vyžaduje prihlásenie sa alebo založenie Mozilla konta.

Následne sa dostanete do dashboardu, ktorý zobrazuje detegované hrozby:

A pre každú z hrozieb poskytne podrobný návod, ako ju vyriešiť:

Pre konto je automaticky zapnuté posielanie notifikácií pri detekcii kompromitácie účtu. Avšak je možné pridať do monitoringu maximálne 5 emailových adries. Analogicky funguje aj služba Dehashed, avšak na detailné prezeranie výsledkov je potrebné zakúpiť si platenú službu. 

Bitwarden

Kde ju nájdete: https://bitwarden.com/ 

Slúži na: manažér hesiel s integrovaným reportom uniknutých hesiel

Bitwarden je manažér hesiel. Bitwarden je možné využívať na osobné účely zdarma, alebo v platenej verzii, ktorá obsahuje aj dodatočnú funkcionalitu vrátane security reports. Bitwarden je príkladom manažéru hesiel, ktorý využíva službu HIBP na verifikáciu, či uložené prihlasovacie údaje boli uniknuté. Na tento účel je možné využiť reporty “Data breach” alebo “Exposed passwords” : 

Obr: príklad reportu data breach v manažéri hesiel BitWarden

ESET identity protection

Kde ju nájdete: https://login.eset.com 

Slúži na: sledovanie a notifikácie ohľadom uniknutých osobných údajov (vrátane hesiel).

ESET Identity Protection (EIP) je príkladom samostatnej služby, ktorá nie je integrovaná do manažéra hesiel, avšak EIP je súčasťou plateného balíčka Ultimate. Po zadaní sledovaných prihlasovacích údajov služba zobrazí BreachIQ report, ktorý je následne možné využiť na vyriešenie zistených problémov. 

Čo robiť v prípade uniknutého hesla?

Čo robiť v prípade úniku hesla: 

  1. Heslo okamžite zmeňte všade, kde ste ho používali – prvoradé je dostať útočníka z vášho konta. Preto je najlepšie bezodkladne zmeňte heslo na všetkých miestach, kde ste ho používali. Heslo je vhodné vygenerovať náhodné a dostatočne silné prostredníctvom manažéra hesiel.
  2. Zrušte všetky aktívne prihlásenia – pod vašim účtom môžu byť vytvorené viaceré aktívne prihlásenia (sessions). Napr. prihlásenie cez web, z mobilnej aplikácie a pod. Po správnosti by mala aplikácia pri zmene hesla zrušiť platné sessions. Nie je to však pravidlo a preto, ak aplikácia ponúka zrušenie aktívnych sessions, tak sa oplatí túto možnosť využiť a odrezať tak útočníka z vášho konta.
  3. Zapnite MFA, ak ste ju nemali zapnutú – mulitfaktorová autentizácia (MFA) ochráni vaše konto aj v prípade kompromitácie hesla, pretože útočník nemá prístup k ďalšiemu faktoru – napr. jednorázovému kódu (OTP), vášmu kryptografickému kľúču na tokene alebo čipovej karte, prípadne biometrii.
  4. Skontrolujte, či sa útočník prihlásil pod Vašim účtom – aplikácia môže poskytovať možnosti na kontrolu posledných aktivít ako napr. Logy alebo informácie o poslednom prihlásení (čas a IP adresa). Pokiaľ ani jedna z možností nie je dostupná v aplikácii, vždy je možnosť obrátiť sa na prevádzkovateľa prostredníctvom technickej podpory.
  5. Oznámte zneužitie hesla prevádzkovateľovi aplikácie – ako je uvedené vyššie, prevádzkovateľ aplikácie vie pomôcť s identifikáciou aktivít útočníkov a zodpovedaním otázok, ako napr.: aké všetky dáta boli odcudzené? Zároveň vie prevádzkovateľ aplikácie prijať dodatočné opatrenia v prípade, že útok bol cielený na aplikáciu samotnú. 

Tieto kroky je vhodné zrealizovať v prípade klasickej aplikácie. Komplikácie môžu nastať v prípade, že aplikácia chráni ďalšie prístupy, napr.:

  • Ide o manažér hesiel – v takom prípade je potrebné považovať všetky uložené prihlasovacie údaje (heslá, kľúče, …) za kompromitované z zmeniť ich v poradí od najcitlivejších k najmenej citlivým.
  • Aplikácia je využívaná na single sign-on (SSO) na ďalšie služby – príkladom je Facebook, AppleID alebo GoogleID. Opať – v takomto prípade je potrebné považovať všetky služby za kompromitované. Síce nie je potrebné meniť všade heslá (lebo sa využíva SSO), ale je vhodné skontrolovať, či útočník neodcudzil dáta, nepridával zariadenia do Vášho konta alebo nerealizoval aktivity pod Vašim kontom. 

Od Daniel Chromek

Daniel Chromek má viac než 15 rokov skúseností v informačnej bezpečnosti. Z pozície konzultanta so zameraním na bezpečnostný monitoring, audit bezpečnosti a súlad s legislatívou a normou ISO 27001 sa presunul k riadeniu informačnej bezpečnosti v technologickej firme. V rámci experného dobrovolníctva prednáša a píše knihy o informačnej bezpečnosti.

Odporúčané príspevky

Newer Post
Older Post

Vyjadrite váš názor v komentároch